0
0
O que começou como malware utilizando aplicativos e processos nativos para ocultar atividades maliciosas, os ataques Living-off-the-land (LotL) evoluíram ao longo dos anos. O phishing LotL tornou-se um método cada vez mais popular para os invasores se infiltrarem em serviços legítimos de terceiros (para explorar a confiança) e usarem suas ferramentas para mascarar e conduzir atividades maliciosas. Uma vez que os serviços visados são frequentemente utilizados para fins legítimos, na maioria dos casos, não podem ser totalmente bloqueados e são difíceis de detetar pelos utilizadores finais.
Somente neste ano, marcas onipresentes, incluindo QuickBooks e Adobe, foram aproveitadas mais uma vez em ataques inteligentes de phishing LotL. Os distribuidores Qakbot estavam no ataque com novas campanhas aproveitando ataques de sequestro de conversas (CHAs) e a confiança implícita de tópicos de e-mail anteriores. Uma variante alternativa do GuLoader , um downloader de malware usado principalmente para distribuir shellcode e malware (por exemplo, ransomware e cavalos de Tróia), também foi observada em uso selvagem.
Como funcionam os ataques de phishing LotL
O objetivo inicial de um ataque de phishing LotL é uma página de coleta de credenciais onde os agentes da ameaça roubarão o endereço de e-mail e a senha de um usuário. Uma vez logados, eles fazem reconhecimento dentro da organização (incluindo procurar na caixa de entrada dessa pessoa oportunidades de cometer um ataque de comprometimento de e-mail comercial). Por exemplo, se o alvo for do setor financeiro, o ator da ameaça poderá iniciar uma transferência eletrônica ou redirecionar o tráfego de faturamento. Se o alvo não for de alto valor, os agentes da ameaça irão dinamizar e atacar os contatos desse usuário para conduzir um CHA ou distribuir malware respondendo a conversas legítimas na caixa de entrada.
Os ataques de phishing LotL tornaram-se cada vez mais sofisticados. Um exemplo originou-se de uma conta comprometida do nhs[.]net Microsoft, o sistema de e-mail para funcionários do Serviço Nacional de Saúde (NHS) na Inglaterra e na Escócia. O tema era um “pdf de fax seguro” da Microsoft originado do “ShareFile Team 2023”. Como foi enviado de uma conta da Microsoft hackeada (ou comprometida), tinha um tema autenticamente da Microsoft (incluía o logotipo e o URL da Microsoft no e-mail e vinha de um domínio da Microsoft). Este é um ótimo exemplo de como manter tudo coeso, algo que está se tornando mais comum em ataques de phishing LotL.
Melhorando o jogo
Os ataques típicos de phishing LotL podem ter o logotipo ou nome de uma empresa no corpo do e-mail, mas não têm um tema autêntico, como no caso da “Microsoft” do NHS. Com essa personificação completa da marca, os agentes de ameaças melhoraram seu jogo. Eles estão aproveitando a reputação de um serviço comercial legítimo e a confiança das pessoas em seu domínio para torná-lo extremamente difícil de identificar e ainda mais difícil de bloquear.
Do ponto de vista do usuário final, é fácil ser enganado por um gráfico e link legítimo da Microsoft. Sem mencionar que os funcionários têm alguma confiança inerente de que existem sistemas e processos para filtrar URLs ruins. No entanto, em casos como o ataque com tema da Microsoft, em que uma enorme quantidade de tráfego utiliza este domínio legítimo para uso válido, as equipes de segurança e ameaças enfrentam um desafio difícil, já que o site legítimo normalmente não representa uma ameaça.
Embora o bloqueio de domínios legítimos de alto uso não seja lógico, limitar o acesso a informações confidenciais apenas àqueles que precisam delas minimiza a superfície de ataque se um ator de ameaça obtiver acesso com sucesso. Essa ação, no entanto, não impede que os agentes de ameaças coloquem malware em um sistema ou obtenham acesso à rede. O treinamento do usuário final pode ajudar até certo ponto, mas com um ataque coeso como esse, simplesmente olhar um e-mail e ver se uma URL vai para um serviço legítimo não é suficiente.
Uma defesa em camadas
Como os usuários nem sempre podem confiar no que veem, eles devem ser ensinados a também observar o contexto de um e-mail. Isso significa pensar sobre o motivo e se há um motivo legítimo para o recebimento de um e-mail. Se houver alguma hesitação ou dúvida, incentive-os a entrar em contato com o remetente por telefone. Também deve haver consciência entre as equipes de segurança de que não é realista esperar que todos reservem um tempo para analisar cada email recebido. Adicionar camadas de segurança adicionais é fundamental para alcançar a resiliência cibernética. Isso inclui complementar a educação dos funcionários com soluções de segurança que são continuamente atualizadas com inteligência sobre ameaças.
Uma abordagem de segurança em camadas deve incluir detecção, bloqueio e filtragem de e-mails e anexos maliciosos. Os filtros de e-mail podem reconhecer e colocar em quarentena mensagens suspeitas. Soluções de segurança continuamente atualizadas com inteligência artificial e aprendizado de máquina permitem distinguir phishing de e-mails genuínos e evitar que qualquer conteúdo malicioso chegue à caixa de entrada de um funcionário.
Uma abordagem de proteção multicamadas que inclua inteligência contra ameaças em tempo real fortalece a postura de segurança de uma organização. Para uma proteção ainda maior, adicione proteção de endpoint e proteção de DNS. Quanto mais camadas, menor a probabilidade de um ator de ameaça ter sucesso. E se tudo mais falhar, as soluções de backup e recuperação serão essenciais para colocar as empresas em funcionamento rapidamente, com o mínimo de interrupção.
FONTE: DARKREADING