A McAfee, Inc. publicou nesta terça-feira,20, o Relatório de Ameaças do McAfee Labs: Junho de 2017, que examina as origens e o funcionamento interno do vírus ladrão de senhas Fareit, apresenta uma análise histórica das técnicas de evasão usadas pelos autores de malwares ao longo de 30 anos, explica a natureza da esteganografia como técnica de evasão, avalia os ataques comunicados por vários setores e revela tendências de crescimento de malwares, ransomwares, malwares móveis e outras ameaças no 1º trimestre de 2017.
"Existem centenas, senão milhares, de técnicas de evasão anti-segurança, anti-sandbox e anti-analista empregadas por hackers e autores de malwares, e muitos deles podem ser comprados na prateleira da Dark Web", disse Vincent Weafer , vice-presidente do McAfee Labs. "O relatório deste trimestre nos lembra que a evasão evoluiu de tentar esconder ameaças simples executando em uma única caixa ao esconder ameaças complexas visando ambientes empresariais por um longo período de tempo, a paradigmas totalmente novos, como técnicas de evasão projetadas para proteção baseada em machine learning".
30 anos de técnicas de evasão de malwares
Os desenvolvedores de malwares começaram a testar formas de evadir os produtos de segurança na década de 1980, quando um componente de malware reagiu criptografando parcialmente seu próprio código com a finalidade de torná-lo ilegível para os analistas de segurança. O termo técnica de evasão engloba todos os métodos usados por malwares para evitar sua detecção, análise e compreensão. O McAfee Labs classifica as técnicas de evasão em três categorias gerais:
- Técnicas contra a segurança:usadas para evitar a detecção por mecanismos antimalware, firewalls, contenção de aplicativos ou outras ferramentas que protegem o ambiente.
- Técnicas contra sandboxes:usadas para detectar a análise automática e evitar mecanismos que informam sobre o comportamento do malware. A detecção de chaves de registro, arquivos ou processos relacionados a ambientes virtuais permite que o malware identifique se está em execução em uma sandbox.
- Técnicas contra analistas:usadas para detectar e enganar os analistas de malwares, por exemplo, identificando ferramentas de monitoramento, como Process Explorer ou Wireshark, ou utilizando truques de monitoramento de processos, empacotadores e ocultação para evitar a engenharia reversa.
O relatório do McAfee Labs de junho de 2017 examina algumas das mais sofisticadas técnicas de evasão, o vigoroso mercado negro de tecnologias de evasão disponíveis para compra imediata, como várias famílias de malware contemporâneas empregam técnicas de evasão e o que esperar no futuro, incluindo a evasão através do aprendizado de máquina e do hardware.
Escondida em plena vista: a ameaça oculta da esteganografia
A esteganografia é a arte e ciência de ocultar mensagens secretas no mundo digital; é a prática de esconder mensagens em imagens, faixas de áudio, clipes de vídeo e arquivos de texto. Os autores de malwares geralmente utilizam a esteganografia para evitar a detecção pelos sistemas de segurança. O primeiro uso registrado da esteganografia em um ataque cibernético foi no malware Duqu em 2011. Quando uma imagem digital é utilizada, informações secretas são inseridas por um algoritmo de incorporação e a imagem é transmitida para o sistema de destino, onde as informações secretas são extraídas para que o malware possa utilizá-las. A imagem modificada geralmente é difícil de detectar ao olho humano ou com tecnologias de segurança.
O McAfee Labs considera a esteganografia de rede a forma mais recente dessa modalidade, uma vez que campos em branco em cabeçalhos do protocolo TCP/IP são utilizados para ocultar dados. Esse método está se popularizando, já que os atacantes podem enviar uma quantidade ilimitada de informações pela rede usando essa técnica.
Fareit: o famigerado ladrão de senhas
O Fareit apareceu pela primeira vez em 2011 e, desde então, evoluiu de várias maneiras, incluindo novos vetores de ataque, arquitetura e funcionamento interno otimizados, bem como novas formas de evitar a detecção. Há cada vez mais consenso de que o Fareit, hoje o mais infame malware ladrão de senhas, provavelmente tenha sido utilizado na violação amplamente midiatizada sofrida pelo Comitê Nacional Democrático dos EUA (abreviado como DNC, do inglês "Democratic National Committee") antes da eleição presidencial dos EUA em 2016.
