{"id":39220,"date":"2025-06-10T12:32:36","date_gmt":"2025-06-10T12:32:36","guid":{"rendered":"https:\/\/ramsdata.com.pl\/ficheiros-url-como-vetor-de-ataque-como-o-opswat-revela-ameacas-ocultas\/"},"modified":"2025-06-10T12:32:36","modified_gmt":"2025-06-10T12:32:36","slug":"ficheiros-url-como-vetor-de-ataque-como-o-opswat-revela-ameacas-ocultas","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/pt-pt\/ficheiros-url-como-vetor-de-ataque-como-o-opswat-revela-ameacas-ocultas\/","title":{"rendered":"Ficheiros URL como vetor de ataque: como o OPSWAT revela amea\u00e7as ocultas"},"content":{"rendered":"<div class=\"relative flex-col gap-1 md:gap-3\">\n<div class=\"flex max-w-full flex-col grow\">\n<div class=\"min-h-8 text-message relative flex w-full flex-col items-end gap-2 text-start break-words whitespace-normal [.text-message+&amp;]:mt-5\" dir=\"auto\" data-message-author-role=\"assistant\" data-message-id=\"4ea1d10c-bbb9-4462-87c7-671f066e4fda\" data-message-model-slug=\"gpt-4o\">\n<div class=\"flex w-full flex-col gap-1 empty:hidden first:pt-[3px]\">\n<div class=\"markdown prose dark:prose-invert w-full break-words light\">\n<p data-start=\"343\" data-end=\"902\">Os ficheiros de atalho da Internet, ou os chamados ficheiros URL, t\u00eam sido considerados durante anos como partes inofensivas e sem import\u00e2ncia do Windows. No entanto, est\u00e3o agora a ser cada vez mais utilizados por cibercriminosos e grupos APT como parte de cadeias de infe\u00e7\u00e3o complexas. Devido \u00e0 simplicidade do formato, \u00e0 baixa taxa de dete\u00e7\u00e3o e ao comportamento espec\u00edfico do sistema, os ficheiros URL est\u00e3o a tornar-se portadores silenciosos de c\u00f3digo malicioso. Os peritos da <strong data-start=\"762\" data-end=\"807\"><a class=\"\" href=\"https:\/\/ramsdata.com.pl\/opswat\/\" target=\"_new\" rel=\"noopener\" data-start=\"764\" data-end=\"805\">OPSWAT<\/a><\/strong> analisam esta nova categoria de amea\u00e7as e fornecem ferramentas para as detetar e neutralizar.    <\/p>\n<h2 data-start=\"904\" data-end=\"928\">Principais conclus\u00f5es<\/h2>\n<ul data-start=\"930\" data-end=\"1456\">\n<li data-start=\"930\" data-end=\"1013\">\n<p data-start=\"932\" data-end=\"1013\">Os ficheiros URL s\u00e3o atalhos de rede baseados em texto que podem iniciar ataques em v\u00e1rias fases.<\/p>\n<\/li>\n<li data-start=\"1014\" data-end=\"1120\">\n<p data-start=\"1016\" data-end=\"1120\">S\u00e3o usados para executar cargas \u00fateis .hta, .js ou .cpl, contornar a seguran\u00e7a e vazar dados.<\/p>\n<\/li>\n<li data-start=\"1121\" data-end=\"1209\">\n<p data-start=\"1123\" data-end=\"1209\">Estes ficheiros podem atuar como um vetor de ataque de phishing ou como parte de uma persist\u00eancia de malware.<\/p>\n<\/li>\n<li data-start=\"1210\" data-end=\"1317\">\n<p data-start=\"1212\" data-end=\"1317\">Mesmo os grupos APT avan\u00e7ados utilizam ficheiros URL como elementos de baixo sinal em campanhas maiores.<\/p>\n<\/li>\n<li data-start=\"1318\" data-end=\"1456\">\n<p data-start=\"1320\" data-end=\"1456\"><strong data-start=\"1320\" data-end=\"1365\"><a class=\"\" href=\"https:\/\/ramsdata.com.pl\/opswat\/\" target=\"_new\" rel=\"noopener\" data-start=\"1322\" data-end=\"1363\">OPSWAT<\/a><\/strong> analisa a sua estrutura de forma est\u00e1tica e din\u00e2mica utilizando o FileTAC e o MetaDefender Sandbox.