Relatório do McAfee Labs sobre ameaças Fevereiro de 2015

Transcrição

Relatório
Relatório do
McAfee Labs
sobre ameaças
Fevereiro de 2015
Milhões de usuários
de aplicativos mó.veis
continuam expostos às
vulnerabilidades SSL.
Sobre o McAfee Labs
O McAfee Labs é uma das maiores fontes do mundo
em pesquisa de ameaças, informações sobre ameaças
e liderança em ideias sobre segurança cibernética.
Com dados de milhões de sensores nos principais
vetores de ameaça — arquivos, Web, mensagens e rede —
o McAfee Labs oferece informações sobre ameaças em
tempo real, análises críticas e a opinião de especialistas
para aprimorar a proteção e reduzir os riscos.
A McAfee agora é parte da Intel Security.
www.mcafee.com/br/mcafee-labs.aspx
Siga o McAfee Labs
Introdução
Na Relatório sobre ameaças, divulgamos nove previsões de
ameaças para 2015. Este é apenas o segundo mês do ano,
mas algumas das nossas previsões já se concretizaram.
“Governos de países pequenos e grupos terroristas
estrangeiros entrarão no espaço cibernético para
fazer guerra contra seus inimigos. Eles farão isso
lançando ataques de negação de serviço distribuídos
e incapacitantes ou utilizando um malware que
elimine o registro mestre de inicialização para
destruir as redes de seus inimigos.”
O FBI acusou a Coreia do Norte como responsável pelo
ataque à Sony Pictures Entertainment, que apagou
o registro mestre de inicialização da empresa.
“Esse vetor de ataque [Shellshock] será o ponto de
entrada para infraestruturas tão diversas quanto
eletrodomésticos e corporações que dependem
intensamente de sistemas não Windows. Como
resultado, esperamos ver um aumento significativo
em malware não Windows durante 2015.”
O malware que explora a vulnerabilidade Shellshock
está atacando os dispositivos NAS (network-attached
storage) não corrigidos da QNAP.
“Existem muitas lojas de aplicativos não confiáveis
e sites de download direto cujos aplicativos
frequentemente contêm malware. O tráfego para
esses sites e lojas de aplicativos maléficos costuma
ser impulsionado por anúncios enganosos, os quais
se voltaram rapidamente para as plataformas móveis.
Em 2015, continuaremos a ver um rápido crescimento
em anúncios enganosos voltados para usuários móveis,
perpetuando o crescimento do malware móvel.”
Os pesquisadores do McAfee Labs, trabalhando em
conjunto com a Technische Universität Darmstadt
e o Centre for Advanced Security Research Darmstadt,
descobriram um malware transmitido pelo Torrent que
finge ser um aplicativo Android para fazer download do
filme “A Entrevista”, mas acaba por infectar os dispositivos
móveis com um cavalo de Troia bancário. Até o momento,
cerca de 20 mil dispositivos foram infectados.
Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 2
“Já vimos técnicas que exploram vulnerabilidades
e que contornam áreas restritas de aplicativos.
É mera questão de tempo para que essas técnicas
sejam oferecidas a criminosos cibernéticos no mercado
negro. Acreditamos que isso acontecerá em 2015.”
Por fim, algumas observações:
■■
Em 13 de janeiro, a Microsoft informou que uma
vulnerabilidade de elevação de privilégio do Internet
Explorer permitiu uma fuga de área restrita (sandbox),
transformando-se em um ataque de dia zero à solta.
Os criminosos cibernéticos são tão previsíveis!
Para aqueles que comparecerão ao Mobile World Congress
em março, preparamos um tópico em destaque preocupante
sobre a exposição de informações, incluindo nomes de
usuário e senhas, e sua relação com os aplicativos móveis
vulneráveis em comunicação com seus respectivos sites.
Que tal pensar sobre o assunto durante a sua viagem até
Barcelona? Além disso, incluímos na seção Estatísticas sobre
ameaças alguns gráficos específicos à categoria móvel que
podem lhe interessar.
Também preparamos um tópico em destaque muito
interessante sobre o kit de exploração Angler, que
substituiu rapidamente o kit Blacole após a prisão de
seu criador no final de 2013. O kit de exploração Angler
é ainda mais eficiente e predominante que o Blacole e,
por ser fácil de usar e por estar amplamente disponível
nos mercados negros on-line, logo se tornou o método
predileto de transporte de malware.
■■
■■
Em setembro, a Intel Security formou, junto com
mais três fornecedores de segurança, a Cyber Threat
Alliance. Seu objetivo é promover colaborações mais
efetivas no setor em relação à análise e erradicação
das ameaças de segurança cibernética, e oferecer
maior proteção aos indivíduos e organizações de
todos os segmentos. Estamos felizes em informar
que mais de 100 fornecedores de segurança
manifestaram interesse em entrar para a aliança.
Conforme esses fornecedores interessados entrem
para o grupo, acreditamos que o efeito em rede
da aliança beneficiará todos os clientes de
forma significativa.
Recentemente publicamos o relatório Hackers
contra o sistema operacional humano que analisa
o conceito de engenharia social e como ele é usado
pelos criminosos cibernéticos. É uma leitura divertida
que vale a pena conferir.
Continuamos recebendo comentários relevantes dos
nossos leitores através das pesquisas do Relatório
sobre ameaças feitas com os usuários. Se você quiser
compartilhar seus pontos de vista, clique aqui para
responder a uma pesquisa rápida, de cinco minutos,
sobre esta edição do Relatório sobre ameaças.
– Vincent Weafer, vice-presidente sênior do McAfee Labs
Nosso último tópico em destaque fala sobre o mundo
desafiador dos programas potencialmente indesejados
(PUPs). Os PUPs são aplicativos de usos legítimos, mas
que dispõem de funções e comportamentos que podem
ser explorados contra o usuário sem que ele saiba.
Conforme descrito na seção, alguns criadores de PUPs
estão se tornando mais perigosos, portanto, as políticas
de PUPs precisam ser constantemente atualizadas para
garantir uma proteção adequada.
Compartilhe este relatório
Sumário
Relatório do McAfee Labs
sobre ameaças
Fevereiro de 2015
Este relatório foi pesquisado
e redigido por:
Carlos Castillo
Alex Hinchliffe
Patrick Knight
Chris Miller
Rajesh Nataraj KP
François Paget
Eric Peterson
Arun Pradeep
Craig Schmugar
Rick Simon
Dan Sommer
Bing Sun
Adam Wosotowsky
Resumo Executivo
5
Tópicos em destaque 6
Usuários móveis expostos: a resistência das
vulnerabilidades SSL/TLS 7
Após a ruína do Blacole: o kit de exploração Angler 16
Cinquenta tons de cinza: o mundo desafiador
dos programas potencialmente indesejados 25
Estatísticas sobre ameaças
34
Resumo executivo
Usuários móveis expostos: a resistência das vulnerabilidades SSL/TLS
Muitos aplicativos móveis populares
continuam inseguros, mesmo meses
após seus fornecedores terem sido
avisados de que seus aplicativos
estavam expondo usuários
a vulnerabilidades SSL/TLS.
Nosso principal tópico em destaque fala sobre as vulnerabilidades criptográficas
em aplicativos móveis populares, que permitem que criminosos cibernéticos
implantem ataques de interceptação quando os usuários efetuam login nos sites
correspondentes aos seus aplicativos móveis. As práticas de programação de
baixa qualidade dos desenvolvedores desses aplicativos expõem os usuários
a uma variedade de vulnerabilidades SSL/TLS, como a BERserk e a Heartbleed,
que dizem respeito à formação de sessões seguras. Com isso, toda a comunicação
entre os aplicativos móveis e seus respectivos sites, incluindo nomes de usuário
e senhas, fica potencialmente visível e exposta aos criminosos cibernéticos.
Essa exposição, somada à disponibilidade comercial do código-fonte do malware
móvel e à previsão do McAfee Labs de que os kits de geração de malware móvel
logo serão vendidos no mercado negro da Web, é a fórmula perfeita para roubos
e pode acarretar o desgaste da confiança na Internet.
Após a ruína do Blacole: o kit de exploração Angler
O kit de exploração Angler
substituiu o Blacole, tornandose um dos kits de ataque mais
populares e eficientes.
O kit de exploração é um pacote de software pronto para usar, com ataques
de fácil implementação à vulnerabilidades conhecidas e desconhecidas. Após
a prisão do criador do kit de exploração Blacole em 2013, não demorou muito
para que os criminosos cibernéticos passassem a usar o kit de exploração
