Skip to content

Estudos e Artigos de Pesquisa de Segurança

Baseado em Fatos de APTs

Baseado em Fatos de APTs

Quanto você sabe sobre ataques direcionados? Veja esse infográfico.

Relatório de Ataques Direcionados 2014

Targeted Attack Trends: 2H 2013 Report

Análises e informações sobre os principais ataques direcionados em 2014, inclusive dados sobre as novas ferramentas e técnicas empregadas.


Siga os dados: analisando os vazamentos de dados e derrubando mitos

Para onde vão os dados roubados e como os criminosos os usam? Este estudo responde a essa e outras questões sobre dados comprometidos.

Descubra os mitos (em inglês)

O grupo de hackers Rocket Kitten está de volta

Os desenvolvimentos mais recentes com Rocket Kitten mostram que a espionagem é o principal objetivo. Essa pesquisa foi feita em colaboração com os especialistas da Trend Micro e da ClearSky e revela mais sobre o grupo.

Saiba mais (em inglês)

O experimento GasPot: Perigos não examinados sobre o uso de sistemas de monitoramento de tanque de gasolina

Os especialistas da Trend Micro investigam ataques cibernéticos contra setores de petróleo e energia.

Saiba mais (em inglês)

Operação Tropic Trooper: Contando com Falhas Conhecidas para se Roubar Segredos

Esse estudo fornece informações técnicas detalhadas sobre os alvos, componentes, ferramentas e táticas da Operação Tropic Trooper, uma campanha ativa desde 2012.

Leia mais (em inglês)

Por trás de fraudes do Imposto de Renda

Este estudo oferece uma análise detalhadas das principais fraudes envolvendo impostos de renda nos EUA. Entenda seu funcionamento, componentes e como evitar se tornar uma vítima.

Leia mais (em inglês)

Rocket Kitten: Nova operação visa organizações israelenses e europeias

Pesquisadores de cibersegurança mostram como o grupo conhecido como "Rocket Kitten" criou e executou uma campanha patrocinada por um estado que atingiu organizações na Europa e Israel.

Saiba mais

Exploit Kits: Passado, presente e futuro

Os Kits de Exploração são uma ameaças em constante evolução. Este estudo explora o que são, como funcionam e como evoluíram ao longo do tempo.

Saiba mais

Operação “Arid Viper”: invadindo o Domo de Ferro

Este estudo oferece informações detalhadas sobre a Operação “Arid Viper”, uma campanha cibernética lançada por agressores aparentemente de dentro da Faixa de Gaza contra várias organizações israelenses.

Saiba mais

Sistema de Identificação Automática (AIS): Uma Avaliação de Segurança

Este white paper examina as vulnerabilidades do AIS, um sistema usado por navios em todo o mundo para transmitir suas localizações.

Conheça as vulnerabilidades do AIS que estão afetando a segurança marítima em todo o mundo

Operação Pawn Storm: Usando Iscas para Escapar da Detecção

Esse estudo detalha quando alguns ataques ocorreram, quais ferramentas foram usadas em tentativas para invadir redes e atingir perfis alvos, para se ter uma visão geral da Operação Pawn Storm.

Descubra como a Operação Pawn Storm funciona

Uso de Backdoors em Ataques Direcionados

Backdoors — aplicações que expõem os computadores ao acesso remoto — têm um papel crucial nos ataques direcionados. Muitas vezes usadas inicialmente no segundo estágio (ponto de entrada) ou no terceiro (comando e controle [C&C]) do processo do ataque direcionado, as backdoors possibilitam que os agressores assumam o comando e controle de sua rede alvo.

Leia mais sobre backdoors

Apps Falsos: Simulando Legitimidade

Conforme cresce o número de usuários de dispositivos móveis também cresce o número de apps disponíveis para seus usuários. Porém, como os cibercriminosos sempre vão aonde está o dinheiro, os ataques visando dispositivos móveis e seus usuários também crescerão continuamente em número. Por isso é que existem cada vez mais ameaças móveis, inclusive malware e apps falsos. Na verdade, se tornou bastante comum ver apps falsos logo após o surgimento das versões legítimas para PC ou dispositivos móveis.

Leia “Apps Falsos: Simulando Legitimidade”

Métodos de Evasão de Detecção na Rede: Mesclando com o Tráfego Legítimo

Os cibercriminosos sempre procuram técnicas alternativas para melhorar sua taxa de sucesso dos ataques. Tanto os agressores cibernéticos direcionados como os comuns têm continuamente modificado e melhorado suas táticas, técnicas e procedimentos para permanecer fora do radar o quanto puderem.

Leia: Métodos de Evasão de Detecção na Rede (em inglês)

Sugestões para Ajudar as Empresas no Combate aos Ataques Direcionados

Este estudo oferece algumas ideias sobre como configurar uma rede para tornar as movimentações laterais mais difíceis de serem feitas e mais fáceis de serem detectadas; e também prepará-lo para lidar com uma infecção. Devido aos avanços dos agressores é muito improvável que as organizações sejam capazes de manter adversários pacientes e motivados fora de suas redes. Na maioria dos casos, o melhor que se pode esperar é detectar os ataques direcionados no começo e limitar a quantidade de informações que os invasores possam acessar.

Leia: Sugestões para Ajudar as Empresas no Combate aos Ataques Direcionados (em inglês)

“The SCADA That Didn’t Cry Wolf”: Quem está realmente atacando seus sistemas ICS? (Parte 2)

O estudo “Quem está realmente atacando seus sistemas ICS?” apresentou um esquema complete de uma “honeynet” especificamente projetada para detectar ataques contra Sistemas de Controle Industriais (ICS). Os dispositivos que aparecem no estudo são voltados externamente e cheios de vulnerabilidades encontradas em equipamentos ICS no mundo todo.

