São Paulo, 15 de dezembro de 2015 – Muitas vezes, o cenário de ameaças cibernéticas combina algo antigo, novo, erros e algo pessoal. O terceiro trimestre apresenta exemplos de ameaças antigas remodeladas com engenharia social, novos malwares sem arquivo substituindo os rootkits, erros de programação de aplicativos móveis e a exploração do elo mais fraco de qualquer ecossistema: o usuário.
O lançamento do Relatório do McAfee Labs sobre Ameaças: novembro de 2015, da Intel Security, complementa a habitual avaliação trimestral de ameaças cibernéticas com novos desdobramentos que combinam cada um dos seguintes elementos:
- Os pesquisadores do McAfee Labs ilustram como práticas inadequadas de programação de aplicativos, incluindo a omissão em seguir as orientações dos prestadores de serviços de retaguarda, podem levar à exposição de dados dos usuários na nuvem. Essa análise também demonstra como os clientes de serviços bancários pelo celular foram prejudicados por meio dessa situação.
- O relatório investiga os macro malwares que utilizam engenharia social e estão ganhando força dentro das empresas, um desdobramento que está alimentando nos últimos meses o ressurgimento dos macro malwares, de um declínio de vários anos para o seu nível mais elevado dos últimos seis anos. Os macro malwares aumentaram de menos de 10 mil novos ataques no 3º trimestre de 2014 para quase 45 mil no trimestre passado, um nível que não era visto desde 2009.
- Finalmente, o relatório detalha como os novos recursos das plataformas e a inovação no desenvolvimento criaram uma nova espécie de malwares sem arquivo que supera a detecção tradicional de ameaças. Esses ataques sem arquivo parecem estar tomando o lugar dos ataques de rootkit.
Segundo Vincent Weafer (foto), Vice-Presidente do McAfee Labs da Intel Security, no mínimo, o terceiro trimestre de 2015 lembrou que, embora devamos sempre inovar para permanecer um passo à frente em termos de tecnologia de ameaças, nunca devemos negligenciar as soluções de bom senso, como as práticas recomendadas de programação segura de aplicativos e a educação dos usuários para combater as táticas sempre presentes, como o spearphishing.
Práticas de programação de retaguarda de aplicativos móveis
Uma análise de aproximadamente 300 mil aplicativos móveis em dois meses levou a McAfee Labs a descobrir dois Cavalos de Tróia para serviços bancários por celular, os quais tiraram proveito de milhares de contas bancárias móveis em toda a Europa Oriental. Conhecidos no setor como “Android/OpFake” e “Android/Marry”, as duas variantes de malware foram projetadas para tirar proveito de falhas de programação de aplicativos móveis, que se conectam com prestadores de serviços de retaguarda os quais gerenciam os dados dos aplicativos.
Muitas vezes, os aplicativos utilizam serviços de retaguarda para armazenar dados e realizar comunicações com segurança. Dito isto, os desenvolvedores de aplicativos são responsáveis por implementar e configurar a integração dos seus aplicativos com esses serviços de retaguarda. Os dados dos usuários podem ser expostos se os desenvolvedores de aplicativos não seguirem as orientações de segurança dos fornecedores de retaguarda, uma possibilidade que aumenta simplesmente com base na quantidade cada vez maior de atividades pessoais e profissionais realizadas na nuvem móvel.
Embora duas campanhas de cibercriminosos que utilizavam os dois Cavalos de Tróia para banco pelo celular tenham sido encerradas, o McAfee Labs encontrou provas de que eles exploraram essas programações de retaguarda, utilizando indevidamente os privilégios de raiz para instalar discretamente códigos maliciosos e possibilitaram um esquema de mensagens de SMS para roubar números de cartão de crédito e cometer estelionato em operações. Os dois Cavalos de Tróia para banco pelo celular interceptaram e expuseram as 171.256 mensagens de SMS de 13.842 clientes de serviços bancários e executaram comandos à distância em 1.645 aparelhos móveis afetados.
A Intel Security afirma que os desenvolvedores devem prestar mais atenção às práticas recomendadas de programação de retaguarda e às orientações de programação segura fornecidas pelos seus prestadores de serviços. Também é recomendado que os usuários baixem aplicativos móveis apenas de fontes idôneas e sigam as práticas recomendadas de enraizamento dos seus aparelhos.
O macro malware eleva o spearphishing ao maior nível em seis anos
O McAfee Labs também registrou um aumento quatro vezes maior na detecção de macros ao longo do último ano, atingindo o maior crescimento da categoria desde 2009. O retorno à posição de destaque foi possibilitado por campanhas de spearphishing destinadas a induzir os usuários a abrir anexos de email que transportam malware. Essas novas macros também são capazes de manter-se escondidas mesmo depois de baixarem suas cargas mal-intencionadas.
Essas macros maliciosas eram a causa mortis dos usuários na década de 1990, mas seu número diminuiu depois que os fornecedores de plataformas como a Microsoft tomaram medidas para reprogramar as configurações originais, para impedir a execução automática de macros.
Embora as primeiras campanhas de macros se concentrassem em usuários de todos os tipos, a nova atividade dos malwares de macro se concentra principalmente em grandes empresas, acostumadas a utilizar macros como programas fáceis de criar pelas necessidades repetitivas. Hoje em dia, os emails são projetados para parecerem legítimos no contexto dos negócios de uma empresa, para que os usuários permitam inconscientemente a execução das macros.
