O que é um ataque de malware de download drive-by?
Imagine a cena: você encontra malware em seu computador, mas não tem ideia de onde ele veio. Você não baixou nada e não visitou nenhum site considerado perigoso. No entanto, aqui no seu sistema está malware, estragando o seu dia.
É possível que o malware tenha aparecido no seu computador por meio de um download "drive-by". Você não precisa clicar em download ou consentir com a instalação do programa malicioso. Em vez disso, o ataque de download drive-by automatiza todo o processo.
Então, o que é um ataque de download drive-by e como você pode evitar ser vítima de um?
O que é um ataque de download drive-by?
Um download drive-by é uma técnica relativamente comum que um invasor pode usar para instalar malware no computador da vítima silenciosamente.
Um ataque geralmente envolve comprometer um site de alguma forma, explorando uma das inúmeras tecnologias que ajudam a fortalecer um site. Isso pode incluir um plug-in corrompido, JavaScript, iframes, links curtos, anúncios infectados ( conhecido como malvertising ) e muito mais.
Se eu fizesse uma lista de tipos de malware e dissesse: worm, vírus, anexo de e-mail, RAT …
a disparidade se torna mais clara.Cada família de malware pode chegar como anexo de e-mail, cavalo de tróia ou download drive-by. Mas nem toda família é um vírus, worm ou RAT.
(3/3)– Karsten Hahn (@struppigel) 8 de janeiro de 2021
Resumindo, há muitos lugares em que um invasor pode ocultar malware em preparação para um ataque de download drive-by.
A ideia do ataque de download drive-by é instalar malware no computador da vítima sem que ela perceba. O que os torna particularmente tortuosos é que um ataque de download drive-by pode ocorrer em quase todos os sites, mesmo aqueles que você considera "seguros".
Claro, é mais provável que ocorram em um site com conteúdo mais questionável, como um site de streaming ilegal, mas um serviço importante tradicionalmente considerado seguro é um alvo mais lucrativo por meio do número de visitantes. Mais visitantes equivalem a mais vítimas potenciais.
Como funciona um ataque de download drive-by?
Existem duas maneiras principais de um download drive-by malicioso entrar em seu computador.
- Autorizado . Embora pareça um oximoro, alguns downloads não solicitados dependem da autorização da vítima para fazer o download, sem estar totalmente ciente do que está fazendo.
- Não autorizado . Como você esperava, um download não autorizado infecta seu computador sem nenhum aviso ou notificação e não exige que você clique em um link ou de outra forma.
Você pode dividir os principais tipos de ataque de download drive-by em segmentos menores.
Download drive-by autorizado
Um download drive-by autorizado requer interação do usuário, pelo menos em algum ponto.
Por exemplo, um invasor compromete um site e instala um vetor de ataque. Mas para completar o ataque, a vítima ainda deve clicar em Download, Ok ou similar. A opção de baixar um arquivo malicioso aparece não solicitada depois que a vítima chega ao site e está disfarçada como um arquivo normal.
Algumas definições de um download drive-by autorizado se estendem ainda mais, cobrindo malware ou bundleware instalado acidentalmente como parte de outro instalador de software.
Download drive-by não autorizado
Um download drive-by não autorizado funciona de maneira semelhante a um ataque de download drive-by autorizado, mas é um processo automatizado. Em vez de interagir com a parte comprometida do site, seja um link para download, anúncio malicioso ou outro, o componente do site malicioso é acionado quando você inicia o site.
Dependendo do tipo de malware, você pode não notar nada diferente em seu computador. O download será concluído e, dependendo das configurações de segurança ou da variante do malware, instale sem aviso prévio.
Tipos comuns de arquivos maliciosos para ataques de download drive-by
Nem todos os ataques de download drive-by procuram instalar um malware desagradável em seu sistema. Ter algo inesperadamente instalado em seu computador é preocupante, sem dúvida. No entanto, nem todos os arquivos maliciosos são cortados do mesmo tecido.
- Programa Potencialmente Indesejado (PUP) : um PUP, às vezes chamado de Aplicativo Potencialmente Indesejado (PUA), não é necessariamente um arquivo malicioso. Provavelmente, um filhote é um adware, veiculando anúncios extras onde eles não deveriam aparecer. No entanto, isso não é genérico e alguns filhotes têm intenções um pouco mais maliciosas. Além disso, apesar do baixo nível de perigo, você não quer que algo interfira no seu sistema ou navegador, ponto final.
- Malware : Malware que tem um uso específico, como um Trojan que permite o acesso backdoor a um sistema ou um kit de exploração que pode instalar outros tipos de malware.
Encontrar malware em seu sistema é muito mais alarmante do que um filhote de cachorro. Além disso, é significativamente mais fácil remover um filhote de cachorro do sistema do que o malware "adequado".
A maioria dos PUPs é facilmente removida usando o programa antivírus integrado do seu computador ou uma ferramenta de terceiros, como o Malwarebytes.
Como se proteger contra ataques de download drive-by
O próprio nome do ataque faz parecer que é difícil proteger contra ele. Afinal, é um drive-by e tem como alvo qualquer pessoa que lance o site comprometido.
No entanto, há sete coisas que você pode fazer para impedir que um download drive-by chegue ao seu computador.
- Mantenha seu computador atualizado. Quando uma atualização estiver disponível, instale-a.
- Mantenha seu navegador atualizado. Além disso, considere a remoção de quaisquer extensões de navegador em excesso. Eles não apenas tornam seu navegador mais lento, mas extensões de navegador desatualizadas podem causar problemas de segurança.
- Você tem algumas opções aqui. Você pode baixar e instalar uma ferramenta antivírus de terceiros ou usar a ferramenta antivírus integrada em seu computador. O Windows e o macOS têm programas antivírus padrão. Embora o Linux seja muito mais seguro, você sempre pode optar por uma ferramenta antivírus Linux gratuita para segurança extra.
- Você pode optar por uma ferramenta antimalware, como o Malwarebytes. A versão gratuita do Malwarebytes é uma ferramenta de verificação e remoção, mas a versão premium oferece proteção em tempo real .
- Os sites que você visita fazem a diferença na sua exposição aos downloads drive-by. Como mencionado anteriormente, os principais sites são alvos lucrativos, mas podem ser difíceis de explorar. Ao mesmo tempo, é muito mais provável que um site que exiba um fluxo de esportes ilegais seja mais fácil de explorar. Tente evitar sites que possam oferecer conteúdo ilegal – embora isso esteja longe de ser uma garantia.
- Verifique-os antes de clicar. Você sabia que existem várias maneiras de inspecionar um link antes de clicar nele?
- As extensões de bloqueio de script para o seu navegador podem impedir que alguns exploits de download drive-by sejam executados no seu sistema. No entanto, algumas ferramentas de bloqueio de script podem ter consequências indesejadas, como quebrar partes de outros sites, o que pode ser um pouco de equilíbrio.
Não seja pego por um download drive-by
Agora que você conhece os sinais e motivos por trás de um ataque de download drive-by, estará mais bem preparado para evitá-lo no futuro.
Lembre-se de que manter o sistema e os aplicativos atualizados realmente ajuda!