O que é um cavalo de Troia?

O que é um cavalo de Troia? (malware trojan)

Um cavalo de Troia (ou trojan) é um tipo de malware que se disfarça de código ou software legítimo. Uma vez dentro da rede, os invasores conseguem realizar ações permitidas somente a usuários legítimos, como exportar ou excluir arquivos, modificar dados ou alterar o conteúdo do dispositivo. Os cavalos de Troia podem ser propagados em downloads de jogos, ferramentas, aplicações e até software de correção. Muitos ataques com cavalo de Troia também utilizam táticas de engenharia social, bem como spoofing e phishing, para provocar a ação desejada por parte do usuário.

Cavalo de Troia: vírus ou malware?

O trojan, ou cavalo de Troia, às vezes é chamado de vírus, mas tecnicamente esse termo é incorreto. Ao contrário de vírus ou worms, esse malware não consegue se replicar e nem se autoexecutar. Ele requer uma ação específica e deliberada do usuário.

Os cavalos de Troia são malwares e, como a maioria das formas de malware, são projetados para danificar arquivos, redirecionar o tráfego da Internet, monitor a atividade do usuário, roubar dados confidenciais ou configurar pontos de acesso ao sistema via backdoor. Os cavalos de Troia podem excluir, bloquear, modificar, vazar ou copiar dados, que podem ser vendidos de volta ao usuário na forma de resgate ou negociados na dark web.

10 tipos de malware trojan

Os cavalos de Troia são um veículo de ataque muito comum e versátil para ciber criminosos. Confira a seguir 10 exemplos de cavalos de Troia e como eles funcionam:

1. Cavalo de Troia de exploração: como o nome indica, esses cavalos de Troia identificam e exploram vulnerabilidades em aplicações de software para obter acesso ao sistema.
2. Cavalo de Troia em gerenciador de downloads: esse tipo de malware geralmente tem como alvo dispositivos infectados e instala uma nova versão de um programa malicioso no dispositivo.
3. Cavalo de Troia de sequestro de dados: assim como os ataques comuns de sequestro de dados, esse malware extorquem os usuários que desejam recuperar o dispositivo infectado e seu conteúdo.
4. Cavalo de Troia de backdoor: o invasor usa o malware para criar pontos de acesso clandestinos à rede.
5. Cavalo de Troia de ataque de negação de serviço distribuído (DDoS): os cavalos de Troia de backdoor podem ser implementados em vários dispositivos para criar uma botnet, ou rede zumbi, que pode então ser usada para realizar um ataque de DDoS. Nesse tipo de ataque, dispositivos infectados podem acessar roteadores sem fio e usá-los para redirecionar tráfego ou inundar uma rede.
6. Cavalo de Troia em antivírus falso: disfarçado de software antivírus, esse trojan é, na verdade, um ransomware que exige pagamentos do usuário para detectar e remover ameaças. Assim como o próprio software, os problemas que este programa alega ter detectado geralmente são falsos.
7. Cavalo de Troia em rootkit: este programa tenta ocultar ou disfarçar um objeto malicioso no dispositivo infectado para aumentar o tempo que o programa invasor será executado sem ser detectado pelas defesas do sistema.
8. Cavalo de Troia em SMS: mirando dispositivos móveis, esse trojan pode enviar e interceptar mensagens de texto. Ele também pode ser usado para gerar receita enviando mensagens SMS a números com tarifa premium.
9. Cavalo de Troia bancário ou trojan bancário: esse tipo de trojan tem como alvo específico contas financeiras. Ele é projetado para roubar dados relacionados a contas bancárias, cartões de crédito ou débito ou outras plataformas de pagamento eletrônico.
10. Cavalo de Troia em games: este programa tem como alvo específico jogadores de games on-line e tenta roubar as credenciais deles.

Exemplos de trojans

Programas de malware como cavalos de Troia estão sempre evoluindo, e uma maneira de prevenir ataques ou minimizar danos é dar uma olhada completa nos ataques anteriores. Aqui estão alguns exemplos:

• Zloader do NIGHT SPIDER: o Zloader estava se disfarçando de instaladores de programas legítimos como Zoom, Atera, NetSupport, Brave Browser, JavaPlugin e TeamViewer, mas carregava scripts maliciosos e cargas úteis que executavam reconhecimento automático do ambiente e baixavam o trojan no sistema local. As tentativas do ator da ameaça de evitar a detecção chamaram a atenção do time de threat hunters da CrowdStrike, que rapidamente conseguiram reunir evidências da campanha de ataque que estava em curso.
• QakBot: o QakBot é um trojan bancário de e-crime que pode se espalhar lateralmente em uma rede usando uma funcionalidade semelhante ao worm por meio de compartilhamentos de rede forçados e em contas de usuários do Active Directory, ou por meio da exploração de SMB (bloqueio de mensagens do servidor). Apesar das capacidades antianálise e evasivas do QakBot, a plataforma CrowdStrike Falcon® impede que esse malware conclua sua cadeia de execução ao detectar a operação do VBScript.
• Andromeda: o Andromeda é um trojan modular que foi usado principalmente como gerenciador de downloads para entregar payloads adicionais de malware, incluindo trojans bancários. Ele geralmente é empacotado e vendido com plugins que estendem sua funcionalidade, como rootkit, HTML formgrabber, keylogger e um proxy SOCKS. A CrowdStrike usou o PowerShell por meio da plataforma Real Time Response para remover o malware sem precisar escalar ou formatar a unidade — tudo isso sem afetar as operações do usuário em nenhum momento.

