Relatório
Relatório da McAfee sobre Ameaças:
Primeiro trimestre de 2012
Por McAfee Labs™
Sumário
2
Ameaças móveis
4
Ameaças de malware
6
Malware assinado
9
Ameaças em mensagens
11
Classificações das redes de bots
13
Ameaças de rede
17
Ameaças via Web 20
Crime cibernético 23
Ferramentas de crimeware
23
Bots e redes de bots
24
Ações contra criminosos cibernéticos
24
Hacktivismo
26
Sobre os autores
27
Sobre o McAfee Labs
27
Sobre a McAfee
27
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
O filósofo grego Heráclito, conhecido por sua doutrina de que a mudança é parte fundamental do
universo, certa vez escreveu que “tudo flui, nada permanece estático”. O primeiro trimestre de 2012
reflete a doutrina de Heráclito em quase todas as áreas do cenário de ameaças. Notamos quedas nos
números em muitas áreas de malware e ameaças no final de 2011, mas neste trimestre o resultado
foi praticamente o oposto. O malware para PC teve o trimestre mais movimentado dos últimos tempos,
e o malware móvel também aumentou em enormes proporções. Vimos um crescimento nos rootkits já
estabelecidos, assim como o surgimento de diversas famílias novas. Muitos exemplares conhecidos de
malware que analisamos e combatemos voltaram neste trimestre, com destaque especial para os cavalos
de Troia ladrões de senhas. Nesta edição do Relatório sobre Ameaças, apresentamos nosso rastreamento
de novas ameaças como o rootkit ZeroAccess e o malware assinado. Também apresentamos a
classificação mais detalhada que já realizamos dos ataques de rede.
O volume de spam tornou a crescer no início do trimestre, mas depois retomou a tendência de
queda. Percebemos um aumento no malware direcionado ao Mac. A tendência não foi extrema,
mas houve crescimento.
Embora os números do spam continuem relativamente baixos no mundo, ainda vemos diversidade
e crescimento em alguns países, como na Alemanha e na China. As novas infecções por redes de bots
se estabilizaram no período, embora vários países tenham apresentado crescimento, especialmente
a Espanha e o Japão.
Os Estados Unidos mais uma vez hospedaram a maior quantidade de conteúdo malicioso da Web do
mundo. Essa tendência também pode ser observada em nossa seção expandida de ataques baseados
em rede, que contém classificações detalhadas por país, tanto da perspectiva dos invasores quanto das
vítimas. Os URLs maliciosos ativos seguiram a tendência de crescimento claramente estabelecida no
trimestre passado. A Web é um lugar perigoso para quem não está bem informado ou protegido.
As explorações de Java e Flash se mostraram populares nas ferramentas e kits de ferramentas de
crimeware deste trimestre. As autoridades policiais realizaram prisões e ações muito importantes contra
os criminosos cibernéticos e hacktivistas. As mais famosas provavelmente foram a derrubada da rede de
bots kelihos/waledac e as prisões muito divulgadas de membros do Anonymous e do LulzSec. É sempre
bom ver ações legais bem-sucedidas nessas áreas, mas outras ameaças vão continuar nos atormentando.
As ameaças continuam evoluindo, e os invasores estão sempre inovando. Nós permanecemos vigilantes
na defesa contra essas ameaças.
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
3
Ameaças móveis
Neste trimestre, relatamos um grande aumento no malware móvel. O salto foi direcionado quase
que exclusivamente à plataforma Android. As centenas de ameaças ao Android no meio de 2011 já se
transformaram em milhares neste ano. Com as grandes melhorias em nossa capacidade de coletar, processar
e detectar malware móvel, a contagem disparou ainda mais neste trimestre: as ameaças ao Android agora
são quase 7.000, sendo que nosso banco de dados registra um total de 8.000 exemplares de malware móvel.
Total de amostras de malware móvel no banco de dados
10.000
8.000
6.000
4.000
2.000
0
2004
2005
2006
2007
2008
2009
2010
2011
2012
T2
2011
T3
2011
T4
2011
T1
2012
Malware móvel novo
7.000
6.000
5.000
4.000
3.000
2.000
1.000
0
T1
2010
4
T2
2010
T3
2010
T4
2010
T1
2011
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Malware móvel total por plataforma
Android
Symbian
Symbian 3ª edição
Java ME
Outros
A grande maioria dos ataques móveis e seus respectivos malware têm como origem e alvo mercados
de terceiros, especialmente na China e na Rússia. Na maioria dos casos, não encontramos esse tipo de
malware no mercado oficial do Android. A loja de aplicativos da Google registrou alguns incidentes, mas
até o momento os números são moderados. O McAfee Labs recomenda aos clientes que só instalem
software oriundo do mercado oficial. Essa medida deve reduzir muito o risco de comprometimento
de seu dispositivo Android.
Neste trimestre, registramos uma quantidade significativa de novos exemplares de adware e malware
de backdoor móvel, além de alguns exemplares muito simples de malware de envio de SMS com tarifas
especiais. O adware móvel exibe anúncios no telefone da vítima sem permissão (isso não inclui jogos ou
aplicativos patrocinados por anúncios). O adware vai de papéis de parede com oportunidades de novas
vendas (Android/Nyearleaker.A) a versões falsas de jogos que levam os visitantes a sites de anúncios
(Android/Steek.A). O adware não necessariamente reduz a segurança dos usuários, mas os sujeita
a anúncios indesejados.
