A WatchGuard publicou os resultados de seu Internet Security Report, uma análise trimestral detalhando as principais ameaças de malware, rede e segurança de endpoints observadas pelos pesquisadores do WatchGuard Threat Lab durante o segundo trimestre de 2024. Entre os principais achados do relatório está o fato de que o Threat Lab observou novas instâncias de cibercriminosos utilizando “EtherHiding”, um método de incorporar scripts maliciosos PowerShell em blockchains, tais como contratos inteligentes da Binance. Nesses casos, uma mensagem de erro falsa e com um link para o script malicioso aparece em sites comprometidos, induzindo as vítimas a “atualizarem seus navegadores”. Códigos maliciosos em blockchains representam uma ameaça de longo prazo, pois blockchains não são projetadas para serem alteradas, tornando-se, teoricamente, um hospedeiro imutável de conteúdo malicioso.
Leia também
Autoridades recuperam US$ 42 milhões roubados em BEC
Após interrupção, LockBit desafia autoridades e promete retornar
“As últimas descobertas no Internet Security Report do segundo trimestre de 2024 mostram como os cibercriminosos tendem a seguir padrões de comportamento, com certas técnicas de ataque se tornando populares em ondas”, disse Corey Nachreiner, diretor de segurança da WatchGuard Technologies. “Nossos resultados também destacam a importância de atualizar e corrigir rotineiramente softwares e sistemas para resolver vulnerabilidades e garantir que os atacantes não possam explorar brechas antigas. Adotar uma abordagem de defesa em profundidade, que pode ser executada de forma eficaz por um provedor de serviços gerenciados, é um passo vital para combater esses desafios de segurança.”
7 das 10 principais ameaças de malware por volume eram novas neste trimestre, indicando que os atores maliciosos estão mudando suas técnicas. As novas ameaças incluem Lumma Stealer, um malware avançado projetado para roubar dados sensíveis de sistemas comprometidos; uma variante do Botnet Mirai, que infecta dispositivos inteligentes e os transforma em bots controlados remotamente; e o malware LokiBot, que visa dispositivos Windows e Android com o objetivo de roubar credenciais.
Outras descobertas importantes incluem:
- As detecções de malware caíram 24% no total. Essa queda foi causada por uma redução de 35% nas detecções baseadas em assinatura. No entanto, os cibercriminosos estavam simplesmente mudando o foco para malwares mais evasivos. No segundo trimestre de 2024, o mecanismo avançado de comportamento da Threat Lab, que identifica ransomware, ameaças de dia zero e malwares evolutivos, detectou um aumento de 168% nas detecções de malware evasivo em relação ao trimestre anterior.
- Ataques de rede aumentaram 33% em comparação com o primeiro trimestre de 2024. Entre as regiões, a Ásia-Pacífico representou 56% de todas as detecções de ataques de rede, mais do que dobrando desde o trimestre anterior.
- Uma vulnerabilidade no NGINX, detectada originalmente em 2019, foi o principal ataque de rede por volume no segundo trimestre de 2024, embora não tenha aparecido entre os 50 principais ataques de rede em trimestres anteriores. A vulnerabilidade representou 29% do volume total de detecções de ataques de rede, ou aproximadamente 724.000 detecções nos EUA, EMEA e APAC.
- O kit de hacking Fuzzbunch emergiu como a segunda maior ameaça de malware em endpoints detectada por volume. O kit, que serve como uma estrutura de código aberto para atacar sistemas operacionais Windows, foi roubado durante o ataque do Shadow Brokers ao Equation Group, um contratante da NSA, em 2016.
- Setenta e quatro por cento de todos os ataques de malware em endpoints iniciados por navegadores visaram navegadores baseados no Chromium, incluindo Google Chrome, Microsoft Edge e Brave.
- Uma assinatura que detecta conteúdo web malicioso, trojan.html.hidden.1.gen, foi a quarta variante de malware mais difundida. A categoria de ameaça mais comum detectada por essa assinatura envolveu campanhas de phishing que coletam credenciais do navegador do usuário e as enviam para um servidor controlado por atacantes. Curiosamente, o Threat Lab observou uma amostra dessa assinatura direcionada a estudantes e funcionários da Valdosta State University, na Geórgia.