Nova maneira de ataque permite que códigos maliciosos tenham menor taxa de detecção e ataques passem despercebidos por sistemas de proteção corporativos.

Os criadores de malware estão aumentando seu uso de sites de hospedagem de arquivo e serviços em nuvem para distribuir programas maliciosos, disseram pesquisadores de segurança durante a conferência Black Hat.

Tradicionalmente, criadores de malware distribuem códigos maliciosos por meio de sites próprios. Mas, como fornecedores de segurança ficaram melhores em detectar sites e adicioná-los a listas negras, os crackers cada vez mais distribuem malwares a partir de sites de hospedagem legítimos. Essa técnica tem sido usada há pouco mais de dois anos, mas agora parece estar ganhando força, disseram os pesquisadores.

Muitas vezes, os proprietários de sites legítimos não conseguem analisar corretamente o conteúdo que hospedam, o que permite que atacantes enviem códigos maliciosos com relativa facilidade, afirmou Michael Sutton, vice-presidente de pesquisa da Zscaler, um provedor de serviços de segurança baseados em nuvem para empresas.

O conteúdo malicioso distribuído a partir de um site legítimo é mais provável de passar despercebido pelas defesas corporativas. Também é pouco provável que fornecedores barrem um serviço de hospedagem legítimo, permitindo que o conteúdo malicioso hospedado em um fique disponível por mais tempo, disse ele.

A Zscaler afirmou que ouviu relatos de arquivos maliciosos hospedados no Dropbox, mas eles parecem ter sido removidos, diz o blog.

Como exemplo dessa tendência, Sutton apontou para recentes incidentes nos quais atacantes postaram e distribuíram um código malicioso no Google Code e Dropbox.

Um blog no site da Zscaler lista quase três dezenas de arquivos maliciosos hospedados no site do Google Code, que contém ferramentas para desenvolvedores de software.

A mensagem para os gerentes de TI: não confiar cegamente em domínios que parecem ser seguros, disse Sutton.

“Os crackers estão começando a impulsionar serviços de hospedagem” para lançar códigos maliciosos, disse. “O fato é que crackers costumavam criar seus próprios servidores” para hospedar malware.

“Então os vimos infectar serviços terceiros legítimos. Agora eles estão usando serviços de hospedagem. Eles não estão mais pagando para hospedar [malware] e são menos propensos a ficar na lista negra“.

Enquanto isso, a FireHost, um provedor de serviços de hospedagem em nuvem para as empresas, tem experimentado um aumento nos ataques em aplicações Web provenientes de redes de serviços de hospedagem web legítimas, disse o CEO Chris Drake.

Em seu último relatório trimestral de segurança, a FireHost observou um aumento considerável no número de ataques de injeção SQL, ataques de passagem de diretórios e outros ataques em aplicações Web lançados de dentro das redes de provedores de serviços em nuvem, disse Drake.

Provedores de cloud computing têm, frequentemente, procedimentos de validação fracos quando inscrevem novos clientes, permitindo que os atacantes criem contas com informações falsas.

As contas são, então, utilizadas para implantar e administrar botnets (redes de computadores zumbis) poderosas, que funcionam na infraestrutura em nuvem, disse.

No segundo trimestre de 2013, o sistema de filtragem de IP que a FireHost usa para proteger seus clientes contra ataques maliciosos bloqueou cerca de 1,3 milhões de ataques únicos. Do total, um número notável de ataques originados a partir de endereços IP pertencentes a empresas de serviços em nuvem, afirmou Drake.

Fonte: IDG Now!