As explorações do Office continuam a se espalhar mais do que qualquer outra categoria de malware

Explorações de escritório em ascensão

“Embora os ataques gerais de malware no segundo trimestre tenham caído dos recordes observados nos trimestres anteriores, mais de 81% das detecções vieram por meio de conexões criptografadas TLS, dando continuidade a uma preocupante tendência de alta”, disse Corey Nachreiner , CSO da WatchGuard. “Isso pode refletir os agentes de ameaças mudando suas táticas para confiar em malwares mais indescritíveis”.

O Relatório de segurança da Internet do segundo trimestre mostra que as explorações do Office continuam a se espalhar mais do que qualquer outra categoria de malware. O principal incidente do trimestre foi o exploit Follina Office ( CVE-2022-30190 ), que foi relatado pela primeira vez em abril e não corrigido até o final de maio.

Entregue por meio de um documento malicioso, o Follina conseguiu contornar o Windows Protected View e o Windows Defender e foi ativamente explorado por agentes de ameaças, incluindo estados-nação. Três outras explorações do Office ( CVE-2018-0802 , RTF-ObfsObjDat.Gen e CVE-2017-11882) foram amplamente detectadas na Alemanha e na Grécia.

Detecções de endpoints

Os pesquisadores da WatchGuard também descobriram que as detecções de malware em endpoints caíram no geral, mas não igualmente. Apesar de uma redução de 20% no total de detecções de malware de endpoint , os navegadores que exploram malware aumentaram coletivamente em 23%, com o Chrome tendo um aumento de 50%.

Uma possível razão para o aumento nas detecções do Chrome é a persistência de várias explorações de dia zero. Os scripts continuaram a representar a maior parte das detecções de endpoints (87%) no segundo trimestre.

Outra descoberta importante do relatório é que as 10 principais assinaturas foram responsáveis ​​por mais de 75% das detecções de ataques à rede. Neste trimestre houve um aumento no direcionamento de sistemas ICS e SCADA que controlam equipamentos e processos industriais, incluindo novas assinaturas (WEB Directory Traversal -7 e WEB Directory Traversal -8). As duas assinaturas são muito semelhantes; o primeiro explora uma vulnerabilidade descoberta pela primeira vez em 2012 em um software de interface SCADA específico, enquanto o segundo é mais amplamente detectado na Alemanha.

Emotet continua a ser uma grande ameaça

A WatchGuard também alerta para um Emotet ressurgente. Embora o volume tenha diminuído desde o último trimestre, o Emotet continua sendo uma das maiores ameaças à segurança de rede. Uma das 10 principais detecções gerais de malware do trimestre e as 5 principais detecções de malware criptografado, o XLM.Trojan.abracadabra – um injetor de código Win que espalha o botnet Emotet – foi amplamente visto no Japão.

Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anônimos do Firebox Feed de WatchGuard Fireboxes ativos cujos proprietários optaram por compartilhar dados em apoio direto aos esforços de pesquisa do Threat Lab. No segundo trimestre, a WatchGuard bloqueou um total de mais de 18,1 milhões de variantes de malware (234 por dispositivo) e mais de 4,2 milhões de ameaças de rede (55 por dispositivo).

Fonte: https://www.helpnetsecurity.com/