O PODER DE DESTRUIR:

COMO O MALWARE FUNCIONA

CONTEÚDO

Visão geral 3

O aumento de ataques na Web 4

A prevenção é melhor do que a cura 5

Vale a pena se esconder 6

Visitantes de sites podem ser presas fáceis 7

O que o malware pode fazer 8

O que é ruim para os clientes é pior para você 9

Assuma a responsabilidade 10

Referências 11

p. 2 O poder de destruir: como o malware funciona

Visão geral
Quase um quarto dos gerentes de
TI simplesmente não sabe qual é
o grau de segurança de seu site1.
No entanto, com o crescimento
do número de ataques na Web
bloqueados por dia (de 190.370 para
247.350 entre 2011 e 2012), é vital
que as empresas compreendam o
papel de seus sites na distribuição de
malware a seus clientes, a clientes
finais e à comunidade online mais
ampla2.
ATAQUES NA WEB BLOQUEADOS POR DIA
ENTRE 2011 E 2012
2011
190.370
p. 3
O malware tem muitas formas dife­
rentes. Ele pode registrar os pres­
sionamentos de tecla, causar viola­
ções de dados, bloquear o hardware
e usar sistemas infectados para se
espalhar para outras vítimas. Como
proprietário de um site, é sua res­
ponsabilidade não só proteger sua
empresa e seus clientes mas também
a segurança da Internet. Considere
o impacto em sua empresa e sua
marca caso você se torne uma fonte
de infecção.
2012
247.350
O poder de destruir: como o malware funciona
O aumento de ataques na Web
“Estimulados por toolkits de ataque, o número de ataques baseados na Web em
2012 aumentou em um terço, e muitos desses ataques se originaram de sites
de pequenas empresas comprometidos.” Essa foi a conclusão do mais recente
Relatório da Symantec sobre ameaças de segurança de sites (WSTR), uma
leitura muito realista.
% DE EMPRESAS DO REINO UNIDO QUE SOFRERAM UMA
VIOLAÇÃO DE DADOS NO ANO PASSADO
87%
Pequena
empresa
O malware age para comprometer os dados e a funcio­
nalidade do servidor de seu site, e também para explorar
e extrair informações e dinheiro de seus clientes,
causando danos à sua reputação e atingindo seus
investimentos comerciais. No pior cenário, pode até
mesmo comprometer a sua sobrevivência.
O custo é crítico
Em 2012, crimes cibernéticos custaram às empresas 6%
a mais do que em 2011. Sozinho, o custo de violações de
segurança praticamente triplicou no último ano, atingindo
a casa dos bilhões3. O tempo médio de recuperação de
um ataque cibernético em 2012 era de 24 dias, o que
equivale a um custo de US$ 591.7804.
E esses são apenas os custos diretos de mão de obra,
reparos de hardware e software e indenizações. Acres­
cente a perda de negócios e os danos à reputação e os
números subirão mais ainda. O danoso efeito cascata do
malware é imenso, e os criminosos veem os sites como
uma forma de infectar servidores, roubar informações,
atingir visitantes com o malware e muitas vezes criar um
caos completo.
p. 4
93%
Grande
organização
Um crime comum e custoso
Entender como o malware funciona e por que os crimi­
nosos o utilizam pode ajudar consideravelmente na
prevenção e detecção de ameaças. O ponto de perigo
mais óbvio quando se trata de malware é seu servidor da
Web e os dados que ele armazena. Em outras palavras:
as violações de dados.
Considerando o Reino Unido como um exemplo no ano
passado, 93% das grandes organizações e 87% das
pequenas empresas sofreram uma violação de dados5.
Se um criminoso conseguir inserir código mal-intencio­
nado em seu servidor que possa acessar arquivos ou
registrar o intercâmbio de informações, ele poderá obter
dados de clientes, informações de cartão de crédito e
senhas, entre outros.
Até o momento em 2013, 8,9 milhões de identidades
foram expostas; 62% dessas violações incluíam os
nomes verdadeiros das vítimas6. Expor dados dos
clientes significa que você pode incorrer em custos
indenizatórios, perder negócios e ver sua reputação ser
gravemente atingida.
O poder de destruir: como o malware funciona
A prevenção é melhor do que a cura
Quando se trata de violações de
dados, existe uma combinação de
ações que podem minimizar seu
risco. Primeiro, é essencial manter
sua equipe sempre informada sobre
os riscos de se tornarem vítimas
de engenharia social e ataques
de phishing. É comprovado que
as empresas com conhecimento
insuficiente de políticas de
segurança têm duas vezes mais
chances de enfrentar uma violação
relacionada à equipe do que
aquelas com uma política clara
estabelecida7.
Também é importante verificar seu site regularmente
em busca de vulnerabilidades e malware. A verificação
automática é o padrão em vários dos certificados SSL da
Symantec, ajudando você não só a identificar fraquezas
antes que sejam exploradas mas também fornecendo
um prático relatório sobre ameaças para que você saiba
como fortalecer as suas defesas.
p. 5
A verificação combate a dissimulação
Embora a prevenção seja o mais indicado quando se
trata de malware, a verificação regular é extremamente
importante para descobrir malware dissimulado que
tenha sido criado para ficar oculto. Embora alguns tipos
de malware causem inúmeras perturbações, até mesmo
desligando servidores, muitas vezes os criminosos
desejam manter o malware em execução no seu servidor
da Web sem que seja detectado, para que continue a
colher informações e a maximizar as oportunidades.
Em julho de 2012, por exemplo, foi descoberto um
Cavalo de Troia que era usado para roubar informações
do governo japonês. Descobriu-se que ele estava em
operação há dois anos, totalmente desconhecido8.
É por isso que certificados SSL são tão importantes.
Muitas informações são trocadas entre os visitantes e
seu site e servidor; às vezes, informações extremamente
confidenciais, como detalhes de cartão de crédito,
endereços e outros pontos de identificação pessoal.
Ao manter o SSL sempre ativo, você pode garantir
que todas as comunicações sejam criptografadas a
partir do momento em que o visitante chega a seu site,
reduzindo o risco de o malware detectar informações e
atingir a confidencialidade de seus clientes. Usar o SSL
dessa forma pode ajudar a criar confiança e manter a
segurança de dados confidenciais. É por isso que sites
como Twitter, Facebook, Google e LinkedIn usam SSL.
O poder de destruir: como o malware funciona
Vale a pena se esconder

