Ataques 'watering hole' vs. Proteção avançada de endpoint
Num ataque 'watering hole', os cibercriminosos têm normalmente de seguir uma série de passos. Primeiro, precisam de investigar o alvo e certificar-se de que conhecem o tipo de website que a potencial vítima frequenta. Depois, tentam infetá-lo com código malicioso para que, quando a vítima o visita, o website explore uma vulnerabilidade no browser ou convença-os a descarregar um ficheiro que comprometa o dispositivo do utilizador.
O que é um ataque 'watering hole'?
Este tipo de ataque é concebido para atingir colaboradores de uma indústria ou grupo de utilizadores específicos, e utiliza os websites que visitam regularmente para os atrair para uma armadilha que dá acesso à rede corporativa de uma empresa. Roubo de dados, perdas económicas e danos na reputação são frequentemente as principais consequências de ataques 'watering hole'.
Embora estas ameaças se assemelhem a ataques à cadeia de abastecimento, não são exatamente ao mesmo. Em ambos os casos, os hackers comprometem um serviço de terceiros para infetar outros sistemas. No entanto, os ataques a cadeias de abastecimento tipicamente comprometem um produto que foi adquirido ou um serviço que é utilizado pelo alvo, enquanto que um ataque 'watering hole' infeta websites neutros. Em contraste, um ataque à cadeia de abastecimento distribui malware através do elo "mais fraco" da rede de uma organização, tal como um fornecedor, vendedor ou parceiro.
Três exemplos recentes de ataques de buracos de irrigação:
1. Nitrokod e falso Google Translate para desktop
Em finais de julho de 2022, foi detetada uma campanha de malware de mineração de criptomoeda que infetou dispositivos em 11 países. O cibercriminoso era um desenvolvedor de software chamado Nitrokod,que oferece versões gratuitas de aplicações de software populares que não têm uma versão oficial para ambiente de trabalho. A sua imitação do utilitário de tradução, criado utilizando as páginas web oficiais do Google Translate e uma estrutura baseada no Chromium, foi a sua oferta mais popular e estava disponível em websites freeware e bem classificado nos resultados de pesquisa para "Google Translate desktop download". Infelizmente, as aplicações foram trojanizadas e, uma vez instalado o software no dispositivo, o processo de infeção ficou adormecido durante várias semanas para garantir que permanecesse desapercebido. Após o intervalo inativo, o malware fazia efeito e as vítimas recebiam um ficheiro atualizado que carregava uma série de quatro 'droppers' no dispositivo ao longo de alguns dias. O último 'dropper' utilizaria o minerador Monero-centric XMRig e executá-lo-ia. Enquanto isto acontecia, o Google Translate continuava a funcionar corretamente e as análises de segurança não levantavam bandeiras vermelhas. Esta tática permitiu que a campanha funcionasse com sucesso sob o radar durante anos.
2. Malware SolarMarker
Em setembro de 2022, o grupo SolarMarker comprometeu um website vulnerável gerido por WordPress para atrair as suas vítimas a descarregar atualizações falsas do browser Chrome. Esta campanha visava uma organização de consultoria fiscal global com presença nos EUA, Canadá, Reino Unido e Europa. Neste caso, a vítima era um colaborador de uma empresa que procurava equipamento médico de um fabricante específico no Google. Assim que o colaborador acedeu ao site comprometido, foi-lhe pedido para descarregar uma atualização do Chrome. O colaborador descarregou e executou então o SolarMarker, que foi disfarçado de uma falsa atualização. A atualização falsa foi baseada no browser que a vítima estava a utilizar no momento em que acedeu ao site infetado. Assim, se o utilizador estivesse a utilizar outro browser, ter-se-ia feito passar por Firefox ou Edge.
3. O malware SocGholish nos sites de notícias dos EUA
Em novembro de 2022, um grupo criminoso comprometeu uma empresa fornecedora de conteúdos que é responsável pelo fornecimento de conteúdos de vídeo e publicidade aos principais meios de comunicação social dos EUA, a fim de implantar malware nos seus websites. Durante esta campanha, foram visados 250 portais de jornais nacionais e regionais no país. O malware, chamado SocGholish e visto pela primeira vez em 2018, foi injetado num ficheiro JavaScript benigno que foi carregado nos websites dos meios de comunicação e convenceu os visitantes a descarregar uma falsa atualização do browser. Tal como no caso anterior, o malware tomou a forma do browser utilizado pelo utilizador. Uma vez que os atacantes obtiveram acesso inicial às redes, este podia ser utilizado como uma avenida para a implementação de ransomware, que é uma tática que já vimos anteriormente.
Proteção de endpoint: defesa crítica contra um ataque 'watering hole'
Os ataques 'watering hole' têm uma elevada taxa de sucesso, uma vez que comprometem sites legítimos e de confiança para os utilizadores, de modo que mesmo os colaboradores mais informados e cuidadosos podem cair na armadilha. É por isso que é necessária uma solução de proteção de endpoint que proporcione uma monitorização contínua e impeça a execução de processos desconhecidos. Contudo, tendo em conta que, quando confrontados com um tal ataque, as aplicações podem passar como legítimas, a tecnologia utilizada para se defenderem contra ela deve proteger os utilizadores contra ameaças avançadas, ameaças avançadas persistentes (ATP), malware de zero-day e ransomware, entre outras ameaças sofisticadas. A utilização de IA e automação são benéficas em termos de prevenção, deteção, contenção e ações de resposta. Além disso, a análise comportamental é ideal para detetar se existem quaisquer agentes maliciosos dentro da rede. A soma destas funções ajuda a alcançar uma segurança abrangente, capaz de prevenir um ataque 'watering hole'.
É fundamental adotar uma abordagem zero-trust, idealmente com serviços geridos como encontramos no Feature Brief - 'WatchGuard Zero-Trust Application Service', que são capazes de classificar 100% das aplicações como malware ou aplicações de confiança, monitorizando a atividade de todos os tipos de aplicações no endpoint. Uma abordagem de zero-trust pode prevenir execuções de ameaças sofisticadas, tais como ataques na cadeia de abastecimento e ataques 'watering hole', observando comportamentos anómalos de software aparentemente legítimo e reclassificando aplicações assim que estas executam atividades tipicamente utilizadas por agentes de ameaça. Não há dúvida de que os cibercriminosos estão a utilizar táticas cada vez mais complexas e difíceis de detetar, mas com a proteção certa, adotando uma abordagem de AI e de zero-trust, é possível lidar com eles e manter as redes empresariais seguras.
Interessado em saber mais sobre como a WatchGuard Endpoint Security o ajuda a evitar ataques como este? Visite o nosso website e encontre toda a informação.