Leia “The SCADA That Didn’t Cry Wolf: Who’s Really Attacking Your ICS Equipment? (Part 2)” em inglês

Detecção de Ataques Direcionados com o SPuNge

Ao longo dos últimos anos, vimos um notável aumento no número de ataques direcionados e ameaças persistentes avançadas (APTs). Os especialistas em segurança estão notando uma mudança do cenário de ataques de malware generalizados, que afetam sistemas indiscriminadamente, para uma abordagem mais direcionada e seletiva buscando maiores ganhos. Porém, uma coisa ficou clara: os ataques direcionados são difíceis de detectar e pouca pesquisa foi realizada até agora sobre esses tipos de ataques. Nesse estudo, nós propusemos um novo sistema que chamamos de "SPuNge" que processa as informações de ameaças coletadas de usuários reais para detectar potenciais ataques direcionados para uma investigação mais detalhada. Nós usamos uma combinação de técnicas de correlação e agrupamento para identificar grupos de máquinas que compartilham um comportamento similar em relação às fontes maliciosas que acessam e o setor na qual elas operam (por exemplo, petrolíferas). Avaliamos nosso sistema com os dados reais da Trend Micro coletados de mais de 20 milhões de instalações de clientes em todo o mundo. Os resultados mostram que nossa abordagem funciona bem na prática e pode auxiliar os analistas de segurança nas investigações criminais.

Leia “Detecção de Ataques Direcionados com o SpuNge” (em inglês)

Safe: Uma Ameaça Direcionada

Sejam considerados como Ameaças Avançadas Persistentes (APTs) ou ataques de espionagem baseados em malware, os ataques de alto valor, bem sucedidos e prolongados a organizações e grandes empresas em todo o mundo através de uma série de campanhas consistentes não podem ser ignorados. Como as campanhas “ruidosas” estão se tornando cada vez mais bem conhecidas dentro da comunidade de segurança, campanhas novas e menores estão começando a surgir.

Esse artigo documenta as operações de uma campanha que chamamos de “Safe” por causa dos nomes dos arquivos maliciosos usados. É uma ameaça direcionada emergente e ativa.

*Note que qualquer menção à “SafeNet” neste artigo não tem nenhuma relação e não está associada com a SafeNet, Inc., uma líder global em proteção de dados e uma valiosa parceira da Trend Micro. O autor do malware Safe parece ter maliciosamente usado a palavra “SafeNet” como parte de sua campanha viral e a palavra SafeNet aparece nesse artigo apenas como foi reproduzida na configuração de ataque do malware do autor. Não existe nenhuma correlação entre a SafeNet Inc e a campanha Safe e não deve ser interpretado desse modo.

Leia: “Safe: Uma Ameaça Direcionada” (em inglês)

Comunicações Maliciosas na Rede: O Que Você Não Está Vendo?

As campanhas de APTs perseguem e comprometem agressivamente alvos específicos para obter o controle do sistema de computadores da empresa por um tempo prolongado. Para ter sucesso em um ataque, o canal de comunicação entre o agente da ameaça e o malware dentro da rede deve estar sempre aberto e desconhecido. Saiba como aproveitar a inteligência de ameaças pode ajudar a detectar esse tráfego malicioso na rede lendo esse guia.

Comunicações Maliciosas na Rede: O Que Você Não Está Vendo? (em inglês)

FAKEM RAT: Malware disfarçado como Windows® Messenger e Yahoo!® Messenger

Os realizadores de ataques direcionados pretendem manter uma presença persistente em uma rede para extrair dados sensíveis quando necessário. Para manter uma presença persistente, os invasores procuram se misturar com o tráfego normal da rede usando portas que são normalmente permitidas pelos firewalls. Assim, muitos malwares usados em ataques direcionados utilizam protocolos HTTP e HTTPS para aparecerem como tráfego da web. Porém, apesar desses malwares permitirem que os invasores tenham o controle total sobre um sistema comprometido, geralmente são simples e configurados para realizar poucos comandos.

Leia “FAKEN RAT” (em inglês)

A Campanha de APT HeartBeat

Esse estudo expõe um ataque direcionado chamado “HeartBeat” que persistentemente perseguiu o governo sul coreano e organizações relacionadas desde 2009. Este artigo irá mostrar como as suas campanhas, especificamente criadas, infiltraram-se em seus alvos.

Leia “A Campanha de APT HeartBeat” (em inglês)

Spear-Phishing: A principal porta de entrada das APTs

Ataques de APTs (ou Ameaças Avançadas Persistentes) são cada vez mais comuns no cenário atual de ameaças. Alguns ataques continuam ativos mesmo após atraírem a atenção da mídia. As rotinas dos ataques mudam conforme o tempo, mas seu principal objetivo continua a ser a invasão da rede para obter informações confidenciais de uma organização.

Leia o relatório "Spear-Phishing: A principal porta de entrada das APTs" (em inglês)

Detectando Atividades de APTs com uma Análise do Tráfego de Rede

Os ataques direcionados atuais usam uma combinação de engenharia social, malwares e atividades “backdoor”. Este estudo discute como técnicas avançadas de detecção podem ser usadas para identificar comunicações C&C (comando e controle) maliciosas, mostrando que até mesmo os ataques mais sofisticados dos últimos anos poderiam ter sido descobertos.

Leia “Detectando Atividades de APTs com uma Análise do Tráfego de Rede” (em inglês)

Como Frustrar a Ameaça Interna – Uma Reposta Avançada Persistente aos Ataques Direcionados

Os ataques estão ficando cada vez mais sofisticados e direcionados, enquanto os homens e mulheres por trás deles têm mais recursos do que nunca. Como essa “ameaça interna” fica escondida, despercebida dentro de uma empresa durante anos? E, mais importante, como uma consciência situacional avançada pode nos ajudar a responder e reduzir essas ameaças?

Leia “Como Frustrar o Digital Insider” (em inglês)

IXESHE: Uma Campanha de APT

O número de ataques direcionados está, sem dúvida, em ascensão. Esses ataques altamente direcionados se concentram em organizações individuais para extrair informações valiosas. De muitas maneiras, isto é um retorno aos “velhos dias de hacking” antes dos ataques generalizados visando milhões de usuários e do aumento dos worms de computadores chegarem. Às vezes, esses ataques direcionados estão supostamente ligados a atividades patrocinadas por países, mas também podem ser realizadas por grupos de indivíduos com seus próprios objetivos.

