{"id":263,"date":"2024-12-01T02:28:44","date_gmt":"2024-12-01T02:28:44","guid":{"rendered":"https:\/\/oerlabs.com.br\/blog\/?p=263"},"modified":"2024-11-27T17:32:20","modified_gmt":"2024-11-27T17:32:20","slug":"ultimos-cenarios-de-ataque-em-varios-estagios-com-exemplos-do-mundo-real","status":"publish","type":"post","link":"https:\/\/oerlabs.com.br\/blog\/2024\/12\/01\/ultimos-cenarios-de-ataque-em-varios-estagios-com-exemplos-do-mundo-real\/","title":{"rendered":"\u00daltimos cen\u00e1rios de ataque em v\u00e1rios est\u00e1gios com exemplos do mundo real"},"content":{"rendered":"\n

Ataques cibern\u00e9ticos multiest\u00e1gio, caracterizados por suas complexas cadeias de execu\u00e7\u00e3o, s\u00e3o projetados para evitar a detec\u00e7\u00e3o e enganar as v\u00edtimas com uma falsa sensa\u00e7\u00e3o de seguran\u00e7a. Saber como eles operam \u00e9 o primeiro passo para construir uma estrat\u00e9gia de defesa s\u00f3lida contra eles. Vamos examinar exemplos do mundo real de alguns dos cen\u00e1rios de ataque multiest\u00e1gio mais comuns que est\u00e3o ativos agora.<\/p>\n\n\n\n

URLs e outros conte\u00fados incorporados em documentos<\/h2>\n\n\n\n

Os invasores frequentemente escondem links maliciosos em documentos aparentemente leg\u00edtimos, como PDFs ou arquivos do Word. Ao abrir o documento e clicar no link incorporado, os usu\u00e1rios s\u00e3o direcionados para um site malicioso. Esses sites frequentemente empregam t\u00e1ticas enganosas para fazer a v\u00edtima baixar malware em seu computador ou compartilhar suas senhas.<\/p>\n\n\n\n

Outro tipo popular de conte\u00fado incorporado s\u00e3o os c\u00f3digos QR. Os invasores ocultam URLs maliciosos dentro dos c\u00f3digos QR e os inserem em documentos. Essa estrat\u00e9gia for\u00e7a os usu\u00e1rios a recorrerem aos seus dispositivos m\u00f3veis para escanear o c\u00f3digo, que ent\u00e3o os direciona para sites de phishing. Esses sites normalmente solicitam credenciais de login, que s\u00e3o imediatamente roubadas pelos invasores na entrada.<\/p>\n\n\n\n

Exemplo: arquivo PDF com um c\u00f3digo QR<\/h3>\n\n\n\n

Para demonstrar como um ataque t\u00edpico se desenrola, vamos usar o ANY.RUN Sandbox<\/a> , que oferece um ambiente virtual seguro para estudar arquivos e URLs maliciosos. Gra\u00e7as \u00e0 sua interatividade, esse servi\u00e7o baseado em nuvem nos permite interagir com o sistema como em um computador padr\u00e3o.<\/p>\n\n\n\n

<\/p>\n\n\n\n

Para simplificar nossa an\u00e1lise, habilitaremos o recurso Interatividade Automatizada, que pode executar todas as a\u00e7\u00f5es do usu\u00e1rio necess\u00e1rias para acionar o ataque ou a execu\u00e7\u00e3o da amostra automaticamente.<\/p>\n\n\n\n

\"\"<\/a><\/td><\/tr>
Phishing PDF com c\u00f3digo QR malicioso aberto na sandbox ANY.RUN<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Considere esta sess\u00e3o sandbox<\/a> , que apresenta um arquivo .pdf malicioso que cont\u00e9m um c\u00f3digo QR. Com a automa\u00e7\u00e3o ativada, o servi\u00e7o extrai a URL dentro do c\u00f3digo e a abre no navegador sozinho.<\/p>\n\n\n\n

\"\"<\/a><\/td><\/tr>
A p\u00e1gina final de phishing onde as v\u00edtimas s\u00e3o convidadas a compartilhar suas credenciais<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Ap\u00f3s alguns redirecionamentos, o ataque nos leva \u00e0 p\u00e1gina final de phishing projetada para imitar um site da Microsoft. Ela \u00e9 controlada por agentes de amea\u00e7as e configurada para roubar dados de login e senha dos usu\u00e1rios, assim que eles s\u00e3o inseridos.<\/p>\n\n\n\n

\"\"<\/a><\/td><\/tr>
A regra Suricata IDS identificou uma cadeia de dom\u00ednio de phishing durante a an\u00e1lise<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

O sandbox permite observar toda a atividade da rede que ocorre durante o ataque e ver as regras do Suricata IDS acionadas<\/p>\n\n\n\n

Ap\u00f3s concluir a an\u00e1lise, o sandbox ANY.RUN fornece um veredito conclusivo de “atividade maliciosa” e gera um relat\u00f3rio sobre a amea\u00e7a que tamb\u00e9m inclui uma lista de IOCs.<\/p>\n\n\n\n

Redirecionamentos multiest\u00e1gio<\/h2>\n\n\n\n

Redirecionamentos multiest\u00e1gio envolvem uma sequ\u00eancia de URLs que movem os usu\u00e1rios por v\u00e1rios sites, levando, em \u00faltima an\u00e1lise, a um destino malicioso. Os invasores geralmente utilizam dom\u00ednios confi\u00e1veis, como o do Google ou plataformas populares de m\u00eddia social como o TikTok, para fazer os redirecionamentos parecerem leg\u00edtimos. Esse m\u00e9todo complica a detec\u00e7\u00e3o da URL maliciosa final por ferramentas de seguran\u00e7a.<\/p>\n\n\n\n

Alguns est\u00e1gios de redirecionamento podem incluir desafios de CAPTCHA para impedir que solu\u00e7\u00f5es e filtros automatizados acessem conte\u00fado malicioso. Os invasores tamb\u00e9m podem incorporar scripts que verificam o endere\u00e7o IP do usu\u00e1rio. Se um endere\u00e7o baseado em hospedagem, comumente usado por solu\u00e7\u00f5es de seguran\u00e7a, for detectado, a cadeia de ataque \u00e9 interrompida e o usu\u00e1rio \u00e9 redirecionado para um site leg\u00edtimo, impedindo o acesso \u00e0 p\u00e1gina de phishing.<\/p>\n\n\n\n