Relatório do McAfee Labs sobre ameaças Fevereiro de 2015
Transcrição
Relatório do McAfee Labs sobre ameaças Fevereiro de 2015
Relatório Relatório do McAfee Labs sobre ameaças Fevereiro de 2015 Milhões de usuários de aplicativos mó.veis continuam expostos às vulnerabilidades SSL. Sobre o McAfee Labs O McAfee Labs é uma das maiores fontes do mundo em pesquisa de ameaças, informações sobre ameaças e liderança em ideias sobre segurança cibernética. Com dados de milhões de sensores nos principais vetores de ameaça — arquivos, Web, mensagens e rede — o McAfee Labs oferece informações sobre ameaças em tempo real, análises críticas e a opinião de especialistas para aprimorar a proteção e reduzir os riscos. A McAfee agora é parte da Intel Security. www.mcafee.com/br/mcafee-labs.aspx Siga o McAfee Labs Introdução Na Relatório sobre ameaças, divulgamos nove previsões de ameaças para 2015. Este é apenas o segundo mês do ano, mas algumas das nossas previsões já se concretizaram. “Governos de países pequenos e grupos terroristas estrangeiros entrarão no espaço cibernético para fazer guerra contra seus inimigos. Eles farão isso lançando ataques de negação de serviço distribuídos e incapacitantes ou utilizando um malware que elimine o registro mestre de inicialização para destruir as redes de seus inimigos.” O FBI acusou a Coreia do Norte como responsável pelo ataque à Sony Pictures Entertainment, que apagou o registro mestre de inicialização da empresa. “Esse vetor de ataque [Shellshock] será o ponto de entrada para infraestruturas tão diversas quanto eletrodomésticos e corporações que dependem intensamente de sistemas não Windows. Como resultado, esperamos ver um aumento significativo em malware não Windows durante 2015.” O malware que explora a vulnerabilidade Shellshock está atacando os dispositivos NAS (network-attached storage) não corrigidos da QNAP. “Existem muitas lojas de aplicativos não confiáveis e sites de download direto cujos aplicativos frequentemente contêm malware. O tráfego para esses sites e lojas de aplicativos maléficos costuma ser impulsionado por anúncios enganosos, os quais se voltaram rapidamente para as plataformas móveis. Em 2015, continuaremos a ver um rápido crescimento em anúncios enganosos voltados para usuários móveis, perpetuando o crescimento do malware móvel.” Os pesquisadores do McAfee Labs, trabalhando em conjunto com a Technische Universität Darmstadt e o Centre for Advanced Security Research Darmstadt, descobriram um malware transmitido pelo Torrent que finge ser um aplicativo Android para fazer download do filme “A Entrevista”, mas acaba por infectar os dispositivos móveis com um cavalo de Troia bancário. Até o momento, cerca de 20 mil dispositivos foram infectados. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 2 “Já vimos técnicas que exploram vulnerabilidades e que contornam áreas restritas de aplicativos. É mera questão de tempo para que essas técnicas sejam oferecidas a criminosos cibernéticos no mercado negro. Acreditamos que isso acontecerá em 2015.” Por fim, algumas observações: ■■ Em 13 de janeiro, a Microsoft informou que uma vulnerabilidade de elevação de privilégio do Internet Explorer permitiu uma fuga de área restrita (sandbox), transformando-se em um ataque de dia zero à solta. Os criminosos cibernéticos são tão previsíveis! Para aqueles que comparecerão ao Mobile World Congress em março, preparamos um tópico em destaque preocupante sobre a exposição de informações, incluindo nomes de usuário e senhas, e sua relação com os aplicativos móveis vulneráveis em comunicação com seus respectivos sites. Que tal pensar sobre o assunto durante a sua viagem até Barcelona? Além disso, incluímos na seção Estatísticas sobre ameaças alguns gráficos específicos à categoria móvel que podem lhe interessar. Também preparamos um tópico em destaque muito interessante sobre o kit de exploração Angler, que substituiu rapidamente o kit Blacole após a prisão de seu criador no final de 2013. O kit de exploração Angler é ainda mais eficiente e predominante que o Blacole e, por ser fácil de usar e por estar amplamente disponível nos mercados negros on-line, logo se tornou o método predileto de transporte de malware. ■■ ■■ Em setembro, a Intel Security formou, junto com mais três fornecedores de segurança, a Cyber Threat Alliance. Seu objetivo é promover colaborações mais efetivas no setor em relação à análise e erradicação das ameaças de segurança cibernética, e oferecer maior proteção aos indivíduos e organizações de todos os segmentos. Estamos felizes em informar que mais de 100 fornecedores de segurança manifestaram interesse em entrar para a aliança. Conforme esses fornecedores interessados entrem para o grupo, acreditamos que o efeito em rede da aliança beneficiará todos os clientes de forma significativa. Recentemente publicamos o relatório Hackers contra o sistema operacional humano que analisa o conceito de engenharia social e como ele é usado pelos criminosos cibernéticos. É uma leitura divertida que vale a pena conferir. Continuamos recebendo comentários relevantes dos nossos leitores através das pesquisas do Relatório sobre ameaças feitas com os usuários. Se você quiser compartilhar seus pontos de vista, clique aqui para responder a uma pesquisa rápida, de cinco minutos, sobre esta edição do Relatório sobre ameaças. – Vincent Weafer, vice-presidente sênior do McAfee Labs Nosso último tópico em destaque fala sobre o mundo desafiador dos programas potencialmente indesejados (PUPs). Os PUPs são aplicativos de usos legítimos, mas que dispõem de funções e comportamentos que podem ser explorados contra o usuário sem que ele saiba. Conforme descrito na seção, alguns criadores de PUPs estão se tornando mais perigosos, portanto, as políticas de PUPs precisam ser constantemente atualizadas para garantir uma proteção adequada. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 3 Sumário Relatório do McAfee Labs sobre ameaças Fevereiro de 2015 Este relatório foi pesquisado e redigido por: Carlos Castillo Alex Hinchliffe Patrick Knight Chris Miller Rajesh Nataraj KP François Paget Eric Peterson Arun Pradeep Craig Schmugar Rick Simon Dan Sommer Bing Sun Adam Wosotowsky Resumo Executivo 5 Tópicos em destaque 6 Usuários móveis expostos: a resistência das vulnerabilidades SSL/TLS 7 Após a ruína do Blacole: o kit de exploração Angler 16 Cinquenta tons de cinza: o mundo desafiador dos programas potencialmente indesejados 25 Estatísticas sobre ameaças 34 Resumo executivo Usuários móveis expostos: a resistência das vulnerabilidades SSL/TLS Muitos aplicativos móveis populares continuam inseguros, mesmo meses após seus fornecedores terem sido avisados de que seus aplicativos estavam expondo usuários a vulnerabilidades SSL/TLS. Nosso principal tópico em destaque fala sobre as vulnerabilidades criptográficas em aplicativos móveis populares, que permitem que criminosos cibernéticos implantem ataques de interceptação quando os usuários efetuam login nos sites correspondentes aos seus aplicativos móveis. As práticas de programação de baixa qualidade dos desenvolvedores desses aplicativos expõem os usuários a uma variedade de vulnerabilidades SSL/TLS, como a BERserk e a Heartbleed, que dizem respeito à formação de sessões seguras. Com isso, toda a comunicação entre os aplicativos móveis e seus respectivos sites, incluindo nomes de usuário e senhas, fica potencialmente visível e exposta aos criminosos cibernéticos. Essa exposição, somada à disponibilidade comercial do código-fonte do malware móvel e à previsão do McAfee Labs de que os kits de geração de malware móvel logo serão vendidos no mercado negro da Web, é a fórmula perfeita para roubos e pode acarretar o desgaste da confiança na Internet. Após a ruína do Blacole: o kit de exploração Angler O kit de exploração Angler substituiu o Blacole, tornandose um dos kits de ataque mais populares e eficientes. O kit de exploração é um pacote de software pronto para usar, com ataques de fácil implementação à vulnerabilidades conhecidas e desconhecidas. Após a prisão do criador do kit de exploração Blacole em 2013, não demorou muito para que os criminosos cibernéticos passassem a usar o kit de exploração Angler para entregar suas cargas. Pelo fato do Angler ser fácil de usar e estar amplamente disponível nos mercados negros on-line, ele logo se tornou o método favorito de transporte de malware. No segundo semestre de 2014, o Angler chamou a atenção do setor de segurança devido à sua predominância e ao surgimento de novos recursos, como a infecção sem arquivos, detecção de máquinas virtuais e produtos de segurança, e pela sua capacidade de entregar uma vasta gama de cargas, incluindo cavalos de Troia bancários, rootkits, ransomware, CryptoLocker e cavalos de Troia backdoor. À data de redação desta edição, o Angler continua sendo um dos kits de exploração mais populares. Cinquenta tons de cinza: o mundo desafiador dos programas potencialmente indesejados A definição para os programas potencialmente indesejados (PUPs) fica entre uma espécie de incômodo e um malware malicioso; eles, porém, têm se tornado cada vez mais agressivos. Os PUPs são aplicativos de usos legítimos, mas que dispõem de funções e comportamentos que podem ser explorados contra o usuário sem que ele saiba. As técnicas de distribuição de PUPs mais comuns são anexação (piggyback) a aplicativos legítimos, engenharia social, sequestro de anúncios on-line, instalação indesejada de extensões e plug-ins para navegadores, e instalação forçada junto com aplicativos legítimos. Esses programas são difíceis de controlar por não apresentarem o tipo de comportamento malicioso normalmente detectado por produtos de segurança. Conforme descrito nesta seção, alguns criadores de PUP estão se tornando mais perigosos, portanto, as políticas de PUPs precisam ser constantemente atualizadas para garantir uma proteção adequada. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 5 Tópicos em destaque Usuários móveis expostos: a resistência das vulnerabilidades SSL/TLS Após a ruína do Blacole: o kit de exploração Angler Cinquenta tons de cinza: o mundo desafiador dos programas potencialmente indesejados Compartilhe sua opinião Tópicos em destaque Usuários móveis expostos: a resistência das vulnerabilidades SSL/TLS — Carlos Castillo, Alex Hinchliffe e Rick Simon É inegável que o uso de aplicativos móveis está em ascensão. O slogan da Apple “existe um aplicativo para isso” nunca foi tão verdadeiro. De acordo com um estudo da Nielsen feito em 2014 sobre cerca de cinco mil usuários de smartphone, o número de aplicativos utilizados por uma pessoa comum durante um mês subiu de 23, em 2011, para quase 27, em 2013. O mais significativo é que o tempo gasto com o uso desses aplicativos aumentou em uma porcentagem maior ainda. Durante o mesmo biênio, os usuários de smartphone aumentaram em 65% o tempo gasto utilizando aplicativos móveis, saindo de uma marca de 18 horas por mês em 2011 para mais de 30 horas por mês em 2013. As pessoas se tornaram mais dependentes dos aplicativos móveis que, por sua vez, estão mais envolventes. Média de aplicativos utilizados e de tempo por pessoa por mês 30:15 30 23:02 25 20 18:18 15 23,3 26,5 26,8 T4 2011 T4 2012 T4 2013 10 5 0 Número de aplicativos Tempo por pessoa (hh:mm) Fonte: Nielsen, 2014 Embora esses aumentos sejam excelentes para os comerciantes e consumidores (e desenvolvedores de aplicativos corporativos e seus clientes), eles trazem à tona os problemas de privacidade e segurança, que são um desafio a ser vencido. Alguns desses problemas são resultado de desenvolvedores de aplicativos excessivamente agressivos ou das redes de anúncios incorporadas em seus aplicativos. Por exemplo, apesar de “jogos” ser a categoria mais popular da loja de aplicativos da Apple, ela também é a categoria mais atacada, segundo o McAfee Mobile Security Report (Relatório sobre segurança móvel da McAfee), de fevereiro de 2014. Impressionantes 82% dos aplicativos móveis determinam quando as redes de dados e Wi-Fi são utilizadas, quando o dispositivo está ligado ou a localização atual ou a última localização do dispositivo. E, na maioria das vezes, os usuários aceitam compartilhar essas informações assim que os aplicativos são instalados. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 7 Tópicos em destaque Outros problemas de segurança com aplicativos móveis são imprevistos, e chamamos a atenção neste tópico em destaque para uma classe de vulnerabilidades muito significativa. Vulnerabilidades criptográficas: numerosas e muito graves Durante um ataque de interceptação, um atacante insere furtivamente o código no canal de comunicação entre duas partes. O atacante pode fazer uma série de coisas, desde bisbilhotar a manipular toda uma conversa. Os ataques de interceptação começam violando o processo criptográfico de autenticação entre as duas partes. O SSL/TLS é o protocolo criptográfico mais comum, sendo portanto, aquele que é violado com mais frequência. A origem dessa vulnerabilidade de aplicativo móvel não tem nada a ver com os aplicativos móveis em si, mas sim com o processo de criptografia por eles empregado para estabelecer conexões seguras com os sites da Internet. No Relatório do McAfee Labs sobre ameaças: novembro de 2014, discutimos em detalhes a vulnerabilidade BERserk, uma falha no processo de verificação de assinatura RSA executada tanto por aplicativos móveis e não móveis no estabelecimento de conexões seguras. A vulnerabilidade BERserk possibilita que um atacante forje certificados RSA e implemente ataques de interceptação (MITM) sem que o usuário saiba. Com isso, a confidencialidade e a integridade das sessões entre clientes e seus sites mais confiáveis podem ser comprometidas. Outra falha semelhante é a Heartbleed, uma vulnerabilidade na implementação OpenSSL do protocolo SSL/TLS, que permite que os atacantes explorem conexões aparentemente seguras entre usuários e sites. Por outro lado, ambos aplicativos móveis e não móveis muitas vezes estabelecem conexões seguras através do OpenSSL. No momento da descoberta, foi estimado que cerca de 17% (aproximadamente 500 mil) dos servidores Web seguros no mundo estavam vulneráveis às explorações Heartbleed. Devido à sua predominância, muitos consideram a Heartbleed a pior vulnerabilidade já descoberta. O McAfee Labs registrou as consequências da Heartbleed no Relatório do McAfee Labs sobre ameaças: agosto de 2014. Mencionamos que dias após a sua descoberta, a indústria de segurança compartilhou dados, mão de obra e ferramentas para rapidamente resolver esse problema. E, apesar de a maioria dos sites de alto tráfego ter sido rapidamente corrigida, percebemos que muitos sites de baixo tráfego e dispositivos ativados por IP continuavam vulneráveis às explorações da Heartbleed. Ambas BERserk e Heartbleed são ótimos exemplos de vulnerabilidades criptográficas. Outras vulnerabilidades compartilham a característica de que as conexões seguras entre usuários e sites aparentam ser seguras, mas não o são porque foram comprometidas por uma exploração. Com isso, elas também comprometem a confiança na Internet. Vulnerabilidades criptográficas e aplicativos móveis O que tudo isso tem a ver com a segurança de aplicativos móveis? Com o uso crescente de aplicativos móveis, o número significativo de vulnerabilidades criptográficas e o impacto dessas vulnerabilidades na confiança depositada na Internet, os desenvolvedores de aplicativos têm que se esforçar ao máximo para garantir a segurança e privacidade, móvel e não móvel, de seus usuários. A CERT, a primeira Equipe de Resposta a Emergências de Computação na Carnegie Mellon University, anunciou em agosto de 2014 o lançamento do “CERT Tapioca” (Transparent Proxy Capture Appliance), um appliance de máquina virtual préconfigurado que atua como proxy transparente de camada de rede para executar a análise MITM do software. Algumas semanas depois, a CERT publicou um post em seu blogue sobre a descoberta automatizada das vulnerabilidades SSL em aplicativos móveis usando o Tapioca. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 8 Tópicos em destaque Em setembro de 2014, a CERT publicou uma lista de aplicativos móveis que são vulneráveis aos ataques de interceptação por não validarem corretamente os certificados SSL. O McAfee Labs descobriu que 18 dos 25 aplicativos vulneráveis com maior número de downloads, que enviavam credenciais através de conexões inseguras, ainda estão vulneráveis. O resultado dessa pesquisa é a Nota de vulnerabilidade VU#582497, publicada em setembro de 2014, que revela que mais de 20 mil aplicativos móveis não validam corretamente os certificados SSL, ficando, portanto, vulneráveis aos ataques de interceptação. Todos os aplicativos testados e suas especificações (versões testadas, tipo, número de downloads, identificadores CVE e identificadores CERT VU#, entre outras informações) estão disponíveis nesta planilha pública. O McAfee Labs decidiu recentemente examinar os aplicativos móveis contidos nessa planilha pública que apresentam a maior frequência de downloads, a fim de verificar se eles não estão mais expostos a uma das vulnerabilidades SSL mais básicas: a validação inadequada da cadeia de certificado digital. Em outras palavras, nós testamos os 25 aplicativos móveis com maior número de downloads, que foram identificados como vulneráveis pela CERT em setembro, para garantir que os nomes de usuário e senhas não estavam mais visíveis em decorrência de uma verificação inadequada dos certificados SSL. Para nossa surpresa, mesmo com a notificação da CERT enviada aos desenvolvedores meses atrás, 18 desses 25 aplicativos que enviam credenciais através de conexões inseguras ainda estão vulneráveis aos ataques de interceptação. O aplicativo vulnerável com o maior número de downloads nesse grupo é um editor de fotos móvel, entre 100 milhões e 500 milhões de downloads. O aplicativo permite que seus usuários compartilhem fotos em diversas redes sociais e serviços de nuvem. No final de janeiro, o McAfee Labs testou a versão mais recente do aplicativo adquirido por download no Google Play usando o CERT Tapioca; conseguimos interceptar as credenciais de nome do usuário e senha do aplicativo inseridas para acessar o serviço de nuvem para compartilhar e publicar fotos: Exemplo de resultado da análise MITM feita pelo CERT Tapioca sobre um aplicativo móvel vulnerável. Observe o nome do usuário e a senha exibidos no final da imagem. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 9 Tópicos em destaque Nesse grupo, um aplicativo móvel sobre o clima apresenta os mesmos problemas que o aplicativo de edição de fotos, em que as credenciais vulneráveis à interceptação pertencem aos serviços Web dos desenvolvedores do aplicativo. Entretanto, no caso de um aplicativo de gerenciamento de arquivos muito popular para dispositivos móveis, as credenciais reveladas devido à validação inadequada ou à falta de validação do certificado digital pertencem a um serviço de nuvem de terceiros, o Microsoft OneDrive: Resultado do CERT Tapioca mostrando a divulgação das credenciais do Microsoft OneDrive por um aplicativo móvel vulnerável de gerenciamento de arquivos. Na verdade, as credenciais divulgadas pelo aplicativo de gerenciamento de arquivos para dispositivo móvel podem ser usadas para acessar não apenas o Microsoft OneDrive, mas praticamente qualquer serviço Microsoft, pois o atacante terá acesso à conta Microsoft da vítima. Por sorte, nem todas as notícias são ruins. No grupo de aplicativos móveis com mais de dez milhões de downloads, três aplicativos identificados como vulneráveis pela CERT, em agosto passado, foram corrigidos. Todos esses aplicativos apresentam um erro de rede quando o ataque de interceptação está implementado: Exemplos de aplicativos móveis que corrigiram suas vulnerabilidades SSL/TLS. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 10 Tópicos em destaque Embora os avisos não possam ser considerados como confirmações de que os ataques de interceptação estão em andamento, ao menos eles indicam ao usuário que algo está errado. Quanto ao restante dos aplicativos móveis vulneráveis com mais de dez milhões de downloads, conseguimos interceptar as credenciais usadas para roubar dados de identificação de duas redes sociais, para acessar o dashboard pai de um aplicativo e para controlar as playlists de vídeos de música de outro aplicativo. No grupo de aplicativos móveis vulneráveis com mais de cinco milhões de downloads, três corrigiram suas vulnerabilidades, mas outros cinco continuam vulneráveis. Dois desses aplicativos são casos bastante interessantes; mesmo quando os sites usam HTTPS, as credenciais são enviadas no URL — para que possam ser interceptadas com uma simples inspeção do tráfego de rede. Em um caso, tanto o nome do usuário quanto a senha estavam trafegando no URL. Esse aplicativo móvel transmite o nome do usuário e a senha criptografada no URL. Ferramentas de inspeção de pacotes e descobridores de senha permitem que os atacantes capturem credenciais. Embora a senha interceptada seja um hash criptográfico em vez de uma palavra-chave, é relativamente fácil obter a senha com ataques do tipo rainbow tables ou de força bruta, dado que a maioria das pessoas tem senhas fracas. No segundo caso peculiar, apenas o nome do usuário trafega no URL, mas ainda assim o McAfee Labs conseguiu interceptar a senha porque o aplicativo não valida corretamente o certificado digital do site. Exemplo de um aplicativo móvel que transmite o nome do usuário no URL e indevidamente valida o certificado digital, divulgando as credenciais para os ataques de interceptação. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 11 Tópicos em destaque Em alguns casos, os aplicativos móveis vulneráveis divulgam as credenciais para serviços populares de terceiros, como o Facebook, Instagram e Microsoft OneDrive. Não podemos esquecer de outro caso curioso, envolvendo um aplicativo móvel social que usa o recurso de login único do Facebook para fazer login e oferecer aos usuários uma nova interface para seus dados do Facebook. Entretanto, como podemos ver na próxima tela, o aplicativo ainda é vulnerável à validação inadequada do certificado digital; assim, conseguimos interceptar as credenciais do Facebook: As credenciais do Facebook são divulgadas por esse aplicativo móvel que valida indevidamente o certificado digital, permitindo ataques de interceptação. O mesmo problema ocorre com um aplicativo móvel de mensagens instantâneas: em vez das credenciais do Facebook, capturamos as credenciais do Instagram da vítima para o aplicativo e o serviço: Compartilhe este relatório Esse aplicativo móvel divulga as credenciais do Instagram porque ele valida indevidamente o certificado digital, permitindo ataques de interceptação. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 12 Tópicos em destaque No grupo dos aplicativos com cinco milhões de downloads temos o caso de um aplicativo móvel sobre esportes que oferece conteúdo gratuito, como manchetes, tabela de jogos, resultados e estatísticas. O aplicativo também permite que o usuário assista jogos ao vivo do campeonato regular mediante a compra de um pacote de ingressos para toda a temporada. Para acessar esse recurso, o usuário deve fazer login com um nome de usuário de serviço e senha, dados que conseguimos interceptar: Exemplo de um aplicativo móvel popular sobre esportes que divulga o nome do usuário e senha. No último grupo de aplicativos móveis vulneráveis, cada um tem mais de um milhão de downloads segundo o Google Play. O grupo tem sete aplicativos, dos quais apenas um provedor corrigiu o problema. O restante continuou vulnerável até o momento da redação deste artigo. Assim como outros aplicativos avaliados, esse grupo revela as credenciais de serviços de terceiros e redes sociais, como o Instagram e Microsoft, ou credenciais de seus próprios sistemas e serviços. Por fim, no caso deste aplicativo de relacionamento, se ele estiver sob ataque de interceptação, o usuário receberá a seguinte notificação: Esse aplicativo móvel vulnerável detecta redes inseguras, mas oferece ao usuário a opção de continuar navegando nela. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 13 Tópicos em destaque Entretanto, ainda há a opção “Confiar nesta rede”. Se o usuário selecionar essa opção, o ataque terá êxito: Se um usuário desse aplicativo móvel vulnerável selecionar “Confiar en esta rede”, as credenciais serão divulgadas para os ataques de interceptação. Observamos no Relatório do McAfee Labs sobre ameaças: novembro de 2014 que o código-fonte (tanto aberto quanto comercial) para malware móvel está em alta, e previmos que kits de geração de malware móvel logo estarão disponíveis no mercado negro da Web. Esses produtos prontos para usar facilitarão o surgimento de aspirantes a ladrões e, de fato, se tornarão multiplicadores do crime cibernético em dispositivos móveis. Some a nossa previsão sobre segurança móvel para 2015 à exposição contínua de aplicativos populares às vulnerabilidades SSL e teremos a fórmula perfeita para roubos expressivos por criminosos cibernéticos. Como lidar com o problema Todo o ecossistema sai ganhando — plataformas móveis, lojas de aplicativos, fornecedores de segurança e desenvolvedores de aplicativos — quando questões como essas levantadas pela CERT e pela Intel Security têm seu mal cortado pela raiz: o código de aplicativos vulneráveis. O panorama é menos positivo quando as correções são parciais, como no caso do aplicativo de relacionamento antes mencionado, que dá aos usuários a opção de confiar em uma rede e, com isso, expor seus dados de login. O que pode ser feito quando as correções ainda precisam ser lançadas? Como ocorre na maioria dos problemas de segurança, é possível tomar algumas providências e agir. Entretanto, às vezes ficamos à mercê de outras variáveis, como os desenvolvedores de aplicativos, as atualizações de aplicativos e as versões do sistema operacional. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 14 Tópicos em destaque Saiba como a Intel Security pode lhe ajudar a se proteger dessa ameaça. Vamos começar pelos aplicativos: nós costumamos recomendar que você faça download apenas de aplicativos conhecidos, com alta classificação e oriundos de fontes confiáveis (empresas ou mercados com boa reputação, como o Google Play), mas essa recomendação não se aplica neste caso. Todos os aplicativos que examinamos são bem conhecidos, com alta classificação e oferecidos por fontes confiáveis. Mesmo assim, esse conselho ainda é válido. Se você está em um ambiente corporativo, onde alguns aplicativos são fornecidos por uma “loja de aplicativos” interna, entre em contato com a sua equipe de TI para se certificar de que esses aplicativos estão sendo testados, a fim de verificar se não estão sujeitos a vulnerabilidades como aquelas discutidas neste tópico em destaque. O que os usuários podem fazer? Não se pode esperar que o usuário configure ferramentas de análise e examine o código para saber se está em risco, mas ele pode repensar a necessidade de ter esse aplicativo e se perguntar: Por que preciso fazer login? Quais são os benefícios ou qual é a finalidade desse aplicativo? As opções da “versão pro” realmente valem o possível comprometimento dos meus dados pessoais? Se o login do aplicativo é feito através de uma conta ativa de rede social, pondere se a comodidade de utilizá-la lhe sairá mais caro que o esperado. Você também pode ler a política de privacidade do aplicativo para entender o quê, porquê e como funciona o compartilhamento de dados. Em suma, PARE, PENSE E CONECTE-SE. O gerenciamento de senhas pode ser uma tarefa muito trabalhosa. No entanto, ao se certificar de que todo login para cada aplicativo é único, você reduz o risco, pois apenas as credenciais daquele aplicativo poderão ser acessadas por um ataque de interceptação. As credenciais exclusivas podem ser gerenciadas manualmente, embora existam aplicativos disponíveis para automatizar esse processo. Você pode se inscrever para receber atualizações da CERT ou da Intel Security para saber mais sobre esses e outros aplicativos vulneráveis, ou pesquisar informações na Web quando pensar em adquirir novos aplicativos. Se você leu alguma coisa suspeita sobre um aplicativo, procure outro que ofereça serviços parecidos. Em geral, sempre há mais de um aplicativo para cada necessidade! Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 15 Tópicos em destaque Após a ruína do Blacole: o kit de exploração Angler — Rajesh Nataraj KP Um kit de exploração é um pacote de software pronto para usar, com ataques de fácil implementação contra vulnerabilidades conhecidas e desconhecidas. Os criminosos cibernéticos usam kits de exploração para propagar malware. Esses kits de ferramentas exploram vulnerabilidades no lado do cliente e costumam atacar o navegador da Web e programas que podem ser acessados pelo próprio navegador. Os kits de exploração podem monitorar as estatísticas de infecção e controlar remota e clandestinamente as máquinas comprometidas. O poderoso kit de exploração Angler ficou famoso por ser fácil de adquirir e usar. A imposição da lei por vezes derrota os kits de exploração. O criador do famoso kit de exploração Blacole foi preso no final de 2013. No entanto, a comunidade de criadores de malware rapidamente passou a usar o kit de exploração Angler para entregar suas cargas. No segundo semestre de 2014, o Angler chamou a atenção do setor de segurança devido à sua predominância e ao surgimento de novos recursos, como infecção sem arquivos, detecção de máquinas virtuais e produtos de segurança, e sua capacidade de entregar uma vasta gama de cargas, incluindo cavalos de Troia bancários, rootkits, ransomware, CryptoLocker e cavalos de Troia backdoor. A comunidade de pesquisa sobre ameaças também descobriu que o Angler é o primeiro kit de exploração a transmitir ransomware ao explorar uma vulnerabilidade no Microsoft Silverlight. Por não exigir habilidades técnicas para utilizá-lo e por estar disponível em mercados “negros” on-line, o Angler se tornou um dos métodos mais populares para transportar malware. Os kits de exploração costumam buscar vulnerabilidades nos navegadores Internet Explorer, Firefox e Chrome. Eles também se aproveitam das brechas encontradas em programas, como o Adobe Flash Player, Adobe Reader e Java. O gráfico a seguir ilustra os kits de exploração predominantes em 2014. Kits de exploração predominantes em 2014 5% 1% Angler Sweet Orange 11% 26% Flashpack Magnitude 12% Rig 17% 13% Neutrino 15% Compartilhe este relatório Infinity Styx Fonte: McAfee Labs, 2015 Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 16 Tópicos em destaque Em seguida podemos observar o número de variantes de kits de exploração ao longo do último ano. Número de variantes de kits de exploração Variantes entre os kits de exploração em 2014 15 10 5 0 T1 T2 T3 T4 2014 Angler Sweet Orange Flashpack Magnitude Rig Infinity Neutrino Styx Fonte: McAfee Labs, 2015 Agora vamos voltar nossa atenção para o kit de exploração mais popular no momento — o Angler — e entender como ele funciona, quais são seus alvos, como ele se mantém oculto e como ele mudou. Angler, um kit ativo O Angler emprega uma variedade de técnicas de evasão para permanecer despercebido pelas máquinas virtuais, áreas restritas e software de segurança. O kit de exploração Angler é extremamente ativo, alterando com frequência padrões e cargas para se esconder de produtos de segurança. Ele oferece diversos recursos básicos: ■■ ■■ Usa dois níveis de redirecionadores antes de chegar à página de destino. Os servidores Web comprometidos que hospedam a página de destino só podem ser visitados uma vez a partir de cada IP. Os atacantes estão, evidentemente, monitorando os hosts. ■■ Detecta a presença de máquinas virtuais e produtos de segurança no sistema. ■■ Faz chamadas falsas para dificultar engenharia reversa. ■■ ■■ Criptografa todas as cargas no download e as descriptografa na máquina comprometida. Utiliza infecção sem arquivos (instala-se diretamente na memória). Quando uma vítima em potencial acessa um servidor Web comprometido através de um navegador vulnerável, o servidor redireciona a conexão para um servidor intermediário que, por sua vez, redireciona a conexão para o servidor malicioso que hospeda a página de destino do kit de exploração. A página verifica a presença de plug-ins (Java, ShockWave Flash e Silverlight) e os dados da versão. Quando um navegador ou versão de plug-in vulnerável é encontrado, o host entrega a carga e infecta a máquina. Compartilhe este relatório O esquema abaixo mostra a cadeia completa de infeção. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 17 Tópicos em destaque Cadeia de infecção do kit de exploração Angler Vítima 1 2 Navegador vulnerável 3 Redirecionador 1 Servidor comprometido que redireciona para um servidor malicioso 4 Redirecionador 2 Hospedado pelo Angler ou por um servidor comprometido Servidor que serve a página do kit de exploração Angler 5 NÃO 6 Sistema comprometido Servidor que entrega explorações e cargas maliciosas Verifica máquinas virtuais e produtos de segurança SIM Termina com erro de exceção no JavaScript Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 18 Tópicos em destaque Reconhecimento O kit de exploração Angler inspeciona a máquina-alvo para apresentar a página de destino e a carga corretas. ■■ ■■ Ele verifica o nome do navegador, sua versão e sistema operacional utilizando o agente usuário. Em seguida, ele identifica os plug-ins instalados do navegador vulnerável e suas respectivas versões. Assim que os componentes do navegador vulnerável são identificados, a página de destino do Angler executa o código malicioso para servir a exploração. O Angler vem com várias explorações e as serve de forma dinâmica, de acordo com o aplicativo vulnerável. Ele é capaz de explorar diversas vulnerabilidades do Internet Explorer: ■■ CVE-2013-2551: ataca a vulnerabilidade de corrupção de memória de objeto VML do navegador IE. ■■ CVE-2013-0074: vulnerabilidade de desreferenciamento duplo do Silverlight. ■■ CVE-2013-2465: ataca o ambiente de tempo de execução Java. ■■ CVE-2014-0515: ataca o Adobe Flash Player. Código do kit de exploração Angler mostrando as diferentes vulnerabilidades que ele é capaz de explorar. