Redes sociais consolidam-se como plataforma ideal para a prática do cibercrime

08 set 2010
Notícias de Vírus

  • Facebook e Twitter sofrem cada vez mais investidas de software malicioso que aproveita a sua enorme popularidade e o tráfego das suas redes.

  • Plataformas que até agora pareciam imunes, como MacOS, começam também a sofrer ataques.

  • Adobe e Microsoft continuam a ser as plataformas mais atacadas.

A Kaspersky Lab apresentou o seu relatório sobre a evolução do malware durante o segundo trimestre de 2010. Portugal não está entre os principais países na criação de malware.

No total, durante o período em análise, foram neutralizadas 540 milhões de tentativas de infecção a computadores de utilizadores, o que representa um aumento de quase 100 por cento face ao primeiro trimestre. Mais uma vez, a maioria dos acontecimentos mais importantes esteve relacionada com as botnets, mas uma conclusão clara que cabe extrair do relatório sobre este segundo trimestre de 2010 é a consolidação das redes sociais como novo alvo preferido para as suas actividades.

No que se refere às botnets (redes piratas criadas para a distribuição massiva de malware), os ciber-criminosos descobriram uma autêntica mina nas redes sociais. Já no passado mês de Maio apareceu um utilitário para criar bots, o TwitterNET Builder, que constrói uma botnet usando uma conta no Twitter como centro de administração.

Para trabalhar com o programa não é necessário saber programação, o que o tornou rapidamente num sucesso, sobretudo entre os mais novatos: um par de cliques e o bot está pronto a disseminar. Baptizado como Backdoor.Win32.Twitbot, este malware permite a descarga e execução de ficheiros nocivos, ataques DDoS e visitas aos websites predeterminados pelos delinquentes. Para receber instruções, o bot procura no Twitter por uma determinada conta, em que, na forma de texto, se publicam as ordens do seu dono.

Felizmente, este bot acabou por não se disseminar muito, dado o seu comportamento algo primitivo (as instruções não estão encriptadas, sendo enviadas abertamente através da rede social, pelo que são fáceis de detectar e bloquear com o encerramento da conta). Em meados de Junho, já não restavam quaisquer centros de administração no Twitter, o que diz muito da velocidade de reacção dos serviços de segurança desta rede.

Em qualquer caso, os peritos da Kaspersky Lab insistem que as redes sociais servem como nenhum outro canal para propagar activamente ligações a programas maliciosos. Com efeito, estes especialistas asseguram que, com o tempo, as redes sociais poderão vir a substituir o correio electrónico na pouco nobre tarefa de distribuir programas maliciosos. Os números confirmam a eficácia dos envios massivos nas redes sociais. No decorrer de um ataque levado a cabo na rede Twitter, em apenas uma hora 2.000 utilizadores seguiram o link enviado. Mas o ataque mais importante foi realizado nesse mesmo mês de Maio, quando apareceu no Facebook um novo tipo de ataque, relacionado com a introdução da função “like”, que controla a lista de coisas que agradam ao proprietário da conta. Milhares de utilizadores tornaram-se vítimas deste ataque, que consistia em colocar no Facebook um link atractivo (por exemplo “Mundial 2010 em alta resolução”, ou “As 101 mulheres mais sexy do mundo”). O link conduzia a uma página ad-hoc, em que um cenário Javascript colocava um botão invisível mesmo por debaixo do cursor. Com efeito, o botão acompanhava o cursor para que, fosse onde fosse que o utilizador clicasse, pressionava inevitavelmente o botão e, como consequência, agregava ao seu “mural” uma cópia do link. O resultado é que a todos os seus amigos parecia que o utilizador gostava deste link (“he likes”ou “she likes”). O ataque cresceu como uma bola de neve: primeiro os amigos seguiam o link, depois os amigos dos amigos, e por aí adiante. Depois de agregar o link ao seu “mural”, o utilizador recebia, efectivamente, uma página onde aparentemente estava o que desejava (um leitor de vídeo que supostamente transmitia as partidas do mundial, ou um portal com fotografias de mulheres); mas, na mesma página, havia uma campanha comercial que iludia os bloqueadores de janelas pop-up. O autor do esquema recebia pequenas somas de dinheiro por cada visita dos utilizadores à página. Dado que houve milhares de vítimas deste ataque, percebe-se que a soma recebida pelos delinquentes não foi tão pequena assim.

Plataformas alternativas

Neste segundo trimestre, o malware para plataformas alternativas conquistou novas fronteiras. Em Abril, apareceu um novo backdoor da família Reshe para MacOS X, denominado Backdoor.OSX.Reshe.a. Este backdoor permite ao delinquente obter um controlo sem restrições sobre o sistema infectado, podendo enviar spam, pesquisar e roubar ficheiros, descarregar e executar programas, fazer capturas de ecrã e muitas coisas mais. O backdoor está escrito em RealBasic e funciona em computadores Apple com processadores PowerPC ou Intel. De momento, não se verificou ainda um uso massivo deste programa malicioso, mas a arma já está nas mãos dos criminosos.

