※ Vithor

Fundamentos Malware

Leitura de 5 min

Os três lados da moeda

Toda moeda tem dois lados: Mas no universo da cibersegurança, especialmente quando falamos sobre malware, há um terceiro lado, o lado cinza.

Na comunidade, esses lados são geralmente representados pelos famosos chapéus:

  • White Hats (Chapéus Brancos): Profissionais éticos que usam seus conhecimentos para proteger sistemas, encontrar vulnerabilidades e ajudar empresas e usuários a se manterem seguros.
  • Black Hats (Chapéus Pretos): Aqueles que utilizam suas habilidades para explorar sistemas, roubar dados, espalhar malware e causar prejuízos, muitas vezes motivados por dinheiro, ideologia ou poder.
  • Gray Hats (Chapéus Cinza): Um meio-termo. Esses indivíduos transitam entre os dois mundos: conhecem as regras, mas nem sempre as seguem. Costumam explorar falhas e, às vezes, as reportam, outras vezes as vendem ou exploram em benefício próprio.

É importante entender essa divisão para compreender melhor as motivações por trás do desenvolvimento e uso de malwares. Embora o lado ético exista e tenha grande importância, a realidade é que muitos acabam optando pelo lado “obscuro”.

|750x341

Ao começar a estudar ou desenvolver malwares, muitos percebem como é relativamente fácil infectar arquivos ou contornar antivírus. Também entendem que, dependendo do tipo de computador ou sistema infectado, é possível obter lucros consideráveis, o que leva muitos a optarem por infringir a lei em busca de ganhos financeiros rápidos.

Tipos de malware

Existem muitos tipos de malware: alguns são desenvolvidos para sistemas específicos, outros executam apenas uma atividade em particular. No entanto, os tipos mais comumente encontrados e retratados atualmente são:

  • Ransomware: Malwares que criptografam os dados da vítima e exigem pagamento (geralmente em criptomoedas) para restaurar o acesso.
  • Spyware: Projetado para espionar o usuário, coletando informações como senhas, dados bancários e hábitos de navegação.
  • Stealers: Malwares especializados em roubar informações sensíveis, como senhas salvas no navegador, cookies, dados de carteiras de criptomoedas e credenciais de acesso a serviços diversos.

Obviamente, existem vários outros tipos de malware, mas, na realidade, os mais comumente encontrados atualmente são os citados nesta pequena lista acima.

Objetivos principais

Quando falamos sobre desenvolvimento de malware, temos que pensar como um atacante malicioso pensaria. Como citei acima, mencionei apenas três tipos de malware e afirmo que mais de 70% de todos os malwares na internet se enquadram nessas três categorias.

Ransomware

|623x432

É um clássico tipo de malware. Seu objetivo principal é criptografar os dados do computador e exigir resgate para a liberação dessas informações. Hoje em dia, esse tipo de ataque ainda acontece, mas com muito menos frequência. Os principais motivos são a existência de backups em empresas, o armazenamento de dados na nuvem e o fato de que a maioria dos dados importantes das pessoas está nos celulares. Além disso, menos de 20% das vítimas acabam pagando pelo resgate.

Spyware

Na minha opinião, é o tipo de malware mais eficaz e provavelmente o mais utilizado até hoje. Isso porque ele tem como objetivo principal infectar o computador da vítima sem que ela perceba. A possibilidade de manter uma conexão com a vítima, acessar qualquer dado de seu computador, estudar sua rotina, ver o que ela faz e executar comandos remotamente fazem desse malware um dos mais poderosos.

No entanto, ele também é um dos mais difíceis de manter, especialmente quando estamos falando de uma grande rede de computadores infectados. A falta de um servidor decente, o uso de VPNs ou o fato de as vítimas estarem em outros países tornam a manutenção de uma rede extensa de infecção algo pouco vantajoso.

Stealers

Esse é o tipo de malware mais utilizado atualmente, e existe um mercado obscuro que movimenta milhões, talvez bilhões de dólares todos os anos. É o malware mais eficiente nos dias de hoje: ação rápida e eficaz, sem a necessidade de manter conexão constante com as vítimas.

O stealer consegue extrair tudo o que o computador da vítima tem a oferecer em questão de segundos. Ele captura senhas, cookies de autenticação (o que permite burlar até a verificação em duas etapas) e diversas outras informações sensíveis. Todos esses fatores tornam esse tipo de malware ideal para operar em larga escala, mesmo com uma quantidade extrema de computadores infectados.

Como os malwares se espalham

Algumas das formas mais comuns pelas quais as pessoas acabam sendo infectadas são:

  • Anexos de e-mail infectados.
  • Downloads de sites maliciosos ou comprometidos.
  • Dispositivos USB contaminados.
  • Atualizações falsas de software.
  • Programas crackeados.

Entretanto, a realidade é que provavelmente mais de 50% das infecções hoje em dia ocorrem por dois métodos principais: programas crackeados e hacks para jogos.

Esses métodos são os mais eficazes por motivos simples: adultos recorrem a programas crackeados porque a maioria dos softwares hoje em dia são pagos, enquanto crianças acabam baixando hacks para jogos porque são ruins nos jogos. Além disso, crianças são curiosas e propensas a clicar em tudo.

Esses, na minha opinião, são os principais métodos de infecção. Obviamente existem muitos outros, mas esses são os mais recorrentes atualmente.

O que seria o básico?

Na minha opinião, entender o básico sobre malware é conhecer os três tipos que citei acima. É fundamental compreender como eles operam na internet, como funcionam e quais programas geralmente são utilizados. Por isso, decidi fazer alguns posts básicos onde explicarei brevemente esses temas.

  • Ransomware: Neste post, irei falar sobre ransomware.

  • Spyware: Neste post, mostrarei uma ferramentas comumente utilizada por atacantes ao empregar esse tipo de malware, também explicarei um pouco sobre o tema.

  • Stealers: Nesse post eu vou falar brevemente sobre o funcionamento de stealer.

  • PEB Walk: Post “extra” sobre PEB Walk, técnica que pode ser usada para evitar que APIs apareçam na IAT, dificultando a análise estática e reduzindo a detecção por antivírus.

Visão de gráfico