Desde que a Microsoft anunciou no início deste ano que bloquearia macros da Internet, tem havido uma tendência no crime cibernético de usar formatos de arquivo ou imagens de disco para se infiltrar em sistemas com malware. O gateway número um ainda é o e-mail.
Em fevereiro deste ano, a Microsoft anunciou que bloquearia macros da Internet por padrão. Essas macros foram abusadas por invasores durante anos para fornecer malware. Enquanto a comunidade de segurança especulava que os invasores mudariam para formatos alternativos por causa da decisão da Microsoft, a Sophos já confirmou esse fato com seus dados de telemetria.
Malware: novos caminhos por meio de outros formatos de arquivo
De abril a setembro deste ano, a Sophos registrou uma queda acentuada no número de arquivos maliciosos .doc, .docm, .xls e .xlsm - quatro formatos populares do Office usados para proliferar macros maliciosas. Ao mesmo tempo, houve um aumento constante do uso de formatos de arquivo obscuros (ACE, ARJ, XZ, GZ ou LZH) até meados de junho e um aumento acentuado dos formatos de arquivo mais comuns (ZIP, 7Z, CAB, TAR e RAR) a partir de setembro. O uso de formatos de imagem de disco (ISO, VHD e UDF) para distribuição de malware também aumentou constantemente.
Os formatos de imagem de disco são particularmente atraentes para os agentes de ameaças porque ignoram o novo recurso Mark of the Web (MOTW) da Microsoft. A Microsoft usa MOTW para determinar se uma macro é ou não da Internet; se for esse o caso, ele é bloqueado automaticamente.
Ignorar formatos de imagem de disco Verifique
Os produtos de segurança também devem ser capazes de descompactar vários formatos de arquivo e imagem de disco, incluindo formatos impopulares, para verificar corretamente esses anexos em busca de malware. Para mitigar ainda mais os riscos, os filtros de e-mail podem ser configurados para bloquear determinados formatos de arquivo por padrão. Os e-mails ainda são um dos principais vetores de ataque.
E-mails continuam perigosos
Chester Wisniewski, Principal Pesquisador Científico da Sophos, diz: “Temos dado o mesmo conselho sobre segurança de e-mail há anos. Coisas como 'não clique neste link' ou 'não abra anexos perigosos'. A realidade é que o cenário da segurança cibernética está mudando constantemente. É improvável que os cibercriminosos abandonem totalmente as macros, pois é muito provável que eles se adaptem a essas medidas de segurança mais recentes da Microsoft. As empresas devem fazer o mesmo. Uma boa segurança de e-mail precisa ser gerenciada de forma centralizada, com equipes de segurança focadas nos aspectos técnicos, por ex. B. quais extensões de arquivo são perigosas. Também é importante educar os usuários sobre como evitar cair na complicada engenharia social dos cibercriminosos.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.