Em março de 2022, a Microsoft começou a bloquear macros em documentos do Office por padrão, dificultando que invasores rodem códigos maliciosos. Dados coletados pela equipe de Pesquisa de Ameaças da HP mostram que, desde o segundo trimestre de 2022, os agentes de ataques têm diversificado suas técnicas para encontrar novas formas de invadir dispositivos e roubar dados. Com base em dados de milhões de endpoints que rodam a HP Wolf Security, a pesquisa contou com as seguintes descobertas:

• Aumento de golpes em escaneamentos de QR code: Desde outubro de 2022, a HP tem identificado campanhas quase diárias de golpes que fazem os usuários escanearem códigos usando seus dispositivos móveis – potencialmente se aproveitando dos mecanismos mais fracos de proteção e detecção nesses aparelhos. Os QR codes direcionam os usuários para websites maliciosos que pedem informações de cartão de crédito e débito. Um dos casos identificados no quarto trimestre, é o de uma campanha de phishing que se passava por uma empresa de entrega de encomendas solicitando pagamento.
• A HP notou um aumento de 38% nos anexos maliciosos em formato PDF: Ataques recentes usam imagens embutidas com link para arquivos ZIP criptografados maliciosos, evitando o escaneamento de gateway da web. O PDF informa uma senha que o usuário é levado a digitar para descomprimir o arquivo ZIP, empregando malware do tipo QakBot ou IcedID para obter acesso não autorizado a sistemas, que, por sua vez, são usados como porta de entrada para a implantação de ransomware.
• 42% dos arquivos maliciosos foram entregues em formatos como ZIP, RAR e IMG: A popularidade desses arquivos aumentou 20% desde o primeiro trimestre de 2022, conforme os agentes de ameaças foram adotando scripts para aplicar seu poder de fogo. Eles são comparáveis aos 38% de malware entregues em documentos do Office, tais como Microsoft Word, Excel e PowerPoint.

“Temos visto distribuidores de malware, como a Emotet, tentando driblar a política mais rígida do Office e usando táticas de engenharia social, que acreditamos estarem se mostrando menos efetivas. Mas, quando uma porta se fecha, outra se abre – como mostra a alta em golpes de escaneamento, propagandas, arquivos e PDFs maliciosos”, explica Alex Holland, analista sênior de malware da equipe de Pesquisa de Ameaças HP Wolf Security, da HP Inc. “Os usuários devem se atentar a e-mails e websites que pedem a leitura de QR codes e dados sensíveis, bem como arquivos PDF com link para arquivos protegidos por senha”.

No quarto trimestre, a HP também encontrou 24 campanhas de malvertising (anúncios maliciosos) imitando projetos de software populares usadas para infectar PCs – contra apenas duas campanhas semelhantes no ano anterior. Nos ataques, os usuários são induzidos a clicar em anúncios de ferramentas de busca, que levarão a sites maliciosos quase idênticos aos reais.

“Embora as técnicas evoluam, os agentes de ameaças ainda dependem da engenharia social para atingir usuários no endpoint”, comenta o doutor Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “As organizações devem implantar um isolamento forte para conter os vetores mais comuns de ataque, como e-mails, navegação na web e downloads. Combinar isso com soluções de proteção de credenciais que avisem os usuários ou evitem que eles preencham informações sensíveis em sites suspeitos reduz muito a superfície de ataque e melhora a postura de segurança de uma organização.”

O HP Wolf Security roda tarefas arriscadas, como abrir anexos de e-mail, baixar arquivos e clicar em links, em micromáquinas virtuais (micro-VMs) isoladas para proteger usuários, captando vestígios detalhados de tentativas de infecção. A tecnologia de isolamento de aplicações da HP mitiga ameaças que possam passar despercebidas e fornece insights exclusivos sobre as novas técnicas de intrusão e comportamento de agentes de ameaças.

O relatório completo pode ser encontrado aqui: https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q4-2022/