Campanha leva utilizadores de sites piratas a descarregar malware ChromeLoader

Os cibercriminosos estão a infiltrar os browsers Chrome dos utilizadores quando tentam descarregar filmes populares ou jogos de vídeo de sites piratas. Os dados são do mais recente relatório trimestral HP Wolf Security Threat Insights.

O estudo indica que a uma campanha que distribui o malware ChromeLoader está a enganar os utilizadores para que instalem uma extensão maliciosa do Chrome chamada Shampoo. Esta pode redirecionar as consultas de pesquisa da vítima para sites maliciosos ou para páginas que vão gerar dinheiro para os grupos criminosos através de campanhas publicitárias. O malware é altamente persistente, usando o Task Scheduler para se reiniciar a cada 50 minutos.

Embora as macros de fontes não fidedignas estejam agora desativadas, a HP assistiu a atacantes a contornarem estes controlos comprometendo uma conta de confiança do Office 365, configurando um novo e-mail da empresa e distribuindo um ficheiro Excel malicioso que infecta as vítimas com o infostealer Formbook.

Mais, os documentos do OneNote podem funcionar como álbuns de recortes digitais, pelo que qualquer ficheiro pode ser anexado aos mesmos. Os atacantes aproveitam-se deste facto para incorporar ficheiros maliciosos por detrás de ícones falsos do tipo ‘clique aqui’. Clicar no ícone falso abre o ficheiro oculto, executando malware para dar aos atacantes acesso à máquina dos utilizadores - este acesso pode depois ser vendido a outros grupos de cibercriminosos e grupos de ransomware.

Grupos sofisticados como o Qakbot e o IcedID incorporaram pela primeira vez malware em ficheiros OneNote em janeiro. Com os kits OneNote agora disponíveis nos mercados de cibercrime e exigindo poucas competências técnicas para serem utilizados, as suas campanhas de malware parecem destinadas a continuar nos próximos meses. 

“Para se protegerem contra as ameaças mais recentes, aconselhamos os utilizadores e as empresas a evitarem descarregar materiais de sítios não fidedignos, em especial de sítios piratas. Os colaboradores devem ter cuidado com documentos internos suspeitos e verificar com o remetente antes de os abrir. As organizações devem também configurar políticas de gateway de e-mail e ferramentas de segurança para bloquearem ficheiros OneNote de fontes externas desconhecidas”, explica Patrick Schläpfer, Analista de Malware na equipa de investigação de ameaças HP Wolf Security.

Desde ficheiros maliciosos até ao contrabando de HTML, o relatório também mostra que os grupos continuam a diversificar os métodos de ataque para contornarem os gateways de correio eletrónico, à medida que os atacantes se afastam dos formatos do Office. Os ficheiros foram o tipo de entrega de malware mais popular (42%) pelo quarto trimestre consecutivo, indicam os resultados, e houve um aumento de 37% nas ameaças de contrabando de HTML no primeiro trimestre em relação ao quarto trimestre.

Adicionalmente, houve um aumento de 4% nas ameaças de PDF no primeiro trimestre em relação ao quarto trimestre e registou-se uma queda de 6% no malware para Excel (19% para 13%) no primeiro trimestre em relação ao quarto trimestre, uma vez que se tornou mais difícil de executar macros. 

Finalmente, o relatório indica que 14% das ameaças de e-mail identificadas pelo HP Sure Click contornaram um ou mais scanners de gateway de e-mail e o principal vetor de ameaça no primeiro trimestre foi o correio eletrónico (80%), seguido dos downloads do browser (13%).

“Para se protegerem contra ataques cada vez mais variados, as organizações devem seguir os princípios de zero trust para isolar e conter atividades de risco, tais como abrir anexos de e-mail, clicar em links ou fazer downloads do browser. Isto reduz significativamente a superfície de ataque e o risco de uma violação”, comenta Ian Pratt, Diretor Global de Segurança para Sistemas Pessoais da HP.