Ataques em aplicativos do MS Office usando phishing homógrafo

22. Junho 2022
| Sem comentários
Ataques em aplicativos do MS Office usando phishing homógrafo

Compartilhar postagem

De acordo com um novo estudo do Bitdefender Labs, todos os aplicativos do MS Office (incluindo Outlook, Word, Excel, OneNote e PowerPoint) são vulneráveis ​​a ataques de phishing homógrafos de nome de domínio internacional (IDN) para redirecionar os usuários para endereços diferentes.

A Bitdefender tem observado consistentemente esse tipo de phishing homógrafo por vários meses e aconselha fortemente as empresas a tomar contramedidas para evitar os riscos associados. O Bitdefender Labs relatou esse problema à Microsoft em outubro de 2021 e o Microsoft Security Response Center confirmou os resultados como válidos. Ainda não está claro se ou quando a Microsoft corrigirá esse problema.

O domínio IDN é falsificado para ataque

Na prática, essas possibilidades de ataque significam o seguinte: Um domínio IDN também consiste em caracteres que não pertencem ao conjunto de caracteres ASCII padrão e contém tremas ou caracteres especiais. Esse domínio pode se tornar a máscara perfeita para o domínio legítimo original que o usuário pensa que está visitando. Os ataques de phishing homógrafos que ocorrem regularmente baseiam-se no fato de que caracteres aparentemente idênticos, como o cirílico "a" e o latino "a", são caracteres diferentes de acordo com o padrão Unicode. O padrão Unicode especifica como um caractere é armazenado eletronicamente. O latino "a" tem o código "U+0061", o cirílico "a" o código "U+0430". O IDN "apple.com" não pode, portanto, conter um "a" cirílico ou um "e" cirílico. Quem clicar neles não vai parar no fabricante do hardware, mas sim em um site operado e usado por hackers.

Por exemplo, na visualização do Word, são mostrados os IDNs homógrafos que supostamente apontam para sites legítimos, que na verdade apontam para um site falso. Site legítimo e IDN falso são indistinguíveis e permanecem mascarados no Office mesmo quando visualizados, aumentando muito a probabilidade de clicar em um link malicioso.

Domínios errados no Microsoft Office permanecem mascarados

A ideia não é nova. No entanto, agora afeta todo o pacote do Microsoft Office. Embora o risco de ataques homógrafos de IDN em navegadores da web tenha aumentado, a Bitdefender descobriu que IDNs maliciosos permanecem mascarados nos aplicativos do MS Office, aumentando a probabilidade de até mesmo um usuário preocupado com a segurança clicar no domínio errado. (Figuras 1-3). A exibição no navegador desmascara o site malicioso - mas apenas na maioria dos casos. Além disso, usuários agitados ou de ação rápida podem não perceber o desmascaramento no navegador ou podem perceber tarde demais, cometer o erro e realmente abrir o site anteriormente camuflado.

A Bitdefender testou aplicativos diferentes do Microsoft Office com resultados mistos: alguns sempre exibiram visivelmente o endereço real, ou seja, malicioso, ao qual o usuário pousou, enquanto outros exibiram o homógrafo.

O Microsoft Office exibe o IDN normalmente em Unicode - mas sem escape em ASCII é malicioso. (Imagem: Bitdefender).

Visando instituições financeiras e exchanges de criptomoedas

Ataques baseados em IDNs homógrafos não são fáceis de realizar. No entanto, eles são uma ferramenta eficaz para cibercriminosos que desejam lançar ataques complexos com suas Ameaças Persistentes Avançadas (APT) e para ransomware como serviço. A Bitdefender observou spoofing contra instituições financeiras e exchanges de criptomoedas.

Recomendações de segurança do Bitdefender

Empresas e usuários podem se proteger contra ataques com IDNs homógrafos com as seguintes medidas:

  • Sensibilização: As empresas devem chamar a atenção para o perigo para os funcionários que, devido ao seu cargo, são possíveis vítimas de ataques de spear phishing. Uma verificação da URL e do ícone de cadeado não é suficiente neste caso.
  • Endpoint Protection: Endpoint Detection and Response detecta e bloqueia sites maliciosos.
  • Verificação de reputação: os serviços de reputação de IP e URL devem estar em execução em todos os dispositivos. Uma regra prática: se o URL começar com xn--, o site é suspeito.
  • A identificação multifatorial em páginas de propriedade da empresa significa que tal ataque é em vão e os hackers não podem mais acessar as informações de login.
  • Atualizações do navegador: os navegadores da Web e outras ferramentas de produtividade devem estar sempre atualizados.
  • Fique de olho na cadeia de suprimentos: os homógrafos podem entrar na TI da empresa por meio da cadeia de suprimentos. Documentos de fornecedores, clientes ou parceiros devem, portanto, ser verificados.
  • Registre domínios de forma ampla: as empresas devem estar cientes de todos os domínios em suas várias grafias Unicode que possam estar associados à sua empresa. Então os hackers não podem monopolizar essas páginas para si mesmos. Como os IDNs são limitados a um único conjunto de caracteres Unicode, as combinações possíveis e, portanto, o número de sites a serem registrados são limitados. O Bitdefender Labs descobriu que poucas empresas registram proativamente todos os possíveis domínios de falsificação.
Mais em Bitdefender.com

 

Sobre o Bitdefender

A Bitdefender é líder global em soluções de segurança cibernética e software antivírus, protegendo mais de 500 milhões de sistemas em mais de 150 países. Desde a sua fundação em 2001, as inovações da empresa fornecem regularmente excelentes produtos de segurança e proteção inteligente para dispositivos, redes e serviços em nuvem para clientes particulares e empresas. Como fornecedor preferido, a tecnologia da Bitdefender é encontrada em 38 por cento das soluções de segurança implantadas no mundo e é confiável e reconhecida por profissionais da indústria, fabricantes e clientes. www.bitdefender.de

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

Nova onda de phishing: invasores usam Adobe InDesign

Atualmente há um aumento nos ataques de phishing que abusam do Adobe InDesign, um sistema de publicação de documentos bem conhecido e confiável. ➡ Leia mais

Bitdefender, Stories