Para os fãs, “Slow and Low” é apenas uma música famosa dos Beastie Boys. No mundo da tecnologia, entretanto, esse é um tipo de ataque cibernético que se transformou no método preferido de muitos criminosos atuais. O motivo? Trata-se de um golpe que pode ser realizado sem que o responsável seja detectado.
O cenário atual de ameaças é alimentado por invasores não mais motivados apenas pela notoriedade, mas sim pelo ganho econômico ou político. Com incentivos financeiros significativos para ataques bem-sucedidos, o ataque silencioso é agora a cartada do jogo. Os invasores estão mais proficientes, aproveitando-se discretamente das brechas na segurança para ocultar e dissimular a atividade maliciosa, e nós estamos conhecendo novas abordagens jamais vistas.
De acordo com o gerente de Engenharia de Segurança da Cisco, Marcelo Bezerra, os ataques “slow and low” (“Lento e suave”, em tradução literal) usam o tráfego lento, que parece legítimo em termos de regras e taxas de protocolo, para atingir uma falha da segurança. Por não violar padrões de rede, eles passam despercebidos, voando “abaixo do radar” das estratégias tradicionais de controle.
Bezerra classifica “slow and low” em cinco técnicas. Abaixo, confira uma descrição de cada uma — e perceba como várias são mais comuns do que você imaginava, porém se adaptaram para sobreviver.
1. Exploit kits
Produtores de exploit kits (pacotes de dados que se aproveitam de vulnerabilidades) mais tradicionais, como o “Blackhole”, viram alvo das autoridades e foram fechados. Como resultado, os invasores perceberam que usar infraestruturas complexas e ataques poderosos nem sempre é melhor. Em vez disso, os exploits mais bem sucedidos são o quarto ou quinto mais comuns — um modelo de negócio que não atrai muita atenção.
2. Snowshoe Spam
Chamado assim por lembrar uma bota de neve que deixa uma pegada grande, mas fraca. Nessa técnica, o invasor espalha várias mensagens por uma grande área para evitar a detecção por métodos tradicionais de defesa. O spam Snowshoe envia emails em massa não solicitados usando um alto número de endereços IP em um volume baixo de envios cada um, na tentativa de contornar os filtros. Eles rapidamente alteram o corpo do texto e os links, nunca repetindo a mesma combinação.
3. Spear phishing
Um “arpão de pesca” mais sofisticado pode usar até táticas de engenharia social. A última rodada de mensagens de phishing parece sair de fornecedores conhecidos ou prestadores de serviços como serviços de entrega, sites de compras online e provedores. Esses emails podem incluir um nome de confiança, um logotipo ou um título familiar, como um aviso sobre uma compra recente ou um número de rastreamento da entrega. Esta construção bem planejada e cuidadosa dá aos usuários uma falsa sensação de segurança, seduzindo-os a clicar em links maliciosos.
4. Exploits compartilhados entre dois arquivos diferentes
Malwares Flash agora podem interagir com JavaScript ao compartilhar um exploit entre dois arquivos e formatos diferentes: um flash e um JavaScript. Isso esconde a atividade maliciosa, complicando a identificação, o bloqueio e a análise do exploit a partir de engenharia reversa. Neles, se a primeira fase de um ataque ocorre toda em JavaScript, o segundo passo (transmissão do payload, em que estão os efeitos destrutivos do software) não ocorre até que o JavaScript seja executado com sucesso. Assim, apenas os usuários que executarem o arquivo malicioso receberão o payload.
5. Malvertising
Mistura de malware com advertising, essa publicidade maliciosa está nos complementos do navegador, usados para a distribuição de malware e aplicativos indesejados, como pop-ups. A vítima baixa e instala aplicativos como ferramentas de PDF ou players de vídeo, a partir de fontes que eles acreditam ser legítimas, mas acabam infectados. Essa forma de distribuição de malware é garantia de sucesso, já que muitos usuários confiam inerentemente nesses add-ons ou simplesmente acreditam que sejam benignos. A infecção pode gerar dinheiro aos criminosos e se esconde facilmente nas máquinas.
“Profissionais de segurança e criminosos cibernéticos estão numa corrida para ver qual lado pode despistar o outro. Os adversários estão se tornando mais sofisticados, não só em suas abordagens de ataques, mas em burlar a detecção de formas inéditas, mas os defensores também não estão parados”, conclui Bezerra. Essa guerra, pelo jeito, está bem longe de acabar.
Categorias