Software de segurança desonesto - Rogue security software

Parte de uma série sobre
Segurança da informação
Categorias de segurança relacionadas
Segurança automotiva Cibercrime Tráfico de cibersexo Fraude de computador Cybergeddon Terrorismo cibernético Cyberwarfare Guerra eletronica Guerra de informação Segurança da Internet Segurança para celulares Segurança de rede Proteção contra cópia Gestão de direitos digitais
Ameaças
Adware Ameaça persistente avançada Execução de código arbitrário Backdoors Backdoors de hardware Injeção de código Crimeware Cross-site scripting Malware de criptojacking Botnets Violação de dados Download drive-by objetos auxiliares do navegador Crime virtual Vírus Raspagem de dados Negação de serviço Espionagem Fraude de email Spoofing de e-mail Exploits Keyloggers Bombas lógicas Bombas-relógio Bombas fork Bombas zip Discadores fraudulentos Malware Carga útil Phishing Motor polimórfico Escalada de privilégios Ransomware Rootkits Bootkits Scareware Shellcode Spamming Engenharia social (segurança) Captura de tela Spyware Bugs de software cavalos de Tróia Trojans de hardware Trojans de acesso remoto Vulnerabilidade Conchas da web Limpador Worms injeção SQL Software de segurança desonesto Zumbi
Defesas
Segurança do aplicativo Codificação segura Seguro por padrão Seguro desde a concepção Caso de uso indevido Controle de acesso ao computador Autenticação Autenticação multifator Autorização Software de segurança de computador Software antivírus Sistema operacional focado na segurança Segurança centrada em dados Ofuscação de código Encriptação Firewall Sistema de detecção de intrusão Sistema de detecção de intrusão baseado em host (HIDS) Detecção de anomalia Informações de segurança e gerenciamento de eventos (SIEM) Gateway seguro móvel Autoproteção de aplicativo em tempo de execução
v t e

O software de segurança desonesto é uma forma de software malicioso e fraude na Internet que induz os usuários a acreditar que há um vírus em seu computador e tem como objetivo convencê-los a pagar por uma falsa ferramenta de remoção de malware que, na verdade, instala malware em seu computador. É uma forma de scareware que manipula os usuários por meio do medo e uma forma de ransomware . O software de segurança desonesto tem sido uma séria ameaça à segurança na computação de desktop desde 2008. Dois dos primeiros exemplos a ganhar a infâmia foram BraveSentry e SpySheriff .

Propagação

O software de segurança desonesto se baseia principalmente na engenharia social ( fraude ) para derrotar a segurança embutida no sistema operacional moderno e no software do navegador e se instalar nos computadores das vítimas. Um site pode, por exemplo, exibir uma caixa de diálogo de aviso fictícia informando que a máquina de alguém está infectada com um vírus de computador e encorajá-los através da manipulação para instalar ou comprar scareware na crença de que estão comprando um software antivírus genuíno .

A maioria tem um componente de cavalo de Tróia , que os usuários são induzidos a instalar por engano. O Trojan pode estar disfarçado como:

• Um plug-in ou extensão do navegador (normalmente barra de ferramentas)
• Uma imagem, screensaver ou arquivo anexado a um e-mail mensagem
• Codec de multimídia necessário para reproduzir um determinado videoclipe
• Software compartilhado em redes ponto a ponto
• Um serviço online gratuito de verificação de malware

Alguns softwares de segurança desonestos, no entanto, se propagam para os computadores dos usuários como downloads drive-by que exploram vulnerabilidades de segurança em navegadores da web, visualizadores de PDF ou clientes de e-mail para se instalarem sem qualquer interação manual.

Mais recentemente, os distribuidores de malware têm utilizado técnicas de envenenamento de SEO , colocando URLs infectados no topo dos resultados de mecanismos de pesquisa sobre eventos de notícias recentes. As pessoas que procuram artigos sobre esses eventos em um mecanismo de pesquisa podem encontrar resultados que, ao serem clicados, são redirecionados para uma série de sites antes de chegar a uma página de destino que diz que sua máquina está infectada e envia um download para um "teste" do programa desonesto. Um estudo de 2010 do Google encontrou 11.000 domínios que hospedam software antivírus falso, respondendo por 50% de todo o malware distribuído por meio de publicidade na Internet.

A chamada fria também se tornou um vetor de distribuição desse tipo de malware, com os chamadores muitas vezes alegando ser do "Suporte da Microsoft" ou de outra organização legítima.

Vetores de infecção comuns

Black Hat SEO

A otimização do mecanismo de pesquisa Black Hat (SEO) é uma técnica usada para enganar os mecanismos de pesquisa para que exibam URLs maliciosos nos resultados da pesquisa. As páginas da web maliciosas são preenchidas com palavras-chave populares para obter uma classificação mais elevada nos resultados da pesquisa. Quando o usuário final pesquisa na web, uma dessas páginas infectadas é retornada. Normalmente, as palavras-chave mais populares de serviços como o Google Trends são usadas para gerar páginas da web por meio de scripts PHP colocados no site comprometido. Esses scripts PHP irão monitorar rastreadores de mecanismos de pesquisa e alimentá-los com páginas da web especialmente criadas que são listadas nos resultados da pesquisa. Então, quando o usuário procura por suas palavras-chave ou imagens e clica no link malicioso, ele é redirecionado para a carga útil do software de segurança Rogue.

Malvertising

A maioria dos sites geralmente emprega serviços de terceiros para anunciar em suas páginas da web. Se um desses serviços de publicidade for comprometido, eles podem acabar infectando inadvertidamente todos os sites que usam seu serviço, anunciando um software de segurança desonesto.

