Ainda na onda do COVID-19, cibercriminosos compartilham arquivos .ISO e .IMG com o intuito de instalar uma versão de RAT (Remote Access Trojan) em dispositivos corporativos
Se unindo às organizações que têm alertado sobre um aumento nas campanhas de ciberataque em função da pandemia do novo coronavírus, a Microsoft informa que os seus modelos avançados de machine learning para detecção de ameaças ajudaram sua equipe a identificar novas ameaças de spam (malspam) que estão distribuindo arquivos de imagem de disco infectados por malware.
A campanha, detectada na semana passada (fins de abril de 2020), está usando temas relacionados ao COVID-19 como assuntos de e-mail para induzir os usuários a baixar e executar anexos de arquivos .ISO ou .IMG.
Pelo twitter, a Microsoft alerta que esses arquivos estão infectados com uma versão de RAT (Remote Access Trojan), que possibilita aos hackers ter total controle sobre os hosts infectados.
Além disso, a empresa diz que os invasores são persistentes e estão lançando várias campanhas diferentes de spam, visando empresas de diferentes setores, em vários países do mundo. Algumas das tentativas de ataque incluem:
- Uma campanha do malware Remcos mirando pequenas empresas americanas que desejam obter empréstimos para situações de desastre – algo muito comum no contexto do COVID-19. Nesse caso, as empresas receberam e-mails que se passavam pela Administração de Pequenas Empresas dos EUA (SBA), com um anexo .IMG (imagem de disco) malicioso. O anexo continha um arquivo executável que usa um ícone PDF enganoso. Quando executado, o arquivo instala o Remcos RAT;
- Uma campanha voltada para empresas de manufatura na Coréia do Sul, onde os invasores enviaram às organizações um e-mail se passando pela Rede de Alerta de Saúde do Centro de Controle de Doenças (CDC) que anexava um arquivo .ISO malicioso. O arquivo ISO, por sua vez, continha um arquivo SCR malicioso, que instala o Remcos.
- Outra campanha de Remcos, que teve como alvo contadores nos EUA, com e-mails supostamente contendo "atualizações relacionadas ao COVID-19" para membros do Instituto Americano de CPAs (Certified Public Accountant). O anexo era um arquivo ZIP contendo a mesma combinação ISO + SCR vista na campanha sul-coreana.
O objetivo final dessa operação ainda é desconhecido. No entanto, os autores de tais ameaças podem estar procurando empresas para ataques futuros, como ransomware, golpes de BEC (business e-mail compromise) ou espionagem industrial.
"O principal alerta que queríamos emitir, já que foi o que mais nos chamou a atenção, diz respeito ao uso de iscas através do COVID-19 e também das técnicas ligeiramente diferentes que encontramos nesses ataques, além dos tipos de anexos que estão enviando", disse Tanmay Ganacharya, diretor de pesquisa de segurança da proteção contra ameaças da Microsoft, em entrevista à mídia norte-americana.
"Eles estão usando arquivos de imagem e arquivos ISO, o que não é comum. Não é a primeira vez que testemunhamos ataques do tipo, mas também não é comum que os invasores façam isso".
As empresas que recebem esses tipos de anexos de email são instruídas a não executar os arquivos anexados.
96% das ameaças atuais utilizam arquivos únicos por máquina
O diretor de pesquisa e segurança da Microsoft, Ganacharya, creditou a aposta da empresa no machine learning como a razão pela qual a empresa percebeu essa campanha, em primeiro lugar.
Hoje, o produto antivírus da Microsoft evoluiu das técnicas antigas e antiquadas de detecção de malware com base em assinaturas de arquivo.
Ganacharya diz que malwares polimorfos (malware que muda regularmente) e malwares sem arquivo (malware que roda apenas na RAM, sem vestígios no disco) agora são recursos amplamente utilizados por cibercriminosos. Isso coloca os fornecedores de antivírus sempre um passo atrás da maioria das operações de malware, se o antivírus depender apenas da detecção da presença de um arquivo inválido conhecido.
"O cenário de ameaças mudou significativamente com ataques sem arquivo, com polimorfismo… Em mais de 96% das ameaças que vemos em todo o mundo, o ataque é feito através de um arquivo único por máquina", disse Ganacharya.
Com tudo isso, os modelos de machine learning do Defender, antivírus da empresa, agora são a principal arma da empresa contra ataques de malware desconhecidos e agentes de ameaças, ajudando a Microsoft a detectar os ataques nos seus primeiros estágios.
Mas não basta investir só no antivírus
O antivírus é apenas um dos recursos de proteção que vão manter sua empresa segura. Embora, sim, sejam necessários para proteger alguns vetores de ataque, é necessário estar atento a todos os caminhos pelos quais um cibercriminoso pode ter acesso a seus dispositivos.
E especialmente ao elo mais fraco dessa cadeia: as pessoas.
Em tempos como este que vivemos, muitos cibercriminosos estão se aproveitando da vulnerabilidade para conseguir abrir uma brecha nas redes corporativas e arquitetar ciberataques de maior complexidade.
Apenas no primeiro trimestre deste ano, já foram registrados aumentos nos ataques de phishing, engenharia social e ransomware, por exemplo. Embora o investimentos em soluções completas de defesa seja fundamental para garantir que todas as frentes da rede do seu negócio estarão protegidas, é necessário também um trabalho de educação dos colaboradores para diminuir o risco desses ataques.
Orientações a respeito dos principais arquivos maliciosos, treinamentos de proteção e conhecimento são armas importantes para o combate ao crescimento dos ciberataques.
A Compugraf tem mobilizado diversos esforços para ajudar empresas e seus colaboradores a se conscientizarem sobre os riscos que estão correndo, particularmente agora que o trabalho remoto foi adotado em larga escala. São vídeos, lives e textos com dicas de nossos especialistas em segurança – tudo visando compartilhar o máximo possível de informação!
Acesse nossas redes, confira nosso material e não deixe de compartilhar com sua equipe!