O ciclo de um ataque de malware

O ciclo de um ataque de malware

Em repetidas ocasiões, compartilhamos com vocês relatórios sobre ataques virtuais através de e-mails, redes sociais ou páginas maliciosas, enfocando na análise em alguma etapa pontual ou técnica não utilizada. Nesse texto vamos tentar comentar as diferentes etapas que um criminoso virtual realiza com o objetivo de obter algum benefício. Na região, os ataques mais habituais

Em repetidas ocasiões, compartilhamos com vocês relatórios sobre ataques virtuais através de e-mails, redes sociais ou páginas maliciosas, enfocando na análise em alguma etapa pontual ou técnica não utilizada. Nesse texto vamos tentar comentar as diferentes etapas que um criminoso virtual realiza com o objetivo de obter algum benefício. Na região, os ataques mais habituais

Em repetidas ocasiões, compartilhamos com vocês relatórios sobre ataques virtuais através de e-mails, redes sociais ou páginas maliciosas, enfocando na análise em alguma etapa pontual ou técnica não utilizada. Nesse texto vamos tentar comentar as diferentes etapas que um criminoso virtual realiza com o objetivo de obter algum benefício. Na região, os ataques mais habituais se enfocam no roubo de credenciais bancárias ou informações pessoais do usuário como senhas de e-mail e redes sociais. A seguir descreveremos algumas das principais etapas, desde o início de um ataque até o roubo de informação.

Quando se tenta detalhar um ataque virtual para compreender seu funcionamento, é importante diferencias cada uma das diferentes etapas que o compõem. Ao investigar uma ameaça é importante identificar as técnicas utilizadas no desenvolvimento, propagação e recopilação de informações com o objetivo de analisar ou proteger os usuários. No seguinte gráfico vemos as etapas do ciclo:

A primeira etapa dentro do ciclo de um ataque virtual é a análise do que se quer fazer. Nessa instância um criminoso planeja qual é a informação que quer obter e se ela está viável ou não. Assim que fica decidido continuar com o ataque, o criminoso opta por desenvolver o código malicioso ou obter um crimepack pelo qual deve pagar uma soma em dinheiro (como, por exemplo, Zeus e SpyEye), que lhe permitem montar sua plataforma para realizar os ataques. Outra opção é que paguem a um botmaster para que instale o malware na rede de computadores zumbi que administra.

Na ESET América Latina é comum encontrarmos ataques de pharming local que modificam o arquivo host do sistema para redirecionar a vítima a páginas falsas que se utilizam de engenharia social e inserem suas credenciais em sites de aspecto similar aos originais, mas alojados em servidores violados ou pertencentes ao criminoso. Outra das técnicas mais comuns são os ataques de phishing através de falsos e-mails, já que muitos usuários acessam a sites maliciosos ao não reconhecer que o e-mail não é verídico.

Assim que a etapa de desenvolvimento tenha sido finalizada, o passo seguinte é a campanha de propagação da ameaça. Nesse momento, o criminoso define qual vai ser a metodologia utilizada para viralizar seu ataque e chegar à maior quantidade de vítimas possível. Entre os métodos mais conhecidos está o envio massivo de e-mails, a publicação de notícias nas redes sociais, infecções através de dispositivos USB ou através de uma página web com conteúdo malicioso.

A partir de uma conta falsa de e-mail é enviada uma mensagem a uma série de usuários com um conteúdo qualquer. Os usuários que acessem o e-mail e caiam no erro podem comprometer seu sistema se não contarem com uma solução de segurança ao acessar a um site falso onde deverão inserir suas credenciais, no caso de se tratar de phishing. Seja qual for o ataque, em uma primeira etapa é enviado a possíveis vítimas, supondo uma etapa inicial de 100 contas de e-mail. Mesmo que somente 5% caiam no golpe, o usuário e a senha dessas pessoas vão parar nas mãos do criminoso, e ele poderá utilizar essas contas para voltar a enviar a informação aos contatos, durante uma nova campanha de propagação.

Uma vez liberado o ataque e sua propagação a tantos usuários quanto for possível, o criminoso começa a recopilar a informação para realizar nova campanha ou vender os dados de usuários infectados no mercado negro. Segundo o último informe da LACNIC para a América Latina, os dados de um cartão de crédito são vendidos no mercado negro por uma média de 0,98 centavos de dólar cada uma. Durante essa etapa de recopilação, o criminoso armazena dentre outras coisas:

•    Credenciais de acesso a contas bancárias
•    Credenciais de acesso a contas de e-mail
•    Credenciais de acesso às redes sociais (Facebook, Twitter, etc)
•    Informação pessoal do usuário

Sem importar para que plataforma é desenvolvido o ataque, essas cinco etapas (Análise, Desenvolvimento, Propagação, Infecção dos sistemas e recopilação de informação) fazem parte de um processo cíclico executado vez ou outra pelos criminosos com um único objetivo: violar a segurança do usuário ou seus sistemas para obter informação que será utilizada para benefício próprio.

Atualmente, no Laboratório da ESET América Latina, estamos analisando os vetores de ataques utilizados na região para a análise e investigação dessas tendências. Os usuários que recebem e-mails falsos, ou acreditam que estão sendo vítimas de um ataque, podem encaminhar os e-mails ou reportar os arquivos maliciosos a samples@eset-la.com.

Pablo Ramos
Especialista em Awareness & Research

Discussão