Há uma enorme gama de diferentes ataques que enfrentamos na grande rede nos últimos tempos: os usuários podem ficar presos por práticas de ransomware como "Gimeno" ou "Foreign", tornar-se parte da botnet Andromeda, ser alvo dos trojans ZeuS / Zbot que são perigosíssimos e visam roubar o dinheiro de suas contas bancárias, ou ter suas senhas comprometidas pelo spyware "Fareit", dentre outros. Normalmente, os ataques na Web tentam baixar e instalar um arquivo executável infectado no computador de destino, mas há algumas exceções, por exemplo os ataques que exploram falhas XSS ou CSRF, que executam código HTML embutido.
Mecanismo de Ataque
Para que um ataque seja bem sucedido, é preciso que todos os usuários se conectem a um site malicioso que faz download de um arquivo executável em seus computadores. Para seduzir os usuários em relação a isso, scammers poderiam lhes enviar um link por e-mail, via SMS ou através de uma rede social. Eles também podem tentar promover o seu site através de motores de busca. Uma outra técnica que eles utilizam muito, é fazer um cracking em um recurso legítimo e bastante popular, e transformá-lo em um meio que possibilite atacar seus visitantes.
As atividades de baixar e instalar o malware podem ser feitas em uma das duas maneiras. O primeiro, é através da técnica drive-by download, dependendo do uso de uma vulnerabilidade existente no software do usuário. O usuário do site infectado, muitas vezes, não tem conhecimento nenhum de que o computador está instalando o malware, porque normalmente não há indícios de que isso esteja acontecendo. O segundo método utiliza a técnica de engenharia social, onde os usuários são induzidos a baixar e instalar malware, acreditando que trata-se de um flash player atualizado ou algum popular software similar.
Links Maliciosos e Banners
A maneira mais simples para atrair as vítimas a sites maliciosos é simplesmente exibir um banner atraente, e que contenha algum link. Como regra, sites com conteúdo ilegal, pornografia, software sem licença, filmes e outros, são usados como um host. Esses sites podem trabalhar "honestamente" por um longo tempo, antes de começar a hospedagem banners com links direcionados para recursos maliciosos. Nesse contexto, existe um método de infecção bastante popular, o Malvertising. A partir de tal prática, há uma redireciona
mento do usuário para um site malicioso com a ajuda de banners escondidos. Dessa forma, redes de banners duvidosas atraem administradores do site com pagamentos elevados para "click-through" em seus anúncios e, frequentemente, uma oferta monetária "on-the-side" por espalhar malware.
Vale destacar que devido a tantas práticas maliciosas sendo difundidas na Web, um habitante do Japão é atacado por um exploit e infectado com o Trojan Zbot. Na ocasião, esses banners maliciosos podem penetrar em redes de banners honestos, apesar de um exame cuidadoso que é realizado pelos administradores. Casos como esse têm afetado a network banner Yahoo Publicidade e até mesmo o YouTube.
Spam
Como é de conhecimento de muitas pessoas, principalmente de quem tem contato mais estreito com a tecnologia, seja como usuário ou como profissional da área, a prática de spam é um dos mais populares meios de atrair as vítimas para a utilização de recursos maliciosos. Ele inclui mensagens enviadas por e-mail, envios de SMS e sistemas de comunicações instantâneas, através de redes sociais, mensagens privadas em fóruns e comentários em blogs. A perigosa mensagem, pode conter um arquivo malicioso ou um link para um site infectado. Para incentivar o usuário a clicar em um link ou cair em uma técnica de engenharia social, geralmente é usado algum tipo de arquivo, por exemplo:
Durante os ataques direcionados, quando os cybercriminosos resolvem atacar, especificamente, uma determinada organização, a letra maliciosa pode imitar uma carta de um correspondente regular: o endereço do remetente, conteúdo e assinatura poderiam ser o mesmo que uma verdadeira carta, por exemplo, de um sócio da empresa. Ao abrir o documento em anexo com um nome como "invoice.docx", os usuários expõem os seus computadores ao risco de infecção.
