• Atacantes Tiram Proveito de Vulnerabilidades Antigas

    A FortiGuard Labs observou um aumento de 30 por cento nas ocorrências de malware móvel ao longo dos últimos seis meses, através dos trabalhos de análise que vem realizando nesse sentido. A equipe agora está presenciando uma quantidade superior a 1.300 novas amostras por dia, e assim, está rastreando atualmente mais de 300 famílias únicas de malware destinadas ao sistema Android e mais de 250 mil exemplares únicos que também foram desenvolvidos para a plataforma do Google.


    Crescimento de Malware Móvel Causa Preocupação

    "Faz exatamente três anos que o malware móvel não era muito de causar preocupação para os usuários ou empresas. A maioria dos malwares existentes no momento visando smartphones e tablets não eram nada mais do que annoyware como o vírus Cabir ou software scam desenvolvidos para aplicação de golpes que são usados para cometer fraudes SMS ou substituir ícones", disse Axelle Apvrille, pesquisador sênior da FortiGuard Labs da Fortinet. "No entanto, como os dispositivos têm proliferado, assim também os cibercriminosos ficam ansiosos para capitalizar sobre essa crescente base de usuários, e nossa pesquisa mostra que a proliferação de malware móvel não vai diminuir tão cedo."



    Alta Lucratividade com Práticas de Ransomware

    "Ransomware tem sido incrivelmente bem sucedido financeiramente para os cibercriminosos, e isso não é nenhuma surpresa, até mesmo porque eles voltaram sua atenção para os dispositivos móveis", disse Richard Henderson, estrategista de segurança da FortiGuard Labs da Fortinet. "O malware Fake Defender para Android, segue a mesma linhagem aplicada pelos falsos softwares para computador, que surgem disfarçados de antivírus - ele finge ser altruísta, mas, na realidade, está à espreita para lançar a sua verdadeira forma.

    Este malware, em seguida, bloqueia o telefone da vítima e exige que o pagamento seja feito antes de desbloquear o dispositivo. Uma vez que o telefone esteja bloqueado, a vítima pode pagar o resgate ou ter apagado completamente seu dispositivo, perdendo todas as suas fotos e dados a menos que tenha feito um backup desses dados em algum outro lugar.


    Ruby on Rails

    Em janeiro, foi anunciado que uma vulnerabilidade crítica no Ruby on Rails Framework pode permitir a um atacante remoto a execução de um código no servidor Web subjacente. Como um acréscimo ao problema, um módulo Metasploit foi disponibilizado para procurar a vulnerabilidade, fazendo com que a capacidade de encontrar um servidor Web seja capaz de explorar um assunto trivial. "A exploração envolveu uma falha na rotina XML Processor Deserialization, que é usado para criar objetos Ruby on the fly", disse Henderson. "RoR liberou um patch para corrigir a falha, mas quatro meses depois, foi descoberto que um atacante ou atacantes estavam procurando e aproveitando servidores Web sem correção, a fim de infectá-los com o software.


    Execução Remota de Código Java

    Em janeiro, um exploit 0-Day foi capaz de contornar a sandbox do Java e executar o código Java arbitrário descoberto. A vulnerabilidade permitiu que um applet malicioso pudesse qualquer programa do Java, ignorando a sandbox e concedendo acesso total ao computador vulnerável. Os ataques foram descobertos na natureza e o exploit, foi rapidamente, integrado em muitos kits de populares ataques crimeware, como BlackHole, Redkit e Nuclear Pack, dando aos compradores destes kits a capacidade de aproveitar o exploit e instalar malware em computadores. Um módulo Metasploit também foi criado para esta vulnerabilidade, fazendo com que houvesse capacidade de encontrar vítimas de maneira bastante simples.

    "O ataque envolveu uma falha grave em um componente JMX (Java Management Extensions), que permitiu que o applet malicioso pudesse elevar seus privilégios e executar qualquer código Java que desejava", disse Henderson. Nesse contexto, a Oracle foi rápida ao lançar um patch para a falha - mas semelhante a outros exploits integrados (kits crimeware), muitas novas vítimas foram encontradas - e continuam a ser encontradas - executando versões sem patch para o Java, permitindo que o malware seja instalado.


    Acrobat / Acrobat Reader 0-Day em Estado Selvagem

    Em fevereiro, um PDF fingindo ser uma forma de visto de viagem da Turquia foi detectado circulando em estado selvagem e se aproveitou de uma vulnerabilidade inédita no software da Adobe Reader. O exploit trabalha com todas as versões recentes do Adobe Reader (9.5.x, 10.1.x, e 11.0.X), e na maioria das versões do Microsoft Windows, incluindo a maioria dos sistemas Mac OS X e Windows 7 64-bit. O PDF exploit foi usado por cibercriminosos para instalar malware em computadores do seu alvo.