Angler para entregar suas cargas. Pelo fato do Angler ser fácil de usar e estar
amplamente disponível nos mercados negros on-line, ele logo se tornou
o método favorito de transporte de malware. No segundo semestre de 2014,
o Angler chamou a atenção do setor de segurança devido à sua predominância
e ao surgimento de novos recursos, como a infecção sem arquivos, detecção de
máquinas virtuais e produtos de segurança, e pela sua capacidade de entregar
uma vasta gama de cargas, incluindo cavalos de Troia bancários, rootkits,
ransomware, CryptoLocker e cavalos de Troia backdoor. À data de redação
desta edição, o Angler continua sendo um dos kits de exploração mais populares.
Cinquenta tons de cinza: o mundo desafiador dos programas
potencialmente indesejados
A definição para os programas
potencialmente indesejados (PUPs)
fica entre uma espécie de incômodo
e um malware malicioso; eles,
porém, têm se tornado cada
vez mais agressivos.
Os PUPs são aplicativos de usos legítimos, mas que dispõem de funções
e comportamentos que podem ser explorados contra o usuário sem que
ele saiba. As técnicas de distribuição de PUPs mais comuns são anexação
(piggyback) a aplicativos legítimos, engenharia social, sequestro de anúncios
on-line, instalação indesejada de extensões e plug-ins para navegadores,
e instalação forçada junto com aplicativos legítimos. Esses programas são
difíceis de controlar por não apresentarem o tipo de comportamento malicioso
normalmente detectado por produtos de segurança. Conforme descrito nesta
seção, alguns criadores de PUP estão se tornando mais perigosos, portanto,
as políticas de PUPs precisam ser constantemente atualizadas para garantir
uma proteção adequada.
Tópicos em destaque
Usuários móveis expostos:
a resistência das
vulnerabilidades SSL/TLS
Após a ruína do Blacole:
o kit de exploração Angler
Cinquenta tons de cinza: o mundo
desafiador dos programas
Compartilhe sua opinião
Usuários móveis expostos: a resistência
das vulnerabilidades SSL/TLS
— Carlos Castillo, Alex Hinchliffe e Rick Simon
É inegável que o uso de aplicativos móveis está em ascensão. O slogan da Apple
“existe um aplicativo para isso” nunca foi tão verdadeiro.
De acordo com um estudo da Nielsen feito em 2014 sobre cerca de cinco mil
usuários de smartphone, o número de aplicativos utilizados por uma pessoa
comum durante um mês subiu de 23, em 2011, para quase 27, em 2013. O mais
significativo é que o tempo gasto com o uso desses aplicativos aumentou em uma
porcentagem maior ainda. Durante o mesmo biênio, os usuários de smartphone
aumentaram em 65% o tempo gasto utilizando aplicativos móveis, saindo de uma
marca de 18 horas por mês em 2011 para mais de 30 horas por mês em 2013.
As pessoas se tornaram mais dependentes dos aplicativos móveis que, por sua
vez, estão mais envolventes.
Média de aplicativos utilizados
e de tempo por pessoa por mês
30:15
30
23:02
25
20
18:18
15
23,3
26,5
26,8
T4 2011
T4 2012
T4 2013
10
5
0
Número de aplicativos
Tempo por pessoa (hh:mm)
Fonte: Nielsen, 2014
Embora esses aumentos sejam excelentes para os comerciantes e consumidores
(e desenvolvedores de aplicativos corporativos e seus clientes), eles trazem à tona
os problemas de privacidade e segurança, que são um desafio a ser vencido.
Alguns desses problemas são resultado de desenvolvedores de aplicativos
excessivamente agressivos ou das redes de anúncios incorporadas em seus
aplicativos. Por exemplo, apesar de “jogos” ser a categoria mais popular da
loja de aplicativos da Apple, ela também é a categoria mais atacada, segundo
o McAfee Mobile Security Report (Relatório sobre segurança móvel da McAfee),
de fevereiro de 2014. Impressionantes 82% dos aplicativos móveis determinam
quando as redes de dados e Wi-Fi são utilizadas, quando o dispositivo
está ligado ou a localização atual ou a última localização do dispositivo.
E, na maioria das vezes, os usuários aceitam compartilhar essas informações
assim que os aplicativos são instalados.
Outros problemas de segurança com aplicativos móveis são imprevistos,
e chamamos a atenção neste tópico em destaque para uma classe de
vulnerabilidades muito significativa.
Vulnerabilidades criptográficas: numerosas e muito graves
Durante um ataque de
interceptação, um atacante
insere furtivamente o código
no canal de comunicação entre
duas partes. O atacante pode
fazer uma série de coisas, desde
bisbilhotar a manipular toda
uma conversa. Os ataques de
interceptação começam violando
o processo criptográfico de
autenticação entre as duas
partes. O SSL/TLS é o protocolo
criptográfico mais comum,
sendo portanto, aquele que
é violado com mais frequência.
A origem dessa vulnerabilidade de aplicativo móvel não tem nada a ver com
os aplicativos móveis em si, mas sim com o processo de criptografia por eles
empregado para estabelecer conexões seguras com os sites da Internet.
No Relatório do McAfee Labs sobre ameaças: novembro de 2014, discutimos
em detalhes a vulnerabilidade BERserk, uma falha no processo de verificação
de assinatura RSA executada tanto por aplicativos móveis e não móveis no
estabelecimento de conexões seguras. A vulnerabilidade BERserk possibilita que
um atacante forje certificados RSA e implemente ataques de interceptação (MITM)
sem que o usuário saiba. Com isso, a confidencialidade e a integridade das sessões
entre clientes e seus sites mais confiáveis podem ser comprometidas.
Outra falha semelhante é a Heartbleed, uma vulnerabilidade na implementação
OpenSSL do protocolo SSL/TLS, que permite que os atacantes explorem
conexões aparentemente seguras entre usuários e sites. Por outro lado, ambos
aplicativos móveis e não móveis muitas vezes estabelecem conexões seguras
através do OpenSSL. No momento da descoberta, foi estimado que cerca
de 17% (aproximadamente 500 mil) dos servidores Web seguros no mundo
estavam vulneráveis às explorações Heartbleed. Devido à sua predominância,
muitos consideram a Heartbleed a pior vulnerabilidade já descoberta.
O McAfee Labs registrou as consequências da Heartbleed no Relatório do
McAfee Labs sobre ameaças: agosto de 2014. Mencionamos que dias após
a sua descoberta, a indústria de segurança compartilhou dados, mão de obra
e ferramentas para rapidamente resolver esse problema. E, apesar de a maioria
dos sites de alto tráfego ter sido rapidamente corrigida, percebemos que muitos
sites de baixo tráfego e dispositivos ativados por IP continuavam vulneráveis às
explorações da Heartbleed.
Ambas BERserk e Heartbleed são ótimos exemplos de vulnerabilidades
criptográficas. Outras vulnerabilidades compartilham a característica de
que as conexões seguras entre usuários e sites aparentam ser seguras,
mas não o são porque foram comprometidas por uma exploração.
Com isso, elas também comprometem a confiança na Internet.
Vulnerabilidades criptográficas e aplicativos móveis
O que tudo isso tem a ver com a segurança de aplicativos móveis?
Com o uso crescente de aplicativos móveis, o número significativo de
vulnerabilidades criptográficas e o impacto dessas vulnerabilidades
na confiança depositada na Internet, os desenvolvedores de aplicativos
têm que se esforçar ao máximo para garantir a segurança e privacidade,
móvel e não móvel, de seus usuários.
A CERT, a primeira Equipe de Resposta a Emergências de Computação na Carnegie
Mellon University, anunciou em agosto de 2014 o lançamento do “CERT Tapioca”
(Transparent Proxy Capture Appliance), um appliance de máquina virtual préconfigurado que atua como proxy transparente de camada de rede para executar
a análise MITM do software. Algumas semanas depois, a CERT publicou um post
em seu blogue sobre a descoberta automatizada das vulnerabilidades SSL em
aplicativos móveis usando o Tapioca.
Em setembro de 2014, a CERT
publicou uma lista de aplicativos
móveis que são vulneráveis aos
ataques de interceptação por
não validarem corretamente os
certificados SSL. O McAfee Labs
descobriu que 18 dos 25 aplicativos
vulneráveis com maior número
de downloads, que enviavam
credenciais através de conexões
inseguras, ainda estão vulneráveis.
O resultado dessa pesquisa é a Nota de vulnerabilidade VU#582497, publicada em
setembro de 2014, que revela que mais de 20 mil aplicativos móveis não validam
