Volume de deteções de malware em endpoints diminui 20%

Houve uma redução nas deteções globais de malware no segundo trimestre, face aos picos registados na primeira metade de 2021. Os dados são do mais recente Relatório de Segurança de Internet da WatchGuard Technologies, que detalha as principais tendências de malware e ameaças à segurança de rede analisadas pelos investigadores do Laboratório de Ameaças da WatchGuard.

Os dados revelam, também, um aumento das ameaças para o Chrome e o Microsoft Office, e o ressurgimento contínuo da botnet Emotet. “Enquanto os ataques globais de malware no segundo trimestre caíram dos máximos de sempre vistos nos trimestres anteriores, mais de 81% das deteções vieram através de ligações encriptadas TLS, dando continuidade a uma preocupante tendência ascendente”, afirmou Corey Nachreiner, Chief Security Officer da WatchGuard. “Isto pode refletir uma mudança de táticas dos cibercriminosos para confiarem em malware mais esquivo”, completa.

As exploits do Office continuam a espalhar-se mais do que qualquer outra categoria de malware, referem os investigadores. O principal incidente do trimestre foi a exploração do Follina Office (CVE-2022-30190), que foi reportada pela primeira vez em abril e corrigida no final de maio. Entregue através de um documento malicioso, a Follina conseguiu contornar o Windows Protected View e o Windows Defender e tem sido ativamente explorada por cibercriminosos, incluindo Estados-nação. Três outras explorações do Office (CVE-2018-0802, RTF-ObfsObjDat.Gen, e CVE-2017-11882) foram amplamente detetadas na Alemanha e na Grécia.

Adicionalmente, os resultados notam que as deteções de malware em endpoints foram globalmente reduzidas, mas não equitativamente. Apesar de uma diminuição de 20% no total de deteções de malware em endpoints, o malware que explora os browsers aumentou coletivamente em 23%, com o Chrome a ver um aumento de 50%. Uma potencial razão para o aumento das deteções no Chrome é a persistência de várias explorações de zero-day. Os scripts continuaram a ser responsáveis pela maior parte das deteções em endpoints (87%) no segundo trimestre.

O relatório, que tem por base dados anónimos da Firebox Feed de Fireboxes WatchGuard, indica, ainda, que as dez principais assinaturas foram responsáveis por mais de 75% das deteções de ataques de rede. Neste trimestre, registou-se um aumento do direcionamento de ataques aos sistemas ICS e SCADA, que controlam equipamentos e processos industriais, incluindo novas assinaturas (WEB Directory Traversal -7 e WEB Directory Traversal -8). As duas assinaturas são muito semelhantes: a primeira explora uma vulnerabilidade descoberta pela primeira vez em 2012, num software de interface SCADA específico, enquanto a segunda é mais amplamente detetada na Alemanha.

O Emotet continua em ascensão, em grande escala. Embora o volume do Emotet tenha diminuído desde o último trimestre, este continua a ser uma das maiores ameaças da segurança da rede. Uma das dez maiores deteções de malware encriptado do trimestre, o XLM.Trojan.abracadabra - um injector Win Code que espalha o botnet do Emotet -, foi amplamente observado no Japão.