0
0
A equipe de pesquisa de ameaças da HP Wolf Security identificou uma onda de ataques utilizando arquivos adicionais do Excel para espalhar malware,ajudando os atacantes a obter acesso a alvos e expondo empresas e indivíduos a roubo de dados e ataques destrutivos de ransomware.
Houve um enorme aumento de seis vezes (+588%) em invasores usando arquivos adicionais (.xll) maliciosos do Microsoft Excel para infectar sistemas em comparação com o último trimestre – uma técnica considerada particularmente perigosa, pois requer apenas um clique para executar o malware.
A equipe também encontrou anúncios para kits de conta-gotas .xll e malware em mercados subterrâneos, o que torna mais fácil para atacantes inexperientes lançar campanhas.
Além disso, uma recente campanha de spam QakBot usou arquivos Excel para enganar alvos, usando contas de e-mail comprometidas para sequestrar threads de e-mail e responder com um arquivo Excel (.xlsb) anexado. Depois de ser entregue aos sistemas, o QakBot injeta-se em processos legítimos do Windows para evitar a detecção.
Arquivos de Excel malicioso (.xls) também foram usados para espalhar o Trojan bancário Ursnif para empresas de língua italiana e organizações do setor público através de uma campanha de spam malicioso, com atacantes se passando por serviço de correio italiano BRT. Novas campanhas que espalham malware Emotet estão usando o Excel em vez de arquivos JavaScript ou Word também.
Outras notáveis ameaças isoladas
- O retorno de TA505? A HP identificou uma campanha de phishing de e-mail do MirrorBlast compartilhando muitas táticas, técnicas e procedimentos (TTPs) com o TA505, um grupo de ameaças financeiramente motivado conhecido por campanhas maciças de spam de malware e monetização do acesso a sistemas infectados usando ransomware. O ataque teve como alvo organizações com o Trojan de Acesso Remoto FlawedGrace (RAT).
- Plataforma de jogos falsa infectando vítimas com RedLine: Um site de instaladores do Discord falsificado foi descoberto, enganando os visitantes a baixar o infostealer redline e roubar suas credenciais.
- A comutação de tipos de arquivos incomuns ainda está ignorando a detecção:o grupo de ameaças Aggah teve como alvo organizações de língua coreana com arquivos adicionais de PowerPoint (.ppa) maliciosos disfarçados de ordens de compra, infectando sistemas com Trojans de acesso remoto. O malware do PowerPoint é incomum, compõem 1% de malware.
“Abusar de recursos legítimos em software para se esconder de ferramentas de detecção é uma tática comum para atacantes, assim como usar tipos de arquivos incomuns que podem ser permitidos portais de e-mail passados. As equipes de segurança precisam garantir que não estão confiando apenas na detecção e que estão acompanhando as ameaças mais recentes e atualizando suas defesas de acordo. Por exemplo, com base no pico de avistamentos maliciosos .xll que estamos vendo, eu pediria aos administradores de rede que configurem gateways de e-mail para bloquear anexos .xll recebidos, apenas permitam complementos assinados por parceiros confiáveis ou desabilitam totalmente os complementos do Excel”, explica Alex Holland, Analista Sênior de Malware, equipe de pesquisa de ameaças hp Wolf Security, HP.
“Os atacantes estão continuamente inovando para encontrar novas técnicas para evitar a detecção, por isso é vital que as empresas planejem e ajustem suas defesas com base no cenário de ameaças e nas necessidades de negócios de seus usuários. Os atores de ameaças investiram em técnicas como sequestro de segmentos de e-mail, tornando mais difícil do que nunca para os usuários dizerem aos amigos do inimigo.”
Outras descobertas-chave
- 13% do malware de e-mail isolado havia contornado pelo menos um scanner de gateway de e-mail.
- As ameaças usaram 136 extensões de arquivos diferentes em suas tentativas de infectar organizações.
- 77% dos malwares detectados foram entregues por e-mail, enquanto os downloads na web foram responsáveis por 13%.
- Os anexos mais comuns usados para entregar malware foram documentos (29%), arquivos (28%), executáveis (21%), planilhas (20%).
- As iscas de phishing mais comuns foram relacionadas ao Ano Novo ou transações comerciais como “Ordem”, “2021/2022”, “Pagamento”, “Compra”, “Solicitação” e “Fatura”.
“Hoje, atores de ameaças de baixo nível podem realizar ataques furtivos e vender acesso a grupos de ransomware organizados, levando a violações em larga escala que podem prejudicar os sistemas de TI e paralisar as operações”, comenta o Dr. Ian Pratt,Chefe Global de Segurança para Sistemas Pessoais da HP.
“As organizações devem se concentrar em reduzir a superfície de ataque e permitir uma recuperação rápida em caso de comprometimento. Isso significa seguir zero princípios de confiança e aplicar um forte gerenciamento de identidade, menos privilégio e isolamento do nível de hardware. Por exemplo, isolando vetores comuns de ataque, como e-mail, navegadores ou downloads usando micro-virtualização, quaisquer malwares potenciais ou explorações escondidas estão contidos, tornando-os inofensivos.”
FONTE: HELPNET SECURITY