corretamente os certificados SSL, ficando, portanto, vulneráveis aos ataques de
interceptação. Todos os aplicativos testados e suas especificações (versões testadas,
tipo, número de downloads, identificadores CVE e identificadores CERT VU#, entre
outras informações) estão disponíveis nesta planilha pública.
O McAfee Labs decidiu recentemente examinar os aplicativos móveis contidos
nessa planilha pública que apresentam a maior frequência de downloads, a fim
de verificar se eles não estão mais expostos a uma das vulnerabilidades SSL
mais básicas: a validação inadequada da cadeia de certificado digital. Em outras
palavras, nós testamos os 25 aplicativos móveis com maior número de downloads,
que foram identificados como vulneráveis pela CERT em setembro, para garantir
que os nomes de usuário e senhas não estavam mais visíveis em decorrência de
uma verificação inadequada dos certificados SSL. Para nossa surpresa, mesmo
com a notificação da CERT enviada aos desenvolvedores meses atrás, 18 desses
25 aplicativos que enviam credenciais através de conexões inseguras ainda estão
vulneráveis aos ataques de interceptação.
O aplicativo vulnerável com o maior número de downloads nesse grupo
é um editor de fotos móvel, entre 100 milhões e 500 milhões de downloads.
O aplicativo permite que seus usuários compartilhem fotos em diversas
redes sociais e serviços de nuvem. No final de janeiro, o McAfee Labs testou
a versão mais recente do aplicativo adquirido por download no Google Play
usando o CERT Tapioca; conseguimos interceptar as credenciais de nome do
usuário e senha do aplicativo inseridas para acessar o serviço de nuvem para
compartilhar e publicar fotos:
Exemplo de resultado da análise MITM feita pelo CERT Tapioca sobre um aplicativo móvel
vulnerável. Observe o nome do usuário e a senha exibidos no final da imagem.
Nesse grupo, um aplicativo móvel sobre o clima apresenta os
mesmos problemas que o aplicativo de edição de fotos, em
que as credenciais vulneráveis à interceptação pertencem aos
serviços Web dos desenvolvedores do aplicativo. Entretanto,
no caso de um aplicativo de gerenciamento de arquivos muito
popular para dispositivos móveis, as credenciais reveladas
devido à validação inadequada ou à falta de validação do
certificado digital pertencem a um serviço de nuvem de
terceiros, o Microsoft OneDrive:
Resultado do CERT Tapioca mostrando a divulgação das credenciais do Microsoft OneDrive por um aplicativo móvel vulnerável de
gerenciamento de arquivos.
Na verdade, as credenciais divulgadas pelo aplicativo de
gerenciamento de arquivos para dispositivo móvel podem
ser usadas para acessar não apenas o Microsoft OneDrive,
mas praticamente qualquer serviço Microsoft, pois
o atacante terá acesso à conta Microsoft da vítima.
Por sorte, nem todas as notícias são ruins. No grupo de
aplicativos móveis com mais de dez milhões de downloads,
três aplicativos identificados como vulneráveis pela
CERT, em agosto passado, foram corrigidos. Todos esses
aplicativos apresentam um erro de rede quando o ataque
de interceptação está implementado:
Exemplos de aplicativos
móveis que corrigiram suas
vulnerabilidades SSL/TLS.
Embora os avisos não possam ser considerados como
confirmações de que os ataques de interceptação estão
em andamento, ao menos eles indicam ao usuário que
algo está errado. Quanto ao restante dos aplicativos
móveis vulneráveis com mais de dez milhões de downloads,
conseguimos interceptar as credenciais usadas para roubar
dados de identificação de duas redes sociais, para acessar
o dashboard pai de um aplicativo e para controlar as
playlists de vídeos de música de outro aplicativo.
No grupo de aplicativos móveis vulneráveis com mais
de cinco milhões de downloads, três corrigiram suas
vulnerabilidades, mas outros cinco continuam vulneráveis.
Dois desses aplicativos são casos bastante interessantes;
mesmo quando os sites usam HTTPS, as credenciais são
enviadas no URL — para que possam ser interceptadas
com uma simples inspeção do tráfego de rede. Em um
caso, tanto o nome do usuário quanto a senha estavam
trafegando no URL.
Esse aplicativo móvel transmite o nome do usuário e a senha
criptografada no URL. Ferramentas de inspeção de pacotes
e descobridores de senha permitem que os atacantes
capturem credenciais.
Embora a senha interceptada seja um hash criptográfico
em vez de uma palavra-chave, é relativamente fácil obter
a senha com ataques do tipo rainbow tables ou de força
bruta, dado que a maioria das pessoas tem senhas fracas.
No segundo caso peculiar, apenas o nome do usuário
trafega no URL, mas ainda assim o McAfee Labs
conseguiu interceptar a senha porque o aplicativo
não valida corretamente o certificado digital do site.
Exemplo de um aplicativo móvel que transmite o nome do usuário
no URL e indevidamente valida o certificado digital, divulgando as
credenciais para os ataques de interceptação.
Em alguns casos, os aplicativos
móveis vulneráveis divulgam as
credenciais para serviços populares
de terceiros, como o Facebook,
Instagram e Microsoft OneDrive.
Não podemos esquecer de outro caso curioso, envolvendo um aplicativo móvel
social que usa o recurso de login único do Facebook para fazer login e oferecer
aos usuários uma nova interface para seus dados do Facebook. Entretanto,
como podemos ver na próxima tela, o aplicativo ainda é vulnerável à validação
inadequada do certificado digital; assim, conseguimos interceptar as credenciais
do Facebook:
As credenciais do Facebook são divulgadas por esse aplicativo móvel que valida
indevidamente o certificado digital, permitindo ataques de interceptação.
O mesmo problema ocorre com um aplicativo móvel de mensagens instantâneas:
em vez das credenciais do Facebook, capturamos as credenciais do Instagram da
vítima para o aplicativo e o serviço:
Esse aplicativo móvel divulga as credenciais do Instagram porque ele valida indevidamente
o certificado digital, permitindo ataques de interceptação.
No grupo dos aplicativos com cinco milhões de downloads temos o caso de
um aplicativo móvel sobre esportes que oferece conteúdo gratuito, como
manchetes, tabela de jogos, resultados e estatísticas. O aplicativo também
permite que o usuário assista jogos ao vivo do campeonato regular mediante
a compra de um pacote de ingressos para toda a temporada. Para acessar esse
recurso, o usuário deve fazer login com um nome de usuário de serviço e senha,
dados que conseguimos interceptar:
Exemplo de um aplicativo móvel popular sobre esportes que divulga o nome do usuário
e senha.
No último grupo de aplicativos móveis vulneráveis, cada um tem mais de um
milhão de downloads segundo o Google Play. O grupo tem sete aplicativos, dos
quais apenas um provedor corrigiu o problema. O restante continuou vulnerável
até o momento da redação deste artigo. Assim como outros aplicativos avaliados,
esse grupo revela as credenciais de serviços de terceiros e redes sociais, como
o Instagram e Microsoft, ou credenciais de seus próprios sistemas e serviços.
Por fim, no caso deste aplicativo de relacionamento, se ele estiver sob ataque
de interceptação, o usuário receberá a seguinte notificação:
Esse aplicativo móvel vulnerável
detecta redes inseguras, mas oferece
ao usuário a opção de continuar
navegando nela.
Entretanto, ainda há a opção “Confiar nesta rede”. Se o usuário selecionar essa
opção, o ataque terá êxito:
Se um usuário desse aplicativo móvel vulnerável selecionar “Confiar en esta rede”,
as credenciais serão divulgadas para os ataques de interceptação.
Observamos no Relatório do McAfee Labs sobre ameaças: novembro de 2014
que o código-fonte (tanto aberto quanto comercial) para malware móvel está em
alta, e previmos que kits de geração de malware móvel logo estarão disponíveis
no mercado negro da Web. Esses produtos prontos para usar facilitarão
o surgimento de aspirantes a ladrões e, de fato, se tornarão multiplicadores
do crime cibernético em dispositivos móveis.
Some a nossa previsão sobre segurança móvel para 2015 à exposição contínua
de aplicativos populares às vulnerabilidades SSL e teremos a fórmula perfeita
para roubos expressivos por criminosos cibernéticos.
Como lidar com o problema
