AI Hacking - Como os hackers utilizam a inteligência artificial nos ciberataques

Ler agora
Utilizamos inteligência artificial para as traduções dos sítios e, embora nos esforcemos por garantir a exatidão, estas podem nem sempre ser 100% precisas. Agradecemos a sua compreensão.
Início/ Blogue / Como é que trata os anexos de correio eletrónico?
Email Security

Como é que trata os anexos de correio eletrónico?

por Janos Rotzik, Diretor de Marketing Técnico
Partilhar esta publicação

Foi descoberta uma nova campanha de correio eletrónico que utiliza PDF

A segurança do correio eletrónico deve ser a principal prioridade, uma vez que continua a ser o vetor de ataque inicial número um para as violações de dados, de acordo com a IBM. Apesar disso, os ataques sofisticados por correio eletrónico continuam a fazer as suas vítimas de forma eficaz, explorando o fator humano, que esteve envolvido em 82% de todas as violações este ano. Infelizmente, no último mês, foi identificada outra campanha de distribuição de malware utilizando anexos em PDF, com os hackers a encontrarem uma nova forma de introduzir malware nos dispositivos das vítimas.

Vamos recapitular a forma como o ataque foi efectuado

A nova campanha de cibercrime - descoberta pela HP Wolf Security - aproveitou o comportamento incerto dos utilizadores para distribuir o Snake Keylogger em terminais vulneráveis através de ficheiros PDF.

Os autores da ameaça começaram por enviar um e-mail com o assunto "Remittance Invoice", para enganar as vítimas e fazê-las pensar que iam ser pagas por alguma coisa. Quando o PDF era aberto, o Adobe Reader solicitava ao utilizador que abrisse um documento incorporado - um ficheiro DOCX - que poderia ser suspeito mas bastante confuso para a vítima, uma vez que o documento incorporado tem o nome "has been verified" (foi verificado). Isto faz com que a vítima pense que o leitor de PDFs verificou o ficheiro e que este está pronto a ser utilizado.

Um exemplo de um ficheiro Excel malicioso

É provável que o ficheiro Word contenha uma macro que, se activada, descarrega o ficheiro de rich text (RTF) da localização remota e o executa. O ficheiro tentará então descarregar o malware Snake Keylogger.

Para que o ataque seja bem-sucedido, os terminais visados ainda devem ser vulneráveis a uma determinada falha. No entanto, desta vez os atacantes não enviaram o código malicioso, mas enganaram a vítima para que o descarregasse, contornando as defesas de gateway baseadas na deteção.

A comunidade de cibersegurança acredita que muitas das violações de segurança eram evitáveis. Por exemplo, a falha atual foi identificada em 2017 e a recente série de ataques poderia ter sido evitada se todos os administradores de dispositivos mantivessem os seus sistemas operativos actualizados.

De acordo com o DBIR da Verizon, existem quatro caminhos principais para as informações empresariais: credenciais, phishing, exploração de vulnerabilidades e botnets. A incapacidade de bloquear apenas um dos elementos pode levar a intrusões na rede. Neste caso, os atacantes utilizaram dois elementos para atacar: um esquema bem coreografado de phishing por correio eletrónico para enganar utilizadores desprevenidos e uma vulnerabilidade explorada para instalar ficheiros maliciosos.

Medidas de proteção habitualmente utilizadas

Uma vez que a nova campanha de cibercrime utilizou o correio eletrónico para distribuir o Snake Keylogger a terminais vulneráveis através de ficheiros PDF, as melhores práticas de segurança não teriam funcionado corretamente devido às seguintes razões:

  • As explorações de vulnerabilidades surgem em dias, mas as organizações demoram semanas - ou meses - a corrigir.
  • As soluções tradicionais de segurança de correio eletrónico têm dificuldade em impedir ataques de dia zero, uma vez que não existem assinaturas antivírus para os detetar.
  • Sandbox surgiram como uma abordagem para a deteção avançada de ameaças, mas não são adequadas para o correio eletrónico, uma vez que acrescentam tempo de processamento adicional antes da entrega
  • Para além do impacto negativo na produtividade, certas ameaças à segurança do correio eletrónico podem escapar à deteção da caixa de areia. Neste caso, foram aplicados estes dois métodos:


