Resumo executivo. Relatório do McAfee Labs sobre ameaças: Terceiro trimestre de 2013

(1)

Resumo executivo

Relatório do McAfee

®

_{Labs sobre ameaças:}

(2)

2 Resumo executivo — Relatório do McAfee Labs sobre ameaças: terceiro trimestre de 2013

Embora o verão possa ser uma estação relativamente tranquila em relação a atividades de cibercriminosos

(pois até os bandidos precisam de uma folga de vez em quando), o terceiro trimestre de 2013 provou que

a quantidade e a sofisticação das novas ameaças “não tiraram férias”. O aumento das novas amostras

de malware para PC nesse trimestre foi relativamente constante, com 20 milhões de novas amostras

adicionadas ao “zoológico” da McAfee, elevando o total para mais de 170 milhões. Já o malware para

Android aumentou em cerca de 700.000 amostras, chegando a um total de 2,8 milhões.

Foram observadas quatro tendências principais que demonstram a necessidade de vigilância

contínua para proteger dados confidenciais, tanto de empresas quanto de pessoas.

•

_{Os ataques contra o sistema operacional móvel Android aumentaram mais de 30%, impulsionados}

pelo menos em parte pela exploração da bem documentada vulnerabilidade de chave principal

do Android, que permite aos atacantes contornar a verificação de assinatura que normalmente

identificaria aplicativos maliciosos.

•

_{O aumento no surgimento de malware “assinado” continua a colocar em dúvida a validade de}

muitos dos certificados digitais em uso atualmente e traz a questão de como empresas e pessoas

podem diferenciar entre os certificados válidos e os corrompidos.

•

O spam global aumentou 125%.

•

_{O uso de novas moedas virtuais pelos cibercriminosos, tanto para executar transações ilegais como}

para lavar os lucros gerados por atividades criminosas on-line e off-line, possibilita novos níveis

nunca observados de atividades criminosas no que se conhece como Deep Web.

Malware móvel

Os ataques contra a plataforma Android continuam seu avanço incansável, com cerca de 700.000 novas amostras de malware para Android catalogadas neste trimestre. Em 2012, o malware para Android teve os maiores picos no quarto trimestre. Vamos ver se isso se repetirá em 2013.

Os pesquisadores do McAfee Labs identificaram uma nova família de malware para Android, Exploit/MasterKey.A, que permite ao atacante burlar a validação da assinatura digital de aplicativos. Como essa validação é um dos principais componentes do processo de segurança do Android, esse é um desdobramento preocupante. Os pesquisadores do McAfee Labs também descobriram uma nova classe de malware para Android que, uma vez instalada, faz o download de uma carga maliciosa de estágio secundário sem o conhecimento do usuário.

Novos itens de malware para Android

0 100.000 200.000 300.000 400.000 500.000 600.000 700.000 800.000 900.000 1.000.000 T3 2013 T2 2013 T1 2013 T4 2012 T3 2012 T2 2012 T1 2012 T4 2011 T3 2011 T2 2011

(3)

Malware assinado

Historicamente, muitas empresas estabeleceram uma regra de detecção de malware em seus firewalls e outras defesas de perímetro, para detectar quando um binário é digitalmente “assinado”. O pressuposto é de que os binários assinados usando um certificado de uma autoridade certificadora (CA) conhecida são válidos. Infelizmente, a comunidade de cibercriminosos já sabe disso e agora está assinando uma parte crescente de suas cargas maliciosas, usando certificados roubados ou obtidos de fornecedores não autorizados das CAs.

O McAfee Labs tem documentado o crescimento do malware com assinatura digital há algum tempo. A popularidade dessa tendência continua a aumentar, pois é uma forma relativamente fácil dos cibercriminosos contornarem uma das técnicas mais comuns de filtragem de binários. O aumento observado do malware assinado foi de quase 50% nesse trimestre.

O McAfee Labs informou em outubro que a porcentagem de malware com assinatura digital havia aumentado de 1,3% em 2010 para 5,3% em 2013. Embora isso possa parecer uma mudança pequena, significa que mais de cinco milhões de amostras de malware digitalmente assinadas estão em circulação. No mercado móvel essa tendência é ainda mais acentuada, com a porcentagem de malware assinado aumentando de praticamente zero para quase 25% das amostras conhecidas de malware para Android nos últimos três anos.

