Novo produto dos cibercriminosos “Exploit-as-a-service”

/em /por

Os cibercriminosos inauguram mais uma fase da evolução do SaaS: além de disponibilizarem conjuntos de ferramentas de exploração de vulnerabilidades de sites, associam serviços de hospedagem. É o “exploit-as-a-service”. Os clientes pagam pelo período de tempo em que as iniciativas estão infectando ativamente os computadores.

Os conjuntos de ferramentas oferecem vários tipos de “exploits”, ou seja, sequências de códigos capazes de permitir ao usuário tirar partido de vulnerabilidades de software, para introduzir malware em um sistema. Investigadores da Seculert descobriram que pelo menos um par desses conjuntos ou kits – Incognito 2.0 e Bomba – oferecem os seus próprios serviços de alojamento na web – assim como uma interface de gestão acessível pela internet.

O novo modelo de negócio torna mais fácil a vida dos cibercriminosos ou operadores com problemas em garantir a robustez do alojamento de servidores com malware, disse Aviv Raff, CTO e co-fundador da Seculert. A empresa especializou-se no serviço baseado em cloud computing que alerta os seus clientes para novos fenômenos de malware, vulnerabilidades e outras ameaças virtuais.

O conjunto de ferramentas descoberto destina-se a criminosos interessados em atacar um grande número de computadores com Microsoft Windows. Uma vez violada a segurança dos computadores, as máquinas podem ser usadas para roubar dados pessoais, enviar spam, e realizar ataques de negação de serviço.

O serviço tornou-se também mais barato. Os criminosos pagam apenas pelo tempo em que os ataques estão acontecendo, ou seja, se por alguma razão os ISP desligarem os servidores, os autores do ataque não têm de pagar por esse tempo de indisponibilidade, explica Raff. O mesmo estima que o alojamento do malware e o serviço de exploração das vulnerabilidades custarão entre 71 a 142 euros por mês.

“É tudo gerido pelo prestador de serviços”, disse Raff. “Não temos os números exatos, mas como qualquer outro serviço em cloud computing, é razoável que a conta seja muito mais baixa do que a compra do kit e da hospedagem. ”

O cliente deve fornecer o seu próprio malware para os ataques. No caso do Incógnito, é preciso primeiro invadir sites, para depois redireccionar vítimas para os servidores hospedados pelos operadores do Incognito 2.0. Quando uma potencial vítima visita um dos sites infectados, é exibido uma “iframe”, que traz conteúdo dos servidores do Incognito, e começa a tentar invadir as máquinas tentando explorar vária vulnerabilidades.

Oito mil sites legítimos infectados
Até agora, a Seculert detectou cerca de 8 mil sites legítimos que foram hackados e estão  “puxando” software alojado no Incognito 2.0. Algumas vítimas são infectadas quando vão a esses sites por meio da navegação normal, disse Raff. Mas os hackers também têm usado campanhas de spam para tentar atrair as pessoas aos sites infectados.

Uma dessas mensagens de spam recentemente identificada pela Seculert pretendia ser sagem de apoio a partir do Twitter, que encorajava as pessoas a clicarem num link que supostamente foi um vídeo sobre a zona dos reactores nucleares danificados em Fukushima, pelo tsunami no início deste mês. Se uma pessoa clicar no link, não é exibido nenhum vídeo mas um “Trojan Downloader” é instalado no computador, se houver vulnerabilidade de software.

O Incognito 2.0 oferece interface de gestão baseada na web, onde os clientes podem verificar quantos computadores foram infectados, que tipo de vulnerabilidade e qual ferramenta foi utilizada, disse Raff. O negócio em torno dessa ferramenta parece estar em crescimento. Depois de analisarem a infraestrutura do dispositivo, os investigadores da Seculert encontraram pelo menos 30 clientes que a usavam para instalar tudo: o troiano Zeus, software antivírus falso, downloaders de Troianos, capazes de instalar outros programas nocivos em computadores infectados.

Pelo menos 150 mil máquinas foram infectadas em duas semanas durante o mês de Janeiro. Cerca de 70% dos computadores foram infectados com um dispositivo de exploração de vulnerabilidades do Java Runtime Environment. Cerca de 20% foram infectados por meio de uma vulnerabilidade no Adobe Reader.

Talvez você goste dos artigos
Gestão do mercado corporativo
Gestão planejamento tenha a vantagem
Um milhão de pessoas migra de operadora no ano
TI tem maior número de fusões e aquisições
Gestores de TI VS empregados nas redes sociais
BlackBerry vira motivo de vergonha para usuários
Gestão Empresarial – Seja mais influente
Cresce a exigência sobre profissionais de TI