.
Os cibercriminosos recorreram às redes de publicidade para medir a implantação de malware e evitar a detecção, de acordo com a HP Wolf Security.
O relatório de insights sobre ameaças do quarto trimestre de 2023 do grupo de segurança conclui que os criminosos adotaram ferramentas de tecnologia de anúncios para tornar seus ataques de engenharia social mais eficazes.
“Os cibercriminosos estão aplicando as mesmas ferramentas que uma empresa pode usar para gerenciar uma campanha de marketing para otimizar suas campanhas de malware, aumentando a probabilidade de o usuário morder a isca”, explicou Ian Pratt, chefe global de segurança para sistemas pessoais da HP, em um comunicado. declaração.
A campanha de malware DarkGate PDF, por exemplo, depende de ferramentas publicitárias. Datado de 2018, o DarkGate fornece acesso backdoor aos computadores das vítimas para fins de roubo de dados e ransomware.
A campanha envolve o envio de mensagens de e-mail às vítimas com anexos PDF maliciosos. Aqueles que são enganados ao abrir um deles veem uma mensagem de engenharia social – geralmente na forma de uma mensagem de erro do Microsoft OneDrive que solicita que a vítima clique em um link para baixar o documento.
O relatório explica que isso geralmente funciona porque os invasores sabem que os funcionários de escritório dependem de aplicativos baseados em nuvem com interfaces de usuário que mudam frequentemente. Isso torna mais difícil detectar elementos de interface falsos ou mensagens de erro falsas.
Clicar na falsa mensagem de erro do OneDrive não baixa imediatamente a carga do malware. Em vez disso, ele encaminha o clique da vítima – contendo os identificadores e o domínio que hospeda o arquivo – por meio de uma rede de publicidade e, em seguida, busca a URL maliciosa, que não é evidente no PDF.
“Usar uma rede de anunciantes como proxy ajuda o invasor a evitar a detecção e coletar análises sobre quem clica em seus links”, explica o relatório. “Como a rede de publicidade usa CAPTCHAs para verificar usuários reais e evitar fraudes de cliques, é improvável que sistemas automatizados de análise de malware sejam capazes de verificar a carga útil do malware, levando ao risco de classificar falsamente o arquivo como seguro.”
De acordo com a HP Wolf Security, 11 por cento do malware analisado no quarto trimestre de 2023 dependia de PDFs para entrega – acima dos 4 por cento no primeiro e segundo trimestre do mesmo ano. Como exemplo, o setor de segurança aponta para a campanha WikiLoader, que usou um PDF falso de entrega de encomendas para espalhar malware conhecido como Ursnif.
O setor de segurança também observa que está vendo mais explorações do Office e menos ataques habilitados para macro. Durante o quarto trimestre, cerca de 84% das tentativas de intrusão incorporaram planilhas, enquanto 73% envolveram documentos do Word
Por fim, o relatório observa que os invasores continuam a hospedar malware em serviços em nuvem como forma de se beneficiar da confiança que os usuários podem depositar nessas plataformas. Os analistas apontam para o trojan de acesso remoto Remcos, que depende de um arquivo JavaScript baixado pelo usuário e hospedado no serviço de bate-papo Discord. O arquivo malicioso então se conecta ao serviço de compartilhamento de arquivos TextBin para buscar um executável codificado em Base64 hospedado lá.
Embora os ataques possam ser mais sofisticados, o conselho da Pratt para combatê-los permanece o mesmo: “Para se protegerem contra atores de ameaças com bons recursos, as organizações devem seguir princípios de confiança zero, isolando e contendo atividades arriscadas, como abrir anexos de e-mail, clicar em links e navegar Transferências.” ®
.
