• Cybercriminosos Inovam em Métodos de Ataques Referentes a Utilização de Falsos Antivírus

    Os cybercriminosos não estão dispostos a desistir de ataques que utilizam soluções anti-vírus falsas, e assim, resolveram aperfeiçoar seus métodos para enganar as suas potenciais vítimas. Essas campanhas que utilizam os tais antivírus, exibem numerosos avisos de presenças de worms em máquinas infectadas, caracterizando assim, um esforço para induzir os usuários a pagar uma taxa e ter as tais ameaças removidas do sistema. Com o surgimento das práticas de ransomware, os ataques por meio de falsos anti-vírus tem entrado em um processo de declínio significativo nos últimos tempos. No entanto, embora essas ameaças já não sejam tão comuns quanto antes, os cybercriminosos continuam a usar os referidos golpes com a intenção de obter algum lucro.


    Evolução das Falsas Soluções Antivírus

    Em face disso, um grupo de pesquisadores de segurança da Microsoft têm acompanhado a evolução dos AVs falsos e eles notaram que muitas amostras de malware como o Win32 / Winwebsec, Win32 / OneScan, Win32 / FakeXPA e Win32 / FakePAV, que a certa altura foram os mais prevalentes das cepas de "rogue", têm sido uma tendência crescente em todo o mundo. De acordo com Daniel Chipiristeanu do Microsoft Malware Protection Center, uma vez que os grandes players de malware estão tendo mais dificuldade em tirar proveito dos usuários que pagam por produtos de segurança falsos, e estão se afastando esse tipo de engenharia social, passa a ser possível ver outros cybercriminosos dispostos a preencher tal lacuna - felizmente, causando um impacto não tão desastroso.


    Um exemplo é o AV falso, que foi detectado pela Microsoft como Rogue:Win32/Defru. Não é incomum para este tipo de malware, evitar que potenciais vítimas visitem os sites dos fornecedores de soluções de segurança, para garantir que a infecção não seja facilmente removida. No entanto, Defru vai ainda mais longe, usando o arquivo "hosts" para redirecionar os usuários para um falso site fornecedor de soluções antivírus.

    Quando as vítimas tentam acessar sites como Apple.com, Bing.com, Facebook.com, Microsoft.com e Yahoo.com, elas são levadas para uma página falsa intitulada "Windows Security", onde há uma apresentação com uma falsa varredura e vários alertas de malware. Um total de mais de 300 sites são alvo de Defru, incluindo sites de segurança, sites de notícias, redes sociais e outros serviços online populares. Depois de ser apresentado com emissão de avisos falsos inúmeras vezes, os utilizadores poderão ceder e concordar em pagar para ter seus computadores "limpos".


    Cybercriminosos Visam Usuários que Falam Idioma Russo

    Além disso, os cybercriminosos por trás dessa operação parecem ter como alvo principal, os usuários russos, devido a a maioria das vítimas ter sido localizada na Rússia, na Ucrânia e no Cazaquistão. "O rogue é escrito em PHP, usa um compilador PHP EXE (Bambalam) e vai se copiar para %appdata%\w1ndows_<4chars>.exe (e.g. "w1ndows_33a0.exe"). Ele persiste na reinicialização do sistema, adicionando-se a chave de registro HKCU\SOFTWARE\Microsoft\ Windows\ CurrentVersion\Run com o value "w1ndows_<4chars>", disse Chipiristeanu.


    Remoção do Malware não é Complexa

    Felizmente, não é difícil remover o malware a partir de um dispositivo infectado. Os usuários devem remover o value de entrada do "Run" referente a chave de registro e excluir o arquivo executável do disco e as entradas do arquivo "hosts". Além disso, houve uma consideração importante feita por Dodi Glenn, Security Intelligence and Research Labs at ThreatTrack Security. Ele disse que acredita que redirecionam os usuários de sites bons para os maliciosos, e isso pode ser um método eficaz de desvio de dinheiro das vítimas.


    Férias de Final de Ano Alavancam Atividades Cybercriminosas

    O executivo também acrescentou que houve um grande declínio nos rogues recentemente. Isso porque existe uma enorme tendência a ver picos de distribuição de malware, principalmente no mês de setembro, período no qual os alunos vão para a escola, e quando a temporada de férias começa. Os cybercriminosos, tipicamente, focam em pessoas que estão à procura de temas atuais, como presentes de Natal (quando chega a época das festas de final de ano), através da criação de unidade de sites de download, infectando máquinas que possuem vulnerabilidades".