Essa pesquisa vai mergulhar em outro grupo importante de invasores chamados de “IXESHE” (pronuncia-se “i-sushi”), baseado em um dos nomes de detecção mais comuns que as companhias de segurança usam para o malware que eles utilizam. Essa campanha é conhecida por ter como alvo governos da Ásia Oriental, manufaturas de eletrônicos e uma companhia de telecomunicações alemã.

Leia “IXESHE: Uma Campanha de APT” (em inglês)

Perfil do Luckycat: Campanha de APT com Múltiplos Alvos na Índia e no Japão

Em março, a Trend Micro começou a investigar a botnet SpyEye criada e controlada por um cibercriminoso que se passa por Soldier. Este documento se aprofunda nas atividades relacionadas à botnet SpyEye. Ele fala sobre seu sucesso em provocar ataques que causaram impacto em várias organizações no mundo todo, particularmente nos Estados Unidos; como esta botnet funciona; e quanto ela conseguiu com as campanhas já orquestradas. O documento também fala sobre como a Trend Micro foi capaz de rastrear seu criador da Rússia até Hollywood, e revelar o que nós aprendemos sobre ele e seus cúmplices neste processo.

Leia Virando a Mesa sobre o SpyEye (em inglês)

As 12 Permissões de Apps para Android Mais Exploradas

As 12 Permissões de Apps para Android Mais Exploradas

Os cibercriminosos podem explorar as permissões de apps para Android para seu ganho pessoal. Descubra as permissões mais comumente requisitadas e como elas são exploradas na nossa mais recente TrendLabs Security Gallery.


Apps Falsos, Rússia e a Web Móvel: Fazendo a Conexão Fraude de SMS

As notícias sobre um serviço fraudulento de SMS afetando muitos países apareceram primeiro na Rússia, em 2010. Desde então, têm colocado os usuários em risco através de atividades online populares, como redes sociais e download de conteúdo.

Leia: Apps Falsos, Rússia e a Web Mobile (em inglês)

Adicionando os Malwares Android e Mac OS X à caixa de ferramentas das APTs

Enquanto a maioria das malwares associados às ameaças avançadas persistentes (APTs) tem como foco as plataformas Windows, os invasores estão desenvolvendo ativamente malwares direcionados também a outras plataformas. Os invasores estão expandindo sua base de ataques à medida que seus alvos adotam novas plataformas e dispositivos. Além do malware Mac OS X, os invasores também estão explorando o uso de ameaças móveis. Descobrimos evidências de que os agentes por trás da campanha Luckycat buscavam ativamente a criação de malwares móveis.

Leia “Adicionando os Malwares Android e Mac OS X à caixa de ferramentas das APTs” (em inglês)

Aplicativos Eco e Ego no Japão

Os usuários podem descobrir que os aplicativos em seus dispositivos móveis realizam rotinas indesejáveis. Os administradores das "app stores" estão tomando algumas medidas, tais como: oferecendo recomendações de segurança, realizando verificações dos aplicativos antes que sejam disponibilizados e criando camadas de permissão de acesso no nível do sistema operacional. Infelizmente, essas medidas não são infalíveis. A realidade é que os usuários são os responsáveis por conferir se os aplicativos que baixam são legítimos ou não.

Leia "Eco and Ego Apps in Japan" (em inglês)

Malware para Android age como uma Retransmissão de SMS

Os malwares para dispositivos móveis estão crescendo em número e prevalência devido ao crescimento na demanda por dispositivos móveis. A evolução e o surgimento de vários sistemas operacionais para dispositivos móveis, como o Android do Google e o iOS da Apple, forneceram aos criminosos rotas adicionais para provocar atividades maliciosas.

Leia Cenário de Mobilidade: Riscos à Segurança e Oportunidades (em inglês)

Como os Ataques se Adaptam

Como os Ataques se Adaptam

Como acontece com a tecnologia e meios de comunicação populares, os ataques e esquemas cibercriminosos continuam a evoluir com os anos. Descubra mais...

Segurança Online para Você e Sua Família

Segurança Online para Você e Sua Família

Todos estão online, mas nem todos estão seguros. Depende de você garantir que sua família está segura. Saiba mais sobre as ameaças online e como pode proteger sua família dessas ameaças aqui.


O submundo japonês

Ao invés de criar suas próprias ferramentas de ataque a partir do zero, os cibercriminosos japoneses compram o que precisam de colegas estrangeiros, a preços competitivos.

Saiba os fatos sobre a infraestrutura, processos e serviços dessa economia próspera do cibercrime.

Leia mais (em inglês)

O Submundo Russo de Hoje: Infraestrutura e Serviços Automatizados, Ferramentas Sofisticadas

Esse estudo fala sobre como o submundo cibercriminoso russo evoluiu incluindo serviços, processos e infraestrutura cada vez mais profissional.

Leia mais (em inglês)

Esconderijos criminosos para locação: Serviços de hospedagem à prova de balas

Esse estudo fala sobre o papel dos serviços de hospedagem à prova de balas (BPHS) na realização de cibercrimes. Frequentemente menosprezado, esse serviço é um esconderijo criminoso perfeito – ajudando os cibercriminosos a fugir dos agentes da lei.

Leia mais (em inglês)

Abaixo da Superfície: Explorando a Deep Web

Existe mais coisas na Deep Web além de tráfico de drogas. Entenda melhor a Deep Web e as “darknets” em nossa mais recente investigação.

Leia mais (em inglês)

Proteção para “PoS RAM scrapers”: tecnologias atuais e futuras

Este estuda revela como as ameaças conhecidas como “PoS RAM scrapers” infectam sistemas ponto de venda (PDV) para extrair dados roubados e como as organizações podem se defender.

Saiba mais

O Golpe do Falso App Bancário Sul-Coreano

A gangue Yanbian alveja vítimas na Coreia do Sul

Este estuda revela como as ameaças conhecidas como “PoS RAM scrapers” infectam sistemas ponto de venda (PDV) para extrair dados roubados e como as organizações podem se defender.

