Report HP Wolf Security mostra que os atacantes estão a usar técnicas de living-off-the-land para explorar pontos fracos de deteção
Destaques
- O último relatório da HP Threat Insights revela iscas em PDF altamente sofisticadas e falsificadas, mostrando como os atacantes estão a aperfeiçoar o engano visual para explorar a confiança em aplicativos de uso diário.
- O relatório revelou que os cibercriminosos escondem códigos maliciosos em dados de imagens pixelizadas para infetar os utilizadores e, em seguida, apagam as provas para encobrir os seus rastos.
- A pesquisa mostra que os atacantes usam uma combinação de ferramentas “living-off-the-land” – ou seja, recursos integrados ao ambiente Windows – para evitar a deteção.
A HP divulgou o seu mais recente Relatório de Análise de Ameaças, revelando como as antigas técnicas de living-off-the-land (LOTL) e phishing estão a evoluir para contornar as ferramentas de segurança tradicionais baseadas na deteção. As técnicas LOTL — nas quais os atacantes utilizam ferramentas e funcionalidades legítimas integradas num computador para realizar os seus ataques — são há muito tempo um elemento básico do kit de ferramentas dos autores de ameaças. No entanto, os investigadores de ameaças da HP alertam agora que o uso crescente de múltiplos binários, muitas vezes incomuns, numa única campanha está a tornar ainda mais difícil distinguir atividades maliciosas de atividades legítimas.
O relatório fornece uma análise de ciberataques reais, ajudando as organizações a acompanhar as técnicas mais recentes que os cibercriminosos estão a usar para evitar a deteção e invadir PCs no cenário em rápida mudança do cibercrime. Com base nos milhões de terminais que executam o HP Wolf Security1, as campanhas identificadas pelos pesquisadores de ameaças da HP incluem:
- Falsa fatura do Adobe Reader sinaliza nova onda de ganchos de engenharia social ultrassofisticada: os atacantes incorporaram um shell reverso – um script que concede aos atacantes o controlo sobre o dispositivo da vítima. O script foi incorporado numa pequena imagem SVG, disfarçada como um ficheiro Adobe Acrobat Reader muito realista, completo com uma barra de carregamento falsa – dando a ilusão de um upload em curso, aumentando as hipóteses de as vítimas o abrirem e desencadearem uma cadeia de infeções. Os atacantes também limitaram geograficamente o download a regiões de língua alemã para limitar a exposição, dificultar os sistemas de análise automatizados e atrasar a deteção.
- os atacantes usaram ficheiros Microsoft Compiled HTML Help para esconder código malicioso nos pixels da imagem. Os ficheiros, disfarçados de documentos de projeto, escondiam uma carga útil XWorm nos dados de pixel, que era então extraída e usada para executar uma cadeia de infeção em várias etapas envolvendo várias técnicas LOTL. O PowerShell também foi usado para executar um ficheiro CMD que apagava as evidências dos ficheiros depois de terem sido descarregados e executados.
- O Lumma Stealer foi uma das famílias de malware mais ativas observadas no segundo trimestre. Os invasores o distribuíram através de vários canais, incluindo anexos de arquivos IMG que utilizam técnicas LOTL para contornar filtros de segurança e explorar sistemas confiáveis. Apesar da repressão policial em maio de 2025, as campanhas continuaram em junho e o grupo já está registrando mais domínios e construindo infraestrutura.
Alex Holland, investigador principal de ameaças do HP Security Lab, comenta: «Os atacantes não estão a reinventar a roda, mas estão a aperfeiçoar as suas técnicas. Living-off-the-land, reverse shells e phishing existem há décadas, mas os atores de ameaças atuais estão a aprimorar esses métodos. Estamos a ver mais encadeamento de ferramentas living-off-the-land e uso de tipos de ficheiros menos óbvios, como imagens, para evitar a deteção. Veja os reverse shells como exemplo – não é necessário lançar um RAT completo quando um script simples e leve alcança o mesmo efeito. É simples, rápido e muitas vezes passa despercebido por ser tão básico.”
Estas campanhas mostram como os agentes de ameaças se tornaram criativos e adaptáveis. Ao esconder código malicioso em imagens, abusar de ferramentas de sistema confiáveis e até mesmo adaptar ataques a regiões específicas, eles estão a tornar mais difícil para as ferramentas de deteção tradicionais identificarem ameaças.
Ao isolar ameaças que escaparam às ferramentas de deteção em PCs – mas ainda permitindo que o malware seja detonado com segurança dentro de contentores seguros –, o HP Wolf Security tem uma visão específica das técnicas mais recentes utilizadas pelos cibercriminosos. Até à data, os clientes da HP Wolf Security clicaram em mais de 55 mil milhões de anexos de e-mail, páginas web e ficheiros transferidos sem que fossem relatadas violações.
O relatório, que examina dados de abril a junho de 2025, detalha como os cibercriminosos continuam a diversificar os métodos de ataque para contornar ferramentas de segurança que dependem da deteção, tais como:
- Pelo menos 13% das ameaças de e-mail identificadas pelo HP Sure Click contornaram um ou mais scanners de gateway de e-mail.
- Os ficheiros de arquivo foram o tipo de entrega mais popular (40%), seguidos por executáveis e scripts (35%).
- Os atacantes continuam a usar ficheiros de arquivo .rar (26%), sugerindo que estão a explorar softwares confiáveis como o WinRAR para evitar levantar suspeitas.
O Dr. Ian Pratt, diretor global de segurança para sistemas pessoais da HP Inc., comenta: “As técnicas de living off the land são notoriamente difíceis para as equipas de segurança, porque é difícil distinguir sinais verdes de sinais vermelhos, ou seja, atividades legítimas de ataques. Fica-se entre a espada e a parede: bloquear a atividade e criar atrito para os utilizadores e tickets para o SOC ou deixar aberto e correr o risco de um invasor escapar. Mesmo a melhor deteção irá falhar algumas ameaças, por isso, uma defesa profunda com contenção e isolamento é essencial para interceptar os ataques antes que causem danos.»
Visite o blog de Investigação de Ameaças para ver o relatório.
