Pesquisadores de segurança derrubaram 100 mil sites de malware nos últimos meses

Nos últimos dez meses, pesquisadores de segurança arquivaram denúncias de abuso com provedores de hospedagem na web e derrubaram quase 100.000 URLs que foram usados ​​para distribuir malware, disse hoje o Abuse.ch, uma organização sem fins lucrativos de segurança cibernética.

Esses esforços coordenados fizeram parte da iniciativa URLhaus que o Abuse.ch lançou em março de 2018 e cujo objetivo principal é coletar e compartilhar URLs sobre campanhas ativas de malware para que a comunidade de segurança da informação (infosec) possa tomar medidas ao colocar listas ou remover URLs.

Em um relatório publicado hoje, o Abuse.ch diz que o projeto URLhaus tem sido um sucesso retumbante, com 265 pesquisadores de segurança compartilhando URLs e registrando denúncias de abuso com provedores de hospedagem na Web no ano passado.

A organização diz que os pesquisadores compartilharam entre 4.000 e 5.000 sites ativos de distribuição de malware por dia, registrando centenas de relatórios de abuso no processo.

Relatórios de domínio malicioso URLhaus desde março de 2018
Imagem: Abuse.ch

Mas enquanto o Abuse.ch notou que o “URLhaus […] conseguiu chamar a atenção de muitos provedores de hospedagem”, ainda há muito trabalho a ser feito, já que muitos provedores de hospedagem web ainda são muito lentos em responder a reclamações de abuso .

Além disso, os números mostram que o tempo médio de resposta parece ter aumentado em relação ao ano passado. Em um relatório anterior publicado em outubro de 2018, Abuse.ch disse que os provedores de hospedagem da web levaram 3 dias, 2 horas e 33 minutos, em média, para responder a reclamações de abuso e remover malware hospedado em seus servidores.

Mas no relatório de hoje, a organização observou que números recentes indicam que o tempo médio de remoção aumentou para mais de uma semana, para 8 dias, 10 horas e 24 minutos, dando aos autores de malware mais do que tempo suficiente para infectar milhares de dispositivos a cada dia.

Além disso, a situação ficou fora de controle na China – um dos países mais populares para hospedar arquivos de malware junto com os EUA – onde os provedores de hospedagem agora têm um tempo médio de resposta de relatório de abuso de mais de um mês.

VIVA O EMOTET, O REI DO MALWARE!

Quanto ao que os 265 pesquisadores de segurança relataram mais nos últimos dez meses, a resposta não foi uma surpresa. Das 380 mil amostras de malware que os pesquisadores de segurança encontraram hospedadas em sites recém-criados ou hackeados, a família de malware mais comum foi Emotet (também conhecida como Heodo), uma variedade de malware multifacetada que pode funcionar como um downloader para outro malware, um backdoor, um trojan bancário, um ladrão de credenciais ou um spam, entre muitas outras coisas.

Outras cepas de malware populares que os pesquisadores identificaram e relataram incluíram variações do trojan bancário Gozi e instaladores do GandCrab, que é, de longe, o tipo de ransomware mais prevalente atualmente.

Cepas de malware mais comuns relatadas via URLhaus
Imagem: Abuse.ch

Como a maioria dos scanners de segurança de email atuais faz um bom trabalho na detecção de anexos de arquivos maliciosos, as campanhas recentes de spam por email não funcionam como no passado. Atualmente, muitas campanhas de spam mudaram de incluir a carga de malware no anexo de arquivo para adicionar um link dentro do corpo do email que aponta para um site de onde a vítima é solicitada a baixar um documento mal-intencionado ou o instalador do malware.

Além disso, a maioria dos malwares agora é modular, e componentes de software aparentemente benignos se conectam on-line e baixam malwares hospedados em sites legítimos ou hackeados.

Isto é o que o projeto URLhaus vem acompanhando nos últimos dez meses, criando um banco de dados de todas essas novas URLs de distribuição de malware.

Ter bases de dados desses links maliciosos recém-detectados é crucial para firmas de segurança cibernética e corporações privadas que querem colocar essas URLs na lista negra antes que algo de ruim aconteça.

O cenário ideal seria se os provedores de hospedagem da web eliminassem esses links assim que fossem relatados no banco de dados do URLhaus.

Mas, embora ainda haja muitos problemas quando se trata de fazer com que os hosts da Web cooperem, derrubar quase 100.000 URLs de malware com apenas 265 pesquisadores é um feito e tanto para o primeiro ano de existência de URLhaus.