Ataques Watering Hole Malwarebytes

O que é um ataque de watering hole?

Seja em cibersegurança ou na selva, um ataque de watering hole ocorre quando agentes de ameaça atacam seus alvos onde eles se reúnem. Na natureza, um watering hole é uma depressão natural de água onde animais sedentos vêm beber. Com a guarda baixa, eles são presas mais fáceis para caçadores como leões. É um conceito semelhante na cibersegurança, exceto que, em vez de grandes felinos e gazelas, são hackers à espreita de usuários de computador na web.

Como funcionam os ataques de watering hole?

Um ataque de watering hole é quando cibercriminosos atacam indivíduos, grupos ou organizações em um site que eles frequentam, usando habilidades como hacking e engenharia social. Alternativamente, o atacante pode atrair a(s) vítima(s) para um site que criam. Esses ataques requerem execução meticulosa em todas as seguintes quatro fases:

1. Coleta de Inteligência

O agente de ameaça coleta inteligência monitorando os hábitos de navegação na web do alvo. Ferramentas comuns para coleta de inteligência incluem motores de busca, páginas de redes sociais, dados demográficos de sites, engenharia social, spyware e keyloggers. Às vezes, o conhecimento comum é de grande ajuda. Ao final desta fase, os cibercriminosos têm uma lista curta de sites-alvo para usar em um ataque de watering hole.

2. Análise

Os cibercriminosos analisam a lista de sites em busca de fraquezas de domínio e subdomínio que possam explorar. Alternativamente, os atacantes podem criar um clone de site malicioso. Às vezes, eles fazem ambos - comprometem um site legítimo de modo que ele leve os alvos a um falso.

3. Preparação

Os hackers injetam o site com exploits originados da web para infectar seus alvos. Tal código pode explorar tecnologias web como ActiveX, HTML, JavaScript, imagens e mais para comprometer navegadores. Para ataques mais direcionados, os agentes de ameaça podem também usar kits de exploits que permitem infectar visitantes com endereços IP específicos. Esses kits são particularmente úteis ao focar em uma organização.

4. Execução

Com o watering hole pronto, os atacantes aguardam que o malware faça seu trabalho. Se tudo correr bem, os navegadores dos alvos baixam e executam o software malicioso do site. Navegadores podem ser vulneráveis a exploits originados da web porque geralmente baixam indiscriminadamente código de sites para computadores e dispositivos locais.

Quais técnicas os hackers usam em ataques de watering hole?

Cross-site scripting (XSS): Com esse ataque de injeção, um hacker pode inserir scripts maliciosos no conteúdo de um site para redirecionar usuários para sites maliciosos.
SQL Injection: Hackers podem usar ataques de injeção SQL para roubar dados.
Envenenamento de cache DNS: Também conhecido como spoofing DNS, os hackers usam essa técnica de manipulação para enviar alvos a páginas maliciosas.
Downloads de drive-by: Alvos em um watering hole podem baixar conteúdo malicioso sem seu conhecimento, consentimento ou ação em um download drive-by.
Malvertising: Conhecido como malvertising, hackers injetam código malicioso em anúncios em um watering hole para espalhar malware aos seus alvos.
Exploração de zero-day: Agentes de ameaça podem explorar vulnerabilidades zero-day em um site ou navegador que os atacantes de watering hole podem usar.

Exemplos de ataques de watering hole

2012: Hackers infectaram o site do Council on Foreign Relations (CFR) americano através de um exploit do Internet Explorer. Curiosamente, o watering hole só afetou navegadores Internet Explorer que estavam usando certos idiomas.

2013: Um ataque de malware patrocinado por um estado atingiu Sistemas de Controle Industrial (ICS) nos Estados Unidos e na Europa, mirando os setores de defesa, energia, aviação, farmacêutico e petroquímico.

2013: Hackers coletaram informações de usuários usando o site do Departamento do Trabalho dos Estados Unidos como um watering hole.

