Vulnerabilidades antigas em Word e Excel continuam como desafio da cibersegurança

Pesquisadores dissecaram antigas vulnerabilidades que ainda representam riscos, pois continuam sendo ameaças ativas e exploradas por malwares como GuLoader, Agent Tesla, Formbook e até mesmo grupo Gamaredon APT que miram setores lucrativos como finanças, governo e saúde

Compartilhar:

A Check Point Research (CPR) realizou uma análise detalhada sobre três vulnerabilidades (CVEs – Common Vulnerabilities and Exposures) antigas e conhecidas usadas em Microsoft Word e Microsoft Excel, apresentando as estatísticas sobre setores e países atacados.

 

A equipe da CPR destaca também as cargas úteis (payloads) entregues por MalDocs (Malicious Documents – técnica que usa arquivos PDF e Word para infectar PCs), tendo investigado as “iscas” usadas em diferentes campanhas de ataque. “Descrevemos vários truques que podem ajudar MalDocs a enganar sandboxes automatizadas, mesmo que as vulnerabilidades usadas sejam bem conhecidas e antigas”, diz Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Research (CPR).

 

No mundo em constante evolução da segurança cibernética, novas ameaças surgem diariamente. No entanto, algumas vulnerabilidades antigas, especificamente no Microsoft Word e no Excel, continuam a representar riscos significativos. Isso inclui as vulnerabilidades CVE-2017-11882, CVE-2017-0199 e CVE-2018-0802, que ainda são efetivamente utilizadas em ciberataques, apesar de não serem vulnerabilidades de dia zero.

 

Uso por malwares notáveis

 

Essas vulnerabilidades têm desempenhado um papel fundamental na propagação de várias famílias de malwares. Por exemplo, o malware Dridex explorou o CVE-2017-0199 em 2017, enquanto os malwares GuLoader e Agent Tesla utilizaram a CVE-2017-11882 em anos subsequentes. Outro exemplo inclui o grupo Gamaredon APT explorando a CVE-2017-0199 em 2023. Esses ataques visam principalmente setores com alto potencial de lucro, como bancos, governo e saúde.

 

Dificuldades na detecção

 

Apesar de serem conhecidos há vários anos, esses MalDocs frequentemente escapam das redes de segurança, pois empregam diversas técnicas para evitar detecção, incluindo criptografia, URLs peculiares e ofuscação de shellcode. Isso os torna particularmente desafiadores para sistemas de segurança automatizados os detectarem e neutralizarem.

 

Insights sobre setores e países atacados

 

O uso de MalDocs aproveitando vulnerabilidades antigas tem sido notavelmente prevalente em setores nos quais há potencial significativo de exploração de dados e ganhos financeiros. Esses setores incluem:

 

Finanças/Bancos: Dados financeiros sensíveis tornam este setor um alvo principal para cibercriminosos. Os ataques de malware muitas vezes visam roubar credenciais, manipular transações ou obter acesso direto a recursos financeiros.

 

Órgãos Governamentais: Esses ataques geralmente se concentram na extração de informações confidenciais do estado, na interrupção de serviços públicos ou em espionagem.

 

Saúde: Com acesso a informações pessoais de saúde e infraestrutura crítica, este setor é vulnerável a ransomware e roubo de dados.

 

“Os MalDocs foram projetados para fornecer payloads que estão no topo das listas de malwares prevalentes, indicando uma abordagem estratégica e direcionada pelos atacantes. Esses payloads frequentemente fazem parte de campanhas mais extensas com objetivos específicos, seja ganho financeiro, roubo de dados ou interrupção de serviços”, explica Chailytko.

 

O especialista chama atenção ainda sobre a dispersão geográfica desses ataques que também é notável. Embora a análise da CPR não forneça detalhes específicos sobre cada país afetado, os pesquisadores observam que países com importância econômica ou geopolítica significativa têm mais probabilidade de serem alvos. Isso pode ser devido ao maior valor dos dados ou sistemas nessas regiões ou à sua importância nos assuntos globais.

 

Os payloads entregues por esses MalDocs incluem vários tipos de malware, cada um projetado para fins específicos:

 

. Trojans Bancários como Dridex: Destinados a roubar credenciais bancárias.

. Downloaders como GuLoader: Usados para instalar software malicioso adicional.