Os cavalos de Troia de backdoor para o Android ficaram um pouco mais sofisticados. Em vez de realizarem
apenas uma ação, eles usam explorações de “root” e lançam malware adicional. O Android/FoncyDropper.A,
por exemplo, usa uma exploração de “root” para assumir o controle do telefone e iniciar um bot de IRC
que recebe comandos do invasor. Ele também envia mensagens SMS com tarifas especiais, com base no
país do cartão SIM.
De maneira semelhante, o Android/Rootsmart.A usa uma exploração de “root” para fazer download
do Android/DrdLive.A, um cavalo de Troia de backdoor que envia mensagens SMS com tarifas especiais
e aceita comandos vindos de um servidor de controle.
O Android/Stiniter.A usa uma exploração de “root” para fazer download de malware adicional, e envia
informações do telefone para sites controlados pelo invasor. Ele também envia mensagens de texto
para números de telefone com tarifas especiais. O servidor de controle do invasor atualiza o corpo da
mensagem e o número de envio no telefone sequestrado.
Neste trimestre, os criadores de malware desenvolveram um dos primeiros cavalos de Troia destrutivos
para Android, o Android/Moghava.A. Em vez de danificar aplicativos ou outros executáveis, esse
malware vai atrás de fotos. O Moghava.A procura fotos armazenadas no cartão SD e adiciona
a imagem do Aiatolá Khomeini a cada uma delas. O malware também é um pouco instável,
e continua adicionando fotos até que acabe o espaço do cartão.
Uma coisa não é mais segredo para ninguém: temos que proteger todos os dispositivos, móveis ou não,
que contenham dados valiosos. Caso contrário, os criminosos cibernéticos da atualidade terão o maior
prazer em cuidar deles por nós.
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
5
Ameaças de malware
Para dar início ao nosso debate sobre malware, devo dizer que a vida voltou ao normal nessa área.
A trégua no crescimento geral do malware baseado em PCs registrado pelo McAfee Labs nos dois
últimos trimestres de 2011 parece ter chegado ao fim. E não só chegou ao fim, como neste período
tivemos a maior quantidade de malware detectada por trimestre nos últimos quatro anos! Entramos em
2012 com 75 milhões de amostras coletadas em nosso “zoológico combinado de malware”, mas com
o crescimento enorme deste trimestre já atingimos 83 milhões de exemplares de malware. Não sabemos
quando a marca de 100 milhões será atingida, mas certamente será daqui a poucos trimestres.
Com o aumento dos rootkits e suas funcionalidades, o malware assinado e o crescimento desenfreado
da maioria dos demais vetores de ameaças, parece que o caminho pela estrada da segurança em 2012
vai estar repleto de buracos e solavancos.
Total de amostras de malware no banco de dados
100.000.000
80.000.000
60.000.000
40.000.000
20.000.000
0
ABR MAIO JUN
2011 2011 2011
JUL
2011
AGO
2011
SET
2011
OUT
2011
NOV
2011
DEZ
2011
JAN
2012
FEV
2012
MAR
2012
Malware novo
8.000.000
7.000.000
6.000.000
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Os rootkits voltaram a crescer neste trimestre. Houve mais atividade do Koutodoor, mas essa atividade
está bem distante do pico de malware alcançado no ano passado. A partir deste relatório, vamos tratar
do rootkit ZeroAccess. Esse malware já é popular entre os criminosos cibernéticos e outros indivíduos
maliciosos. Os rootkits, ou malware indetectável, são um dos tipos mais nocivos de malware. Eles têm
grande influência em quase todas as demais áreas de malware, e são projetados para burlar a detecção
e “habitar” um sistema por um longo tempo.
6
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Amostras exclusivas de rootkits descobertas
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
Q1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Novas amostras de Koutodoor
200.000
180.000
160.000
140.000
120.000
100.000
80.000
60.000
40.000
20.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Novas amostras de TDSS
250.000
200.000
150.000
100.000
50.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
7
Novas amostras de ZeroAccess
250.000
200.000
150.000
100.000
50.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Vamos falar sobre nossos outros tópicos “favoritos”: o antivírus falso (software de segurança falsificado),
o AutoRun e os cavalos de Troia ladrões de senhas continuam incomodando. Os dois primeiros
continuaram caindo levemente, mas os ladrões de senhas registraram um forte aumento neste trimestre.
Novas amostras de antivírus falso
900.000
800.000
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Novas amostras de Autorun
1.400.000
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
8
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Novas amostras de ladrões de senhas
1.200.000
1.000.000
800.000
600.000
400.000
200.000
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Malware assinado
Em um excelente blog do McAfee Labs, o pesquisador sênior Craig Schmugar explicou por que os
criadores de malware usam assinaturas digitais no malware:
“Os invasores assinam o malware para tentar enganar os usuários e administradores, fazendo com que
confiem no arquivo. Mas eles também fazem isso para evitar a detecção por software de segurança
e burlar políticas de sistema. A maior parte desse malware é assinada com certificados roubados; outros
binários são autoassinados ou ‘assinados para testes’. Às vezes, a assinatura para testes é usada como
parte de um ataque de engenharia social.”1
Neste trimestre, mais de 200.000 novos binários de malware exclusivos foram encontrados com
assinaturas digitais válidas. Em nossas Previsões sobre ameaças em 2012, previmos que essa técnica,
provavelmente inspirada no sucesso do Duqu e do Stuxnet, cresceria.2 Três meses depois, parece que
é isso mesmo que está acontecendo.
