O relatório global HP Wolf Security Threat Insights Report, que apresenta uma análise dos ataques de segurança cibernética no mundo, encontrou evidências de que os criminosos cibernéticos estão se mobilizando rapidamente para transformar vulnerabilidades de dia zero em armas. Exploits da falha CVE-2021-40444 – uma vulnerabilidade de dia zero na execução remota de Código que permite a exploração do mecanismo de renderização MSHTML usando documentos do Microsoft Office – foram captados pela primeira vez pela HP em 8 de setembro, uma semana antes de a correção ser lançada, em 14 de setembro.
CONTEÚDO RELACIONADO – Mais de 50% dos SOCs têm ferramentas redundantes, conclui estudo
Até 10 de setembro – apenas três dias após a notificação inicial das ameaças –, a equipe de pesquisa de da HP encontrou scripts desenhados para automatizar a criação desse exploit sendo compartilhados no GitHub. Se não for corrigido, o exploit permite que os invasores comprometam endpoints com pouquíssima interação com o usuário. Ele utiliza um arquivo malicioso que implanta o malware por meio de um documento do Office.
Os usuários não têm que abrir o arquivo nem permitir qualquer ação, bastando a pré-visualização no File Explorer para iniciar o ataque, do qual geralmente o usuário nem fica sabendo. Uma vez que o dispositivo está comprometido, os invasores podem instalar backdoors nos sistemas, que podem ser vendidos a grupos de ransomware.
Outras ameaças dignas de atenção também foram encontradas pela equipe de análise de ameaças da HP Wolf Security, entre elas:
• Aumento no uso de provedores legítimos de nuvem e internet pelos cibercriminosos para hospedar malware: uma campanha recente da GuLoader estava hospedando o Remcos Remote Access Trojan (RAT) em grandes plataformas, como o OneDrive, a fim de evitar sistemas de detecção de intrusão e passar por testes de listas de permissões. A HP Wolf Security também descobriu múltiplas famílias de malware hospedadas em plataformas de mídias sociais de jogos, como o Discord.
• Malware em JavaScript escapando de ferramentas de detecção: trata-se de uma campanha que espalha vários RATs de JavaScript via anexos maliciosos de e-mail. Downloaders de JavaScript têm uma taxa de detecção mais baixa do que downloaders do Office ou binários. Os RATs estão cada vez mais comuns, com invasores visando roubar credenciais de contas corporativas ou carteiras de criptomoedas.
• Campanha de ataque passando-se por fundo nacional de Previdência Social de Uganda: os criminosos usaram “typosquatting” – um endereço falso semelhante ao do domínio oficial – a fim de atrair alvos para um site que baixa um documento de Word malicioso. Esse documento usa macros para rodar um script PowerShell que bloqueia registros de segurança e se esquiva do recurso Windows Antimalware Scan Interface.
• Com arquivos HTA, malware espalha-se em um único clique: o Trickbot Trojan agora é entregue via arquivo HTA (aplicação HTML), que implanta o malware assim que o anexo ou arquivo que o contém é aberto. Sendo o HTA um tipo de arquivo incomum, é menos provável que seja identificado por ferramentas de detecção.
“O tempo médio para uma empresa aplicar, testar e implantar completamente correções devidamente checadas é de 97 dias, dando aos criminosos cibernéticos uma oportunidade de explorar essa ‘janela de vulnerabilidade’. Antigamente apenas hackers altamente capacitados conseguiam explorar essa vulnerabilidade, mas os scripts automatizados baixaram o nível de qualificação necessária, tornando esse tipo de ataque acessível a criminosos menos instruídos e preparados. Isso aumenta substancialmente o risco para as empresas, pois exploits de dia zero são vendidos e disponibilizados ao mercado de massa em fóruns clandestinos e outros locais”, explica Alex Holland, analista sênior de malware da equipe de pesquisa de ameaças HP Wolf Security, da HP Inc.
“Esses novos exploits tendem a ser eficientes em driblar ferramentas de detecção porque as assinaturas podem ser imperfeitas e ficar obsoletas rapidamente, conforme a compreensão do escopo for mudando. Prevemos que agentes de ameaças adotem a CVE-2021-40444 como parte de seus arsenais e, possivelmente, até substituam exploits usados atualmente para obtenção inicial de acesso a sistemas, tais como os que exploram o Equation Editor”, completa o executivo.
“Também temos visto grandes plataformas, como o OneDrive, permitindo que hackers realizem ataques mais velozes. Embora o malware hospedado nessas plataformas geralmente seja abatido rapidamente, isso não detém seus agentes, pois eles muitas vezes conseguem atingir seu objetivo de entregar o malware nas poucas horas em que os links ficam no ar”, continua Holland. “Alguns agentes de ameaças estão mudando a cada poucos meses o script ou tipo de arquivo que usam. Arquivos maliciosos de JavaScript e HTA não são algo novo, mas ainda estão caindo nas caixas de entrada de funcionários e colocando as empresas em risco. Uma campanha empregou o Vengeance Justice Worm, que consegue se espalhar para outros sistemas e drives USB.”
Os achados da pesquisa baseiam-se nos dados de milhões de endpoints que rodam a HP Wolf Security. Além disso, a empresa rastreia malware abrindo tarefas suspeitas em micromáquinas virtuais (micro VMs) isoladas para entender e obter a cadeia completa de infecção, ajudando a amenizar as ameaças que passaram despercebidas por outras ferramentas de segurança. Isso fez com que os clientes clicassem em mais de 10 bilhões de anexos de e-mail, páginas na internet e downloads sem violações reportadas. Ao entender melhor o comportamento de arquivos maliciosos à solta, os pesquisadores e engenheiros da HP Wolf Security podem reforçar a proteção de endpoint e a resiliência do sistema como um todo.
As principais descobertas apresentadas no relatório incluem:
• 12% dos malware isolados em e-mail passaram por pelo menos um scanner de gateway
• 89% dos malware detectados foram entregues via e-mail, enquanto os downloads na internet foram responsáveis por 11% e outros vetores, como dispositivos de armazenamento removíveis, por menos de 1%
• Os anexos usados para entregar malware foram arquivos variados (38% – acima dos 17,26% registrados no último trimestre), documentos de Word (23%), planilhas (17%) e arquivos executáveis (16%)
• As cinco iscas de phishing mais comuns foram as relativas a transações empresariais, tais como “order” (pedido), “payment” (pagamento), “new” (novo), “quotation” (orçamento) e “request” (requisição)
• O relatório revela que 12% dos malware capturados eram previamente desconhecidos.
“Não podemos continuar dependendo apenas da detecção. O cenário de ameaças é muito dinâmico e, como podemos ver pelas análises captadas em nossas máquinas virtuais, os invasores estão cada vez mais hábeis em driblar a detecção”, comenta o Dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “As organizações precisam adotar uma abordagem em camadas em relação à segurança de endpoint, seguindo princípios de confiança zero para conter e isolar os vetores mais comuns de ataques, tais como e-mails, navegadores e downloads. Isso vai eliminar a superfície de ataque para categorias inteiras de ameaças, dando às organizações o tempo necessário para coordenarem ciclos de correção com segurança e sem interrupção dos serviços.”
Os dados foram coletados em máquinas virtuais de clientes da HP Wolf Security entre julho e setembro de 2021.
Participe das comunidades IPNews no Facebook, LinkedIn e Twitter.