Saiba mais

Análise do cenário australiano de ameaças da web (2014)

Insights sobre os Ataques TorrentLocker

Este estudo oferece informações detalhadas sobre a estrutura e operação de um grupo cibercriminoso que está utilizando falsos apps bancários para roubar credenciais de bancos de usuários sul-coreanos.

Leia mais

Série sobre a Economia do Submundo do Cibercrime

O Mercado do Cibercrime no Brasil: O Mercado para Aspirantes a Cibercriminosos?

O mercado negro brasileiro tem criminosos que vendem geradores e verificadores de números de cartão de crédito. Eles oferecem ferramentas criadas especificamente para serviços e produtos existentes apenas no Brasil. Este mercado também é o único que oferece treinamentos para aspirantes a cibercriminosos.

Leia o relatório sobre o crime digital brasileiro
Saiba mais sobre a série sobre a economia do submundo do cibercrime

“Predator Pain” e “Limitless”: Quando o Crime Cibernético se Torna Espionagem

Este estudo detalha nossas descobertas sobre diferentes aspectos destas grandes operações criminosas: suas ferramentas e a cadeia de infecções, inclusive dados sobre como agem os indivíduos que infectam os computadores.

Veja o que acontece quando o crime se torna espionagem

Soundsquatting: Revelando" o Uso de Homófonas em Ocupação de Domínios

Este estudo apresenta o “soundsquatting”, uma técnica de ocupação de domínio que foi descoberta ao pesquisar a ocupação cibernética genérica. O soundsquatting se aproveita da similaridade do som de palavras e da confusão do usuário para entender qual palavra representa o conceito desejado. O ataque se baseia em palavras homófonas (isto é, conjunto de palavras que são pronunciadas do mesmo modo mas escritas de modo diferente, como {cesta, sexta}). O soundsquatting difere do typosquatting porque o que ele não se baseia em erros de digitação e nem todos os domínios contêm homófonas e, portanto não pode ser usado em todos os domínios.

Leia mais sobre o soundsquatting

Principais Ameaças de Segurança do @Twitter: Uma Análise Detalhada

A maioria das violações de segurança no Twitter assumem a forma de tweets com links para spam e sites maliciosos. Nesse artigo, analisamos 500.000.000 de tweets em um período de duas semanas para analisar os vários tipos de ameaças.

Veja os atos

SHELLSHOCK: Um Relatório Técnico

O Shellshock tem monopolizado as manchetes nos últimos dias. E os especialistas em segurança estão correndo para ajudar empresas e ‘usuários individuais’. Criamos um guia técnico que pode ajudar os administradores de rede a proteger suas redes e sistemas contra a ameaça.

Não fique chocado

Malware PoS RAM Scraper: Passado, Presente e Futuro

Esse estudo examina o ecossistema de PoS. Ele descreve como as transações PoS funcionam, do momento em que os clientes passam seus cartões de crédito até quando são cobrados por suas compras. Descreve quais tipos de dados se encontram na faixa magnética dos cartões de pagamento. Ele investiga a evolução dos scrapers PoS RAM – a partir de suas origens humildes até se tornarem as ameaças industrializadas de hoje. Ele também apresenta os vários métodos de infecção PoS RAM scraper oferecendo visões técnicas das famílias de malware scraper PoS RAM que afetam as empresas até hoje. Detalha as técnicas de extração de dados usadas pelos PoS RAM scrapers e examina o que acontece aos dados que os cibercriminoso extraem. Ele também tenta prever os vetores futuros do ataque PoS. Finalmente, o estudo fornece estratégias de prevenção que as empresas podem seguir para se proteger dos PoS RAM scrapers.

Leia mais sobre PoS RAM scraping

Série sobre a Economia do Submundo do Cibercrime

O Submundo Chinês em 2013

Temos monitorado continuamente o mercado clandestino chinês desde 2011. E até o fim de 2013 vimos mais de 1,4 milhões de mensagens de bate-papo instantâneas relacionadas a atividades no mercado apenas no QQ™ Groups. Essa pesquisa analisa essas milhões de mensagens, juntamente com as tendências observadas e atualizações de preços de serviço e produtos vistas no submundo chinês ao longo de 2013.

Leia “O Submundo Chinês em 2013”
Saiba mais sobre a economia cibercriminosa clandestina

Encontrando Furos: Operação Emmental

Como um queijo suiço Emmental, as proteções para banco online podem estar cheias de furos. Os bancos têm tentado impedir que os bandidos cibernéticos acessem as contas online de seus clientes há muito tempo. Eles têm inventado todos os tipos de métodos para permitir que seus clientes realizem suas operações bancárias com segurança.

Esse estudo descreve um ataque em andamento, que chamamos de "Emmental", que tem como alvo uma série de países em todo o mundo. O ataque foi elaborado para contornar uma autenticação de dois fatores usadas pelos bancos. Em particular, ele evita tokens de sessão, que são frequentemente enviados para dispositivos móveis de usuários através de SMS. Os usuários devem entrar em um token de sessão para ativar as sessões bancárias para autenticar suas identidades. Como esse token é enviado por um canal separado, esse método é geralmente considerado seguro.

Leia “Encontrando Furos: Operação Emmental”

Sobre os Atores por Trás do MEVADE/SEFNIT

Em 2013, um empresa de adware israelita-ucraniana propagou um malware conhecido como “MEVADE/SEFNIT” na vasta rede de computadores nos quais seu adware foi instalado. Não foi um incidente isolado: existem sólidas evidências mostrando que desde o começo de 2011 essa empresa de adware esteve diretamente envolvida no desenvolvimento do malware MEVADE/SEFNIT. Isso mostra o grande risco que o adware apresenta para os usuários da Internet. O adware é frequentemente considerado como uma ameaça de baixo risco mas, na realidade, empresas de adware podem decidir discretamente carregar malware perigoso nos computadores nos quais seu adware foi instalado, a qualquer hora.

