Watering Hole: à espera de vítimas, do reino animal à segurança

No campo da cibersegurança, novos conceitos estão sendo introduzidos para identificar ameaças que se desenvolvem e evoluem continuamente. Por exemplo, podemos criar o termo “ransomworm” para novas famílias de ransomware (como WannaCryptor) que possuem características de um worm, ou seja, a capacidade de se propagar automaticamente através da exploração de vulnerabilidades.

Do mesmo modo, ideias de outros campos podem ser aplicadas para se referir a características de ameaças ou ataques. Por exemplo, a expressão “low-hanging fruit” refere-se a alvos que podem ser alcançados com relativa facilidade, aplicando o menor esforço possível.

O conceito pode ser aplicado a ataques que empregam técnicas relativamente simples, que permitem que cibercriminosos tenham acesso a sistemas e informações devido a configurações erradas ou falta de atualizações.

Com base nessas ideias, agora vamos falar sobre uma expressão que, embora tenha sido utilizada na gíria da cibersegurança há alguns anos, ainda pode ser usada para se referir a operações com propósitos específicos. Estou falando sobre o watering hole.

O conceito watering hole aplicado à cibersegurança

Recentemente, os pesquisadores da ESET apresentaram ataques que funcionam sob um método conhecido anteriormente: os sites são modificados para fins maliciosos, enquanto os cibercriminosos esperam por vítimas, como predadores.

Em vez de fazer campanhas de propagação, os cibercriminosos esperam as visitas usuais às páginas alteradas

Desta forma, os criminosos não precisam iniciar campanhas de propagação, mas simplesmente ficam à espera de visitas regulares dos usuários às páginas que foram alteradas.

É, de fato, o ataque chamado watering hole. O termo é usado de diferentes formas, dependendo do contexto. No entanto, tem uma conotação geral que normalmente é aplicada em várias áreas, como ocorre no campo da cibersegurança.

O conceito refere-se à forma como os felinos costumam capturar suas vítimas sem a necessidade de ir à caça. Normalmente, os animais esperam que outros visitem uma concavidade em que possam encontrar água parada.

Claro, as vítimas chegam em busca de água para beber, sem saber que estão sendo perseguidas.

A ideia aplicada à segurança indica que os sites são alterados para realizar alguma atividade maliciosa, enquanto os usuários que geralmente visitam as páginas acabam ignorando a presença de uma ameaça.

Uma vez que os cibercriminosos identificam seu alvo, geralmente modificam um site que provavelmente será visitado pela vítima. Através da inserção de fragmentos de código na página, o visitante é redirecionado para um servidor malicioso. A ameaça também procura explorar alguma vulnerabilidade no navegador do usuário.

No uso desta técnica, um terceiro em questão deve ser atacado anteriormente para que o alvo principal possa ser comprometido.

Portanto, a principal ideia do watering hole é que a vítima seja quem chega no site comprometido, ao contrário dos ataques onde a vítima é alcançada, por exemplo, enviando emails com arquivos maliciosos anexados ou links para sites que hospedam malware ou uma campanha de phishing.

No mesmo contexto, a eficácia do ataque está focada na confiança dos usuários que geralmente visitam sites que podem ter sido comprometidos. Portanto, geralmente não surgem suspeitas. Por esta razão, as vítimas não contam com pistas para identificar atividades maliciosas.

Mitigação dos ataques watering hole

Uma parte importante nas atividades de mitigação deste tipo de ataques está diretamente relacionada com a segurança dos sites e às práticas no desenvolvimento seguro das páginas, bem como auditorias contínuas em busca de vulnerabilidades que podem ser exploradas por cibercriminosos, uma vez que um site pode se tornar um canal para o ataque.

Por outro lado, na perspectiva dos usuários, as práticas se concentram nas medidas de segurança aplicadas no navegador, especialmente quando visita sites que podem ser confiáveis.

As atualizações se tornaram uma tarefa fundamental, assim como a aplicação de configurações como o bloqueio da execução automática do código de linguagens de scripting.

Autor , ESET

Siga-nos