Relatório revela novas tendências de engenharia social baseada em browsers

A WatchGuard anunciou as descobertas de seu mais recente Relatório de Segurança na Internet, detalhando as principais tendências de malware e ameaças à segurança de redes e endpoints analisadas pelos investigadores do Laboratório de Ameaças da WatchGuard no primeiro trimestre de 2023. 

As principais conclusões dos dados mostram que os phishers estão a utilizar estratégias de engenharia social baseadas no browser, novo malware com ligações a Estados-nação, grandes quantidades de malware de zero-day, ataques de living-off-the-land em ascensão e muito mais. Esta edição do relatório também inclui uma nova secção dedicada ao rastreio e análise trimestrais de ransomware da equipa do Laboratório de Ameaças. 

“As organizações precisam de prestar uma atenção mais ativa e contínua às soluções e estratégias de segurança em que as suas empresas confiam para se manterem protegidas contra ameaças cada vez mais sofisticadas”, afirmou Corey Nachreiner, Diretor de Segurança da WatchGuard. “Os principais temas e as práticas recomendadas correspondentes que o nosso Laboratório de Ameaças delineou neste relatório enfatizam fortemente as defesas contra malware em camadas para combater ataques de living-off-the-land, o que pode ser feito de forma simples e eficaz com uma plataforma de segurança unificada administrada por provedores de serviços gerenciados dedicados”.

Entre as descobertas mais relevantes do Relatório de Segurança na Internet do primeiro trimestre de 2023, destacam-se:  

• Novas tendências de engenharia social baseadas no browser: agora que os browsers têm mais proteção contra o abuso de pop-ups, os atacantes passaram a utilizar as funcionalidades de notificação do browser para forçar tipos semelhantes de interações. De salientar, também, um novo destino na lista dos principais domínios maliciosos deste trimestre, que envolve atividades de envenenamento de SEO;
• Agentes de ameaças da China e da Rússia estão por detrás de 75% das novas ameaças na lista das dez principais ameaças do primeiro trimestre: três das quatro novas ameaças que se estrearam na nossa lista das dez principais ameaças de malware deste trimestre têm fortes ligações a Estados-nação, embora isso não signifique necessariamente que esses agentes maliciosos sejam de facto patrocinados pelo Estado. Um exemplo no mais recente relatório da WatchGuard é a família de malware Zuzy, que aparece pela primeira vez na lista dos dez principais malwares deste trimestre. Uma amostra do Zusy que o Laboratório de Ameaças encontrou visa a população chinesa com adware que instala um browser comprometido. Depois, o browser é utilizado para sequestrar as definições do Windows do sistema e como browser pré-definido;
• Persistência de ataques contra produtos do Office, Firewall ISA da Microsoft em fim de vida: os analistas do Laboratório de Ameaças continuam a assistir a ameaças baseadas em documentos que visam produtos do Office na lista de malware mais difundido neste trimestre. Do lado da rede, a equipa também observou que os exploits contra a firewall da Microsoft agora descontinuada, o Internet Security and Acceleration (ISA) Server, obtiveram um número relativamente elevado de acessos. Considerando que este produto está há muito descontinuado e sem atualizações, é surpreendente que os atacantes o tenham como alvo;
• Ataques de living-off-the-land em ascensão: o malware ViperSoftX analisado na análise Q1 DNS é o mais recente exemplo de malware que aproveita as ferramentas incorporadas nos sistemas operativos para atingir os seus objetivos. O aparecimento contínuo de malware baseado no Microsoft Office e no PowerShell nestes relatórios, trimestre após trimestre, sublinha a importância da proteção dos endpoints, que pode diferenciar a utilização legítima e maliciosa de ferramentas populares como o PowerShell;
• Drops de malware direcionados a sistemas baseados em Linux: uma das novas principais deteções de malware por volume no primeiro trimestre foi um dropper de malware direcionado a sistemas baseados em Linux. Um lembrete claro de que, só porque o Windows é rei no espaço empresarial, isso não significa que as organizações se podem dar ao luxo de fechar os olhos ao Linux e ao macOS. Certifique-se de que inclui máquinas não-Windows quando implementar a Deteção e Resposta de Endepoints (EDR), para manter a cobertura total do seu ambiente;
• O malware de zero-day é responsável pela maioria das deteções: no trimestre em análise, houve 70% de deteções de malware zero-day em tráfego web não encriptado e uns impressionantes 93% de deteções de malware zero-day a partir de tráfego web encriptado. O malware zero-day pode infetar dispositivos IoT, servidores mal configurados e outros dispositivos que não usam defesas robustas baseadas em host, como o WatchGuard EPDR (Endpoint Protection Defense and Response);
• Novos insights baseados em dados de rastreamento de ransomware: no 1.º trimestre de 2023, o Laboratório de Ameaças registou 852 vítimas publicadas em sites de extorsão e descobriu 51 novas variantes de ransomware. Estes grupos de ransomware continuam a publicar vítimas a uma taxa assustadoramente elevada, algumas das quais organizações bem conhecidas e empresas da Fortune 500.

Consistente com a abordagem da Plataforma de Segurança Unificada da WatchGuard® e com as atualizações trimestrais de pesquisa anteriores do Laboratório de Ameaças da WatchGuard, os dados analisados neste relatório trimestral são baseados em inteligência de ameaças anónima e agregada de produtos ativos de rede e endpoint da WatchGuard, cujos proprietários optaram por partilhar em apoio direto aos esforços de pesquisa da WatchGuard. 

Como novidade para esta análise do primeiro trimestre de 2023, a equipa do Laboratório de Ameaças atualizou os métodos utilizados para normalizar, analisar e apresentar os resultados do relatório. Embora os resultados de pesquisas trimestrais anteriores tenham sido apresentados principalmente no agregado (como volumes totais globais), neste trimestre, e daqui para frente, os resultados de segurança de rede serão apresentados como médias por dispositivo para todos os dispositivos de rede relatados.