Todo o ecossistema sai ganhando — plataformas móveis, lojas de aplicativos,
fornecedores de segurança e desenvolvedores de aplicativos — quando questões
como essas levantadas pela CERT e pela Intel Security têm seu mal cortado pela
raiz: o código de aplicativos vulneráveis. O panorama é menos positivo quando
as correções são parciais, como no caso do aplicativo de relacionamento antes
mencionado, que dá aos usuários a opção de confiar em uma rede e, com isso,
expor seus dados de login.
O que pode ser feito quando as correções ainda precisam ser lançadas?
Como ocorre na maioria dos problemas de segurança, é possível tomar algumas
providências e agir. Entretanto, às vezes ficamos à mercê de outras variáveis,
como os desenvolvedores de aplicativos, as atualizações de aplicativos e as
versões do sistema operacional.
Saiba como a Intel Security
pode lhe ajudar a se proteger
dessa ameaça.
Vamos começar pelos aplicativos: nós costumamos recomendar que você faça
download apenas de aplicativos conhecidos, com alta classificação e oriundos
de fontes confiáveis (empresas ou mercados com boa reputação, como o Google
Play), mas essa recomendação não se aplica neste caso. Todos os aplicativos
que examinamos são bem conhecidos, com alta classificação e oferecidos por
fontes confiáveis. Mesmo assim, esse conselho ainda é válido. Se você está em
um ambiente corporativo, onde alguns aplicativos são fornecidos por uma “loja
de aplicativos” interna, entre em contato com a sua equipe de TI para se certificar
de que esses aplicativos estão sendo testados, a fim de verificar se não estão
sujeitos a vulnerabilidades como aquelas discutidas neste tópico em destaque.
O que os usuários podem fazer? Não se pode esperar que o usuário configure
ferramentas de análise e examine o código para saber se está em risco,
mas ele pode repensar a necessidade de ter esse aplicativo e se perguntar:
Por que preciso fazer login? Quais são os benefícios ou qual é a finalidade
desse aplicativo? As opções da “versão pro” realmente valem o possível
comprometimento dos meus dados pessoais? Se o login do aplicativo é feito
através de uma conta ativa de rede social, pondere se a comodidade de
utilizá-la lhe sairá mais caro que o esperado. Você também pode ler a política
de privacidade do aplicativo para entender o quê, porquê e como funciona
o compartilhamento de dados. Em suma, PARE, PENSE E CONECTE-SE.
O gerenciamento de senhas pode ser uma tarefa muito trabalhosa. No entanto, ao
se certificar de que todo login para cada aplicativo é único, você reduz o risco, pois
apenas as credenciais daquele aplicativo poderão ser acessadas por um ataque
de interceptação. As credenciais exclusivas podem ser gerenciadas manualmente,
embora existam aplicativos disponíveis para automatizar esse processo.
Você pode se inscrever para receber atualizações da CERT ou da Intel Security
para saber mais sobre esses e outros aplicativos vulneráveis, ou pesquisar
informações na Web quando pensar em adquirir novos aplicativos. Se você leu
alguma coisa suspeita sobre um aplicativo, procure outro que ofereça serviços
parecidos. Em geral, sempre há mais de um aplicativo para cada necessidade!
Após a ruína do Blacole:
o kit de exploração Angler
— Rajesh Nataraj KP
Um kit de exploração é um pacote de software pronto para usar, com ataques
de fácil implementação contra vulnerabilidades conhecidas e desconhecidas.
Os criminosos cibernéticos usam kits de exploração para propagar malware.
Esses kits de ferramentas exploram vulnerabilidades no lado do cliente
e costumam atacar o navegador da Web e programas que podem ser acessados
pelo próprio navegador. Os kits de exploração podem monitorar as estatísticas
de infecção e controlar remota e clandestinamente as máquinas comprometidas.
O poderoso kit de exploração
Angler ficou famoso por ser
fácil de adquirir e usar.
A imposição da lei por vezes derrota os kits de exploração. O criador do famoso
kit de exploração Blacole foi preso no final de 2013. No entanto, a comunidade
de criadores de malware rapidamente passou a usar o kit de exploração Angler
para entregar suas cargas. No segundo semestre de 2014, o Angler chamou
a atenção do setor de segurança devido à sua predominância e ao surgimento
de novos recursos, como infecção sem arquivos, detecção de máquinas virtuais
e produtos de segurança, e sua capacidade de entregar uma vasta gama de
cargas, incluindo cavalos de Troia bancários, rootkits, ransomware, CryptoLocker
e cavalos de Troia backdoor. A comunidade de pesquisa sobre ameaças também
descobriu que o Angler é o primeiro kit de exploração a transmitir ransomware
ao explorar uma vulnerabilidade no Microsoft Silverlight.
Por não exigir habilidades técnicas para utilizá-lo e por estar disponível em
mercados “negros” on-line, o Angler se tornou um dos métodos mais populares
para transportar malware.
Os kits de exploração costumam buscar vulnerabilidades nos navegadores
Internet Explorer, Firefox e Chrome. Eles também se aproveitam das brechas
encontradas em programas, como o Adobe Flash Player, Adobe Reader e Java.
O gráfico a seguir ilustra os kits de exploração predominantes em 2014.
Kits de exploração predominantes em 2014
5% 1%
Angler
Sweet Orange
11%
26%
Flashpack
Magnitude
12%
Rig
17%
13%
Neutrino
15%
Infinity
Styx
Fonte: McAfee Labs, 2015
Em seguida podemos observar o número de variantes de kits de exploração
ao longo do último ano.
Número de variantes de kits de exploração
Variantes entre os kits de exploração em 2014
15
10
5
0
T1
T2
T3
T4
2014
Angler
Sweet Orange
Flashpack
Magnitude
Rig
Infinity
Neutrino
Styx
Agora vamos voltar nossa atenção para o kit de exploração mais popular no
momento — o Angler — e entender como ele funciona, quais são seus alvos,
como ele se mantém oculto e como ele mudou.
Angler, um kit ativo
O Angler emprega uma variedade
de técnicas de evasão para
permanecer despercebido pelas
máquinas virtuais, áreas restritas
e software de segurança.
O kit de exploração Angler é extremamente ativo, alterando com frequência
padrões e cargas para se esconder de produtos de segurança. Ele oferece
diversos recursos básicos:
■■
■■
Usa dois níveis de redirecionadores antes de chegar à página de destino.
Os servidores Web comprometidos que hospedam a página de destino
só podem ser visitados uma vez a partir de cada IP. Os atacantes estão,
evidentemente, monitorando os hosts.
■■
Detecta a presença de máquinas virtuais e produtos de segurança no sistema.
■■
Faz chamadas falsas para dificultar engenharia reversa.
■■
■■
Criptografa todas as cargas no download e as descriptografa na
máquina comprometida.
Utiliza infecção sem arquivos (instala-se diretamente na memória).
Quando uma vítima em potencial acessa um servidor Web comprometido através
de um navegador vulnerável, o servidor redireciona a conexão para um servidor
intermediário que, por sua vez, redireciona a conexão para o servidor malicioso
que hospeda a página de destino do kit de exploração. A página verifica a presença
de plug-ins (Java, ShockWave Flash e Silverlight) e os dados da versão. Quando
um navegador ou versão de plug-in vulnerável é encontrado, o host entrega
a carga e infecta a máquina.
O esquema abaixo mostra a cadeia completa de infeção.
Cadeia de infecção do kit de exploração Angler
Vítima
1
2
Navegador vulnerável
3
Redirecionador 1
Servidor comprometido
que redireciona para
um servidor malicioso
4
Redirecionador 2
Hospedado pelo Angler ou
por um servidor comprometido
Servidor que serve a página
do kit de exploração Angler
5
NÃO
6
Sistema comprometido
Servidor que entrega explorações
e cargas maliciosas
Verifica máquinas virtuais
e produtos de segurança
SIM
Termina com erro de
exceção no JavaScript
Reconhecimento
O kit de exploração Angler inspeciona a máquina-alvo para apresentar a página
de destino e a carga corretas.
■■
■■
Ele verifica o nome do navegador, sua versão e sistema operacional
utilizando o agente usuário.
Em seguida, ele identifica os plug-ins instalados do navegador
vulnerável e suas respectivas versões.
Assim que os componentes do navegador vulnerável são identificados, a página
de destino do Angler executa o código malicioso para servir a exploração.