Black Search Engine Optimization
SEO ou Search Engine Optimization é um conjunto de técnicas implementadas para aumentar a posição de um site, nos resultados obtidos pelos motores de busca. Os usuários modernos, muitas vezes, vão para os motores de busca para encontrar informações ou serviços necessários, de modo que quanto mais fácil for encontrar um determinado site, mais visitantes ele terá.
Além dos métodos legítimos de otimização, aquelas que são permitidos pelos motores de busca, existem técnicas proibidas que enganam os motores de busca. Um site pode "promover-se" com a ajuda de um botnet - milhares de bots podem fazer algumas solicitações de pesquisa e selecionar o site malicioso, elevando o seu rating. O site em si pode adquirir uma aparência diferente, dependendo de quem entrou: se é um robô de busca, será mostrada uma página relevante para a solicitação; se for um usuário normal, ele será redirecionado para um site malicioso.
Além do já exposto, links para o site são distribuídos em fóruns e outros sites conhecidos por motores de busca, usando utilitários especiais, que levantam a classificação do local e, consequentemente, a sua posição nos resultados de busca. Como regra geral, os sites que usam o sistema "black otimization" para buscas, estão ativamente bloqueados pelos administradores de pesquisas.
Sites Legítimos Infectados
Em muitas situações, os cybercriminosos infectam sites populares legítimos a fim de divulgar seus programas malicisos. Estes podem ser os recursos de alto tráfego de notícias, lojas de Internet ou portais e agregadores de notícias. Portanto, há duas maneiras comuns para infectar sites. Se uma vulnerabilidade de software foi detectada no site de destino, o código malicioso pode ser inserido (por exemplo, uma injeção SQL). Em outros casos, os crackers obtem os dados de autenticação do computador do administrador do site, usando um dos muitos programas de spyware trojan ou utilizando phishing e engenharia social, além de tomar o controle do site.
Kaspersky Lab registra milhares de sites legítimos todos os dias, nos quais há o recurso de download de código malicioso para os seus visitantes. Entre os casos mais proeminentes estavam o Lurk Trojan, encontrado no site da agência de notícias RIA Novosti e gazeta.ru, e a infecção de PHP.Net. Os visitantes de um site infectado são atacados com o uso de downloads drive-by, que ficam muito bem escondidos. A infecção passa despercebida pelos usuários e não irá obrigá-los a fazer o download ou ativar nada. Um exploit ou conjunto de exploits, é automaticamente baixado a partir da página e, se a máquina de destino tem o software vulnerável, um executável malicioso será liberado para a mesma.
Exploit Packs
A ferramenta mais eficaz para infectar o computador da vítima é um exploit pack, como Blackhole. Estes são produtos bastante procurados no mercado negro do cybercrime: os exploit packs são desenvolvidos por encomenda ou para venda generalizada, e podem contar com suporte e devidas atualizações. O preço depende da quantidade e da "sofisticação" das façanhas incluídas, a facilidade de administração, a qualidade do suporte, a regularidade das atualizações e também, da ganância do vendedor.
Como estes ataques acontecem através do browser, os exploits precisam que explorar uma vulnerabilidade tanto no próprio navegador, quanto em add-ons para ele ou em software de terceiros carregado pelo navegador para controlar o conteúdo. Se um desses exploits for utilizado com sucesso, um arquivo malicioso será lançado na máquina da vítima.
Download Direto pelos Usuários
Muitas vezes, os cybercriminosos não precisam utilizar ferramentas engenhosas e caríssimas para inserir seus programas maliciosos nos computadores dos usuários. Os usuários podem, simplesmente, ser enganado em download e execução de malware em si. Por exemplo, ao entrar em um site malicioso que um usuário assiste a um vídeo preview "apenas para adultos". Ao clicar neste título, surgirá uma mensagem para atualizar o Adobe Flash Player, e ao mesmo tempo, o local imediatamente oferece a ele um arquivo para baixar com um nome de sonoridade autêntica. Ao instalar o "update", o usuário infecta o computador com um cavalo de Troia.
Saiba Mais:
[1] Secure List http://securelist.com/analysis/publi...net-predators/