A dissimulação também funciona a favor dos criminosos quando o mal­

ware que eles instalaram não ataca o seu servidor, mas permanece em seu
site e ataca seus clientes. Nesse caso, você pode não ser o alvo, mas a sua
empresa ainda será a vítima.

37%
OUTROS

41%
O toolkit
ATAQUES NA WEB Blackhole foi
EM 2012 responsável
por 41% dos
ataques na
22% Web em 2012

O toolkit Sakura, que

não estava nem entre
os 10 principais em
2011, foi responsável
por 22% dos ataques
do ano passado

Os ataques na Web têm crescido, e o ISTR mais recente Os criminosos cibernéticos criam e comercializam mal­
destaca que 61% dos sites da Web mal-intencionados ware da mesma forma que empresas legítimas compram
são, na verdade, sites legítimos que foram invadidos e vendem software. Existem até mesmo produtos de
ou comprometidos e que tiveram código inserido sem o sucesso e lançamentos esperados. Na verdade, um único
conhecimento do proprietário. toolkit chamado Blackhole foi responsável por 41% dos
ataques na Web em 2012. O toolkit Sakura, que não
Em nosso informe oficial “Reducing the Cost and Com­
estava nem entre os dez mais de 2011, foi responsável
plexity of Web Vulnerability Management”, (Reduzindo o
por 22% dos ataques do ano passado. Esse é claramente
custo e a complexidade do gerenciamento de vulnerabili­
um empreendimento astuto, organizado e lucrativo.
dades da Web) você pode saber mais sobre as diferentes
fraquezas inerentes ao seu site que são usadas pelos O risco de infecção por malware em seu site aumenta con­
criminosos para implantar malware, como servidores sideravelmente graças à existência desses toolkits. Com
sem patches e cross-site scripting. eles, criminosos cibernéticos que não necessariamente
têm as habilidades necessárias para desenvolver código
Toolkits: a chave mestra das vulnerabili- complexo por conta própria ainda podem atacar seu site e
seus visitantes.
dades de sites
O meio mais comum empregado pelos criminosos para
explorar as vulnerabilidades de seu site é a utilização
de toolkits. Eles são pacotes de software que podem ser
comprados prontos, como você faria com programas
legítimos, e que já possuem o código correto para
explorar certas vulnerabilidades e implantar o tipo de
malware que o comprador deseja usar.

p. 6 O poder de destruir: como o malware funciona

Visitantes de sites podem ser presas
fáceis

Um dos motivos prováveis da popularidade de toolkits é seu grau de

eficiência. Após instalar-se em seu site, o malware pesquisa vulnerabilidades
no navegador do visitante e, caso descubra alguma, faz o download de um
“dropper”, ou código mal-intencionado, que, por sua vez, pesquisa vulnerabi­
lidades no computador e tira proveito daquilo que encontrar.

