Arquivos compactados superam o Office na distribuição de malware
A distribuição do vírus malware se concentra, pela primeira vez, em documentos compactados. Relatório HP Wolf Security Threat Insights Report revelou que no terceiro trimestre formatos compactados – como ZIP e RAR – foram os mais utilizados para a distribuição de malware, superando documentos do Office pela primeira vez em três anos.
Baseada em dados de milhões de endpoints em funcionamento, a pesquisa descobriu que 44% dos malwares foram entregues dessa forma, 11% a mais do que no trimestre anterior. Ataques envolvendo arquivos como Microsoft Word, Excel e PowerPoint chegaram a 32%.
O relatório identificou diversas campanhas combinando o uso de arquivos com novas técnicas de “contrabando de HTML” – em que os cibercriminosos inserem malwares em arquivos HTML para driblar gateways de serviços de e-mail – para, em seguida, lançar ataques.
Por exemplo, as campanhas QakBot e IceID usaram recentemente arquivos HTML para direcionar os usuários a falsos visualizadores de documentos on-line que se passavam por aplicativos da Adobe.
Os usuários foram instruídos a abrir um arquivo ZIP e inserir uma senha para descompactar os arquivos e assim implantavam o malware nos PCs.
Como o malware dentro do arquivo HTML é codificado e criptografado a detecção pelo gateway do e-mail ou por outras ferramentas de segurança é difícil. O invasor cria uma página de internet convincente e bem desenhada para enganar as pessoas e fazê-las iniciar o ataque ao abrir o arquivo ZIP.
Em outubro, os mesmos invasores foram flagrados usando páginas falsas do Google Drive.
Geofancing
“O interessante nas campanhas QakBot e IceID foi justamente o esforço empenhado para criar páginas falsas – essas campanhas foram mais convincentes do que as que já tínhamos visto antes”, explicou Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP.
A HP também identificou uma campanha complexa que usava uma cadeia modular de infecção com o potencial de permitir que os invasores mudassem a carga útil (payload) – com ações como spyware, ransomware e registro de teclas – ou introduzissem novos recursos, como geofencing.
Isso podia habilitar o invasor a alterar suas táticas de acordo com o alvo violado. Por não incluir o malware diretamente no anexo enviado ao alvo, torna-se mais difícil, também, para que os gateways de e-mail detectassem o ataque.