Total de binários assinados maliciosos
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
1º SET
2011
1º OUT
2011
1º NOV
2011
1º DEZ
2011
1º JAN
2012
1º FEV
2012
1º MAR
2012
1º ABR
2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
9
Total de binários assinados maliciosos
100.000
80.000
60.000
40.000
20.000
0
SET
2011
OUT
2011
NOV
2011
DEZ
2011
JAN
2012
FEV
2012
MAR
2012
O malware para Macs da Apple continua mostrando um crescimento consistente. Como sempre, o malware
para Macs parece relativamente brando quando comparado ao malware para PCs, mas é possível criar
malware para qualquer sistema operacional e plataforma. Todos os usuários devem ter cuidado.
Malware novo para Mac
700
600
500
400
300
200
100
0
T1
T2
T3
T4
T1
T2
T3
T4
T1
T2
T3
T4
T1
2009 2009 2009 2009 2010 2010 2010 2010 2011 2011 2011 2011 2012
Depois do grande aumento registrado no meio do ano passado, o malware de antivírus falso para Macs
parece ter adquirido alguma consistência.
Malware novo de antivírus falso para Mac
600
500
400
300
200
100
0
T1
2010
10
T2
2010
T3
2010
T4
2010
T1
2011
T2
2011
T3
2011
T4
2011
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
T1
2012
Ameaças em mensagens
Em nossa última edição, nós comentamos que no fim de 2011 os níveis de spam haviam atingido sua
marca mais baixa de todos os tempos. Mesmo com um pico em janeiro, ao fim do trimestre os níveis
de spam já haviam caído novamente para a marca baixa do período anterior. Nos últimos três meses,
observamos aumentos na China, Alemanha, Polônia, Espanha e no Reino Unido, mas os volumes caíram
no Brasil, na Indonésia e na Rússia. Apesar da queda nos níveis globais, o spearphishing e o spam
continuam perigosos como sempre, e os consumidores e as empresas devem se manter vigilantes.
A sofisticação das ameaças atuais continua alta.
Volume de e-mail global, em trilhões de mensagens
2,0
1,5
Spam mensal
E-mail legítimo
1,0
0,5
0,0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Volume de spam
Alemanha
Argentina
16.000.000
16.000.000
14.000.000
14.000.000
12.000.000
12.000.000
10.000.000
10.000.000
8.000.000
8.000.000
6.000.000
6.000.000
4.000.000
4.000.000
2.000.000
2.000.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Austrália
Brasil
4.000.000
120.000.000
3.500.000
100.000.000
3.000.000
80.000.000
2.500.000
2.000.000
60.000.000
1.500.000
40.000.000
1.000.000
20.000.000
500.000
0
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
China
Colômbia
18.000.000
25.000.000
16.000.000
20.000.000
14.000.000
12.000.000
15.000.000
10.000.000
8.000.000
10.000.000
6.000.000
4.000.000
5.000.000
2.000.000
0
ABR MAIO JUN JUL AGO SET OUT NOV OUT JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
11
Volume de spam
Coreia do Sul
Espanha
50.000.000
16.000.000
45.000.000
14.000.000
40.000.000
12.000.000
35.000.000
30.000.000
10.000.000
25.000.000
8.000.000
20.000.000
6.000.000
15.000.000
4.000.000
10.000.000
2.000.000
5.000.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
Índia
Estados Unidos
250.000.000
100.000.000
200.000.000
80.000.000
150.000.000
60.000.000
100.000.000
40.000.000
50.000.000
20.000.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Itália
Indonésia
80.000.000
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
12.000.000
70.000.000
10.000.000
60.000.000
8.000.000
50.000.000
40.000.000
6.000.000
30.000.000
4.000.000
20.000.000
2.000.000
10.000.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
Japão
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Reino Unido
14.000.000
2.500.000
12.000.000
2.000.000
10.000.000
1.500.000
8.000.000
1.000.000
6.000.000
4.000.000
500.000
0
2.000.000
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
Venezuela
Rússia
100.000.000
80.000.000
90.000.000
70.000.000
80.000.000
60.000.000
70.000.000
50.000.000
60.000.000
50.000.000
40.000.000
40.000.000
30.000.000
30.000.000
20.000.000
20.000.000
10.000.000
10.000.000
0
12
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Classificações das redes de bots
O crescimento geral das redes de bots de mensagens deu um grande salto em relação ao trimestre
passado. As infecções cresceram na Colômbia, no Japão, na Polônia, na Espanha e nos Estados Unidos.
Indonésia, Portugal e Coreia do Sul mantiveram a queda.
Infecções globais por redes de bots
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Novos remetentes de redes de bots
Alemanha
Argentina
50.000
90.000
45.000
80.000
40.000
70.000
35.000
60.000
30.000
50.000
25.000
40.000
20.000
30.000
15.000
20.000
10.000
10.000
5.000
0
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Austrália
Brasil
16.000
250.000
14.000
200.000
12.000
10.000
150.000
8.000
100.000
6.000
4.000
50.000
2.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
China
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Coreia do Sul
250.000
80.000
70.000
200.000
60.000
50.000
150.000
40.000
100.000
30.000
20.000
50.000
10.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
13
Novos remetentes de redes de bots
Estados Unidos
Espanha
250.000
70.000
60.000
200.000
50.000
150.000
40.000
30.000
100.000
20.000
50.000
10.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Índia
Indonésia
350.000
140.000
300.000
120.000
250.000
100.000
200.000
80.000
150.000
60.000
100.000
40.000
50.000
20.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Japão
30.000
Polônia
80.000
70.000
25.000
60.000
20.000
50.000
40.000
15.000
30.000
10.000
20.000
5.000
0
10.000
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Reino Unido
60.000
Rússia
250.000
50.000
200.000
40.000
150.000
30.000
100.000
20.000
50.000
10.000
0
14
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Muitas das maiores redes de bots de mensagens deste trimestre mostraram um crescimento tímido
ou queda em novas infecções, com exceção da Cutwail, que registrou um aumento expressivo.
