Quais são os tipos de malware?
Embora existam muitas variações diferentes de malware, é mais provável que você encontre os seguintes tipos mais comuns:
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Abaixo, descrevemos como eles funcionam e fornecemos exemplos reais de cada um.
1. Ransomware
Ransomware é um software que usa criptografia para bloquear o acesso da vítima aos seus dados até que um resgate seja pago. A organização vítima fica parcial ou totalmente impossibilitada de operar até que efetue o pagamento, mas não há garantia de que o pagamento resultará na chave de descriptografia necessária ou que a chave de descriptografia fornecida funcionará corretamente.
Exemplo de carta de resgate
Exemplo de ransomware:
Este ano, a cidade de Baltimore foi atingida por um tipo de ransomware chamado RobbinHood, que interrompeu por semanas todas as atividades da cidade, incluindo arrecadação de impostos, transferências de propriedades e e-mails do governo. Esse ataque custou à cidade mais de US$ 18 milhões até agora, e esse valor segue aumentando. O mesmo tipo de malware foi usado contra a cidade de Atlanta, em 2018, resultando em custos de US$ 17 milhões.
2. Malware sem arquivos
O malware sem arquivos não instala nada inicialmente; em vez disso, ele faz alterações em arquivos nativos do SO, como PowerShell ou WMI. Como o sistema operacional reconhece os arquivos editados como legítimos, um ataque sem arquivos não é detectado pelo software antivírus — e como esses ataques são sigilosos, eles são até dez vezes mais bem-sucedidos do que os ataques de malware tradicionais.
Exemplo de malware sem arquivos:
O Astaroth é uma campanha de malware sem arquivos que enviou spam para usuários com links para um arquivo de atalho .LNK. Quando os usuários baixaram o arquivo, uma ferramenta WMIC foi iniciada, juntamente com várias outras ferramentas legítimas do Windows. Essas ferramentas baixavam código adicional que era executado apenas na memória, não deixando nenhuma evidência que pudesse ser detectada pelos scanners de vulnerabilidade. Em seguida, o invasor baixou e executou um trojan que roubou credenciais e as carregou em um servidor remoto.
3. Spyware
O spyware coleta informações sobre as atividades do usuário sem seu conhecimento ou consentimento. Isso pode incluir senhas, PINs, informações de pagamento e mensagens não estruturadas.
O uso de spyware não se limita ao navegador de desktop: ele também pode operar em aplicações críticas ou em dispositivos móveis.
Mesmo que os dados roubados não sejam críticos, os efeitos do spyware geralmente se espalham por toda a organização, pois prejudica o desempenho e a produtividade geral.
Exemplo de spyware:
O DarkHotel, que mirava líderes empresariais e governamentais usando o WiFi de hotéis, usou vários tipos de malware para obter acesso aos sistemas pertencentes a pessoas poderosas específicas. Uma vez obtido o acesso, o invasor instalou um keylogger para capturar as senhas dos alvos e outras informações confidenciais.
4. Adware
O Adware rastreia a atividade de navegação do usuário para determinar quais anúncios exibir. Embora o Adware seja semelhante ao spyware, ele não instala nenhum software no computador do usuário nem captura as teclas digitadas.
O perigo do Adware é a erosão da privacidade do usuário. Os dados capturados pelo Adware são relacionados com os dados capturados, aberta ou secretamente, sobre a atividade do usuário em outros lugares na internet e usados para criar um perfil dessa pessoa que inclui quem são seus amigos, o que eles compraram, para onde viajaram, entre outras coisas. Essas informações podem ser compartilhadas ou vendidas a anunciantes sem o consentimento do usuário.
Exemplo de Adware:
O Adware chamado Fireball infectou 250 milhões de computadores e dispositivos em 2017, sequestrando navegadores para alterar mecanismos de pesquisa padrão e rastrear atividades na web. No entanto, o malware tinha o potencial de se tornar mais do que um mero incômodo. Três quartos deles conseguiram executar códigos remotamente e baixar arquivos maliciosos.
Expert Tip
Baixe o CrowdInspect: uma ferramenta comunitária gratuita para sistemas Microsoft Windows para alertá-lo sobre a presença de possíveis malwares em seu computador, que podem estar se comunicando pela rede.
5. Trojan
O Trojan se disfarça como um código ou software desejável. Uma vez baixado por usuários desavisados, o trojan pode assumir o controle do sistema da vítima para fins maliciosos. Os trojans podem se esconder em jogos, aplicações ou até mesmo em softwares de correção, ou podem estar integrados em anexos incluídos em e-mails de phishing.
Exemplo de trojan:
O Emotet é um trojan bancário sofisticado que existe desde 2014. É difícil combater o Emotet porque ele evita a detecção baseada em assinatura, é persistente e inclui módulos espalhadores que o ajudam a se propagar. O trojan está tão disseminado que é alvo de um alerta do Departamento de Segurança Interna dos EUA, que observa que o Emotet custou aos governos estaduais, locais, tribais e territoriais até US$ 1 milhão por incidente a remediar.