<\/p>\n<\/li>\n<\/ul>\n<h2 data-start=\"1458\" data-end=\"1472\">\u00cdndice<\/h2>\n<ol data-start=\"1474\" data-end=\"1708\">\n<li data-start=\"1474\" data-end=\"1496\">\n<p data-start=\"1477\" data-end=\"1496\">O que s\u00e3o ficheiros URL<\/p>\n<\/li>\n<li data-start=\"1497\" data-end=\"1536\">\n<p data-start=\"1500\" data-end=\"1536\">Como os ficheiros URL apoiam os ataques inform\u00e1ticos<\/p>\n<\/li>\n<li data-start=\"1537\" data-end=\"1581\">\n<p data-start=\"1540\" data-end=\"1581\">Porque \u00e9 que a amea\u00e7a deles est\u00e1 a crescer<\/p>\n<\/li>\n<li data-start=\"1582\" data-end=\"1640\">\n<p data-start=\"1585\" data-end=\"1640\">Utiliza\u00e7\u00e3o estrat\u00e9gica de ficheiros URL por grupos APT<\/p>\n<\/li>\n<li data-start=\"1641\" data-end=\"1692\">\n<p data-start=\"1644\" data-end=\"1692\">Como \u00e9 que o OPSWAT identifica ficheiros de atalho maliciosos<\/p>\n<\/li>\n<li data-start=\"1693\" data-end=\"1708\">\n<p data-start=\"1696\" data-end=\"1708\">Resumo<\/p>\n<\/li>\n<\/ol>\n<h2 data-start=\"1710\" data-end=\"1730\">O que s\u00e3o ficheiros URL<\/h2>\n<p data-start=\"1732\" data-end=\"1856\">O ficheiro com a extens\u00e3o .url \u00e9 um simples atalho de Internet formatado em INI. A sua estrutura \u00e9 frequentemente limitada a uma \u00fanica linha:<\/p>\n<div class=\"contain-inline-size rounded-2xl relative bg-token-sidebar-surface-primary\">\n<div class=\"flex items-center text-token-text-secondary px-4 py-2 text-xs font-sans justify-between h-9 bg-token-sidebar-surface-primary select-none rounded-t-2xl\">ini<\/div>\n<div class=\"sticky top-9\">\n<div class=\"absolute end-0 bottom-0 flex h-9 items-center pe-2\">\n<div class=\"bg-token-bg-elevated-secondary text-token-text-secondary flex items-center gap-4 rounded-sm px-2 font-sans text-xs\"><button class=\"flex gap-1 items-center select-none py-1\" aria-label=\"Kopiuj\">Copia<\/button><span class=\"\" data-state=\"closed\"><button class=\"flex items-center gap-1 py-1 select-none\">Edita<\/button><\/span><\/div>\n<\/div>\n<\/div>\n<div class=\"overflow-y-auto p-4\" dir=\"ltr\"><code class=\"whitespace-pre!\"><span class=\"hljs-section\">[InternetShortcut]<\/span><br \/>\n<span class=\"hljs-attr\">URL<\/span>=https:\/\/OPSWAT.com\/<br \/>\n<\/code><\/div>\n<\/div>\n<p data-start=\"1912\" data-end=\"2156\">Estes ficheiros permitem que os utilizadores iniciem rapidamente um determinado site ou aplica\u00e7\u00e3o web. No entanto, esta simplicidade \u00e9 tamb\u00e9m uma potencial fraqueza: o ficheiro n\u00e3o requer uma assinatura, pode ser facilmente modificado e o seu lan\u00e7amento ativa um recurso externo. <\/p>\n<h2 data-start=\"2158\" data-end=\"2195\">Como os ficheiros URL apoiam os ataques inform\u00e1ticos<\/h2>\n<p data-start=\"2197\" data-end=\"2253\">Atualmente, os ficheiros URL s\u00e3o cada vez mais utilizados como:<\/p>\n<ul data-start=\"2255\" data-end=\"2673\">\n<li data-start=\"2255\" data-end=\"2358\">\n<p data-start=\"2257\" data-end=\"2358\"><strong data-start=\"2257\" data-end=\"2280\">Vectores de phishing<\/strong> &#8211; o utilizador clica num atalho que abre uma p\u00e1gina maliciosa ou descarrega uma carga \u00fatil<\/p>\n<\/li>\n<li data-start=\"2359\" data-end=\"2436\">\n<p data-start=\"2361\" data-end=\"2436\"><strong data-start=\"2361\" data-end=\"2391\">Carregadores de fase seguinte<\/strong> &#8211; por exemplo, para executar .hta ou .js remotamente<\/p>\n<\/li>\n<li data-start=\"2437\" data-end=\"2524\">\n<p data-start=\"2439\" data-end=\"2524\"><strong data-start=\"2439\" data-end=\"2480\">Ferramentas para contornar a seguran\u00e7a<\/strong> &#8211; por exemplo, contornar o SmartScreen e a etiqueta MOTW<\/p>\n<\/li>\n<li data-start=\"2525\" data-end=\"2600\">\n<p data-start=\"2527\" data-end=\"2600\"><strong data-start=\"2527\" data-end=\"2556\">Mecanismos de fuga de dados<\/strong> &#8211; por exemplo, atrav\u00e9s de um \u00edcone de SMB ou de um sinalizador C&amp;C<\/p>\n<\/li>\n<li data-start=\"2601\" data-end=\"2673\">\n<p data-start=\"2603\" data-end=\"2673\"><strong data-start=\"2603\" data-end=\"2636\">Elementos de persist\u00eancia de perigo<\/strong> &#8211; colocados em pastas de arranque autom\u00e1tico<\/p>\n<\/li>\n<\/ul>\n<p data-start=\"2675\" data-end=\"2756\">Embora aparentemente inofensivos, os ficheiros URL podem fazer parte de um ataque totalmente desenvolvido.