Ciberataques corporativos com documentos infectados crescem 11%

Os arquivos contaminados com malware continuam como um dos principais vetores de ameaça contra usuários corporativos. De acordo com um levantamento da HP Wolf Security, braço de segurança da empresa de tecnologia, houve aumento de 11% nos ataques envolvendo esse tipo de método durante o segundo trimestre de 2022, com as mecânicas, entretanto, começando a mudar.

• Os 5 métodos de ataque cibernético em que você precisa ficar de olho
• 80% dos ataques de ransomware acontecem por falhas de configuração

Saem os documentos contaminados do Office, principalmente Excel, entram os atalhos do Windows, arquivos em formato LNK que auxiliam na furtividade. Os especialistas também indicam um grande fluxo de contaminações a partir de documentos compactados no formado ZIP; em ambos os casos, se tratam de artimanhas para escapar da detecção de soluções de segurança, principalmente aquelas disponíveis em serviços de e-mail.

“Como as macros baixadas da web estão vindo bloqueadas na configuração padrão do Office, estamos de olho em métodos alternativos de execução que estão sendo testados por cibercriminosos”, aponta Alex Holland, analista sênior de malware da HP Wolf Security. Ele se refere a imposições colocadas pela Microsoft, justamente, para evitar ataques desse tipo, com os dados não mais sendo executados automaticamente e com a exibição de anúncios sobre o perigo de tais elementos.

Com o método, 14% dos e-mails maliciosos escaparam de pelo menos um escaneamento de segurança de e-mail, enquanto 69% dos malwares registrados no segundo semestre foram entregues por correio eletrônico. São números que conversam entre si e, também, com a ideia contínua de que falsas mensagens comerciais ou que tentam se passar por propostas de negócios seguem como o principal método de disseminação.

Enquanto isso, cresce o uso de kits de criação de malware, comumente no formato LNK, vendidos em fóruns cibercriminosos e permitindo que até mesmo bandidos com pouca experiência ou conhecimento técnico possam executar ataques. O foco, como sempre, são os sistemas corporativos, com a principal recomendação de Holland sendo o bloqueio imediato, nos sistemas internos, do download e execução de arquivos nesse formato.

O ataque por meio de atalhos do Windows funciona a partir da interação do usuário. O vetor, normalmente, são e-mails e mensagens de phishing, com o LNK sendo, na verdade, o caminho para a execução de código no prompt de comando do sistema operacional, responsável pelo download da praga. Em outros casos, DLLs comprometidas também são usadas como referência, em ataques que tentam simular a aparência de instaladores e aplicativos legítimos.

Outros ciberataques já começam a surgir

O phishing de e-mail, ainda que apresentando novos formatos, é uma prática comum e amplamente conhecida. A pesquisa da HP Wolf Security também demonstrou outras tendências de ataques que merecem a atenção das corporações, obtidas a partir dos milhões de sinais de ameaça que são analisados pelos times de pesquisa diariamente.

Grandes eventos, como a Expo 2023 em Doha, e falsas notificações de serviços de correio e frete serviram como vetor de uma prática chamada de contrabando de HTML. No ataque, links aparentemente legítimos são usados como isca para o clique, levando o usuário por múltiplos redirecionamentos até páginas fraudulentas; novamente, a ideia é escapar da detecção que uma URL maliciosa direta poderia gerar.

A vulnerabilidade Follina, em uma ferramenta de diagnóstico e suporte do Windows, segue sendo explorada mesmo com atualização disponível desde junho. O vetor está sendo utilizado, principalmente, na distribuição de trojans de acesso remoto que estabelecem pontos de entrada iniciais nos sistemas corporativos, que podem ser vendidos mais tarde em mercados cibercriminosos e utilizados em ataques diretos.

Ainda, uma nova técnica volta a utilizar os documentos do Office para atacar. A bola da vez são códigos shell ocultos nas propriedades destes arquivos, que possibilitam o download de malware para o computador. O foco, segundo os especialistas, está no roubo de dados, em campanhas que ainda parecem estar em fase de desenvolvimento.

Fonte: HP Wolf Security