    • Execução diferida por ação

      • Se os piratas informáticos quiserem garantir que o seu malware não é executado num ambiente de sandbox, outra abordagem comum é esperar pela interação do utilizador final. Esta pode ser o clique do rato, a digitação no teclado ou a abertura de uma aplicação específica - as opções são praticamente ilimitadas. O que é importante para o atacante é que as soluções de areeiros não podem ter em conta estas acções. Sem essa ação do utilizador, as soluções de areeiros não podem detetar estes ataques.

    • Trojans e macros

      • Os ficheiros de Troia são quase tão antigos como a Grécia antiga, por isso, para crédito das soluções antivírus e de proteção de areias, podem detetar bastantes tipos de ficheiros de Troia. As soluções baseadas na deteção tendem a falhar quando o malware está escondido em documentos do Microsoft Office com macros. A única desvantagem dos ataques baseados em macros para os atacantes é que requerem que o utilizador final os active, pelo que são frequentemente acompanhados por um ataque de engenharia social.

A filosofia de confiança zero

As organizações devem assumir que todos os e-mails e anexos são maliciosos. Os ficheiros de produtividade comuns, como os documentos Word ou PDF, podem estar infectados com malware e ataques de dia zero, mas não é realista bloquear o acesso ao correio eletrónico ou aos documentos Word. As soluções antivírus e de sandbox são limitadas pela sua capacidade de detetar ataques avançados. Como vimos com o ataque acima, utilizar apenas a proteção baseada na deteção é fundamentalmente a abordagem errada. Em vez disso, as organizações devem adotar uma abordagem de segurança de confiança zero com uma solução proactiva que trate todos os ficheiros como maliciosos e os limpe em tempo real. Esses anexos higienizados podem ser entregues imediatamente ao utilizador, não prejudicando assim a produtividade da empresa, enquanto que, em segundo plano, permite tempo para uma análise posterior baseada na deteção (ou dinâmica), que, se for bem sucedida, pode até enviar o ficheiro original ao utilizador.

MetaDefenderDefinições de PDF do 's

MetaDefender Email Security é uma solução desse tipo. Fornece uma abordagem abrangente para desarmar anexos, corpos de correio eletrónico e cabeçalhos, removendo todo o conteúdo potencialmente malicioso e reconstruindo-o como um ficheiro limpo. Assim, estes ficheiros são totalmente utilizáveis e seguros, proporcionando uma proteção adequada aos utilizadores inseguros contra os ataques acima descritos.

OPSWAT protege as organizações contra exploits e conteúdo armado sem a necessidade de deteção. Além disso, é 30 vezes mais rápido do que a deteção de sandbox!

Se quiser saber mais sobre como pode colmatar as lacunas de segurança do correio eletrónico para proteger a sua organização contra ameaças avançadas, transfira o nosso whitepaper gratuito, "Melhores práticas para Email Security e proteção de infra-estruturas críticas", ou leia mais blogues sobre o tema aqui.

Contactar OPSWAT hoje mesmo e pergunte-nos como podemos ajudar a melhorar a sua segurança de correio eletrónico.

Mensagens mais recentes

Subscrever a newsletter OPSWAT

Obtenha as últimas actualizações da empresa OPSWAT , juntamente com informações sobre eventos e as notícias que estão a fazer avançar a indústria.
Inscrever-me

Siga-nos nas redes sociais Media

Siga OPSWAT no seu LinkedIn, Facebook, Twitter e YouTube para mais informações!

Mantenha-se atualizado com OPSWAT!

Inscreva-se hoje para receber as últimas actualizações da empresa, histórias, informações sobre eventos e muito mais.
Subscrever