2016: Pesquisadores encontraram um kit de exploit personalizado visando organizações em mais de 31 países, incluindo Polônia, Estados Unidos e México. A fonte do ataque pode ter sido o servidor web da Autoridade de Supervisão Financeira da Polônia.

2016: A Organização de Aviação Civil Internacional (ICAO) de Montreal é uma porta de entrada para quase todas as companhias aéreas, aeroportos e agências de aviação nacionais. Ao corromper dois dos servidores da ICAO, um hacker espalhou malware para outros sites, deixando os dados sensíveis de 2000 usuários e funcionários vulneráveis.

2017: O malware NotPetya infiltrou-se em redes pela Ucrânia, infectando visitantes de sites e apagando dados de seus discos rígidos.

2018: Pesquisadores descobriram uma campanha de watering hole chamada OceanLotus. Este ataque atingiu sites do governo cambojano e sites de mídia vietnamita.

2019: Cibercriminosos usaram um pop-up malicioso do Adobe Flash para desencadear um ataque de download de drive-by em quase uma dúzia de sites. Chamado de Holy Water, esse ataque atingiu sites religiosos, de caridade e de voluntariado.

2020: A empresa de tecnologia da informação americana SolarWinds foi alvo de um ataque de watering hole que levou meses para ser descoberto. Agentes patrocinados pelo estado usaram o ataque de watering hole para espionar empresas de cibersegurança, o Departamento do Tesouro, Segurança Interna, etc.

2021: O Threat Analysis Group (TAG) do Google encontrou ataques extensivos de watering hole direcionados a visitantes de sites de mídia e pró-democracia em Hong Kong. A infecção por malware instalaria um backdoor em pessoas que usavam dispositivos Apple.

Agora: Ataques de watering hole são uma ameaça persistente avançada (APT) contra todos os tipos de negócios em todo o mundo. Infelizmente, hackers estão mirando empresas de varejo, imobiliárias e outros estabelecimentos com phishing de watering hole impulsionado por estratégias de engenharia social.

Ataques de watering hole vs. ataques à cadeia de suprimentos

Embora ataques de watering hole e ataques à cadeia de suprimentos possam ser semelhantes, nem sempre são iguais. Um ataque à cadeia de suprimentos entrega malware através do elemento mais fraco na rede de uma organização, como um fornecedor, vendedor ou parceiro. Por exemplo, cinco empresas externas podem inadvertidamente ter funcionado como paciente zero no ataque Stuxnet aos computadores isolados do Irã. Um ataque à cadeia de suprimentos pode também usar um site comprometido como um watering hole, mas isso não é necessário.

Como se proteger contra ataques de watering hole

Para os consumidores, boas práticas de cibersegurança como ser cuidadoso onde você navega e clica na web, usar um bom programa antivírus e usar proteção de navegador como o Malwarebytes Browser Guard são coletivamente uma boa forma de evitar ataques de watering hole. O Browser Guard permite que você navegue com mais segurança bloqueando páginas web que contenham malware.

Para empresas, as melhores práticas para proteger contra ataques de watering hole incluem:

Empregar software avançado de análise de malware que use aprendizado de máquina para reconhecer comportamentos maliciosos em sites e e-mails.
Teste regularmente sua solução de segurança e monitore seu tráfego na Internet em busca de atividades suspeitas.
Treine os usuários finais em estratégias de mitigação de ataques de watering hole.
Use os patches de segurança mais recentes para o sistema operacional e navegador para reduzir o risco de exploits.
Experimente navegadores na nuvem em vez de navegadores locais para melhor segurança.
Audite as permissões concedidas a sites.
Use ferramentas de Detecção e Resposta de Endpoint para Windows e Mac a fim de proteger os endpoints em sua organização de ameaças emergentes de malware.
Use recursos de cibersegurança relevantes para aprender mais sobre os vetores de ameaça que os hackers usam para ataques de watering hole.

Ataque ao bebedouro