MADRI 19 set. (Portaltic/EP) -
Especialistas em segurança cibernética alertaram sobre novas técnicas de phishing adotadas por agentes mal-intencionados que, na tentativa de contornar as ferramentas de segurança baseadas em detecção, incorporam 'malware' oculto em arquivos PDF ultra-realistas, imagens pixeladas ou por meio de arquivos IMG compactados.
Em um cenário criminoso em constante mudança, os agentes mal-intencionados continuam a desenvolver seus métodos tradicionais de engano, como phishing e living off the land (LOTL), sendo este último uma forma de hacking em que ferramentas e funções legítimas disponíveis nos sistemas são usadas para realizar ações mal-intencionadas. Tudo isso é feito para burlar os sistemas de detecção e comprometer os computadores das possíveis vítimas.
Especificamente, em seus novos métodos, os criminosos cibernéticos recorrem ao uso de "vários binários incomuns" em uma única campanha, tornando ainda mais difícil distinguir entre atividades maliciosas e legítimas, de acordo com o mais recente Relatório de Ameaças dos especialistas em segurança da HP.
O relatório, que inclui dados de abril a junho deste ano, revela técnicas recentemente identificadas em campanhas de ataques cibernéticos, com base em dados coletados de milhões de endpoints protegidos pelo sistema HP Wolf Security, informou a empresa em um comunicado.
REVERSE SHELL EM PDFS FALSOS
Uma das campanhas de phishing identificadas baseia-se no uso de faturas falsas do Adobe Reader. Especificamente, nessa nova onda de golpes de engenharia social, os invasores tentaram introduzir um script conhecido como "shell reverso" no computador das vítimas em potencial, com o qual eles obtêm o controle remoto do dispositivo.
Para enganar os usuários, esse script foi incluído em uma pequena imagem SVG que fingia ser um arquivo PDF do Adobe Acrobat Reader e tinha até uma barra de carregamento falsa. Assim, quando os usuários caíam na simulação e abriam o arquivo, a cadeia de infecção era ativada automaticamente.
Além disso, nos casos analisados pela equipe da HP, os criminosos cibernéticos limitavam o download do script às regiões de língua alemã, a fim de reduzir a exposição e dificultar a análise automática.
MALWARE OCULTO EM IMAGENS PIXELADAS
Outro método compartilhado pela HP é ocultar o malware em imagens pixeladas, em que os agentes mal-intencionados usam os arquivos de Ajuda HTML compilados (CHM) da Microsoft para ocultar o código mal-intencionado nos pixels das imagens e disfarçá-los como documentos de projeto.
Dessa forma, os pesquisadores apontaram que, em certos casos, os criminosos cibernéticos conseguiram entregar uma carga útil do cavalo de Troia de acesso remoto XWorm, que foi executada por meio de uma cadeia de infecção em etapas, usando várias técnicas LOTL.
Nesse sentido, durante o ataque, a interface PowerShell da Microsoft também foi usada para executar um arquivo CMD que excluía evidências após o download e a execução.
LUMA STEALER EM ARQUIVOS IMG
Por fim, os especialistas em segurança cibernética também apontaram um método pelo qual os agentes mal-intencionados conseguiram instalar o famoso "malware" de roubo de informações Lumma Stealer por meio de arquivos IMG.
Para essa versão do ataque, usando arquivos IMG compactados, eles usaram técnicas LOTL para contornar os filtros de segurança. Portanto, vale a pena observar que, embora a principal infraestrutura do Lumma Stealer tenha sido desmantelada em maio deste ano, as campanhas continuaram a se estender até junho, quando o grupo registrou novos domínios e expandiu sua infraestrutura.
A HP enfatizou que esses novos métodos destacam os recursos criativos e adaptáveis dos criminosos cibernéticos atuais, ocultando códigos em imagens, abusando de ferramentas de sistemas confiáveis e personalizando os ataques de acordo com a região.
"Os atacantes não estão reinventando a roda, mas estão refinando suas técnicas", refletiu o pesquisador sênior de ameaças do HP Security Lab, Alex Holland, detalhando que eles estão vendo cada vez mais ferramentas LOTL encadeadas e tipos de arquivos menos óbvios, como imagens, para evitar a detecção.
"Você não precisa de um Trojan completo quando um simples script pode obter o mesmo efeito. É simples, rápido e muitas vezes não é detectado devido ao seu baixo perfil", disse Holland.
PROTEÇÃO DE SEGURANÇA HP WOLF
A HP destacou a capacidade do sistema HP Wolf Security de isolar essas ameaças que fogem dos mecanismos de detecção convencionais no PCS e, em seguida, remover o malware em "contêineres seguros". De acordo com os dados compartilhados, até o momento, os clientes do HP Wolf Security clicaram em mais de 55 bilhões de anexos de e-mail, páginas da Web e downloads sem relatar violações de segurança.
Além disso, o relatório também reflete como os criminosos cibernéticos continuam a diversificar os métodos de ataque para evitar as ferramentas baseadas em detecção.
Por exemplo, 13% das ameaças de e-mail identificadas pelo HP Sure Click evitaram pelo menos um scanner de gateway. Da mesma forma, os arquivos compactados foram o tipo de entrega mais comum, com 40%, seguidos por executáveis e scripts (35%).
A HP também indicou que os arquivos '.rar' foram responsáveis por 26% dos ataques. Isso sugere que os invasores exploram a confiança em softwares como o WinRAR, disse a empresa.
No entanto, a HP enfatizou que está tentando garantir que os usuários estejam protegidos por seus sistemas de segurança e, ao mesmo tempo, tentando evitar a paralisação do trabalho do usuário. "É uma escolha difícil: restringir demais e atrapalhar o usuário ou deixar a porta aberta e correr o risco de um invasor se infiltrar", refletiu o chefe global de segurança de sistemas pessoais da HP, Ian Pratt.
"Mesmo os melhores sistemas de detecção às vezes falham, portanto, uma abordagem de defesa em profundidade com contenção e isolamento é essencial para capturar as ameaças antes que elas causem danos", disse ele.
Esta notícia foi traduzida por um tradutor automático