Vídeo: Como REMOVER TODOS OS ADWARES e MALWARES do COMPUTADOR (Outubro 2024)
Os malwares baseados na Web são melhores em contornar as defesas de segurança tradicionais do que os malwares transmitidos por email, de acordo com a Palo Alto Networks.
Embora o email continue a ser a principal fonte de malware, a esmagadora maioria do malware desconhecido é enviada por aplicativos da Web, a Palo Alto Networks encontrou em seu relatório Modern Malware Review, divulgado segunda-feira. Quase 90% dos usuários de "malware desconhecido" encontrados vieram da navegação na Web, em comparação com apenas 2% provenientes de email.
"Malwares desconhecidos" neste relatório referem-se a amostras maliciosas detectadas pelo serviço em nuvem Wildfire da empresa, dos quais seis produtos antivírus "líderes do setor" perderam, informou a Palo Alto Networks no relatório. Os pesquisadores analisaram dados de mais de 1.000 clientes que implantaram o firewall de última geração da empresa e assinaram o serviço opcional Wildfire. Das 68.047 amostras sinalizadas pelo WildFire como malware, 26.363 amostras, ou 40%, não foram detectadas pelos produtos antivírus.
"Um volume esmagador de malware desconhecido vem de fontes baseadas na Web, e os produtos tradicionais de antivírus se saem muito melhor em proteger contra malware entregue por email", disse a Palo Alto Networks.
Muito esforço para não ser detectado
Uma grande parte da inteligência do malware é dedicada a não ser detectada pelas ferramentas de segurança, concluiu a Palo Alto Networks. Os pesquisadores observaram mais de 30 comportamentos dedicados a ajudar o malware a evitar a detecção, como manter o malware por muito tempo após a infecção inicial, desativando as ferramentas de segurança e os processos do sistema operacional. De fato, da lista de atividades e comportamentos de malware observados pela Palo Alto Networks, 52% se concentraram em fugir da segurança, em comparação com 15% que se concentraram em hackers e roubo de dados, segundo o relatório.
Relatórios anteriores de outros fornecedores apontaram o grande número de malwares desconhecidos para argumentar que os produtos antivírus eram ineficazes para manter os usuários seguros. A Palo Alto Networks disse que o objetivo do relatório não era chamar produtos antivírus por não detectar essas amostras, mas identificar pontos comuns em amostras de malware que poderiam ser usados para detectar ameaças enquanto aguardavam a atualização dos produtos antivírus.
Quase 70% das amostras desconhecidas exibiram "identificadores ou comportamentos distintos" que poderiam ser usados para controle e bloqueio em tempo real, segundo a Palo Alto Networks em seu relatório. Os comportamentos incluíam tráfego personalizado gerado pelo malware, bem como os destinos remotos que o malware contatou. Aproximadamente 33% das amostras estavam se conectando a domínios recém-registrados e domínios usando DNS dinâmico, enquanto 20% tentavam enviar e-mails, segundo o relatório. Os invasores costumam usar o DNS dinâmico para gerar domínios personalizados dinamicamente que podem ser facilmente abandonados quando os produtos de segurança começam na lista negra.
Os invasores também usavam portas da Web não padrão, como o envio de tráfego não criptografado na porta 443 ou o uso de portas diferentes de 80 para enviar tráfego da Web. O FTP geralmente usa as portas 20 e 21, mas o relatório encontrou malware usando 237 outras portas para enviar tráfego FTP.
Atrasos na detecção de malware
Os fornecedores de antivírus levaram uma média de cinco dias para entregar assinaturas para amostras de malware desconhecidas detectadas por email, em comparação com quase 20 dias para as baseadas na Web. O FTP foi a quarta fonte de malware desconhecido, mas quase 95% das amostras permaneceram sem serem detectadas após 31 dias, segundo a Palo Alto Networks. Os malwares entregues nas mídias sociais também tinham variantes que não foram detectadas pelo antivírus por 30 dias ou mais, segundo o relatório.
"Não são apenas as soluções antivírus tradicionais muito menos propensas a detectar malware fora do email, mas também leva muito mais tempo para obter cobertura", revelou o relatório.
As diferenças no tamanho da amostra afetaram a eficácia do antivírus na detecção de malware, disse a Palo Alto Networks. Para ameaças transmitidas por email, o mesmo malware geralmente é entregue a vários destinos, aumentando a probabilidade de o fornecedor de antivírus detectar e analisar o arquivo. Por outro lado, os servidores da Web usam o polimorfismo do servidor para personalizar o arquivo malicioso toda vez que a página da Web de ataque é carregada, criando um número maior de amostras exclusivas e dificultando a detecção das amostras. O fato de o email também não precisar ser entregue em tempo real significa que as ferramentas anti-malware têm tempo para analisar e inspecionar os arquivos. A Web é "muito mais em tempo real" e oferece às ferramentas de segurança "muito menos tempo para inspecionar" os arquivos maliciosos antes de entregá-los ao usuário.
"Acreditamos que é crucial que as empresas reduzam o volume geral de infecções de variantes de malware conhecido, para que as equipes de segurança tenham tempo para se concentrar nas ameaças mais graves e direcionadas", segundo o relatório.
