Hoje em dia, as redes zombi constituem uma das tecnologias mais usadas pelos cibercriminosos. Tal como aponta o Relatório de Malware do Primeiro Trimestre da Kaspersky Lab, líder no desenvolvimento de sistemas de proteção contra software malicioso, estas tecnologias têm evoluído nos últimos anos e têm surgido, por exemplo, as redes zombi descentralizadas, as móveis e as administradas através das redes sociais, como a compostas por sistemas Mac infetados. O ano de 2011 foi um período sem grandes novidades quanto a redes zombi, mas tudo mudou no início de 2012.

A bot invisível
No primeiro trimestre de 2012, foi descoberta uma rede zombi criada com uma nova tecnologia: a bot "sem ficheiro". Este código malicioso pertence a uma estranha categoria de programas maliciosos que só existem na memória RAM do computador.
O problema manifestava-se na forma de anomalias nos computadores infetados, que começavam a enviar petições de rede depois de visitar alguns sites populares na Internet e, em alguns casos, apareceram ficheiros encriptados nos discos rígidos. No entanto, neste caso específico, não aparecia qualquer novo ficheiro executável nos discos das vítimas. Uma análise detalhada da Kaspersky Lab permitiu identificar a corrente completa em que estavam envolvidos os computadores infetados que, por sua vez, compunham a rede zombi.

Graças aos analistas da Kaspersky Lab, ao pessoal da AdFox e a um investigador anónimo, foi possível deter a infeção. Ainda que os processos maliciosos permanecessem na memória RAM até ao reinício do sistema operativo, a infeção propagava-se através de sites conhecidos. Os cibercriminosos podiam infetar computadores numa base diária, o que lhes permitia manter a população de bots num nível elevado. É importante destacar que não ficava virtualmente nenhum rasto da infeção ou dos dados recolhidos no disco rígido do computador, uma vez reiniciado o sistema operativo.

Quando nos deparamos com uma bot “sem ficheiro”, torna-se muito difícil identificar os computadores que compõem a rede zombi, já que não aparece nenhum ficheiro executável no disco e os cibercriminosos realizam todas as suas ações camuflando-as como processos legítimos de Java. Ainda que as correções sejam eficazes contra esta e outras ameaças similares, alguns utilizadores não costumam atualizar os seus equipamentos de forma regular. Isto significa que no futuro poderemos voltar a encontrar programas similares maliciosos, ainda que já não em tão grande escala, já que se trata de algo bastante sofisticado.

Redes zombi móveis
Os criadores de programas maliciosos para dispositivos móveis apostam forte na plataforma Android VOS. No primeiro trimestre de 2012, foram detetados mais de 5.000 (5.444) programas maliciosos para esta plataforma. O número total de programas maliciosos para Android foi multiplicado por nove só durante o último semestre.


Número de variantes de programas maliciosos para Android OS

Os autores chineses e russos de programas maliciosos são os que mostram maior interesse na plataforma Android. Os autores chineses conseguiram criar uma rede zombi de 10.000 a 30.000 dispositivos ativos, e o número total de smartphones infetados chega às centenas de milhares.

Esta rede zombi foi criada com o trojan RootSmart, que possui uma extensa funcionalidade relacionada com o controlo remoto de dispositivos e se propaga através de um método de eficácia comprovada: os seus autores usam um programa legítimo e fazem o seu upload para o website de uma loja não oficial de aplicações para Android que é muito popular na China. Como resultado, os utilizadores que descarregaram o programa para configurar os seus dispositivos também receberam o Trojan que, assim, os capturou para a rede zombi.  

O alcance da infeção causada pelo RootSmart significa que os cibercriminosos têm conseguido lucrar com a rede zombi de dispositivos móveis. Escolheram o método mais popular entre os cibercriminosos dedicados aos dispositivos móveis: o envio de mensagens SMS de valor acrescentado para números comerciais. Mas, para quê tomar o controlo total do dispositivo se a principal função da bot é enviar mensagens SMS de valor acrescentado? É simples, o controlo total permite-lhes ocultar a presença do programa malicioso no dispositivo por muito tempo, o que lhes permite apanhar o dinheiro da conta dos utilizadores também por mais tempo.

Rede zombi feita de Macs
Outra rede zombi que chamou a atenção dos analistas no primeiro trimestre de 2012 foi a implementada em computadores Mac OS X.

As primeiras versões do Flashfake apareceram no Outono do ano passado. Os programadores do programa malicioso tomaram algumas medidas para dificultar a sua deteção (certificaram-se de que o Trojan não era instalado em computadores que tivessem soluções antivírus instaladas, conceberam bots para que desativassem as atualizações do sistema de segurança incluído no sistema Mac OS X, Xprotect, etc.). Depois, os cibercriminosos experimentaram novas formas de controlar as suas redes zombi. Por exemplo, algumas versões do Flashfake usavam contas do Twitter criadas pelos cibercriminosos como servidores de comando.

O principal objetivo de uma bot é descarregar e executar módulos adicionais sem que o utilizador se dê conta. Os cibercriminosos ganhavam dinheiro pela geração de falsos resultados nos motores de busca e foi concebido um módulo adicional para substituir os links nos resultados das buscas mais populares.

O crescente interesse dos cibercriminosos pela plataforma Apple fica confirmado com as estatísticas da Kaspersky Lab sobre as deteções de novas versões de programas maliciosos dirigidas contra Mac OS X:

 
Número de novos registos de programas maliciosos para Mac OS X adicionados às bases de dados antivírus da Kaspersky Lab

{mosgoogle}
Classifique este item
(0 votos)
Ler 2845 vezes
Top