Leia “Sobre os Agentes por Trás do MEVADE/SEFNIT”

Os Cibercriminosos Usam o Que Funciona: Metodologias de Ataque Direcionado para o Cibercrime

No final de 2013, o CTO da Trend Micro, Raimund Genes, antecipou que neste ano os cibercriminosos aprimorar seus métodos de ataques direcionados. Isso quer dizer que os ataques tradicionais e os direcionados serão cada vez mais semelhantes. Os cibercriminosos estão usando cada vez mais emails spear-phishing para fazer os usuários clicarem em links maliciosos ou abrirem anexos de arquivos maliciosos e usando outras técnicas mais típicas de atores de ameças. Apesar do conceito do uso de metodologias de ataque direcionado para o cibercrime possa não ser novo, ainda está ganhando mais terreno e pode até estar se tornando o padrão de fato no futuro.

Leia “Os Cibercriminosos Usam o Que Funciona”

Série sobre a Economia do Submundo do Cibercrime

O Mercado Clandestino do Cibercrime Móvel na China

A Web móvel está mudando significativamente no mundo. Cada vez mais as pessoas estão substituindo seus PCs por vários dispositivos móveis tanto para o trabalho como para o lazer. Essa mudança no comportamento do consumidor está afetando a economia clandestina cibercriminosa, causando o surgimento do chamado "submundo móvel".

Esta pesquisa fornece uma breve visão de algumas atividades clandestinas básicas no espaço móvel na China. Ela descreve alguns dos produtos e serviços móveis clandestinos disponíveis com seus respectivos preços. Note que os produtos e serviços e informações relacionadas apresentadas nesse estudo foram obtidas em vários sites e chats QQ.

Leia o estudo (em inglês)

Violações em Sistemas de Ponto-de-Venda: Ameaças nos Setores de Varejo e Hotelaria

Sistemas de Ponto-de-Venda (PDV) já existem de uma forma ou de outra há décadas. Empresas nos setores de varejo e hotelaria usam esses sistemas não só para aceitar pagamentos, mas também para fornecer outras informações operacionais como contabilidade, acompanhamento de vendas e gerenciamento de estoque. Esses sistemas também são usados para melhorar a experiência do cliente através de programas de fidelidade e sugestões.

Saiba mais sobre o malware para sistema PDV (em inglês)

Da Rússia com Amor: Por trás dos Honeypots da Trend Micro-NBC

Fui recentemente convidado pela rede de TV NBC News para participar de um experimento em Moscou, junto com o correspondente internacional Richard Engel. Criamos um ambiente honeypot (uma isca digital) que imitava um usuário visitando a Rússia para as Olimpíadas de Inverno em Sochi. O usuário falso fazia tarefas rotineiras como navegar na Internet, verificar emails e trocar mensagens instantâneas. A intenção do experimento era descobrir com que rapidez certos dispositivos seriam atacados: um Macbook Air®, um Lenovo ThinkPad® rodando Windows® 7 e um smartphone Samsung Galaxy S Android™.

Leia “Da Rússia com Amor” (em inglês)

Malware em CPL: Itens de Painel de Controle Maliciosos

Arquivos .CPL não-maliciosos existem, mas este relatório se concentra nos maliciosos, a que chamamos de “Malwares em CPL”. Decidimos estudar esse tópico devido ao número crescente de malware em CPL sendo criados e distribuídos, especialmente no Brasil. Esses arquivos têm como principais alvos os clientes de banco online (internet banking).

Saiba o que são Malwares em CPL - EM PORTUGUÊS

"Ice 419": Criminosos cibernéticos da Nigéria usam o Ice IX e o Golpe 419

Consistente com nossa previsão para a África em 2013 e nosso artigo de pesquisa sobre os desenvolvimentos da infraestrutura da Internet no continente, este estudo aborda o cibercrime na região, especificamente a gangue cibercriminosa que utiliza o cavalo de Troia bancário, Ice IX. Pudemos aprender como uma dessas operações criminosa opera. Não parece haver um país alvo específico mas os alvos incluem a Índia, os Estados Unidos e a Alemanha, entre outros.

Leia "Ice 419": Criminosos cibernéticos da Nigéria usam o Ice IX e o Golpe 419 (em inglês)

Domínios Bitcoins

Por que algo tão comum como um novo tipo de nome de domínio de alto nível (TLD) interessa à alguém hoje? É o nível de atenção que ele pode receber, especialmente dos observadores do setor de segurança, mesmo garantido? No caso do .bit, acreditamos que sim.

Leia: Domínios Bitcoin (em inglês)

Além do Crime Digital em Jogos Online: Revisitando o Mercado Negro Chinês

Após fazer um passeio pelo mercado negro chinês no ano passado, vamos revisitá-lo e ver o que mudou. Antes, notamos que o crime digital chinês se adaptou bem ao seu ambiente, visando os jogadores online e usuários de dispositivos móveis, que formam a maioria dos usuários de Internet no país. Eles continuam se adaptando, conforme o mercado alcança um nível de maturidade similar ao submundo do crime digital mundial.

Leia Além do Crime Digital em Jogos Online (em inglês).

A Campanha Apollo: Uma Porta de Entrada para os Bancos da Europa Oriental

Cavalos de Troia bancários têm sido usados há muito tempo para roubar credenciais de banco online na América do Norte e Europa Ocidental. Uma ferramenta crimeware usada para roubar dinheiro, o ZeuS, apareceu em uma nova onda de crime cibernético onde diferentes grupos cooperaram entre si para o roubo online. Por outro lado, o CARBERP é uma família de malwares popular que visa especificamente bancos da Europa Oriental e Ásia Central. Apesar de recentes relatórios revelarem que os cérebros por trás do CARBERP foram presos em abril de 2013, os dias de roubo bancário online na Europa Oriental estão longe de acabar.

