Em pesquisa sobre os métodos mais populares de infecção de computadores, a Kaspersky Lab identificou que a exploração de vulnerabilidades em softwares legítimos é a principal ferramenta utilizada pelos cibercriminosos. Entre março e agosto desse ano, a Kaspersky Security Network (KSN – sistema de proteção híbrida na nuvem para ameaças emergentes) registrou esse tipo de ataque em mais de dois milhões de usuários. Isso ocorre, não apenas pela descoberta de vulnerabilidades (nos últimos 12 meses, foram detectados mais de 161 no JRE – Java Runtime Environment), mas o comportamento do usuário colabora com o alto índice.
Em outra pesquisa da empresa<http://www.securelist.com/en/analysis/204792278/Kaspersky_Lab_report_Evaluating_the_threat_level_of_software_vulnerabilities>, após seis semanas do lançamento dos pacotes de correções de vulnerabilidades do Java descobertas entre setembro e outubro de 2012, apenas 28,2% dos usuários tinham atualizado o sistema para a nova versão.
Durante a pesquisa mais recente, os especialistas da Kaspersky Lab analisaram como os computadores são infectados com a ajuda do pacote de exploit BlackHole, um dos mais populares no mercado. O pacote inclui exploits que visam vulnerabilidades no Adobe Reader, Adobe Flash Player, no Java e em outros softwares populares.
“Hoje, se um cibercriminoso quer infectar os computadores, por exemplo, com a modificação do Trojan ZeuS, tudo o que ele precisa fazer é comprar um pacote de exploração pré-preparado, configurá-lo e atrair o maior número de vítimas em potencial para a sua página de destino. O problema do BlackHole é que ele permanece relevante, apesar de já existirem estudos sobre o mecanismo de infecção e soluções abrangentes oferecidos por empresas de segurança. No caso do Java, o fabricante do software é bastante rápido em corrigir as vulnerabilidades recém-detectadas. No entanto, os usuários finais normalmente não se apressam para baixar e instalar as atualizações. Assim, os cibercriminosos se aproveitam dessa situação através da criação de novos programas maliciosos para atacar vulnerabilidades conhecidas”, disse Vyacheslav Zakorzhevsky, chefe do Grupo de Pesquisa em Vulnerabilidade na Kaspersky Lab.
Até agora, esses pacotes de exploração deram aos cibercriminosos um meio extremamente confiável de infectar computadores sem nenhum sistema de segurança instalado nas máquinas e com, pelo menos, um software popular com uma vulnerabilidade não corrigida instalado no sistema. Não é nenhuma surpresa que as infecções através de blocos de exploração são um método popular entre os cibercriminosos: é extremamente difícil para um usuário desprotegido detectá-las.
O processo começa com o redirecionamento do usuário para a página de destino do exploit. Os cibercriminosos utilizam uma grande variedade de métodos para fazer isso, incluindo mensagens de spam com links para os sites falsos. No entanto, o caso mais perigoso é quando os sites verdadeiros são comprometidos, e códigos de script ou iframes são injetados neles. Nesses casos, é o suficiente para um usuário que visita a página ser vítima de um ataque drive-by download, onde um pacote de exploit será executado e poderá infectar sua máquina clandestinamente. O uso das vulnerabilidade do Java em golpes usando sites populares vem sendo constantementes usados no Brasil em setembro desde 2010 e eles são eficazes ainda hoje.
A única maneira infalível de evitar um ataque é assegurar que nenhum software desatualizado, utilizado pelo pacote de exploração esteja instalado no computador. Assim que um usuário visita a página de destino, os cibercriminosos recuperam informações do dispositivo da vítima, incluindo a versão do sistema operacional, navegador web e todos os plugins instalados. Se os cibercriminosos perceberem que o sistema está vulnerável, então os exploits apropriados são selecionados para realizar o ataque ao computador em questão.
A versão completa da pesquisa está disponível em securelist.com<http://www.securelist.com/en/analysis/204792303/Filling_a_BlackHole>.
Sobre a Kaspersky Lab
Kaspersky Lab é o maior provedor privado de solução de proteção para endpoints do mundo. A empresa ficou entre os quatro maiores fornecedores de soluções de segurança para usuários endpoint *. Durante seus mais de 15 anos de história, a Kaspersky Lab continua a ser uma empresa inovadora em segurança de computadores e fornece soluções eficazes de segurança digital para grandes empresas, PME e consumidores. A Kaspersky Lab, através da sua holding registrada no Reino Unido, opera atualmente em cerca de 200 países e territórios ao redor do mundo, fornecendo proteção para mais de 300 milhões de usuários. Para mais informações, visite http://brazil.kaspersky.com
*A empresa ganhou o quarto lugar na classificação muldial do IDC Endpoint Security Income por Fabricante, 2011. O ranking foi publicado no relatório da IDC “Previsão Global de Endpoint Security 2012-2016 e Ações de Fabricantes 2011” – (IDC nº 235930, julho de 2012). O relatório classificou os fornecedores de software de acordo com suas receitas de vendas de Endpoint Security Solutions em 2011.