.
Os serviços em nuvem da Microsoft estão verificando malware espiando dentro dos arquivos zip dos usuários, mesmo quando eles estão protegidos por uma senha, vários usuários relataram no Mastodon na segunda-feira.
A compactação do conteúdo do arquivo em arquivos zip arquivados tem sido uma tática que os agentes de ameaças usam para ocultar o malware que se espalha por e-mail ou downloads. Eventualmente, alguns atores de ameaças se adaptaram protegendo seus arquivos zip maliciosos com uma senha que o usuário final deve digitar ao converter o arquivo de volta à sua forma original. A Microsoft está aprimorando esse movimento tentando ignorar a proteção por senha em arquivos zip e, quando bem-sucedida, verificando-os em busca de códigos maliciosos.
Embora a análise de proteção por senha em ambientes de nuvem da Microsoft seja bem conhecida por algumas pessoas, foi uma surpresa para Andrew Brandt. O pesquisador de segurança há muito tempo arquiva malware em arquivos zip protegidos por senha antes de trocá-los com outros pesquisadores por meio do SharePoint. Na segunda-feira, ele foi ao Mastodon para relatar que a ferramenta de colaboração da Microsoft havia sinalizado recentemente um arquivo zip protegido com a senha “infectado”.
“Embora eu entenda totalmente fazer isso para qualquer pessoa que não seja um analista de malware, esse tipo de maneira intrometida de lidar com isso se tornará um grande problema para pessoas como eu, que precisam enviar amostras de malware a seus colegas “, escreveu Brandt. “O espaço disponível para fazer isso continua diminuindo e isso afetará a capacidade dos pesquisadores de malware de realizar seus trabalhos.”
O colega pesquisador Kevin Beaumont juntou-se à discussão para dizer que a Microsoft tem vários métodos para verificar o conteúdo de arquivos zip protegidos por senha e os usa não apenas em arquivos armazenados no SharePoint, mas em todos os seus 365 serviços em nuvem. Uma maneira é extrair todas as senhas possíveis do corpo do e-mail ou do próprio nome do arquivo. Outra é testar o arquivo para ver se ele está protegido por uma das senhas contidas em uma lista.
“Se você enviar algo para si mesmo e digitar algo como ‘ZIP password is Soph0s’, ZIP up EICAR e ZIP password it with Soph0s, ele encontrará (a) senha, extrairá e localizará (e alimentará a detecção do MS)”, escreveu ele.
Brandt disse que no ano passado o OneDrive da Microsoft começou a fazer backup de arquivos maliciosos que ele armazenou em uma de suas pastas do Windows depois de criar uma exceção (ou seja, permitir a listagem) em suas ferramentas de segurança de endpoint. Mais tarde, ele descobriu que, assim que os arquivos chegaram ao OneDrive, eles foram apagados do disco rígido de seu laptop e detectados como malware em sua conta do OneDrive.
“Eu perdi todo o grupo”, disse ele.
Brandt então começou a arquivar arquivos maliciosos em arquivos zip protegidos com a senha “infectado”. Até a semana passada, disse ele, o SharePoint não sinalizava os arquivos. Agora eles são.
Os representantes da Microsoft acusaram o recebimento de um e-mail perguntando sobre as práticas de contornar a proteção por senha de arquivos armazenados em seus serviços em nuvem. A empresa não deu seguimento com uma resposta.
Um representante do Google disse que a empresa não verifica arquivos zip protegidos por senha, embora o Gmail os sinalize quando os usuários recebem esse arquivo. Minha conta de trabalho gerenciada pelo Google Workspace também me impediu de enviar um zip protegido por senha.
A prática ilustra a linha tênue que os serviços on-line geralmente percorrem ao tentar proteger os usuários finais de ameaças comuns, ao mesmo tempo em que respeitam a privacidade. Como observa Brandt, quebrar ativamente um arquivo zip protegido por senha parece invasivo. Ao mesmo tempo, essa prática quase certamente impediu que um grande número de usuários fosse vítima de ataques de engenharia social que tentavam infectar seus computadores.
Outra coisa que os leitores devem lembrar: arquivos zip protegidos por senha fornecem garantia mínima de que o conteúdo dentro dos arquivos não pode ser lido. Como observou Beaumont, ZipCrypto, o meio padrão para criptografar arquivos zip no Windows, é trivial de substituir. Uma maneira mais confiável é usar um criptografador AES-256 embutido em muitos programas de arquivamento ao criar arquivos 7z.
.