Campanhas de spam

Mensagens de spam que incluem anexos maliciosos, links para binários e sites de download drive-by são outro mecanismo comum para distribuição de software de segurança desonesto. E-mails de spam são frequentemente enviados com conteúdo associado a atividades diárias típicas, como entregas de pacotes ou documentos fiscais, projetados para motivar os usuários a clicar em links ou executar anexos. Quando os usuários sucumbem a esses tipos de truques de engenharia social, eles são rapidamente infectados diretamente por meio do anexo ou indiretamente por meio de um site malicioso. Isso é conhecido como download drive-by. Normalmente, em ataques de download drive-by, o malware é instalado na máquina da vítima sem qualquer interação ou percepção e ocorre simplesmente ao visitar o site.

Operação

Uma vez instalado, o software de segurança desonesto pode então tentar induzir o usuário a comprar um serviço ou software adicional:

• Alertar o usuário sobre a detecção falsa ou simulada de malware ou pornografia .
• Exibindo uma animação que simula uma falha e reinicialização do sistema.
• Desativar seletivamente partes do sistema para evitar que o usuário desinstale o malware. Alguns também podem impedir a execução de programas anti-malware, desabilitar atualizações automáticas de software do sistema e bloquear o acesso a sites de fornecedores de anti-malware.
• Instalar malware real no computador e alertar o usuário após "detectá-lo". Esse método é menos comum, pois o malware provavelmente será detectado por programas anti-malware legítimos .
• Alterar os registros do sistema e as configurações de segurança e, em seguida, "alertar" o usuário.

Os desenvolvedores de softwares de segurança desonestos também podem induzir as pessoas a comprar seus produtos, alegando que destinam uma parte de suas vendas a uma causa de caridade. O desonesto antivírus Green, por exemplo, afirma doar US $ 2 a um programa de cuidado ambiental para cada venda realizada.

Alguns softwares de segurança desonestos se sobrepõem em função ao scareware ao:

• Apresentar ofertas para corrigir problemas urgentes de desempenho ou executar tarefas de limpeza essenciais no computador.
• Assustar o usuário ao apresentar avisos pop-up e alertas de segurança de aparência autêntica, que podem imitar os avisos reais do sistema. O objetivo deles é usar a confiança que o usuário tem nos fornecedores de software de segurança legítimo.

A sanção pela FTC e a eficácia crescente das ferramentas anti-malware desde 2006 dificultaram o funcionamento lucrativo das redes de distribuição de spyware e adware - já complexas no início. Os fornecedores de malware se voltaram para o modelo de negócios mais simples e lucrativo de software de segurança desonesto, que é direcionado diretamente aos usuários de computadores desktop .

O software de segurança desonesto é frequentemente distribuído por meio de redes de afiliados altamente lucrativas , nas quais os afiliados fornecidos com os kits de Trojan para o software recebem uma taxa para cada instalação bem-sucedida e uma comissão por todas as compras resultantes. As afiliadas tornam-se então responsáveis ​​por configurar os vetores de infecção e a infraestrutura de distribuição do software. Uma investigação feita por pesquisadores de segurança no software de segurança desonesto Antivirus XP 2008 encontrou uma rede de afiliados, na qual os membros estavam arrecadando comissões de mais de US $ 150.000 em 10 dias, a partir de dezenas de milhares de instalações bem-sucedidas.

Contramedidas

Esforços privados

A aplicação da lei e a legislação em todos os países demoram a reagir ao aparecimento de softwares de segurança desonestos. Em contraste, várias iniciativas privadas que fornecem fóruns de discussão e listas de produtos perigosos foram fundadas logo após o surgimento do primeiro software de segurança desonesto. Alguns fornecedores respeitáveis, como Kaspersky, também começaram a fornecer listas de softwares de segurança desonestos. Em 2005, foi fundada a Anti-Spyware Coalition , uma coalizão de empresas de software anti-spyware, acadêmicos e grupos de consumidores.

Muitas das iniciativas privadas foram inicialmente discussões informais em fóruns gerais da Internet , mas algumas foram iniciadas ou mesmo inteiramente realizadas por indivíduos. O talvez mais famoso e extenso é a lista do Spyware Warrior de produtos antispyware desonestos / suspeitos e sites de Eric Howes, que, entretanto, não foi atualizada desde maio de 2007. O site recomenda verificar os seguintes sites em busca de novos programas anti-spyware desonestos, a maioria dos quais não são realmente novos e são "simplesmente clones com nova marca e cópias dos mesmos aplicativos desonestos que existem há anos".

Esforços do governo

Em dezembro de 2008, o Tribunal Distrital dos Estados Unidos de Maryland - a pedido da FTC - emitiu uma ordem de restrição contra a Innovative Marketing Inc, uma empresa sediada em Kiev que produz e comercializa produtos de software de segurança desonestos WinFixer , WinAntivirus , DriveCleaner , ErrorSafe e XP Antivírus . A empresa e seu host com sede nos Estados Unidos, ByteHosting Internet Hosting Services LLC, tiveram seus ativos congelados, foram impedidos de usar nomes de domínio associados a esses produtos e qualquer anúncio adicional ou representação falsa.

A aplicação da lei também exerceu pressão sobre os bancos para que fechassem os gateways comerciais envolvidos no processamento de compras de software de segurança desonestos. Em alguns casos, o alto volume de estornos de cartão de crédito gerado por essas compras também levou os processadores a tomar medidas contra os fornecedores de software de segurança desonestos.

Veja também

• Antivírus
• Lista de softwares de segurança desonestos
• Scareware
• Golpe de suporte técnico
• Winwebsec

Referências

links externos

• Mídia relacionada ao software Rogue no Wikimedia Commons