Leia: “A Campanha Apollo” (em inglês)

Deepweb e o Crime Cibernético: Nem Tudo é Sobre TOR

O termo “deepweb” é usado para se referir a um tipo de conteúdo da Internet que, por diferentes razões técnicas, não é indexado pelos mecanismos de busca. Entre as diferentes estratégias existentes para evitar os rastreadores dos mecanismos de busca, a mais eficiente para os agentes maliciosos é a chamada de “darknets”. Darknets são uma categoria de redes que visam garantir um acesso anônimo e irrastreável ao conteúdo da web e o anonimato do site.

Embora o deepweb tenha sido unicamente associado ao The Onion Router (TOR), nesse artigo, apresentamos várias outras redes que garantem um acesso anônimo e irrastreável - os darknets mais famosos (TOR, I2P e Freenet) e domínios alternativos de nível superior (TLDs), também chamados de “TLDs desonestos”. Nós analisamos como os agentes maliciosos utilizam essas redes para trocar mercadorias e examinamos os mercados disponíveis na deepweb, juntamente com os bens oferecidos. Devido à grande variedade de mercadorias disponíveis nesses mercados, focamos naqueles que provocaram mais interesse nos criminosos cibernéticos e comparamos seus preços com o mesmo tipo de mercadorias encontradas nos fóruns do submundo da Internet, na maioria russos. Finalmente, introduzimos algumas das técnicas que os pesquisadores podem usar para monitorar mais proativamente essas, assim chamadas, partes escondidas da Internet.

Leia: Deepweb e o Crime Cibernético (em inglês)

Preocupações Relativas à Falhas no Novo DKIM Padrão

A reputação de endereço IPv4 fornece atualmente a principal base para defender os serviços abertos de Simple Mail Transfer Protocol (SMTP) (aceitação sem acordo prévio). O uso do endereço IP nessa função se torna impraticável quando se lida com o IPv6 por causa dos requisitos de dados e da incapacidade de defender a detecção das violações de subscrição. Os prefixos 8,210,980,092,416,010 /64 equivalentes de IPv6 são atualmente encaminhados. Em comparação, os endereços IP 2,644,737,232 são encaminhados para o IPv4. Apesar do IPv4 estar chegando ao seu limite, o IPv6 tem cerca de 0,1% dos prefixos /64 disponíveis encaminhados, e isso continua a crescer rapidamente. Ao contrário do IPv4, não existe nenhum meio prático para verificar o espaço de nome reverso no Sistema de Nome de Domínio (DNS) dentro do IPv6 já que cada prefixo /64 pode conter qualquer número de registros pointers (PTR) chegando até 184,000,000,000,000,000,000.

Leia: Preocupações Relativas à Falhas no Novo DKIM Padrão (em inglês)

Brasil: Desafios de Segurança Cibernética Enfrentados por uma Economia em Rápido Crescimento

Este relatório é uma análise detalhada do Brasil como parte de nossa pesquisa contínua para compreender a situação das ameaças, da segurança cibernética e da economia clandestina. Este estudo pode ser visto como um complemento do relatório “Tendências da Segurança Cibernética e Respostas Governamentais na América Latina e Caribe”, publicado pela Organização dos Estados Americanos (OEA) e pela Trend Micro.

Leia “Brasil: Desafios de Segurança Cibernética Enfrentados por uma Economia em Rápido Crescimento”

Phishing e Correlação de Email: Como a Análise de Grande Volume de Dados Identifica Mensagens Maliciosas

O phishing é um problema de longa data que mudou para pior. Emails de phishing agora se parecem muito com os legítimos, dificultando sua identificação tanto para os usuários como para os sistemas automatizados. Assim, os usuários clicam em links incorporados em mensagens de phishing que os levam a sites maliciosos, que direta ou indiretamente, roubam suas informações pessoais.

Leia “Phishing e Correlação de Email” (em inglês)

Stealrat: Um Olhar Detalhado sobre um Novo Spambot

Nos últimos anos, vimos um aumento constante no volume de spams vindo de sites comprometidos. Embora possam ser atribuídos a muitos ataques paralelos e isolados, devido principalmente à natureza vulnerável dos sites explorados, uma operação em particular que chamamos de “Stealrat” nos chamou a atenção. Num período de apenas dois meses, vimos mais de 170.000 domínios ou endereços de IP comprometidos rodando no WordPress, Joomla! e Drupal enviarem spams.

Leia “Stealrat: Um Olhar Detalhado sobre um Novo Spambot” (em inglês)

Windows 8 e Windows RT: Recomeços

Este estudo mostra as mudanças que a Microsoft fez no Windows 8 e no Windows RT. Ele explora as alterações na parte visível e invisível dos softwares para melhorar a arquitetura de segurança do Windows 8 e Windows RT.

Leia: Windows 8 and Windows RT (em inglês)

Tendências da segurança cibernética na América Latina e Caribe e respostas dos governos

Em um mundo conectado, existe um equilíbrio entre aproveitar a conveniência que a tecnologia de informação (TI) oferece e minimizar as oportunidades que seu uso apresenta para os criminosos digitais. Os criminosos digitais podem, por exemplo, espalhar ameaças sofisticadas explorando dispositivos móveis e aplicativos em nuvem populares para se infiltrarem em alvos de alto valor. Eles fizeram do espaço cibernético um meio para vitimizar o público.

Em colaboração com a Trend Micro Incorporated, a Organização dos Estados Americanos (OAS) e seu Secretariado para Segurança Multidimensional (SMS) gostariam de compartilhar esse relatório que ilustra as tendências da cibersegurança e do cibercrime na América Latina e no Caribe. As informações apresentadas foram coletadas tanto por métodos quantitativos como qualitativos, com base em dados de um levantamento dos governos dos Estados-Membros da OAS e também a partir de uma análise em profundidade de inteligência gobal de ameaças através de armadilhas e de dados fornecidos por clientes coletados pela Trend Micro. Salvo observações em contrário, os gráficos e tabelas usam dados que foram coletados pela Trend Micro. As análises e conclusões desse relatório só cobrem os países que responderam à pesquisa da OAS.

Leia “Tendências da segurança cibernética na América Latina e Caribe e respostas dos governos” em inglês ou espanhol

SCADA na nuvem: Um Dilema para a Segurança?