Maiores infecções globais por redes de bots
2.500.000
2.000.000
Bobax
1.500.000
Cutwail
Grum
1.000.000
Lethic
Maazben
500.000
0
ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
Não esqueça que novas infecções não significam que as infecções atuais desapareceram. Nossa classificação
de redes de bots por país mostra que muitas dessas redes ainda apresentam grande atividade ao redor do
mundo, mesmo com a queda de novas infecções. A Cutwail é líder mundial em novas infecções e infecções
atuais, exceto no Brasil, onde quem prevalece é a Grum.
Alemanha
Austrália
Brasil
Redes de bots
Bobax
Cutwail
Grum
Lethic
Maazben
Outras
China
Colômbia
Coreia do Sul
Espanha
Estados Unidos
Índia
Japão
Reino Unido
Rússia
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
15
Redes de bots
Reino Unido
Japão
Rússia
Bobax
Cutwail
Grum
Lethic
Maazben
Outras
Como sempre, as “iscas” de engenharia social e os tópicos de spam variam muito, de acordo com
a localização geográfica. As iscas variam de acordo com o mês e a estação do ano, e muitas vezes
se aproveitam de feriados, eventos esportivos e tragédias. No Brasil, o spam ligado a jogos de azar
se mostrou popular, enquanto em muitos outros países o spam de medicamentos foi o mais usado.
Os Estados Unidos, por outro lado, foram assolados por falsas notificações de status de entrega
(DSN, Delivery Status Notification). Iscas diferentes apelam a culturas diferentes.
Tipos de spam
419 Scams
Produtos para adultos
Drugs
Drugs
Fashion
Diplomas
Fashion
Diplomas
Adult Products
Newsletters
Periódicos
Coreia do Sul
DSN
Drugs
Marketing
Jogos de azar
Casinos
Drugs
Lottos
Notificações de
status de entrega
419 Scams Gambling
DSN
DSN
Casinos
Medicamentos
Phishing
Gambling
DSN
Diplomas
Brasil
Bielorrússia
Alemanha
Fraudes 419
Lottos
Adult Products
Marketing
419 Scams
419 Scams
Newsletters
Phishing
Phishing
Third Parties
Third Parties
Viruses
Viruses
Watches
Watches
Estados Unidos
França
Produtos
Gambling
Terceiros
DSN
Vírus
Drugs
Relógios
Diplomas
Adult Products
419 Scams
Índia
Indonésia
Paquistão
Gambling
DSN
Drugs
Diplomas
Adult Products
419 Scams
Reino Unido
16
Rússia
Venezuela
Gambling
Gambling
DSN
DSN
Drugs
Drugs
Diplomas
Diplomas
Adult Products
Adult Products
419 Scams
419 Scams
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Ameaças de rede
Será que os Estados Unidos são a maior fonte de ataques cibernéticos do mundo? Determinar
a origem e a atribuição dos ataques é uma tarefa complexa. Há poucos anos, a maioria dos clientes,
tanto consumidores quanto empresas, não perguntava “de onde veio esse ataque?” ou “quem
é o responsável pelo ataque?” Hoje nós ouvimos essas perguntas, mas é difícil respondê-las de forma
precisa. Na maioria das vezes, a atribuição e a origem dos ataques se baseiam fortemente nos endereços
IP e em funções geográficas básicas. Esses elementos são um bom ponto de partida, mas não vão muito
além disso, porque o local e o endereço IP não necessariamente levam a uma identidade ou pessoa.
Muitas vezes, uma máquina comprometida é usada para proxy de spam, redes de bots, negação de
serviço ou outros tipos de atividades maliciosas. Essas máquinas podem estar localizadas em qualquer
lugar do mundo, e a julgar pelos números do trimestre, muitas estão localizadas nos Estados Unidos.
Vamos investigar algumas áreas coletadas e analisadas pela rede do McAfee Global Threat Intelligence™.
Também expandimos consideravelmente nossos relatórios de análise baseados em rede no relatório
sobre ameaças deste trimestre.
As maiores ameaças de rede mais uma vez foram os ataques por chamada de procedimento remoto
e injeção de SQL. As ameaças de XSS (Cross-Site Scripting) caíram um pouco, dos 19% do trimestre
passado para 8%.
Maiores ameaças de rede
Chamada de procedimento remoto
Injeção de SQL
Navegador
XSS (Cross-Site Scripting)
Outras
Os Estados Unidos foram a maior fonte de ataques por injeção de SQL, e também seu maior alvo.
Maiores invasores por injeção de SQL
Reino Unido
Estados Unidos
Venezuela
Alemanha
Holanda
China
Turquia
Coreia do Sul
Outros
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
17
Maiores vítimas de injeção de SQL
Estados Unidos
China
Alemanha
Reino Unido
Espanha
Coreia do Sul
Japão
França
Outras
Os Estados Unidos lideraram com ampla vantagem a lista de fontes de ataques de XSS (Cross-Site
Scripting) detectados neste trimestre. Eles também foram as maiores vítimas desse tipo de ataque,
seguidos por Taiwan, que ocupa a segunda posição.