O Angler vem com várias explorações e as serve de forma dinâmica, de acordo
com o aplicativo vulnerável. Ele é capaz de explorar diversas vulnerabilidades
do Internet Explorer:
■■
CVE-2013-2551: ataca a vulnerabilidade de corrupção de memória de
objeto VML do navegador IE.
■■
CVE-2013-0074: vulnerabilidade de desreferenciamento duplo do Silverlight.
■■
CVE-2013-2465: ataca o ambiente de tempo de execução Java.
■■
CVE-2014-0515: ataca o Adobe Flash Player.
Código do kit de exploração Angler mostrando as diferentes vulnerabilidades que ele
é capaz de explorar.
Entrega
Os servidores maliciosos ou comprometidos entregam explorações e cargas
maliciosas às vítimas. Os criminosos cibernéticos que usam kits de exploração
escolhem o método de entrega através de URLs defeituosos, conhecidos como
campanhas. A variação nos padrões dos URLs ou campanhas indica que se
originam de grupos cibernéticos criminosos diferentes.
Dois tipos de campanhas Angler foram identificados e classificados de acordo
com os domínios de servidor, indicando que vários grupos de criminosos
cibernéticos usam amplamente o Angler. As duas campanhas são:
■■
■■
Uma página de destino de um kit de exploração comum, sem nenhum
padrão exclusivo.
Uma página de destino em um formato de 32 x 32 caracteres hexadecimais.
––[Domínio.malicioso/[a-f0-9]{32}.php?q=[a-f0-9]{32}]
Exploração
Uma típica página de destino do kit de exploração Angler é muito ocultada
para dificultar a engenharia reversa e desafiar os pesquisadores de ameaças.
Ela também contém lixo no código para evitar sua detecção. A imagem abaixo
mostra uma página de destino com o código de exploração.
Página de destino do kit de exploração.
O conteúdo criptografado é armazenado na marca html <p>, que define um
parágrafo e também comporta atributos globais. O conteúdo criptografado
é armazenado dentro de várias marcas <p> na página de destino.
O script da página de destino usado para descriptografar o conteúdo dentro
da marca <p> é codificado e compactado sem nenhum formato específico.
Variáveis aleatórias, cadeias divididas e funções espúrias dificultam a detecção.
Uma página de destino ocultada.
A lógica de decodificação da página de destino é muito
simples. O conteúdo criptografado é substituído com
base na cifra de substituição para obter o conteúdo
descriptografado.
comparar essas duas matrizes e gerar uma cifra. O método
busca os caracteres especificados na matriz e retorna
sua posição. Essas posições se tornam a cifra que muda
o conteúdo criptografado a ser decodificado.
No exemplo anterior, uma chave de 20 caracteres é dividida
e armazenada em uma matriz. A chave dividida é classificada
em ordem ascendente e armazenada em uma matriz à parte.
Um script na página de destino usa o método IndexOf () para
O conteúdo decodificado ainda contém diversas funções
que usam algoritmos de substituição semelhantes para
gerar URLs de exploração, parâmetros e informações
de carga.
Verificação de proteções
O Angler usa o protocolo RES:// ou o método de controle ActiveX do Microsoft
XMLDOM para identificar os arquivos em um diretório de sistema. Ele também
verifica a presença de produtos de segurança ou máquinas virtuais.
Uma técnica à prova de máquinas virtuais impede que estas sejam infectadas e,
com isso, evita ambientes de análise automatizada.
O Angler busca diversos arquivos, incluindo:
■■
■■
■■
■■
■■
Um plug-in de teclado virtual para identificar o software Kaspersky.
tmactmon.sys, tmevtmgr.sys, tmeext.sys, tmnciesc.sys, tmtdi.sys,
tmcomm.sys e tmebc32.sys (Trend Micro).
vm3dmp.sys, vmusbmouse.sys, vmmouse.sys e vmhgfs.sys (VMware).
vboxguest.sys, vboxmouse.sys, vboxsf.sys e vboxvideo.sys
(máquina virtual VirtualBox).
prl_boot.sys, prl_fs.sys, prl_kmdd.sys, prl_memdev.sys, prl_mouf.sys,
prl_pv32.sys, prl_sound.sys, prl_strg.sys, prl_tg.sys e prl_time.sys
(virtualização do Parallels Desktop).
Instalação de carga
Após a exploração bem-sucedida, o método de infecção é escolhido de acordo
com os aplicativos vulneráveis identificados no navegador. O Angler apresenta
dois métodos de infecção:
Uma vez que o Angler detecta
vulnerabilidades, ele apresenta
uma lista crescente de cargas
maliciosas. Alguns tipos de
malware podem ser instalados
na memória, dificultando
sua detecção.
■■
■■
Infecção sem arquivos: o Angler emprega uma nova técnica em que
ele injeta a carga diretamente na memória do programa explorado,
criando um novo thread no aplicativo explorado. Com esse método,
o Angler evita instalar o arquivo no disco, reduzindo as chances de
ele ser detectado por um software de segurança. Essa carga poderá
fazer download de outro malware.
Download direto de cargas criptografadas: as cargas hospedadas
no servidor malicioso são codificadas por criptografia XOR com
uma chave de 8 bytes. Após a exploração bem-sucedida, é feito
o download dessas cargas criptografadas para a máquina-alvo,
onde são descriptografadas e executadas.
■■
Andromeda
■■
Cryptowall
■■
Necurs
■■
Simda
■■
Vawtrak
■■
Zbot
A variedade de cargas entregues por
esse kit de exploração é indício de
sua ampla utilização por diferentes
comunidades de hackers.
Cargas entregues pelo kit de exploração Angler em 2014
Número de variantes de cargas servidas
Abaixo seguem as famílias de malware
mais comuns distribuídas pelo Angler.
Essas cargas serão discutidas em
outro momento e não são o assunto
deste tópico em destaque.
20
15
10
5
0
T1
T2
T3
T4
2014
Zbot
Simda
Vawtrak
Ransomware
Necurs
Outras
Alterações no kit de exploração Angler em 2014
• Página de destino em um formato de 32 x 32 caracteres
hexadecimais encontrada
• Redirecionamento para o IP com base no Angler
e para as informações do usuário
• XOR entre o código shell e a carga
• Conscientização sobre produto de
segurança e VMware
T1 2014
T2 2014
• Uso de explorações Silverlight CVE-2013-0074
• XOR de cargas
• Explorações de navegador IE CVE-2013-2551
• Exploração Flash CVE-2013-5330 adicionada
T3 2014
T4 2014
• Técnica de infecção sem arquivos
Práticas seguras
dessa ameaça.
Veja a seguir algumas maneiras de proteger sistemas contra o kit
de exploração Angler:
■■
■■
■■
■■
■■
Use um provedor de serviços de Internet que seja responsável em relação
à segurança e que implemente procedimentos fortes contra spam e phishing.
Ative as atualizações automáticas do Windows ou faça download das
atualizações da Microsoft regularmente para manter os seus sistemas
operacionais protegidos contra vulnerabilidades conhecidas. Instale
patches de outros fabricantes de software tão logo eles sejam distribuídos.
Um computador com todas as correções instaladas e atrás de um firewall
é a melhor defesa contra ataques de cavalos de Troia e spyware.
Tenha atenção redobrada ao abrir anexos. Configure o seu software antivírus
para examinar automaticamente todos os anexos de e-mail e de mensagens
instantâneas. Certifique-se de que os programas de e-mail não abram anexos
ou processem gráficos automaticamente e certifique-se de que o painel de
visualização esteja desativado. Nunca abra e-mails não solicitados ou anexos
inesperados — mesmo que venham de pessoas conhecidas.
Cuidado com esquemas de phishing com base em spam. Não clique em
links de e-mails ou de mensagens instantâneas.
Use um plug-in de navegador para bloquear a execução de scripts e iframes.
Cinquenta tons de cinza:
o mundo desafiador dos programas
— Arun Pradeep
A definição para os programas
(PUPs) fica entre uma espécie
de incômodo e um malware
malicioso. Eles costumam ser
difíceis de detectar e classificar.
Nós partimos do pressuposto de que todo malware é ruim e deve ser incluído
na lista negra. No entanto, a classe de malware chamada de programas
potencialmente indesejados (PUPs) é, muitas vezes, difícil de categorizar
e combater, fora que nem sempre os PUPs são nocivos. Em geral, consideramos
como PUPs qualquer adware, spyware e outros tipos de aplicativos não
destrutivos. Os PUPs ficam no meio termo, em uma zona intermediária de
classificação, pois costumam oferecer tanto benefícios quanto riscos ao usuário.
Seus desenvolvedores, por vezes, têm justificativas plausíveis, porém, seu
comportamento varia consideravelmente, indo do nível relativamente benigno
