terça-feira, 26 de outubro de 2021

Cibercriminosos estão usando mais vulnerabilidades de dia zero, diz pesquisa

 HP  divulgou seu mais recente relatório global HP Wolf Security Threat Insights Report, onde os pesquisadores da empresa realizam as análises dos principais dados de segurança cibernética no mundo. Nesta edição, a principal descoberta é que os criminosos estão explorando vulnerabilidades antes que as empresas responsáveis ​​podem corrigir-las. 

Segundo o relatório da HP, os criminosos estão usando como mais vulnerabilidades do dia zero, brechas críticas que não foram detectadas no processo de desenvolvimento de softwares e sistemas, como a principal forma de ataque, aproveitando que as correções para essas falhas, em muitos casos , podem levar a serem disponibilizadas pelas empresas responsáveis.

A falha CVE-2021-40444, do  Microsoft  Office, é uma das citadas no relatório da HP. (Imagem: Reprodução / Microsoft)

A equipe responsável pelo relatório cita como exemplo de uma falha CVE-2021-40444, do Microsoft Office, que utiliza um arquivo malicioso que implanta ou malware por meio de um documento do Office. Os usuários não têm que abrir o arquivo nem permitir qualquer ação, bastando a pré-visualização no File Explorer para comprometer o dispositivo, e permitir que os invasores instalem  backdoors  para livre acesso aos sistemas, que depois são vendidas a grupos de sequestro virtual ( ransomware ) 

Segundo o relatório da HP, os dados históricos de uso dessa vulnerabilidade até uma semana antes do lançamento da correção pela Microsoft, inclusive com scripts de automação da falha sendo disponibilizados em repositórios do GitHub.

Para Alex Holland, analista sênior de malware da equipe do HP Wolf Security, o uso dessas vulnerabilidades se dá pela "janela de vulnerabilidade" que apresentam:

O tempo médio para uma empresa aplicar, testar e implantar completamente correções devidamente checadas é de 97 dias, dando aos criminosos cibernéticos uma oportunidade de explorar essa 'janela de vulnerabilidade'. Antigamente apenas hackers altamente capacitados conseguiam explorar essa vulnerabilidade, mas os scripts automatizados baixaram o nível de qualificação necessária, tornando esse tipo de ataque acessível a criminosos menos instruídos e preparados. Isso aumenta o risco para as empresas, pois exploits de dia zero são e vendidos disponibilizados ao mercado de massa em fóruns clandestinos e outros locais.

Além do uso dessas falhas de dia zero, o relatório da HP detectou também os seguintes novos comportamentos dos criminosos:

  •  Aumento no uso de provedores legítimos de nuvem e internet pelos cibercriminosos para hospedar malware : uma campanha recente do GuLoader estava hospedando o Trojan de acesso remoto Remcos (RAT) em grandes plataformas, como o OneDrive, de modo a evitar sistemas de detecção de intrusão e passar por testes de listas de permissão. Um HP Wolf Security também cria várias famílias de malware hospedadas em plataformas de mídias sociais de jogos, como o Discord;
  •  Malware em JavaScript escapando de ferramentas de detecção : trata-se de uma campanha que espalha vários RATs de JavaScript via anexos maliciosos de e-mail. Downloaders de JavaScript têm uma taxa de detecção mais baixa do que downloaders do Office ou binários. Os RATs estão cada vez mais comuns, com invasores ocupados roubar credenciais de contas corporativas ou carteiras de criptomoedas;
  •  Campanha de ataque passando-se por fundo nacional de Previdência Social de Uganda : os criminosos usaram typosquatting - um endereço falso semelhante ao domínio oficial - um fim de atrair alvos para um site que baixa um documento malicioso do Word. Esse documento usa macros para rodar um script PowerShell que bloqueia registros de segurança e se esquiva do recurso Windows Antimalware Scan Interface;  
  •  Com arquivos HTA, malware espalha-se em um único clique : o Trickbot Trojan agora é entregue via arquivo HTA, uma aplicação HTML, que implanta ou malware assim que o anexo ou arquivo que contém é aberto. Sendo o HTA um tipo de arquivo incomum, é menos provável que seja identificado por ferramentas de detecção.

Demais dados

O relatório da HP, além de contar com a detecção das correções acima, também coletou dados sobre os principais virtuais de 2021. Nesse processo, o estudo fez as seguintes descobertas: 

  • 12% dos malwares passando em e-mail passaram por pelo menos um scanner de gateway, solução de segurança que análisa todos os arquivos que estão entrando em um servidor;
  • 89% dos detectados de malware foram entregues via e-mail, enquanto os downloads na internet foram responsáveis ​​por 11% e outros vetores, como dispositivos de armazenamento removíveis, por menos de 1%;

  • Os anexos usados ​​para entregar malware foram principalmente arquivos variados (38%), documentos de Word (23%), planilhas (17%) e arquivos executáveis ​​(16%);

  • Como as cinco iscas de phishing mais comuns foram como relativas às transações empresariais, tais como ordem (pedido, em tradução livre), pagamento (pagamento), novo (novo), cotação (orçamento) e solicitação (requisição);    
  •         
  • O relatório revela que 12% dos malware capturados eram conhecidos desconhecidos.
  •                                     
  •                                                                      CANALTECH
  •      

Nenhum comentário: