Arquivos ZIP são mais comuns para a distribuição de malware e superam documentos do Office

Relatório da HP Wolf Security revela o como a combinação de arquivos compactados com contrabando de HTML está ajudando criminosos a driblar ferramentas de detecção

Salvador, 05/12/2022 – A HP publica hoje seu relatório HP Wolf Security Threat Insights Report referente ao terceiro trimestre de 2022, que revela que formatos compactados – como ZIP e RAR – foram os tipos de arquivos mais utilizados para a distribuição de malware, superando documentos do Office pela primeira vez em três anos. O relatório apresenta uma análise de ataques cibernéticos do mundo real, ajudando as organizações a acompanhar as mais recentes técnicas que os cibercriminosos utilizam para escapar da detecção e violar usuários no ambiente de crimes cibernéticos.

Baseada em dados de milhões de endpoints em funcionamento com o HP Wolf Security, a pesquisa descobriu que 44% dos malwares foram entregues dentro de arquivos compactados – 11% a mais do que no trimestre anterior –, contra 32% que foram entregues via documentos do Office, como os de Microsoft Word, Excel e PowerPoint.

O relatório identificou diversas campanhas combinando o uso de arquivos com novas técnicas de “contrabando de HTML” – em que os cibercriminosos inserem malwares em arquivos HTML para driblar gateways de serviços de e-mail – para, em seguida, lançar ataques.

Por exemplo, as campanhas QakBot e IceID usaram recentemente arquivos HMTL para direcionar os usuários a falsos visualizadores de documentos on-line que se passavam por aplicativos da Adobe. Então, os usuários eram instruídos a abrir um arquivo ZIP e inserir uma senha para descompactar os arquivos, que, então, implantavam o malware nos PCs.

Como o malware dentro do arquivo HTML é codificado e criptografado, a detecção pelo gateway do e-mail ou por outras ferramentas de segurança torna-se muito difícil. Assim, o invasor lança mão da engenharia social, criando uma página de internet convincente e bem desenhada para enganar as pessoas e fazê-las iniciar o ataque ao abrir o arquivo ZIP contendo malware. Em outubro, os mesmos invasores também foram flagrados usando páginas falsas do Google Drive, em um esforço contínuo para fazer os usuários abrirem os arquivos maliciosos.

“Esse tipo de arquivo é fácil de criptografar, o que ajuda os criminosos a esconder o malware e escapar de proxies, sandboxes ou antivírus de e-mails. Isso dificulta a detecção de ataques, especialmente quando combinado com técnicas de contrabando de HTML. O interessante nas campanhas QakBot e IceID foi justamente o esforço empenhado para criar páginas falsas – essas campanhas foram mais convincentes do que as que já tínhamos visto antes, tornando difícil para as pessoas saberem em quais arquivos poderiam, ou não, confiar”, explica Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP Inc.

A HP também identificou uma campanha complexa que usava uma cadeia modular de infecção com o potencial de permitir que os invasores mudassem a carga útil (payload) – com ações como spyware, ransomware e registro de teclas – durante a campanha ou introduzissem novos recursos, como geofencing. Isso podia habilitar o invasor a alterar suas táticas de acordo com o alvo violado. Por não incluir o malware diretamente no anexo enviado ao alvo, tornava-se mais difícil, também, para que os gateways de e-mail detectassem esse tipo de ataque.

“Conforme demonstrado, os criminosos estão constantemente mudando suas técnicas, dificultando a identificação pelas ferramentas de detecção”, comenta o dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “Seguindo o princípio de Confiança Zero no isolamento detalhado, as organizações podem usar a microvirtualização para se certificarem de que tarefas potencialmente maliciosas – como clicar em links ou abrir anexos maliciosos – sejam executadas em uma máquina virtual descartável, separada dos sistemas essenciais. Esse processo é completamente invisível para o usuário e retém qualquer malware, garantindo que os invasores não tenham acesso a dados sensíveis e evitando que ganhem acesso e se movimentem de outras formas.”

O HP Wolf Security realiza tarefas arriscadas, como a abertura de anexos em e-mail, download de arquivos e abertura de links em micromáquinas virtuais (micro-VMs, na sigla em inglês), para proteger os usuários, captando rastros detalhados de tentativas de infecção. A tecnologia de isolamento de aplicações da HP mitiga ameaças que podem passar despercebidas por outras ferramentas e fornece insights exclusivos sobre novas técnicas de intrusão e novos comportamentos de agentes de ameaças. Ao isolar, nos PCs, ameaças que escaparam de ferramentas de detecção, a HP Wolf Security tem uma visão específica sobre as mais recentes técnicas usadas por cibercriminosos. Até hoje, clientes HP já clicaram em mais de 18 bilhões de anexos de e-mail, páginas na internet e download de arquivos, sem violações registradas.

Sobre os dados

Os dados foram coletados anonimamente junto a máquinas virtuais de clientes da HP Wolf Security entre julho e setembro de 2022.

Últimas notícias

Segurança
SonicWall inaugura EBC dentro de seu distribuidor Esy

Salvador, 24/04/2024 – A SonicWall, provedora de proteção de cibersegurança para forças de trabalho remotas, móveis e habilitadas na nuvem, anuncia sua parceria com a Esy – distribuidora especializada em soluções de segurança – no suporte a parceiros que buscam se transformar em MSSPs (Provedores de Serviços Gerenciados de Segurança). “Sabemos que a jornada de […]
Vagas de TI
Vivo abre 500 vagas para programa de estágio

Processo seletivo será online e as oportunidades são para 15 cidades do país Salvador, 24/04/2024 – O Programa de Estágio da Vivo está com cerca de 500 vagas abertas para 15 cidades do país: São Paulo (SP), Brasília (DF), Belo Horizonte (BH), Curitiba (PR), Fortaleza (CE), Porto Alegre (RS), Recife (PE), Rio de Janeiro (RJ), […]
Serviços
SoftwareOne alcança competência em serviços SaaS AWS

Salvador, 23/04/2024 – A SoftwareOne, líder global de software e soluções em nuvem, anuncia sua recente conquista de competência de serviços SaaS da Amazon Web Services (AWS). A novidade reafirma a sua experiência e compromisso em ajudar Fornecedores Independentes de Software (ISVs) a desbloquearem sua capacidade de migrar e modernizar seus aplicativos legados para se […]
Tecnologia
Inteligência artificial irá revolucionar diagnóstico de doenças, afirma especialista do IEEE

Salvador, 23/04/2024 – Com diagnósticos precoces, medicina personalizada e maior organização logística, a IA irá revolucionar a forma como os médicos diagnosticam doenças e tratam pacientes. É o que afirma a especialista Cristiane Pimentel, membro sênior do Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) – maior organização profissional técnica do mundo dedicada ao avanço da […]
Serviços
Atos diversifica as atividades do Instituto Pasteur em Dakar com sistema de TI integrado

Salvador, 23/04/2024 – A Atos foi selecionada pelo Instituto Pasteur em Dakar, no Senegal, como parte de um grande projeto para incentivar a diversificação das atividades industriais do instituto. A parceria consiste na implementação de um sistema integrado de gestão de processos e gerenciamento de manutenção informatizado. Este contrato faz parte da estratégia de desenvolvimento […]

Menu