ao extremamente malicioso. O McAfee Labs analisa cuidadosamente os PUPs
para determinar suas funções e ajudar os clientes a removê-los.
Qualquer aplicativo que um usuário ache útil, mas que lhe apresente um risco
subjacente tangível, poderá ser considerado um PUP. Em geral, os aplicativos
não avisam aos usuários sobre seus riscos. Diferentemente dos cavalos de Troia,
vírus, rootkits e outros tipos de malware, os PUPs não costumam roubar dados
de identificação, dados bancários ou alterar arquivos de sistema. Um aplicativo
poderá ser considerado um PUP caso se comporte das seguintes maneiras:
■■
■■
■■
Altere as configurações do sistema sem autorização, como a configuração
do navegador.
Oculte um programa indesejado dentro de um aplicativo legítimo.
Colete clandestinamente as informações do usuário, hábitos de navegação
e configurações do sistema.
■■
Oculte a instalação de um aplicativo.
■■
Dificulte a remoção.
■■
Seja distribuído por meio de anúncios confusos e enganosos.
De acordo com o comportamento, podemos classificar
os PUPs nas subcategorias abaixo:
■■
■■
■■
■■
■■
■■
Adware: exibe anúncios principalmente através
de navegadores.
■■
Descobridor/revelador de senhas: exibe a senha
oculta de um aplicativo.
■■
Ferramenta de administração remota (RAT): monitora as
atividades do usuário na máquina na qual está instalado
ou permite que o sistema seja controlado remotamente,
sem conhecimento ou consentimento do usuário.
Keygen (gerador de chaves): gera chaves de produto
de aplicativos legítimos.
Sequestrador de navegador: altera a página inicial,
a página de pesquisa, configurações do navegador, etc.
Ferramentas de hacker: aplicativos independentes
que podem facilitar intrusões no sistema ou a perda
de dados críticos.
Proxy: redireciona ou oculta informações relacionadas
a IP.
Ferramentas de rastreamento: aplicativos de spyware
ou keylogging que coletam pressionamentos de
teclas do usuário, registram comunicações pessoais,
monitoram as atividades on-line do usuário ou
capturam telas sem o conhecimento do usuário.
Seguem abaixo as principais diferenças entre os PUPs
e outros tipos de malware, como cavalos de Troia,
ransomware, bots e vírus:
Outros tipos de malware: cavalos de Troia,
vírus, bots, etc.
Técnicas
Programas potencialmente indesejados
Método de
instalação
Procedimento padrão de instalação de aplicativos,
às vezes com EULA. Frequentemente exigem
interação e anuência do usuário para serem
completamente instalados em um sistema.
Instalados como um programa independente,
sem qualquer interação com o usuário. Operam
principalmente como um arquivo independente.
Apresentação
Agregados a aplicativos “limpos” e instalados
de forma oculta juntamente com estes.
Arquivos independentes com alguns
componentes adicionais. Não acondicionados
como instaladores.
Desinstalação
Às vezes o pacote contém um desinstalador
que permite a remoção. Frequentemente
o processo de desinstalação é difícil.
Executáveis tornam mais complexa a remoção
do malware devido a interceptações de outros
processos, de identificadores de processos
e outras ligações complexas. Como não são
pacotes de instalador, não aparecem no
Painel de controle.
Comportamento
Exibem anúncios, pop-ups e pop-unders
indesejados Modificam configurações do
navegador, coletam dados do sistema e do
usuário ou permitem que o sistema seja
controlado remotamente, sem conhecimento
ou consentimento do usuário.
Roubam informações bancárias e de identificação
pessoal, modificam arquivos do sistema,
inviabilizam o uso do sistema, exigem resgate, etc.
Ocultação
Seu comportamento normalmente não é oculto.
Podem ocultar arquivos, pastas, entradas do
Registro e tráfego de rede.
Propagação
Para transmitir malware, os criminosos cibernéticos contam com técnicas, como
as campanhas de phishing de e-mail, sequestro de otimização de mecanismos de
pesquisa, servidores Web vulneráveis ou bots. Por outro lado, os PUPs costumam
ser disseminados ao abusarem da confiança de usuários inocentes, conforme
explicado no Relatório do McAfee Labs sobre ameaças: novembro de 2014.
As técnicas de distribuição de PUPs mais comuns são:
■■
Anexação clandestina a um aplicativo legítimo.
■■
Engenharia social.
■■
Venda de “curtidas” do Facebook.
■■
Postagem de mensagens fraudulentas no Facebook.
■■
Sequestro do Google AdSense.
■■
Extensões e plug-ins de navegador indesejados.
■■
Instalação forçada, juntamente com aplicativos legítimos.
Dificuldade de controle
Apesar de os PUPs não realizarem manobras evasivas complexas, como
compactação personalizada, criptografia, detecção de máquina virtual
e outros comportamentos indetectáveis típicos de cavalos de Troia e vírus,
eles conseguem evitar ser detectados por diversos produtos de segurança.
Mas se os PUPs não são complexos, o que os faz tão difíceis de controlar?
As técnicas de disseminação aparentemente inocentes adaptadas por autores
de PUP permitem que eles ultrapassem várias barreiras de segurança — sistemas
de prevenção de intrusões de rede, firewall e antimalware — e alcancem seus
alvos, mesmo dentro das empresas. Os PUPs não precisam ser indetectáveis para
contornar as verificações de segurança, pois vêm agregados a aplicativos legítimos
e, muitas vezes, são instalados com o consentimento de um usuário incauto.
Algumas vezes esses aplicativos são assinados digitalmente para se infiltrar
nos sistemas.
É fácil para os pesquisadores de ameaças fazer a engenharia reversa dos arquivos
para detectar se são cavalos de Troia, vírus ou bots, pois eles apresentam um
comportamento malicioso quando analisados de forma dinâmica ou estática,
ou quando são submetidos à engenharia reversa. No entanto, os PUPS não
apresentam tais características. Eles se comportam de forma parecida com os
programas legítimos, sendo assim chamados de “arquivos cinza” pela comunidade
de segurança. O comportamento do programa cinza desafia os pesquisadores
a classificá-los como PUPs ou arquivos limpos.
Por muitos anos, os PUPs foram considerados ameaças não críticas,
não preocupando muito os fornecedores de segurança. Hoje os PUPs
aperfeiçoaram seu comportamento de forma significativa.
Adware abusivo
Entre todas as categorias de PUPs, o adware é a que mais chamou a atenção dos
fornecedores de segurança — não devido aos anúncios incômodos, mas à forma
como o adware abusa da confiança.
Os PUPs, especialmente adware,
tornaram-se mais agressivos,
invasivos e difíceis de erradicar.
O adware tornou-se mais inteligente com a implementação de várias técnicas para
assegurar sua presença contínua nos sistemas infectados. Eis alguns dos métodos:
■■
■■
Processo independente executado em memória.
Arquivos DLL COM (Component Object Model) e não COM com funções
criadas especificamente para o aplicativo.
■■
Chaves do Registro correspondentes a objetos auxiliares do navegador.
■■
DLLs que interceptam processos do sistema.
■■
Extensões e plug-ins de navegador.
■■
Serviços de sistema registrados.
■■
Componentes de drivers de dispositivos desempenhando funções
de controle de dispositivos.
■■
Drivers de filtro de baixo nível.
■■
Cavalos de Troia entregues como carga.
As partes vermelhas no esquema abaixo ilustram os diversos vetores-alvo
dos PUPs em várias camadas do Microsoft Windows.
MODO DE USUÁRIO
Pontos de carga de adware no Microsoft Windows
Arquivo
em disco
Extensões de
navegador
Plug-ins
multiplataforma
Serviços
do sistema
MODO KERNEL
NTDLL.DLL
Drivers de dispositivo
Threads
Memória virtual
KERNEL
Tendências dos PUPs
Escalonamento de PUPs corporativos
O McAfee Labs previu para
o terceiro trimestre um alto volume
de escalonamentos de PUPs
que utilizam técnicas de adware.
Os aplicativos predominantes
eram o OutBrowse, SearchSuite,
SearchProtect e BrowseFox.
700
600
500
400
300
200
100
0
T1
T2
T3
T4
2014
Escalonamento de PUPs corporativos enviados para o McAfee Labs em 2014.
PUPs predominantes no Microsoft Windows
Janeiro
SafeSurf
Garimpador
de Bitcoins
Amonetize
Março
HideWindow
BetterInstaller
Bprotect
Maio
OutBrowse
MultiDropper
Crossrider
AddLyrics
NewNext
T1 2014
Fevereiro
SafeSurf
OpenCandy
Bprotect
BetterSurf
NewNext
Julho
BrowseFox
SearchProtect
SearchSuite
DealPly
CoinMiner