Saiba mais
O malware TrickBot é um tipo de trojan bancário lançado em 2016 que desde então evoluiu para um malware modular e multifásico, capaz de realizar uma ampla variedade de operações ilícitas. Saiba mais sobre o que torna o TrickBot tão preocupante aqui.
6. Worms
Os worms miram vulnerabilidades em sistemas operacionais para se instalarem nas redes. Eles podem obter acesso de várias maneiras: por meio de backdoors incorporados ao software, vulnerabilidades não intencionais no software ou até pen drives. Uma vez instalado, os worms podem ser usados por um ator malicioso para lançar ataques DDoS, roubar dados confidenciais ou realizar ataques de ransomware.
Exemplo de worm:
O Stuxnet foi provavelmente desenvolvido pelas forças de inteligência dos EUA e de Israel com a intenção de atrasar o programa nuclear do Irã. Ele foi introduzido no ambiente do Irã por meio de um pen drive. Como o ambiente era isolado, seus criadores nunca pensaram que o Stuxnet escaparia da rede de seu alvo, mas isso aconteceu. Uma vez solto no mundo, o Stuxnet se espalhou agressivamente, mas causou poucos danos, já que sua única função era interferir nos controladores industriais que gerenciavam o processo de enriquecimento de urânio.
Saiba mais
Quer ficar por dentro das atividades recentes dos adversários? Visite o blog Counter Adversary Operations para saber as últimas pesquisas, tendências e insights sobre as ciberameaças emergentes.
7. Vírus
Um vírus é um trecho de código que se insere em uma aplicação e é executado juntamente com ela. Uma vez dentro da rede, o vírus pode ser usado para roubar dados confidenciais e iniciar ataques de DDoS ou ransomware.
Vírus x Trojans
Um vírus não pode ser executado ou reproduzido, a menos que a aplicação que ele infectou esteja em execução. Essa dependência da aplicação host torna os vírus diferentes dos trojans, que exigem que os usuários os baixem, e dos worms, que não usam aplicação para serem executados. Muitas instâncias de malware se enquadram em diversas categorias: por exemplo, o Stuxnet é um worm, um vírus e também um rootkit.
8. Rootkits
O rootkit é um software que dá a um ator malicioso controle remoto do computador da vítima com privilégios administrativos totais. Rootkits podem ser injetados em aplicações, kernels, hipervisores ou firmware. Eles se espalham por meio de phishing, anexos maliciosos, downloads maliciosos e comprometimento de unidades compartilhadas. Os rootkits também podem ser usados para ocultar outros malwares, como keyloggers.
Exemplo de rootkit:
O Zacinlo infecta sistemas quando os usuários baixam uma aplicação VPN falsa. Uma vez instalado, o Zacinlo realiza uma varredura de segurança em busca de malware concorrente e tenta removê-los. Em seguida, ele abre navegadores invisíveis e interage com o conteúdo como um humano faria, rolando a tela, destacando conteúdo e efetuando cliques. Esta atividade tem como objetivo enganar o software de análise comportamental. A payload do Zacinlo ocorre quando o malware clica em anúncios nos navegadores invisíveis. Esta fraude de clique publicitário proporciona ao ator malicioso uma parte da comissão.
Saiba mais
Saiba mais sobre o bootkit, uma infecção que usa ferramentas de rootkit para anexar software malicioso a um sistema de computador.
9. Keyloggers
Um keylogger é um tipo de spyware que monitora a atividade do usuário. Os keyloggers têm usos legítimos; as empresas podem usá-los para monitorar a atividade dos funcionários e as famílias podem usá-los para manter o controle do comportamento on-line das crianças.
No entanto, quando instalado para fins maliciosos, o keylogger pode ser usado para roubar dados de senha, informações bancárias e outros dados confidenciais. O keylogger pode ser inserido em um sistema por meio de phishing, engenharia social ou downloads maliciosos.
Exemplo de keylogger:
Um keylogger chamado Olympic Vision foi usado para mirar empresários dos EUA, do Oriente Médio e da Ásia para perpetrar ataques de comprometimento de e-mail comercial (BEC). A Olympic Vision usa técnicas de spear phishing e engenharia social para infectar os sistemas de seus alvos a fim de roubar dados confidenciais e espionar transações comerciais. O keylogger não é sofisticado, mas está disponível no mercado negro por US$ 25, o que o torna altamente acessível para atores maliciosos.
10. Bots/Botnets
Um bot é uma aplicação de software que executa tarefas automatizadas mediante comando. Eles são usados para propósitos legítimos, como indexação de mecanismos de pesquisa, mas quando usados para propósitos maliciosos, assumem a forma de malware autopropagante que pode se conectar a um servidor central.
Normalmente, os bots são usados em grandes números para criar uma botnet, que é uma rede de bots usada para lançar grandes ondas de ataques controlados remotamente, como ataques de DDoS. As botnets podem se tornar bem grandes. Por exemplo, a botnet Mirai IoT abrangeu entre 800.000 e 2,5 milhões de computadores.
