O relatório HP Wolf Security Threat Insights Report concluiu que formatos de arquivo como ficheiros ZIP e RAR são agora o tipo de ficheiro mais comum para a proliferação de malware, ultrapassando os ficheiros do Office pela primeira vez em três anos.
O relatório fornece uma análise dos ciberataques e das técnicas que os cibercriminosos utilizam para escapar à deteção. Com base em dados de milhões de endpoints que correm a solução HP Wolf Security, o estudo conclui que 44% do malware foi entregue dentro de ficheiros de arquivo - um aumento de 11% em relação ao trimestre anterior - em comparação com 32% entregue através de ficheiros Office como o Microsoft Word, Excel e PowerPoint.
Agora é mais comum haver a incorporação de ficheiros maliciosos em ficheiros HTML para contornar gateways de correio eletrónico - para depois lançar ataques.
Por exemplo, as recentes campanhas QakBot e IceID utilizaram ficheiros HTML para orientar os utilizadores para falsos visualizadores de documentos que se disfarçavam de aplicações Adobe. Os utilizadores eram então instruídos a abrir um ficheiro ZIP e a introduzir uma palavra-passe para descompactar os ficheiros, instalando assim malware nos seus PCs.
Como o malware dentro do ficheiro HTML original é codificado e encriptado, a deteção por gateway de correio eletrónico ou outras ferramentas de segurança é muito difícil. Em vez disso, o atacante confia na engenharia social, criando uma página web convincente e bem concebida para enganar as pessoas a iniciarem o ataque, abrindo o ficheiro ZIP malicioso.
Em outubro, os mesmos atacantes utilizaram também falsas páginas Google Drive para enganar os utilizadores na abertura de ficheiros ZIP maliciosos.
"Os arquivos são fáceis de encriptar, ajudando os atores da ameaça a esconder malware e a escapar a proxies da web, sandbox, ou scanners de correio eletrónico. Os ataques são assim difíceis de detetar, especialmente quando combinados com técnicas de HTML. O que foi interessante com as campanhas QakBot e IceID foi o esforço colocado na criação das páginas falsas - estas campanhas foram mais convincentes do que o que vimos antes, tornando difícil para as pessoas saberem em que ficheiros podem ou não confiar", explica Alex Holland, Analista Malware Sénior, equipa de investigação de ameaças de segurança da HP Wolf, da HP.
A HP também identificou uma campanha complexa utilizando uma cadeia de infeção modular, que poderia potencialmente permitir aos atacantes alterar a forma como atuam - tais como spyware, ransomware, keylogger – a meio das campanhas, ou introduzir novas características, como a geo-espionagem. Isto poderia permitir a um atacante mudar de tática, dependendo do alvo que tenha violado. Ao não incluir malware diretamente no anexo enviado para o alvo, é também mais difícil para os gateways de correio eletrónico detetarem este tipo de ataque.
A solução HP Wolf Security executa tarefas como abrir anexos de e-mail, descarregar ficheiros e clicar em ligações em máquinas isoladas e micro-virtuais (microVMs) para proteger os utilizadores, capturando vestígios detalhados de tentativas de infeção.
A tecnologia de isolamento de aplicações atenua as ameaças que podem passar por outras ferramentas de segurança e fornece conhecimentos sobre novas técnicas de intrusão e comportamento de atores de ameaças. Ao isolar ameaças em PCs que tenham escapado às ferramentas de deteção, a HP Wolf Security tem conhecimentos específicos sobre as técnicas mais recentes que estão a ser utilizadas por cibercriminosos. Até à data, os clientes da HP clicaram em mais de 18 mil milhões de anexos de correio eletrónico, páginas da web, e descarregaram ficheiros sem qualquer violação comunicada.