OneInstaller
T2 2014
Abril
OutBrowse
MultiDropper
Bprotect
Crossrider
AddLyrics
Setembro
BrowseFox
SearchSuite
Crossrider
Amonetize
OpenCandy
ShopperPro
T3 2014
Junho
BrowseFox
PriceMeter
SearchSuite
Bprotect
OneInstaller
AddLyrics
Agosto
BrowseFox
SearchSuite
Crossrider
Amonetize
AddLyrics
Novembro
BrowseFox
SearchSuite
Crossrider
DealPly
AddLyrics
T4 2014
Outubro
BrowseFox
SearchSuite
Crossrider
WebProtect
iBryte
RocketTab
DealPly
AddLyrics
Dezembro
BrowseFox
SearchSuite
Crossrider
Adware predominante
As famílias de adware mais predominantes em 2014 foram:
■■
Adware-BrowseFox
■■
Adware-SearchSuite
■■
Adware-SearchProtect
■■
Adware-iBryte
■■
PUPs que usam o framework Crossrider
O BrowseFox executa dois serviços no sistema infectado
e ambos se conectam a servidores remotos usando portas
TCP e UDP. Ao contrário das conexões UDP, as conexões
TCP garantem a entrega do pacote, certificando-se de que
os dados enviados do servidor remoto invariavelmente
alcancem a máquina da vítima. Esses serviços de sistema
do adware garantem que o programa seja executado
continuamente em máquinas infectadas mesmo após
uma reinicialização.
O adware SearchSuite, analisado pelo McAfee Labs em 2014,
apresentou um significativo comportamento agressivo.
Além de um pacote completo de instalação, componentes
de navegador e serviços de sistema, o SearchSuite pode
controlar os drivers do dispositivo através das APIs de
controle de dispositivo do Windows. Esse comportamento
peculiar desafia os métodos de detecção utilizados nos
produtos de segurança. Esses componentes se aprofundam
no modo kernel e criam drivers de filtro de baixo nível, que
geralmente são usados pelos aplicativos para interagir com
os dispositivos de hardware.
O framework Crossrider ajuda os desenvolvedores a criar
plug-ins para navegadores multiplataforma. Agora, alguns
tipos de adware manipulam esse framework, utilizando
a API Crossrider para enviar clandestinamente anúncios
para as máquinas-alvo. Esse é outro truque dos autores
de adware para evitar a detecção por parte dos produtos
de segurança de endpoint.
A Apple é o novo alvo dos PUPs
Embora os cavalos de Troia ainda tenham dificuldade
em infectar os sistemas da Apple, as variantes das
famílias de PUPs, como Bundlore, Aobo Keylogger,
Ginieo e SearchProtect já conseguiram infectar o Mac.
Mais de 70% de todo o malware encontrado em Macs são
programas potencialmente indesejados (PUPs). O adware
foi descoberto pela primeira vez em Macs em 2012; hoje,
muitas famílias de PUPs são encontradas em Macs.
Da mesma forma que se comportam no Windows, os PUPs
que visam infectar os Macs vêm agregados com aplicativos
limpos, como conversores de vídeo, downloaders do
YouTube e muitos outros aplicativos legítimos. Uma vez
instalado no Mac da vítima, o adware clandestinamente
monitora os hábitos de navegação do usuário e exibe
anúncios com base nessas atividades.
PUPs predominantes em Apple Macs
Setembro
Vsearch
Yontoo
Aobo KeyLogger
“Crack” XForce para Adobe
T3 2014
Outubro
FkCodec
Crossrider
Genieo
Bundlore
Zako
Ventir
Novembro
NetWeird
OpinionSpy
SearchProtect
Puper
Rlogger
CoinMiner
Dezembro
Genieo
Spigot
Backtrack
Refog
Yontoo
CoinMiner
T4 2014
Vamos observar um dia na vida dos PUPs. O mapa a seguir mostra os relatórios reunidos
pela telemetria de campo feita pelo McAfee Labs em um período de 24 horas:
Fontes de PUPs em uma amostra de 24 horas.
Ocorrências de PUPs x outros tipos predominantes
de malware em 24 horas
■■
■■
PUPs
6%
Outro malware
■■
■■
Mais de 300.000 IPs exclusivos
tinham alguns componentes de
adware em execução no host.
Os PUPs foram disseminados
por 170 países, apresentando
maior impacto nos
Estados Unidos.
1,5 milhão de nós exclusivos
apresentaram infeções por PUP.
373.000 hashes exclusivos
com alguns componentes
de PUPs foram encontrados
em máquinas de clientes.
Das 50 principais famílias de malware
monitoradas nesse período, os PUPs
foram predominantes, com 94% do
total de ocorrências.
94%
Em um período típico de 24 horas, a McAfee detecta PUPs em mais de
91 milhões de sistemas.
Família de PUPs
Adware-BrowseFox
Número de detecções relatadas
em 24 horas
86.683.015
Adware-BProtect
2.063.861
Adware-SearchSuite
1.133.810
PUP-MultiPlug
314.634
PUP-SoftPulse
209.813
Adware-iBryte
73.381
PUP-Crossrider
41.547
PUP-ShopperPro
33.382
Outras detecções de PUPs
1.102.919
O McAfee Labs observou mais de nove bilhões de amostras de PUP em 2014.
Ganhar dinheiro através dos rankings do Google
Enquanto os otimizadores de mecanismos de pesquisa tentam melhorar
o ranking de sites para ganhar mais dinheiro no Google AdSense, os autores
de PUPs usam o adware para atingir rankings maiores através de atalhos.
Depois de incorporar o adware nas máquinas das vítimas, servidores remotos
são conectados clandestinamente, por meio de anúncios sequestrados, para
aumentar as ocorrências de visitantes, elevando, assim, o ranking do site.
Os anúncios entregues às máquinas comprometidas são adaptados ao interesse
das vítimas para aumentar a possibilidade de cliques. Os rankings mais altos
fazem com que os sites despontem em melhores posições nos resultados de
pesquisa do Google, aumentando assim a receita com base em anúncios.
Quando um aplicativo de adware se espalha para milhares de máquinas de vítimas,
esses atributos de sequestro de anúncios e redirecionamento de clique funcionam
como um serviço, transformando o próprio adware em um meio de propagação.
Contenção de PUPs através de políticas agressivas
dessa ameaça.
Para classificar os PUPs de forma
sistemática, o McAfee Labs
criou uma política de PUPs que
é atualizada conforme os autores
de malware mudam de tática.
Devido à característica “acinzentada” de alguns arquivos de PUPs e à dificuldade
em classificá-los, muitos fornecedores de segurança criaram políticas de PUPs
para que os pesquisadores de ameaças possam classificar os PUPs de forma
mais sistemática. Uma política de PUPs é um documento que define as regras
para avaliar, classificar e adicionar detecção de PUPs.
O McAfee Labs revê periodicamente sua política de PUPs para combater as
mudanças adotadas por desenvolvedores de PUPs. Nossa política mais recente
inclui os critérios abaixo para ajudar a orientar os pesquisadores de ameaças
do McAfee Labs em suas tentativas de determinar quais arquivos são PUPs.
■■
O valor que a tecnologia oferece ao usuário.
■■
O risco apresentado pela tecnologia ao usuário.
■■
O contexto da tecnologia ou componente.
■■
A fonte ou distribuição da tecnologia.
■■
A predominância de qualquer uso indevido comparado ao uso legítimo
da tecnologia.
Em seguida, os pesquisadores de ameaças do McAfee Labs examinam os
seguintes aspectos:
■■
Até que ponto o usuário é notificado dos riscos do software.
■■
Até que ponto o usuário aceita o comportamento do software.
■■
O grau de controle que o usuário detém sobre a instalação,
operação e remoção do software.
No McAfee Labs, nós examinamos cada arquivo componente de um possível PUP
para caçar seu principal instalador. Nós replicamos a instalação internamente,
permitindo que o instalador faça download do pacote completo. Nós analisamos
minuciosamente esses downloads e empregamos nossa política de PUPs mais
recente para determinar se um aplicativo é um PUP ou um aplicativo legítimo.
Uma vez que um aplicativo é classificado como um PUP, os usuários podem
então configurar seus produtos de proteção de endpoint para permitir ou
bloquear o PUP. As orientações sobre configuração de endpoint para PUPs
podem ser encontradas aqui.
Malware móvel
Malware
Ameaças via Web
Compartilhe sua opinião
Mensagens
e ameaças
de rede
Malware móvel
Malware móvel novo
900.000
800.000
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
T1
T2
T3
T4
T1
2013
T3
T2
T4
2014
Total de malware móvel
7.000.000
A coleção de malware móvel
do McAfee Labs continuou
a crescer de forma estável
quando ultrapassou seis milhões
de amostras no quarto trimestre,
um aumento de 14% em relação
ao terceiro trimestre.
6.000.000
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
T1
T2
T3
2013
T4
T1
T2
T3
T4
2014
Taxa global de infecção por malware móvel
30%
A taxa de infecção do malware
móvel varia de forma significativa
