Arquivos compactados tornam-se o formato preferido para entrega de malware

A equipe da HP Wolf Security descobriu que os cibercriminosos estão usando arquivos compactados como o método preferido para espalhar malware, superando o Microsoft Office pela primeira vez.

Arquivos compactados como os formatos .zip e .rar são agora o método mais popular para espalhar infecções por malware.

As descobertas de um relatório da HP Wolf Security marcam a primeira vez nos registros do fornecedor que os documentos do Microsoft Office não eram o formato de arquivo mais popular para uso em ataques de malware. O relatório do terceiro trimestre da empresa mostra que os arquivos arquivados registraram uma participação de ataque de 42%, enquanto o Office ficou um pouco atrás, com 40%.

O relatório trimestral de insights sobre ameaças do terceiro trimestre de 2022 também encontrou um aumento significativo na popularidade dos arquivos, já que os formatos viram seu uso crescer cerca de 22% desde o primeiro trimestre do ano. De acordo com a equipe HP Wolf Security, o principal atrativo dos arquivos compactados para os agentes de ameaças é que eles são mais difíceis de detectar.

“Os arquivos são atraentes para os agentes de ameaças porque são facilmente criptografados, dificultando a detecção de malware por proxies da web, sandboxes e scanners de e-mail”, explicou o relatório. “Além disso, muitas organizações usam arquivos criptografados por motivos legítimos, dificultando a rejeição de anexos de e-mail de arquivo criptografado por política”.

Alex Holland, analista sênior de malware da HP, disse ao TechTarget Editorial que o afastamento dos arquivos do Office provavelmente continuará, com a Microsoft fazendo sua parte para bloquear o formato.

“A tendência de afastamento dos arquivos do Office está em andamento desde fevereiro deste ano, quando a Microsoft reforçou a política de macro padrão no Office, tornando mais difícil para os invasores executar malware a partir de documentos”, explicou Holland por e-mail.

“Desde então, vimos mais agentes de ameaças – como os que distribuem QakBot e IcedID – mudarem para formatos de entrega alternativos, como atalhos do Windows (LNK), ISOs, arquivos HTML e arquivos criptografados”.

Além do aumento de arquivos compactados, a HP Wolf Security registrou um aumento no que chama de ataques de ” contrabando de HTML “, que, da mesma forma, podem burlar as regras de segurança usando tipos de arquivo comuns.

Nesse cenário, o usuário recebe o que parece ser um arquivo PDF, mas na verdade é carregado com HTML. Abrir o PDF faz com que o usuário seja redirecionado para uma página de downloader falsa para um leitor comum, como o Adobe Acrobat. A página então tenta oferecer um arquivo compactado que contém a carga real do malware.

Os pesquisadores observaram que um grupo em particular, o QakBot , favorece a técnica de contrabando de HTML para colocar seu malware nas máquinas dos usuários finais. O grupo, que havia entrado em hiato durante o verão, começou a retomar suas atividades.

“O QakBot é uma família de malware altamente capaz que tem sido usada por agentes de ameaças para roubar dados e implantar ransomware”, observou o relatório.

“Notavelmente, a maioria dessas novas campanhas depende do contrabando de HTML para infectar sistemas, marcando um afastamento dos documentos maliciosos do Office como o mecanismo de entrega preferido para essa família de malware”.

Por fim, a equipe descobriu que uma abordagem retrô do ransomware está voltando. O Magniber, conhecido como uma operação de “ransomware de cliente único”, ganha dinheiro não visando grandes organizações e exigindo resgates multimilionários, mas procurando PCs individuais, bloqueando os dados e pedindo aos usuários um pagamento de US$ 2.500.

A técnica remonta aos primórdios do ransomware, quando máquinas individuais eram atacadas em massa com a esperança de obter um número maior de infecções bem-sucedidas e pagamentos de resgate. Holland disse que a mudança para um único cliente pode pegar outros grupos.

“Todo agente de ameaça tem um conjunto diferente de capacidades e recursos que influenciam em quais táticas, técnicas e procedimentos eles usam”, explicou ele.

“Direcionar indivíduos com ransomware de cliente único como o Magniber requer menos experiência, portanto, esse estilo de ataque pode atrair agentes de ameaças com menos recursos e know-how que estão dispostos a aceitar resgates mais baixos das vítimas”.