Os serviços em nuvem da Microsoft estão procurando malware olhando dentro dos arquivos zip dos usuários, mesmo quando eles estão protegidos por uma senha, relataram vários usuários no Mastodon na segunda-feira.
A compactação do conteúdo do arquivo em arquivos zip arquivados tem sido uma tática usada por agentes de ameaças para ocultar malware que se espalha por e-mail ou downloads. Eventualmente, alguns atores de ameaças se adaptaram protegendo seus arquivos zip maliciosos com uma senha que o usuário final deve digitar ao converter o arquivo de volta à sua forma original. A Microsoft está aprimorando esse movimento tentando contornar a proteção por senha em arquivos zip e, quando bem-sucedido, verificando-os em busca de códigos maliciosos.
Embora algumas pessoas estejam familiarizadas com a análise de ambientes de nuvem da Microsoft protegidos por senha, Andrew Brandt ficou surpreso. O pesquisador de segurança há muito tempo arquiva o malware dentro de arquivos zip protegidos por senha antes de compartilhá-los com outros pesquisadores via SharePoint. Na segunda-feira, ele foi ao Mastodon para relatar que a ferramenta de colaboração da Microsoft havia recentemente marcado um arquivo zip protegido por senha como “infectado”.
“Embora eu compreenda perfeitamente fazer isso para quem não é um analista de malware, essa maneira intrometida de lidar com isso se tornará um grande problema para pessoas como eu, que precisam enviar amostras de malware para seus colegas.” Brandt escreveu. “O espaço disponível para fazer isso continua diminuindo e afetará a capacidade dos pesquisadores de malware de fazer seu trabalho”.
O colega pesquisador Kevin Beaumont juntou-se à discussão para dizer que a Microsoft tem vários métodos para verificar o conteúdo de arquivos zip protegidos por senha e os usa não apenas em arquivos armazenados no SharePoint, mas também em todos os seus serviços de nuvem 365. Uma maneira é extrair as possíveis senhas dos corpos de e-mail ou o próprio nome do arquivo. Outra é testar o arquivo para ver se ele está protegido por uma das senhas contidas em uma lista.
“Se você enviar algo por e-mail e digitar algo como ‘a senha ZIP é Soph0s’, compactar EICAR e a senha ZIP com Soph0s, ele encontrará (a) senha, extrairá e localizará (e alimentará a detecção do MS)”, escreveu ele. .
Brandt disse que, no ano passado, o OneDrive da Microsoft começou a fazer backup de arquivos maliciosos armazenados em uma de suas pastas do Windows depois de criar uma exceção (ou seja, lista de permissões) em suas ferramentas de segurança de endpoint. Mais tarde, ele descobriu que, assim que os arquivos chegaram ao OneDrive, eles foram excluídos do disco rígido de seu laptop e detectados como malware em sua conta do OneDrive.
“Perdi todo o grupo”, disse ele.
Brandt então começou a arquivar arquivos maliciosos em arquivos zip “infectados” protegidos por senha. Até a semana passada, disse ele, o SharePoint não sinalizava arquivos. Agora eles são.
Os representantes da Microsoft acusaram o recebimento de um e-mail perguntando sobre práticas para contornar a proteção por senha para arquivos armazenados em seus serviços em nuvem. A empresa não deu seguimento a uma resposta.
Um representante do Google disse que a empresa não verifica arquivos zip protegidos por senha, embora o Gmail os sinalize quando os usuários recebem esse tipo de arquivo. Minha conta de trabalho gerenciada pelo Google Workspace também me impediu de enviar um arquivo zip protegido por senha.
A prática ilustra a linha tênue que os serviços online costumam percorrer ao tentar proteger os usuários finais de ameaças comuns, respeitando a privacidade. Como aponta Brandt, quebrar ativamente um arquivo zip protegido por senha parece invasivo. Ao mesmo tempo, essa prática quase certamente evitou que um grande número de usuários fosse vítima de ataques de engenharia social que tentavam infectar seus computadores.
Outra coisa que os leitores devem lembrar: arquivos zip protegidos por senha fornecem uma garantia mínima de que o conteúdo dentro dos arquivos não pode ser lido. Como Beaumont apontou, ZipCrypto, o meio padrão de criptografar arquivos zip no Windows, é trivial para substituir. Uma maneira mais confiável é usar um criptografador AES-256 embutido em muitos programas de arquivamento ao criar arquivos 7z.