1. Definir perfil 3. Comprometer

O invasor define o perfil das vítimas e o tipo de sites que Quando os invasores encontram um site que possa ser comprometido,
frequentam. injetam JavaScript ou HTML, redirecionando a vítima para outro site
que hospede o código de exploração para a vulnerabilidade escolhida.

2. Testar
O invasor então testa esses sites em relação a 4. Aguardar
vulnerabilidades.
O site comprometido agora está "aguar-
dando" para infectar, com uma explora-
ção de dia zero, a vítima definida —
exatamente como um leão aguarda
diante de um poço onde suas presas
bebem água.

No ano passado, as vulnerabilidades informadas em Ataques “watering hole”

navegadores e plug-ins ficaram entre 300 e 500 por
Além de inserir código mal-intencionado em seu site
mês. “A habilidade dos criminosos em descobrir e
para fazer download de malware nos dispositivos vul­
implantar rapidamente novas vulnerabilidades não é
neráveis dos visitantes, os criminosos também injetam
proporcional à habilidade dos fornecedores de softwares
malware em seu site para redirecionar os visitantes para
em achar soluções e lançar patches”, afirma o WSTR.
outro site. Esse outro site contém malware que infectará
Os grandes fornecedores de software lançam patches
a vítima com uma exploração de dia zero.
urgentes com regularidade para tratar vulnerabilidades
recém-descobertas. Como explicado em nosso “Website Vulnerabilities
Guide” (Guia de vulnerabilidades de sites), essa explo­
Acrescente a isso a ausência de vigilância de muitas
ração se aproveita de uma vulnerabilidade ainda não
pessoas quando se trata de manter seus softwares
conhecida, e é por isso que os criminosos mantêm o
atualizados e a incapacidade de muitas empresas de
código em seu próprio site mal-intencionado, para que
fazer upgrades sem causar interrupções em aplicativos
continue secreto.
essenciais aos negócios, e você verá por que os crimino­
sos tiram proveito de qualquer caminho que os leve até Essa técnica é conhecida como ataque “watering hole”,
seu alvo final: os visitantes dos sites. e ela tem se tornado cada vez mais popular entre os
criminosos cibernéticos.

p. 7 O poder de destruir: como o malware funciona

O que o malware pode fazer
Existem vários tipos de malware cuja finalidade é dar lucro a criminosos, ou às vezes simplesmente causar
interrupções e problemas. O tipo de malware com mais chance de ser distribuído por meio de seu site, porém, é aquele
que traz dinheiro aos criminosos.

Se seu site tiver sido infectado, os seguintes tipos de malware poderão ser baixados para o dispositivo de um cliente
com uma simples visita ao seu site. Tudo o que eles verão é a sua marca, seguida por um aviso do software antivírus,
ou, o que é pior, os efeitos de uma infecção.

Como ele faz dinheiro para os

O que ele faz
Ransomware bloqueia o computador do usuário e exibe
uma única tela de aviso. O suporte não consegue nem
mesmo acessar o dispositivo remotamente para tentar
remover o malware. Com frequência, a tela parecerá ser
de uma autoridade policial local, e o software poderá até
mesmo usar a própria câmera da vítima para incluir uma
foto dela no aviso.
criminosos
Como o nome indica, os criminosos exigem um resgate
(“ransom”) para desbloquear o dispositivo. Normalmente,
eles fingem que existe uma multa, imposta pela autoridade
policial local, por comportamento ilegal ou ilícito por parte
da vítima. Mesmo após você pagar, muitas vezes eles não
desbloqueiam o seu dispositivo. Existem informações de
que, no ano passado, 3% das vítimas pagaram.