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 19 Tópicos em destaque Entrega Os servidores maliciosos ou comprometidos entregam explorações e cargas maliciosas às vítimas. Os criminosos cibernéticos que usam kits de exploração escolhem o método de entrega através de URLs defeituosos, conhecidos como campanhas. A variação nos padrões dos URLs ou campanhas indica que se originam de grupos cibernéticos criminosos diferentes. Dois tipos de campanhas Angler foram identificados e classificados de acordo com os domínios de servidor, indicando que vários grupos de criminosos cibernéticos usam amplamente o Angler. As duas campanhas são: ■■ ■■ Uma página de destino de um kit de exploração comum, sem nenhum padrão exclusivo. Uma página de destino em um formato de 32 x 32 caracteres hexadecimais. ––[Domínio.malicioso/[a-f0-9]{32}.php?q=[a-f0-9]{32}] Exploração Uma típica página de destino do kit de exploração Angler é muito ocultada para dificultar a engenharia reversa e desafiar os pesquisadores de ameaças. Ela também contém lixo no código para evitar sua detecção. A imagem abaixo mostra uma página de destino com o código de exploração. Página de destino do kit de exploração. O conteúdo criptografado é armazenado na marca html <p>, que define um parágrafo e também comporta atributos globais. O conteúdo criptografado é armazenado dentro de várias marcas <p> na página de destino. O script da página de destino usado para descriptografar o conteúdo dentro da marca <p> é codificado e compactado sem nenhum formato específico. Variáveis aleatórias, cadeias divididas e funções espúrias dificultam a detecção. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 20 Tópicos em destaque Uma página de destino ocultada. A lógica de decodificação da página de destino é muito simples. O conteúdo criptografado é substituído com base na cifra de substituição para obter o conteúdo descriptografado. comparar essas duas matrizes e gerar uma cifra. O método busca os caracteres especificados na matriz e retorna sua posição. Essas posições se tornam a cifra que muda o conteúdo criptografado a ser decodificado. No exemplo anterior, uma chave de 20 caracteres é dividida e armazenada em uma matriz. A chave dividida é classificada em ordem ascendente e armazenada em uma matriz à parte. Um script na página de destino usa o método IndexOf () para O conteúdo decodificado ainda contém diversas funções que usam algoritmos de substituição semelhantes para gerar URLs de exploração, parâmetros e informações de carga. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 21 Tópicos em destaque Verificação de proteções O Angler usa o protocolo RES:// ou o método de controle ActiveX do Microsoft XMLDOM para identificar os arquivos em um diretório de sistema. Ele também verifica a presença de produtos de segurança ou máquinas virtuais. Uma técnica à prova de máquinas virtuais impede que estas sejam infectadas e, com isso, evita ambientes de análise automatizada. O Angler busca diversos arquivos, incluindo: ■■ ■■ ■■ ■■ ■■ Um plug-in de teclado virtual para identificar o software Kaspersky. tmactmon.sys, tmevtmgr.sys, tmeext.sys, tmnciesc.sys, tmtdi.sys, tmcomm.sys e tmebc32.sys (Trend Micro). vm3dmp.sys, vmusbmouse.sys, vmmouse.sys e vmhgfs.sys (VMware). vboxguest.sys, vboxmouse.sys, vboxsf.sys e vboxvideo.sys (máquina virtual VirtualBox). prl_boot.sys, prl_fs.sys, prl_kmdd.sys, prl_memdev.sys, prl_mouf.sys, prl_pv32.sys, prl_sound.sys, prl_strg.sys, prl_tg.sys e prl_time.sys (virtualização do Parallels Desktop). Instalação de carga Após a exploração bem-sucedida, o método de infecção é escolhido de acordo com os aplicativos vulneráveis identificados no navegador. O Angler apresenta dois métodos de infecção: Uma vez que o Angler detecta vulnerabilidades, ele apresenta uma lista crescente de cargas maliciosas. Alguns tipos de malware podem ser instalados na memória, dificultando sua detecção. ■■ ■■ Infecção sem arquivos: o Angler emprega uma nova técnica em que ele injeta a carga diretamente na memória do programa explorado, criando um novo thread no aplicativo explorado. Com esse método, o Angler evita instalar o arquivo no disco, reduzindo as chances de ele ser detectado por um software de segurança. Essa carga poderá fazer download de outro malware. Download direto de cargas criptografadas: as cargas hospedadas no servidor malicioso são codificadas por criptografia XOR com uma chave de 8 bytes. Após a exploração bem-sucedida, é feito o download dessas cargas criptografadas para a máquina-alvo, onde são descriptografadas e executadas. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 22 Tópicos em destaque ■■ Andromeda ■■ Cryptowall ■■ Necurs ■■ Simda ■■ Vawtrak ■■ Zbot A variedade de cargas entregues por esse kit de exploração é indício de sua ampla utilização por diferentes comunidades de hackers. Cargas entregues pelo kit de exploração Angler em 2014 Número de variantes de cargas servidas Abaixo seguem as famílias de malware mais comuns distribuídas pelo Angler. Essas cargas serão discutidas em outro momento e não são o assunto deste tópico em destaque. 20 15 10 5 0 T1 T2 T3 T4 2014 Zbot Simda Vawtrak Ransomware Necurs Outras Fonte: McAfee Labs, 2015 Alterações no kit de exploração Angler em 2014 • Página de destino em um formato de 32 x 32 caracteres hexadecimais encontrada • Redirecionamento para o IP com base no Angler e para as informações do usuário • XOR entre o código shell e a carga • Conscientização sobre produto de segurança e VMware T1 2014 T2 2014 • Uso de explorações Silverlight CVE-2013-0074 • XOR de cargas • Explorações de navegador IE CVE-2013-2551 • Exploração Flash CVE-2013-5330 adicionada T3 2014 T4 2014 • Técnica de infecção sem arquivos Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 23 Tópicos em destaque Práticas seguras Saiba como a Intel Security pode lhe ajudar a se proteger dessa ameaça. Veja a seguir algumas maneiras de proteger sistemas contra o kit de exploração Angler: ■■ ■■ ■■ ■■ ■■ Use um provedor de serviços de Internet que seja responsável em relação à segurança e que implemente procedimentos fortes contra spam e phishing. Ative as atualizações automáticas do Windows ou faça download das atualizações da Microsoft regularmente para manter os seus sistemas operacionais protegidos contra vulnerabilidades conhecidas. Instale patches de outros fabricantes de software tão logo eles sejam distribuídos. Um computador com todas as correções instaladas e atrás de um firewall é a melhor defesa contra ataques de cavalos de Troia e spyware. Tenha atenção redobrada ao abrir anexos. Configure o seu software antivírus para examinar automaticamente todos os anexos de e-mail e de mensagens instantâneas. Certifique-se de que os programas de e-mail não abram anexos ou processem gráficos automaticamente e certifique-se de que o painel de visualização esteja desativado. Nunca abra e-mails não solicitados ou anexos inesperados — mesmo que venham de pessoas conhecidas. Cuidado com esquemas de phishing com base em spam. Não clique em links de e-mails ou de mensagens instantâneas. Use um plug-in de navegador para bloquear a execução de scripts e iframes. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 24 Tópicos em destaque Cinquenta tons de cinza: o mundo desafiador dos programas potencialmente indesejados — Arun Pradeep A definição para os programas potencialmente indesejados (PUPs) fica entre uma espécie de incômodo e um malware malicioso. Eles costumam ser difíceis de detectar e classificar. Nós partimos do pressuposto de que todo malware é ruim e deve ser incluído na lista negra. No entanto, a classe de malware chamada de programas potencialmente indesejados (PUPs) é, muitas vezes, difícil de categorizar e combater, fora que nem sempre os PUPs são nocivos. Em geral, consideramos como PUPs qualquer adware, spyware e outros tipos de aplicativos não destrutivos. Os PUPs ficam no meio termo, em uma zona intermediária de classificação, pois costumam oferecer tanto benefícios quanto riscos ao usuário. Seus desenvolvedores, por vezes, têm justificativas plausíveis, porém, seu comportamento varia consideravelmente, indo do nível relativamente benigno ao extremamente malicioso. O McAfee Labs analisa cuidadosamente os PUPs para determinar suas funções e ajudar os clientes a removê-los. Qualquer aplicativo que um usuário ache útil, mas que lhe apresente um risco subjacente tangível, poderá ser considerado um PUP. Em geral, os aplicativos não avisam aos usuários sobre seus riscos. Diferentemente dos cavalos de Troia, vírus, rootkits e outros tipos de malware, os PUPs não costumam roubar dados de identificação, dados bancários ou alterar arquivos de sistema. Um aplicativo poderá ser considerado um PUP caso se comporte das seguintes maneiras: ■■ ■■ ■■ Altere as configurações do sistema sem autorização, como a configuração do navegador. Oculte um programa indesejado dentro de um aplicativo legítimo. Colete clandestinamente as informações do usuário, hábitos de navegação e configurações do sistema. ■■ Oculte a instalação de um aplicativo. ■■ Dificulte a remoção. ■■ Seja distribuído por meio de anúncios confusos e enganosos. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 25 Tópicos em destaque De acordo com o comportamento, podemos classificar os PUPs nas subcategorias abaixo: ■■ ■■ ■■ ■■ ■■ ■■ Adware: exibe anúncios principalmente através de navegadores. ■■ Descobridor/revelador de senhas: exibe a senha oculta de um aplicativo. ■■ Ferramenta de administração remota (RAT): monitora as atividades do usuário na máquina na qual está instalado ou permite que o sistema seja controlado remotamente, sem conhecimento ou consentimento do usuário. Keygen (gerador de chaves): gera chaves de produto de aplicativos legítimos. Sequestrador de navegador: altera a página inicial, a página de pesquisa, configurações do navegador, etc. Ferramentas de hacker: aplicativos independentes que podem facilitar intrusões no sistema ou a perda de dados críticos. Proxy: redireciona ou oculta informações relacionadas a IP. Ferramentas de rastreamento: aplicativos de spyware ou keylogging que coletam pressionamentos de teclas do usuário, registram comunicações pessoais, monitoram as atividades on-line do usuário ou capturam telas sem o conhecimento do usuário. Seguem abaixo as principais diferenças entre os PUPs e outros tipos de malware, como cavalos de Troia, ransomware, bots e vírus: Outros tipos de malware: cavalos de Troia, vírus, bots, etc. Técnicas Programas potencialmente indesejados Método de instalação Procedimento padrão de instalação de aplicativos, às vezes com EULA. Frequentemente exigem interação e anuência do usuário para serem completamente instalados em um sistema. Instalados como um programa independente, sem qualquer interação com o usuário. Operam principalmente como um arquivo independente. Apresentação Agregados a aplicativos “limpos” e instalados de forma oculta juntamente com estes. Arquivos independentes com alguns componentes adicionais. Não acondicionados como instaladores. Desinstalação Às vezes o pacote contém um desinstalador que permite a remoção. Frequentemente o processo de desinstalação é difícil. Executáveis tornam mais complexa a remoção do malware devido a interceptações de outros processos, de identificadores de processos e outras ligações complexas. Como não são pacotes de instalador, não aparecem no Painel de controle. Comportamento Exibem anúncios, pop-ups e pop-unders indesejados Modificam configurações do navegador, coletam dados do sistema e do usuário ou permitem que o sistema seja controlado remotamente, sem conhecimento ou consentimento do usuário. Roubam informações bancárias e de identificação pessoal, modificam arquivos do sistema, inviabilizam o uso do sistema, exigem resgate, etc. Ocultação Seu comportamento normalmente não é oculto. Podem ocultar arquivos, pastas, entradas do Registro e tráfego de rede. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 26 Tópicos em destaque Propagação Para transmitir malware, os criminosos cibernéticos contam com técnicas, como as campanhas de phishing de e-mail, sequestro de otimização de mecanismos de pesquisa, servidores Web vulneráveis ou bots. Por outro lado, os PUPs costumam ser disseminados ao abusarem da confiança de usuários inocentes, conforme explicado no Relatório do McAfee Labs sobre ameaças: novembro de 2014. As técnicas de distribuição de PUPs mais comuns são: ■■ Anexação clandestina a um aplicativo legítimo. ■■ Engenharia social. ■■ Venda de “curtidas” do Facebook. ■■ Postagem de mensagens fraudulentas no Facebook. ■■ Sequestro do Google AdSense. ■■ Extensões e plug-ins de navegador indesejados. ■■ Instalação forçada, juntamente com aplicativos legítimos. Dificuldade de controle Apesar de os PUPs não realizarem manobras evasivas complexas, como compactação personalizada, criptografia, detecção de máquina virtual e outros comportamentos indetectáveis típicos de cavalos de Troia e vírus, eles conseguem evitar ser detectados por diversos produtos de segurança. Mas se os PUPs não são complexos, o que os faz tão difíceis de controlar? As técnicas de disseminação aparentemente inocentes adaptadas por autores de PUP permitem que eles ultrapassem várias barreiras de segurança — sistemas de prevenção de intrusões de rede, firewall e antimalware — e alcancem seus alvos, mesmo dentro das empresas. Os PUPs não precisam ser indetectáveis para contornar as verificações de segurança, pois vêm agregados a aplicativos legítimos e, muitas vezes, são instalados com o consentimento de um usuário incauto. Algumas vezes esses aplicativos são assinados digitalmente para se infiltrar nos sistemas. É fácil para os pesquisadores de ameaças fazer a engenharia reversa dos arquivos para detectar se são cavalos de Troia, vírus ou bots, pois eles apresentam um comportamento malicioso quando analisados de forma dinâmica ou estática, ou quando são submetidos à engenharia reversa. No entanto, os PUPS não apresentam tais características. Eles se comportam de forma parecida com os programas legítimos, sendo assim chamados de “arquivos cinza” pela comunidade de segurança. O comportamento do programa cinza desafia os pesquisadores a classificá-los como PUPs ou arquivos limpos. Por muitos anos, os PUPs foram considerados ameaças não críticas, não preocupando muito os fornecedores de segurança. Hoje os PUPs aperfeiçoaram seu comportamento de forma significativa. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 27 Tópicos em destaque Adware abusivo Entre todas as categorias de PUPs, o adware é a que mais chamou a atenção dos fornecedores de segurança — não devido aos anúncios incômodos, mas à forma como o adware abusa da confiança. Os PUPs, especialmente adware, tornaram-se mais agressivos, invasivos e difíceis de erradicar. O adware tornou-se mais inteligente com a implementação de várias técnicas para assegurar sua presença contínua nos sistemas infectados. Eis alguns dos métodos: ■■ ■■ Processo independente executado em memória. Arquivos DLL COM (Component Object Model) e não COM com funções criadas especificamente para o aplicativo. ■■ Chaves do Registro correspondentes a objetos auxiliares do navegador. ■■ DLLs que interceptam processos do sistema. ■■ Extensões e plug-ins de navegador. ■■ Serviços de sistema registrados. ■■ Componentes de drivers de dispositivos desempenhando funções de controle de dispositivos. ■■ Drivers de filtro de baixo nível. ■■ Cavalos de Troia entregues como carga. As partes vermelhas no esquema abaixo ilustram os diversos vetores-alvo dos PUPs em várias camadas do Microsoft Windows. MODO DE USUÁRIO Pontos de carga de adware no Microsoft Windows Arquivo em disco Extensões de navegador Plug-ins multiplataforma Serviços do sistema MODO KERNEL NTDLL.DLL Drivers de dispositivo Threads Memória virtual KERNEL Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 28 Tópicos em destaque Tendências dos PUPs Escalonamento de PUPs corporativos O McAfee Labs previu para o terceiro trimestre um alto volume de escalonamentos de PUPs que utilizam técnicas de adware. Os aplicativos predominantes eram o OutBrowse, SearchSuite, SearchProtect e BrowseFox. 