Já em Junho, vários dias depois de o Google anunciar a sua transição para sistemas operativos alternativos, os especialistas da Kaspersky Lab detectaram um novo spy-Trojan para Mac OS X. Este programa malicioso disfarçava-se de “sistema publicitário” e difundia-se em conjunto com produtos de software legítimos. Além de roubar informação do PC, o programa malicioso também tinha a funcionalidade de backdoor, que permite aos delinquentes enviar instruções para o computador da vítima.

Muitos utilizadores de Mac OS têm a falsa sensação de estar protegidos. Estão seguros de que não existem ameaças informáticas que funcionem no seu sistema operativo. Mas a própria Apple reconhece que existem códigos maliciosos para Mac. Na última actualização do OS X 10.6.4, a Apple incluiu no seu scanner antivírus uma nova assinatura para se proteger contra o Backdoor.OSX.Reshe.a. Mas estas actualizações, que não foram anunciadas publicamente, só fazem com que o utilizador conserve a tal sensação de falsa segurança.

Não existem sistemas operativos completamente seguros. Neste momento, o Mac OS X não é um sistema mais seguro do que, por exemplo, o Windows 7. Do ponto de vista técnico, para que o seu funcionamento seja seguro, o Mac OS X também necessita de protecção contra programas maliciosos. Se tivermos em conta os incidentes mencionados, é muito possível que em breve surjam ataques dirigidos especificamente aos utilizadores dos sistemas Mac.

Programas nocivos na Internet

No segundo trimestre de 2010, detectámos 157.626.761 tentativas de infecção de computadores através da Internet. De seguida, expomos as principais categorias de programas maliciosos que dominaram neste período.

marko_exploitkits_pic07s

No TOP 5 há Trojans, exploits e programas publicitários, com a particularidade de que quase metade (48%) de todas as detecções na Internet correspondeu a Trojans e 57% eram scripts maliciosos incrustados pelos delinquentes em diversos websites. Entre estes, estavam também sites legítimos, que contavam com milhares, e em certos casos, com milhões de visitantes. Caracterizavam-se por usarem um link, invisível no browser, para desviar os utilizadores e fazê-los visitar a página dos criminosos. Geralmente, os links levam a páginas com exploits (e, nos esquemas mais tradicionais, a conjuntos de exploits), que permitem aos delinquentes dar o primeiro passo na tarefa de contornar a defesa do computador e atingir o objectivo final de descarregar e executar qualquer ficheiro.

Neste trimestre, 7,15% de todas as detecções corresponderam a software publicitário (AdWare). No trimestre anterior, 70% dos programas publicitários detectados pertenciam às famílias Zwangi e Boran, mas neste as famílias Shopper (26,06%) e FunWeb (22,81%) dominaram, tendo ambas somado 49% das detecções de AdWare.

Geografia das ameaças

No segundo trimestre de 2010, a Kaspersky Lab detectou 157.626.761 ataques a partir de recursos da Internet. Mais de 95% dos ataques detectados foram feitos a partir de 20 países, entre os quais não consta Portugal.

TOP-20 dos países que hospedam programas nocivos.

Segundo trimestre de 2010

Primeiro trimestre de 2010

1Estados Unidos28,99%1Estados Unidos27,57%
2Rússia16,06%2Rússia22,59%
3China13,64%3China12,84%
4Alemanha5,89%4Holanda8,28%
5Holanda5,49%5Espanha6,83%
6Espanha5,28%6Alemanha6,78%
7Reino Unido4,62%7Reino Unido3,29%
8Suécia4,34%8Filipinas1,60%
9Ucrânia2,76%9Ucrânia1,35%
10Letónia2,02%10Canadá1,29%
11Canadá1,63%11Suécia0,95%
12França1,49%12França0,80%
13Turquia0,63%13Turquia0,72%
14Moldávia0,55%14Austrália0,48%
15República Checa0,40%15Moldávia0,42%
16Hong Kong0,40%16Letónia0,31%
17Tailândia0,38%17República Checa0,31%
18Filipinas0,37%18Luxemburgo0,26%
19Malásia0,37%19Malásia0,26%
20Vietname0,36%20Vietname0,25%
_Outros4,33%_Outros2,80%

Vulnerabilidades

No segundo trimestre de 2010, detectámos nos computadores dos utilizadores 33.765.504 aplicações e ficheiros vulneráveis. Destaque-se que um em cada quatro casos detectámos nos PCs mais de sete vulnerabilidades abertas.

Seis das vulnerabilidades do TOP 10 foram encontradas em produtos da Microsoft, três em produtos da Adobe e uma em produtos da Sun. Mas isto não significa que os programas destas companhias contenham um grande número de erros, sendo mais um indício da popularidade de que gozam entre os utilizadores.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para o ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.