Pesquisa alerta para o aumento de variantes de malware de dia zero
Redação, Infra News Telecom
A pesquisa Internet Security Report, da WatchGuard, empresa global de segurança e inteligência de redes, segurança Wi-Fi e autenticação multifator, indica que, apesar de uma redução 8% nas detecções gerais de malware no segundo trimestre deste ano, 70% de todos os ataques no mesmo período envolveram malware de dia zero (variantes que contornam as assinaturas de antivírus), um crescimento de 12% em relação ao trimestre anterior.
“O aumento de ataques sofisticados mostra que os invasores estão se voltando para táticas mais evasivas, que as defesas anti-malware tradicionais baseadas em assinatura simplesmente não conseguem detectar. Todas as organizações devem priorizar a detecção de ameaças baseada em comportamento, sandboxing baseado em nuvem e um conjunto em camadas de serviços de segurança para proteger tanto a rede central quanto as forças de trabalho remotas”, diz Corey Nachreiner, CTO da WatchGuard.
Outras conclusões do relatório foram:
- Embora a porcentagem de ameaças usando criptografia tenha diminuído 64% no primeiro trimestre, o volume de malware criptografado por HTTPS aumentou drasticamente. Parece que mais administradores estão tomando as medidas necessárias para habilitar a inspeção HTTPS em dispositivos de segurança Firebox, mas ainda há mais trabalho a ser feito.
- O scam script Trojan.Gnaeus fez sua estreia no topo da lista dos 10 principais malwares da WatchGuard no segundo trimestre, constituindo quase uma em cada cinco detecções de malware. O malware Gnaeus permite que os agentes da ameaça sequestrem o controle do navegador da vítima com código ofuscado e redirecionem à força para domínios sob o controle do invasor. Outro ataque de JavaScript estilo pop-up, J.S. PopUnder, foi uma das variantes de malware mais difundidas.
- XML-Trojan.Abracadabra é uma nova adição à lista das 10 principais detecções de malware da WatchGuard, mostrando um rápido crescimento em popularidade desde o surgimento da técnica em abril. Abracadabraé uma variante de malware entregue como um arquivo Excel criptografado com a senha “VelvetSweatshop” (a senha padrão para documentos Excel).
- Uma vulnerabilidade de negação de serviço (DoS) de seis anos que afeta o WordPress e o Drupal apareceu na lista dos 10 principais ataques de rede por volume da WatchGuard no segundo trimestre. Esta vulnerabilidade é particularmente grave porque afeta todas as instalações de Drupal e WordPress sem patch e cria cenários DoS nos quais agentes mal-intencionados podem causar esgotamento de CPU e memória no hardware subjacente. Apesar do alto volume desses ataques, eles eram hiper-focados em algumas dezenas de redes, principalmente na Alemanha.
- Dois novos destinos foram incluídos na lista de principais domínios de malware. O mais comum foi o site findresults [.], que usa um servidor C&C para uma variante do trojan Dadobra, cria um arquivo ofuscado e o registro associado para garantir que o ataque seja executado e pode exfiltrar dados confidenciais e baixar malware adicional quando os usuários inicializam os sistemas Windows. Um usuário alertou a equipe da WatchGuard sobre o Cioco-froll [.] Com, que usa outro servidor C&C para suportar uma variante do botnet Asprox (geralmente entregue via documento PDF) e fornece um beacon C&C para permitir que o invasor saiba que ganhou persistência e está pronto para participar do botnet.
Os relatórios trimestrais da WatchGuard são baseados em dados anônimos de Firebox Feed de dispositivos WatchGuard ativos, cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Laboratório de Ameaças. No segundo trimestre, quase 42 mil appliances WatchGuard contribuíram com dados para o relatório, bloqueando um total de mais de 28,5 milhões de variantes de malware (684 por dispositivo) e mais de 1,75 milhão de ameaças de rede (42 por dispositivo). Os dispositivos Firebox detectaram e bloquearam coletivamente 410 assinaturas de ataque exclusivas no segundo trimestre, um aumento de 15% em relação ao primeiro trimestre e o máximo desde o quarto trimestre de 2018.