Como os trojans infectam os dispositivos?

Os trojans são uma das ameaças mais comuns da internet, afetando tanto as empresas quanto os indivíduos. Embora antigamente a maioria dos ataques mirasse usuários de Windows ou PC, o aumento de usuários do Mac tem ampliado os ataques ao macOS, tornando os usuários fiéis da Apple suscetíveis a esse risco de segurança. Além disso, dispositivos móveis, como telefones e tablets, também são vulneráveis aos trojans.

Algumas das formas mais comuns de um dispositivo ser infectado por trojans podem estar relacionadas ao comportamento do usuário, como:

• Baixar mídia pirateada, incluindo música, videogames, filmes, livros, software ou conteúdo pago
• Baixar qualquer material não solicitado, como anexos, fotos ou documentos, mesmo aqueles de fontes conhecidas
• Aceitar ou permitir uma notificação pop-up sem ler a mensagem ou entender o conteúdo
• Deixar de ler o contrato do usuário ao baixar aplicações ou softwares legítimos
• Deixar de instalar as últimas atualizações e correções de navegadores, SOs, aplicações e softwares

Trojans em dispositivos móveis

Embora a maioria das pessoas associe os ataques de trojan a computadores de mesa ou laptops, eles podem ser usados para mirar dispositivos móveis, como smartphones, tablets ou qualquer outro dispositivo que se conecte à Internet.

Assim como os ataques de malware tradicionais, ataques de trojans em dispositivos móveis são disfarçados de programas legítimos, geralmente como aplicações ou outro item baixado com frequência. Muitos desses arquivos vêm de mercados de aplicações piratas e não oficiais e são projetados para roubar dados e arquivos do dispositivo.

Como prevenir ataques de cavalos de Troia

Para usuários comuns, a melhor maneira de se proteger contra ataques de cavalos de Troia é adotar um comportamento on-line responsável, além de implementar algumas medidas preventivas básicas.

As práticas recomendadas de comportamento on-line responsável incluem:

• Jamais clicar em links não solicitados nem baixar anexos inesperados.
• Usar senhas fortes e exclusivas para cada conta on-line e para cada dispositivo.
• Acesse somente URLs que começam com HTTPS.
• Sempre efetuar login por meio de uma nova aba de navegação ou na aplicação oficial — jamais usar links recebidos por e-mail ou mensagem de texto.
• Use um gerenciador de senhas, que insere automaticamente a senha salva no website reconhecido (mas que não fará isso caso o website tenha sido alvo de spoofing).
• Usar filtro de spam para evitar que a maioria dos e-mails com spoofing cheguem à sua caixa de entrada.
• Habilite a autenticação bidirecional sempre que possível, pois isso dificulta muito a ação dos invasores.
• Garantir a instalação imediata das últimas atualizações de software e do SO.
• Efetuar backup dos arquivos com frequência para poder restaurar o computador em caso de ataque.

Além disso, os consumidores devem tomar medidas para proteger seus dispositivos e protegê-los contra todos os tipos de ataques de malware. Isso significa investir em software de cibersegurança, que pode detectar inúmeras ameaças e impedir que infectem o dispositivo.

Como responder a um ataque de trojan

A crescente sofisticação dos adversários digitais torna cada vez mais difícil para os usuários se proteger contra ataques de trojan por conta própria. O ideal é que, se uma pessoa suspeitar que seu sistema foi infectado por um trojan ou outro tipo de malware, entre em contato imediatamente com um profissional de cibersegurança de renome para ajudar a corrigir a situação e a colocar em prática medidas adequadas a fim de evitar a reincidência. No mínimo, os consumidores devem baixar um programa antivírus e um serviço de remoção de malware de um fornecedor confiável.

Para clientes empresariais, é importante trabalhar com um parceiro confiável de cibersegurança a fim de avaliar a natureza do ataque e seu escopo. Conforme discutido anteriormente, muitos programas tradicionais de remoção de antivírus e malware não corrigem as ameaças nem evitam a reincidência.

Solução da CrowdStrike para trojans

Para organizações empresariais, a proteção contra trojans é especialmente importante, pois o ataque a um computador pode levar ao comprometimento de toda a rede. A organização deve adotar uma combinação integrada de métodos para prevenir e detectar todos os tipos de malware, incluindo spyware. Esses métodos incluem machine learning e bloqueio de exploração. Aqui, vamos revisar essas capacidades dentro do contexto da CrowdStrike Falcon®, a plataforma de segurança nativa da nuvem líder do mercado.

• Machine learning: a Falcon usa machine learning para bloquear malware sem usar assinaturas. Em vez disso, a ferramenta emprega algoritmos matemáticos para analisar arquivos e proteger o host mesmo quando ele não está conectado à Internet.
• Bloqueio de exploração: o malware nem sempre vem na forma de um arquivo que pode ser analisado pelo machine learning. Alguns tipos de malware podem ser implementados diretamente na memória, por meio do uso de kits de exploração. Para se defender contra isso, a Falcon fornece uma função de bloqueio de exploração que adiciona outra camada de proteção.

A CrowdStrike Falcon® combina esses métodos com tecnologias inovadoras que operam na nuvem para proporcionar defesas mais rápidas e atualizadas. Para saber mais, entre em contato com nossa organização a fim de agendar uma demonstração ou fazer uma avaliação.