Botnets são redes de computadores e servidores dispersos
que os criminosos usam para distribuir e-mails de spam
ou para gerar cliques falsos em anúncios pay-per-click. O
malware certo irá incorporar silenciosamente o dispositivo
da vítima a um desses botnets.
Embora o retorno desse tipo de malware não seja alto a
curto prazo, sua detecção e remoção são difíceis, oferecen­
do um fluxo contínuo de receita para os criminosos.

O registro de pressionamento de teclas faz exata­
mente o que diz. Esse malware pode registrar todas as
teclas pressionadas, o que significa que pode procurar
uma combinação de 16 dígitos que possa ser detalhes
de cartão de crédito, sequências de datas de aniversário
com seis dígitos ou cadeias de caracteres incomuns que
possam ser senhas.
Esse tipo de malware é usado para reunir informações
para roubo de identidades, fraudes de cartão de crédito
e invasão de contas. A informação é um bem de grande
valor no mercado negro, e o malware capaz de reunir esse
tipo de inteligência pode trazer grandes recompensas, es­
pecialmente se um dos seus grandes clientes for atacado
e os criminosos superarem as defesas fortes e sofistica­
das de seus sistemas.

Distribuição de malware posterior. Se a vítima do mal­ As recompensas dependerão do alcance de distribuição

ware estiver conectada a uma rede, todos os que fazem
parte dessa rede (e todos os servidores conectados a ela)
correm riscos, já que o malware é distribuído para todos
os elementos da rede, arriscando a segurança de dados,
dispositivos e operações.
do malware e do malware adicional que seja disparado
em diferentes máquinas de acordo com as suas
vulnerabilidades. Esse tipo de malware pode paralisar
uma organização, causar grandes violações de dados e
exigir centenas de milhares de libras para ser corrigido.

O ISTR da Symantec também relatou os ataques Shamoon. Em 2012, esse malware, direcionado a empresas de
energia, foi capaz de apagar discos rígidos inteiros. Esse tipo de ação é extremamente sofisticada e, até o momento,
tem se limitado a alvos de grande valor, mas indica uma tendência: “se for possível, alguém tentará; se for lucrativo,
muitos conseguirão”.