Maiores invasores por XSS
Estados Unidos
Taiwan
Canadá
Alemanha
Reino Unido
Outros
Maiores vítimas de XSS
Estados Unidos
Taiwan
Malásia
China
Outras
18
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Neste trimestre, também incluímos um gráfico das maiores detecções de redes de bots. A líder isolada
foi a Mariposa, uma rede de bots financeira que rouba dados bancários e de cartão crédito. A Pushdo
(também conhecida como Cutwail) ficou bem atrás no segundo lugar.
Maiores detecções de redes de bots
Pacotes de sondagem UDP da Mariposa
DoS de SSL da Pushdo
Varreduras de IRC
SpyBot
Ainslot.B Traffic
Outras
Os Estados unidos lideraram outra de nossas listas de rede. Quase metade dos novos servidores de
controle de redes de bots detectados pelo McAfee Global Threat Intelligence reside nos Estados Unidos.
Maiores servidores de controle de redes de bots
Estados Unidos
China
Japão
Alemanha
Reino Unido
Coreia do Sul
França
Outros
As vítimas de redes de bots, que constituem outra seção nova do relatório, prevaleceram na Venezuela.
Os Estados Unidos ficaram em um distante segundo lugar.
Maiores vítimas de redes de bots
Venezuela
Estados Unidos
Chile
Colômbia
Argentina
Marrocos
Rússia
Outras
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
19
Ameaças via Web
Os sites da Web podem obter uma reputação ruim ou maliciosa por diversos motivos. As reputações
podem se basear em domínios completos e em qualquer quantidade de subdomínios, bem como em
um único endereço IP ou mesmo em um URL específico. As reputações maliciosas são influenciadas pela
hospedagem de malware, programas potencialmente indesejáveis ou sites de phishing. Muitas vezes
observamos combinações de códigos e funcionalidades questionáveis. Esses são muitos dos fatores que
contribuem para nossa classificação de reputação de um site.
No trimestre passado, o McAfee Labs registrou uma média de 9.300 novos sites nocivos por dia.
Se incluirmos URLs de e-mail de spam, os números chegam a 11.000 por dia. No período atual,
entretanto, esse último valor caiu para 9.000 novos sites nocivos por dia.
Novos URLs de má reputação
35.000
30.000
25.000
20.000
15.000
10.000
5.000
0
1º JAN
2012
1º FEV
2012
1º MAR
2012
1º ABR
2012
Ainda que a quantidade de URLs nocivos esteja caindo, a quantidade de clientes da McAfee direcionados
a sites maliciosos está aumentando. No trimestre passado, a McAfee impediu diariamente que, em média,
um em cada oito clientes sofresse um ataque de malware com base na Web (os outros sete clientes não
visitaram nenhum site arriscado). Neste trimestre, entretanto, a taxa subiu para um em cada seis clientes.
Esse número se manteve constante ao longo do trimestre, e representa o êxito obtido pelos criminosos
cibernéticos no redirecionamento de usuários para seus sites nocivos. A grande maioria dos novos sites
maliciosos encontra-se nos Estados Unidos. Em uma análise detalhada por região, podemos observar
que nenhuma área da Internet global está fora de perigo.
20
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Localização dos servidores que hospedam conteúdo malicioso
América do Norte
África
África do Sul
Estados Unidos
Reunião
Canadá
Marrocos
Outras
América Latina
Ásia-Pacífico
Bahamas
Coreia do Sul
Brasil
China
Ilhas Virgens Britânicas
Cingapura
Ilhas Cayman
Região Ásia/Pacífico
Outras
Hong Kong
Indonésia
Outras
Europa e Oriente Médio
Austrália e Nova Zelândia
Austrália
Holanda
Nova Zelândia
Reino Unido
Alemanha
Suíça
França
Outras
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
21
A quantidade de sites que hospedam downloads maliciosos ou explorações de navegadores
continua aumentando.
URLs maliciosos ativos
900.000
800.000
700.000
600.000
500.000
400.000
300.000
200.000
100.000
0
JAN FEV MAR ABR MAIO JUN JUL AGO SET OUT NOV DEZ JAN FEV MAR
2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2012 2012 2012
A quantidade de sites que distribui malware e programas potencialmente indesejáveis caiu
aproximadamente um terço neste trimestre, com média aproximada de 4.200 novos sites por dia.
No quarto trimestre de 2011, a média foi de 6.500 por dia.
Novos sites de malware
20.000
18.000
16.000
14.000
12.000
10.000
8.000
6.000
4.000
2.000
0
1º JAN
2012
1º FEV
2012
1º MAR
2012
1º ABR
2012
Os sites de phishing não sofreram alterações em relação ao trimestre passado. Tornamos a identificar
uma média aproximada de 2.200 novos URLs de phishing por dia neste trimestre. Os sites de phishing
continuam sendo um risco considerável a quem navega na Web: há mais sites hospedando tentativas
de phishing do que sites hospedando apenas downloads maliciosos ou spam.
Novos sites de phishing
10.000
8.000
6.000
4.000
2.000
0
22
1º JAN
2012
1º FEV
2012
1º MAR
2012
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
1º ABR
2012
Crime cibernético
Ferramentas de crimeware
Além dos habituais pacotes de exploração atualizados, este trimestre também trouxe uma onda de
novatos. A princípio, essas ferramentas de crimeware faziam uso maciço da vulnerabilidade do Java
Rhino (CVE-2011-3544), revelada em outubro de 2011, mas logo passaram a tirar proveito de duas
vulnerabilidades de 2012:
• A
vulnerabilidade de execução remota de código MIDI na biblioteca multimídia do Windows
(CVE‑2012-0003), resolvida com a atualização de segurança MS12-004 de janeiro.
