AMSTERDAM, 27 de Janeiro de 2009 – A AVG Technologies, uma das principais desenvolvedoras de software de segurança para a Internet, lançou estatísticas alarmantes que retratam como as ameaças da web estão se desenvolvendo. O principal atributo de infecções web é hoje a transitoriedade – perto de 60 por cento dos sites envenenados com malwares do tipo “drive-by downloads” ou dos ataques de engenharia social são infectantes por um dia ou menos. Quando medidos, 74 a 86 por cento de todas as páginas envenenadas se mostraram infectantes por um dia ou menos.
Drive-by downloads é um tipo de malware que é automaticamente entregue aos sistemas dos visitantes dos sites sem que esses visitantes tenham que fazer qualquer coisa – nem mesmo um clique em um link é necessário para entregar esse tipo de infecção que pode roubar senhas, informações sobre contas bancárias e muito mais.
Essa transitoriedade significa que qualquer pessoa com segurança baseada em softwares que fornecem proteção usando assinaturas tradicionais de vírus ou por varredura periódica dos milhões de sites ativos na web, está completamente desprotegida justamente quando mais precisa da proteção: no momento crucial de clicar em um link para um site envenenado com uma destas infecções transitórias.
Indo mais fundo nos dados de monitoramento de tipos específicos de infecções, a empresa verificou que:
- 94 por cento dos sites distribuem ataques de falso CoDec (sigla para codificador/decodificador) – é oferecido ao usuário um CoDec de vídeo ou ferramenta de conversão, a fim de visualizar ou fazer download de um vídeo especial, mas na realidade, trate-se de um pedaço de malware – geralmente ativo por menos de 10 dias, com 62 por cento ativos durante menos de um dia. Veja abaixo uma ilustração que mostra esta dramática taxa de drop-off.
- 91 por cento dos sites que distribuem ataques são provenientes da China – roubam itens aparentemente inofensivos como senhas de jogos como World of Warcraft para revender em sites como o eBay em dinheiro real – são tipicamente ativos por menos de 12 dias, com quase 50 por cento ativos por menos de um dia.
- 72 por cento dos falsos sites de anti-spyware, são na realidade depósito desse tipo de infecção, e uma vez após envenenar a máquina do usuário, se oferecem para removê-lo mediante uma taxa e, em média, ficam ativos por menos de duas semanas, com 28 por cento ativos durante menos de um dia.
Drop-off em dias ativos por ataques de falsos CoDecs.
(Clique na imagem para ampliá-la)
Existem algumas outras inter-relações que fornecem dicas interessantes sobre como esses criminosos operam. Por exemplo, os dados revelam que os criminosos que utilizam ataques de falsos CoDec utilizam 4,6 vezes as páginas exclusivas assim como o fazem os criminosos que utilizam ataques de anti-spyware. No entanto, os dados revelam ainda que os ataques de falso anti-spyware afetam 68 por cento mais do que os ataques de falso CoDec. Isto sugere que o ataque de falso anti-spyware é geralmente mais eficaz do que o ataque de falso CoDec – e também muito mais evasivo às soluções com varreduras periódicas centralizadas.
De acordo com o CEO da AVG Technologies, JR Smith, "Atualmente, as infecções suportadas pela web seguem o lema “hoje aqui, amanhã não mais". Qualquer produto de segurança para web que dependa de visitar e digitalizar sites para entregar uma classificação de segurança para seus usuários teria que visitar cada uma das centenas de milhões de sites na Internet todos os dias para fornecer proteção contra essas ameaças – uma tarefa tecnologicamente impossível mesmo com os atuais supercomputadores. A nossa recente aquisição da tecnologia de análise comportamental da Sana Security acrescentou ainda mais uma camada de proteção às nossas soluções, que vai nos ajudar a manter os usuários a salvo de ameaças novas e desconhecidas".
A taxa de aparecimento destes sites caracterizados pelo "hoje aqui, amanhã não mais" está aumentando – nos últimos três meses, pesquisadores da AVG observaram o número médio de novos sites com infecção única crescer de 100.000-200.000 por dia para uma média de 200.000-300.000 por dia, num padrão que parece destinado a continuar. A Figura B abaixo mostra gráficos deste crescimento.
Figura B: Novas URLs maliciosas encontradas diariamente
(Clique na imagem para ampliá-la)
Parece que as contagens de URL únicas estão aumentando, em parte porque cybercriminosos fazem mais uso de tokens com interrogações para atingir os usuários individualmente, uma tendência preocupante que os investigadores da AVG estão investigando mais detalhadamente.