. Infostealers (ladrões de informações) como Agent Tesla e Formbook: Projetados para extrair informações sensíveis como credenciais de login e dados pessoais.

 

Diferentes campanhas de ataque

 

As iscas usadas nessas campanhas são cuidadosamente elaboradas para atrair o alvo a abrir o MalDoc. Essas iscas podem ser:

 

. E-mails imitando comunicações legítimas: parecendo ser de fontes confiáveis, como bancos ou órgãos governamentais.

. Temas Atuais: aproveitando eventos atuais ou tópicos em alta para despertar curiosidade ou urgência.

. Conteúdo Personalizado: adaptado aos interesses ou atividades do alvo, com base em informações coletadas.

 

Truques para enganar sandboxes automatizadas

 

Apesar da idade dessas CVEs, os MalDocs evoluíram para burlar as defesas de segurança modernas, especialmente as sandboxes automatizadas, por meio de várias técnicas:

 

. Ofuscação de Código Malicioso: Uso de técnicas como criptografia e codificação para ocultar a verdadeira natureza do código.

 

. Uso de URLs e Nomes de Domínio com Aparência Legítima: Para evitar levantar suspeitas em sistemas automatizados.

 

. Shellcode com Instruções de “Lixo”: Incluindo código ou comandos irrelevantes para enganar ferramentas de análise automatizadas.

 

. Execução Baseada em Tempo: Algumas ações maliciosas são adiadas ou acionadas por interações específicas do usuário, que podem não ser replicadas em um ambiente de sandbox.

 

. Modelos e Links Remotos Sem Extensões: Para tornar menos óbvio o que o site contatado revelará, complicando a detecção para soluções de segurança.

 

. Truques de Formatação de Documentos: Como exigir que o usuário “habilite a edição” ou “habilite o conteúdo”, o que pode burlar algumas medidas de segurança automatizadas que não interagem com documentos como um usuário faria.

 

. Incorporação de Cargas Maliciosas em Formatos de Arquivo Não Executáveis: Como documentos do Word ou Excel, que têm menos probabilidade de serem sinalizados como perigosos em comparação com arquivos executáveis.

 

Táticas em Evolução

 

Essas técnicas demonstram a adaptabilidade dos cibercriminosos diante das medidas avançadas de segurança cibernética. O uso de iscas bem elaboradas e táticas sofisticadas de evasão torna desafiador para os sistemas automatizados acompanharem, exigindo uma combinação de tecnologias de detecção avançadas e maior conscientização dos usuários para combater efetivamente essas ameaças.

 

“Embora as CVEs em questão não sejam novas, sua exploração contínua destaca a necessidade de atenção e prevenção contínuas nas práticas de segurança cibernética. Compreender os setores, países e a natureza evolutiva desses ataques é crucial para desenvolver estratégias de defesa eficazes contra essas ameaças persistentes”, conclui Alexander Chailytko, da CPR.

 

Conclusão e Recomendações

 

A relevância contínua dessas vulnerabilidades antigas destaca a importância da vigilância em segurança cibernética. Para mitigar esses riscos, é essencial:

 

. Manter sistemas operacionais e aplicativos atualizados.

. Ter cautela com e-mails inesperados contendo links, especialmente de remetentes desconhecidos.

. Reforçar a conscientização em segurança cibernética entre os funcionários.

. Consultar especialistas em segurança para quaisquer dúvidas ou incertezas.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Era da desconfiança: como Zero Trust e Privileged Access Management bloqueiam ações criminosas?

Apesar de haver uma sensação de cuidado e Segurança com o controle de acesso, pesquisas mostram que apenas 20% das...
Security Report | Overview

69% dos brasileiros creem que seus aparelhos espionam conversas, relata pesquisa

Sobre as leis de proteção de dados, apenas 32% dos entrevistados afirmaram que realmente se sentem protegidos...
Security Report | Overview

Novo relatório aponta detecção generalizada de malware contra SmartTVs corporativas

Uma análise recente mostra um aumento nas detecções de malware direcionado a endpoints e um crescimento significativo no direcionamento de...
Security Report | Overview

Ataques DDoS em 2024 levam a novas perdas críticas do mercado, afirma player

DDoS é o tipo de ciberataque que impede o acesso a sistemas ao forçar o processamento deles até o limite...