700 600 500 400 300 200 100 0 T1 T2 T3 T4 2014 Fonte: McAfee Labs, 2015 Escalonamento de PUPs corporativos enviados para o McAfee Labs em 2014. PUPs predominantes no Microsoft Windows Janeiro SafeSurf Garimpador de Bitcoins Amonetize Março HideWindow BetterInstaller Bprotect Maio OutBrowse MultiDropper Crossrider AddLyrics NewNext T1 2014 Fevereiro SafeSurf OpenCandy Bprotect BetterSurf NewNext Julho BrowseFox SearchProtect SearchSuite DealPly CoinMiner OneInstaller T2 2014 Abril OutBrowse MultiDropper Bprotect Crossrider AddLyrics Setembro BrowseFox SearchSuite Crossrider Amonetize OpenCandy ShopperPro T3 2014 Junho BrowseFox PriceMeter SearchSuite Bprotect OneInstaller AddLyrics Agosto BrowseFox SearchSuite Crossrider Amonetize AddLyrics Novembro BrowseFox SearchSuite Crossrider DealPly AddLyrics T4 2014 Outubro BrowseFox SearchSuite Crossrider WebProtect iBryte RocketTab DealPly AddLyrics Dezembro BrowseFox SearchSuite Crossrider Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 29 Tópicos em destaque Adware predominante As famílias de adware mais predominantes em 2014 foram: ■■ Adware-BrowseFox ■■ Adware-SearchSuite ■■ Adware-SearchProtect ■■ Adware-iBryte ■■ PUPs que usam o framework Crossrider O BrowseFox executa dois serviços no sistema infectado e ambos se conectam a servidores remotos usando portas TCP e UDP. Ao contrário das conexões UDP, as conexões TCP garantem a entrega do pacote, certificando-se de que os dados enviados do servidor remoto invariavelmente alcancem a máquina da vítima. Esses serviços de sistema do adware garantem que o programa seja executado continuamente em máquinas infectadas mesmo após uma reinicialização. O adware SearchSuite, analisado pelo McAfee Labs em 2014, apresentou um significativo comportamento agressivo. Além de um pacote completo de instalação, componentes de navegador e serviços de sistema, o SearchSuite pode controlar os drivers do dispositivo através das APIs de controle de dispositivo do Windows. Esse comportamento peculiar desafia os métodos de detecção utilizados nos produtos de segurança. Esses componentes se aprofundam no modo kernel e criam drivers de filtro de baixo nível, que geralmente são usados pelos aplicativos para interagir com os dispositivos de hardware. O framework Crossrider ajuda os desenvolvedores a criar plug-ins para navegadores multiplataforma. Agora, alguns tipos de adware manipulam esse framework, utilizando a API Crossrider para enviar clandestinamente anúncios para as máquinas-alvo. Esse é outro truque dos autores de adware para evitar a detecção por parte dos produtos de segurança de endpoint. A Apple é o novo alvo dos PUPs Embora os cavalos de Troia ainda tenham dificuldade em infectar os sistemas da Apple, as variantes das famílias de PUPs, como Bundlore, Aobo Keylogger, Ginieo e SearchProtect já conseguiram infectar o Mac. Mais de 70% de todo o malware encontrado em Macs são programas potencialmente indesejados (PUPs). O adware foi descoberto pela primeira vez em Macs em 2012; hoje, muitas famílias de PUPs são encontradas em Macs. Da mesma forma que se comportam no Windows, os PUPs que visam infectar os Macs vêm agregados com aplicativos limpos, como conversores de vídeo, downloaders do YouTube e muitos outros aplicativos legítimos. Uma vez instalado no Mac da vítima, o adware clandestinamente monitora os hábitos de navegação do usuário e exibe anúncios com base nessas atividades. PUPs predominantes em Apple Macs Setembro Vsearch Yontoo Aobo KeyLogger “Crack” XForce para Adobe T3 2014 Outubro FkCodec Crossrider Genieo Bundlore Zako Ventir Novembro NetWeird OpinionSpy SearchProtect Puper Rlogger CoinMiner Dezembro Genieo Spigot Backtrack Refog Yontoo CoinMiner T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 30 Tópicos em destaque Vamos observar um dia na vida dos PUPs. O mapa a seguir mostra os relatórios reunidos pela telemetria de campo feita pelo McAfee Labs em um período de 24 horas: Fontes de PUPs em uma amostra de 24 horas. Ocorrências de PUPs x outros tipos predominantes de malware em 24 horas ■■ ■■ PUPs 6% Outro malware ■■ ■■ Mais de 300.000 IPs exclusivos tinham alguns componentes de adware em execução no host. Os PUPs foram disseminados por 170 países, apresentando maior impacto nos Estados Unidos. 1,5 milhão de nós exclusivos apresentaram infeções por PUP. 373.000 hashes exclusivos com alguns componentes de PUPs foram encontrados em máquinas de clientes. Das 50 principais famílias de malware monitoradas nesse período, os PUPs foram predominantes, com 94% do total de ocorrências. 94% Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 31 Tópicos em destaque Em um período típico de 24 horas, a McAfee detecta PUPs em mais de 91 milhões de sistemas. Família de PUPs Adware-BrowseFox Número de detecções relatadas em 24 horas 86.683.015 Adware-BProtect 2.063.861 Adware-SearchSuite 1.133.810 PUP-MultiPlug 314.634 PUP-SoftPulse 209.813 Adware-iBryte 73.381 PUP-Crossrider 41.547 PUP-ShopperPro 33.382 Outras detecções de PUPs 1.102.919 O McAfee Labs observou mais de nove bilhões de amostras de PUP em 2014. Ganhar dinheiro através dos rankings do Google Enquanto os otimizadores de mecanismos de pesquisa tentam melhorar o ranking de sites para ganhar mais dinheiro no Google AdSense, os autores de PUPs usam o adware para atingir rankings maiores através de atalhos. Depois de incorporar o adware nas máquinas das vítimas, servidores remotos são conectados clandestinamente, por meio de anúncios sequestrados, para aumentar as ocorrências de visitantes, elevando, assim, o ranking do site. Os anúncios entregues às máquinas comprometidas são adaptados ao interesse das vítimas para aumentar a possibilidade de cliques. Os rankings mais altos fazem com que os sites despontem em melhores posições nos resultados de pesquisa do Google, aumentando assim a receita com base em anúncios. Quando um aplicativo de adware se espalha para milhares de máquinas de vítimas, esses atributos de sequestro de anúncios e redirecionamento de clique funcionam como um serviço, transformando o próprio adware em um meio de propagação. Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 32 Tópicos em destaque Contenção de PUPs através de políticas agressivas Saiba como a Intel Security pode lhe ajudar a se proteger dessa ameaça. Para classificar os PUPs de forma sistemática, o McAfee Labs criou uma política de PUPs que é atualizada conforme os autores de malware mudam de tática. Devido à característica “acinzentada” de alguns arquivos de PUPs e à dificuldade em classificá-los, muitos fornecedores de segurança criaram políticas de PUPs para que os pesquisadores de ameaças possam classificar os PUPs de forma mais sistemática. Uma política de PUPs é um documento que define as regras para avaliar, classificar e adicionar detecção de PUPs. O McAfee Labs revê periodicamente sua política de PUPs para combater as mudanças adotadas por desenvolvedores de PUPs. Nossa política mais recente inclui os critérios abaixo para ajudar a orientar os pesquisadores de ameaças do McAfee Labs em suas tentativas de determinar quais arquivos são PUPs. ■■ O valor que a tecnologia oferece ao usuário. ■■ O risco apresentado pela tecnologia ao usuário. ■■ O contexto da tecnologia ou componente. ■■ A fonte ou distribuição da tecnologia. ■■ A predominância de qualquer uso indevido comparado ao uso legítimo da tecnologia. Em seguida, os pesquisadores de ameaças do McAfee Labs examinam os seguintes aspectos: ■■ Até que ponto o usuário é notificado dos riscos do software. ■■ Até que ponto o usuário aceita o comportamento do software. ■■ O grau de controle que o usuário detém sobre a instalação, operação e remoção do software. No McAfee Labs, nós examinamos cada arquivo componente de um possível PUP para caçar seu principal instalador. Nós replicamos a instalação internamente, permitindo que o instalador faça download do pacote completo. Nós analisamos minuciosamente esses downloads e empregamos nossa política de PUPs mais recente para determinar se um aplicativo é um PUP ou um aplicativo legítimo. Uma vez que um aplicativo é classificado como um PUP, os usuários podem então configurar seus produtos de proteção de endpoint para permitir ou bloquear o PUP. As orientações sobre configuração de endpoint para PUPs podem ser encontradas aqui. Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 33 Estatísticas sobre ameaças Malware móvel Malware Ameaças via Web Compartilhe sua opinião Mensagens e ameaças de rede Estatísticas sobre ameaças Malware móvel Malware móvel novo 900.000 800.000 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 T1 T2 T3 T4 T1 2013 T3 T2 T4 2014 Fonte: McAfee Labs, 2015 Total de malware móvel 7.000.000 A coleção de malware móvel do McAfee Labs continuou a crescer de forma estável quando ultrapassou seis milhões de amostras no quarto trimestre, um aumento de 14% em relação ao terceiro trimestre. 6.000.000 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 T1 T2 T3 2013 T4 T1 T2 T3 T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 35 Estatísticas sobre ameaças Taxa global de infecção por malware móvel 30% A taxa de infecção do malware móvel varia de forma significativa ao longo do tempo, mas o fato não deixa de ser bastante surpreendente, com pelo menos 8% de todos os sistemas relatando uma infecção desde o quarto trimestre de 2013. A maior parte do aumento e queda subsequente desde o quarto trimestre de 2013 se deve à detecção de uma única rede de anúncios — a AirPush — que é considerada um PUP, assim como muitas outras redes de anúncio. 