Criminosos virtuais ficam mais criativos com ataques ao estilo 'blocos de montar'

A HP Inc. (NYSE: HPQ) publica seu relatório trimestral HP Wolf Security Threat Insights Report, que mostra como criminosos estão concatenando diferentes combinações de ataques como se fossem blocos de montar, a fim de escapar de ferramentas de detecção.

Ao isolar ameaças que fugiram de ferramentas de detecção em PCs, a HP Wolf Security obtém uma visão específica das mais recentes técnicas usadas por criminosos cibernéticos no dinâmico cenário do cibercrime. Até hoje, clientes da HP Wolf Security já clicaram em mais de 30 bilhões de anexos de e-mail, páginas na web e download de arquivos sem que houvesse registro de violações.

Com base em milhões de endpoints que rodam HP Wolf Security, os pesquisadores descobriram que:

Os cibercriminosos estão criando ataques como se fossem blocos de montar: as cadeias de ataque muitas vezes seguem fórmulas, usando caminhos já bastante percorridos para lançar seus códigos maliciosos. Contudo, campanhas criativas de QakBot conectaram diferentes blocos para criar cadeias de infecção inéditas. Ao misturar diferentes tipos de arquivos e técnicas, conseguiram driblar ferramentas de detecção e políticas de segurança. Trinta e dois por cento das cadeias de infecção por QakBot analisadas pela HP no segundo trimestre eram inéditas.

Confusão entre usuário de blog e keylogger: invasores por trás das recentes campanhas de Aggah colocaram códigos maliciosos dentro de uma popular plataforma de blogs, o Blogspot. Com o código escondido em uma fonte legítima, fica mais difícil para as defesas diferenciarem um usuário que está lendo um blog de um que está lançando um ataque. Os agentes de ameaças, então, usam seu conhecimento de sistemas do Windows para desabilitar algumas capacidades antivírus na máquina dos usuários, executar um XWorm ou o AgentTesla Remote Access Trojan (RAT) e roubar informações privilegiadas.

Quebrando o protocolo: a HP também identificou outros ataques de Aggah que usavam pedidos de recuperação de TXT do DNS – tipicamente usados para acessar informações simples sobre nomes de domínio – para entregar o AgentTesla RAT. Os agentes das ameaças sabem que o protocolo de DNS muitas vezes não é monitorado ou protegido pelas equipes de segurança, fazendo com que esse tipo de ataque seja extremamente difícil de detectar.

Malware multilíngue: uma campanha recente usa várias linguagens de programação para evitar a detecção. Primeiro, ela criptografa sua carga de códigos usando um criptografador escrito em Go, desabilitando os recursos de escaneamento anti-malware que normalmente detectariam a ameaça. Depois disso, o ataque altera a linguagem para C++, a fim de interagir com o sistema operacional da vítima e rodar o malware .NET na memória – deixando o mínimo de vestígios no PC.

“Os invasores atuais estão ficando mais bem-organizados e ganhando conhecimento. Eles pesquisam e analisam questões internas dos sistemas operacionais, o que facilita muito para que explorem as falhas. Sabendo quais portas empurrar, conseguem navegar pelos sistemas internos com facilidade, usando técnicas relativamente simples de formas muito efetivas – sem dispararem o alarme”, afirma Patrick Schläpfer, analista sênior de malware da equipe de pesquisa de ameaças da HP Wolf Security.

O relatório detalha como grupos cibercriminosos estão diversificando os métodos de ataque para escapar das políticas de segurança e das ferramentas de detecção. Os principais achados incluem:

Arquivos foram o meio mais popular para entrega de malware pelo quinto trimestre consecutivo, usados em 44% dos casos analisados pela HP.
Houve um aumento de 23% nas ameaças de HTML interrompidas pela HP Wolf Security no segundo trimestre em comparação com o anterior.
Houve um aumento de quatro pontos percentuais nos executáveis, de 14% para 18% entre o primeiro e o segundo trimestre, principalmente causado pelo uso do arquivo PDFpower.exe, que uniu software e malware de sequestro de navegador.
A HP percebeu uma queda de seis pontos percentuais em malware em planilhas (de 19% para 13%) no primeiro trimestre, em comparação com o quarto trimestre do ano passado, conforme os invasores vão deixando de lado os formatos do Office por ser mais difícil de rodar macros neles.
Pelo menos 12% das ameaças identificadas pelo HP Sure Click em e-mails escaparam de um ou mais escaneamentos de gateway no segundo trimestre.
Os principais vetores de ameaças no segundo trimestre foram e-mails (79%) e downloads em navegadores (12%).

“Embora as cadeias de infecção possam variar, os métodos de inicialização continuam os mesmos – inevitavelmente acaba acontecendo com o usuário clicando em alguma coisa. Ao invés de tentar prever a cadeia de infecção, as organizações devem isolar e conter atividades arriscadas, tais como abrir anexos de e-mail, clicar em links e baixar arquivos no navegador”, recomenda o dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc.

O HP Wolf Security roda tarefas de risco em máquinas virtuais isoladas reforçadas por hardware no próprio endpoint, a fim de proteger os usuários sem impactar sua produtividade. Também capta vestígios detalhados de tentativas de infecção. A tecnologia de isolamento de aplicativos da HP mitiga ameaças que escapam de outras ferramentas de segurança e fornece dados exclusivos sobre novas técnicas de intrusão e sobre o comportamento de agentes de ameaças.