A lógica diz que a maneira mais confiável de evitar um ciberincidente é impedir que o malware penetre na infraestrutura corporativa. Assim, ao desenvolver uma estratégia de segurança da informação, os especialistas geralmente se concentram nos vetores de ataque mais óbvios – como o e-mail. A maioria dos ataques realmente começa com um e-mail, mas não se esqueça de que os cibercriminosos têm muitos outros métodos de entrega de malware em suas “mangas digitais”. Especialistas da Equipe de Pesquisa e Análise Global da Kaspersky têm falado sobre métodos incomuns que encontraram na entrega e infecção por malware, ao analisar ameaças recentes.
Typosquatting para falsificar uma ferramenta
Os criadores do malware apelidado de AdvancedIPSpyware decidiram incorporar seu código na ferramenta Advanced IP Scanner para administradores de sistema. Eles criaram dois sites com exatamente o mesmo design do original, além de nomes de domínio que diferiam apenas por uma letra. Ou seja, eles estavam contando com uma vítima em busca de uma ferramenta de monitoramento de rede local e que acabaria baixando o programa com uma backdoor de um site falso. Curiosamente, a versão maliciosa do Advanced IP Scanner foi assinada com um certificado digital legítimo, que parece ter sido roubado.
Links na descrição de vídeos no Youtube
Os operadores do OnionPoison tentaram fazer algo semelhante: criaram sua própria versão maliciosa do navegador Tor (sem assinatura digital). Mas para distribuir seu navegador falso, eles colocaram um link em um canal popular do YouTube sobre anonimato online, justamente em um vídeo com instruções para instalar o Tor. A versão infectada não pôde ser atualizada e continha um backdoor para baixar uma biblioteca maliciosa adicional. Isso, por sua vez, permitiu que os invasores executassem comandos arbitrários no sistema, além de obter o histórico do navegador e os IDs das contas WeChat e QQ.
Malware espalhado por torrents
Os criadores do CLoader disfarçaram seus instaladores de malware de jogos piratas e softwares úteis. Esse método tende a ser mais voltado para usuários domésticos, mas hoje em dia – com o trabalho remoto adotado por muitas empresas, portanto, rompendo o perímetro corporativo – os torrents maliciosos também tendem a representar uma ameaça aos computadores de trabalho. As vítimas que tentaram baixar software pirata por meio de torrents se infectaram com malware capaz de funcionar como um servidor proxy na máquina comprometida e instalar malwares adicionais ou conceder acesso remoto não autorizado ao sistema.
Movimento de canal lateral por meio de ferramentas legítimas
As versões mais recentes do ransomware BlackBasta podem se espalhar por uma rede local usando determinadas tecnologias da Microsoft. Depois de infectar um único computador, ele pode se conectar ao Active Directory por meio da biblioteca LDAP, obter uma lista de computadores na rede local, copiar o malware para eles e executá-lo remotamente usando o Component Object Model (COM). Esse método deixa menos rastros no sistema e torna a detecção mais difícil.
Como se manter protegido
Esses exemplos mostram que a infraestrutura corporativa precisa de proteção abrangente. Claro, uma solução que verifique todos os e-mails recebidos em busca de phishing, links maliciosos e anexos provavelmente protegerá contra a maioria dos ataques. Mas lembre-se de que qualquer computador com acesso à Internet deve estar equipado com sua própria proteção contra malwares. E para entender melhor o que está acontecendo em sua rede corporativa, é uma boa ideia implantar também soluções de classe EDR.