.
Os arquivos ZIP e RAR ultrapassaram os documentos do Office como o arquivo mais comumente usado por criminosos cibernéticos para distribuir malware, de acordo com uma análise de ataques cibernéticos do mundo real e dados coletados de milhões de PCs.
A pesquisa, baseada em dados de clientes da HP Wolf Security, descobriu no período entre julho e setembro deste ano, 42% das tentativas de entrega de ataques de malware usaram formatos de arquivos compactados, incluindo ZIP e RAR.
Isso significa que os ataques cibernéticos que tentam explorar os formatos ZIP e RAR são mais comuns do que aqueles que tentam distribuir malware usando documentos do Microsoft Office, como arquivos do Microsoft Word e do Microsoft Excel, que há muito são o método preferido de atrair as vítimas para o download de malware.
De acordo com os pesquisadores, isso marca a primeira vez em mais de três anos que os arquivos superam os arquivos do Microsoft Office como o meio mais comum de distribuição de malware.
Ao criptografar cargas maliciosas e ocultá-las em arquivos compactados, ele fornece aos invasores uma maneira de contornar muitas proteções de segurança.
“Os arquivos são fáceis de criptografar, ajudando os invasores a ocultar malware e evitar proxies da web, sandboxes ou scanners de e-mail. Isso torna os ataques difíceis de detectar, especialmente quando combinados com técnicas de contrabando de HTML”, disse Alex Holland, analista sênior de malware da HP Equipe de pesquisa de ameaças da Wolf Security.
Também: Cibersegurança: essas são as novidades com as quais se preocupar em 2023
Em muitos casos, os invasores estão criando e-mails de phishing que parecem vir de marcas conhecidas e provedores de serviços online, que tentam induzir o usuário a abrir e executar o arquivo ZIP ou RAR malicioso.
Isso inclui o uso de arquivos HTML maliciosos em e-mails que se disfarçam como documentos PDF – que, se executados, mostram um visualizador de documentos on-line falso que decodifica o arquivo ZIP. Se for baixado pelo usuário, ele irá infectá-lo com malware.
De acordo com a análise da HP Wolf Security, uma das campanhas de malware mais notórias que agora conta com arquivos ZIP e arquivos HTML maliciosos é o Qakbot – uma família de malware que não é usada apenas para roubar dados, mas também como backdoor para a implantação de ransomware.
O Qakbot ressurgiu em setembro, com mensagens maliciosas enviadas por e-mail, alegando estar relacionadas a documentos online que precisavam ser abertos. Se o arquivo foi executado, ele usou comandos maliciosos para baixar e executar a carga útil na forma de uma biblioteca de links dinâmicos e, em seguida, lançou usando ferramentas legítimas – mas comumente abusadas – no Windows.
Pouco tempo depois, os criminosos cibernéticos que distribuem o IcedID – uma forma de malware que é instalada para permitir ataques práticos de ransomware operados por humanos – começaram a usar um modelo quase idêntico ao usado pelo Qakbot para abusar de arquivos compactados para induzir as vítimas a fazer o download. malware.
Ambas as campanhas se esforçam para garantir que os e-mails e as páginas HTML falsas pareçam legítimos para enganar o maior número possível de vítimas.
“O que foi interessante com as campanhas QakBot e IcedID foi o esforço feito para criar as páginas falsas – essas campanhas foram mais convincentes do que vimos antes, tornando difícil para as pessoas saberem em quais arquivos podem ou não confiar. “, disse Holanda.
Também: Ransomware: por que ainda é uma grande ameaça e para onde as gangues estão indo
Um grupo de ransomware também foi visto abusando de arquivos ZIP e RAR dessa maneira. De acordo com a HP Wolf Security, uma campanha divulgada pelo grupo de ransomware Magniber visava usuários domésticos, com ataques que criptografavam arquivos e exigiam US$ 2.500 das vítimas.
Nesse caso, a infecção começa com um download de um site controlado pelo invasor, que solicita que os usuários baixem um arquivo ZIP contendo um arquivo JavaScript que se apresenta como um importante antivírus ou atualização de software do Windows 10. Se executado, ele baixa e instala o ransomware.
Antes desta última campanha do Magniber, o ransomware foi espalhado por meio de arquivos MSI e EXE – mas, como outros grupos criminosos cibernéticos, eles notaram o sucesso que pode ser alcançado com a entrega de cargas ocultas em arquivos compactados.
Os criminosos cibernéticos estão mudando continuamente seus ataques e o phishing continua sendo um dos principais métodos de distribuição de malware, porque muitas vezes é difícil detectar se um e-mail ou arquivos são legítimos – especialmente se já escorregou ao ocultar a carga maliciosa em algum lugar onde o software antivírus pode não o detecte.
Os usuários devem ser cautelosos com solicitações urgentes para abrir links e baixar anexos, especialmente de fontes inesperadas ou desconhecidas.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
