• Dentro da Zona de Guerra Contra Malware

    Adam Kujawa é o Chefe de Inteligência de Malware da Malwarebytes. Nesta entrevista, ele fala sobre a evolução do malware nos últimos dez anos, ilustra as diferenças globais que ocorreram com base no ponto de origem, além de destacar os eventos que mudaram o cenário de ameaças, oferecendo uma visão sobre as ameaças do futuro e muito mais. Com base na pesquisa realizada por Kujawa, foi perguntado a ele se os autores de malware de hoje são mais sofisticados do que os que atuavam há 10 anos?

    De acordo com o executivo, para responder a essa pergunta, você precisa perguntar a si mesmo se os desenvolvedores de automóveis eram mais sofisticados na década de 1980 ou agora? Malware há 10 anos era uma praga completamente diferente; isso porque a indústria de antivírus ainda era jovem e, portanto, os autores de malware tinham menos coisas com as quais se preocupar quando se tratava de ofuscação ou esconder suas reais intenções. Ao mesmo tempo, os anos de desenvolvimento de malware dentro da indústria de crimes cibernéticos, permitiu que os autores pudessem crackear e colar o código já criado, para uso em outros projetos testados e aprovados , portanto, eliminando a necessidade de criar mais do malware a partir do zero.




    Desenvolvimento Aliado à Sofisticação

    A sofisticação é baseada em exigências criadas por obstáculos, e na batalha do vai-e-vem entre os protetores e atacante que atuam na grande rede, inúmeras barreiras e atalhos foram criados para garantir o desenvolvimento de mais malware "sofisticado". No entanto, aos níveis elementares, a própria base de onde se inicia o desenvolvimento de malware, o código é o mesmo. Assim como nossos carros, removendo híbridos e carros elétricos, todos os carros funcionam com os mesmos princípios básicos de 10, 20, 30 anos atrás, mas com base em coisas como inovações na segurança, estabilização, o uso de combustível e tecnologias de entretenimento. Tudo isso faz os carros parecerem muito mais modernos e sofisticados.


    Escalonamento de Privilégios

    Os dois maiores obstáculos que têm norteado o desenvolvimento de malware nos últimos 10 anos, foram a execução no sistema sem detecção; e a obtenção de privilégios para interagir com o sistema em um nível alto o suficiente para fazer essa diferença. Estes dois obstáculos criaram coisas como código de escalonamento de privilégios, criptografia forte para binários e códigos maliciosos, injeção em arquivos e processos legítimos, além de subversão total das proteções do sistema administrativo, como o aviso que aparece no Windows 7 perguntando se ele tem permissão para executar um determinado programa com direitos de administrador .

    Para chegar ao ponto chave da questão, pode-se dizer que o malware que vemos hoje é muito mais sofisticado, porque passou por muitas transformações, evoluindo de acordo com os mecanismos implementados pelos profissionais de segurança; no entanto, os próprios autores, com a capacidade de fazer referência ao "how-to" de desenvolvimento de malware, são menos desafiados do que os das décadas anteriores.


    Engenharia Social, Pontos Altos nas Ocorrências de Malware e Práticas de Ransomware

    Para o executivo, também foi perguntado quais foram os três pontos chaves das ocorrências de malware nos últimos cinco anos e quais acontecimentos mudaram o cenário de ameaças. Adam disse que houve mudanças nas técnicas de Engenharia Psicológica, pois ao longo dos últimos cinco anos, alguns dos piores tipos de malware que foram vistos, não tiveram especificamente como alvo um sistema operacional ou hardware, mas sim, a parte psicológica do usuário.

    A engenharia social deu um passo a frente, evoluiu bastante, quando se trata de malware e outras práticas mais refinadas como ransomware. Esse tipo de ransomware é distribuído através de vários meios, incluindo e-mails maliciosos, drive-by exploit e aplicações em pacotes que incluem o malware e são executadas manualmente pelo usuário. Estes métodos não são exclusivos para ransomware, devido a maioria dos malware ser propagada desta forma; o aspecto original de ransomware é como ele é liberado, o que o executivo chama de "culpa presumida" para o usuário.

    Além de tudo, o ransomware só permite ao usuário visualizar uma tela sob o pretexto de aplicação da lei. A tela afirma que o FBI pode ter detectado atividade ilegal proveniente do sistema do usuário e, portanto, travou aquele sistema até que o usuário realize o pagamento de uma multa.


    Perturbações Psicológicas e Questionamentos Sobre Culpa Inexistente

    Essas práticas, foram simples o suficiente para informar o público de que este tipo de malware existiu, foi surgindo em toda parte e as pessoas não tinham certeza se era verdade ou não, até assistir ao noticiário ou ler um artigo online. No entanto, a prática de ransomware perdeu toda a noção de limites quando começou, não só acusando o usuário de posse de pornografia infantil, mas também mostrando uma imagem dele como parte da tela do resgate. Este tipo de ataque vai além de extorsão ou roubo, ele perturba psicologicamente os usuários e os obriga a considerar se eram realmente culpados de alguma coisa, e nem sequer sabiam disso.


