Escolar Documentos
Profissional Documentos
Cultura Documentos
Afinal de Contas Que Vírus É Esse Que Se Esconde Na RAM Calma A Gente Explica
Afinal de Contas Que Vírus É Esse Que Se Esconde Na RAM Calma A Gente Explica
Introduo
Mesmo sendo amplamente questionado se a sua eficincia vlida ou no, os antivrus ainda ocupam um papel
importante na caada de ameaas digitais. Porm uma coisa certa, os cibercriminosos e suas ameaas se
reinventam numa velocidade assombrosa, buscando caminhos alternativos que os softwares de segurana para o
consumidor final, e at corporativo, no conseguem ir, e claro, contando com as velhas (mais funcionais) tticas de
engenharia social no elo mais fraco da corrente da segurana: o ser humano.
Essa semana foi comprovado mais uma vez a grande capacidade do cibercrime em pensar fora da caixinha. Alm
do Ransomware, que est se tornando cada vez mais popular, que um malware que encripta arquivos e pede
um resgate para que as informaes sejam devolvidas (no ano passado os ganhos do cibercime com essa ameaa
ficou na casa dos US$ 850 milhes), h uma outra categoria de malware, que ainda no to conhecida do grande
pblico, mas que est crescendo vertiginosamente: Fileless Malware. O malware sem arquivos.
1/4
Esse malware passa uma borracha naquela regrinha bsica de mandar arquivos infectados para a unidade de
armazenamento principal, como o HD ou um SSD, o que ele faz ir na memria de acesso aleatrio, a memria
RAM, uma regio que os scans dos antivrus no podem chegar. Ou at mesmo ficar escondido no kernel do
sistema.
Na quarta-feira noticiamos que os pesquisadores da Kaspersky Lab, que fazem um excelente trabalho na
descoberta desses malwares mirabolantes, revelou que um malware fileless j infectou mais de 140 empresas em
mais de 40 pases, que inclui at o Brasil. Dessas 140 empresas, cerca de 40 so bancos (no Brasil 6 bancos j
foram alvos do ataque), alm instituies governamentais e de telecomunicaes.
Assim como o Ransomware, malwares que no injetam arquivos no HD no so uma novidade, inclusive conceitos
parecidos como o dos Rootkits, que se escondem no Kernel do sistema, existem h algum tempo.
O primeiro fileless malware reportado oficialmente foi o Poweliks, descoberto em agosto de 2014 pela Symantec.
Esse malware ficava escondido no registro do Windows, e mantinha a caracterstica fileless, nenhum arquivo era
armazenado no HD.
Enquanto o fileless malware que se esconde na RAM corre o risco de ser comprometido com a reinicializao do
computador, j que a RAM uma memria dinmica, e na falta de energtica eltrica os dados so apagados para
que novos possam ser escritos, uma ameaa que se esconde no registro do sistema est imune a esse problema.
O Poweliks explorava vulnerabilidades zero day para assumir o controle do computador.
Assim como explica o pessoal da Heimidal Security no caso da variao do malware que se aloja na RAM h
muitos cenrios para que a ameaa possa entrar em ao. Um deles pelo navegador web.
2/4
Est lembrando daquela briga para varrer o Adobe Flash Player dos navegadores, devido as inmeras falhas de
segurana que ele vinha apresentando? Ento, falhas de segurana ou simplesmente utilizar uma verso
desatualizada j poderia fazer com que um malware fileless entrasse em ao, j que ele iria explorar a falha e
injetar payload, que a parte do vrus que executa uma ao, diretamente no processo em execuo na RAM.
No caso da nova ameaa descoberta pela Kaspersky, so utilizados scripts de PowerShell combinados ao cdigo
payload do Meterpreater. Est cresendo o uso de scripts maliciosos voltados para Powershell assim como as
ameaas fileless. A Kaspersky diz que mais 70% das infeces detectadas utilizam esses scripts.
O principal objetivo desse novo fileless malware descoberto o ganho financeiro, justamente por isso que a lista
de bancos infectados s aumenta. Alm de falhas nos servidores, a ameaa utiliza ferramentas para coletar senhas
dos administradores do sistema, para ento chegar aos computadores pessoais das empresas e roubar
informaes privilegiadas que permitissem a retirada de dinheiro em caixas eletrnicos.
A prpria Kaspersky j foi vtima de um malware fileless. Em 2015 o Duqu 2.0 infectou os servidores da empresa
de segurana russa, e de acordo com Eugene Kaspersky, CEO da companhia, o principal objetivo era espionar as
tecnologias e as pesquisas em andamento, j que o laboratrio referncia na caada por novas ameaas.
Atualmente os malwares sem arquivo representam cerca de 15% dos ataques conhecidos. Dados de dezembro do
ano passado da empresa de segurana Carbon Black revelam que a taxa de fileless malware entre os seus
clientes saltou de 3% no incio de 2016 para 13% em novembro.
Assim como o Ransomware, a tendncia que os fileless malwares aumentem em 2017. Brian Kenyon, diretor de
estratgia da Symantec, diz que esse tipo de vrus difcil de detectar e que eles se "esquivam" dos antivrus e
de instrues convencionais.Este tipo de ataque aumentou ao longo de 2016 e continuar a ganhar destaque e
2017, provavelmente em ataques voltados para Powershell, que pode executar scripts diretamente na memria"
- Investir em solues de segurana com proteo contra ataques para Powershell, como o McAfee Applications
Control
4/4