Blog WatchGuard

Os 4 Principais Incidentes com Domínios Maliciosos em 2021

Os cibercriminosos estão a usar cada vez mais domínios maliciosos como um vetor de ataque. O nosso Relatório de Segurança Q1 2021 já tinha detetado um aumento de 281% do número de domínios bloqueados pelo DNSWatch face ao período homólogo anterior, e tem havido uma atividade significativa no último ano com este tipo de links a explorar o COVID-19.

Espionagem, ficheiros web e redes sociais

Há poucos dias, a Microsoft anunciou que desativou 42 domínios maliciosos criados pelo grupo de ciber-espionagem Chinese APT-15. O grupo enganou elementos de empresas privadas e públicas, grupos de reflexão e ONG relacionadas com os Direitos Humanos através de ligações que permitiam a entrada de malware quando utilizadores insuspeitos clicavam, permitindo que o grupo acedesse aos servidores e obtivesse informação privilegiada sobre os interesses industriais e geopolíticos chineses. Os analistas acreditam que isto fazia parte de uma campanha massiva de ciber-espionagem da China.

Outros grandes incidentes com domínios que aconteceram este ano envolveram sites legítimos e conhecidos. Por exemplo, em julho foi descoberto que o portal archive.org (conhecido por ser um motor de busca para websites antigos) teve um script PowerShell inserido numa das suas páginas com o malware AgentTesla do Aggah, que está ligado ao grupo paquistanês APT Gorgon. Alguns analistas especulam que as páginas do portal foram usadas como hospedeiras do malware e, depois, utilizadas em ciberataques.

O Phishing é outra técnica comummente usada por estes links e o setor bancário é, normalmente, um dos mais afetados, porque os ganhos são muito elevados se os cibercriminosos conseguirem aceder às passwords dos clientes. Vários clientes do Chase Personal Banking foram vítimas de uma campanha deste tipo: receberam um email falso com a mensagem ‘O extrato do seu cartão de crédito já está disponível’ e um link que conduzia a uma landing page falsa, que pedia os seus dados bancários. Este incidente destaca-se por o email com as ligações falsas ter conseguido contornar os filtros de spam do Microsoft Exchange Online Protection e do Microsoft Defender para o Office 365.

O Facebook também tem sido um canal para o uso de domínios maliciosos nos últimos meses. Neste caso, os hackers usavam contas profissionais do Facebook para fazerem anúncios que conduziam a domínios que serviam para carregar o malware CopperStealer. Uma vez injetado, o malware rouba as credenciais das suas vítimas e cibercriminosos, e, depois, usa os seus sistemas como fonte para outros ciberataques.

Melhores Práticas e Firewalls

Todos os exemplos acima descritos demonstram que os cibercriminosos estão a utilizar técnicas de engenharia social cada vez mais sofisticadas: não só enganam os utilizadores, mas, também - como visto no esquema de phishing do Chase Personal Banking – conseguem, por vezes, contornar soluções de cibersegurança amplamente implementadas, como as fornecidas pela Microsoft.

É por estas razões, que, no próximo ano, os MSP deveriam implementar nos seus clientes soluções avançadas de proteção de rede  que incorporem firewalls de nova geração. Se equipados com estas soluções, serão capazes de bloquear links suspeitos de forma automática e, até, detetar malware encriptado que possa circular nas suas redes, tudo gerido de forma simples num sistema centralizado.

Ao usar estas ferramentas, é boa prática para os MSP e para as equipas de IT gerarem listas de websites de confiança e categorizarem tópicos mais susceptíveis de terem links perigosos e que não estão, normalmente, relacionados com a atividade profissional da empresa (por exemplo, casas de jogo ou criptomoedas).

Além disso, os colaboradores deveriam receber instruções de cibersegurança básicas sobre navegar na Internet e emails, como, por exemplo, não abrir links desconhecidos ou saber como identificar links potencialmente suspeitos.

Se quiser saber mais sobre outras tendências de cibersegurança, veja as nossas Previsões de Cibersegurança para 2022.