O Netskope Threat Labs publica trimestralmente uma postagem no blog com um resumo das principais ameaças que rastreamos na plataforma Netskope. Esta publicação tem como objetivo fornecer inteligência estratégica e acionável sobre ameaças ativas contra usuários corporativos em todo o mundo.
Sumário
- O OneDrive e o SharePoint estavam no topo da lista dos principais aplicativos em nuvem usados para downloads de malware. O GitHub ocupa o terceiro lugar, sendo usado com bastante frequência para baixar ferramentas pós-exploração.
- As principais famílias de malware ativas no último trimestre incluíram o Infostealer AgentTesla e o Trojan ZLoader.
Entrega de malware na nuvem
Os atacantes tentam passar despercebidos entregando conteúdo malicioso por meio de aplicativos populares na nuvem. O uso abusivo de aplicativos na nuvem para a entrega de malware permite que os invasores evitem os controles de segurança que dependem principalmente de listas de bloqueio de domínios e filtragem de URL ou não inspecionam o tráfego na nuvem.
Os atacantes obtêm mais sucesso em alcançar usuários corporativos quando abusam de aplicativos em nuvem que já são populares na empresa. O Microsoft OneDrive, o aplicativo corporativo em nuvem mais popular, ocupou novamente o primeiro lugar com o maior número de downloads de malware na nuvem, que manteve por mais de seis meses.
Os três principais aplicativos permaneceram praticamente inalterados em comparação com os aplicativos usados no último trimestre. Ao comparar o uso do aplicativo neste trimestre com nosso último relatório, notamos um pequeno aumento no uso do SharePoint e do GitHub. Especificamente para o GitHub, a equipe do Threat Labs tem observado que ele está sendo usado para baixar ferramentas pós-exploração, como Mimikatz e Sharphound. Essas ferramentas são um bom indicador de que um agente de ameaças pode já estar no ambiente e que alguma ação precisa ser executada na rede.
A lista dos 10 principais abaixo reflete as táticas dos atacantes, o comportamento do usuário e a política da empresa.
Top Malware Families
A lista a seguir contém as principais famílias de malware bloqueadas pelo Netskope entre 1º de abril e 1º de julho:
- O Downloader.Guloader é um pequeno downloader conhecido por fornecer Trojans de acesso remoto e infostealers, como AgentTesla, Formbook e Remcos.
- O InfoStealer.AgentTesla é um Trojan de acesso remoto baseado em.NET com muitos recursos, como roubar senhas de navegadores, capturar teclas digitadas, prancheta etc.
- O RAT.asyncrat é uma ferramenta de administração remota de código aberto lançada no GitHub em 2019, projetada para controlar computadores remotamente por meio de conexão criptografada.
- O Trojan.ZLoader (também conhecido como DeLoader ) é um trojan modular baseado no código-fonte do ZeuS que vazou. O malware é capaz de realizar tarefas como capturar capturas de tela, roubar informações bancárias, fornecer acesso ao VNC e muito mais.
- O Trojan.Grandoreiro é um trojan bancário da América Latina com o objetivo de roubar informações bancárias confidenciais, geralmente visando o Brasil, o México, a Espanha e o Perú.
Recomendações
Os atacantes sempre procuraram evitar a detecção e evitar suspeitas ao transmitir malware. O Netskope Threat Labs recomenda que o senhor revise sua postura de segurança para garantir que esteja adequadamente protegido contra essas duas tendências:
- Inspecione todos os downloads HTTP e HTTPS, incluindo todo o tráfego na web e na nuvem, para evitar que o malware se infiltre na sua rede. Netskope os clientes podem configurar sua política de Netskope Next Gen Secure Web Gateway com uma política do Threat Protection que se aplica a downloads de todas as categorias e a todos os tipos de arquivos.
- Certifique-se de que seus controles de segurança inspecionem recursivamente o conteúdo de arquivos arquivados populares, como arquivos ZIP, em busca de conteúdo malicioso. O Netskope Advanced Threat Protection inspeciona recursivamente o conteúdo de arquivos, incluindo ISO, TAR, RAR, 7Z e ZIP.
- Certifique-se de que os tipos de arquivos de alto risco, como executáveis e arquivos, sejam inspecionados por meio de análise estática e dinâmica antes de serem baixados. Os clientesdo Netskope Advanced Threat Protection podem usar uma Política de Prevenção do Paciente Zero para reter os downloads até que eles tenham sido totalmente inspecionados.
- Configure policies to block downloads from apps that are not used in your organization to reduce your risk surface to only those apps and instances that are necessary for the business.
- Configure políticas para bloquear o download de ferramentas conhecidas de pós-exploração que não são usadas em sua organização e gere um alerta de alto risco se uma ferramenta não autorizada for baixada, pois essa pode indicar as fases posteriores de um ataque.
- Block downloads of all risky file types from newly registered domains and newly observed domains.
Além das recomendações acima, a tecnologia Remote Browser Isolation (RBI) pode fornecer proteção adicional quando há necessidade de visitar sites que se enquadram em categorias que apresentam maior risco, como domínios recém-observados e recém-registrados.
Sobre este relatório
A Netskope oferece proteção contra ameaças e dados a milhões de usuários em todo o mundo. As informações apresentadas neste relatório baseiam-se em dados de uso anônimos coletados pela plataforma Netskope Security Cloud em relação a um subconjunto de clientes da Netskope com autorização prévia. Este relatório contém informações sobre as detecções levantadas pelo Next Generation Secure Web Gateway (SWG) da Netskope, sem considerar a importância do impacto de cada ameaça. As estatísticas deste relatório são baseadas no período de 1º de abril de 2024 a 1º de julho de 2024. As estatísticas refletem as táticas do atacante, o comportamento do usuário e a política da organização.