Cibercriminosos substituem macros por arquivos de atalho para acessar PCs corporativos
Redação, Infra News Telecom
A HP divulgou seu relatório trimestral “Threat Insights”, que revela que uma leva de cibercriminosos distribuidores de famílias de malware, incluindo QakBot, IceID, Emotet e RedLine Stealer, está aderindo a arquivos de atalho (LNK) para enviar malwares. Esses atalhos estão substituindo as macros do Office – que passam a vir bloqueadas na configuração padrão – como forma de os invasores conseguirem entrar nas redes, enganando os usuários para que infectem seus PCs com o malware. Esse acesso pode ser usado para roubar dados valiosos das empresas ou pode ser vendido para grupos de ransomware, levando a violações de larga escala que podem paralisar operações e gerar custos substanciais.
O relatório, que apresenta análises de ataques cibernéticos no mundo, mostra um aumento de 11% nos arquivos de dados contendo malware, inclusive arquivos LNK. Os invasores muitas vezes anexam documentos compactados (zip) para se esquivarem dos antivírus de e-mail. A equipe também identificou kits para criação de malware em LNK disponíveis para compra em fóruns de hackers, o que torna fácil para que o cibercrime adote essa técnica de execução de código “livre de macro”, passando a criar arquivos de atalho armamentizados e a disseminá-los nas empresas.
“Como as macros baixadas da web estão vindo bloqueadas na configuração padrão do Office, estamos de olho em métodos alternativos de execução que estão sendo testados por cibercriminosos. Abrir um atalho ou arquivo HTML pode parecer inofensivo para um funcionário, mas pode resultar em um grande risco para a empresa”, explica Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP Inc. “As organizações devem tomar medidas para estarem protegidas contra técnicas que estão ganhando a preferência dos invasores, senão vão ficar expostas conforme forem se difundindo. Recomendamos o bloqueio imediato de arquivos de atalho recebidos como anexos de e-mail ou baixados da web.”
Outras revelações do relatório incluem: 14% dos e-mails maliciosos captados pelo “HP Wolf Security” driblaram pelo menos um escaneamento pelo gateway de e-mail; agentes de ameaça usaram 593 famílias diferentes de malware em suas tentativas de infectar organizações, contra 545 no trimestre anterior; os invasores estão, cada vez mais, colocando arquivos maliciosos em planilhas para tentar fugir da detecção (a equipe de pesquisa registrou um aumento de 11% nas ameaças desse tipo); e 69% dos malware detectados foram entregues via e-mail, enquanto os downloads na internet foram responsáveis por 17%.
Os achados da pesquisa são baseados em dados de milhões de endpoints que rodam o “HP Wolf Security”. Os especialistas da companhia realizam tarefas arriscadas, como abrir anexos de e-mail, baixar arquivos e clicar em links, em micromáquinas virtuais isoladas (micro-VMs) para proteger os usuários, captando rastros detalhados de tentativas de infecção. Até o momento, clientes HP já clicaram em mais de 18 bilhões de anexos de e-mail, páginas na internet e arquivos baixados sem registros de violação.
Os dados do relatório foram coletados anonimamente nas máquinas virtuais de clientes HP Wolf Security entre abril e junho de 2022.
