Quatro métodos usados por vírus para escapar de softwares de segurança

Foi-se o tempo em que uma infecção por vírus era uma questão de baixar um arquivo infectado ou inserir um pendrive contaminado, apenas. Enquanto contaminações desse tipo nunca deixaram de existir, a evolução da segurança digital trouxe novos desafios aos cibercriminosos, que por sua vez, também elevaram suas capacidades para burlar proteções e escudos de defesa.

• Criminosos se inspiram no e-commerce e usam dark web para se profissionalizar
• Ataques cibernéticos têm aumento de 46% no Brasil

Hoje, uma das principais vias de intrusão é o phishing, com e-mails fraudulentos ou mensagens falsas sendo a segunda maior causa de ataques cibernéticos, com 16% dos incidentes registrados no segundo trimestre de 2022. De acordo com pesquisa da IBM, eles estão atrás apenas das invasões com uso de credenciais roubadas, com 19%.

É um reflexo direto do uso de novas táticas, que tentam aumentar o sucesso dos ataques fazendo com que sistemas de monitoramento e softwares de segurança acreditem estarem diante de um arquivo legítimo. Aqui estão as quatro principais maneiras usadas pelos cibercriminosos para conseguirem isso:

Domínios e serviços legítimos

Bloquear sites maliciosos e com cara de suspeitos é fácil, mas o mesmo não pode ser dito de sistemas como Google Drive, Dropbox, OneDrive e tantos outros usados no cotidiano de trabalho. Os criminosos, claro, sabem disso e utilizam cada vez mais tais plataformas para disseminar arquivos maliciosos, confiando na ideia de que, ao verem uma URL conhecida, tanto usuários quanto sistemas de segurança vão permitir o clique.

O mesmo também vale para o comprometimento de sites legítimos a partir de credenciais roubadas ou sistemas de segurança falhos. Ao hospedar arquivos maliciosos em páginas conhecidas, os bandidos aumentam a possibilidade de um ataque bem-sucedido, principalmente quando acompanharem mensagens de phishing que também simulem a aparência da empresa fraudada.

De acordo com dados do VirusTotal, site que é referência na análise de malwares, mais de 2,5 milhões de arquivos suspeitos estão disponíveis nos 1.000 sites mais acessados do mundo. A principal marca abusada, aqui, é o comunicador Discord, seguido do provedor de hospedagem Squarespace e da Amazon Web Services, que fornece plataformas de cloud computing.

Roubo de certificados

Intrusões a sistemas e redes internos de empresas também podem levar ao furto de certificados de validação, usados por sistemas operacionais e ferramentas de segurança para garantir a legitimidade de uma aplicação. Assim, criminosos podem “assinar” seus vírus como se fossem softwares verificados, aumentando a possibilidade de um ataque bem-sucedido.

Novamente segundo o VirusTotal, entre janeiro e abril de 2022, mais de um milhão de malwares certificados foram hospedados na plataforma, com 87% deles usando documentos válidos. A Sectigo é a empresa com maior número de detecções desse tipo, com 48% de detecções, seguida da USERTrust (21,3%) e DigiCert (7,7%).

Softwares reconhecidos

Uma tática mais simples, mas ainda assim eficaz, envolve disfarçar o malware como se fosse um aplicativo real. É um método que, quando combinado ao uso de um domínio legítimo ou uma loja oficial para celulares, por exemplo, ajuda a enganar usuários que, muitas vezes, só percebem o problema quando o download não funciona.

Segundo levantamento do VirusTotal, o Skype é o software mais utilizado para ataques desse tipo, seguido do Adobe Acrobat (o favorito dos ataques online) e o player de vídeos VLC. De tempos em tempos, campanhas maliciosas também visam softwares específicos, como jogos em alta ou aplicações de limpeza que prometem fazer milagres, principalmente, no sistema operacional Android.

Manipulação de instaladores

Na que talvez seja a prática mais sofisticada dessa lista, criminosos com maior domínio de programação podem alterar executáveis oficiais dos aplicativos, inserindo dados maliciosos ou chamadas para servidores de controle que realizam o download de malware. Aconteceu recentemente, por exemplo, com um golpe envolvendo o envenenamento de DLLs a partir de uma versão manipulada da Calculadora do Windows 7.

É um tipo de ataque que também está em crescimento neste ano, com o VirusTotal citando Google Chrome, Malwarebytes, Zoom, Firefox e Telegram como iscas principais, além de atualizações do Windows.

Como se proteger

A atenção é a principal arma dos usuários, mesmo quando softwares antivírus falharem. Para evitar baixarem apps maliciosos, o ideal é utilizar apenas sites oficiais e reconhecidos para o download e instalação, seja a loja do seu sistema operacional, no celular, ou as páginas de desenvolvedores no computador.

Manter o sistema operacional atualizado, assim como os próprios softwares de segurança, também ajuda a evitar os golpes mais comuns. Como dito, na mesma medida em que os criminosos se adequam às novidades trazidas pela comunidade de segurança, ela também faz o mesmo, em um jogo de gato e rato que não parece ter fim, mas que também faz com que vetores usuais caiam em desuso na medida em que as detecções aumentam.

Fonte: VirusTotal