 |
| Imagem ilustrativa - Divulgação Check Point Software |
Essa tendência foi revelada pelos pesquisadores da empresa ao apontarem que 68% dos ciberataques começam em e-mails e 22% de todos os anexos de e-mails maliciosos agora estão sendo enviados no formato PDF
Os pesquisadores da Check Point Research (CPR), divisão de Inteligência de Ameaças da Check Point Software, identificaram o crescimento de ciberataques baseados no uso de documentos em PDF, representando 22% de todos os anexos maliciosos disseminados via e-mail.
Esta informação é particularmente importante se levarmos em conta que mais de 400 bilhões de documentos PDFs foram abertos no ano passado, e 16 bilhões de documentos foram editados no Adobe Acrobat. Mais de 87% das organizações no mundo usam PDFs como um formato de arquivo padrão para comunicação corporativa, tornando-os meios ideais para atacantes esconderem códigos maliciosos. Os PDFs maliciosos têm sido uma porta de entrada preferida pelos cibercriminosos por anos, mas que, agora, se tornaram ainda mais populares.
Enquanto 68% dos ataques maliciosos chegam via e-mail, aqueles baseados em PDF já representam 22% de todos os anexos maliciosos. Isto os torna especialmente perigosos para empresas que compartilham grandes quantidades destes arquivos em suas operações diárias.
Os cibercriminosos têm recorrido a técnicas sofisticadas para contornar sistemas de detecção das soluções de segurança, tornando estes ataques cada vez mais difíceis de serem identificados — e interrompidos. Os pesquisadores da Check Point Software monitoraram grandes quantidades de campanhas maliciosas que passaram despercebidas pelas soluções de segurança tradicionais, sem qualquer detecção registrada no VirusTotal ao longo do último ano.
“Os
PDFs não são mais apenas documentos. Tornaram-se mecanismos de entrega para
iludir e enganar usuários. Os PDFs são universalmente confiáveis, por isso são o
disfarce perfeito para as ameaças cibernéticas modernas. À medida que os
atacantes mudam suas táticas de exploração de vulnerabilidades para exploração
da confiança humana, a única defesa eficaz é uma segurança preventiva que
inspeciona cada arquivo em tempo real e uma proteção proativa baseada em IA que
bloqueia PDFs maliciosos antes mesmo de chegarem à caixa de entrada de
e-mails”, explica Matanya Moses, diretor de Proteção Cibernética da Check Point
Research (CPR).
O motivo de os PDFs serem os “queridinhos” dos cibercriminosos
Os PDFs são arquivos bastante complexos. A especificação PDF, ISO 32000, tem quase 1.000 páginas e inclui inúmeras funcionalidades que podem ser exploradas para evasão. Essa complexidade abre caminho a diversos vetores de ataque que muitas soluções de segurança não conseguem detectar eficazmente.
Em muitos aspetos, os PDFs funcionam como testes CAPTCHA — fáceis para humanos, difíceis para sistemas automatizados. Esta combinação de simplicidade para o usuário e complexidade para os sistemas de segurança é precisamente o que os torna tão atrativos para os atacantes.
Nos últimos anos, os PDFs maliciosos tornaram-se mais sofisticados. Antigamente, os cibercriminosos exploravam vulnerabilidades conhecidas (CVEs) nos leitores de PDF. No entanto, como os leitores de PDF se tornaram mais seguros e são atualizados com frequência (especialmente os navegadores que agora abrem PDFs por padrão), esse método de ataque é menos confiável para campanhas em larga escala.
Os ataques com JavaScript embutido, embora ainda comuns, são cada vez menos frequentes. Estes são considerados “ruidosos” e mais fáceis de detectar. A CPR descobriu que muitos dos “exploits” baseados em JavaScript eram pouco confiáveis entre diferentes leitores, e muitas soluções de segurança já os detectam.
Sendo
assim, os atacantes mudaram de tática. Em vez de explorarem falhas técnicas,
estão agora apostando fortemente em engenharia social. Os PDFs são amplamente
considerados arquivos seguros e confiáveis, o que os torna perfeitos para
ataques de phishing. Estes arquivos podem conter links perigosos, código
malicioso ou outros conteúdos prejudiciais, disfarçados de documentos legítimos
— com maior probabilidade de enganar o usuário e de passar pelos filtros de
segurança tradicionais.
Anatomia de um ataque com PDF
Uma das técnicas mais comuns observadas pela CPR são as campanhas baseadas em links. Nestes casos, o PDF contém um link para um site de phishing ou para baixar arquivos maliciosos. Esse link vem frequentemente acompanhado de uma imagem ou texto com o objetivo de convencer o usuário a clicar.
Estas
imagens costumam imitar marcas reconhecidas — como Amazon, DocuSign ou Acrobat
Reader —, dando ao documento um aspecto inofensivo. Como o atacante controla
todos os elementos (link, texto e imagem), é fácil alterar rapidamente qualquer
parte, tornando estas campanhas difíceis de serem detectadas com ferramentas
baseadas em reputação ou assinaturas estáticas.
Embora
envolvam interação humana, isso é uma vantagem para os atacantes, já que as
sandboxes e os sistemas automatizados têm dificuldade em lidar com decisões
humanas.
Técnicas de evasão dos cibercriminosos
Os atacantes estão constantemente se adaptando para evitar a
detecção. Estas técnicas revelam um profundo conhecimento das ferramentas de
segurança e são muitas vezes desenhadas para contornar soluções específicas.