p. 8 O poder de destruir: como o malware funciona

O que é ruim para os clientes é pior
para você
Se seu site for responsável pela
infecção do computador de um
cliente ou, pior, de toda a sua rede,
para você o prejuízo será maior do
que apenas a perda do negócio.
Isso é verdadeiro especialmente se
você for uma pequena empresa que
precisa provar aos seus grandes
clientes que eles estão seguros nas
interações online com o seu site.
Ataques direcionados contra pequenas empresas
aumentaram consideravelmente no último ano. Pelo
menos em parte, acredita-se que o motivo seja os
criminosos acharem que podem tirar proveito das
defesas mais frágeis das pequenas empresas para
superar as defesas superiores das empresas maiores
com as quais elas interagem.
Por isso, clientes de grande porte estão exigindo
segurança mais rígida de seus prestadores de serviços
e parceiros. O Norton Secured Seal é uma forma de
provar de forma imediata que você leva a sério a sua
segurança e a segurança de seus clientes. Ele é exibido
mais de 750 milhões de vezes por dia, e é a marca de
confiança mais reconhecida da Internet9.
CUSTO ESTIMADO DE PERDA DE NEGÓCIOS POR VIOLAÇÃO
DE SEGURANÇA DE NÍVEL MÉDIO
£300
para pequena empresa
£10.000 - £15.000
para grande organização
p. 9
O custo da confiança do cliente
Deixar clientes individuais em risco pode ter um custo
alto para você. O custo estimado da perda de negócios
causada por uma violação de segurança de nível médio
é de £ 300-600 para pequenas empresas e £ 10.000-
15.000 para as grandes organizações10.
Além disso, se um mecanismo de busca verificar seu site
e encontrar código mal-intencionado, você imediata­
mente entrará na lista negra, apagando todas as suas
classificações e credibilidade em mecanismos de busca.
Os avisos de um mecanismo de busca ou do software
antivírus do próprio cliente a respeito da segurança de
seu site podem destruir a sua reputação em segundos.
Além do custo estimado de £ 1.500-8000 para pequenas
empresas e £ 25.000-115.000 para grandes organiza­
ções quando a reputação é afetada, a confiança perdida
também é extremamente difícil de recuperar11.
Quando um cliente pesquisa a sua empresa, você quer
estabelecer confiança desde o primeiro clique, e não
perdê-la. O Norton Secured Seal, incluído em todos os
certificados SSL da Symantec, é exibido nos resultados
de busca ao lado de seu site, provando que você monito­
ra e protege o site, que é quem diz ser e que leva a sério
a segurança online. A Symantec Seal-in-Search certa­
mente é uma forma de criar confiança desde o primeiro
momento em que alguém faz uma pesquisa online.
- £600
O poder de destruir: como o malware funciona
Assuma a responsabilidade
Apesar da escala das ameaças
dos criminosos cibernéticos,
mais da metade dos empresários
nunca realizou uma avaliação de
vulnerabilidades de seu site12. Você
precisa conhecer os seus pontos
fracos antes mesmo de começar a
implementar tecnologias e processos
para se proteger contra eles.
Uma avaliação de vulnerabilidades da Symantec fornece
a você um prático relatório sobre ameaças que o ajuda
a impedir a disseminação mal-intencionada de malware
em seu site.
No fim das contas, se você deixa de proteger seu site de
forma adequada, não está arriscando apenas seus negó­
cios e seus clientes. Com o aumento dos ataques por
download na Web, qualquer número de pessoas pode se
tornar vítima de malware à espreita em seu site. A sua
própria segurança é do interesse de todos os que fazem
parte da comunidade online mais ampla.
p. 10
Crie parcerias com profissionais
Como você acabou de ler, os criminosos cibernéticos
veem o malware como parte de uma indústria séria e
multimilionária. Eles investem tempo e dinheiro para
explorar vulnerabilidades e para maximizar o impacto de
seus softwares mal-intencionados.
Você, por outro lado, precisa se concentrar na expansão
e no sucesso de sua própria empresa; portanto, precisa
de um parceiro de segurança que esteja tão compro­
metido com a segurança dos sites quanto os criminosos
estão dedicados a explorá-los.
A Symantec possui uma ampla gama de Website Security
Solutions para ajudar você a procurar vulnerabilidades,
criptografar dados, detectar malware e inspirar confi­
ança em seu site. Somos a principal fonte de confiança
online, e protegemos todas as empresas da Fortune 500.
Podemos ajudar a proteger a sua empresa também.
O poder de destruir: como o malware funciona
Referências
1. 
Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria.,
https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf

2. 
Relatório da Symantec sobre ameaças de segurança de sites em 2013, https://www.symantec-wss.com/ptbr
Todas as estatísticas posteriores de segurança na Internet foram obtidas no ISTR, a menos que indicado de outra forma nas notas de
rodapé.

3. 
Department for Business Innovation and Skills, 2013 Information Security Breaches Survey,
https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/200455/bis-13-p184-2013-information-security-
breaches-survey-technical-report.pdf

4. http://www.symantec.com/connect/blogs/cost-cybercrime-2012

5. 2013 Information Security Breaches Survey

6. Symantec Intelligence Report, julho de 2013,

http://www.symantec.com/security_response/publications/monthlythreatreport.jsp

7. 2013 Information Security Breaches Survey

8. http://www.theregister.co.uk/2012/07/25/japan_finance_ministry_trojan_attack/

9. Pesquisa internacional sobre o consumidor online: Estados Unidos, Alemanha, Reino Unido, julho de 2012

10. 2013 Information Security Breaches Survey

11. 2013 Information Security Breaches Survey

12. Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria.,

https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf

p. 11 O poder de destruir: como o malware funciona

SOBRE A SYMANTEC
As Symantec Website Security Solutions incluem o gerenciamento
de certificados SSL líderes do setor, a avaliação de vulnerabilidades
e a verificação de malware. O Norton™ Secured Seal e a Symantec
Seal-in-Search garantem a seus clientes que eles estão seguros ao
pesquisar, navegar e comprar.

Mais informações disponíveis em www.symantec.com/pt/br/ssl

Symantec Website Security Solutions

O poder Website Security
de destruir: como oThreat Report
malware 2013
funciona
 SIGA-NOS

Para obter informações de escritórios locais

específicos e números de contato, visite nosso site.

Para conversar com um Especialista em Produtos,

ligue para +1 650-436-3400

Symantec Brasil Headquarters

Av. Dr. Chucri Zaidan, 920 - 12o andar
Market Place Tower
São Paulo, SP, Brasil

www.symantec.com/pt/br/ssl