Blog WatchGuard

Ataques de watering hole vs. proteção avançada de endpoint

Em um ataque de watering hole, os agentes de ameaças geralmente precisam seguir uma série de etapas. Primeiro, eles precisam pesquisar o alvo e certificar-se de que conhecem o tipo de site que a vítima em potencial frequenta. Em seguida, eles tentam infectá-lo com um código malicioso para que, quando a vítima o visitar, o site explore uma vulnerabilidade no navegador ou o convença a baixar um arquivo que comprometa o dispositivo do usuário.

Ataque de watering hole: O que é?

Esse tipo de ataque é projetado para atingir funcionários de um setor ou grupo de usuários específico e usa os sites que eles visitam regularmente para atraí-los para uma armadilha que fornece acesso à rede corporativa de uma empresa. Roubo de dados, perda econômica e danos à reputação costumam ser as principais consequências dos ataques de watering hole.

Embora essas ameaças se pareçam muito com ataques à cadeia de suprimentos, elas não são exatamente iguais. Em ambos os casos, os hackers comprometem um serviço de terceiros para infectar outros sistemas. No entanto, os ataques à cadeia de suprimentos geralmente comprometem um produto que foi comprado ou um serviço usado pelo alvo, enquanto um ataque de watering hole infecta sites neutros. Por outro lado, um ataque à cadeia de suprimentos distribui malware por meio do elo "mais fraco" da rede de uma organização, como um fornecedor, revendedor ou parceiro.

Três exemplos recentes de ataques de watering hole:

1. Nitrokod e falso Google Tradutor para desktop

No final de julho de 2022, foi detectada uma campanha de malware de mineração de criptomoeda que infectava dispositivos em 11 países. O agente da ameaça era um desenvolvedor de software chamado Nitrokod, que oferece versões gratuitas de aplicativos de software populares que não possuem uma versão oficial para desktop. Sua representação do utilitário de tradução, criado usando as páginas oficiais do Google Tradutor e uma estrutura baseada no Chromium, era sua oferta mais popular e estava disponível em sites de freeware, além de ter uma classificação alta nos resultados de pesquisa para "download de desktop do Google Tradutor". Infelizmente, os aplicativos foram trojanizados e, uma vez que o software foi instalado no dispositivo, o processo de infecção ficou inativo por várias semanas para garantir que passasse despercebido. Após o intervalo inativo, o malware entrava em ação e as vítimas recebiam um arquivo atualizado que carregava uma série de quatro droppers no dispositivo ao longo de alguns dias. O último dropper implantaria o criptominerador XMRig centrado em Monero e o executaria. Enquanto isso acontecia, o Google Tradutor continuou a funcionar corretamente e as análises de segurança não levantaram bandeiras vermelhas. Essa tática permitiu que a campanha operasse com sucesso sob o radar por anos.

2. Malware SolarMarker

Em setembro de 2022, o grupo SolarMarker comprometeu um site vulnerável executado pelo WordPress para induzir suas vítimas a baixar atualizações falsas do navegador Chrome. Essa campanha foi direcionada a uma organização global de consultoria tributária com presença nos EUA, Canadá, Reino Unido e Europa. Nesse caso, a vítima era um funcionário da empresa que procurava equipamentos médicos de um determinado fabricante no Google. Depois que o funcionário acessou o site comprometido, ele foi solicitado a baixar uma atualização para o navegador Chrome. O funcionário então baixou e executou o SolarMarker, que estava disfarçado como uma atualização falsa. A atualização falsa foi baseada no navegador que a vítima estava usando no momento de acessar o site infectado. Portanto, se o usuário estivesse usando outro navegador, ele teria representado o Firefox ou o Edge.

3. Malware SocGholish em sites de notícias dos EUA

Em novembro de 2022, um grupo criminoso comprometeu uma empresa provedora de conteúdo responsável por fornecer conteúdo de vídeo e publicidade aos principais meios de comunicação dos EUA para implantar malware em seus sites. Durante esta campanha, foram visados 250 portais de jornais nacionais e regionais do país. O malware, chamado SocGholish e visto pela primeira vez em 2018, foi injetado em um arquivo JavaScript benigno que carregou nos sites de mídia e convenceu os visitantes a baixar uma falsa atualização do navegador. Como no caso anterior, o malware assumiu a forma do navegador usado pelo usuário. Depois que os invasores obtêm acesso inicial às redes, isso pode ser usado como um meio para implantar ransomware, que é uma tática que vimos anteriormente.

Proteção de endpoint: defesa crítica contra um ataque de watering hole

Os ataques de watering hole têm uma alta taxa de sucesso, pois comprometem sites legítimos e confiáveis para os usuários, de modo que até mesmo os funcionários mais informados e cuidadosos podem cair na armadilha. É por isso que é necessária uma solução de proteção de endpoint que forneça monitoramento contínuo e evite a execução de processos desconhecidos. No entanto, tendo em conta que, perante um ataque deste tipo, as aplicações podem passar por legítimas, a tecnologia utilizada para a sua defesa deve proteger os utilizadores contra ameaças avançadas, ameaças persistentes avançadas (ATP), malware de dia zero e ransomware, entre outras ameaças sofisticadas. O uso de IA e automação é benéfico em termos de execução de ações de prevenção, detecção, contenção e resposta. Além disso, a análise comportamental é ideal para detectar se há agentes maliciosos na rede. A soma dessas funções ajuda a alcançar uma segurança abrangente, capaz de se defender de um ataque de watering hole.

É fundamental adotar uma abordagem de zero trust, de preferência com serviços gerenciados, como encontramos no Resumo de recursos - Serviço de aplicativo de zero trust da WatchGuard, que é capaz de classificar 100% dos aplicativos como malware ou aplicativos confiáveis, monitorando a atividade de todos os tipos de aplicativos no endpoint. Uma abordagem de zero trust pode evitar execuções de ameaças sofisticadas, como ataques à cadeia de suprimentos e ataques de watering hole, observando o comportamento anômalo de software aparentemente legítimo e reclassificando os aplicativos assim que executam atividades normalmente usadas por agentes de ameaças. Não há dúvida de que os cibercriminosos estão implantando táticas cada vez mais complexas e difíceis de detectar, mas com a proteção certa, adotando uma abordagem de IA e zero trust, é possível lidar com eles e manter as redes corporativas seguras.

Interessado em saber mais sobre como o WatchGuard Endpoint Security ajuda a evitar ataques como este? Visite nosso site e encontre todas as informações.