Se a investida for bem sucedida, os usuários são sobrecarregados com várias amostras de malware: um dropper, cujo objetivo é fazer o download de malware adicional, o trojan Gamarue, o FleerCivet Clickjacking e o backdoor Ruperk destinado a roubo de informações.
Definindo um Kit Exploit
Um exploit kit, às vezes chamado de um "EXPLOIT PACK", é uma ferramenta que automatiza a exploração de vulnerabilidades do lado do cliente, visando navegadores e programas que um site pode incorporar através do browser. Objetivos comuns em explorar vulnerabilidades envolvem o Adobe Reader, Java Runtime Environment e Adobe Flash Player. É interessante observar que diferentes especialistas definem um kit exploit /pack um pouco diferente, embora concordando sobre as características gerais deste tipo de malware.
Características de Kit Exploits
Uma característica fundamental de um kit exploit é a facilidade com que ele pode ser usado até mesmo por invasores que não são de TI, ou especialistas de segurança. O atacante não precisa saber como criar exploits para se beneficiar de sistemas infectados. Além disso, um exploit pack normalmente fornece uma interface Web fácil de usar, que ajuda o atacante acompanhar a campanha de infecção. Alguns kit exploits oferecem capacidades para o controle remoto do sistema explorado, permitindo que o invasor possa criar uma plataforma de crimeware na Internet para outras atividades maliciosas.
Disputa pelo Controle, Clientes e Vítimas
Um kit exploit é uma plataforma usada para fornecer outra carga útil, que pode incluir um bot, um backdoor, um spyware ou outro tipo de malware. Neste contexto, os responsáveis pelos kit exploits e distribuidores competem pelos clientes. A facilidade de uso e acessibilidade dos exploits tornam possível até mesmo para as pessoas com baixas qualificações técnicas, se tornar um "hacker", seja para fins lucrativos, políticos ou por outras razões. A facilidade de uso da interface de controle do kit exploit pode ser um enorme diferencial de mercado, ajudando-a a se destacar da concorrência. No geral, não é incomum para os criminosos, que agem das mais variadas formas e lidam com os mais variados tipos de investidas, travar uma batalha entre si e ser o dominador da "parada". E não surge como surpresa que estejamos vendo essas batalhas no mundo da Internet também. Embora exista um monte de alvos potenciais para os atacantes competidores, no sentido de infectar, é natural que o criminoso tenha o desejo de afirmar o controle total sobre o sistema recém-comprometido. Se o host já estiver infectado, o novo invasor precisará remover a presença de uma entidade concorrente. É uma variação de um jogo infantil chamado King of the Hill, embora, obviamente, com repercussões muito mais sérias. Como dizem popularmente, é uma "briga de cachorro grande".
Kit Exploits e Limites Geográficos
Alguns kits exploits são desenvolvidos e comercializados em um país específico e, portanto, serão utilizados mais amplamente por atacantes que falam esse idioma. No entanto, a "graça" dos kit exploits é que eles podem ser desenvolvidos no país A, vendidos no país B, e utilizados em um país C para atacar País D. Tudo isso sendo feito por meio de sistemas hospedados no País E. Como resultado, é difícil atribuir esse tipo de atividade maliciosa para cybercriminosos que estão localizados em um determinado país, simplesmente prestando atenção nos endereços IP observados durante o ataque imediato.
Resistência a Ataques de Kit Exploits
Embora alguns pacotes de kit exploits tenham como alvo vulnerabilidades zero-day, um grande número de exploits vai atrás de vulnerabilidades para as quais existem patches. Dessa forma, os utilizadores finais e as organizações devem "olhar de perto" de que forma eles mantem os patches de segurança no ambiente de trabalho. Além disso, os utilizadores finais podem usar mecanismos de atualização automática das aplicações específicas ou ferramentas especializadas para a referida finalidade. Destacando que ambientes corporativos devem usar ferramentas automatizadas para identificar sistemas vulneráveis, instalar os patches relevantes e validar que os patches estão devidamente instalados. Também é importante para bloquear o ambiente de modo que, a partir do momento em que um sistema individual for afetado, o ataque é contido e descoberto rapidamente.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=3013