    Cybercriminosos, Inescrúpulo e Aplicação de Golpes

    A chama engenharia psicológica ou engenharia social, ou o ato de mexer com as mentes dos usuários por uma questão de obter um dinheirinho rápido, sem dúvida, estará presente nas ocorrências de malware no futuro. De acordo com o executivo, ninguém está lidando com um bando de adolescentes irritados com conhecimentos de informática: quem está em cena são são criminosos inescrupulosos, que não têm vergonha nenhuma e estão dispostos a fazer qualquer coisa para conseguir seu dinheiro.


    Utilização das Mídias Sociais

    Há também a auto-propagação usando a mídia social: nos últimos 10 anos, ou melhor, nos últimos 5 anos, pudemos ver o poder que os meios de comunicação social tem sobre nossas vidas, pois hoje em dia, desde o seu primo de 6 anos de idade até a sua avó, usa algum tipo de mídia social para manter em contato com amigos, familiares e ficar sabendo dos eventos atuais. Claro que em face dessa utilização massiva, há maior oportunidade para provocar incidentes de segurança que possam afetar um grande número de usuário de Internet.

    Na sequência dos acontecimentos, todos tem presenciado, de acordo com Adam, tipos de malware que roubam as credenciais de login para as mídias sociais como o Facebook ou o Twitter - e tem um monte de malware que faz isso. Eles também roubam suas informações bancárias e de e-mail de login, tudo com o propósito de roubar informações e até mesmo o uso de contas roubadas para propagar o malware em larga escalam, através de contatos.


    Sistema de Autenticação de Dois Fatores

    Por causa dessa fragilidade nos mecanismos de segurança convencionais, a indústria de defesa lutou e agora implementou o sistema de autenticação de dois fatores, que já está disponível para muitos sites de mídia social. Assim, os autores de malware realizaram uma pequena mudança e agora, ao invés de apenas roubar senhas, se um usuário está infectado e deixa sua conexão com o Facebook ou o Twitter aberta no seu navegador, o malware irá aproveitá-la e enviar atualizações de status ou e-mails, usando as credenciais de usuários, a partir do computador do seu alvo.

    Vimos também o malware fazer isso com mensagens instantâneas e aplicativos como o Skype ou MSN Messenger. A maior diferença entre esta mudança de tecnologia maliciosa e outros que temos visto, é que os sites de mídia social estão lutando contra essas vulnerabilidades, tornando-se mais difícil para crackers e distribuidores de malware usar seus serviços para fins nefastos. Entretanto, isso não quer dizer que nunca aconteça.


    Ousadia dos Criadores de Malware para Desenvolver Novas Amostras

    Houve também muita conversa ao longo dos anos, sobre como a indústria de antivírus não é capaz de acompanhar as mudanças na tecnologia de aplicações maliciosas. O que poucas pessoas percebem, é que é a persistência e o avanço do software de proteção e contramedidas para ameaças virtuais que têm forçado os criadores de malware a entrar em um ritmo frenético e fazer uma espécie de montagem em linha tipo de produção de novas espécies de malware.

    Agora, para dizer "novo" malware, não significa que um autor vai criar um novo tipo de malware a cada vez que se senta a frente de seu computador, mas sim uma nova "variação" de um malware que já existe. "Uma variação ou "variante" como gostamos de chamá-los, são tipos pré-existentes e as famílias de malware que foram ligeiramente modificadas a partir da versão anterior, a fim de contornar as operações de detecção e remoção", acrescentou o executivo.


    Temido e Ardiloso Trojan ZeuS

    O trojan ZeuS é um grande exemplo de variação de malware. Foi descoberto pela primeira vez em julho de 2007, quase 7 anos e ainda é um problema enorme em relação à indústria de segurança. Vale ressaltar que ZeuS ainda prospera por causa de sua capacidade de mudar de forma rápida e eficaz, a fim de evitar a detecção, e continua a melhorar as suas capacidades para superar os obstáculos e alcançar novas vítimas. Além disso tudo, a maioria das famílias de malware não pode manter-se com a rapidez com que a indústria de segurança implanta medidas para proteger os usuários e, portanto, caem no esquecimento. No entanto, já foi possível presenciar atividades de algumas famílias novas (pop-up) com a mesma resistência e metodologia de troca rápida como ZeuS.


    Saiba Mais:

    [1] Net Security - Malware News http://www.net-security.org/article.php?id=2026&p=2

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L