0
0
Uma nova análise da atividade de malware durante o segundo trimestre deste ano descobriu algumas notícias mistas para organizações corporativas.
Embora as detecções de malware no 2º trimestre tenham diminuído 8% em relação ao trimestre anterior, os ataques envolvendo malware que não eram detectáveis por sistemas antivírus baseados em assinatura saltaram 12% durante o mesmo trimestre. Cerca de sete em cada 10 ataques que as organizações encontraram no 2º trimestre, na verdade, envolveram malware projetado para contornar assinaturas de antivírus.
O fornecedor de segurança WatchGuard analisou recentemente dados de ataque de malware coletados de quase 42.000 de seus aparelhos Firebox em locais de clientes em todo o mundo. Juntos, os dispositivos bloquearam mais de 28,5 milhões de amostras de malware, representando cerca de 410 assinaturas de ataque únicas — um aumento de 15% em relação ao 1º trimestre.
Corey Nachreiner, CTO da WatchGuard e coautor do relatório, diz que a maior vantagem da análise foi o aumento de ataques envolvendo variantes de malware que usaram os chamados “empacotadores” ou “criptografadores” para escapar dos mecanismos de detecção.
Tais ferramentas permitem que os atacantes reembalem ou ofusquem essencialmente o mesmo executável de maneiras ligeiramente diferentes cada vez para que possam ser usados repetidamente contra defesas baseadas em assinaturas.
“Reembalagem executáveis costumavam ter alguma habilidade”, diz Nachreiner. “No entanto, o bar foi rebaixado” para cibercriminosos, diz ele.
Inúmeras ferramentas e serviços estão disponíveis em mercados subterrâneos hoje em dia que permitem que até mesmo atacantes de baixa qualificação adquiram variantes sutilmente modificadas de malwares anteriormente conhecidos – muitas vezes por apenas US $ 50 a US $ 200 – e usá-los em novos ataques. Qbot, uma ameaça que existe desde pelo menos 2008, é um dos exemplos mais conhecidos de como os atacantes continuam reutilizando o mesmo malware, ajustando-o constantemente para escapar de ferramentas baseadas em assinaturas.
Enquanto isso, o declínio de 8% nas detecções globais de malware no perímetro corporativo que o WatchGuard observou no último trimestre não foi totalmente inesperado, diz Nachreiner. Com a maioria das organizações mudando para uma força de trabalho amplamente remota nos últimos meses por causa da pandemia COVID-19, os ataques aos pontos finais das empresas também diminuíram, observou ele.
A análise do WatchGuard também revelou um aumento nos ataques baseados em JavaScript no último trimestre, em comparação com o 1º trimestre. Quase uma em cada cinco amostras de malware que o WatchGuard detectou e bloqueou no Q2 envolveu um script de golpe chamado Trojan.Gnaeus. De acordo com o WatchGuard, o malware foi projetado para permitir que os invasores sequestram o navegador da vítima e o redirecionem com força do destino pretendido para um domínio sob controle do invasor. Outro malware JavaScript que fez a lista dos 10 melhores do WatchGuard no último trimestre foi o J.S.PopUnder, uma ferramenta de serviço de anúncios maliciosa.
Como tem sido o caso há algum tempo, os atacantes continuaram a usar fortemente documentos e arquivos do Microsoft Office para ocultar e distribuir malware. Um dos exemplos mais prolíficos do último trimestre foi um Trojan XML chamado Abracadabra, que foi entregue como um arquivo Excel criptografado com a senha padrão para documentos do Excel, “VelvetSweatshop”. A criptografia permitiu que o malware escapasse da maioria das ferramentas de detecção, enquanto a senha padrão permitia que o arquivo seja automaticamente descriptografado quando aberto e para baixar e executar um executável.
“O malware usou uma técnica interessante para escapar de blocos” e foi outro lembrete de que a detecção tradicional baseada em assinaturas não é mais suficiente, diz Nachreiner.
O malware ainda continua sendo uma das principais causas de violações de dados. Mas o número de violações resultantes de infecções por malware vem diminuindo gradualmente nos últimos anos. De acordo com o Relatório de Investigações de Violação de Dados (DBIR) da Verizon para 2020, apenas 17% das violações investigadas no ano passado foram relacionadas a malware, em comparação com 45% que foram desencadeadas por hackers externos e 22% via engenharia social.
Em comparação com 2016, quando o malware do tipo Trojan foi responsável por quase 50% das violações que a Verizon investigou, no ano passado o número foi de cerca de 6,5%. Grande parte do declínio tem a ver com a melhoria das defesas empresariais, o que, por sua vez, levou a um aumento no uso de ferramentas de administração legítimas e de uso duplo e técnicas de vida fora da terra em ataques.
FONTE: DARK READING