• A
violação do ambiente isolado (sandbox) do Java Runtime Environment (CVE-2012-0507), corrigida no
meio de fevereiro como parte da recomendação de atualização de correção crítica do Oracle Java SE.3
Essa exploração é conhecida como Java AtomicReferenceArray.
Na tabela abaixo, apenas o kit de exploração Phoenix inclui a exploração CVE-2012-0507 do Java
Atomic. No entanto, lemos em vários blogs e fóruns sobre atualizações parecidas para o BlackHole, o
Eleonore e o Incognito. Acreditamos que muitos kits de explorações farão uso dessa vulnerabilidade nos
próximos meses.
Nome
Origem
Detalhes da exploração
Sakura 1.0
Rússia ou Europa Oriental
Três explorações, incluindo Java Rhino
(CVE-2011-3544)
Hierarchy
Rússia ou Europa Oriental
16 explorações, sendo duas de 2011:
• Flash 10 (CVE-2011-0611)
• Java Rhino
Yang Pack
China
Janeiro
Quatro explorações, incluindo:
• Flash 10.3.181.x (CVE-2011-2110)
• Flash 10.3.183.x (CVE-2011-2140)
• Java Rhino
Zhi Zhu
China
Fevereiro
Cinco explorações, incluindo:
• HTML+TIME (CVE-2011-1255)
• Flash 10.3.181.x
• Flash 10.3.183.x
• WMP MIDI (CVE-2012-0003)
Gong Da Pack
China
Fevereiro
Três explorações:
• Flash 10.3.183.x
• Java Rhino
• WMP MIDI
Phoenix Exploit Kit 3.1
Março
Rússia
Em nosso relatório sobre ameaças do quarto trimestre
de 2011, observamos a versão 3.0, que incluía a
exploração do Java Rhino (CVE-2011-3544). A versão
3.1 inclui a exploração do Java Atomic (CVE-2012-0507).
Aos que procuram detalhes sobre os pacotes chineses listados acima, recomendamos o blog Kahu Security4.
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
23
Bots e redes de bots
Os fóruns clandestinos oferecem inúmeros anúncios de pacotes de redes de bots. As tabelas abaixo
mostram que certas redes de bots oferecem preços especiais:
Nome
Preços (em dólares dos EUA)
Darkness by SVAS/Noncenz
Atualização para a versão 10 em janeiro: US$ 120
Bot de negação de serviço
distribuído (DDoS)
Pacotes
• Minimum: Bot de DDoS, sem atualizações gratuitas, sem módulos = US$ 450
• Standard: Bot de DDoS, um mês de atualizações gratuitas, módulo de captura de senhas
= US$ 499
• Bronze: Bot de DDoS, três meses de atualizações gratuitas, módulo de captura de senhas,
uma recompilação gratuita = US$ 570
• Silver: Bot de DDoS, seis meses de atualizações gratuitas, módulo de captura de senhas,
três recompilações gratuitas = US$ 650
• Gold: Bot de DDoS, atualizações gratuitas para sempre, módulos de captura de senhas
e editor de “hosts”, cinco recompilações gratuitas, 8% de desconto em outros produtos
= US$ 699
• Platinum: Bot de DDoS, atualizações gratuitas para sempre, módulo de captura de senhas,
recompilações gratuitas ilimitadas, 20% de desconto em outros produtos = US$ 825
• Brilliant: Bot de DDoS, atualizações gratuitas para sempre, recompilações gratuitas ilimitadas,
todos os módulos gratuitamente, 25% de desconto em outros produtos = US$ 999
Outros:
• Recompilação (mudança de URLs) = US$ 35
• Fontes = US$ 3.500 – US$ 5.000
• Reinstalação do painel da Web (a primeira vez é gratuita) = US$ 50
Citadel5
Variante do Zeus,
rede de bots financeira
THOR by TheGrimReap3r
Rede de bots ponto a ponto
para vários fins
Carberp
Rede de bots financeira
• Criador de bots e painel de administração = US$ 2.399 mais US$ 125 de “aluguel” mensal
(preço em dezembro de 2011)
• Recursos de atualização automática para burlar antivírus = US$ 395. Cada atualização
custa US$ 15.
• US$ 8.000 pelo pacote sem módulos. Desconto de US$ 1.500 para os cinco primeiros
compradores.
• Módulos esperados em desenvolvimento: eliminador de bots avançado, DDoS, capturador
de formulários, keylogger (programa de captura por digitação)/ladrão de senhas e envio
de e-mails em massa.
• Carregador, capturadores, todas as funcionalidades básicas (exceto pelas listadas a seguir)
= US$ 2.500
• Funcionalidades listadas acima, mais 500 conexões tipo back-connect e injeção para Internet
Explorer e Mozilla FireFox = US$ 5.000
• Funcionalidades listadas acima, mais navegador oculto (semelhante ao VNC) = US$ 8.000
A oferta da Carberp é surpreendente. A data da oferta é 21 de março, mas no dia 20 de março as
autoridades russas anunciaram a prisão da quadrilha da Carberp (leia a próxima seção para obter
mais detalhes).
