Ataque ao bebedouro

Um ataque watering hole é quando os criminosos cibernéticos infectam um site que eles sabem que as vítimas pretendidas visitarão.

.st0{fill:#0D3ECC;} FAÇA O DOWNLOAD GRATUITO DO SITE MALWAREBYTES

Também para Windows, iOS, Android, Chromebook e For Business

O que é um ataque a um "watering hole"?

Quer se trate de segurança cibernética ou da selva, um ataque watering hole é quando os agentes de ameaças atacam seus alvos onde eles se reúnem. Na natureza, um bebedouro é uma depressão natural de água onde os animais sedentos vão beber. Com a guarda baixa, eles são presas mais fáceis para caçadores como os leões. É um conceito semelhante na segurança cibernética, exceto que, em vez de grandes felinos e gazelas, são os hackers que perseguem os usuários de computador na Web.  

Como funcionam os ataques a bebedouros?

Um ataque watering hole é quando os criminosos cibernéticos atacam indivíduos, grupos ou organizações em um site que eles frequentam, usando habilidades como hacking e engenharia social. Como alternativa, o invasor pode atrair a(s) vítima(s) para um site criado por ele. Os ataques exigem uma execução meticulosa em todas as quatro fases a seguir:

1. Coleta de inteligência

O agente da ameaça coleta inteligência rastreando os hábitos de navegação na Web de seu alvo. As ferramentas comuns para coleta de inteligência incluem mecanismos de pesquisa, páginas de mídia social, dados demográficos de sites, engenharia social, spyware e keyloggers. Às vezes, o conhecimento comum é uma grande ajuda. Ao final dessa fase, os criminosos cibernéticos têm uma lista restrita de alvos para usar em um ataque cibernético do tipo watering hole.

2. Análise

Os criminosos cibernéticos analisam a lista de sites em busca de pontos fracos de domínios e subdomínios que possam ser explorados. Como alternativa, os invasores podem criar um clone de site mal-intencionado. Às vezes, eles fazem as duas coisas: comprometem um site legítimo para que ele leve os alvos a um site falso.

3. Preparo

Os hackers injetam no site explorações da Web para infectar seus alvos. Esse código pode explorar tecnologias da Web como ActiveX, HTML, JavaScript, imagens e outras para comprometer os navegadores. Para ataques mais direcionados, os agentes de ameaças também podem usar kits de exploração que permitem infectar visitantes com endereços IP específicos. Esses kits de exploração são particularmente úteis quando se concentram em uma organização.

4. Execução

Com o bebedouro pronto, os atacantes esperam que o malware faça seu trabalho. Se tudo correr bem, os navegadores do alvo baixam e executam o software mal-intencionado do site. Os navegadores da Web podem ser vulneráveis a explorações transmitidas pela Web porque geralmente baixam indiscriminadamente códigos de sites para computadores e dispositivos locais.

Quais técnicas os hackers usam nos ataques watering hole?

  • Script entre sites (XSS): Com esse ataque de injeção, um hacker pode inserir scripts mal-intencionados no conteúdo de um site para redirecionar os usuários a sites mal-intencionados.
  • Injeção de SQL: Os hackers podem usar ataques de injeção de SQL para roubar dados.
  • Envenenamento de cache de DNS: Também conhecido como DNS spoofing, os hackers usam essa técnica de manipulação para enviar os alvos a páginas maliciosas.
  • Downloads drive-by: Os alvos em um bebedouro podem fazer download de conteúdo mal-intencionado sem seu conhecimento, consentimento ou ação em um download drive-by.
  • Malvertising: Conhecido como malvertising, os hackers injetam códigos mal-intencionados em anúncios em um bebedouro para espalhar malware para suas presas.
  • Exploração de dia zero: Os agentes de ameaças podem explorar vulnerabilidades de dia zero em um site ou navegador que os atacantes de watering hole podem usar.

Exemplos de ataques de watering hole

2012: Os hackers infectaram o site do Conselho Americano de Relações Exteriores (CFR) por meio de um exploit do Internet Explorer. É interessante notar que a falha atingiu apenas os navegadores do Internet Explorer que usavam determinados idiomas.

2013: Um ataque de malware patrocinado pelo Estado atingiu os Sistemas de Controle Industrial (ICS) nos Estados Unidos e na Europa, tendo como alvo os setores de defesa, energia, aviação, farmacêutico e petroquímico.

