Avanços nas Técnicas de Cibercrime: Relatório Alerta para Ameaças Crescentes
Os pesquisadores da HP Inc. divulgaram seu mais recente Threat Insights Report, alertando sobre o avanço das técnicas de engenharia social e evasão que elevam o nível no panorama do cibercrime. A empresa identificou campanhas onde os atacantes fabricam faturas PDF falsas com aparência impecável do Adobe Reader, ocultam payloads em dados de imagem e reutilizam trojans como o Lumma Stealer por meio de arquivos compactados difíceis de detectar.
Entre os achados mais notáveis do relatório está o uso de arquivos PDF que simulam ser o Adobe Acrobat Reader, incluindo uma barra de progresso falsa que aumenta a credibilidade do golpe. O arquivo continha um reverse shell incrustado em um pequeno arquivo SVG, projetado para conceder aos atacantes acesso remoto ao dispositivo comprometido. A campanha também incluiu uma geofencing voltada para regiões germanoparlantes, limitando sua exposição global e retardando a detecção automática por sistemas de análise.
Outras técnicas reveladas no relatório incluem o uso de arquivos Microsoft Compiled HTML Help (.CHM) com código malicioso embutido nos pixels das imagens. Assim, os atacantes foram capazes de executar um payload do XWorm em múltiplas fases. A cadeia de infecção incluía comandos de PowerShell que executavam arquivos CMD para deletar evidências após o download e a execução, demonstrando um claro exemplo de abuso de técnicas LOTL (living-off-the-land).
A apesar de uma operação policial internacional em maio, o Lumma Stealer ressurgiu como uma das famílias de malware mais ativas no segundo trimestre. O grupo responsável lançou campanhas através de arquivos IMG e continua a registrar novos domínios para reforçar sua infraestrutura.
A HP reporta que os arquivos comprimidos continuam a dominar como formato de entrega, com 40% das ameaças distribuídas por arquivos comprimidos (.zip, .rar, .img), e 35% correspondendo a executáveis e scripts. Os .rar representaram um 26%, evidenciando que os atacantes exploram a confiança em ferramentas como WinRAR para passar despercebidos. Além disso, 13% dos e-mails maliciosos conseguiram evadir pelo menos um sistema de filtragem de e-mails, confirmando a sofisticação dessas campanhas.
Segundo Alex Holland, investigador principal da HP Security Lab, “os atacantes não precisam reinventar a roda: eles aperfeiçoam o que já existe. Estamos vendo mais cadeias de LOTL, mais uso de arquivos atípicos e scripts mínimos que conseguem passar desapercebidos. Sua simplicidade é o que os torna tão perigosos”. Ian Pratt, responsável global de segurança na HP Personal Systems, complementa: “as técnicas de living-off-the-land são especialmente problemáticas porque a linha entre atividade legítima e ataque é difusa. Até mesmo as melhores detecções podem falhar. Por isso, é fundamental um enfoque de defesa em profundidade com isolamento e contenção.”
O relatório destaca que os sistemas tradicionais, centrados na detecção por assinaturas ou comportamentos anômalos, nem sempre são suficientes diante desse tipo de ataque. A HP observa que sua solução Wolf Security isola o malware em contêineres seguros, permitindo observar como ele atua sem colocar em risco o endpoint. Até o momento, os clientes do Wolf Security interagiram com mais de 55 trilhões de arquivos e links sem relatar brechas de segurança.
A evolução de técnicas como o phishing em PDF ultrarrealista, o ocultamento de código em imagens e a cadeia LOTL multietapa confirma que os cibercriminosos estão aperfeiçoando ferramentas já conhecidas para contornar controles modernos. Para empresas de tecnologia e suas equipes de segurança, o desafio não está apenas em detectar, mas em conter e isolar antes que os danos se tornem irreversíveis.
