O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.

1. Cenário de Ameaças em 2011
Mariano Sumrell Miranda – AVG Brasil/Winco
SegInfo - Agosto, 2011

2. Agenda
 Introdução
Como os dados foram levantados
 Algumas estatísticas do 2º Trimestre de
2011
 Exploit Toolkits e Blackhole
 Destaques de 2011
 Malwares assinados com certificados roubados
 Ameaças no mundo Apple
 Ameaças para dispositivos móveis
 Mídias Sociais

3. Os Dados
 Dados e tráfego coletados do Community Protection
Network e analisados pelo AVG.
Community Protection Network
Informações sobre as ameaças mais recentes e são coletadas de
clientes que optam por participar do programa. Essas informações são
analisadas e compartilhadas com a comunidade AVG para assegurar que
todos recebam a melhor proteção possível.
 120 milhões de usuários.
 http:/www.avgbrasil.com.br/relatorio-ameacas-Q2-2011
http:/www.avgbrasil.com.br/relatorio-ameacas-Q1-2011

4. Estatísticas
Falsos Antivírus: 35,79% das ameaças detectadas
Exploit Toolkits: 37% das ameaças em websites são de exploit kits
Exploit Toolkit mais usado: Blackhole -> 75,83% dos toolkits
Driver Externo: 11,3% das ameaças usam devices externos, como pendrive,
como forma de propagação através do autorun.
Spam:
 EUA é a origem da maioria dos spams com 32,9% do total
 bit.ly é o encurtador mais usado nos spams
 Inglês é a lingua mais usada

5. Prevalência de Ameaças na Web
Antivírus Falso 35,79%
Blackhole Exploit Kit 28,66%
Fragus nulled exploit kit 7,48%
Engenharia Social 5,73%
Spam sites de produtos farmaceuticos 3,75%
Links para Exploit Sites 3,34%
Facebook Clickjacking 2,92%
Falsos Antispywares 2,29%
Codecs Falsos 1,23%
NeoSploit Exploit Kit 1,22%

6. Principais domínios encontrados em Spams
6

7. Línguas mais usadas em Spams
7

8. Principais países de origem de Spams
8

9. Exploit Toolkits
 Toolkits que automatizam o ataque a visitantes de sites
infectados (‘drive-by’ attack).
 Exploram diferentes falhas de segurança de sistemas
operacionais, navegadores e aplicações.
 Vendidos no mercado negro com preços variando de
centenas de dólares a mais de mil dólares.
 Licença anual do Blackhole custam em torno de USD 1.500
 Podem ser usados por não especialistas, não requerendo
conhecimento de TI ou segurança.

10. Blackhole Toolkit
 Iframe com script obfuscado redireciona para o servidor do
Blackhole
 Página contém exploits para várias vulnerabilidades: Java,
PDF, HCP, MDAC, etc.
 Faz download de Trojan.Carberp que envia ao command-
and-control server (C&C) um id único usado nas transações
sibsequentes e envia uma lista de todos os processos em
execução na máquina atacada.
 O trojan faz download de 3 módulos:
 miniav.plug – procura outros trojans, como o Zeus, e desabilita os
concorrentes
 stopav.plug – disabilita o antivírus instalado no computador
 passw.plug – loga todos as combinações de usuários/senhas e as urls
visitadas

11. Blackhole
 Por fim faz 2 downloads:
Trojan Hiloti (downloader que tenta baixar arquivo de um
servidor gratuito de downloads)
FakeAV – antivírus falso

12. Tela do falso antivírus do Blackhole
12

13. Loja do falso antivírus do Blackhole
13

14. Administrador do Blackhole
AVG Confidential 14

15. Administrador do Blackhole -
Índice de Detecção por Diferentes Antivírus
15

16. Malwares assinados com
certificados falsos
 Crescimento de mais 300% em 2011 de malwares
assinados
 Usuários acreditam em aplicações assinadas por empresas
conhecidas e certificadas por autoridades certificadoras
confiáveis.
 Windows Vista e 7 permite a instalação de certos tipos de
softwares (ex.: device drivers) se forem assinados
 Exemplo mais famoso:
 Stuxnet: assinado por Jmicron e Realtek - 2010

17. Ameaças no mundo Apple
 O cybercrime percebeu o crescimento de usuários Mac e
passaram a atacar as plataformas da Apple também.
 Mesmas técnicas usadas para Windows, principalmente
engenharia social.
Fonte: http://marketshare.hitslink.com

18. Dispositivos móveis
 Mesmo caso do Mac OS: aumento do uso de smartphones e
tablets torna interessante atacar esses dispositivos.
 Internet: 1,5 bilhões de usuários
 Celulares: 4,5 bilhões de usuários
 Cuidados com a segurança dos dispositovos móveis é bem menor
que do que com o desktop.


19. Ameaças para o Android
 Comparado com o número de ameaças para o desktop, o
número de malwares é pequeno. Mas o crescimento
impressiona.

20. Dispositivos móveis
 Principal forma de contaminação: aplicativos falsos
 Durante o 1º Trimestre de 2011 0,20% dos downloads de
aplicativos foram malwares.
 3,9 Bilhões de downloads (fonte androlib.com) => 7,8 milhões
de download de malwares.
 Engenharia Social, incluindo Spams por SMS, é a
principal forma de induzir as pessoas a baixarem esses
aplicativos
 0,02% das mensagens de SMS são maliciosas
 Nos EUA, em Dezembro de 2010 (fonte www.ctia.org):
187,7 bilhões de SMSs => 3,75 milhões de mensagens
maliciosas

21. Dispositivos móveis
 Roubo de senhas, informações bancárias e cartões de
crédtio, como nos desktops.
Smartphones possibilitam uma nova forma de monetização
 Envio de SMS para a contratação de serviços SMS pagos:
Horóscopo
 Previsão de tempo
 Notícias

22. Midias Sociais
 Crescimento acelearado continua fazendo das midias sociais
ótima forma de propagar malwares
 Links encurtados ajudam o phishing
 Clickjacking usado principalmente no Facebook
 Sequestro de conexões (ex. Firesheep)
 http://www.avg-empresas.com.br/videos

23. Obrigado!
mariano@winco.com.br