Muitas vezes, o cenário de ameaças cibernéticas combina algo antigo, novo, erros e algo pessoal. O terceiro trimestre apresenta exemplos de ameaças antigas remodeladas com engenharia social, novos malwares sem arquivo substituindo os rootkits, erros de programação de aplicativos móveis e a exploração do elo mais fraco de qualquer ecossistema: o usuário.
O lançamento do Relatório do McAfee Labs sobre Ameaças: novembro de 2015, da Intel Security, complementa a avaliação trimestral de ameaças cibernéticas com novos desdobramentos.
Segundo Vincent Weafer, vice-presidente do McAfee Labs da Intel Security, no mínimo, o terceiro trimestre de 2015 lembrou que, embora devamos sempre inovar para permanecer um passo à frente em termos de tecnologia de ameaças, nunca devemos negligenciar as soluções de bom senso, como as práticas recomendadas de programação segura de aplicativos e a educação dos usuários para combater as táticas sempre presentes, como o spearphishing.
Práticas de programação de retaguarda de aplicativos móveis
Uma análise de aproximadamente 300 mil aplicativos móveis em dois meses levou a McAfee Labs a descobrir dois Cavalos de Tróia para serviços bancários por celular, os quais tiraram proveito de milhares de contas bancárias móveis em toda a Europa Oriental. Conhecidos no setor como "Android/OpFake" e "Android/Marry", as duas variantes de malware foram projetadas para tirar proveito de falhas de programação de aplicativos móveis, que se conectam com prestadores de serviços de retaguarda os quais gerenciam os dados dos aplicativos.
Muitas vezes, os aplicativos utilizam serviços de retaguarda para armazenar dados e realizar comunicações com segurança. Dito isto, os desenvolvedores de aplicativos são responsáveis por implementar e configurar a integração dos seus aplicativos com esses serviços de retaguarda. Os dados dos usuários podem ser expostos se os desenvolvedores de aplicativos não seguirem as orientações de segurança dos fornecedores de retaguarda, uma possibilidade que aumenta simplesmente com base na quantidade cada vez maior de atividades pessoais e profissionais realizadas na nuvem móvel.
Embora duas campanhas de cibercriminosos que utilizavam os dois Cavalos de Tróia para banco pelo celular tenham sido encerradas, o McAfee Labs encontrou provas de que eles exploraram essas programações de retaguarda, utilizando indevidamente os privilégios de raiz para instalar discretamente códigos maliciosos e possibilitaram um esquema de mensagens de SMS para roubar números de cartão de crédito e cometer estelionato em operações. Os dois Cavalos de Tróia para banco pelo celular interceptaram e expuseram as 171.256 mensagens de SMS de 13.842 clientes de serviços bancários e executaram comandos à distância em 1.645 aparelhos móveis afetados.
A Intel Security afirma que os desenvolvedores devem prestar mais atenção às práticas recomendadas de programação de retaguarda e às orientações de programação segura fornecidas pelos seus prestadores de serviços. Também é recomendado que os usuários baixem aplicativos móveis apenas de fontes idôneas e sigam as práticas recomendadas de enraizamento dos seus aparelhos.
O macro malware eleva o spearphishing ao maior nível em seis anos
O McAfee Labs também registrou um aumento quatro vezes maior na detecção de macros ao longo do último ano, atingindo o maior crescimento da categoria desde 2009. O retorno à posição de destaque foi possibilitado por campanhas de spearphishing destinadas a induzir os usuários a abrir anexos de email que transportam malware. Essas novas macros também são capazes de manter-se escondidas mesmo depois de baixarem suas cargas mal-intencionadas.
Essas macros maliciosas eram a causa mortis dos usuários na década de 1990, mas seu número diminuiu depois que os fornecedores de plataformas como a Microsoft tomaram medidas para reprogramar as configurações originais, para impedir a execução automática de macros.
Embora as primeiras campanhas de macros se concentrassem em usuários de todos os tipos, a nova atividade dos malwares de macro se concentra principalmente em grandes empresas, acostumadas a utilizar macros como programas fáceis de criar pelas necessidades repetitivas. Hoje em dia, os emails são projetados para parecerem legítimos no contexto dos negócios de uma empresa, para que os usuários permitam inconscientemente a execução das macros.
Além de fazer com que os usuários saibam mais sobre o spearphishing, a Intel Security recomenda que as empresas ajustem as configurações de segurança de macros dos produtos para "alta" e configurem os gateways de email para filtrar especificamente anexos que contenham macros.
Inovações no malware sem arquivo
O McAfee Labs capturou 74.471 amostras de ataques sem arquivo nos três primeiros trimestres de 2015. Os três tipos mais comuns de malware sem arquivo carregam sua infecção diretamente no espaço de memória legítimo de uma função da plataforma, se escondem atrás de uma API de nível kernel, ou se escondem dentro do registro do sistema operacional.
A maioria das infecções mal-intencionadas deixa algum tipo de arquivo num sistema, que pode ser detectado, analisado e excluído. Os ataques mais recentes, como o Kovter, o Powelike e o XswKit, foram projetados para tirar proveito dos serviços de plataforma do sistema operacional e entrar na memória sem deixar vestígios no disco.
A Intel Security recomenda práticas seguras de navegação e uso de email combinadas às proteções de email e Web, para bloquear os vetores de ataque.
Estatísticas de ameaças do 3º trimestre de 2015
- Atividade geral de ameaças. A rede Global Threat Intelligence (GTI) do McAfee Labs detectou em média 327 novas ameaças por minuto, ou mais de 5 por segundo. A rede também detectou:
- Mais de 7,4 milhões de tentativas de induzir os usuários a se conectar com URLs de risco (através de emails, pesquisas no navegador, etc.).
- Mais de 3,5 milhões de arquivos infectados foram dirigidos às redes dos clientes da Intel Security.
- Outros 7,4 milhões de Programas Potencialmente Indesejados tentaram se instalar ou ser iniciados.
- Malware móvel. O número total de amostras de malware móvel cresceu 16% do 2º para o 3º trimestre. Esse número cresceu 81% em relação ao ano passado. Os novos malwares móveis aumentaram em cinco trimestres consecutivos, mas as infecções não mantiveram o ritmo, provavelmente por causa das melhorias nas defesas dos sistemas operacionais.
- Malware para MacOS. Os criadores de malware têm voltado cada vez mais sua atenção para a plataforma Mac. Foi registrado um número de malwares para Mac OS quatro vezes maior no 3º trimestre em relação ao 2º trimestre. A maior parte do aumento veio de uma única ameaça.
- Ransomware (vírus seqüestrador). O número de novas amostras de ransomware cresceu 18% do 2º para o 3º trimestre. O número total de amostras de ransomware na "criação" de malwares do McAfee Labs cresceu 155% em relação ao ano passado.
- Queda nos rootkits. O número de novos malwares de rootkits caiu 65%, o menor número da categoria desde 2008. O declínio se deve provavelmente à queda do retorno para os cibercriminosos. Com o Windows de 64 bits, a Microsoft impõe a assinatura de drivers e inclui o Patch Guard, o que dificulta consideravelmente para os cibercriminosos a interceptação ao kernel.
- Binários assinados mal-intencionados. O número de novos binários assinados mal-intencionados apresentou uma tendência de queda em três trimestres.
- Atividade de botnets. A botnet Kelihos recuperou o primeiro lugar entre as botnets de envio de spam no 3º trimestre. A botnet que alimenta campanhas de bens de consumo e produtos farmacêuticos falsificados ficaram um pouco adormecidas nos dois trimestres anteriores.