O Fareit se espalha através de mecanismos como e-mails de phishing, envenenamento de DNS e kits de exploração. Uma vítima pode receber um e-mail de spam malicioso com um documento do Word, código JavaScript ou um arquivo compactado anexo. Quando o usuário abre o anexo, o Fareit infecta o sistema, envia as credenciais roubadas para seu servidor de controle e baixa malwares adicionais segundo a campanha atual.
A violação sofrida pelo DNC em 2016 foi atribuída a uma campanha de malware conhecida como Grizzly Steppe. O McAfee Labs identificou hashes do Fareit nos indicadores da lista de comprometimento publicada no relatório do governo dos EUA sobre o Grizzly Steppe. Acredita-se que a espécie do Fareit identificada tenha sido projetada especificamente para o ataque ao DNC e entregue por meio de documentos do Word maliciosos distribuídos através de campanhas de e-mails de phishing.
O malware faz referência a vários endereços de servidor de controle que geralmente não são observados nas amostras do Fareit encontradas em circulação geral. Ele provavelmente foi utilizado em conjunto com outras técnicas no ataque ao DNC para roubar informações de e-mail, FTP e outras credenciais importantes. O McAfee Labs suspeita que o Fareit também tenha baixado ameaças avançadas, como Onion Duke e Vawtrak, nos sistemas das vítimas para realizar outros ataques.
"Como pessoas, empresas e entidades governamentais dependem cada vez mais de sistemas e dispositivos protegidos apenas por senhas, essas credenciais são fáceis de descobrir e roubar, criando um alvo atraente para os criminosos cibernéticos", acrescentou Weafer. "O McAfee Labs acredita que o número de ataques que utilizam táticas de roubo de senhas deva continuar aumentando, e a campanha do Grizzly Steppe oferece uma prévia das táticas novas e futuras".
Atividade de ameaças no 1º trimestre de 2017
No primeiro trimestre de 2017, a rede Global Threat Intelligence do McAfee Labs registrou tendências notáveis de aumento das ameaças cibernéticas e dos casos de ataques cibernéticos em vários setores:
- Novas ameaças.No 1º trimestre, surgiram 244 novas ameaças a cada minuto (mais de quatro a cada segundo).
- Incidentes de segurança.O McAfee Labs contabilizou 301 incidentes de segurança divulgados publicamente no 1º trimestre, um aumento de 53% em relação ao número registrado no 4º trimestre de 2016. Mais de 50% do total de incidentes ocorreram nos setores público, da saúde e da educação.
- Malware.Novas amostras de malware voltaram a aparecer no 1º trimestre, chegando a 32 milhões. O número total de amostras de malware aumentou 22% nos últimos quatro trimestres, chegando a 670 milhões de amostras identificadas. O número de novos malwares voltou a subir, atingindo a média trimestral observada nos últimos quatro anos.
- Malwares móveis.Os relatos de malwares móveis provenientes da Ásia duplicaram no 1º trimestre, contribuindo para um aumento de 57% nas taxas de infecção globais. O número total de malwares móveis aumentou 79% nos últimos quatro trimestres, chegando a 16,7 milhões de amostras O maior fator desse crescimento foi o Android/SMSreg, um programa potencialmente indesejado detectado na Índia.
- Malwares voltados ao Mac OS.Nos últimos três trimestres, o número de novos malwares voltados ao Mac OS aumentou consideravelmente devido à proliferação de adwares. Apesar de continuar baixo em comparação com as ameaças ao Windows, o número total de amostras de malware do Mac OS aumentou 53% no 1º trimestre.
- Ransomware.Novas amostras de ransomware voltaram a aparecer no 1º trimestre, devido sobretudo aos ataques do ransomware Congur em dispositivos com sistema operacional Android. O número total de amostras de ransomware aumentou 59% nos últimos quatro trimestres, chegando a 9,6 milhões de amostras identificadas.
- vírus ladrão de senhas Fareit,.Em abril, o criador da rede de bots Kelihos foi apreendido na Espanha. Durante muitos anos, o Kelihos foi responsável por milhões de mensagens de spam portadoras de malware bancário e ransomware. O Departamento de Justiça dos EUA agradeceu a cooperação internacional entre os Estados Unidos e as autoridades estrangeiras, a Shadow Server Foundation e fornecedores do setor.