Técnicas de Evasão de URLs
A forma mais óbvia de identificar que um PDF possa ser malicioso é
por meio da verificação da hiperligação que contém. Para evitar a detecção, os
agentes de ameaças utilizam uma série de técnicas de evasão de URL, tais como:
- Redirecionamentos benignos: Os
atacantes utilizam serviços como Bing, LinkedIn ou Google AMP para ocultar
o destino final, aproveitando o fato de estes domínios estarem muitas
vezes em listas brancas.
- QR Codes: Incorporam códigos QR no
PDF, encorajando o usuário a usar o celular, o que contorna os scanners de
URLs tradicionais.
- Chamadas telefônicas: Alguns
ataques incentivam o usuário a ligar para um número, eliminando a
necessidade de link, embora seja exigido um maior envolvimento humano.
Evasão à análise estática
A complexidade da estrutura de um arquivo PDF obriga muitas ferramentas de segurança a utilizarem o princípio de análise estática para identificar conteúdos maliciosos nos mesmos. Tal processo obriga os atacantes a ofuscarem o conteúdo do arquivo, dificultando essa mesma análise.
Estes utilizam anotações e objetos indiretos codificados de forma
pouco comum, e aproveitam diferenças na forma como os leitores de PDF
interpretam estas estruturas, fazendo com que o conteúdo malicioso passe
despercebido.
Ofuscação de arquivos
Usam técnicas como encriptação, filtros e estruturações complexas
para esconder as intenções reais. Muitos leitores de PDF priorizam a capacidade
de abrir arquivos que aparentem estar corrompidos ou suspeitos, o que permite
que documentos perigosos sejam abertos sem gerar alertas.
Evasão a sistemas de Machine Learning
À medida que as ferramentas de segurança estão cada vez mais dependentes de sistemas de Machine Learning (ML), os atacantes têm procurado maneiras de iludir esses sistemas. A solução mais utilizada é a aplicação de texto em imagens, o que obriga os sistemas de segurança a usar OCR (Reconhecimento Óptico de Caracteres), o que introduz erros e atrasos.
Outra solução utilizada passa pela aplicação de texto invisível ou
minúsculo, como forma de enganar modelos de Processamento de Linguagem Natural
(NLP), dificultando assim a compreensão do conteúdo real do documento.
Como se proteger de ataques baseados em PDF
As soluções Check Point Threat Emulation e Harmony Endpoint oferecem uma proteção avançada contra diferentes vetores de ataque, arquivos e sistemas operacionais, incluindo estes que já foram aqui mencionados.
Mas existem boas práticas essenciais que todos devem seguir para
reduzir o risco:
- Verificar sempre o remetente
Mesmo que o PDF pareça legítimo, confirmar o endereço de e-mail.
Os atacantes muitas vezes falsificam domínios de marcas conhecidas.
- Desconfiar de anexos inesperados
Se o usuário não está esperando receber um PDF — especialmente se
é solicitado que clique em um link, ou para digitalizar um QR Code ou ainda
para fazer uma chamada — deve-se assumir que o PDF pode ser malicioso.
- Passar o mouse sobre os links antes de clicar
Verifica a URL completo. Links encurtados ou redirecionamentos
(Bing, AMP, LinkedIn) devem levantar suspeitas.
- Usar um leitor de PDF seguro e atualizado
Evita abrir PDFs em software desatualizado ou desconhecido.
- Desativar JavaScript no leitor de PDF
Se o leitor permite JavaScript, desative-o a não ser que seja
absolutamente necessário.
- Manter sistemas e software de segurança atualizados
Atualizações corrigem vulnerabilidades exploradas por PDFs
maliciosos.
- Confiar no instinto
Se algo parecer demasiado bom para ser verdade, tiver erros de
ortografia estranhos ou pedir credenciais, provavelmente trata-se de uma
armadilha para ciberataque.
Check Point Software Technologies Ltd
Check Point Software
X
Blog
YouTube
Aviso legal relativo a declarações prospectivas
Este comunicado de imprensa contém declarações prospectivas. As declarações prospectivas estão geralmente relacionadas com eventos futuros ou com o nosso desempenho financeiro ou operacional futuro. As declarações prospectivas neste comunicado de imprensa incluem, mas não estão limitadas a, declarações relacionadas com as nossas expectativas relativamente ao nosso crescimento futuro, à expansão da liderança da Check Point na indústria, ao aumento do valor para os acionistas e à entrega de uma plataforma de cibersegurança líder na indústria aos clientes em todo o mundo. As nossas expectativas e crenças relativamente a estes assuntos podem não se materializar, e os resultados ou eventos reais no futuro estão sujeitos a riscos e incertezas que podem fazer com que os resultados ou eventos reais difiram materialmente dos projetados. Estes riscos incluem a nossa capacidade de continuar a desenvolver capacidades e soluções de plataforma, a aceitação e aquisição por parte dos clientes das nossas soluções existentes e de novas soluções, a continuação do desenvolvimento do mercado da segurança informática/cibernética, a concorrência de outros produtos e serviços, e as condições gerais de mercado, políticas, econômicas e comerciais, incluindo atos de terrorismo ou guerra. As declarações prospectivas contidas neste comunicado de imprensa estão também sujeitas a outros riscos e incertezas, incluindo os descritos mais detalhadamente nos nossos registros na Securities and Exchange Commission (SEC), incluindo o nosso Relatório Anual no Formulário 20-F apresentado à Securities and Exchange Commission em 2 de abril de 2024. As declarações prospectivas neste comunicado de imprensa baseiam-se na informação disponível para a Check Point à data do presente documento, e a Check Point rejeita qualquer obrigação de atualizar quaisquer declarações prospectivas, exceto conforme exigido por lei.
Nenhum comentário:
Postar um comentário