TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Estudo da Trend Micro identifica que 66% dos software disponíveis no mercado são maliciosos

Postado em: 20/04/2018, às 18:39 por Redação

Por meio de um sistema de machine learning, a Trend Micro identificou grande número de softwares maliciosos assinados por autoridades certificadas que conseguiram desviar-se de mecanismos de validação.

Foram vistos mais softwares maliciosos assinados do que aplicativos legítimos ou benignos (66% versus 30,7%). Isto também acontece para malwares disponibilizados por meio de link direto, tais como navegadores (81% versus 32,1%).

O estudo analisou 3 milhões de softwares baixados, incluindo centenas de milhares de máquinas conectadas à Internet. A partir deste mapeamento, a Trend Micro avaliou quais os riscos que o uso indevido de code signing representa para as empresas.

Na pesquisa intitulada Exploring the Long Tail of (Malicious) Software Download, a empresa verifica como os autores de malware produzem assinaturas digitais que espalham códigos infectados por vírus.

O code signing é uma assinatura criptográfica do software que permite a sistemas operacionais (como o Windows) uma maneira precisa e eficiente de diferenciar um aplicativo legítimo (como um software de instalação do Microsoft Office) de um software malicioso. Todos os sistemas operacionais e navegadores modernos verificam automaticamente as assinaturas por meio do conceito de uma cadeia de certificados.

Certificados válidos são emitidos ou assinados por centrais autorizadas, que tem o backup garantido por outras centrais. No entanto, este mecanismo é baseado inteiramente e estritamente no conceito de confiança. Teoricamente, "autoridades não confiáveis" não têm acesso aos certificados válidos. A análise da Trend Micro provou o contrário.

Softwares benignos, desconhecidos e maliciosos

A distribuição sugere uma tendência entre os operadores de malware: investir mais esforços na assinatura do malware que é executado primeiro em uma máquina alvo (como os droppers e adware) ao invés de tipos mais agressivos de malware, que podem dominar um ambiente já comprometido. Isto faz sentido a partir de um ponto de vista comercial, já que o acesso para validar o code signing é caro e isso desafia os cibercriminosos a usarem seu orçamento de forma estratégica.

Submundo

Nos últimos anos, casos notórios de uso malicioso do code signing têm sido relatados em larga escala. Em 2010, o StuxNet recebeu grande atenção da mídia quando foi descoberto utilizando uma assinatura digital roubada da Realtek Semiconductor Corp. para atacar o controle de supervisão WinCC e sistemas de aquisição de dados (SCADA).

Problemas na validação das solicitações de certificado

Um problema geral observado pela Trend Micro é que as Centrais Autorizadas – em diferentes extensões – falham em validar adequadamente as solicitações de certificados que recebem.

Enquanto uma infraestrutura de chave pública (PKI) oferece três categorias de certificados, com duas delas (categorias 2 e 3) exigindo um extenso processo de verificação da organização ou empresa real solicitando o certificado, A Trend Micro encontrou certificados emitidos para organizações que foram facilmente ligadas ao cibercrime, como a distribuição de malware.

Durante a investigação, foi constatado que algumas das principais centrais envolvidas neste fenômeno são a Comodo e a Certum. Entre os milhares de binários que foram assinados com certificados emitidos por estas CAs, aproximadamente 14% (Comodo) e 12% (Certum) dos binários eram maliciosos. Estes valores alcançaram picos de 36% nos períodos de extensas campanhas de malware.

Origens dos certificados fraudulentos

As duas causas mais comuns dos certificados fraudulentos são as seguintes:

  • Certificados roubados: Certificados são roubados de uma organização legítima onde ocorreu um comprometimento de sistema a partir de uma infecção de malware;
  • Certificados falsificados: As CAs emitem certificados para cibercriminosos que simulam uma organização legítima. As técnicas de engenharia social são comumente utilizadas pelo criminoso.

Empresas que distribuem software indesejado/malicioso assinado

Também existem empresas que têm produtos legítimos, mas uma verificação mais cuidadosa, revelou alguns outros aspectos sobre elas. Até certo ponto, elas produzem e comercializam softwares legais, tais como barras de ferramentas, downloaders e arquivadores, mas também foi descoberto que essas empresas incorporam PUPs (Programas potencialmente indesejados) em suas versões "Gratuitas". Seus softwares são assinados digitalmente com certificados emitidos por CAs adequadas.

Certificados fraudulentos vendidos na Deep Web

A Trend Micro descobriu propagandas no mercado ilegal, tal como anúncios em fóruns e lojas na deep web, que vendem certificados falsificados.

As propagandas no mercado ilegal mostram que os cibercriminosos sabem o quanto é útil o mecanismo de code signing nas campanhas de malware.

O code signing é uma técnica muito eficiente na defesa contra malwares, mas como revelou a pesquisa da Trend Micro, não é infalível e pode ser utilizado para fins ilícitos. Usuários e empresas devem avaliar cuidadosamente qualquer software instalado em seu sistema, além das precauções padrões, como atualização dos sistemas operacionais e implementação de soluções de cibersegurança.

Ainda assim, vários arquivos de software originados por sites impopulares ainda estão sem rótulo e permanecem como ameaças desconhecidas ou indefinidas.

Tags: , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top