Além de fazer com que os usuários saibam mais sobre o spearphishing, a Intel Security recomenda que as empresas ajustem as configurações de segurança de macros dos produtos para “alta” e configurem os gateways de email para filtrar especificamente anexos que contenham macros.
Inovações no malware sem arquivo
O McAfee Labs capturou 74.471 amostras de ataques sem arquivo nos três primeiros trimestres de 2015. Os três tipos mais comuns de malware sem arquivo carregam sua infecção diretamente no espaço de memória legítimo de uma função da plataforma, se escondem atrás de uma API de nível kernel, ou se escondem dentro do registro do sistema operacional.
A maioria das infecções mal-intencionadas deixa algum tipo de arquivo num sistema, que pode ser detectado, analisado e excluído. Os ataques mais recentes, como o Kovter, o Powelike e o XswKit, foram projetados para tirar proveito dos serviços de plataforma do sistema operacional e entrar na memória sem deixar vestígios no disco.
A Intel Security recomenda práticas seguras de navegação e uso de email combinadas às proteções de email e Web, para bloquear os vetores de ataque.
Estatísticas de ameaças do 3º trimestre de 2015
- Atividade geral de ameaças. A rede Global Threat Intelligence (GTI) do McAfee Labs detectou em média 327 novas ameaças por minuto, ou mais de 5 por segundo. A rede também detectou:
o Mais de 7,4 milhões de tentativas de induzir os usuários a se conectar com URLs de risco (através de emails, pesquisas no navegador, etc.).
o Mais de 3,5 milhões de arquivos infectados foram dirigidos às redes dos clientes da Intel Security.
o Outros 7,4 milhões de Programas Potencialmente Indesejados tentaram se instalar ou ser iniciados.
- Malware móvel. O número total de amostras de malware móvel cresceu 16% do 2º para o 3º trimestre. Esse número cresceu 81% em relação ao ano passado. Os novos malwares móveis aumentaram em cinco trimestres consecutivos, mas as infecções não mantiveram o ritmo, provavelmente por causa das melhorias nas defesas dos sistemas operacionais.
- Malware para MacOS. Os criadores de malware têm voltado cada vez mais sua atenção para a plataforma Mac. Foi registrado um número de malwares para Mac OS quatro vezes maior no 3º trimestre em relação ao 2º trimestre. A maior parte do aumento veio de uma única ameaça.
- Ransomware (vírus seqüestrador). O número de novas amostras de ransomware cresceu 18% do 2º para o 3º trimestre. O número total de amostras de ransomware na “criação” de malwares do McAfee Labs cresceu 155% em relação ao ano passado.
- Queda nos rootkits. O número de novos malwares de rootkits caiu 65%, o menor número da categoria desde 2008. O declínio se deve provavelmente à queda do retorno para os cibercriminosos. Com o Windows de 64 bits, a Microsoft impõe a assinatura de drivers e inclui o Patch Guard, o que dificulta consideravelmente para os cibercriminosos a interceptação ao kernel.
- Binários assinados mal-intencionados. O número de novos binários assinados mal-intencionados apresentou uma tendência de queda em três trimestres.
- Atividade de botnets. A botnet Kelihos recuperou o primeiro lugar entre as botnets de envio de spam no 3º trimestre. A botnet que alimenta campanhas de bens de consumo e produtos farmacêuticos falsificados ficaram um pouco adormecidas nos dois trimestres anteriores.
Para saber mais sobre esses tópicos em destaque, ou para ver mais estatísticas do cenário de ameaças do 3º trimestre de 2015, visitehttp://www.mcafee.com/November2015ThreatsReport e leia o relatório completo.
Sobre o McAfee Labs
O McAfee Labs é a divisão de pesquisa de ameaças da Intel Security e uma das principais fontes mundiais de pesquisa e informações sobre ameaças, além da liderança intelectual sobre segurança cibernética. A equipe do McAfee Labs, com mais de 400 pesquisadores, coleta dados de milhões de sensores nos principais vetores de ameaças: arquivos, Web, mensagens e rede. Então, eles realizam correlações de ameaças entre os vetores e enviam informações em tempo real para os produtos estreitamente integrados de segurança de endpoints, conteúdos e redes, por meio do seu serviço McAfee Global Threat Intelligence em nuvem. O McAfee Labs também desenvolve tecnologias fundamentais de detecção de ameaças (como levantamento de perfis de aplicativos e gerenciamento de listas cinzas) que são incorporadas à família mais ampla de produtos de segurança do mercado.
Sobre a Intel Security
Agora, a McAfee faz parte da Intel Security. Com sua estratégia Security Connected, uma abordagem inovadora da segurança aprimorada por hardware, e sua exclusiva Global Threat Intelligence, a Intel Security se dedica intensamente ao desenvolvimento de soluções e serviços de segurança proativos e comprovados que protegem sistemas, redes e dispositivos móveis pessoais e de negócios em todo o mundo. A Intel Security está combinando o conhecimento especializado da McAfee com a inovação e o desempenho comprovado da Intel para tornar a segurança um ingrediente essencial de cada arquitetura e em todas as plataformas de informática. A missão da Intel Security é proporcionar a todos a confiança para viver e trabalhar com segurança no mundo digital.
Nenhum sistema de informática pode estar absolutamente seguro.
Nota: Intel, o logotipo da Intel, McAfee e o logotipo da McAfee são marcas comerciais registradas da Intel Corporation nos Estados Unidos e em outros países.
*Outros nomes e outras marcas podem ser considerados propriedade de terceiros.