Arquivos compactados superam o Office na distribuição de malware

Formatos como o ZIP e RAR responderam por 44% do envio embarcado de sistemas maliciosos
Crédito: Freepik

A distribuição do vírus malware se concentra, pela primeira vez, em documentos compactados. Relatório HP Wolf Security Threat Insights Report revelou que no terceiro trimestre formatos compactados – como ZIP e RAR – foram os mais utilizados para a distribuição de malware, superando documentos do Office pela primeira vez em três anos.

Baseada em dados de milhões de endpoints em funcionamento, a pesquisa descobriu que 44% dos malwares foram entregues dessa forma, 11% a mais do que no trimestre anterior. Ataques envolvendo arquivos como Microsoft Word, Excel e PowerPoint chegaram a 32%.

O relatório identificou diversas campanhas combinando o uso de arquivos com novas técnicas de “contrabando de HTML” – em que os cibercriminosos inserem malwares em arquivos HTML para driblar gateways de serviços de e-mail – para, em seguida, lançar ataques.

Por exemplo, as campanhas QakBot e IceID usaram recentemente arquivos HTML para direcionar os usuários a falsos visualizadores de documentos on-line que se passavam por aplicativos da Adobe.

Os usuários foram instruídos a abrir um arquivo ZIP e inserir uma senha para descompactar os arquivos e assim implantavam o malware nos PCs.

Como o malware dentro do arquivo HTML é codificado e criptografado a detecção pelo gateway do e-mail ou por outras ferramentas de segurança é difícil. O invasor cria uma página de internet convincente e bem desenhada para enganar as pessoas e fazê-las iniciar o ataque ao abrir o arquivo ZIP.

Em outubro, os mesmos invasores foram flagrados usando páginas falsas do Google Drive.

Geofancing

“O interessante nas campanhas QakBot e IceID foi justamente o esforço empenhado para criar páginas falsas – essas campanhas foram mais convincentes do que as que já tínhamos visto antes”, explicou Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP.

A HP também identificou uma campanha complexa que usava uma cadeia modular de infecção com o potencial de permitir que os invasores mudassem a carga útil (payload) – com ações como spyware, ransomware e registro de teclas –  ou introduzissem novos recursos, como geofencing.

Isso podia habilitar o invasor a alterar suas táticas de acordo com o alvo violado. Por não incluir o malware diretamente no anexo enviado ao alvo, torna-se mais difícil, também, para que os gateways de e-mail detectassem o ataque.

Avatar photo

Da Redação

A Momento Editorial nasceu em 2005. É fruto de mais de 20 anos de experiência jornalística nas áreas de Tecnologia da Informação e Comunicação (TIC) e telecomunicações. Foi criada com a missão de produzir e disseminar informação sobre o papel das TICs na sociedade.

Artigos: 10693