Naturalmente, a utilização da Internet como uma forma de distribuir infecções não é nada de novo – criminosos vêm tentando há anos para atrair usuários desavisados para o download de programas que vão roubar informações valiosas e, em seguida, enviar de volta as informações para hackers. O que é novo é que o crime organizado está agora fazendo uso de malwares adquiridos a partir de hackers em um dos muitos mercados de malware que existem na Internet, e cuidadosamente selecionando um mecanismo não rastreável, como publicidades em banner mudando aleatoriamente, para distribuir seus malwares.
Transitoriedade e mudança rápida de informações são também características marcantes das redes sociais como o Facebook e o MySpace, por isso não é surpresa que os cybercriminosos tenham encontrado um território fértil nessas redes. Mensagens de supostos amigos que direcionam os usuários para páginas infectadas com malwares são bem sucedidas por facilmente confundir as pessoas. Há ainda links para música ou vídeos que pedem aos usuários para fazer o download de programas multimídia aparentemente inocentes, mas que na verdade carregam uma ameaça oculta.
Roger Thompson, Chefe do Centro de Pesquisa da AVG Technologies, assinala três fatores essenciais que tornam especialmente difícil para empresas de segurança monitorar e detectar estes tipos de ameaças:
"Em primeiro lugar, é preciso um longo tempo para detectar e encerrar ameaças distribuídas aleatoriamente em milhares de páginas diferentes ou em um grande site de rede social. Em segundo lugar, a ameaça é normalmente de curta duração: um programa malicioso entregue através de um site realmente popular não precisa estar ativo por um longo período para atrair um grande número de vítimas. E em terceiro lugar, a Internet é tão grande que scanear cada página da web para encontrar uma ameaça que pode estar presente apenas durante algumas horas ou dias, é simplesmente inviável.”
"E para piorar tudo, os mais sofisticados atacantes sabem se esconder de scanners itinerantes: eles identificam os endereços de IP utilizados por esses scanners e certificam-se de não se mostrar quando esses endereços de IP chamam. Mas, evidentemente, nada disso é realmente relevante para as pessoas que se infectam durante aquelas poucas horas críticas.”
AVG tem uma abordagem diferente para proteger os usuários contra essas astutas ameaças. As pesquisas do Laboratório de Prevenções da AVG reúnem dados de várias fontes vitais para adicionar uma camada de proteção em tempo real a todos os produtos AVG em cima da camada de detecção com tecnologia baseada na assinatura dos malwares. Esta proteção adicional será agora estendida com a aquisição da tecnologia de análise de comportamento e proteção de identidade da Sana Security.
Thompson acredita que esta abordagem em camadas é fundamental, dada a natureza das ameaças de hoje. "Se um site contém uma coisa ruim, ela pode facilmente conter várias coisas ruins – e isso normalmente acontece. Ao reunir dados de várias origens, somos capazes de construir uma visão completa das ameaças individuais e proporcionar a proteção adequada”.
"É importante que os utilizadores compreendam que os tradicionais softwares antivírus, ainda que parte importante da segurança on-line, já não são capazes de proporcionar proteção contra todos os vírus que agem individualmente na rede – nos nossos laboratórios vemos dezenas de milhares de novos vírus todos os dias. Então o que fazemos é olhar para o comportamento dessas ameaças – o que é uma tarefa muito mais controlável, porque há muito menos maneiras diferentes das ameaças serem entregues do que analisar os malwares por si só. É um pouco como detectar cartas-bomba – temos dados suficientes provenientes das nossas pesquisas que nos capacitam para identificar uma ameaça (a bomba), pelo mecanismo de entrega (o envelope que carrega a bomba)”.
O software Internet Secutiry da AVG, com a adição da tecnologia de análise comportamental da Sana Secutity, fornece a mais oportuna, precisa e confiável proteção para os usuários da Internet através da análise das páginas da web na única vez que importa – quando o usuário está prestes a visitá-las. A AVG oferece a única proteção em tempo real da indústria contra a nova geração de ameaças suportadas pela web para proteger as informações pessoais dos usuários contra invasões indesejadas de cybercriminosos.
Sobre AVG Technologies
AVG é uma das líderes globais em solução de segurança, e atualmente protege mais de 80 milhões de usuários em 167 países das crescentes ameaças da web, como vírus, spam, golpes eletrônicos e de hackers na Internet. Com sede em Amsterdan, AVG tem quase 20 anos de experiência em combater o cybercrime e possuiu um dos mais avançados laboratórios para detecção, apreensão e combate a ameaças na Internet. O seu software gratuito, que pode ser baixado na Internet, permite que usuários iniciantes tenham proteção básica e facilmente, utilizando baixos custos, atualizem para maiores níves de proteção e satisfação. No Brasil, a Winco é a distribuidora exclusiva das soluções da fabricante. Mais informações em www.avgbrasil.com.br.