Relatório revela o como a combinação de arquivos compactados com contrabando de HTML está ajudando criminosos a driblar ferramentas de detecção

Os arquivos compactados — como ZIP e RAR — superaram pela primeira vez em três anos os documentos do Office na distribuição de malware, de acordo com o relatório HP Wolf Security Threat Insights Report, referente ao terceiro trimestre. O estudo apresenta uma análise de ataques cibernéticos e as mais recentes técnicas que os cibercriminosos utilizam para escapar da detecção e violar usuários.

Baseada em dados de milhões de endpointsem funcionamento com o HP Wolf Security, a pesquisa descobriu que 44% dos malwares foram entregues dentro de arquivos compactados — 11% a mais do que no trimestre anterior —, contra 32% distribuídos via documentos do Office, como o Word, Excel e PowerPoint.

O relatório identificou diversas campanhas combinando o uso de arquivos com novas técnicas de “contrabando de HTML” — em que os cibercriminosos inserem malwares em arquivos HTML para driblar gatewaysde serviços de e-mail — para, em seguida, lançar ataques.

Por exemplo, as campanhas QakBot e IceID usaram recentemente arquivos HMTL para direcionar os usuários a falsos visualizadores de documentos online que se passavam por aplicativos da Adobe. Os usuários eram instruídos a abrir um arquivo ZIP e inserir uma senha para descompactar os arquivos, que, então, implantavam o malware nos PCs.

Como o malware dentro do arquivo HTML é codificado e criptografado, a detecção pelo gateway do e-mail ou por outras ferramentas de segurança torna-se muito difícil. Assim, o invasor lança mão da engenharia social, criando uma página de internet convincente e bem desenhada para enganar as pessoas e fazê-las iniciar o ataque ao abrir o arquivo ZIP contendo malware. Em outubro, os mesmos invasores foram flagrados usando páginas falsas do Google Drive, em um esforço contínuo para fazer os usuários abrirem os arquivos maliciosos.

“Esse tipo de arquivo é fácil de criptografar, o que ajuda os criminosos a esconder o malware e escapar de proxies, sandboxes ou antivírus de e-mails. Isso dificulta a detecção de ataques, especialmente quando combinado com técnicas de contrabando de HTML. O interessante nas campanhas QakBot e IceID foi justamente o esforço empenhado para criar páginas falsas — essas campanhas foram mais convincentes do que as que já tínhamos visto antes, tornando difícil para as pessoas saberem em quais arquivos poderiam, ou não, confiar”, explica Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security, da HP Inc.

A HP também identificou uma campanha complexa que usava uma cadeia modular de infecção com o potencial de permitir que os invasores mudassem a carga útil (payload) — com ações como spyware, ransomware e registro de teclas — durante a campanha ou introduzissem novos recursos, como geofencing. Isso podia habilitar o invasor a alterar suas táticas de acordo com o alvo violado. Por não incluir o malware diretamente no anexo enviado ao alvo, tornava-se mais difícil, também, para que os gateways de e-mail detectassem esse tipo de ataque.

“Conforme demonstrado, os criminosos estão constantemente mudando suas técnicas, dificultando a identificação pelas ferramentas de detecção”, comenta Ian Pratt, chefe global de segurança para sistemas pessoais da HP Inc. “Seguindo o princípio de confiança zero no isolamento detalhado, as organizações podem usar a microvirtualização para se certificarem de que tarefas potencialmente maliciosas — como clicar em links ou abrir anexos maliciosos — sejam executadas em uma máquina virtual descartável, separada dos sistemas essenciais. Esse processo é completamente invisível para o usuário e retém qualquer malware, garantindo que os invasores não tenham acesso a dados sensíveis e evitando que ganhem acesso e se movimentem de outras formas”, explica.

Os dados do relatório foram coletados anonimamente junto a máquinas virtuais de clientes da HP Wolf Security, entre julho e setembro.