A WatchGuard destaca que os cibercriminosos adotam manobras encobertas para contornar assinaturas com malware zero-day
A WatchGuard Technologies, empresa global em cibersegurança unificada para provedores de serviços gerenciados (MSPs), divulgou hoje as conclusões de seu mais recente Internet Security Report, uma análise trimestral que detalha as principais ameaças de malware, rede e segurança de endpoint observadas pelos pesquisadores do WatchGuard Threat Lab entre abril e junho, no segundo trimestre de 2025.
As principais conclusões do relatório revelam um aumento de 40% (em comparação com o trimestre anterior) em malwares avançados e evasivos. Os dados destacam os canais criptografados como o vetor de ataque preferido dos invasores, que utilizam o Transport Layer Security (TLS), o protocolo de criptografia por trás da maior parte do tráfego web seguro. Embora o TLS seja essencial para proteger os usuários, os atacantes vêm explorando cada vez mais essa tecnologia para disfarçar cargas maliciosas.
No geral, as detecções de malware aumentaram 15% no segundo trimestre, impulsionadas por um crescimento de 85% no Gateway AntiVirus (GAV) e de 10% no IntelligentAV (IAV), o que reforça o papel crescente do IAV na identificação de ameaças sofisticadas. Com 70% de todo o malware sendo agora distribuído por conexões criptografadas, os resultados evidenciam a dependência cada vez maior dos invasores em técnicas de ofuscação e furtividade, e a necessidade de as organizações aprimorarem a visibilidade sobre o tráfego criptografado e adotarem estratégias de proteção mais flexíveis.
O Threat Lab também observou um leve aumento nos ataques de rede, com crescimento de 8,3%. Ao mesmo tempo, a diversidade de ataques diminuiu, com 380 assinaturas exclusivas acionadas, em comparação com 412 no trimestre anterior. Um destaque foi a detecção de um novo JavaScript malicioso, chamado “WEB-CLIENT JavaScript Obfuscation in Exploit Kits”, o que reforça a rapidez com que novas ameaças podem se proliferar usando a ofuscação como técnica de evasão para driblar controles legados. Os resultados mostram que, embora novos exploits surjam constantemente, os atacantes continuam a explorar fortemente vulnerabilidades antigas e amplamente utilizadas em navegadores, frameworks web e ferramentas de código aberto.
“Durante o segundo trimestre, os resultados do relatório indicam um aumento de malwares evasivos em canais criptografados, à medida que os atacantes se esforçam para contornar a detecção e maximizar o impacto”, diz Corey Nachreiner, chief security officer da WatchGuard Technologies. “Para MSPs com recursos limitados e equipes de TI enxutas, essa mudança significa que o verdadeiro desafio é se adaptar rapidamente com medidas eficazes. Atualizações consistentes, defesas comprovadas e tecnologias avançadas de detecção e resposta capazes de agir rapidamente continuam sendo as contramedidas mais eficazes para mitigar essas ameaças.”
Outras conclusões importantes do Internet Security Report da WatchGuard incluem:
- Novas ameaças de malware únicas aumentaram 26%, mostrando o quão comum é o uso de criptografia de empacotamento, um tipo de evasão de malware, entre os agentes de ameaça. Essas ameaças polimórficas evitam a detecção baseada em assinatura, resultando em mais ocorrências nos serviços avançados da WatchGuard, como o APT Blocker (Bloqueador de Ameaças Persistentes Avançadas) e os números do IAV.
- O Threat Lab identificou inesperadamente duas ameaças de malware baseadas em USB: PUMPBENCH, um backdoor de acesso remoto, e HIGHREPS, um loader. Ambos implantaram um minerador de criptomoedas, XMRig, que minera Monero (XMR), e provavelmente estão ligados ao uso de carteiras de hardware entre detentores de criptomoedas.
- O ransomware caiu 47%, refletindo uma mudança para ataques menos frequentes, mas mais impactantes, direcionados a alvos de alto perfil, que resultam em consequências maiores. Notavelmente, o número de grupos de extorsão ativos aumentou, com Akira e Qilin entre os mais agressivos.
- Os droppers dominaram o malware de rede. Sete das dez principais detecções foram payloads de primeira fase, incluindo o Trojan.VBA.Agent.BIZ e o ladrão de credenciais PonyStealer, que exploram macros habilitadas pelo usuário para o comprometimento inicial. O infame botnet Mirai também ressurgiu após cinco anos, concentrado principalmente na região APAC. A predominância dos droppers indica a preferência dos atacantes por infecções em múltiplas etapas.
- O malware zero-day continua a dominar, representando mais de 76% de todas as detecções e quase 90% dos malwares criptografados. Esses achados reforçam a necessidade de capacidades avançadas de detecção além das assinaturas, especialmente para ameaças ocultas no tráfego TLS.
- As ameaças baseadas em DNS persistiram,incluindo domínios ligados ao trojan de acesso remoto DarkGate (RAT), um malware loader que atua como RAT, reforçando o filtro de DNS como uma camada defensiva crítica.
Em consonância com as atualizações trimestrais anteriores do Threat Lab, os dados deste relatório trimestral são baseados em inteligência de ameaças anonimizada e agregada proveniente de produtos de rede e endpoint ativos da WatchGuard, cujos proprietários optaram por compartilhar essas informações em apoio direto aos esforços de pesquisa da empresa.
Sobre a WatchGuard Technologies, Inc.
A WatchGuard Technologies, Inc. é uma empresa global em cibersegurança unificada. Nossa abordagem Unified Security Platform é projetada de maneira única para provedores de serviços gerenciados oferecerem segurança de classe mundial que aumenta a escala e a velocidade de seus negócios, ao mesmo tempo em que melhora a eficiência operacional. Confiados por mais de 17.000 revendedores de segurança e provedores de serviços para proteger mais de 250.000 clientes, os produtos e serviços premiados da empresa abrangem segurança e inteligência de rede, proteção avançada de endpoint, autenticação multifatorial e Wi-Fi seguro. Juntos, eles oferecem cinco elementos críticos de uma plataforma de segurança: segurança abrangente, conhecimento compartilhado, clareza e controle, alinhamento operacional e automação. A empresa tem sede em Seattle, Washington, com escritórios em toda a América do Norte, Europa, Ásia-Pacífico e América Latina.
Trump e a nova regra de exportação de SaaS: oportunidade de negócios para o Brasil
7 dicas de especialistas para combater crimes digitais no mercado financeiro
Programando com IA: quando o atalho compromete a segurança
Mês de Conscientização sobre Segurança Cibernética
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