    Falsos Antivírus são Ferramentas Prevalentes para o Cybercrime mas Utilização vem Sendo Reduzida

    Os especialistas também disseram, que os cybercriminosos estão, aos poucos, deixando de utilizar os ataques que envolvem os falsos antivírus, porque tal atividade não é mais tão rentável como costumava ser. "Fake AV é algo que os especialistas em segurança tem vindo a acompanhar por um longo tempo, e tem sido uma ferramenta favorita no arsenal dos criminosos cibernéticos, dada a facilidade com que os usuários podem ser enganados e até mesmo pagar por uma assinatura falsa, além de baixar malware quando confrontados com o que parece ser um alerta anti-vírus legítimo", disse Jayce Nichols, chefe de análise de ameaças e inovação a iSIGHT Partners.


    Práticas de Ransomware Passam a ser a "Investida do Momento"

    Ambos os especialistas que já fizeram as suas considerações, citadas em parágrafos anteriores, concordam que ransomware é muito mais eficiente quando se trata de ajudar os criminosos virtuais a lucrar. De acordo com Glenn, eles acreditam que as aplicações de ransomware, como o botnet CryptoLocker, continuará a ser criado, em esforços cada vez maiores para tirar dinheiro das vítimas. É importante saber que esses aplicativos não tem apenas como alvo máquinas que executam o sistema Windows, mas também visam, fortemente, os dispositivos Android".

    Conforme observou Nichols, é nítido o aumento que as práticas de ransomware vem apresentando mundialmente. Principalmente porque, ao contrário das falsas soluções antivírus, os cybercriminosos podem realmente manter a vítima alarmada e bastante confusa, enquanto criptografam seus arquivos. Dessa forma, foi relatada uma campanha plenamente ativa, que estava usando ransomware (e faz poucos dias que isso foi noticiado), caracterizando uma nova variante que ficou conhecida como "TorrentLocker" - e ao que tudo indica, vamos continuar a ver o uso amplo do ransomware como uma forte alternativa para as investidas que envolvem Fake AV.


    Disseminação das Práticas de Ransomware

    No final do ano de 2013, uma praga chamada CryptoLocker começou a deixar em pânico os usuários de computador dos Estados Unidos, além de preocupar bastante, especialistas da área de segurança em todo o mundo. Em face disso, um alerta chegou a ser emitido pelo US-CERT, equipe norte-americana que lida com emergências na área de segurança cibernética, o que mostrou que o caso era de fato, alarmante. Entretanto, ficava uma interrogação: o que esse malware teria em específico para chamar tanta atenção, excluindo o fato de ter se espalhado tão rapidamente?

    A resposta para isso foi bastante simples: ele era um ransomware, que, para quem não sabe, trata-se de um tipo de ameaça que "sequestra" computadores e arquivos, cobrando um resgate relativamente alto para liberá-los. Porém, a expressão em questão, que vem de "ransom" ("resgate", em inglês), não é exatamente nova. Existem menções a ela datadas de pelo menos oito ou nove anos. A popularização dos vírus do tipo, no entanto, é bem mais recente: no mês de junho do ano passado, por exemplo, a McAfee percebeu que o número de práticas de ransomware detectadas havia dobrado em relação ao mesmo período, comparado ao ano de 2012. E mais para o final do ano, a ESET motou um aumento absurdo de 200% no total de práticas de ransomware, entre os meses de junho e setembro de 2013.


    Simplocker: Plataforma Android Também é Bastante Visada

    Existem muitas ameaças também para o sistema móvel Android. O caso mais recente e preocupante, nesse contexto, é o Simplocker, um app malicioso que criptografa arquivos em um cartão SD, cobra um resgate e se esconde usando um servidor hospedado em um domínio na rede TOR. Porém, segundo informações divulgadas pela ESET, empresa que descobriu praga, ele não chega perto da dimensão do Cryptolocker no que diz respeito aos riscos que oferece, e deve infectar apenas aparelhos que se conectam a lojas que não são a Google Play.


    Ransomware Prolifera Pelo Mundo

    Até algum tempo, o ransomware era uma preocupação maior na Europa, em especial na Rússia e nos Estados Unidos. Entretanto, segundo disseram alguns especialistas, agora existe a possibilidade de afirmar que já foram registrados muitos casos na América Latina. Dentre esses casos, o mais relevante deles é de um ransomware que se passava por um alerta do FBI. A praga bloqueava os computadores das pessoas, exibindo na tela um texto que dizia que aquela máquina tinha sido travado porque havia pornografia infantil e demais conteúdos ilícitos guardados nele.

    O tal alerta emitido ainda dizia que uma multa no valor de 200 dólares precisava ser depositada em uma conta, para que a máquina fosse liberada. Com isso, muitas vítimas pagaram o referido valor, para conseguir (ou não) o acesso de volta. Esse foi um caso registrado na América Latina, e depois dele, ainda houve registro de outro caso bastante parecido envolvendo a polícia da Argentina, e também no México.


    Saiba Mais:

    [1] SecurityWeek http://www.securityweek.com/fake-av-...-shift-tactics

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L