A WatchGuard Technologies lançou os resultados de seu mais recente Internet Security Report, que observou novas instâncias de cibercriminosos utilizando “EtherHiding”, um método de incorporar scripts maliciosos PowerShell em blockchains, como contratos inteligentes da Binance. Nesses casos, uma mensagem de erro falsa com um link para o script malicioso aparece em sites comprometidos, induzindo as vítimas a “atualizarem seus navegadores”. Códigos maliciosos em blockchains representam uma ameaça de longo prazo, pois blockchains não são projetadas para serem alteradas, tornando-se, teoricamente, um hospedeiro imutável de conteúdo malicioso.
Além disso, entre os principais achados do relatório está que 7 das 10 principais ameaças de malware por volume eram novas neste trimestre, indicando que os atores maliciosos estão mudando suas técnicas. As novas ameaças incluem Lumma Stealer, um malware avançado projetado para roubar dados sensíveis de sistemas comprometidos; uma variante do Botnet Mirai, que infecta dispositivos inteligentes e os transforma em bots controlados remotamente; e o malware LokiBot, que visa dispositivos Windows e Android com o objetivo de roubar credenciais.
“As últimas descobertas no Internet Security Report do segundo trimestre de 2024 mostram como os cibercriminosos tendem a seguir padrões de comportamento, com certas técnicas de ataque se tornando populares em ondas”, disse Corey Nachreiner, diretor de segurança da WatchGuard Technologies. “Nossos resultados também destacam a importância de atualizar e corrigir rotineiramente softwares e sistemas para resolver vulnerabilidades e garantir que os atacantes não possam explorar brechas antigas. Adotar uma abordagem de defesa em profundidade, que pode ser executada de forma eficaz por um provedor de serviços gerenciados, é um passo vital para combater esses desafios de segurança.”
Outras descobertas
As detecções de malware caíram 24% no total. Essa queda foi causada por uma redução de 35% nas detecções baseadas em assinatura. No entanto, os cibercriminosos estavam simplesmente mudando o foco para malwares mais evasivos. No segundo trimestre de 2024, o mecanismo avançado de comportamento da Threat Lab, que identifica ransomware, ameaças de dia zero e malwares evolutivos, detectou um aumento de 168% nas detecções de malware evasivo em relação ao trimestre anterior.
Ataques de rede aumentaram 33% em comparação com o primeiro trimestre de 2024. Entre as regiões, a Ásia-Pacífico representou 56% de todas as detecções de ataques de rede, mais do que dobrando desde o trimestre anterior.
Uma vulnerabilidade no NGINX, detectada originalmente em 2019, foi o principal ataque de rede por volume no segundo trimestre de 2024, embora não tenha aparecido entre os 50 principais ataques de rede em trimestres anteriores. A vulnerabilidade representou 29% do volume total de detecções de ataques de rede, ou aproximadamente 724.000 detecções nos EUA, EMEA e APAC.
O kit de hacking Fuzzbunch emergiu como a segunda maior ameaça de malware em endpoints detectada por volume. O kit, que serve como uma estrutura de código aberto para atacar sistemas operacionais Windows, foi roubado durante o ataque do Shadow Brokers ao Equation Group, um contratante da NSA, em 2016.
Setenta e quatro por cento de todos os ataques de malware em endpoints iniciados por navegadores visaram navegadores baseados no Chromium, incluindo Google Chrome, Microsoft Edge e Brave.
Uma assinatura que detecta conteúdo web malicioso, trojan.html.hidden.1.gen, foi a quarta variante de malware mais difundida. A categoria de ameaça mais comum detectada por essa assinatura envolveu campanhas de phishing que coletam credenciais do navegador do usuário e as enviam para um servidor controlado por atacantes. Curiosamente, o Threat Lab observou uma amostra dessa assinatura direcionada a estudantes e funcionários da Valdosta State University, na Geórgia.
Em consonância com a abordagem da Plataforma de Segurança Unificada da WatchGuard e as atualizações de pesquisa trimestrais anteriores do Threat Lab, os dados analisados neste relatório trimestral são baseados em inteligência de ameaças anonimizada e agregada de produtos ativos de rede e endpoint da WatchGuard, cujos proprietários optaram por compartilhar diretamente para apoiar os esforços de pesquisa da WatchGuard.