<\/p>\n<h2 data-start=\"2758\" data-end=\"2800\">Porque \u00e9 que a amea\u00e7a deles est\u00e1 a crescer<\/h2>\n<p data-start=\"2802\" data-end=\"2886\">Do ponto de vista da <strong data-start=\"2820\" data-end=\"2854\">seguran\u00e7a cibern\u00e9tica dos ficheiros URL<\/strong>, a amea\u00e7a adv\u00e9m do facto de:<\/p>\n<ul data-start=\"2888\" data-end=\"3159\">\n<li data-start=\"2888\" data-end=\"2954\">\n<p data-start=\"2890\" data-end=\"2954\">Estes ficheiros s\u00e3o normalmente ignorados pelos sistemas AV tradicionais<\/p>\n<\/li>\n<li data-start=\"2955\" data-end=\"3016\">\n<p data-start=\"2957\" data-end=\"3016\">Podem ser facilmente contrabandeados atrav\u00e9s de e-mails, documentos e arquivos<\/p>\n<\/li>\n<li data-start=\"3017\" data-end=\"3091\">\n<p data-start=\"3019\" data-end=\"3091\">N\u00e3o est\u00e1 sujeito a um controlo rigoroso por parte dos utilizadores ou administradores<\/p>\n<\/li>\n<li data-start=\"3092\" data-end=\"3159\">\n<p data-start=\"3094\" data-end=\"3159\">Pode ser modificado por malware num sistema j\u00e1 infetado<\/p>\n<\/li>\n<\/ul>\n<h2 data-start=\"3161\" data-end=\"3217\">Utiliza\u00e7\u00e3o estrat\u00e9gica de ficheiros URL por grupos APT<\/h2>\n<p data-start=\"3219\" data-end=\"3505\">Como referem os analistas <strong data-start=\"3242\" data-end=\"3287\"><a class=\"\" href=\"https:\/\/ramsdata.com.pl\/opswat\/\" target=\"_new\" rel=\"noopener\" data-start=\"3244\" data-end=\"3285\">OPSWAT<\/a><\/strong>at\u00e9 mesmo grupos estatais avan\u00e7ados est\u00e3o a come\u00e7ar a utilizar ficheiros URL em campanhas complexas. Est\u00e3o a ser utilizados como ferramentas de baixa assinatura para iniciar ataques &#8211; especialmente quando combinados com strings LNK, HTA e PowerShell. <\/p>\n<p data-start=\"3507\" data-end=\"3647\">Em vez de criar um novo malware a partir do zero, os atacantes usam um simples ficheiro URL como primeiro passo para executar uma sequ\u00eancia mais complexa.<\/p>\n<h2 data-start=\"3649\" data-end=\"3698\">Como \u00e9 que o OPSWAT identifica ficheiros de atalho maliciosos<\/h2>\n<p data-start=\"3700\" data-end=\"3802\"><strong data-start=\"3700\" data-end=\"3745\"><a class=\"\" href=\"https:\/\/ramsdata.com.pl\/opswat\/\" target=\"_new\" rel=\"noopener\" data-start=\"3702\" data-end=\"3743\">OPSWAT<\/a><\/strong> utiliza duas ferramentas para analisar completamente os ficheiros URL:<\/p>\n<ul data-start=\"3804\" data-end=\"4149\">\n<li data-start=\"3804\" data-end=\"3940\">\n<p data-start=\"3806\" data-end=\"3940\"><strong data-start=\"3806\" data-end=\"3817\">FileTAC<\/strong> &#8211; para inspe\u00e7\u00e3o est\u00e1tica (DFI &#8211; Deep File Inspection), detecta a manipula\u00e7\u00e3o de metadados, valores ocultos, campos suspeitos<\/p>\n<\/li>\n<li data-start=\"3941\" data-end=\"4149\">\n<p data-start=\"3943\" data-end=\"4149\"><strong data-start=\"3943\" data-end=\"3967\">MetaDefender Sandbox<\/strong> &#8211; um ambiente din\u00e2mico que analisa o funcionamento de um ficheiro URL em tempo real, detectando tentativas de liga\u00e7\u00e3o a servidores externos, cria\u00e7\u00e3o de ficheiros de arranque autom\u00e1tico, descarregamento de cargas \u00fateis<\/p>\n<\/li>\n<\/ul>\n<p data-start=\"4151\" data-end=\"4273\">Combinando ambas as abordagens, \u00e9 poss\u00edvel reconhecer e neutralizar totalmente o ficheiro malicioso &#8211; antes que este tenha tempo de causar danos.