MADRID 12 jun. (Portaltic/EP) -
Pesquisadores da HP identificaram novas campanhas maliciosas nas quais cibercriminosos conseguem transformar ferramentas legítimas de acesso remoto, como LogMeIn ou ScreenConnect, em backdoors para controlar dispositivos de forma silenciosa, entre outros métodos de “malware” camuflado e iscas convincentes.
A empresa divulgou seu último relatório Threat Insights, que destaca como os desafios continuam a crescer tanto para os usuários quanto para as equipes de segurança das empresas em matéria de cibersegurança, principalmente porque as atividades maliciosas estão “cada vez mais difíceis de distinguir do comportamento legítimo”.
Especificamente, o relatório da empresa de tecnologia reúne algumas das técnicas mais recentes utilizadas por cibercriminosos para escapar da detecção e comprometer os equipamentos, com base em dados de milhões de dispositivos protegidos por sua solução HP Wolf Security.
Entre as técnicas identificadas, a HP detectou campanhas que se baseiam na conversão de ferramentas legítimas de acesso remoto em backdoors. É o caso de aplicativos como LogMeIn e ScreenConnect, com os quais os agentes maliciosos conseguem controlar totalmente os dispositivos das vítimas “sem levantar suspeitas”.
Conforme explicou a HP em um comunicado, essas campanhas eram iniciadas por meio de “phishing” via e-mail, utilizando como isca temas relacionados ao fechamento do exercício fiscal e incluindo downloads falsos de aplicativos de desktop. Entre esses downloads, apareciam páginas fraudulentas que persuadiam os usuários a instalar ferramentas legítimas de acesso remoto, como as mencionadas.
No entanto, uma vez instaladas essas ferramentas, os invasores já tinham o controle do dispositivo, podendo se integrar às atividades habituais de TI e ao sistema.
GOLPES PARA RECUPERAR CARTEIRAS DE CRIPTOMOEDAS
Outro método de ataque malicioso compartilhado pela HP é a distribuição de ferramentas falsas de recuperação de carteiras de criptomoedas, que afirmam ajudar a localizar fundos perdidos, mas que, na verdade, servem para roubá-los.
Os pesquisadores esclareceram que esses programas maliciosos são normalmente compartilhados por meio de plataformas de troca de código e sites de download de conteúdo. Além disso, eles contêm “scripts” de roubo de informações “repletos de emojis” que podem ter sido desenvolvidos por meio de técnicas de “vive coding”.
Como resultado, os cibercriminosos são capazes de coletar credenciais, dados de carteiras e informações do sistema “antes de empacotá-los em arquivos compactados para sua exfiltração”, como observou a HP.
CAMPANHAS DE CLICKFIX QUE OCULTAM 'MALWARE' EM ÁUDIO
Por fim, o relatório também faz referência a outras campanhas nas quais os agentes maliciosos empregam técnicas de engenharia social do tipo ClickFix para fazer com que as vítimas instalem 'malware' em seus computadores sem perceber.
Nesse caso, os cibercriminosos disfarçavam o 'malware' como arquivos de áudio para evitar sua detecção. Assim, as vítimas que tentam baixar esses arquivos são redirecionadas para sites falsos "cuidadosamente" projetados que exibem mensagens CAPTCHA "aparentemente legítimas".
No entanto, ao interagir com o CAPTCHA, os usuários desbloqueavam a execução de comandos maliciosos que ativavam silenciosamente cargas maliciosas “ocultas em segundo plano”.
Conforme avaliou o pesquisador-chefe de ameaças do HP Security Lab, Patrick Schläpfer, o que mais chama a atenção nessas campanhas é “a facilidade com que ferramentas legítimas podem se tornar pontos de entrada para os invasores”.
“Ao combinar software confiável com técnicas de engenharia social cuidadosamente projetadas, fica cada vez mais difícil distinguir o que é confiável e o que não é”, acrescentou.
OS CIBERCRIMINOSOS CONTINUAM DIVERSIFICANDO SEUS MÉTODOS
Para avaliar essas campanhas, a equipe da HP Wolf Security isolou as ameaças que escaparam às ferramentas de detecção nos computadores pessoais, permitindo que o 'malware' fosse ativado com segurança dentro de contêineres protegidos.
Assim, até o momento, eles constataram que os clientes desse serviço da HP clicaram em mais de 60 bilhões de anexos de e-mail, páginas da web e arquivos baixados “sem que tenham sido notificadas brechas de segurança”.
Com esses dados, coletados entre janeiro e março deste ano, o relatório mostra como os cibercriminosos continuam diversificando seus métodos de ataque para contornar as ferramentas de segurança. Tanto é assim que, pelo menos 11% das ameaças de e-mail identificadas pelo HP Sure Click conseguiram escapar de um ou mais scanners de gateway de e-mail.
Da mesma forma, a empresa também detalhou que os arquivos executáveis foram o método de distribuição de malware mais popular (39%), seguidos por arquivos compactados e documentos PDF (38% e 10%, respectivamente).
Especificamente, o 'malware' distribuído por meio de PDFs aumentou 2% graças ao uso de iscas diversas, sejam documentos judiciais ou notificações de pagamento de bônus.
"Para proteger o futuro do trabalho e reduzir o risco, as organizações devem limitar privilégios desnecessários, controlar a instalação de software e isolar atividades de risco, como downloads e links desconhecidos. A detecção por si só já não é suficiente quando ferramentas legítimas podem se tornar backdoors”, afirmou o pesquisador-chefe de ameaças do HP Security Lab, Alex Holland.
Esta notícia foi traduzida por um tradutor automático