HP dá a Conhecer Campanha de Malware ChromeLoader que Afeta Sites de Conteúdo Pirateados Um novo relatório revela que os atacantes escondem malware em documentos do OneNote e que utilizam domínios de confiança para contornar os controlos de macros do Office
A HP publicou hoje o seu relatório trimestral HP Wolf Security Threat Insights Report, que mostra que os atacantes estão a infiltrar os browsers Chrome dos utilizadores quando estes tentam descarregar filmes populares ou jogos de vídeo de sites piratas.
Ao isolar as ameaças que escaparam às ferramentas de deteção nos PCs, a HP Wolf Security tem uma visão específica das mais recentes técnicas utilizadas pelos cibercriminosos no cenário do cibercrime em rápida mudança. Até à data, os clientes da HP Wolf Security clicaram em mais de 30 mil milhões de anexos de correio eletrónico, páginas Web e ficheiros descarregados sem qualquer violação registada.
«O trabalho híbrido não é sinónimo de trabalho à distância. O verdadeiro trabalho híbrido cria uma cultura que liga as pessoas, aumenta a produtividade e promove o envolvimento. A tecnologia é o principal fator para o conseguir”, afirmou Guayente Sanmartin, Vice-Presidente Sénior e Diretor Global de Global Head of Commercial Systems and Displays Solutions. "A HP é a única empresa que pode realmente fazer com que o trabalho híbrido funcione em todos os ambientes - em casa, no escritório e nos restantes espaços - e estamos a inovar em grande escala, de modo a ajudar a manter as pessoas conectadas, produtivas e seguras."
Com dados baseados em milhões de endpoints com o HP Wolf Security, a pesquisa indica que:
A extensão Shampoo Chrome é muito difícil de remover: Uma campanha que distribui o malware ChromeLoader engana os utilizadores para que instalem uma extensão maliciosa do Chrome chamada Shampoo. Esta pode redirecionar as consultas de pesquisa da vítima para sites maliciosos ou para páginas que irão gerar dinheiro para os grupos criminosos através de campanhas publicitárias. O malware é altamente persistente, usando o Task Scheduler para se reiniciar a cada 50 minutos.
Os atacantes contornam as políticas de macros utilizando domínios de confiança: Embora as macros de fontes não fidedignas estejam agora desativadas, a HP assitiu a atacantes a contornarem estes controlos comprometendo uma conta de confiança do Office 365, configurando um novo e-mail da empresa e distribuindo um ficheiro Excel malicioso que infecta as vítimas com o infostealer Formbook.
As empresas devem ter cuidado com o que se esconde por baixo do que está visível: Os documentos do OneNote podem funcionar como álbuns de recortes digitais, pelo que qualquer ficheiro pode ser anexado aos mesmos. Os atacantes aproveitam-se deste facto para incorporar ficheiros maliciosos por detrás de ícones falsos do tipo "clique aqui". Clicar no ícone falso abre o ficheiro oculto, executando malware para dar aos atacantes acesso à máquina dos utilizadores - este acesso pode depois ser vendido a outros grupos de cibercriminosos e grupos de ransomware.
Grupos sofisticados como o Qakbot e o IcedID incorporaram pela primeira vez malware em ficheiros OneNote em Janeiro. Com os kits OneNote agora disponíveis nos mercados de cibercrime e exigindo poucas competências técnicas para serem utilizados, as suas campanhas de malware parecem destinadas a continuar nos próximos meses.
"Para se protegerem contra as ameaças mais recentes, aconselhamos os utilizadores e as empresas a evitarem descarregar materiais de sítios não fidedignos, em especial de sítios piratas. Os colaboradores devem ter cuidado com documentos internos suspeitos e verificar com o remetente antes de os abrir. As organizações devem também configurar políticas de gateway de e-mail e ferramentas de segurança para bloquearem ficheiros OneNote de fontes externas desconhecidas," explica Patrick Schläpfer, Analista de Malware na equipa de investigação de ameaças HP Wolf Security, HP Inc.
Desde ficheiros maliciosos até ao contrabando de HTML, o relatório também mostra que os grupos de cibercrime continuam a diversificar os métodos de ataque para contornarem os gateways de correio eletrónico, à medida que os atacantes se afastam dos formatos do Office. Entre as principais conclusões, destaque para:
- Os ficheiros foram o tipo de entrega de malware mais popular (42%) pelo quarto trimestre consecutivo ao examinar as ameaças detidas pela HP Wolf Security no Q1.
- Houve um aumento de 37 pontos percentuais nas ameaças de contrabando de HTML no primeiro trimestre em relação ao quarto trimestre.
- Houve um aumento de 4 pontos percentuais nas ameaças de PDF no primeiro trimestre em relação ao quarto trimestre.
- Registou-se uma queda de 6 pontos percentuais no malware para Excel (19% para 13%) no 1.º trimestre em relação ao 4.º trimestre, uma vez que se tornou mais difícil de executar macros.
- 14% das ameaças de e-mail identificadas pelo HP Sure Click contornaram um ou mais scanners de gateway de e-mail no 1º trimestre de 2023.
- O principal vetor de ameaça no 1.º trimestre foi o correio eletrónico (80%), seguido dos downloads do browser (13%).
"Para se protegerem contra ataques cada vez mais variados, as organizações devem seguir os princípios de zero trust para isolar e conter atividades de risco, tais como abrir anexos de e-mail, clicar em links ou fazer downloads do browser. Isto reduz significativamente a superfície de ataque e o risco de uma violação", comenta o Dr. Ian Pratt, Director Global de Segurança para Sistemas Pessoais, HP Inc.
O HP Wolf Security permite executar tarefas de risco como abrir anexos de e-mail, descarregar ficheiros e clicar em links em micromáquinas virtuais (micro-VMs) isoladas para proteger os utilizadores. Também capta vestígios detalhados de tentativas de infeção. A tecnologia de isolamento de aplicações da HP atenua as ameaças que podem passar despercebidas por outras ferramentas de segurança e fornece informações únicas sobre novas técnicas de intrusão e comportamento dos agentes de ameaça.
Sobre os dados
Estes dados foram recolhidos anonimamente em máquinas virtuais de clientes da HP Wolf Security de janeiro a março de 2023.
Post A Comment:
0 comments: