Definição de ataque de download drive-by
Ataques de download drive-by referem-se especificamente a programas maliciosos que se instalam nos seus dispositivos sem o seu consentimento. Eles incluem o download não intencional de quaisquer arquivos ou software incluído em um computador.
Disfarçados em todos os cantos da web, esses ataques fazem com que até mesmo sites perfeitamente legítimos espalhem essa ameaça.
Estas são as duas variantes principais dos ataques de download drive-by:
1. Programas ou aplicativos potencialmente indesejados não maliciosos (PUPs/PUAs).
2. Ataques carregados de malware.
O primeiro é limpo e seguro, um adware no pior dos casos. Os especialistas em segurança virtual usam o último como a definição de download drive-by.
O que é um ataque de download drive-by?
Um ataque de download drive-by refere-se ao download não intencional de código malicioso em seu computador ou dispositivo móvel que o deixa vulnerável a um ataque virtual. Você não precisa clicar em nada, apertar nenhum botão de download ou abrir um anexo de e-mail malicioso para ser infectado.
Um download drive-by pode se aproveitar de um aplicativo, sistema operacional ou navegador da web que contém falhas de segurança devido a atualizações malsucedidas ou à falta de atualizações. Ao contrário de muitos outros tipos de ataque virtual, o usuário não precisa fazer nada para ativar o ataque drive-by.
Os downloads drive-by são projetados para violar seu dispositivo de uma ou mais das seguintes formas:
1. Sequestrar seu dispositivo para criar uma botnet, infectar outros dispositivos ou violar ainda mais o seu.
2. Espiar sua atividade para roubar suas credenciais online, informações financeiras ou identidade.
3. Arruinar dados ou desativar seu dispositivo simplesmente para causar problemas ou prejudicá-lo.
Sem um software de segurança adequado ou correções para suas vulnerabilidades, você pode ser vítima de um desses ataques.
Como os ataques de download drive-by funcionam?
Se você já se perguntou o que é um ataque drive by download, você já sabe mais do que a maioria. Como ele se infiltra silenciosamente, mesmo em "sites seguros", a maioria das pessoas não tem ideia de como foram infectados.
Existem duas maneiras principais pelas quais os eles entram nos dispositivos:
1. Autorizado sem conhecer todas as implicações: você faz algo que leva à infecção, como clicar em um link em um alerta de segurança falso e enganoso ou baixar um cavalo de Troia.
2. Totalmente não autorizado sem qualquer notificação: você visita um site e é infectado sem qualquer aviso ou ação adicional. Esses downloads podem estar em qualquer lugar, até mesmo em sites legítimos.
Saber exatamente o que é o download drive-by é tão importante quanto saber como identificar a isca de um ataque. Vamos analisar cada um desses métodos para ajudá-lo a ver os possíveis sinais de alerta.
Downloads autorizados com payloads ocultos
Os downloads drive-by autorizados são simplificados e podem até ser detectados antes do ataque:
- O hacker cria um vetor de entrega do malware, como mensagens online, anúncios, downloads de programas legítimos.
- Você interage com o vetor clicando em um link enganoso, baixando um software etc.
- O malware se instala no seu dispositivo quando você não desativa o software extra ou ao entrar a um site infestado de malware.
- O hacker entra com sucesso no seu dispositivo e o malware assume o controle indesejado dos seus dados.
Softwares ou sites podem parecer inofensivos, mas estão corrompidos por malware. Na verdade, um dos maiores perigos é a facilidade de atrair pessoas para sites ou aplicativos que parecem inocentes.
Por exemplo, você recebe um link por e-mail ou vê uma publicação no seu feed das redes sociais. Ele está disfarçado para parecer que foi enviado de fontes em que você confia. Essa tática de engenharia social é usada para induzi-lo a clicar e abrir.
Assim que o site for aberto, o download drive-by se instala no seu computador ou dispositivo móvel. Essa tática é usada para motivar você a clicar e abrir. Assim que o site for aberto, o download drive-by se instala no seu computador ou dispositivo móvel.
Bundleware é um método "autorizado" popular, que anexa programas secundários ao download do programa desejado. Às vezes chamados de "barnacles", esses programas/aplicativos potencialmente indesejados (PUPs/PUAs) podem ocultar malware ou ser malware.
Esse software geralmente é uma opção a ser recusada ao baixar um software gratuito ou shareware.
O phishing também pode ser usado para atrair você para um download drive-by. Pop-ups ou mensagens online fraudulentas se apresentam como organizações que você conhece e confia.
Aparecem notificações falsas de uma violação de segurança no seu navegador da web, ou um e-mail falso de violação de dados do seu banco. O objetivo é assustar e fazer você clicar em um link ou baixar um anexo, e assim se infectar.
Downloads não autorizados sem o seu conhecimento
Um download drive-by funciona de forma simples, apesar de ter múltiplas fases:
1. O hacker compromete uma página da web conectando um componente malicioso a uma falha de segurança.
2. Você aciona o componente visitando a página, e ele encontra as falhas de segurança do seu dispositivo.
3. O componente baixa malware no seu dispositivo explorando sua segurança.
4. O malware faz o trabalho dele, permitindo que o hacker interrompa, controle ou roube seu dispositivo.
Como mencionado antes, o código malicioso não autorizado é distribuído diretamente pelos sites comprometidos. No entanto, o código é colocado lá por hackers. O método deles depende de falhas naturais da tecnologia digital e de práticas de segurança fracas.
Os kits de exploits são o software usado para comprometer servidores web vulneráveis e seus dispositivos. Eles identificam as vulnerabilidades do software em máquinas e navegadores da web para determinar quais sistemas são fáceis de serem obtidos.
Os kits de exploits costumam usar partes de código criadas para escapar de defesas simples e passar despercebidas. O código é simples para se concentrar em um trabalho: entrar em contato com outro computador para introduzir o restante do código necessário para acessar um dispositivo móvel ou computador.
As vulnerabilidades de segurança descobertas pelos kits de exploits são inevitáveis na era digital. Nenhum software ou hardware jamais será perfeito. Assim como um edifício pode ser infiltrado com muito estudo e planejamento, o mesmo acontece com qualquer software, rede ou outra infraestrutura digital. As vulnerabilidades vêm em algumas formas comuns:
- Exploits de dia zero: falhas de segurança sem quaisquer correções ou patches conhecidos.
- Exploits conhecidos: problemas de segurança que possuem correções conhecidas, mas desinstaladas.
Os exploits de dia zero são difíceis de evitar, mas problemas conhecidos são manipulados somente devido a práticas de segurança virtual inadequadas. Se os usuários endpoint e administradores da web não atualizarem todos os softwares a tempo, eles também atrasarão atualizações de segurança essenciais — e é disso que os hackers dependem.
Downloads drive-by são, de longe, uma das ameaças mais difíceis de evitar. Sem a devida atenção aos detalhes e uma segurança forte em todos os pontos de contato, a atividade na web se torna muito mais perigosa.
Como evitar ataques de download drive-by
Assim como para muitos aspectos da segurança virtual, a melhor defesa é o cuidado. Nunca considere sua segurança garantida.
Aqui na Kaspersky, compilamos algumas das melhores diretrizes sobre como evitar o download de código malicioso.
Como os proprietários de sites podem impedir downloads drive-by
Como proprietário de um site, você é a primeira linha de defesa entre hackers que visam seus usuários. Para dar tranquilidade a você e aos seus usuários, fortaleça sua infraestrutura com as seguintes dicas:
1. Mantenha todos os componentes do seu site atualizados. Isso inclui quaisquer temas, complementos, plug-ins ou outra infraestrutura. Cada atualização provavelmente traz novas correções de segurança para afastar os hackers.
2. Remova quaisquer componentes desatualizados ou sem suporte do seu site. Sem patches de segurança regulares, o software antigo é perfeito para fraudes estudarem e explorarem.
3. Use nomes de usuários e senhas fortes para suas contas de administrador. Os ataques de força bruta proporcionam aos hackers uma quebra quase instantânea de senhas padrão ou fracas, como "senha1234". Use um gerador de senhas junto com um gerenciador de senhas para se manter em segurança.
4. Instale um software de proteção de segurança da web em seu site. O software de monitoramento ajudará a monitorar quaisquer alterações maliciosas no código de back-end do seu site.
5. Avalie como a publicidade que você usa pode afetar os usuários. Os anúncios são um vetor popular para downloads drive-by. Verifique se os seus usuários não recebem anúncios suspeitos recomendados.
7 dicas de segurança para usuários endpoint
Como usuário, você terá que confiar mais nos diversos recursos de segurança oferecidos em seu software. Siga estas dicas para preparar você e seu software contra um ataque de download drive-by:
Use apenas a conta de administrador do seu computador para instalar programas
Os downloads drive-by precisam de privilégios de administrador para serem instalados sem o seu consentimento. Como essa configuração é padrão na conta principal, use uma conta secundária que não seja de administrador no dia a dia.
Mantenha seu navegador da web e sistema operacional atualizados
Os patches novos ajudam a corrigir as falhas de defesas por onde o código de download drive-by poderia se infiltrar. Não espere nem demore, instale essas atualizações assim que forem lançadas.
Tenha cuidado ao manter muitos programas e aplicativos desnecessários
Quanto mais plug-ins estão instalados no seu dispositivo, mais suscetível você está a infecções. Mantenha apenas o software em que você confia e usa com frequência. Além disso, remova todos os aplicativos mais antigos que não recebem mais atualizações.
Use uma solução de software de segurança na Internet em todos os seus dispositivos
Produtos como o Kaspersky Premium atualizam automaticamente as definições de malware para identificar as ameaças mais recentes. Eles também verificam sites de forma proativa para bloquear páginas comprometidas conhecidas.
Sempre evite sites que contêm código malicioso
Sites que oferecem compartilhamento de arquivos ou conteúdo adulto são pontos comuns de infecção. Visite apenas sites convencionais que você normalmente usa ou, pelo menos, páginas bem conhecidas para ter mais chances de não se infectar.
Leia atentamente e examine os pop-ups de segurança na web antes de clicar neles
Os golpistas usam pop-ups enganosos em navegadores de desktop e dispositivos móveis que se parecem com alertas legítimos. Para evitar ser direcionado a um site de ataque, preste atenção a erros de ortografia, gramática estranha e imagens granuladas.
Use um bloqueador de anúncios
Os ataques de download drive-by geralmente usam anúncios online para carregar infecções. Usar um bloqueador de anúncios pode ajudar a reduzir sua exposição a esse tipo de ataque.