<\/p>\n<h2 data-start=\"4275\" data-end=\"4290\">Resumo<\/h2>\n<p data-start=\"4292\" data-end=\"4877\">Os ficheiros URL j\u00e1 n\u00e3o s\u00e3o atalhos inocentes para os s\u00edtios &#8211; est\u00e3o a tornar-se um vetor de amea\u00e7a vi\u00e1vel no panorama dos ciberataques. A sua simplicidade torna-os atractivos para os atacantes, enquanto que a desaten\u00e7\u00e3o dos utilizadores e a falta de ferramentas de an\u00e1lise eficazes lhes d\u00e1 uma perigosa janela de oportunidade. Com a ajuda do <strong data-start=\"4572\" data-end=\"4617\"><a class=\"\" href=\"https:\/\/ramsdata.com.pl\/opswat\/\" target=\"_new\" rel=\"noopener\" data-start=\"4574\" data-end=\"4615\">OPSWAT<\/a><\/strong> \u00e9 poss\u00edvel n\u00e3o s\u00f3 detetar esses ficheiros, mas tamb\u00e9m analis\u00e1-los e elimin\u00e1-los eficazmente como parte de uma estrat\u00e9gia de seguran\u00e7a de ficheiros mais ampla. Nas pr\u00f3ximas partes da s\u00e9rie, os especialistas do OPSWAT mostrar\u00e3o como identificar amea\u00e7as em ficheiros URL ao n\u00edvel do c\u00f3digo e do comportamento.   <\/p>\n<p data-start=\"4879\" data-end=\"5041\" data-is-last-node=\"\" data-is-only-node=\"\">Queres saber mais sobre as ferramentas e a an\u00e1lise de ficheiros maliciosos do OPSWAT? Consulta a oferta: <a class=\"\" href=\"https:\/\/ramsdata.com.pl\/opswat\/\" target=\"_new\" rel=\"noopener\" data-start=\"4975\" data-end=\"5041\" data-is-last-node=\"\">https:\/\/ramsdata.com.pl\/opswat.<\/a> <\/p>\n<p data-start=\"4879\" data-end=\"5041\" data-is-last-node=\"\" data-is-only-node=\"\"><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter size-full wp-image-38411\" src=\"https:\/\/ramsdata.com.pl\/wp-content\/uploads\/2025\/05\/Ramsdata-5.png\" alt=\"Ciberseguran\u00e7a, OPSWAT\" width=\"1000\" height=\"800\" srcset=\"https:\/\/ramsdata.com.pl\/wp-content\/uploads\/2025\/05\/Ramsdata-5.png 1000w, https:\/\/ramsdata.com.pl\/wp-content\/uploads\/2025\/05\/Ramsdata-5-300x240.png 300w, https:\/\/ramsdata.com.pl\/wp-content\/uploads\/2025\/05\/Ramsdata-5-768x614.png 768w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<div class=\"aria-live=polite absolute\">\n<div class=\"flex items-center justify-center\"><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Os ficheiros de atalho da Internet, ou os chamados ficheiros URL, t\u00eam sido considerados durante anos como partes inofensivas e sem import\u00e2ncia do Windows. No entanto, est\u00e3o agora a ser cada vez mais utilizados por cibercriminosos e grupos APT como parte de cadeias de infe\u00e7\u00e3o complexas. Devido \u00e0 simplicidade do formato, \u00e0 baixa taxa de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":37579,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[59],"tags":[],"class_list":["post-39220","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias-pt-pt"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/posts\/39220","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/comments?post=39220"}],"version-history":[{"count":0,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/posts\/39220\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/media\/37579"}],"wp:attachment":[{"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/media?parent=39220"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/categories?post=39220"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ramsdata.com.pl\/pt-pt\/wp-json\/wp\/v2\/tags?post=39220"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}