Recentemente, ficamos sabendo de um esforço cibercriminoso orquestrado para subverter a rede de publicidade do Yahoo, que pode ter afetado os 6,9 milhões de visitantes do site. Os agentes de ameaças por trás desse ataque utilizaram algumas ameaças que vimos recentemente, como malvertisements e exploit kits.
Malvertisements são anúncios maliciosos criados e publicados por cibercriminosos para afetar usuários que visitam os sites onde os anúncios estão hospedados, subvertendo eficazmente a cadeia de distribuição do anúncio. Nesse caso, os cibercriminosos usaram sites do Microsoft Azure, que poderiam atrair um grande número de usuários, aumentando o volume de potenciais alvos. Essa técnica é vista frequentemente: os atores de ameaças se aproveitando de assuntos de alta visibilidade e comprometendo sites associados. Os atores também afetaram a rede de publicidade do Yahoo, uma das maiores redes de anúncios do mundo, com a probabilidade de garantir uma alta taxa de infecção. Os malvertisements também funcionam de um modo que permite que a infecção ocorra independentemente dos usuários clicarem em um anúncio malicioso. Isso permite que os agressores infectem usuários desavisados sem nenhuma interação além de se conectar às páginas afetadas.
Exploit kits estão sendo usados mais frequentemente por atores de ameaças porque são fáceis de se obter e não muito caros. Nesse ataque em particular, o exploit kit Angler foi usado para infectar vítimas que navegavam nas páginas comprometidas. Os autores desses exploit kits estão acrescentando novas vulnerabilidades muito rapidamente, logo depois de divulgadas. Como você pode ver abaixo, muitas das novas vulnerabilidades do Adobe Flash divulgadas este ano foram adicionadas ao exploit kit Angler.
Em particular, a CVE-2015-0313 foi explorada em um ataque muito semelhante no começo deste ano. Os agressores utilizaram esse exploit kit usando malvertisement colocados em um site comprometido.
Outra tendência dos atores de ameaças é a organização de sequências maliciosas para garantir taxas máximas de infecção empregando várias táticas importantes:
1. Hospedar seu vetor de infecção inicial em sites comprometidos. Isso ajuda com sites legítimos que podem não ser sinalizados como maliciosos devido a preocupações com falsos positivos. Eles também tendem a ser visitados regularmente por usuários.
2. Usar malvertisement que não exige que o usuário clique ou baixe algo para ficar infectado. Os anúncios estão em todos os lugares e, embora muitos usuários os ignorem, permitem que sejam executados. Se eles infectarem os servidores da rede de anúncios, quaisquer e todos os sites que usam os anúncios são infectados, ao invés de ter que infectar um site de cada vez.
3. Usar exploit kits que sirvam para várias vulnerabilidades esperando que uma delas não tenha sido corrigida. Como você vê acima com o Angler, 10 novas vulnerabilidades do Flash foram usadas, mas essas não foram as únicas usadas no kit (as vulnerabilidades no IE, Java e Silverlight também foram incluídas). Muitos usuários e empresas podem não ter um processo de patch eficaz para lidar com o rápido tempo de entrega dos cibercriminosos com novas vulnerabilidades.
Meu conselho aos usuários que podem estar preocupados com esse ataque, ou quaisquer futuros ataques usando esses métodos, é implementar uma abordagem de segurança em camadas que apresente o seguinte:
• Ative a tecnologia de reputação e/ou filtro da web em seus endpoints. Embora a Trend Micro possa não bloquear as páginas de site legítimos, temos tecnologia dentro de nossas soluções para endpoint que bloqueiam os próprios malvertisements. Isso pode ajudar a bloquear a infecção inicial.
• Implemente o “Browser Exploit Prevention”. Cada vez mais, vemos cibercriminosos explorando páginas de sites adicionando exploits que afetam o navegador. Esse tipo de tecnologia pode identificar vulnerabilidades conhecidas, e também as desconhecidas (dia-zero), através do uso de regras heurísticas. As soluções de segurança de endpoint da Trend Micro também incluem essa tecnologia.
• Use um software de virtual patching. Em muitos casos, os patches dos fornecedores podem não ser implementados devido a requisitos de patching restritos. As tecnologias de virtual patching bloquearão os exploits que tentam infectar o host, permitindo que os usuários e empresas garantam que seus endpoints e servidores estão protegidos contra exploit kits. As soluções Deep Security e Vulnerability Protection da Trend Micro suportam essa solução.
• Inclua tecnologia de sandbox personalizada. Essa tática faz com que o malware seja executado dentro de um ambiente seguro. Vimos muitas instâncias onde nossa solução Deep Discovery conseguiu identificar um download malicioso ou o anexo em email usado como arma antes que ele fosse capaz de infectar nossos clientes, mesmo quando o malware era desconhecido (dia-zero).
As ameaças de hoje são multifacetadas e, assim, só uma parte de tecnologia (como antimalware) não é suficiente para proteger você totalmente. Implementar uma abordagem multicamadas ajuda a minimizar seu risco de se tornar a próxima vítima, seja por meio de múltiplas tecnologias suportadas dentro de uma solução para endpoints ou adicionando múltiplas soluções de segurança em toda a sua rede.
Embora essa não seja uma ameaça nova, nos lembra que os agentes de ameaças usarão o que funcionar, inclusive táticas projetadas para melhorar suas taxas de infecção. A Trend Micro continuará a melhorar nossos recursos de proteção, garantindo que nossos clientes tenham um mínimo risco de infecção.