As ferramentas que tornam nossas comunicações mais seguras também beneficiam os criminosos.

Houve um grande aumento na proporção de malware usando TLS ou Transport Layer Security para se comunicar sem ser detectado, relata a empresa de segurança cibernética Sophos.

Embora o HTTPS ajude a evitar espionagem, ataques man-in-the-middle e sequestradores que tentam se passar por um site confiável, o protocolo também oferece cobertura para que os cibercriminosos compartilhem informações de forma privada entre um site e um servidor de comando e controle - escondido do visão dos caçadores de malware.

"Não deveria ser surpresa, então, que os operadores de malware também tenham adotado o TLS ... para evitar que os defensores detectem e interrompam a implantação de malware e roubo de dados", disse Sophos.

As comunicações de malware se enquadram em três categorias principais: download de mais malware, exfiltração de dados roubados ou comando e controle. Todos esses tipos de comunicação podem tirar proveito da criptografia TLS para evitar a detecção pelos defensores, disse a empresa de segurança.

De acordo com a Sophos, há um ano 24% do malware usava TLS para se comunicar, mas hoje essa proporção aumentou para 46%.

Sophos disse que uma grande parte do crescimento no uso geral de TLS por malware pode estar ligada em parte ao aumento do uso de serviços legítimos da web e em nuvem protegidos por TLS como armazenamento involuntário para componentes de malware, como destinos para dados roubados ou mesmo para enviar comandos para botnets e outro malware.

Ele também disse que viu um aumento no uso de TLS em ataques de ransomware no ano passado, especialmente em ransomware implantado manualmente - em parte por causa do uso de ferramentas ofensivas modulares que aproveitam HTTPS.

"Mas a grande maioria do que detectamos no dia-a-dia no tráfego TLS malicioso é de malware de comprometimento inicial: carregadores, droppers e instaladores baseados em documentos que acessam páginas seguras da web para recuperar seus pacotes de instalação", disse.

"Descobrimos que enquanto o TLS ainda representa uma média de pouco mais de dois por cento do tráfego geral que o Sophos classifica como" callhome de malware "em um período de três meses, 56 por cento dos servidores C2 exclusivos (identificados por nomes de host DNS) que se comunicaram com malware usado HTTPS e TLS. "

Um conta-gotas que ele destaca é o ransomware LockBit baseado em PowerShell, que pega scripts remotamente de uma planilha do Google Docs via TLS. Mas os operadores de malware costumam usar vários serviços da web para funções diferentes.

Fonte:ZDNet