Ações contra criminosos cibernéticos
Neste trimestre, as autoridades policiais e outros benfeitores realizaram ações e derrubadas expressivas
contra criminosos cibernéticos. Em janeiro, a Microsoft fez uma queixa contra um habitante de
São Petersburgo, na Rússia, suspeito de controlar a rede de bots Kelihos (também conhecida como
Waledac).6 De acordo com o especialista em segurança Brian Krebs, de 2005 a 2007 o suspeito foi
desenvolvedor sênior de sistemas e gerente de projetos em uma empresa russa de antivírus chamada
Agnitum.7 Em entrevista ao jornal Gazeta.ru, o suposto operador negou as acusações.8
24
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Um cidadão russo detido desde março de 2011 em Zurique, na Suíça, foi extraditado para Nova York
em janeiro. Junto com o filho, que continua solto, ele soma nove acusações de conspiração, fraude
de e-mail, fraude eletrônica, fraude de computador, roubo de identidade com agravante e fraude de
investimentos usando sites falsos desde 2005.9
No dia 16 de março, o Serviço Secreto dos EUA, em coordenação com a U.S. Immigration and Customs
Enforcement (ICE, agência de imigração e alfândega dos EUA), anunciou os resultados da Operação
“Open Market” contra 50 indivíduos supostamente envolvidos em crimes como roubo de identidade
e tráfico de cartões de crédito falsificados.10 Os suspeitos foram ligados ao crime organizado transnacional
que opera em várias plataformas cibernéticas, comprando e vendendo em fóruns on-line informações
pessoais e financeiras roubadas. Todos os acusados supostamente são membros, associados ou funcionários
da organização criminosa Carder.su (que também inclui Carder.info, Crdsu.su, Carder.biz e Carder.pro).
No dia 20 de março, o ministério russo de assuntos internos e o Federal Security Service (FSB) anunciaram
a prisão de oito supostos criminosos cibernéticos, suspeitos de roubar mais de 60 milhões de rublos
(US$ 2 milhões) de contas bancárias de pelo menos 90 vítimas com a ajuda do cavalo de Troia Carberp.11
Dois homens, presos em maio de 2011, foram acusados em março no Reino Unido de ações de hacking
nos computadores da Sony Music e roubo de músicas avaliadas em aproximadamente 160 milhões
de libras.12 A Serious Organised Crime Agency afirmou que o hacking teria ocorrido no ano passado,
quando outros hackers acessaram a Playstation Network e fizeram download das informações pessoais
de 77 milhões de usuários registrados. Acredita‑se que o caso não esteja ligado aos ataques do
Anonymous e do LulzSec.
Neste trimestre, vários membros ou afiliados do Anonymous foram alvo de operações das autoridades
policiais. Depois que o membro “Sabu” do LulzSec foi considerado culpado em agosto de 2011
e cooperou com o FBI, os agentes das autoridades policiais prenderam outros membros importantes do
grupo de hackers de computadores. Os suspeitos, que incluíam dois homens do Reino Unido, dois da
Irlanda e dois dos Estados Unidos, foram indiciados no Distrito Sul de Nova York.13 Antes disso, ainda
neste trimestre, a Interpol anunciou a prisão de 25 pessoas suspeitas de serem membros do Anonymous
na Argentina, no Chile, na Colômbia e na Espanha.14 W0rmer e Kahuna, dois membros do CabinCr3w,
um grupo hacker próximo ao Anonymous, foram presos no dia 20 de março nos Estados Unidos.15
Neste trimestre, vimos que a polícia não é a única capaz de atrapalhar as operações dos criminosos
cibernéticos. Em uma postagem em janeiro, o famoso pesquisador Dancho Danchev revelou a identidade
e os dados que descobriu sobre um russo ligado à quadrilha responsável pelo Koobface.16 Dias depois,
o The New York Times revelou mais quatro nomes que um grupo de pesquisadores de segurança
planejava anunciar.17
Para terminar, temos a Operação B71 da Microsoft, que se concentrou nas redes de bots que usam
o Zeus, o SpyEye e variantes do Ice-IX. No dia 23 de março, a Microsoft anunciou uma ação conjunta
com o Financial Services - Information Sharing and Analysis Center (FS-ISAC) e a National Automated
Clearing House Association (NACHA). A Microsoft e seus agentes capturaram quatro horas de tráfego
de rede e confiscaram servidores hospedados em dois locais diferentes na Pensilvânia e em Illinois.
Além disso, mais de 1.700 nomes de domínio foram analisados para que se pudesse entender sua
função nesse ramo.18
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
25
Hacktivismo
Além dos eventos relacionados à prisão de Sabu, os ataques em represália ao fechamento forçado do
Megaupload foram a maior notícia envolvendo o hacktivismo neste trimestre. Através de contas no
Twitter e de comunicados à imprensa, o Anonymous afirmou que milhares de pessoas participaram
de sua OpMegaupload, que tirou diversos sites do ar, incluindo os do Departamento de Justiça,
da Recording Industry Association of America (RIAA), da Motion Picture Association of America
(MPAA), da BMI e do FBI. O mais interessante é que o Anonymous também conseguiu mobilizar seus
simpatizantes nas ruas da Europa. Usando o fechamento do Megaupload como pretexto, demonstrações
organizadas pelo Anonymous protestaram nos dias 11 e 25 de fevereiro contra as controversas leis
SOPA, PIPA e ACTA em mais de cem cidades de aproximadamente 15 países. Foi uma curiosa mescla
de hacktivismo digital e ativismo físico. Será que isso é um sinal do que está por vir?
Os protestos contra a ACTA se espalharam pela Europa no dia 11 de fevereiro.
Neste trimestre, também observamos dezenas de operações distribuídas pelo mundo. Nenhuma teve
grande impacto, e é difícil destacar algumas:
• A
#OpGlobalBlackout, no dia 31, não causou o prometido blecaute global. Os pesquisadores de
segurança eram quase unânimes em afirmar que o ataque era tecnicamente impossível. Mesmo assim,
é interessante observar a ampla cobertura e todo o debate que essa #Op gerou. O Anonymous continua
se mostrando capaz de conseguir manchetes com sua experiência em mídia.
