Web-based malware: a nova arma de ataque dos cibercriminosos – Primeira parte

Até pouco tempo, o e-mail era o principal vetor de ataque dos cibercriminosos. Entretanto, a percepção dos riscos e as medidas de proteção adotadas pelas organizações foram ampliadas. Dessa forma os hackers voltaram suas atenções para o ainda desprotegido ambiente da web. Passaram a utilizar então malware baseados em páginas web para dar continuidade a seus ataques visando à obtenção de informações confidenciais ou o estabelecimento de botnets - redes de computadores “sequestrados” - através das quais possam distribuir spyware, vírus, spam e outras ameaças.

Constantemente obtendo vantagens das novas vulnerabilidades relacionadas à infra-estrutura ou aos browsers, os hackers são capazes de inserir seus maliciosos códigos em websites legítimos.

O impacto desta atividade é extremamente lucrativo para os criminosos - um único computador comprometido pode dar acesso a milhares de registros. E apresenta também um alto custo para os negócios - estimados em U$197,00 por registro de cliente comprometido 1. Além destes importantes riscos de segurança, as organizações passam a lidar com impactos adversos em sua produtividade trazidos pela popularidade das novas redes sociais e outros sites não relacionados ao seu negócio. Essa navegação não autorizada pode causar sobrecarga à rede, ineficiência de seu pessoal e outros riscos de segurança e até mesmo legais no caso de divulgação de dados pessoais ou corporativos.

Diversos fatores contribuem para determinar o sucesso ou falha de um malware, incluindo-se aqui como e para quem ele foi distribuído, como foi executado, o quanto rapidamente ele se espalha e também o quanto ele escapa de uma possível detecção com sucesso. Devido a estes fatores, os hackers desenvolveram novos truques destinados a maximizar a taxa de infecção de seus malware’s. São eles:

Ampliação do alcance através do sequestro de reputação

83 por cento das páginas web infectadas por malware são encontradas em websites legítimos. A forma mais eficiente (considerando custo e tempo) para que um malware infecte o maior número de computadores na internet é hospedá-lo no maior número de sites que as pessoas possam acessar. E isto é exatamente o que esta sendo feito através do “sequestro” da reputação de websites existentes, infectando usuários inocentes através da popularidade e credibilidade das presumidamente seguras URL’s. Embora os hackers também se utilizam da criação de sites infectados utilizando serviços de hospedagem gratuitos e utilizando como nome de domínio um nome similar ao original esta prática é bem menos comum do que o sequestro de reputação.

Uma das formas mais convenientes de executar este tipo de ataque é através da tag HTML "IFRAME". Ao assumir como alvo um servidor web inseguro ou explorar alguma nova vulnerabilidade antes da aplicação de seu patch, os hackers podem facilmente injetar inúmeras páginas em diversos websites com um malicioso iFrame. Como este código é praticamente invisível (pode ter a dimensão de 1×1 pixel ou até mesmo ser definido como 0), o conteúdo pode ser carregado sem o conhecimento do administrador do site ou de seu visitante.

Encobrir o ataque através do disfarce de uma ferramenta de download

Em vez de inserir seu código malicioso diretamente em uma página web, os cibercriminosos freqüentemente plantam utilitários para download. Estes Trojans são desenvolvidos para escaparem da maioria dos mecanismos de defesa. Eles contém minúsculos códigos e não aparentam possuir uma carga maliciosa direta. Em vez disso, uma vez instalados, eles baixam a efetiva carga maliciosa de um outro website, normalmente através de uma porta não padrão. Em exemplos mais complexos o mecanismo de infecção pode envolver outros componentes que recuperam seus conteúdos de múltiplos domínios ou até mesmo recebem o malware em pedaços para evitar detecção remontando-o ao final. A carga também pode ser adiada para evitar detecção, remontando-o ao final do processo. A carga final pode ser também adiada tornando mais difícil para os usuários - e para as tecnologias de segurança comportamentais - observar qualquer atividade suspeita.

Infecção silenciosa através de download

Infecção silenciosa guiada por download não requer nada mais do que o acesso à uma página infectada utilizando um browser vulnerável - sem a aplicação dos patches devidos. Os usuários não precisam ser levados a clicar em links ou abrirem algum arquivo particular. Seu computador torna-se infectado simplesmente através da visita ao site explorado pelo autor do malware.
O problema para os administradores de site aqui é a manutenção atualizada dos browsers e seus plugins e não somente à de seu sistema operacional. Existem diversos patches lançados mensalmente para browsers e seus plugins - todos de diferentes desenvolvedores. Em apenas um exemplo do problema, no início de 2008 um controle ActiveX para upload de imagens utilizado pelos sites MySpace e Facebook deixou seus usuários vulneráveis ao ataque. Geralmente utilizado em combinação com o sequestro de reputação que provê a melhor maneira para alcançar suas vítimas, a infecção por download é um dos mecanismos mais efetivos das ferramentas hacker.

No próximo post ilustrarei mais alguns dos truques utilizados pelos hackers neste novo foco de ataque adotado.