Os arquivos “.ZIP past” são pela Primeira vez os Ficheiros Maliciosos mais Comuns, de Acordo com o Report da HP
A HP publicou o seu terceiro relatório trimestral HP Wolf Security Threat Insights Report, concluindo que os formatos de arquivo - tais como ficheiros ZIP e RAR - são o tipo de ficheiro mais comum para a proliferação de malware, ultrapassando os ficheiros do Office pela primeira vez em três anos.
Este relatório fornece uma análise dos ciberataques do mundo real, ajudando as organizações a manterem-se a par das mais recentes técnicas que os cibercriminosos utilizam para escapar à deteção e violar os utilizadores no panorama do cibercrime em rápida mudança.
Com base em dados de milhões de endpoints que correm a solução HP Wolf Security, e estudo conclui que 44% do malware foi entregue dentro de ficheiros de arquivo - um aumento de 11% em relação ao trimestre anterior - em comparação com 32% entregue através de ficheiros Office como o Microsoft Word, Excel e PowerPoint.
O relatório identificou várias campanhas que estavam a combinar a utilização de ficheiros de arquivo com novas técnicas de contrabando de HTML - onde os criminosos informáticos incorporam ficheiros maliciosos em ficheiros HTML para contornar gateways de correio eletrónico - para depois lançar ataques.
Por exemplo, as recentes campanhas QakBot e IceID utilizaram ficheiros HTML para orientar os utilizadores para falsos visualizadores de documentos que se disfarçavam de aplicações Adobe. Os utilizadores eram então instruídos a abrir um ficheiro ZIP e a introduzir uma palavra-passe para descompactar os ficheiros, que depois instalaram malware nos seus PCs.
Como o malware dentro do ficheiro HTML original é codificado e encriptado, a deteção por gateway de correio eletrónico ou outras ferramentas de segurança é muito difícil. Em vez disso, o atacante confia na engenharia social, criando uma página web convincente e bem concebida para enganar as pessoas a iniciarem o ataque, abrindo o ficheiro ZIP malicioso. Em outubro, os mesmos atacantes utilizaram também falsas páginas Google Drive num esforço contínuo para enganar os utilizadores na abertura de ficheiros ZIP maliciosos.
"Os arquivos são fáceis de encriptar, ajudando os atores da ameaça a esconder malware e a escapar a proxies da web, sandbox, ou scanners de correio eletrónico. Os ataques são assim difíceis de detetar, especialmente quando combinados com técnicas de HTML. O que foi interessante com as campanhas QakBot e IceID foi o esforço colocado na criação das páginas falsas - estas campanhas foram mais convincentes do que o que vimos antes, tornando difícil para as pessoas saberem em que ficheiros podem ou não confiar", explica Alex Holland, Analista Malware Sénior, equipa de investigação de ameaças de segurança da HP Wolf, da HP.
A HP também identificou uma campanha complexa utilizando uma cadeia de infeção modular, que poderia potencialmente permitir aos atacantes alterar a forma como atuam - tais como spyware, ransomware, keylogger – a meio das campanhas, ou introduzir novas características, como a geo-espionagem. Isto poderia permitir a um atacante mudar de tática, dependendo do alvo que tenha violado. Ao não incluir malware diretamente no anexo enviado para o alvo, é também mais difícil para os gateways de correio eletrónico detetarem este tipo de ataque.
"Como foi demonstrado, os atacantes estão constantemente a mudar as técnicas, tornando muito difícil a deteção de ferramentas", comenta o Dr. Ian Pratt, Chefe Global de Segurança para Sistemas Pessoais, HP. "Seguindo o princípio de zero trust de isolamento, as organizações podem utilizar a micro-virtualização para garantir que tarefas potencialmente maliciosas - como clicar em links ou abrir anexos maliciosos - sejam executadas numa máquina virtual descartável separada dos sistemas subjacentes. Este processo é completamente invisível para o utilizador, e prende qualquer malware escondido no seu interior, assegurando que os atacantes não têm acesso a dados sensíveis e impedindo-os de obter acesso e mover-se lateralmente".
A solução HP Wolf Security executa tarefas arriscadas como abrir anexos de e-mail, descarregar ficheiros e clicar em ligações em máquinas isoladas e micro-virtuais (microVMs) para proteger os utilizadores, capturando vestígios detalhados de tentativas de infeção. A tecnologia de isolamento de aplicações da HP atenua as ameaças que podem passar por outras ferramentas de segurança e fornece conhecimentos únicos sobre novas técnicas de intrusão e comportamento de atores de ameaças. Ao isolar ameaças em PCs que tenham escapado às ferramentas de deteção, a HP Wolf Security tem conhecimentos específicos sobre as técnicas mais recentes que estão a ser utilizadas por cibercriminosos. Até à data, os clientes da HP clicaram em mais de 18 mil milhões de anexos de correio eletrónico, páginas da web, e descarregaram ficheiros sem qualquer violação comunicada.
Post A Comment:
0 comments: