O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.
1. Cenário de Ameaças em 2011
Mariano Sumrell Miranda – AVG Brasil/Winco
SegInfo - Agosto, 2011
2. Agenda
Introdução
Como os dados foram levantados
Algumas estatísticas do 2º Trimestre de
2011
Exploit Toolkits e Blackhole
Destaques de 2011
Malwares assinados com certificados roubados
Ameaças no mundo Apple
Ameaças para dispositivos móveis
Mídias Sociais
3. Os Dados
Dados e tráfego coletados do Community Protection
Network e analisados pelo AVG.
Community Protection Network
Informações sobre as ameaças mais recentes e são coletadas de
clientes que optam por participar do programa. Essas informações são
analisadas e compartilhadas com a comunidade AVG para assegurar que
todos recebam a melhor proteção possível.
120 milhões de usuários.
http:/www.avgbrasil.com.br/relatorio-ameacas-Q2-2011
http:/www.avgbrasil.com.br/relatorio-ameacas-Q1-2011
4. Estatísticas
Falsos Antivírus: 35,79% das ameaças detectadas
Exploit Toolkits: 37% das ameaças em websites são de exploit kits
Exploit Toolkit mais usado: Blackhole -> 75,83% dos toolkits
Driver Externo: 11,3% das ameaças usam devices externos, como pendrive,
como forma de propagação através do autorun.
Spam:
EUA é a origem da maioria dos spams com 32,9% do total
bit.ly é o encurtador mais usado nos spams
Inglês é a lingua mais usada
5. Prevalência de Ameaças na Web
Antivírus Falso 35,79%
Blackhole Exploit Kit 28,66%
Fragus nulled exploit kit 7,48%
Engenharia Social 5,73%
Spam sites de produtos farmaceuticos 3,75%
Links para Exploit Sites 3,34%
Facebook Clickjacking 2,92%
Falsos Antispywares 2,29%
Codecs Falsos 1,23%
NeoSploit Exploit Kit 1,22%
9. Exploit Toolkits
Toolkits que automatizam o ataque a visitantes de sites
infectados (‘drive-by’ attack).
Exploram diferentes falhas de segurança de sistemas
operacionais, navegadores e aplicações.
Vendidos no mercado negro com preços variando de
centenas de dólares a mais de mil dólares.
Licença anual do Blackhole custam em torno de USD 1.500
Podem ser usados por não especialistas, não requerendo
conhecimento de TI ou segurança.
10. Blackhole Toolkit
Iframe com script obfuscado redireciona para o servidor do
Blackhole
Página contém exploits para várias vulnerabilidades: Java,
PDF, HCP, MDAC, etc.
Faz download de Trojan.Carberp que envia ao command-
and-control server (C&C) um id único usado nas transações
sibsequentes e envia uma lista de todos os processos em
execução na máquina atacada.
O trojan faz download de 3 módulos:
miniav.plug – procura outros trojans, como o Zeus, e desabilita os
concorrentes
stopav.plug – disabilita o antivírus instalado no computador
passw.plug – loga todos as combinações de usuários/senhas e as urls
visitadas
11. Blackhole
Por fim faz 2 downloads:
Trojan Hiloti (downloader que tenta baixar arquivo de um
servidor gratuito de downloads)
FakeAV – antivírus falso
16. Malwares assinados com
certificados falsos
Crescimento de mais 300% em 2011 de malwares
assinados
Usuários acreditam em aplicações assinadas por empresas
conhecidas e certificadas por autoridades certificadoras
confiáveis.
Windows Vista e 7 permite a instalação de certos tipos de
softwares (ex.: device drivers) se forem assinados
Exemplo mais famoso:
Stuxnet: assinado por Jmicron e Realtek - 2010
17. Ameaças no mundo Apple
O cybercrime percebeu o crescimento de usuários Mac e
passaram a atacar as plataformas da Apple também.
Mesmas técnicas usadas para Windows, principalmente
engenharia social.
Fonte: http://marketshare.hitslink.com
18. Dispositivos móveis
Mesmo caso do Mac OS: aumento do uso de smartphones e
tablets torna interessante atacar esses dispositivos.
Internet: 1,5 bilhões de usuários
Celulares: 4,5 bilhões de usuários
Cuidados com a segurança dos dispositovos móveis é bem menor
que do que com o desktop.
19. Ameaças para o Android
Comparado com o número de ameaças para o desktop, o
número de malwares é pequeno. Mas o crescimento
impressiona.
20. Dispositivos móveis
Principal forma de contaminação: aplicativos falsos
Durante o 1º Trimestre de 2011 0,20% dos downloads de
aplicativos foram malwares.
3,9 Bilhões de downloads (fonte androlib.com) => 7,8 milhões
de download de malwares.
Engenharia Social, incluindo Spams por SMS, é a
principal forma de induzir as pessoas a baixarem esses
aplicativos
0,02% das mensagens de SMS são maliciosas
Nos EUA, em Dezembro de 2010 (fonte www.ctia.org):
187,7 bilhões de SMSs => 3,75 milhões de mensagens
maliciosas
21. Dispositivos móveis
Roubo de senhas, informações bancárias e cartões de
crédtio, como nos desktops.
Smartphones possibilitam uma nova forma de monetização
Envio de SMS para a contratação de serviços SMS pagos:
Horóscopo
Previsão de tempo
Notícias
22. Midias Sociais
Crescimento acelearado continua fazendo das midias sociais
ótima forma de propagar malwares
Links encurtados ajudam o phishing
Clickjacking usado principalmente no Facebook
Sequestro de conexões (ex. Firesheep)
http://www.avg-empresas.com.br/videos