Duas expressões mais quentes no mundo de TI atual são “SCADA’ e “computação em nuvem”. A combinação das duas tecnologias foi discutida e está começando a atrair mais atenção em relação à economia de custos, redundância de sistema e benefícios de tempo de atividade. A questão é: “A economia é substancial o bastante para compensar as preocupações com a segurança que os usuários podem ter se migrarem os dispositivos integrantes do SCADA para a nuvem?”

Leia “SCADA na nuvem” (em inglês)

África: Um Novo Porto Seguro para Criminosos Digitais?

No final de 2012, a Trend Micro citou três razões pelas quais pensamos que a África está prestes a se tornar um novo abrigo para o crime digital. Mencionamos a disponibilidade de acesso rápido à Internet, a base de usuários de Internet em expansão e a falta de leis sobre o crime digital em alguns países africanos como as proncipais razões da Trend Micro acreditar nisso.

Este estudo discute as razões citadas acima com mais detalhes. Dando uma olhada nos desenvolvimentos recentes na infraestrutura da Internet do continente, mapearemos a jornada da África para se tornar um porto seguro para os criminoso digitais nos próximos três anos aproximadamente.

Leia: África um Novo Porto Seguro para Criminosos Digitais? (em inglês)

Quem está realmente atacando seu equipamento ICS?

Os Sistemas Industriais de Controle (ICS, sigla para Industrial Control Systems) são dispositivos, sistemas, redes e controles usados para operar e/ou automatizar processos industriais. Esses dispositivos são encontrados em quase todos os setores, desde fabricação de veículos e transportes, até energia e tratamento de água.

Redes de controle de supervisão e aquisição de dados (SCADA, sigla para Supervisory control and data acquisition) são sistemas e/ou redes que se comunicam com o ICS fornecendo dados aos operadores para supervisionar e também controlar recursos para gerenciamento de processos. Como a automação continua a evoluir e a se tornar cada vez mais importante em todo o mundo, o uso dos sistemas ICS/SCADA está se tornando cada vez mais predominante.

Os sistemas ICS/SCADA têm sido o assunto da comunidade de segurança nos últimos dois anos devido ao Stuxnet, Flame e várias outras ameaças e ataques. Embora a importância e a falta de segurança em torno dos sistemas ICS/SCADA esteja bem documentada e seja amplamente conhecida, esse estudo ilustra quem está realmente atacando a Internet visando os sistemas ICS/SCADA e por quais motivos. Também fala sobre as técnicas para proteger os sistemas ICS/SCADA e algumas boas práticas.

Leia: Quem está atacando seu equipamento ICS? (em inglês)

O Renascimento da Asprox

Este estudo documenta as operações atuais da botnet Asprox. Essa botnet é composta por diversos componentes que trabalham juntos para enviar spam de falsos produtos farmacêuticos. Além disso, a Asprox envia comandos a computadores comprometidos para que baixem outros programas maliciosos por meio de uma rede afiliada PPI (pay-per-install), o que gera receita aos administradores da botnet.

Leia "O Renascimento da Asprox" (em inglês)

Automação Doméstica e Crime Digital

A conectividade, seja na Internet ou em uma rede; a automação doméstica; a conservação de energia; a segurança e várias aplicações em casa continuam sendo fatores condutores da comunicação. Todos requerem requisitos variáveis em termos de largura de banda, custo e instalação. O desenvolvimento das tecnologias conectadas à Internet, em especial, exigem a implementação de soluções IP em casa para economizar energia e melhorar a qualidade de vida das pessoas, mantendo-as a salvo das ameaças de segurança.

Leia "Automação Doméstica e Crime Digital" (em inglês)

Pedro, o Grande versus Sun Tsu

Nesta época do ano, o CTO da Trend Micro, Raimund Genes, se reúne com suas equipes de pesquisas para discutir o que eles acham que o ano seguinte vai trazer em termos de ameaças aos clientes da Trend Micro. É uma discussão importante que nos ajuda a compartilhar com você recomendações sobre como se proteger, e ainda nos apoia na criação produtos e serviços para ajudar você a se proteger dessas ameaças. Este ano, chegamos a 12 previsões para 2012 que se enquadram em quatro principais categorias:

  • Grandes tendências de TI
  • Cenário de Mobilidade
  • Cenário de Ameaças
  • Violações e vazamentos de dados


Leia as Previsões de Segurança de 2012 (em inglês)

A Evolução do Crimeware

Malwares utilizados para cometer crimes, chamados de Crimeware, estão evoluindo constantemente, especialmente nos últimos anos. O crime digital esté investindo mais tempo em proteger suas criações e os servidores onde eles se escondem, evitando vazamentos ou a descoberta por pesquisadores de segurança.

Alguns dos mais notáveis crimewares atualmente -- ZeuS, Citadel, Ice IX, SpyEye e Blackhole Exploit Kit -- foram modificados para escapar da detecção por soluções de segurança. Este estudo discute algumas das principais mudanças feitas nestes malwares. Ele aborda especificamente dois tipos de crimeware, os toolkits e exploit kits, utilizados frequentemente para propósitos maliciosos

Leia "A Evolução do Crimeware" (em inglês)

W32.Tinba (Tinybanker): O Incidente Turco

O seguinte relatório contém uma análise técnica sobre a família “Tinba Trojan-banker”. O nome “Tinba” foi dado pelo CSIS e representa o tamanho pequeno do Trojan-banker (aproximadamente 20 KB). O nome vem das palavras “tiny” (minúsculo) e “bank” (banco). O malware também é conhecido como “Tinybanker” e “Zusy.”

Leia “W32.Tinba (Tinybanker): O Incidente Turco” (em inglês)

A Campanha Taidoor: Uma Análise Detalhada

O malware Taidoor, detectado pela Trend Micro como variantes BDKR_SIMBOT, foi historicamente documentado por seu uso em ataques direcionados. Usando técnicas desenvolvidas para imitar o tráfego da rede que o malware Taidoor gera quando se comunica com um servidor comando e controle (C&C), pudemos identificar as vítimas que esses malwares pareciam ter comprometido. Todas as vítimas comprometidas que descobrimos eram de Taiwan, na maioria organizações governamentais.

