0
0
Os agentes de ameaças reduziram drasticamente o uso de uma de suas táticas favoritas de distribuição de malware após a decisão da Microsoft no início deste ano de desabilitar as macros do Office em documentos baixados da Internet. No entanto, os arquivos de contêiner aumentaram para ajudar os ciberataques a contornar o problema.
Esse pivô é claro: nos meses desde o anúncio da Microsoft em 21 de outubro de que desabilitaria macros por padrão, houve um declínio de 66% no uso de macros VBA e XL4 por agentes de ameaças, de acordo com a Proofpoint.
Outros fornecedores de segurança, como a Netskope, também observaram uma queda substancial nos ataques baseados no Office após a ação da Microsoft. Em julho de 2022, a porcentagem de malware do Office que a plataforma de segurança em nuvem do fornecedor de segurança detectou era inferior a 10% de todas as atividades de malware, em comparação com 35% há um ano.
Pesquisadores da Proofpoint que estão rastreando o pivô para arquivos de contêiner disseram nesta semana que os invasores começaram a usar uma variedade de novos tipos de arquivos como alternativas para ocultar malware em documentos habilitados para macro anexados a mensagens de e-mail. Isso inclui principalmente a mudança para o uso de arquivos como arquivos LNK, RAR, IMG e ISO em suas campanhas recentes, de acordo com o fornecedor de segurança.
Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security, diz que pesquisadores de sua empresa notaram, por exemplo, um aumento nos ataques usando arquivos ISO. Muitas vezes, esses ataques têm como alvo pessoal não técnico, como representantes de vendas ou de atendimento ao cliente, diz ele. Normalmente, os invasores tentam convencer a vítima a baixar e abrir o arquivo ISO sob o pretexto de agendar uma reunião
Mesmas táticas, mecanismos de entrega em evolução
“De um modo geral, esses outros tipos de arquivo são anexados diretamente a um e-mail da mesma forma que observamos anteriormente um documento carregado de macros”, diz Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint.
No entanto, também há casos em que as cadeias de ataque são mais complicadas, diz ela. Por exemplo, com algumas campanhas recentes de Trojans bancários QakBot (também conhecido como Qbot) , os agentes de ameaças incorporaram um arquivo zip contendo um ISO em um arquivo HTML que foi anexado diretamente a uma mensagem.
Mas, “quanto a fazer com que as vítimas pretendidas abram e cliquem, os métodos são os mesmos: uma ampla gama de táticas de engenharia social”, diz DeGrippo.
Além disso, ela observa que antes do anúncio de macros da Microsoft, uma variedade de atores já estava usando arquivos e arquivos de imagem para distribuir malware, então essa não é uma técnica nova de forma alguma. “[O aumento do uso de arquivos de contêiner deve ser visto como] mais um realinhamento ou pivô para as técnicas existentes que já devem ser consideradas em uma postura defensiva”, diz ela.
Ultrapassando a Marca das Proteções da Web
Os invasores fizeram a troca porque os arquivos de contêiner lhes dão uma maneira de infiltrar malware através do chamado atributo Mark of the Web (MOTW) que o Windows usa para marcar arquivos baixados da Internet, diz DeGrippo.
Esses arquivos são restritos no que podem fazer e – começando com o Microsoft Office 10 – são abertos no Modo de Exibição Protegido por padrão.
Executáveis que foram marcados com o atributo são verificados em uma lista de arquivos confiáveis conhecidos e impedidos de serem executados automaticamente se a verificação mostrar que o arquivo é desconhecido ou não confiável. Em vez disso, os usuários recebem um aviso sobre o arquivo ser potencialmente perigoso.
“MOTW são metadados armazenados em um fluxo de dados alternativo e, de um modo geral, esses dados existem apenas para o contêiner mais externo: o arquivo baixado diretamente”, disse DeGrippo ao Dark Reading.
A chave é que o documento dentro de um arquivo contêiner – uma planilha habilitada para macro, por exemplo – não será marcado da mesma maneira.
“Os arquivos internos ou arquivados não foram baixados e, em muitos casos, não terão metadados MOTW associados a eles”, diz ela. Nesses casos, um usuário ainda precisaria habilitar macros para que o código malicioso fosse executado, mas o arquivo não seria identificado como vindo da Web e, portanto, não seria considerado não confiável.
O banco de dados ATT$CK do MITRE também identifica arquivos de contêiner como uma forma de os agentes de ameaças contornarem o MOTW para entregar cargas maliciosas nos sistemas de destino.
“MOTW é um recurso do New Technology File System (NTFS) e muitos arquivos de contêiner não suportam fluxos de dados alternativos ao NTFS “, observou o MITRE. “Depois que um arquivo container é extraído e/ou montado, os arquivos contidos nele podem ser tratados como arquivos locais no disco e executados sem proteções.”
A gangue APT29 da Rússia (também conhecida como Cozy Bear) e o grupo TA505 (o agente da ameaça por trás da variante do ransomware Locky e do Trojan bancário Dridex), são exemplos de ciberataques que usaram arquivos de contêiner para subverter as proteções MOTW e implantar cargas maliciosas, de acordo com MITRE .
Mais fácil de bloquear
Pesquisadores de segurança saudaram amplamente a decisão da Microsoft de desabilitar macros em arquivos da Internet. Os invasores usam macros há muito tempo para distribuir malware, contando com o fato de que os usuários geralmente deixam as macros ativadas por padrão, proporcionando a eles uma execução relativamente simples de cargas maliciosas nos sistemas das vítimas. A própria Microsoft pediu aos usuários que desativem as macros do Office quando não forem necessárias, citando preocupações de segurança. Mas a empresa não a tornou uma configuração padrão até o início deste ano.
DeGrippo diz que a decisão da Microsoft de desabilitar macros como comportamento padrão afeta os defensores de maneira positiva, mesmo que os agentes de ameaças estejam procurando outras maneiras de distribuir malware.
“As organizações geralmente têm dificuldade em colocar na lista negra tipos de arquivos como documentos do Word e Excel”, diz ela. “Mas algo como ISOs geralmente é menos essencial para as operações diárias de uma empresa” e, portanto, pode ser mais facilmente colocado em uma lista de bloqueio.
Tiquet da Keeper Security concorda. Os atuais sistemas de segurança de endpoint podem bloquear a maioria desses ataques, mas “os usuários devem estar cientes e treinados sobre esse tipo de ataque”, diz ele.
FONTE: DARK READING