2013: Os hackers coletaram informações de usuários usando o site do Departamento do Trabalho dos Estados Unidos como um ponto de encontro.

2016: Os pesquisadores do site encontraram um kit de exploração personalizado direcionado a organizações em mais de 31 países, incluindo Polônia, Estados Unidos e México. A origem do ataque pode ter sido o servidor da Web da Autoridade de Supervisão Financeira da Polônia.

2016: A Organização da Aviação Civil Internacional (ICAO), sediada em Montreal, é uma porta de entrada para quase todas as companhias aéreas, aeroportos e agências nacionais de aviação. Ao corromper dois dos servidores da ICAO, um hacker espalhou malware para outros sites, deixando vulneráveis os dados confidenciais de 2.000 usuários e membros da equipe.

2017: O malware NotPetya se infiltrou em redes na Ucrânia, infectando visitantes de sites e excluindo seus dados do disco rígido.

2018: Os pesquisadores descobriram uma campanha de ataque chamado OceanLotus. Esse ataque atingiu sites do governo cambojano e sites de mídia vietnamita.

2019: os criminosos cibernéticos usaram um pop-up malicioso do Adobe Flash para desencadear um ataque de download drive-by em quase uma dúzia de sites. Chamado de Holy Water, esse ataque atingiu sites religiosos, de caridade e de voluntários.

2020: A empresa americana de tecnologia da informação SolarWinds foi alvo de um ataque de watering hole que levou meses para ser descoberto. Agentes patrocinados pelo Estado usaram o ataque watering hole para espionar empresas de segurança cibernética, o Departamento do Tesouro, a Homeland Security, etc.

2021: O Grupo de Análise de Ameaças (TAG) do Google encontrou ataques generalizados de watering hole direcionados a visitantes de sites de mídia e pró-democracia em Hong Kong. A infecção por malware instalaria um backdoor em pessoas que usam dispositivos Apple.

Agora: Os ataques watering hole são uma ameaça persistente avançada (APT) contra todos os tipos de empresas em todo o mundo. Infelizmente, os hackers estão tendo como alvo empresas de varejo, imobiliárias e outros estabelecimentos com phishing de watering hole impulsionado por estratégias de engenharia social.

Ataques de watering hole versus ataques à cadeia de suprimentos

Embora os ataques de watering hole e os ataques à cadeia de suprimentos possam ser semelhantes, eles nem sempre são os mesmos. Um ataque à cadeia de suprimentos fornece malware por meio do elemento mais fraco da rede de uma organização, como um fornecedor, vendedor ou parceiro. Por exemplo, cinco empresas externas podem ter funcionado inadvertidamente como paciente zero no ataque Stuxnet aos computadores do Irã com malha aérea. Um ataque à cadeia de suprimentos também pode usar um site comprometido como um ponto de acesso, mas isso não é necessário.

Como se proteger contra ataques de watering hole

Para os consumidores, boas práticas de segurança cibernética, como ter cuidado com o local onde você navega e clica na Web, usar um bom programa antivírus e usar a proteção do navegador, como o Malwarebytes Browser Guard , são coletivamente uma boa maneira de evitar ataques de watering hole. O Browser Guard permite que você navegue com mais segurança, bloqueando páginas da Web que contenham malware.

Para as empresas, as práticas recomendadas de proteção contra ataques de watering hole incluem:

  • Empregue um software avançado de análise de malware que use aprendizado de máquina para reconhecer comportamentos mal-intencionados em sites e e-mails.
  • Teste sua solução de segurança regularmente e monitore o tráfego da Internet em busca de atividades suspeitas.
  • Treine os usuários finais em estratégias de mitigação de ataques watering hole.
  • Use os patches de segurança mais recentes do sistema operacional e do navegador para reduzir o risco de explorações.
  • Experimente navegadores na nuvem em vez de navegadores locais para aumentar a segurança.
  • Permissões de auditoria que são concedidas a sites.
  • Use ferramentas de detecção e resposta de endpoints para Windows e Mac a fim de proteger os endpoints de sua organização contra ameaças emergentes de malware.
  • Use recursos relevantes de segurança cibernética para saber mais sobre os vetores de ameaça que os hackers usam para ataques de watering hole.

Notícias sobre ataques a bares