Essas táticas mudaram significativamente em setembro de 2014, devido a organização de campanhas de phishing disseminadas por muitos cybercriminosos, espalhando principalmente o trojan bancário Dridex, além de anexos maliciosos de documentos do Microsoft Word como seu método primário de entrega. Analisando um cenário dos acontecimentos para meados de 2015, esta tendência continua em um ritmo acelerado, pois os pesquisadores da Proofpoint detectaram 56 campanhas diferentes nas quais o trojan Dridex estava sendo oferecido. Esse período compreendeu abril-maio 2015, e em alguns casos, envolveu vários milhões de mensagens de e-mail contendo documentos comprometidos com o cavalo de troia Dridex. Tudo isso registrado em um único dia.
Fatores Importantes
Dentre os fatores importantes que envolvem essas investidas, estão a dependência das campanhas em relação ao fator humano. Os macros maliciosos são simples e flexíveis, e acabaram substituindo as ameaças baseadas na URL por campanhas baseadas em anexos maliciosos como a ameaça dominante, estando enraizadas em sua capacidade de usar técnicas de phishing para explorar o fator humano e enganar um usuário final a partir de um um clique. Além disso, tem as campanhas de macros que estão cada vez mais sofisticadas e evitam muitas táticas de detecção modernas, incluindo sandboxes. As campanhas de macros de hoje são altamente bem sucedidas em relação a dar bypass não só em métodos de assinatura tradicional e defesas baseados em reputação, mas também nos mais recentes sandboxes comportamentais.
Além do que já foi citado, outro importante fator a ser considerado é o da eficácia. As altas taxas de sucesso e custo-benefício dos macros maliciosos cada vez mais sofisticados têm impulsionado a mudança de ataques de e-mail baseados em malware. Na sequência, as campanhas de macro maliciosos anexados têm crescido tanto em tamanho quanto em freqüência. Assim, a Proofpoint acredita que campanhas envolvendo macros maliciosos irão continuar a crescer, até que tanto os aumentos de custo quanto de eficácia diminuirão a tal ponto a não atingir um ROI (Return On Investment) significativo. Os cybercriminosos também empregam, cada vez mais, técnicas audaciosas quando se trata de liderar campanhas de ataques. Embora macros maliciosos ofereçam uma barreira à entrada facilitada em relação aos atacantes, as campanhas predominantes ainda são relacionadas a ataques com o uso de malware (incluindo os perigosos e famigerados trojans Dyre e Dridex). Somente os atacantes que utilizam técnicas mais sofisticadas, possuem os conhecimentos necessários para utilizar com sucesso os recursos dessas campanhas.
Menor Custo e Maior Acessibilidade Promovem Sucesso dos Cybercriminosos
O orçamento para uma campanha que utiliza documento malicioso (ou "Maldoc") pode variar de zero a US $ 1.000. Além disso, campanhas de e-mail não solicitadas podem exceder o uso de kit exploits (EKS) em nível de popularidade. Embora haja uma gama de serviços de spam disponíveis, a maioria dos serviços com a utilização de kit exploits disponíveis, são vendidas em foruns e comunidades privadas e não estão prontamente disponíveis para receber cybercriminosos iniciantes ou com uma base de conhecimento intermediária; ou seja, é preciso ter experiência neste ramo de atuação. Além disso, os ataques que dependem de macros não deixam imperceptível a sua capacidade de causar estragos em uma rede, com uma variedade de truques concebidos para convencer os destinatários a habilitá-los a partir do Microsoft Word.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3061