A segurança em camadas torna-se crítica à medida que os ataques de malware aumentam

Detecções de malware durante o segundo trimestre de 2020

Os invasores continuam a aproveitar ameaças evasivas e criptografadas. O malware de dia zero representou mais de dois terços do total de detecções no segundo trimestre, enquanto os ataques enviados por conexões HTTPS criptografadas foram responsáveis ​​por 34%. Isso significa que as organizações que não são capazes de inspecionar o tráfego criptografado perderão um terço das ameaças de entrada.

Embora a porcentagem de ameaças usando criptografia tenha diminuído de 64% no primeiro trimestre, o volume de malware criptografado por HTTPS aumentou drasticamente. Parece que mais administradores estão realizando as etapas necessárias para habilitar a inspeção HTTPS, mas ainda há mais trabalho a ser feito.

“As empresas não são as únicas que ajustaram as operações devido à pandemia global COVID-19 – os cibercriminosos também”, disse Corey Nachreiner , CTO da WatchGuard.

“O aumento de ataques sofisticados , apesar do fato de que as detecções gerais de malware diminuíram no segundo trimestre de 2020, provavelmente devido à mudança para o trabalho remoto, mostra que os invasores estão se voltando para táticas mais evasivas que as defesas anti-malware tradicionais baseadas em assinatura simplesmente não conseguem pegar.

“Cada organização deve priorizar a detecção de ameaças baseada em comportamento, sandboxing baseado em nuvem e um conjunto em camadas de serviços de segurança para proteger a rede central, bem como as forças de trabalho remotas.”

Ataques baseados em JavaScript estão aumentando

O script de scam Trojan.Gnaeus fez sua estreia no topo da lista dos 10 principais malwares da WatchGuard no segundo trimestre, representando quase uma em cinco detecções de malware. O malware Gnaeus permite que os agentes de ameaças sequestrem o controle do navegador da vítima com código ofuscado e redirecionem à força para longe de seus destinos pretendidos da Web para domínios sob o controle do invasor.

Outro ataque de JavaScript no estilo pop-up, JS PopUnder, foi uma das variantes de malware mais difundidas no último trimestre. Nesse caso, um script ofuscado verifica as propriedades do sistema da vítima e bloqueia as tentativas de depuração como uma tática anti-detecção.

Para combater essas ameaças, as organizações devem evitar que os usuários carreguem uma extensão do navegador de uma fonte desconhecida, manter os navegadores atualizados com os patches mais recentes, usar adblockers confiáveis ​​e manter um mecanismo antimalware atualizado.

Os invasores usam cada vez mais arquivos criptografados do Excel para ocultar malware

XML-Trojan.Abracadabra é uma nova adição à lista das 10 principais detecções de malware, mostrando um rápido crescimento em popularidade desde o surgimento da técnica em abril.

Abracadabra é uma variante de malware entregue como um arquivo Excel criptografado com a senha “VelvetSweatshop”, a senha padrão para documentos Excel. Depois de aberto, o Excel descriptografa automaticamente o arquivo e um script VBA de macro dentro da planilha baixa e executa um executável.

O uso de uma senha padrão permite que esse malware contorne muitas soluções antivírus básicas, uma vez que o arquivo é criptografado e, em seguida, descriptografado pelo Excel. As organizações nunca devem permitir macros de uma fonte não confiável e aproveitar sandboxing baseado em nuvem para verificar com segurança a verdadeira intenção de arquivos potencialmente perigosos antes que eles possam causar uma infecção.

Um ataque DoS antigo e altamente explorável está de volta

Uma vulnerabilidade DoS de seis anos afetando WordPress e Drupal apareceu em uma lista dos 10 principais ataques de rede por volume no segundo trimestre. Essa vulnerabilidade é particularmente grave porque afeta todas as instalações do Drupal e WordPress sem patch e cria cenários DoS nos quais agentes mal-intencionados podem causar esgotamento da CPU e da memória no hardware subjacente.

Apesar do alto volume desses ataques, eles eram hiper-focados em algumas dezenas de redes, principalmente na Alemanha. Como os cenários DoS exigem tráfego sustentado para as redes das vítimas, isso significa que há uma grande probabilidade de que os invasores selecionaram seus alvos intencionalmente.

Domínios de malware alavancam servidores de comando e controle para causar estragos

Dois novos destinos ocuparam a lista de principais domínios de malware no segundo trimestre. O mais comum foi o site findresults [.] , Que usa um servidor C&C para uma variante do trojan Dadobra que cria um arquivo ofuscado e o registro associado para garantir que o ataque seja executado e pode exfiltrar dados confidenciais e baixar malware adicional quando os usuários inicializam os sistemas Windows.

Um usuário alertou a equipe WatchGuard sobre Cioco-froll [.] Com, que usa outro servidor C&C para oferecer suporte a uma variante de botnet Asprox, muitas vezes entregue via documento PDF, e fornece um beacon C&C para permitir que o invasor saiba que ganhou persistência e está pronto para participar do botnet.

O firewall do DNS pode ajudar as organizações a detectar e bloquear esses tipos de ameaças, independentemente do protocolo do aplicativo para a conexão.

Fonte: https://www.helpnetsecurity.com/2020/09/25/malware-detections-q2-2020/