    Nesse cenário de ameaças, a Adobe lançou um patch para as falhas no Reader em 20 de fevereiro, mas os criminosos continuam a utilizar versões reembaladas dos exploits online em ataques de spear-phishing. Esses exploits em software da Adobe Reader continuam a ser explorados ativamente por cibercriminosos, como método de entrega de malware, aproveitando que os usuários que não atualizam seus computadores da maneira como deveriam.


    CDorked Ataca Servidores Apache

    No final de abril, um novo ataque nos populares servidores Web Apache foi descoberto. Apelidado de CDorked, o malware foi capaz de comprometer o servidor Web e redirecionar os visitantes do servidor Web comprometido a outros servidores, que oferecem o malware usando o kit exploit BlackHole. O ataque também pode ter como alvo o Lighttpd e plataformas de servidor nginx.

    Além disso, CDorked mostra muitas semelhanças com o DarkLeech que surgiu em 2012 em servidores Apache, mas é significativamente muito mais furtivo e mais inteligente do que elei: ao contrário do DarkLeech, o CDorked não carrega módulos maliciosos adicionais ao servidor infectado. Ao invés disso, o binário httpd existente foi maliciosamente modificado. Além disso, as atividades do CDorked foram interessantes na medida em que não foi escrita nenhuma informação para o disco rígido do servidor Web: tudo foi mantido na memória e foi acessado via GET - pedidos enviados pelos atacantes - para o servidor comprometido. Vale lembrar que nenhuma dessas requisições GET foram registradas.

    Arquiteturas Inseguras

    Uma rede mal configurada é um ponto de entrada elementar para usuários não autorizados. Deixar uma rede local aberta baseada na confiança e vulnerável à Internet, altamente insegura, é o mesmo que deixar uma porta entreaberta em uma vizinhança perigosa; pode ser que nada aconteça por um período, mas eventualmente, alguém explorará essa oportunidade. Portanto, é necessário manter vigilância o tempo inteiro.


    Redes de Transmissão

    Os administradores de sistemas frequentemente, falham em perceber a importância do hardware de rede em seus esquemas de segurança. Componentes de hardware simples como hubs e roteadores, baseiam-se no princípio da transmissão ou 'non-switched', ou seja, sempre que um nódulo transmitir dados através da rede para um nódulo receptor, o hub ou roteador envia uma transmissão dos pacotes de dados até que o nódulo receptor receba e processe os dados.

    Este método é o mais vulnerável para lidar com protocolo de resolução (arp) ou controle de acesso à mídia (media access control - MAC), e lidar com spoofing de endereços de ambos - intrusos externos e usuários não autorizados em máquinas locais.


    Servidores Centralizados

    Há ainda uma potencial armadilha na rede, que é o uso da computação centralizada. Uma forma comum de corte de gastos em muitas empresas é consolidar todos os serviços em apenas uma máquina poderosa. Isto pode ser conveniente, pois é mais fácil de gerenciar e custa bem menos que configurações de servidores múltiplos. No entanto, um servidor centralizado apresenta apenas um ponto único de falha na rede. Se o servidor central for comprometido, pode danificar a rede ou inutilizá-la, o que caracteriza um cenário propício para a manipulação ou mesmo para o roubo de dados. Nestas situações um servidor central torna-se uma porta aberta, permitindo que haja acesso à toda rede.

    Serviços Essencialmente Inseguros

    Até a empresa mais atenta pode ser vítima de exploração de vulnerabilidades, se os serviços de rede forem essencialmente inseguros. Por exemplo, há muitos serviços desenvolvidos sob a suposição de que são utilizados através de redes confiáveis, mas essa suposição deixa de ser verdadeira a partir do momento em que o serviço for disponibilizado através da Internet, que por si só é essencialmente não confiável.


    Um tipo de serviço de rede inseguro é aquele que requer nomes de usuário e senha não criptografados para autenticação. Telnet e FTP são dois serviços deste tipo. Se um software "sniffing" de pacotes está monitorando o tráfego entre o usuário remoto e um servidor deste tipo, os nomes de usuário e senhas podem ser interceptadas facilmente. Dessa forma, tais serviços também podem ser facilmente enquadrados no que a indústria da segurança chama de ataque "man-in-the-middle". Neste tipo de ataque, um cracker redireciona o tráfego de rede, enganando um servidor de nomes crackeados na rede, apontando-o para sua máquina ao invés do servidor pretendido.



    Saiba Mais:

    [1] Net Security http://www.net-security.org/malware_news.php?id=2554

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L