A HP Inc. (NYSE: HPQ) publicou recentemente seu mais recentemente relatório Threat Insights Report, destacando como agentes de ameaças estão usando kits de malware e inteligência artificial generativa (GenAI, na sigla em inglês) para melhorar a eficiência de seus ataques.
Essas ferramentas estão reduzindo o tempo e as habilidades necessários para criar elementos de ataque, permitindo que os hackers se concentrem em experimentar técnicas de evitar a detecção e enganar as vítimas para infectar seus endpoints, por exemplo, embutindo códigos maliciosos em imagens.
Malware
O relatório apresenta uma análise de ataques cibernéticos reais, ajudando as organizações ficarem a par das mais novas técnicas que os cibercriminosos têm usado para escapar da detecção e violar PCs, em um cenário de crimes cibernéticos que muda rapidamente. Com base em dados de milhões de dispositivos que rodam o HP Wolf Security, os pesquisadores da HP identificaram campanhas notáveis, tais como:
- Kits de malware por números: Os pesquisadores da HP observaram grandes campanhas de disseminação dos malware VIP Keylogger e 0bj3ctivityStealer lançando mão das mesmas técnicas e os mesmos veículos, sugerindo o uso de kits de malware para entregar conteúdos diferentes. Em ambas as campanhas, os invasores esconderam o mesmo código malicioso em imagens colocadas em sites de armazenamento de arquivos, como o archive.org, além de usarem o mesmo carregador para instalar o conteúdo final. Tais técnicas ajudam os hackers a contornarem os meios de detecção, uma vez que os arquivos de imagem parecem inofensivos quando baixados de sites conhecidos, driblando dispositivos de segurança da rede, como proxies de internet que se baseiam em reputação.
- GenAI ajudando a criar documentos HTML maliciosos: Os pesquisadores também identificaram uma campanha de cavalo de Troia de acesso remoto (RAT) XWorm iniciada por meio de contrabando de HTML contendo um código malicioso que baixa e roda o malware. Chamou a atenção que, de forma semelhante a uma campanha de AsyncRAT analisada no trimestre anterior, o carregador trazia indicativos de ter sido escrito com ajuda de GenAI, por exemplo, incluindo uma descrição em cada linha e o design da página HMTL.
- Falcatruas em jogos não prosperam: Invasores estão comprometendo ferramentas de cheat e repositórios de modificação de videogames no GitHub, acrescentando arquivos executáveis com o malware Lumma Stealer. Esse infostealer extrai senhas, carteiras digitais e informações dos navegadores das vítimas. Os usuários frequentemente desativam as ferramentas de segurança para baixar e usar cheats, o que os coloca em maior risco de infecção sem tecnologias de isolamento ativas.
“As campanhas analisadas fornecem mais evidências da comoditização do cibercrime. Com os kits de malware por números mais disponíveis, baratos e fáceis de usar, até mesmo novatos com pouco conhecimento e habilidade conseguem montar uma cadeia de infecção efetiva. Acrescente a GenAI para escrever os scripts, e as barreiras de entrada ficam ainda menores. Isso permite que os grupos se concentrem em enganar seus alvos e escolham os melhores conteúdos para a tarefa – por exemplo, mirando jogadores em repositórios de cheats maliciosos”, afirma Alex Holland, diretor de Pesquisa de Ameaças do HP Security Lab.
Ameaças cibernéticas
Ao isolar ameaças que driblaram as ferramentas de detecção em PCs – mas permitindo que o malware seja detonado com segurança –, o HP Wolf Security tem uma visão específica sobre as mais novas técnicas usadas pelos criminosos cibernéticos. Até hoje, os clientes que usam o HP Wolf Security já clicaram em mais de 65 bilhões de anexos de e-mail, páginas na internet e arquivos para download sem violações registradas.
O relatório, que analisa dados do terceiro trimestre de 2024, detalha como os cibercriminosos continuam diversificando seus métodos de ataque para escapar das ferramentas de segurança que dependem de detecção, tais como:
- Pelo menos 11% das ameaças em e-mail identificadas pelo HP Sure Click escaparam de um ou mais escaneamentos de gateway.
- Executáveis foram o veículo de malware mais popular (40%), seguidos por arquivos (34%).
- Houve um aumento notável em arquivos .lzh, que representaram até 11% dos arquivos analisados – a maior parte dos arquivos .lzh maliciosos miraram usuários falantes de japonês.
“Os criminosos cibernéticos estão aumentando rapidamente a variedade, o volume e a velocidade de seus ataques. Se um documento de Excel malicioso é bloqueado, um arquivo do próximo ataque pode escapar da proteção. Ao invés de tentar detectar métodos de infecção que mudam tão rápido, as organizações devem se focar em reduzir sua superfície de ataque. Isso significa isolar e conter atividades arriscadas, tais como abrir anexos de e-mail, clicar em links e fazer download a partir do navegador para reduzir as chances de violações”, explica o Dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc.
O HP Wolf Security[1] roda tarefas arriscadas em máquinas virtuais isoladas reforçadas por hardware que rodam no endpoint a fim de proteger os usuários sem impactar sua produtividade. Também capta rastros detalhados de tentativas de infecção. A tecnologia de isolamento de aplicações da HP reduz ameaças que podem passar despercebidas por outras ferramentas de segurança e fornece insights exclusivos sobre técnicas de intrusão e comportamentos de agentes de ameaças.
Sobre os dados
Estes dados foram coletados entre julho e setembro de 2024 de clientes HP Wolf Security que deram consentimento para isso. ♦