Cibercriminosos estão usando mais vulnerabilidades de dia zero, diz pesquisa

A HP divulgou seu mais recente relatório global HP Wolf Security Threat Insights Report, onde os pesquisadores da empresa realizam análise dos principais ataques de segurança cibernética no mundo. Nesta edição, a principal descoberta é que os criminosos estão explorando vulnerabilidades antes que as empresas responsáveis possam corrigi-las. 

• O que é web scraping e como ocorre?
• Criminosos usam vídeos do YouTube para espalhar malwares ladrões de contas
• Hacker descobre brecha na rede cripto Polygon e recebe US$ 2 mi de recompensa

Segundo o relatório da HP, os criminosos estão usando mais vulnerabilidades de dia zero, brechas críticas que não foram detectadas no processo de desenvolvimento de softwares e sistemas, como a principal forma de ataque, aproveitando que as correções para essas falhas, em muitos casos, podem demorar a serem disponibilizadas pelas empresas responsáveis.

A equipe responsável pelo relatório cita como exemplo a falha CVE-2021-40444, do Microsoft Office, que utiliza um arquivo malicioso que implanta o malware por meio de um documento do Office. Os usuários não têm que abrir o arquivo nem permitir qualquer ação, bastando a pré-visualização no File Explorer para comprometer o dispositivo, e permitindo que os invasores instalem backdoors para livre acesso aos sistemas, que depois são vendidas a grupos de sequestro virtual (ransomware). 

Segundo o relatório da HP, os pesquisadores encontraram evidências de uso dessa vulnerabilidade até uma semana antes do lançamento da correção pela Microsoft, inclusive com scripts de automação da falha sendo disponibilizados em repositórios do GitHub.

Para Alex Holland, analista sênior de malware da equipe da HP Wolf Security, o uso dessas vulnerabilidades se dá pela "janela de vulnerabilidade" que elas apresentam:

O tempo médio para uma empresa aplicar, testar e implantar completamente correções devidamente checadas é de 97 dias, dando aos criminosos cibernéticos uma oportunidade de explorar essa 'janela de vulnerabilidade'. Antigamente apenas hackers altamente capacitados conseguiam explorar essa vulnerabilidade, mas os scripts automatizados baixaram o nível de qualificação necessária, tornando esse tipo de ataque acessível a criminosos menos instruídos e preparados. Isso aumenta substancialmente o risco para as empresas, pois exploits de dia zero são vendidos e disponibilizados ao mercado de massa em fóruns clandestinos e outros locais.

Além do uso dessas falhas de dia zero, o relatório da HP detectou também os seguintes novos comportamentos dos criminosos:

• Aumento no uso de provedores legítimos de nuvem e internet pelos cibercriminosos para hospedar malware: uma campanha recente da GuLoader estava hospedando o Remcos Remote Access Trojan (RAT) em grandes plataformas, como o OneDrive, de modo a evitar sistemas de detecção de intrusão e passar por testes de listas de permissões. A HP Wolf Security também descobriu múltiplas famílias de malware hospedadas em plataformas de mídias sociais de jogos, como o Discord;
• Malware em JavaScript escapando de ferramentas de detecção: trata-se de uma campanha que espalha vários RATs de JavaScript via anexos maliciosos de e-mail. Downloaders de JavaScript têm uma taxa de detecção mais baixa do que downloaders do Office ou binários. Os RATs estão cada vez mais comuns, com invasores visando roubar credenciais de contas corporativas ou carteiras de criptomoedas;
• Campanha de ataque passando-se por fundo nacional de Previdência Social de Uganda: os criminosos usaram typosquatting – um endereço falso semelhante ao do domínio oficial – a fim de atrair alvos para um site que baixa um documento de Word malicioso. Esse documento usa macros para rodar um script PowerShell que bloqueia registros de segurança e se esquiva do recurso Windows Antimalware Scan Interface;
• Com arquivos HTA, malware espalha-se em um único clique: o Trickbot Trojan agora é entregue via arquivo HTA, uma aplicação HTML, que implanta o malware assim que o anexo ou arquivo que o contém é aberto. Sendo o HTA um tipo de arquivo incomum, é menos provável que seja identificado por ferramentas de detecção.

Demais dados

O relatório da HP, além de contar com a detecção das ameaças acima, também coletou dados sobre os principais ataques virtuais de 2021. Nesse processo, o estudo fez as seguintes descobertas: 

• 12% dos malware isolados em e-mail passaram por pelo menos um scanner de gateway, solução de segurança que análisa todos os arquivos que estão entrando em um servidor;
• 89% dos malware detectados foram entregues via e-mail, enquanto os downloads na internet foram responsáveis por 11% e outros vetores, como dispositivos de armazenamento removíveis, por menos de 1%;
• Os anexos usados para entregar malware foram principalmente arquivos variados (38%), documentos de Word (23%), planilhas (17%) e arquivos executáveis (16%);
• As cinco iscas de phishing mais comuns foram as relativas a transações empresariais, tais como order (pedido, em tradução livre), payment (pagamento), new (novo), quotation (orçamento) e request (requisição);
• O relatório revela que 12% dos malware capturados eram previamente desconhecidos.