Exemplo de botnet:
O Echobot é uma variante do conhecido Mirai. O Echobot ataca uma ampla variedade de dispositivos IoT, explora mais de 50 vulnerabilidades diferentes, mas também inclui exploração do Oracle WebLogic Server e do software de rede SD-Wan da VMWare. Além disso, o malware procura sistemas não corrigidos/legados. O Echobot pode ser usado por um ator malicioso para lançar ataques de DDoS, interromper cadeias de suprimentos, roubar informações confidenciais da cadeia de suprimentos e conduzir sabotagem corporativa.
11. Malware mobile
Ataques que miram dispositivos móveis aumentaram 50% desde o ano passado. As ameaças de malware mobile são tão variadas quanto aquelas que miram desktops e incluem cavalos de Troia, ransomware, fraude de clique em publicidade e muito mais. Eles são distribuídos por meio de phishing e downloads maliciosos e são um problema específico para telefones desbloqueados, que tendem a não ter as proteções padrão que faziam parte dos sistemas operacionais originais desses dispositivos.
Exemplo de malware mobile:
Triada é um Trojan de root que foi injetado na cadeia de suprimentos quando milhões de dispositivos Android foram enviados com o malware pré-instalado. O Triada obtém acesso a áreas sensíveis do sistema operacional e instala aplicações de spam. As aplicações de spam exibem anúncios, às vezes substituindo anúncios legítimos. Quando um usuário clica em um dos anúncios não autorizados, a receita proveniente desse clique vai para os desenvolvedores da Triada.
12. Malware wiper
O wiper é um tipo de malware com propósito único: apagar dados do usuário e garantir que eles não possam ser recuperados. Os wipers são usados para derrubar redes de computadores em empresas públicas ou privadas de vários setores. Atores de ameaças também usam wipers para encobrir rastros deixados após uma intrusão, enfraquecendo a capacidade de resposta das vítimas.
Exemplo de malware wiper:
Em 15 de janeiro de 2022, um conjunto de malware denominado WhisperGate foi reportado como tendo sido implementado contra alvos ucranianos. O incidente foi amplamente relatado como contendo três componentes individuais implementados pelo mesmo adversário, incluindo um bootloader malicioso que corrompe discos locais detectados, um downloader baseado no Discord e um wiper de arquivos. A atividade ocorreu aproximadamente no mesmo momento em que vários sites pertencentes ao governo ucraniano foram desfigurados. Saiba mais >
Relatório de ameaça móvel
Baixe o último relatório de ameaças mobile para entender por que as plataformas mobile têm sido cada vez mais alvejadas
Faça download do relatórioDetecção e remoção de malware com a CrowdStrike
A melhor abordagem para se proteger contra malware é empregar um conjunto unificado de tecnologias. Machine learning, bloqueio de exploit, adoção de whitelists e blacklists e indicadores de ataque (IOCs) devem fazer parte da estratégia antimalware de toda organização.
A CrowdStrike Falcon® combina esses métodos com tecnologias inovadoras que operam na nuvem para proporcionar defesas mais rápidas e atualizadas.
A plataforma CrowdStrike Falcon® oferece aos analistas e pesquisadores de ameaças capacidades de pesquisa de malware rápidas e abrangentes por meio do acesso ao maior e mais ativo repositório de eventos e artefatos de ameaças do setor. O repositório contém uma coleção de 300 TB com mais de 400 milhões de arquivos e indexa mais de 2 trilhões de eventos por semana.
Todos esses dados estão disponíveis para pesquisa em tempo real, tanto metadados quanto conteúdo binário, viabilizada em segundos por uma tecnologia de indexação que se encontra em processo de registro de patente.
A análise profunda de ameaças evasivas e desconhecidas é uma realidade com a Falcon Sandbox. A Falcon Sandbox enriquece os resultados da pesquisa de malware com inteligência de ameaças e fornece IOCs acionáveis, para que as equipes de segurança possam entender melhor os ataques de malware sofisticados e fortalecer suas defesas.
Para combater a crescente ameaça de malware mobile, as organizações precisam ter visibilidade sobre quais dispositivos estão acessando suas redes e como estão fazendo isso. A plataforma Falcon for Mobile da CrowdStrike oferece detecção e resposta de endpoint (EDR) com visibilidade em tempo real sobre endereços IP, configurações de dispositivos, conexões WiFi e Bluetooth e informações do sistema operacional.
Quer ver como a plataforma CrowdStrike Falcon® bloqueia malware? Inicie uma avaliação gratuita e veja como ela se sai em relação às amostras de malware ativas.
Kurt Baker é o Diretor Sênior de Marketing de Produtos da Falcon Intelligence na CrowdStrike. Ele tem mais de 25 anos de experiência em cargos de liderança sênior, especializando-se em empresas de software emergentes. Tem experiência em inteligência de ciberameaças, análise de segurança, gerenciamento de segurança e proteção avançada contra ameaças. Antes de ingressar na CrowdStrike, Baker trabalhou em cargos técnicos na Tripwire e foi cofundador de startups em mercados que vão desde soluções de segurança empresarial até dispositivos móveis. É bacharel em Letras pela Universidade de Washington e agora mora em Boston, Massachusetts.