O McAfee Labs informou na conferência Focus 2013 que, embora haja muitos certificados digitais falsos em uso,

a comunidade de cibercriminosos parece ter seus preferidos. Nós identificamos um punhado de certificados falsos que foram usados para assinar mais de 1.000 binários maliciosos diferentes. Também identificamos outros certificados que foram usados para assinar pelo menos 500 elementos de malware diferentes. O tempo irá dizer se essa concentração de certificados no “topo” da pirâmide permitirá que os profissionais de segurança possam bloquear e isolar as cargas maliciosas.

Novos binários assinados maliciosos

0 200.000 400.000 600.000 800.000 1.000.000 1.200.000 1.400.000 1.600.000 1.800.000 T3 2013 T2 2013 T1 2013 T4 2012 T3 2012 T2 2012 T1 2012 T4 2011 T3 2011

(4)

4 Resumo executivo — Relatório do McAfee Labs sobre ameaças: terceiro trimestre de 2013

Picos de spam

Após anos de declínio e um crescimento relativamente fraco no ano passado, o spam global aumentou no terceiro trimestre de 2013. De fato, o aumento ocorreu principalmente nas últimas quatro semanas do trimestre. No trimestre como um todo, o volume de spam global aumentou 125%. Os pesquisadores do McAfee Labs acreditam que uma grande parte desse aumento foi causada por empresas legítimas de marketing que compraram e usaram listas de fontes de reputação duvidosa. Conhecidos como “snowshoe spammers” ou marqueteiros afiliados, essas empresas vendem seus serviços para profissionais de marketing legítimos, mas usam quaisquer listas e técnicas que puderem para maximizar sua distribuição e taxas de resposta. Essas campanhas de grande volume de mensagens geralmente não contêm malware, mas para os usuários é praticamente impossível saber a diferença.

Volume de spam global, em trilhões de mensagens

0 1,0 2,0 3,0 4,0 5,0 MAR/ 2013 ABR/ 2013 MAIO/ 2013 JUN/ 2013 FEV/ 2013 JAN/ 2013 DEZ/ 2012 NOV/ 2012 OUT/ 2012 SET/ 2013 AGO/ 2013 JUL/ 2013 Moedas virtuais

Um dos “tópicos cibernéticos” mais discutidos nos últimos doze meses é o surgimento de uma classe de moedas virtuais cujo valor não está vinculado a moedas tradicionais (dólares, euros, ienes, etc.). O Yankee Group estima que o chamado mercado de moedas virtuais cresceu para US$ 47,5 bilhões em 2012. Essas novas moedas virtuais têm várias finalidades úteis, permitindo que os usuários comprem e vendam serviços on-line sem as restrições impostas por cartões de crédito/ débito normais ou as complexidades associadas às transferências eletrônicas de fundos. Elas têm um benefício adicional, pois as transações podem ser executadas de forma anônima.

É esse recurso de anonimato que atrai o interesse da comunidade de cibercriminosos, pois permite que eles ofereçam serviços e produtos ilícitos em transações que normalmente seriam vigiadas e impedidas pelas autoridades. Isso também oferece um modo muito eficiente de “lavar” os lucros de atividades criminosas, tanto on-line como off-line. O recente relatório do McAfee Labs intitulado Lavanderia digital: Uma análise das moedas on-line e seu uso no crime cibernético1_{examina como as moedas virtuais permitem que a comunidade de cibercriminosos ofereça drogas, armas}

e outros produtos e serviços ilegais on-line. O relatório também mostra como o câmbio de moedas virtuais permite que os criminosos lavem grandes quantidades de dinheiro obtido ilicitamente.

(5)

O surgimento das moedas virtuais e seu anonimato inerente também levou ao desenvolvimento de vários sites de negócios na “Deep Web” especializados na distribuição varejista de produtos e serviços ilegais.

O maior desses sites era o Silk Road, que foi fechado pelas autoridades no dia 1º de outubro. Esse site era conhecido principalmente como um mercado de drogas, mas também oferecia mais de 200 categorias de produtos, incluindo outros serviços ilegais, como a invasão de caixas eletrônicos. Embora o fechamento do Silk Road tenha sido uma grande vitória para as autoridades, há muitos desses mercados na Deep Web operando globalmente. O BlackMarket Reloaded é apenas mais um. Esse problema não vai desaparecer tão cedo.

Uma cópia do relatório completo pode ser encontrada aqui: www.mcafee.com/br/resources/reports/rp-quarterly-threat-q3-2013.pdf.

1_{http://www.mcafee.com/br/resources/white-papers/wp-digital-laundry.pdf}

McAfee e o logotipo da McAfee são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. McAfee do Brasil Comércio de Software Ltda.