O correio eletrónico tem sido a força vital da comunicação e colaboração empresarial durante décadas; não há dúvida sobre isso. No entanto, o correio eletrónico continua a ser uma das formas mais eficazes de distribuir malware ou ransomware, sendo responsável por mais de 90% das entregas e infecções de malware. Isto apesar do facto de as ferramentas de proteção de correio eletrónico terem melhorado e avançado ao longo do tempo.
Atualmente, os agentes de ameaças utilizam ferramentas gratuitas na nuvem, como fornecedores de alojamento, serviços de transferência de ficheiros, plataformas de colaboração, organizadores de calendários, ou uma combinação de cada um, para contornar as medidas de segurança e disseminar cargas maliciosas em todo o mundo. Neste caso, concentramo-nos na campanha de malware Lampion, relatada pela primeira vez por investigadores da Cofense.
Figura 1. Conteúdo do ficheiro malicioso Lampion. (Fonte: Cofense)
O que torna esta campanha de phishing mais ameaçadora do que a maioria, é a utilização de um serviço legítimo e, na maioria dos casos, implicitamente confiável, chamado "WeTransfer". Para quem não sabe, a WeTransfer oferece serviços gratuitos de partilha de ficheiros online para os utilizadores fazerem upload/download de conteúdos.
O Lampion é uma ameaça conhecida, observada pela primeira vez em 2019. Na sua infância, visava predominantemente a demografia espanhola, mas desde então expandiu as suas operações por todo o mundo. Em 2022, no entanto, os investigadores notaram um aumento na circulação, com algumas detecções exibindo links para nomes de host de campanhas de ransomware Bazaar e LockBit.
Os agentes da ameaça por detrás da campanha de malware Lampion enviam e-mails de phishing utilizando contas comerciais pirateadas, encorajando os utilizadores finais a descarregar um ficheiro falso de 'Prova de Pagamento' alojado na WeTransfer. O seu principal objetivo é extrair os detalhes da conta bancária do sistema. O payload sobrepõe os seus próprios formulários de login nas páginas de login dos bancos. Quando os utilizadores introduzem as suas credenciais, estes formulários de login falsos são roubados e enviados de volta para o atacante.
Porque é que estas violações ocorrem?
Uma vez que o correio eletrónico continua a ser uma artéria vital para as operações comerciais, não é de admirar que os agentes de ameaças dediquem a maior parte da sua atenção a este meio como um dos vectores mais bem sucedidos para a entrega de cargas úteis.
Depois há, claro, o phishing, por si só, como tática, técnica e procedimento. Nós, seres humanos, continuamos a ser considerados "os elos mais fracos" da cibersegurança, caindo em chamarizes convincentes e iscos de engenharia social. A Verizon apoiou recentemente esta tendência no seu Relatório de Investigações de Violação de Dados de 2022, afirmando que 82% das violações são da responsabilidade de humanos.
Esta forma de malware é particularmente desafiante para as equipas de segurança bancária, uma vez que o acesso a links maliciosos é efectuado através do sistema da vítima - um dispositivo de confiança. Além disso, a WeTransfer não é o único serviço legítimo que os atacantes estão a usar/abusar - também estão a aproveitar os recursos da Amazon Web Services (AWS) para alojar payloads.
Figura 2. URLs que alojam os payloads DLL. (Fonte: Cofense)
Outra dificuldade reside no facto de as verificações de reputação convencionais efectuadas pelas ferramentas de segurança nem sempre se revelarem eficazes. A WeTransfer, como serviço genuíno e de alguma reputação, e os endereços aparentemente genéricos alojados na AWS podem não soar necessariamente a qualquer alarme; pelo menos em termos de reputação na maioria, se não em todas, as bases de dados de reputação de fornecedores.
Por esta razão, deve ser considerada uma abordagem diferente e mais inovadora.
O que é que pode fazer?
Dado que estes tipos de ameaças dependem e prosperam com a utilização de URLs externos para introduzir o payload, o remote browser isolation prova ser uma das formas mais eficazes de impedir que os sistemas das vítimas naveguem diretamente para o conteúdo pretendido pelo atacante.
Através deste método, no caso infeliz de uma vítima clicar numa ligação maliciosa - ou seja, a ligação astuta da WeTransfer neste cenário - uma sessão do navegador isolada remotamente seria instantaneamente activada para proteger o sistema de qualquer conteúdo futuro.
Como é que pergunta?
Figura 3. A capacidade Remote Browser Isolation (RBI) do Skyhigh Securityprotege os utilizadores, isolando os pedidos de páginas Web arriscadas e maliciosas
Quer seja com base em categorias de reputação de risco (por exemplo, partilha de ficheiros, Peer2Peer, jogos de azar, etc.), categoria de URL, endereço IP, domínio, ou mesmo por correspondências de acordo com listas personalizadas, as equipas de segurança podem garantir que se/quando os seus utilizadores forem vítimas de um ataque semelhante, nenhum dos conteúdos maliciosos dessa sessão do browser chegará ao dispositivo local - apenas um fluxo visual de pixels que representa a página
Os utilizadores podem continuar a interagir com o site normalmente (de acordo com o critério do administrador), ou podem ter funções como uploads, downloads, utilização da área de transferência e outras totalmente bloqueadas. Mas, desta forma, a sessão do browser remotamente isolada que apresenta a página protege qualquer carga maliciosa, cookies e conteúdo do utilizador e do seu dispositivo.
Ao fazê-lo, as equipas de segurança já não estão dependentes de pesquisas de reputação ou de políticas binárias de permissão/negação para detetar o lobo em pele de cordeiro.