Malvertising - O que é e como combatê-la

O Malvertising não é algo novo, mas continua sendo uma ameaça considerável. Este tipo de ataque se caracteriza por utilizar websites de anúncios maliciosos ou sequestrados para espalhar malware, assim como inserir propagandas maliciosas dentro de redes legítimas para entregar Payloads (Carga útil) danosos que podem interagir direto com usuários ou rodar um script invisível. Diferentemente dos ataques adware mais comuns, o malvertising permite que os atores da ameaça embarquem malwares em anúncios passivos. Ou seja, o malvertising pode comprometer a rede mesmo se o usuário não clicar no anúncio.

Reforçando: Malvertising é desenvolvida para burlar proteções contra pop-ups e de redirecionamentos de websites. Então gera redirecionamentos forçados ou entrega payloads maliciosos. Além disso, campanhas direcionadas e customizadas para determinados públicos e vítimas podem ser bem-sucedidas.

Sua empresa pode ser afetada por este tipo de ataque por certos descuidos e falta de planejamento. São eles:

• Navegadores com configurações inseguras;
• Navegadores ultrapassados,
• Exposição a websites e aplicações maliciosos;
• Treinamentos e comunicações de baixa qualidade com usuários, inconstantes e ultrapassadas;
• Usuários com hábitos não saudáveis na navegação ou mal-intencionados.

Percebeu que riscos em relação a navegação web às vezes parecem ingênuos, mas são originados muitas vezes dentro das nossas empresas, nas quais não há um amadurecimento de tecnologia e segurança da informação. Um simples checklist já pode ajudar a reduzir estes riscos, mas atualmente outras ações e tecnologias são necessárias.

A CISA (Cybersecurity&Infrastructure Security Agency) faz recomendações para reduzir os riscos de Malvertising:

• Padronização e segurança de navegadores web
• Implantar softwares de bloqueio de propagandas (ad blockers)
• Implantar tecnologias protetivas de DNS (Domain Name System)
• Isolamento dos navegadores web dos sistemas operacionais 

A primeira e mais óbvia ação é manter os navegadores atualizados. Padronização traz um controle de planejamento e resposta a incidentes. Maior rapidez na resolução de problemas pois simplifica as atualizações e patching.

Implantar os Ad Blockers pode parecer uma boa idéia por reduzir o número de propagandas maliciosas e redirecionamentos para sites de phishing que podem culminar na coleta de dados/credenciais. Entretanto podem ser um perigo também. Alguns destes softwares utilizam-se de níveis altos de privilégios incluindo acesso ao tráfego de dados entre o endpoint e a rede. Alguns Ad Blockers têm acordos com certos anunciantes para que seus anúncios continuem desbloqueados e, portanto, continuam um risco. Existem casos reportados de Ad Blockers que já são um malware por natureza. Portanto, soluções corporativas e de desenvolvedores conhecidos são recomendados.

As tecnologias DNS provêm uma camada adicional de proteção ao bloquear nomes de domínios conhecidos em campanhas de Ransomware, phishing e outros malwares.

Todas estas recomendações feitas pelo CISA são indicadas, mas quando falamos de malwares jamais podemos supor que está tudo bem. Para as recomendações surtirem efeito precisam estar constantemente atualizadas e corrigidas com grande esforço para disponibilizar tudo no menor espaço de tempo possível a partir da detecção de vulnerabilidades. O mais comum é que os desenvolvedores ou fabricantes destas tecnologias disponibilizem com certa rapidez, entretanto, o espaço de tempo de detecção de vulnerabilidades é maior, deixando um risco maior para as organizações.

Por estas possíveis vulnerabilidades, acreditamos que o CISA tenha recomendado também o isolamento de navegação, browser isolation. Entretanto criar máquinas virtuais nos próprio endpoints dos usuários trazem dois problemas sérios: a performance do endpoint e riscos ao Sistema Operacional. O ideal, portanto, é o uso de containers na nuvem, o chamado Remote Browser Isolation (RBI).  

O RBI processa todos os dados do website num container temporário na nuvem. Apenas o código renderizado seguro é enviado para o navegador do endpoint, pelo qual o usuário interage com este código como se fosse o site original, de forma segura.

Existem soluções mais estruturadas e sofisticadas no mercado que incluem outras tecnologias integradas ao RBI, tais como secure web gateways, web content filtering, e content disarm and reconstruction (CDR) para remover conteúdo malicioso de arquivos antes de serem baixados.

O principal é que, com o RBI, a rede corporativa permanece segura mesmo com ameaças zero-day e contra a dinâmica de criação constante de novos sites de phishing porque o código do website não chega ao navegador e também não importa se os patches e atualizações foram aplicadas.

Em nossa visão, a aplicação do RBI é a tecnologia mais importante de ser implementada porque é uma solução que vai além da proteção contra o malvertising.

 O RBI tem sido visto em organizações que estão no processo de implantação da metodologia Zero Trust, ou em vias de, aplicando os conceitos do que se chama de Zero Trust Browsing.

 O RBI, por natureza, elimina ou reduz a necessidade de aplicação de configurações de listas de permissões ou bloqueio de websites e cobre eventuais falhas humanas mesmo com treinamentos anti-phishing porque pode bloquear todo código de atingir os endpoints. Algumas das soluções também suportam controles de políticas que permitem ao administrador escolher quais tipos de websites ou websites específicos sejam acessados, ou por tipos de usuários, tipos de websites que podem ser visualizados apenas no modo de leitura e quais dados podem ou não podem ser compartilhados com sites. Outras também trazem novidades em relação ao isolamento de sessões de web conferências e de comunicações Instant Messaging que utilizam criptografia de ponta-a-ponta.

E então, melhor preparados para planejarem como combater esta ameaça do Malvertising?