A Check Point fez um balanço com a sua equipa de investigação e divulgou as histórias dos vários tipos de malware, vulnerabilidades e investigações que levaram a cabo durante todo o ano de 2018, um ano particularmente dedicado à investigação do ciberespaço.
Entrando no submundo da Dark Web
As salas de chat começaram a incluir discussões sobre como pôr em prática ciberataques. Os cibercriminosos, no entanto, descobriram como ter conversações desse teor sem usar os fóruns tradicionais. Com a utilização de aplicações para mensagens mobile encriptadas e anónimas, de que é exemplo o Telegram, os atores destas ameaças conseguem publicitar e recrutar hackers para levar a cabo ciberataques, em seu nome, ou comprar e vender os seus produtos e serviços à melhor oferta.
A descoberta do Phishing Kit avançado, em abril do ano passado, revelou o quão simples e barato é, comprar a gama de produtos em questão, mesmo com um conhecimento técnico bastante limitado, e conseguir começar a enganar os consumidores, de forma a que estes cedam os seus dados de cartão de crédito.
À medida que os investigadores da Check Point exploram os pontos fracos da internet e os tornam públicos, para benefício dos seus seguidores, esta transparência também significa que os atores das ameaças têm acesso ao que é publicado, tendo oportunidade para melhorar os seus métodos e atualizar o malware em tempo real. Um dos exemplos desta atitude criminosa foi muito clara no desenvolvimento do GandCrab, que provou como nos dias que correm o ransomware é ágil.
O Começo de Uma Nova Etapa
Em agosto, os investigadores da Check Point anunciaram um novo vetor de ataque ao mundo, explicando como é que a rede de TI de uma organização inteira pode ser atacada simplesmente através da utilização do número de fax. Tendo em conta o número de aparelhos de fax que continuam a ser utilizados no mundo inteiro, esta descoberta torna-se bastante preocupante.
As Fake news também têm sido bastante utilizadas, mas também não viram a sua vida facilitada com aparecimento de uma nova vulnerabilidade na famosa aplicação de mensagens, WhatsApp. Batizada por “FakesApp”, esta falha permitiu que o ator da ameaça intercetasse e manipulasse as mensagens, com o objetivo de criar e espalhar informações falsas.
Numa outra pesquisa, foram destacadas as vulnerabilidades da infraestrutura cloud da DJI, O fabricante de drones líder de mercado. Depois de uma verificação do processo de identificação do utilizador, detetou-se que os cibercriminosos podem, eventualmente, ter ganho acesso às imagens de voo, às live câmeras e às filmagens do utilizador.
Perigos do mobile
Relativamente ao mobile, o ano passado começou com um estudo pelo malicioso mundo das aplicações, uma vez que 60 aplicações para criança, falsas, estiveram disponíveis para download na Play Store oficial da Google e infetaram mais de sete milhões de vezes com malware “AdultSwine”. Apesar dos esforços feitos pela Google para manter a sua app store em segurança, este malware ainda se conseguiu esconder em 22 aplicações flashlight, e foi alvo de download cerca de 7,5 milhões de vezes por vítimas que não suspeitavam de nada.
Também foram detetadas vulnerabilidades nos próprios dispositivos móveis, nomeadamente falhas no processo de atualização do teclado dos dispositivos LG mobile. O percurso pela forma como os fabricantes constroem os dispositivos que usamos todos os dias, mostrou a importância do cuidado que as organizações precisam ter quando deixam os seus colaboradores trabalhar a partir dos seus smartphones.
Do mesmo modo, a investigação Man-in-the-Disk da Check Point Software alertou os programadores das aplicações para os perigos que estão por detrás do uso de Armazenamento Externo, um recurso que é partilhado por todas as aplicações e não é compatível com Androids que tenham incorporada a proteção Sandbox.
À Busca do Ouro
Os caminhos que levaram às descobertas de 2018 estavam também repletos de ataques aos servidores e endpoints de empresas, muitas vezes mediante crypto-jackers. Enquanto que o ransomware gerava lucro quase instantaneamente, o cripto-jacking, gera lucro no longo prazo. Assim, em menos de 24 horas, em janeiro do ano passado, o Malware RubyMiner tentou infetar cerca de 30% das redes de todo o mundo.
Um mês depois, a equipa de investigação da Check Point levou a cabo uma das maiores operações de mining malicioso alguma vez vistas, desde a Campanha JenkinsMiner, que tinha como target o Jenkins – o servidor de automação em software livre.
À medida que o ano foi passando, tornou-se evidente, através da investigação sobre o KingMiner, pela Check Point que os crypto-jackers estam a evoluir. O KingMiner rapidamente implementou duas versões melhoradas que viram o atacante empregar várias técnicas de evasão para emulação de bypass e deteção de métodos.
Evitar cair nas garras da Espionagem entre Estados
As investigações da Check Point, revelaram que os cibercriminosos não são os únicos a explorar as novas tecnologias para seu próprio benefício. Agentes estatais e não estatais também estão a usar e manipular os utilizadores finais e espiá-los. Os indivíduos por detrás da campanha da Domestic Kitten atraíram as suas vítimas para que estas fizessem o download de aplicações infetadas com spyware, com o objetivo de recolher informação sensível sobre elas, como por exemplo, gravações de chamadas telefónicas, mensagens SMS, geo-localização, fotografias, entre outras.
Agentes não estatais também foram apanhados a espiar, usando o disfarce do Campeonato do Mundo de Futebol, e a manipular os seus alvos para que estes clicassem em links de phishingmalicioso e fizessem o download de uma aplicação de calendarização de jogos falsa. Entre os componentes maliciosos está incluída a capacidade de recolher mensagens SMS dos utilizadores, contactos telefónicos, gravações de voz, fotografias, entre outros. O ataque serviu de exemplo para a forma como os cibercriminosos fazem uso da maioria dos eventos, para atrair potenciais vítimas e esconder-se entre os resultados das aplicações legítimas, que estão relacionadas com o tipo de eventos em questão.
Por último, ao conseguir estudar uma das regiões mais desconhecidas do mundo, a Coreia do Norte, os investigadores da Check Point conseguiram aprofundar o seu conhecimento acerca da SiliVaccine, nação que tem uma solução própria de antivírus. Entre vários aspetos muito interessantes destaca-se um, o facto de um dos componentes chave da SiliVaccine ser, na verdade, uma cópia do próprio motor de deteção de vírus da TrendMicro. Curiosamente, a SiliVaccine, também permitiu que um malware específico pudesse escapar. Considerando que a Coreia do Norte é conhecida por monitorizar jornalistas estrangeiros e os seus dissidentes, esta é, certamente, uma questão que levanta algumas suspeitas.
Com a evolução e transmutação do panorama do cibercrime para novas formas, a equipa de pesquisa da Check Point continuará a estudar e aprender com essa evolução. Através da descoberta das ameaças e de solucioná-las para poderem proteger ainda melhor as empresas que já confiam na Check Point Software.
Comentários