Um dropper é um pequeno programa de ajuda que facilita a entrega e instalação de malware. Spammers e outros atores maus usam droppers para contornar as assinaturas que os programas anti-vírus usam para bloquear ou colocar em quarentena código malicioso. É muito mais fácil mudar o conta-gotas, caso sua assinatura seja reconhecida, do que reescrever a base de código malicioso.
Droppers, como muitos de seus maiores homólogos do cavalo de Tróia, podem ser persistentes ou não-persistentes. Os droppers não-persistentes instalam malware e depois removem-se automaticamente. Os droppers persistentes se copiam para um arquivo escondido e ficam lá até completarem a tarefa para a qual foram criados.
Droppers podem ser espalhados por pessoas que:
- Abra um anexo de e-mail infectado.
- Pega um drive-by download em um site infectado.
- Click on a malicious link in an email or on a website.
- Usando uma unidade flash infectada.
Algumas vezes os dropppers são agrupados com programas utilitários gratuitos (tais como bloqueadores de anúncios) para evitar a detecção por software antivírus. Quando o programa gratuito é executado, o conta-gotas primeiro baixa e instala o malware antes de desempacotar e instalar o utilitário legítimo.
Como os "droppers" se escondem
Droppers podem requerer a execução do usuário, mas também podem ser executados através da exploração de uma vulnerabilidade de segurança. Os droppers são frequentemente disfarçados e escondidos nos diretórios (pastas) de um computador, de modo que, apesar de visíveis, parecem programas ou tipos de arquivos válidos. Por vezes os dropppers são agrupados com programas utilitários gratuitos (tais como bloqueadores de anúncios) para evitar a detecção por software antivírus. Quando o programa gratuito é executado, o conta-gotas primeiro baixa e instala o malware antes de desempacotar e instalar o utilitário legítimo.
Droppers não estão associados a nenhuma extensão de arquivo, o que os torna mais difíceis de detectar. O software, que essencialmente age como um cavalo de Tróia é frequentemente usado em ataques de phishing de lança.
Apesar dos "droppers" serem tradicionalmente programas independentes, suas capacidades são incrementadas e incluídas como parte de um pacote de malware. No final de 2014, por exemplo, o FBI relatou que o malware usado em ataques à Sony associados ao seu filme A Entrevista foi enrolado em um conta-gotas executável que se instalou como um serviço do Windows. Data collected by the 2020 Verizon DBIR shows that nearly 25% of public sector incidents involve a dropper.
Preventing droppers
The Cybersecurity and Infrastructure Security Agency (CISA) recommends users and administrators:
- Block email attachments that cannot be scanned by antivirus software.
- Implement a zero-trust strategy.
- Adhere to the principle of least privilege (POLP).
- Implement network slicing to segment and segregate networks and functions.
Take a Quiz!
1. Zeus, also known as Zbot, is a popular malware tookit that allows bad actors to build their own _________________.
a. virus signatures
b. Trojan horses
Answer
2. What is a mantrap?
a. a command and control server that issues directives to infected devices.
b. a small room with two doors.
Answer
3. Como se chama a programação que está embutida na memória persistente do teclado do seu computador?
a. driver de software
b. firmware
Resposta
4. O que é que uma porta traseira faz?
a. ajuda a contornar os mecanismos de segurança de um computador.
b. desacopla a parte frontal de um website da parte traseira para melhorar a privacidade.
Resposta
5. Gotas persistentes são frequentemente usadas para realizar ataques de APT. O que significa APT?
a. ameaça persistente avançada
b. linha de programação automatizada
Resposta