O que é um vírus polimórfico? Detecção e práticas recomendadas

O que é um vírus polimórfico?

O vírus polimórfico, às vezes chamado de vírus metamórfico, é um tipo de malware programado para alterar repetidamente sua aparência ou arquivos de assinatura por meio de novas rotinas de descriptografia. Isso faz com que muitas ferramentas tradicionais de cibersegurança, como soluções antivírus ou antimalware, que dependem da detecção baseada em assinaturas, falhem ao tentar reconhecer e bloquear essa ameaça.

Como funciona um vírus polimórfico?

Um ataque polimórfico geralmente percorre o seguinte processo:

1. O ciber criminoso esconde o código malicioso por meio de criptografia, permitindo que ele ignore a maioria das ferramentas de segurança tradicionais.
2. O vírus é instalado em um endpoint e o arquivo infectado é baixado e descriptografado.
3. Após o download, um mecanismo de mutação cria uma nova rotina de descriptografia que é anexada ao vírus, fazendo com que ele pareça um arquivo diferente e, portanto, irreconhecível para ferramentas de segurança, mesmo que uma versão anterior do vírus de computador já tenha sido detectada e colocada em uma lista de bloqueio.

Embora os vírus polimórficos possam evoluir em termos de nome de arquivo, tamanho ou localização, a função, operação e objetivo do malware permanecem os mesmos. Por exemplo, um trojan que possui propriedades polimórficas sempre vai operar como um trojan, mesmo que a assinatura do arquivo seja alterada.

Exemplos de vírus polimórfico

Os vírus polimórficos surgiram pela primeira vez na década de 1990, como parte de um programa de pesquisa para demonstrar as limitações dos antivírus existentes. O primeiro, um vírus chamado 1260, ou V2PX, tinha como objetivo servir de alerta aos usuários da Internet, mas inadvertidamente acabou inspirando uma onda de atividades criminosas com base nas capacidades do vírus. Nas décadas seguintes, inúmeros vírus polimórficos surgiram e hoje quase todas as infecções por malware empregam alguma forma de polimorfismo.

Alguns dos exemplos mais conhecidos de vírus polimórficos e malware incluem:

1. O worm Storm: como um ataque multicamada, o worm Storm usou técnicas de engenharia social para enganar usuários e fazê-los baixar um cavalo de Troia, que infectaria o computador e transformaria o sistema alvo em um bot. A campanha infectou mais de 1 milhão de endpoints e interrompeu o serviço de internet para centenas de milhares de usuários ao mesmo tempo.
2. VirLock: considerado o primeiro exemplo de ransomware polimórfico, o VirLock foi um ataque de malware que se espalhou por meio de aplicações compartilhadas e armazenamento em nuvem. Ele se comportava como um ransomware típico, restringindo o acesso da vítima ao endpoint e alterando arquivos até que uma extorsão fosse paga.
3. Beebone: um malware polimórfico avançado, o Beebone assumiu o controle de milhares de computadores no mundo todo para formar uma botnet com o objetivo de interromper atividades bancárias por meio de ransomware e spyware.

Embora vírus polimórficos seja um termo comum no mundo da cibersegurança, nem todos os ataques polimórficos são de vírus. Alguns dependem de outros tipos de malware — como cavalos de Troia, keyloggers, bots, spyware e ransomware — com um mecanismo de mutação. Tecnicamente falando, esses ataques envolvem malware polimórfico ou malware metamórfico.

Como detectar um vírus polimórfico

Vírus polimórficos — ou qualquer tipo de malware que contenha técnicas polimórficas — podem ser difíceis de detectar pelos métodos tradicionais devido às suas capacidades avançadas de mutação.

Em termos simples, ferramentas de software antivírus ou antimalware tradicional procuram assinaturas ou heurísticas, que são sequências de código dentro do arquivo. Essas ferramentas não conseguem identificar a ameaça depois que ela é criptografada novamente. Isso ocorre inclusive mesmo que outro endpoint tenha sido infectado anteriormente na mesma rede por um vírus polimórfico conhecido que foi adicionado à lista de bloqueio.

