Relatório da Kaspersky indica que o número de investidas que substituem bibliotecas legítimas por versões contaminadas — prática conhecida como DLL hijacking — duplicou nos últimos meses em diferentes regiões do mundo.
Como funciona o método
Arquivos DLL concentram rotinas usadas por vários programas, como exibir imagens ou acessar a internet. Criminosos exploram essa característica colocando no sistema uma cópia maliciosa com o mesmo nome da original. Quando o aplicativo invoca a função, o código infectado é executado sem levantar suspeitas, pois roda dentro de um software confiável.
Inteligência artificial no front de defesa
Para enfrentar a escalada dessa tática, a empresa integrou modelos de inteligência artificial ao seu SIEM (Security Information and Event Management). O sistema analisa milhões de amostras e identifica fatores como localização atípica da DLL, ausência de assinatura digital, alterações no nome do arquivo e irregularidades na estrutura interna.
“Treinamos o sistema para reconhecer padrões legítimos e desvios mínimos que indiquem manipulação”, afirmou Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky na América Latina.
Casos detectados
A companhia registrou ataques na Rússia, África e Coreia do Sul. Entre eles, está uma tentativa do grupo ToddyCat, barrada antes de causar danos. A mesma tecnologia também bloqueou distribuições de infostealers, que coletam credenciais, e loaders, responsáveis por instalar outras ameaças.
Imagem: William R
De acordo com Assolini, “criminosos apostam na confiança depositada em softwares legítimos para permanecer invisíveis por meses em redes corporativas. A IA permite apontar sinais que passavam despercebidos por soluções tradicionais”.
O subsistema monitora continuamente todas as bibliotecas carregadas em ambientes empresariais, oferecendo uma camada extra de defesa contra ameaças que se escondem atrás de processos reconhecidos.
Com informações de Hardware.com.br