“A Campanha Taidoor: Uma Análise Detalhada” (em inglês)

Monitoramento Contínuo em um Ambiente Virtual

O cenário de ameaças de 2012 é extremamente sofisticado e hostil. O último relatório de ameaças de Trend Micro Micro ilustra a notável mudança na organização dos criminosos digitais e agentes estatais, além da grande evolução da cadeia de destruição cibernética. Para proteger nossos ecossistemas digitais, precisamos avaliar a evolução das ameaças combinadas, dos vírus simples de antigamente aos malwares virulentos e campanhas cibernéticas organizadas de 2012 e futuras.

Leia “Monitoramento Contínuo em um Ambiente Virtual” (em inglês)

Blackhole Exploit Kit: Uma Campanha de Spam, Não uma Série de Execuções Individuais de Spams – Uma Análise Detalhada

Nos últimos meses, investigamos o envio de alto volume de spams que levaram os usuários a sites que hospedavam o Blackhole Exploit Kit. A investigação foi motivada pela elevação do número de envios desses spams. Esses surtos de spams vinham supostamente de empresas legítimas como a Intuit, LinkedIn, Serviço Postal dos EUA (USPS), US Airways, Facebook e PayPal, entre outras.

Leia “Blackhole Exploit Kit” (em inglês)

Operação Ghost Click: A Derrota da Rove Digital

Nos últimos anos a Trend Micro vem discretamente cooperando com o Federal Bureau of Investigation (FBI), com o Office of the Inspector General (OIG) e parceiros do setor de segurança em suas tentativas para derrotar a gangue de criminosos digitais da Estônia, a Rove Digital. Essa colaboração obteve um enorme sucesso, quando no dia 8 de novembro de 2011, autoridades legais apreenderam a grande infraestrutura de rede da Rove Digital nos diferentes data centers, dos Estados Unidos e Estônia, prendendo seis suspeitos, inclusive o CEO da organização, Vladimir Tsastsin.

Este relatório fornece algumas informações obtidas pela Trend Micro sobre a Rove Digital desde 2006. Já em 2006, a Trend Micro soube que a Rove Digital estava espalhando cavalos de Troia alteradores de Sistema de Nome de Domínio (DNS) e parecia estar controlando todos os passos, da infecção até a monetização dos bots infectados. Porém, decidimos reter a publicação de algumas informações para permitir que as agências legais tomassem as ações apropriadas contra os cérebros criminosos enquanto protegíamos nossos clientes. Agora que os principais perpetradores foram presos e a rede da Rove Digital foi removida, podemos compartilhar mais detalhes referentes à inteligência que reunimos sobre a operação nos cinco anos passados.

Leia “Remoção da Rove Digital” (em inglês)

A Automatização das Fraudes Bancárias Online – Sistema de Transferência Automática: O Último Recurso de Toolkit do Crime Digital

Esta pesquisa mostra os sistemas de transferência automática (ATS) que os crimonosos digitais começaram a usar, juntamente com as variantes dos malware SpyEye e ZeuS, como parte dos arquivos WebInject. Ela também vai dar algumas ideias de porque alguns países parecem ser mais visados do que outros.

Leia “Automatizando a Fraude Bancária Online” (em inglês)

A “Polícia Troiana”: Uma Análise Detalhada

Antes do muito divulgado ataque “Aurora" contra o Google no fim de 2009, que também afetou pelo menos 20 outras companhias, havia pouco conhecimento do público sobre os ataques direcionados. Porém, tais ataques estão acontecendo há anos e continuam a afetar redes governamentais, militares, corporativas, educacionais e da sociedade civil. Embora estes ataques contra o governo dos Estados Unidos e redes relacionadas sejam hoje bastante conhecidos, outros governos e um número crescente de empresas estão enfrentando ameaças semelhantes.

Leia Dissecando a APT LURID (em inglês)

Sistemas de Direcionamento de Tráfego como Ferramentas de Distribuição de Malware

O ecossistema do submundo fornece tudo que é necessário para estabelecer e manter uma operação de malware com um investimento mínimo. Possibilita que pessoas com habilidades técnicas limitadas e com poucas conexões no submundo tenham retornos significativos sobre seus investimentos.

Este documento de pesquisa foca em como as redes afiliadas de FAKEAV operam, quais as estratégias de propagação que usam e quanto elas ganham com suas atividades maliciosas. Ele explora várias conexões do submundo entre os agentes maliciosos, inclusive o surgimento das redes afiliadas “meta” que agem como fornecedores intermediários FAKEAV.

Leia mais sobre as Redes Afiliadas FAKEAV (em inglês)

Rumo à uma Atitude Mais Segura para as Redes de Sistemas de Controle Industriais

  1. Sinkholing Botnets (em inglês)
  2. O Lado Sombrio das Buscas na Web – Do SEO Blackhat à Infecção de Sistema (em inglês)
  3. A Crônicas da Botnet – Uma Jornada para a Infâmia (em inglês)
  4. Como o SEO Blackhat Ficou Grande (em inglês)
  5. “File-Patching” de Variantes ZBOT – ZeuS 2.9 Sobe de Nível (em inglês)
  6. Dissecando o Kit Troiano XWM (em inglês)
  7. Entendendo o Malware WMI (em inglês)
  8. A Evolução das Botnets Web 2.0 – o KOOBFACE Revisitado (em inglês)
  9. ZeuS - ZeuS – Um Empreendimento Criminoso Persistente (em inglês)
  10. Desmascarando o FAKEAV (em inglês)
  11. Mostre-me o Dinheiro!: A Monetização do KOOBFACE (em inglês)
  12. O Coração do KOOBFACE: Propagação na Rede Social e C&C (em inglês)
  13. A Face Real do KOOBFACE: A Maior Botnet da Web 2.0 Explicada (em inglês)
  14. O Hub do Cibercrime na Estônia (em inglês)

Siga a Trend Micro