Para detectar vírus polimórficos, as organizações devem implementar ferramentas avançadas de cibersegurança que possibilitem proteção contra malware sem assinatura.

A proteção contra malware sem assinatura usa algoritmos de machine learning (ML) para determinar a probabilidade de um arquivo ser malicioso, analisando o quadro mais amplo e extraindo a chamada “funcionalidade” dos arquivos analisados. Essas são características de alto nível que descrevem numericamente a estrutura do arquivo. Por exemplo, o modelo de ML pode analisar a quantidade de aleatoriedade em várias áreas do arquivo, bem como imagens, ícones, modelos de interface de usuário ou tabelas de strings. A ferramenta também pode dissecar e descrever o código de modo numérico para que ele possa ser alimentado em um classificador de machine learning.

Uma das maneiras mais eficazes de proteger a organização contra um vírus polimórfico é implementar uma solução robusta de antivírus de última geração (NGAV) que inclua proteção contra ameaças conhecidas e desconhecidas, incluindo ataques sem arquivos e ataques sem assinatura, bem como prevenção de ataque livre de malware e integração com ferramentas de inteligência de ameaças.

Para mais informações, leia nossa postagem relacionada: O que é NGAV?

Práticas recomendadas para prevenir vírus polimórficos

Uma grande parte do ataque de vírus polimórficos começa com comprometimento no nível do usuário. Por esse motivo, é importante que todos os usuários da internet permaneçam atentos aos indicadores de ataque e apresentem um comportamento responsável.

Alguns exemplos comuns incluem:

• Sempre instale um software antivírus de última geração e confiável, de preferência uma solução de segurança nativa em nuvem, e garanta que ele seja atualizado periodicamente.
• Mantenha seus sistemas operacionais e aplicações atualizados.
• Use um bloqueador de pop-ups ou evite clicar em anúncios pop-up.
• Nunca abra anexos de e-mail não solicitados ou suspeitos de remetentes não verificados.
• Nunca use uma conexão Wi-Fi desprotegida.
• Acesse somente URLs que começam com HTTPS.
• Tenha cuidado com software livre e leia atentamente os termos e condições de serviço.
• Coloque um bloqueio de tela no seu smartphone.
• Aplique políticas de senha forte.
• Habilite a autenticação multifatorial (MFA) em todos os dispositivos e aplicações.
• Revise cuidadosamente todas as permissões que você concede às aplicações no momento da instalação.
• Tenha cuidado ao aceitar cookies de sites.

Substitua sua solução antivírus desatualizada

A CrowdStrike Falcon® Prevent™ é o novo padrão de prevenção, oferecendo proteção superior contra malware, exploits, invasões livres de malware e ameaças avançadas persistentes. As organizações recebem um nível sem precedentes de visibilidade de tentativas de ataque em uma árvore de processo fácil de ler que fornece os detalhes e o contexto necessários para entender e saber como remediar o que está acontecendo no endpoint de forma eficaz.

A CrowdStrike Falcon® Prevent oferece proteção de última geração:

• Machine learning e inteligência artificial detectam malware e ransomware conhecidos e desconhecidos
• Indicadores de ataque baseados em comportamento (IOAs) evitam ataques sofisticados, incluindo ataques sem arquivos e sem malware
• Bloqueio de exploit para interromper a execução e disseminação de ameaças por meio de vulnerabilidades não corrigidas
• Capacidade de detectar e colocar em quarentena paradas de gravação e isolar arquivos maliciosos quando eles aparecem pela primeira vez em um host
• A inteligência de ameaças líder do setor está integrada à Segurança em Nuvem da CrowdStrike para bloquear ativamente atividades maliciosas
• A correção automatizada IOA limpa artefatos conhecidos deixados para trás por atividades maliciosas bloqueadas