25% 20% 15% 10% 5% 0 T4 2013 T1 T2 T4 T3 2014 Fonte: McAfee Labs, 2015 Taxas regionais de infecção por malware móvel no 4º trimestre de 2014 Para este relatório sobre ameaças, analisamos os dados que chegaram a nós por meio de dispositivos móveis executando produtos de segurança móvel da McAfee. As informações vêm de milhões de dispositivos móveis em todo o mundo. Uma taxa de infecção é a porcentagem de tempo que o McAfee Labs detectou algum tipo de malware nos dispositivos móveis informados. O malware inclui vírus, cavalos de Troia e PUPs. 12% 10% 8% 6% 4% 2% 0 África Ásia Austrália Europa América do Norte América do Sul Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 36 Estatísticas sobre ameaças Malware Novos itens de malware 60.000.000 Existem 387 novas ameaças a cada minuto ou mais de seis por segundo. 50.000.000 40.000.000 30.000.000 20.000.000 10.000.000 0 T1 T2 T3 T4 T1 T2 2013 T3 T4 2014 Fonte: McAfee Labs, 2015 Total de malware 400.000.000 O total de malware no zoológico do McAfee Labs aumentou 17% do terceiro trimestre para o quarto trimestre. Nesse ritmo, o zoológico terá mais de meio bilhão de amostras no terceiro trimestre de 2015. 350.000.000 300.000.000 250.000.000 200.000.000 150.000.000 100.000.000 50.000.000 0 T1 T2 T3 2013 T4 T1 T2 T3 T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 37 Estatísticas sobre ameaças Novo ransomware 400.000 Começando no terceiro trimestre, o número de novas amostras de ransomware voltou a crescer após um declínio de quatro trimestres. No quarto trimestre, o número de novas amostras saltou em 155%. Hoje contabilizamos mais de dois milhões de amostras de ransomware. 350.000 300.000 250.000 200.000 150.000 100.000 50.000 0 T1 T2 T3 T4 T1 T2 2013 T3 T4 2014 Fonte: McAfee Labs, 2015 Total de ransomware 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 T1 T2 T3 2013 T4 T1 T2 T3 T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 38 Estatísticas sobre ameaças Malware de rootkit novo 120.000 100.000 80.000 60.000 40.000 20.000 0 T1 T2 T3 T4 T1 T2 2013 T3 T4 2014 Fonte: McAfee Labs, 2015 Total de malware de rootkit 1.600.000 1.400.000 1.200.000 1.000.000 800.000 600.000 400.000 200.000 0 T1 T2 T3 2013 T4 T1 T2 T3 T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 39 Estatísticas sobre ameaças Novos binários assinados maliciosos 3.000.000 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 T1 T2 T3 T4 T1 2013 T3 T2 T4 2014 Fonte: McAfee Labs, 2015 Total de binários assinados maliciosos 18.000.000 Após uma breve queda nos novos binários assinados maliciosos, o ritmo do crescimento foi retomado com um aumento de 17% no total de binários assinados maliciosos no quarto trimestre. 16.000.000 14.000.000 12.000.000 10.000.000 8.000.000 6.000.000 4.000.000 2.000.000 0 T1 T2 T3 2013 T4 T1 T2 T3 T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 40 Estatísticas sobre ameaças Ameaças via Web Novos URLs suspeitos 35.000.000 O número de novos URLs suspeitos disparou no terceiro trimestre devido à duplicação do número de novos URLs curtos, que costumam ocultar sites maliciosos, e ao crescimento significativo dos URLs de phishing. No quarto trimestre, os novos URLs suspeitos retomaram seu ritmo habitual. 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0 T1 T2 T3 T4 T1 T2 2013 URLs T3 Domínios associados Fonte: McAfee Labs, 2015 Localização dos servidores que hospedam conteúdo suspeito 3% 1% <1% 15% 46% América do Norte Europa e Oriente Médio 35% T4 2014 Ásia-Pacífico América Latina Austrália África Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 41 Estatísticas sobre ameaças Novos URLs de phishing 3.000.000 O imenso salto experimentado no terceiro trimestre com os novos URLS de phishing pode ser atribuído principalmente a uma campanha de phishing e spam de pílulas russas que criou um subdomínio separado para cada destinatário. A campanha não foi renovada no quarto trimestre. 2.500.000 2.000.000 1.500.000 1.000.000 500.000 0 T1 T2 T3 T4 2013 URLs T1 T2 T3 Domínios associados Fonte: McAfee Labs, 2015 Principais países que hospedam domínios de phishing Estados Unidos Alemanha Reino Unido 27% França 49% Brasil Holanda 2% 2% 2% Rússia Canadá 3% Outros 3% 4% 8% T4 2014 Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 42 Estatísticas sobre ameaças URLs de spam novos 700.000 600.000 500.000 400.000 300.000 200.000 100.000 0 T1 T2 T3 T4 2013 URLs T1 T2 T3 T4 2014 Domínios associados Fonte: McAfee Labs, 2015 Principais países que hospedam domínios de spam Estados Unidos China 18% 2% Alemanha 2% Hong Kong 3% 52% 3% Japão 4% 4% Rússia 12% Holanda Reino Unido Outros Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 43 Estatísticas sobre ameaças Mensagens e ameaças de rede Volume global de spam e e-mail O aumento abrupto começado no terceiro trimestre dos e-mails legítimos é resultado da melhora do modo de coleta de dados. Os números do terceiro e quarto trimestres não são diretamente comparáveis aos trimestres anteriores, mas, no futuro, teremos uma medida histórica mais precisa do volume de mensagens. (trilhões de mensagens) 12 10 8 6 4 2 0 T1 T2 T3 T4 T1 T2 2013 Spam T3 T4 2014 E-mail legítimo Fonte: McAfee Labs, 2015 E-mails de spam das 20 maiores redes de bots (milhões de mensagens) O quarto trimestre experimentou uma queda brusca no volume de spam de remetentes de redes de bots conhecidos. A rede de bots Kelihos, apesar de extremamente ativa durante 2013–14, tornou-se esporádica em seu comportamento de envio no final do ano passado. No todo, a tendência durante o quarto trimestre foi de um declínio no número de spam farmacêutico e spam “fique-ricorápido”, e de um aumento na distribuição de cargas maliciosas por spam de redes de bots ainda não identificadas. 1.500 1.000 500 0 T1 T2 T3 T4 T1 T2 2013 Compartilhe este relatório T3 T4 2014 Kelihos Slenfbot Snowshoe Gamut Darkmailer Festi Cutwail Asprox Darkmailer 2 Outras Fonte: McAfee Labs, 2015 Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 44 Estatísticas sobre ameaças Principais ataques de rede 1% Os navegadores, negação de serviço e força bruta continuam sendo os três principais ataques de rede no quarto trimestre, apesar do ataque de negação de serviço (DoS) ter caído quase a metade desde o terceiro trimestre. O SSL aumentou 4% e o Shellshock agora aparece no nosso gráfico de ameaças, em quinto lugar, devido à popularidade contínua dos ataques Heartbleed e Shellshock. 2% 1% Navegador Negação de serviço 6% 5% 26% 6% Força bruta SSL Shellshock 12% Varredura 22% 18% Chamada de procedimento remoto Estouro de buffer Backdoor Outros Fonte: McAfee Labs, 2015 Compartilhe este relatório Relatório do McAfee Labs sobre ameaças, fevereiro de 2015 | 45 Sobre a Intel Security Comentários. Para ajudar a orientar nosso trabalho futuro, estamos interessados na sua opinião. Se você quiser compartilhar suas opiniões, clique aqui para participar de uma rápida pesquisa de cinco minutos sobre o Relatório de ameaças. Siga o McAfee Labs McAfee. Part of Intel Security. Av. das Nações Unidas, 8.501 - 16° andar CEP 05425-070 - São Paulo - SP - Brasil Telefone: +55 (11) 3711-8200 Fax: +55 (11) 3711-8286 www.intelsecurity.com A McAfee agora é parte da Intel Security. Com sua estratégia Security Connected, sua abordagem inovadora para a segurança aprimorada por hardware e o exclusivo Global Threat Intelligence, a Intel Security está sempre empenhada em desenvolver soluções de segurança proativas e comprovadas e serviços para a proteção de sistemas, redes e dispositivos móveis para uso pessoal ou corporativo no mundo todo. A Intel Security combina a experiência e o conhecimento da McAfee com a inovação e o desempenho comprovado da Intel para tornar a segurança um elemento essencial em toda arquitetura e plataforma de computação. A missão da Intel Security é oferecer a todos a confiança para viver e trabalhar de forma segura no mundo digital. www.intelsecurity.com As informações deste documento são fornecidas somente para fins educacionais e para conveniência dos clientes da McAfee. As informações aqui contidas estão sujeitas a alterações sem aviso prévio, sendo fornecidas “no estado”, sem garantia de qualquer espécie quanto à exatidão e aplicabilidade das informações a qualquer circunstância ou situação específica. Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições de produtos aqui contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem garantia de qualquer espécie, expressa ou implícita. Copyright © 2015 McAfee, Inc. 61755rpt_qtr-q4_0215
Documentos relacionados
Como se proteger contra programas potencialmente
Inteligência através da correlação de vetores: coleta e correlaciona dados de todos os principais vetores de ameaças, incluindo arquivos, Web, e-mail e rede, para detectar ameaças mistas, como rede...
Leia maisFaça da data sheet
conteúdo da Web e o contexto em que ele opera, o McAfee SaaS Web Protection pode prever intenções maliciosas usando o McAfee Gateway Anti-Malware Engine, bloqueando ameaças que outras soluções de s...
Leia mais