ao longo do tempo, mas o fato
não deixa de ser bastante
surpreendente, com pelo menos
8% de todos os sistemas relatando
uma infecção desde o quarto
trimestre de 2013. A maior parte
do aumento e queda subsequente
desde o quarto trimestre de 2013
se deve à detecção de uma única
rede de anúncios — a AirPush —
que é considerada um PUP,
assim como muitas outras
redes de anúncio.
25%
20%
15%
10%
5%
0
T4
2013
T1
T2
T4
T3
2014
Taxas regionais de infecção por malware móvel
no 4º trimestre de 2014
Para este relatório sobre ameaças,
analisamos os dados que chegaram
a nós por meio de dispositivos
móveis executando produtos
de segurança móvel da McAfee.
As informações vêm de milhões
de dispositivos móveis em todo
o mundo.
Uma taxa de infecção
é a porcentagem de tempo
que o McAfee Labs detectou
algum tipo de malware nos
dispositivos móveis informados.
O malware inclui vírus,
cavalos de Troia e PUPs.
12%
10%
8%
6%
4%
2%
0
África
Ásia
Austrália
Europa
América
do Norte
América
do Sul
Malware
Novos itens de malware
60.000.000
Existem 387 novas ameaças
a cada minuto ou mais de seis
por segundo.
50.000.000
40.000.000
30.000.000
20.000.000
10.000.000
0
T1
T2
T3
T4
T1
T2
2013
T3
T4
2014
Total de malware
400.000.000
O total de malware no zoológico
do McAfee Labs aumentou
17% do terceiro trimestre para
o quarto trimestre. Nesse ritmo,
o zoológico terá mais de meio
bilhão de amostras no terceiro
trimestre de 2015.
350.000.000
300.000.000
250.000.000
200.000.000
150.000.000
100.000.000
50.000.000
0
T1
T2
T3
2013
T4
T1
T2
T3
T4
2014
Novo ransomware
400.000
Começando no terceiro trimestre,
o número de novas amostras de
ransomware voltou a crescer após
um declínio de quatro trimestres.
No quarto trimestre, o número de
novas amostras saltou em 155%.
Hoje contabilizamos mais de
dois milhões de amostras
de ransomware.
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
T1
T2
T3
T4
T1
T2
2013
T3
T4
2014
Total de ransomware
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
T1
T2
T3
2013
T4
T1
T2
T3
T4
2014
Malware de rootkit novo
120.000
100.000
80.000
60.000
40.000
20.000
0
T1
T2
T3
T4
T1
T2
2013
T3
T4
2014
Total de malware de rootkit
1.600.000
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
T1
T2
T3
2013
T4
T1
T2
T3
T4
2014
Novos binários assinados maliciosos
3.000.000
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
T1
T2
T3
T4
T1
2013
T3
T2
T4
2014
Total de binários assinados maliciosos
18.000.000
Após uma breve queda nos novos
binários assinados maliciosos,
o ritmo do crescimento foi
retomado com um aumento
de 17% no total de binários
assinados maliciosos no
quarto trimestre.
16.000.000
14.000.000
12.000.000
10.000.000
8.000.000
6.000.000
4.000.000
2.000.000
0
T1
T2
T3
2013
T4
T1
T2
T3
T4
2014
Ameaças via Web
Novos URLs suspeitos
35.000.000
O número de novos URLs suspeitos
disparou no terceiro trimestre
devido à duplicação do número
de novos URLs curtos, que
costumam ocultar sites maliciosos,
e ao crescimento significativo
dos URLs de phishing. No quarto
trimestre, os novos URLs suspeitos
retomaram seu ritmo habitual.
30.000.000
25.000.000
20.000.000
15.000.000
10.000.000
5.000.000
0
T1
T2
T3
T4
T1
T2
2013
URLs
T3
Domínios associados
Localização dos servidores que hospedam conteúdo suspeito
3%
1%
<1%
15%
46%
América do Norte
Europa e Oriente Médio
35%
T4
2014
Ásia-Pacífico
América Latina
Austrália
África
Novos URLs de phishing
3.000.000
O imenso salto experimentado
no terceiro trimestre com os
novos URLS de phishing pode ser
atribuído principalmente a uma
campanha de phishing e spam
de pílulas russas que criou um
subdomínio separado para cada
destinatário. A campanha não foi
renovada no quarto trimestre.
2.500.000
2.000.000
1.500.000
1.000.000
500.000
0
T1
T2
T3
T4
2013
URLs
T1
T2
T3
Principais países que hospedam domínios de phishing
Estados Unidos
Alemanha
Reino Unido
27%
França
49%
Brasil
Holanda
2%
2%
2%
Rússia
Canadá
3%
Outros
3%
4%
8%
T4
2014
URLs de spam novos
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
T1
T2
T3
T4
2013
URLs
T1
T2
T3
T4
2014
Principais países que hospedam domínios de spam
Estados Unidos
China
18%
2%
Alemanha
2%
Hong Kong
3%
52%
3%
Japão
4%
4%
Rússia
12%
Holanda
Reino Unido
Outros
Mensagens e ameaças de rede
Volume global de spam e e-mail
O aumento abrupto começado
no terceiro trimestre dos e-mails
legítimos é resultado da melhora
do modo de coleta de dados.
Os números do terceiro
e quarto trimestres não são
diretamente comparáveis aos
trimestres anteriores, mas, no
futuro, teremos uma medida
histórica mais precisa do
volume de mensagens.
(trilhões de mensagens)
12
10
8
6
4
2
0
T1
T2
T3
T4
T1
T2
2013
Spam
T3
T4
2014
E-mail legítimo
E-mails de spam das 20 maiores redes de bots
(milhões de mensagens)
O quarto trimestre experimentou
uma queda brusca no volume de
spam de remetentes de redes de
bots conhecidos. A rede de bots
Kelihos, apesar de extremamente
ativa durante 2013–14, tornou-se
esporádica em seu comportamento
de envio no final do ano passado.
No todo, a tendência durante
o quarto trimestre foi de um
declínio no número de spam
farmacêutico e spam “fique-ricorápido”, e de um aumento na
distribuição de cargas maliciosas
por spam de redes de bots ainda
não identificadas.
1.500
1.000
500
0
T1
T2
T3
T4
T1
T2
2013
T3
T4
2014
Kelihos
Slenfbot
Snowshoe
Gamut
Darkmailer
Festi
Cutwail
Asprox
Darkmailer 2
Outras
Principais ataques de rede
1%
Os navegadores, negação de
serviço e força bruta continuam
sendo os três principais ataques
de rede no quarto trimestre,
apesar do ataque de negação
de serviço (DoS) ter caído quase
a metade desde o terceiro
trimestre. O SSL aumentou 4%
e o Shellshock agora aparece
no nosso gráfico de ameaças,
em quinto lugar, devido
à popularidade contínua dos
ataques Heartbleed e Shellshock.
2%
1%
Navegador
Negação
de serviço
6%
5%
26%
6%
Força bruta
SSL
Shellshock
12%
Varredura
22%
18%
Chamada de
procedimento
remoto
Estouro de buffer
Backdoor
Outros
Sobre a Intel Security
Comentários. Para ajudar a orientar
nosso trabalho futuro, estamos
interessados na sua opinião. Se você
quiser compartilhar suas opiniões,
clique aqui para participar de uma
rápida pesquisa de cinco minutos
sobre o Relatório de ameaças.
Siga o McAfee Labs
McAfee. Part of Intel Security.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.intelsecurity.com
A McAfee agora é parte da Intel Security. Com sua estratégia Security Connected,
sua abordagem inovadora para a segurança aprimorada por hardware e o exclusivo
Global Threat Intelligence, a Intel Security está sempre empenhada em desenvolver
soluções de segurança proativas e comprovadas e serviços para a proteção de
sistemas, redes e dispositivos móveis para uso pessoal ou corporativo no mundo
todo. A Intel Security combina a experiência e o conhecimento da McAfee com
a inovação e o desempenho comprovado da Intel para tornar a segurança um
elemento essencial em toda arquitetura e plataforma de computação. A missão
da Intel Security é oferecer a todos a confiança para viver e trabalhar de forma
segura no mundo digital.
www.intelsecurity.com
As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee.
As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas “no estado”, sem garantia de
qualquer espécie quanto à exatidão e aplicabilidade das informações a qualquer circunstância ou situação específica.
Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee e o logotipo
da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países.
Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui
contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos
sem garantia de qualquer espécie, expressa ou implícita. Copyright © 2015 McAfee, Inc. 61755rpt_qtr-q4_0215

Relatório do McAfee Labs sobre ameaças Fevereiro de 2015

Transcrição

Documentos relacionados

McAfee VirusScan Mobile Security

McAfee Endpoint Protection Advanced Suite Data Sheet

Como se proteger contra programas potencialmente

McAfee Data Exchange Layer 2.0.0 Notas de versão Para uso com

McAfee Total Protection 2013

Soluções do McAfee SiteAdvisor Enterprise

McAfee SaaS Endpoint Protection Suite

Faça da data sheet

McAfee Anti-Spyware Enterprise

McAfee DLP Endpoint Data Sheet