WatchGuard alerta para aumento de variantes de malware de dia zero

A WatchGuard Technologies alertou para o crescimento de ataques que envolvem malwares de dia zero. Estas variantes conseguem contornar as assinaturas de antivírus. Apesar de ter identificado redução de 8% nas detecções gerais de malware no segundo trimestre, os ataques de malware de dia zero representaram 70% de todos os ataques, um crescimento de 12% em relação ao trimestre anterior.

“As empresas não são as únicas que ajustaram as suas operações devido à pandemia global de COVID-19 – os cibercriminosos também”, disse Corey Nachreiner, CTO da WatchGuard. “O aumento de ataques sofisticados, apesar do fato de que as detecções gerais de malware diminuíram no segundo trimestre (provavelmente devido à mudança para o trabalho remoto), mostra que os invasores estão se voltando para táticas mais evasivas, que as defesas anti-malware tradicionais baseadas em assinatura simplesmente não conseguem detectar. Todas as organizações devem priorizar a detecção de ameaças baseada em comportamento, sandboxing baseado em nuvem e um conjunto em camadas de serviços de segurança para proteger tanto a rede central quanto as forças de trabalho remotas.”

Segundo o Internet Security Report para o segundo trimestre de 2020, os invasores continuam a aproveitar ameaças evasivas e criptografadas. Os ataques enviados por conexões HTTPS criptografadas foram responsáveis por 34%. As organizações que não são capazes de inspecionar o tráfego criptografado perderão uma grande parte das ameaças recebidas, alertou o relatório. Embora a porcentagem de ameaças usando criptografia tenha diminuído 64% no primeiro trimestre, o volume de malware criptografado por HTTPS aumentou drasticamente. “Parece que mais administradores estão tomando as medidas necessárias para habilitar a inspeção HTTPS em dispositivos de segurança Firebox, mas ainda há mais trabalho a ser feito”, diz o estudo.

Ataques baseados em JavaScript estão em ascensão

O scam script Trojan.Gnaeus fez sua estreia no topo da lista dos 10 principais malwares da WatchGuard no segundo trimestre, constituindo quase uma em cada cinco detecções de malware. O malware Gnaeus permite que os agentes da ameaça sequestrem o controle do navegador da vítima com código ofuscado e redirecionem à força para domínios sob o controle do invasor.

Outro ataque de JavaScript estilo pop-up, J.S. PopUnder, foi uma das variantes de malware mais difundidas. Nesse caso, um script ofuscado verifica as propriedades do sistema da vítima e bloqueia as tentativas de depuração como uma tática anti-detecção. “Para combater essas ameaças, as organizações devem evitar que os usuários carreguem uma extensão do navegador de uma fonte desconhecida, manter os navegadores atualizados com os patches mais recentes, usar adblockers confiáveis e manter um mecanismo antimalware atualizado”, aconselhou o estudo.

Excel na mira dos atacantes

Os invasores têm cada vez mais usado arquivos do Excel criptografados para ocultar malware. O XML-Trojan.Abracadabra é uma nova adição à lista das 10 principais detecções de malware da WatchGuard, mostrando um rápido crescimento em popularidade desde o surgimento da técnica em abril. Abracadabra é uma variante de malware entregue como um arquivo Excel criptografado com a senha “VelvetSweatshop” (a senha padrão para documentos Excel).

Depois de aberto, o Excel descriptografa automaticamente o arquivo e um script macro VBA dentro da planilha baixa e aciona um executável. O uso de uma senha padrão permite que esse malware contorne muitas soluções antivírus básicas, uma vez que o arquivo é criptografado e, em seguida, descriptografado pelo Excel. “As organizações nunca devem permitir macros de uma fonte não confiável e aproveitar sandboxing baseado em nuvem para verificar com segurança a verdadeira intenção de arquivos potencialmente perigosos antes que eles possam causar uma infecção”, diz a WatchGuard.

Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anônimos de Firebox Feed de dispositivos WatchGuard ativos cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Laboratório de Ameaças.