26
•
O hack ArcelorMittal: em reação à decisão de fechamento de dois altos-fornos na cidade belga
de Liège.19
•
O DDoS do Vaticano: um ataque que não era direcionado aos católicos do mundo, mas sim
à Igreja “corrupta”.20
•
O lançamento do Anonymous-OS Linux, imediatamente anunciado como falso.21
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
Sobre os autores
Este relatório foi preparado e escrito por Zheng Bu, Toralv Dirro, Paula Greve, Yichong Lin, David Marcus,
François Paget, Craig Schmugar, Jimmy Shah, Dan Sommer, Peter Szor e Adam Wosotowsky do McAfee Labs.
Sobre o McAfee Labs
McAfee Labs é o grupo de pesquisa global da McAfee. Com a única organização de pesquisa dedicada
a todos os vetores de ataque (malware, Web, e-mail, redes e vulnerabilidades), o McAfee Labs reúne
informações de seus milhões de sensores e de seu serviço com base na nuvem, o McAfee Global Threat
Intelligence™. Os 350 pesquisadores multidisciplinares do McAfee Labs em 30 países acompanham
toda a gama de ameaças em tempo real, identificando vulnerabilidades em aplicativos, analisando
e correlacionando riscos e permitindo correções instantâneas para proteger as empresas e o público.
Sobre a McAfee
A McAfee, uma subsidiária pertencente à Intel Corporation (NASDAQ:INTC), é a maior empresa do mundo
dedicada à tecnologia de segurança. A McAfee provê soluções proativas e com qualidade comprovada,
além de serviços que ajudam a manter sistemas, redes e dispositivos móveis protegidos mundialmente,
permitindo aos usuários conectarem-se à Internet, navegarem e realizarem compras pela Web com
segurança. Apoiada pelo incomparável centro Global Threat Intelligence, a McAfee desenvolve produtos
inovadores que capacitam os usuários domésticos, as empresas dos setores público e privado e os provedores
de serviços, permitindo-lhes manter a conformidade com as regulamentações de mercado, proteger dados,
prevenir interrupções, identificar vulnerabilidades e monitorar continuamente dados, além de incrementar
a segurança em TI. A McAfee protege o seu mundo digital. O compromisso maior da McAfee é encontrar
constantemente novas maneiras de manter nossos clientes seguros. www.mcafee.com/br
Relatório da McAfee sobre Ameaças: Primeiro trimestre de 2012
27
http://blogs.mcafee.com/mcafee-labs/signed-malware-you-can-runbut-you-cant-hide
http://www.mcafee.com/br/resources/reports/rp-threat-predictions-2012.pdf
http://www.oracle.com/technetwork/topics/security/javacpufeb2012-366318.html
4
http://www.kahusecurity.com/
5
http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/
6
http://blogs.technet.com/b/microsoft_blog/archive/2012/01/23/microsoft-names-new-defendant-in-kelihos-case.aspx
7
http://krebsonsecurity.com/2012/01/microsoft-worm-author-worked-at-antivirus-firm/
8
http://en.gazeta.ru/news/2012/03/07/a_4030561.shtml
9
http://www.justice.gov/usao/nys/pressreleases/January12/zdoroveninvladimirandzdoroveninkirillindictmentpr.pdf
10
http://www.secretservice.gov/press/GPA03-12_OpenMarket2.pdf
11
http://garwarner.blogspot.fr/2012/03/russian-mvd-announces-arrest-of-carberp.html
12
http://www.huffingtonpost.com/2012/03/05/michael-jackson-hacking-james-marks-james-mccormick_n_1321912.html
13
http://www.smashtheman.com/2012/03/news/the-legal-attack-against-anonymous-and-lulzsec
14
http://www.interpol.int/News-and-media/News-media-releases/2012/PR014
15
http://blogs.mcafee.com/mcafee-labs/hacker-leaves-online-trail-loses-anonymity
16
http://ddanchev.blogspot.com/2012/01/whos-behind-koobface-botnet-osint.html
17
http://www.nytimes.com/2012/01/17/technology/koobface-gang-that-used-facebook-to-spread-worm-operates-in-the-open.html
18
http://blogs.technet.com/b/microsoft_blog/archive/2012/03/25/microsoft-and-financial-services-industry-leaders-target-cybercriminal-operations-from-zeusbotnets.aspx
19
http://www.cyberguerrilla.info/?p=3747
20
http://geeks.thedailywh.at/2012/03/07/geek-news-anonymous-vatican-hack-of-the-day/
21
http://www.tomshardware.com/news/Anonymous-Anonymous-OS-Viruses-Trojans-Fake,15027.html
1
2
3
McAfee do Brasil Comércio de Software Ltda.
Av. das Nações Unidas, 8.501 - 16° andar
CEP 05425-070 - São Paulo - SP - Brasil
Telefone: +55 (11) 3711-8200
Fax: +55 (11) 3711-8286
www.mcafee.com/br
McAfee, o logotipo McAfee, McAfee Labs e McAfee Global Threat Intelligence são marcas comerciais ou marcas registradas da McAfee, Inc. ou
de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros. Os planos, especificações e descrições
de produtos aqui contidos são fornecidos apenas para fins informativos, estão sujeitos a alterações sem notificação prévia e são fornecidos sem
garantia de qualquer espécie, expressa ou implícita. Copyright © 2012 McAfee
44605rpt_quarterly-threat-q1_0512_fnl_ETMG