Dificilmente existe um usuário on-line ativo que não sabe o que é um PUP (principalmente da experiência em primeira mão). No melhor, programas potencialmente indesejados oferecem pouco ou nenhum benefício, e, na pior, eles podem ser bastante prejudicial para o seu sistema. Além de ocupar espaço no seu disco rígido, eles também abrandar o seu computador, inundá-lo com anúncios intrusivos, e frequentemente altere as configurações do seu navegador sem o seu conhecimento ou permissão. O software indesejado geralmente acompanha o adware e / ou spyware incluído no pacote de instalação.
relacionado: A fina linha vermelha entre filhotes e malware
O adware continua sendo malicioso
Uma nova pesquisa realizada em maio 2019 confirma a natureza maliciosa de adware e filhotes. Os pesquisadores Xavier de Carné de Carnavalet e Mohammad Mannan analisaram um ator conhecido no negócio de adware conhecido como Wajam. Os pesquisadores investigaram a evolução da Wajam no curso de quase seis anos. A partir de 2016, revelado pelo Gabinete do Comissário de Privacidade do Canadá, Wajam teve “centenas de milhões de instalações” e recolhidos 400TB de informações privadas de usuários, segundo o relatório.
Wajam existe desde 2013. No passado, foi anunciado como um navegador de busca social add-on que permite aos usuários encontrar as informações que tem sido pesquisado on-line ou compartilhados por seus amigos em plataformas sociais como Twitter e Facebook. Como este é um plug-in ad-suportado, Wajam é conhecido por exibir vários anúncios publicitários que alguns usuários acham muito chato. O que transforma Wajam em uma aplicação potencialmente indesejado é o risco de várias infecções envolvidos com o pop-up, anúncios banner e de texto em, o que pode levar o utilizador a páginas não confirmados e inseguras.
Em outras palavras, Wajam tem sido conhecido por anúncios injetar tráfego do navegador, usando técnicas que os operadores de malware usam, tais como man-in-the-browser (injeção processo do navegador) ataques vistos em operações Zeus. Outros exemplos incluem técnicas de evasão anti-análise e, desclassificação e dados política de segurança vazamento. Leia mais sobre a investigação Wajam.
Como funciona o esquema de pagamento por instalação? Conforme apontado por Kevin Stevens em um relatório, Pesquisador de segurança da SecureWorks Counter Threat Unit, o modelo de negócios Pay-Per-Install existe há muitos anos. Quando começou, foi usado principalmente para distribuir anúncios, Considerando que hoje é usado principalmente para entregar ameaças de spyware e malware.
O negócio é iniciado por uma afiliada interessada em criar uma rede de computadores infectados. O referido afiliado então se inscreve em um site PPI e recebe um arquivo do provedor PPI, que originalmente costumava ser uma variante de um programa de adware. Então, o afiliado agrupa o arquivo fornecido pelo PPI com outro programa que pode ser hospedado em seu site. Isso também é conhecido como um programa de fichário que pode combinar o adware fornecido pelo site PPI com um programa conhecido. O objetivo final é a vítima baixar o programa e obter o adware instalado em seu computador. Quando isso acontece, o referido afiliado é pago por instalação.
Se você tiver baixado software, principalmente gratuito, você definitivamente experimentou adware, ou o inesperado, anúncios intrusivos pop-up que saem sem ser convidado em sua tela. PUPs são irritantes e isso é um fato ninguém pode negar, especialmente quando há uma pesquisa específica para ilustrar ainda mais os danos potenciais desses programas. De acordo com esta pesquisa específica, estamos prestes a engolfar, o software indesejado faz parte de uma indústria global altamente lucrativa, protegido por camadas de negação. Não admira que o negócio de pacotes seja tão bem sucedido!
A pesquisa de que estamos falando é descrita em um artigo, “Investigando o pagamento por instalação comercial e a distribuição de software indesejado“, e é realizado por pesquisadores do Google, Universidade de Nova York, Instituto Internacional de Ciência da Computação. pesquisadores “explore o ecossistema do pagamento por instalação comercial (PPI) e o papel que desempenha na proliferação de software indesejado“.
O que é pagamento por instalação comercial (PPI)?
Os desenvolvedores dessas famílias pagam $ 0,10– $ 1,50 por instalação - custos iniciais que eles recuperam monetizando os usuários sem o seu consentimento ou cobrando taxas de assinatura exorbitantes. Com base na telemetria do Google Safe Browsing, estimamos que as redes PPI passam por cima 60 milhões de tentativas de download todas as semanas - quase três vezes mais que o malware. Embora o antivírus e os navegadores tenham implementado defesas para proteger os usuários de softwares indesejados, encontramos evidências de que as redes PPI interferem ativamente ou evitam a detecção.
Como você pode ver, há uma forte conexão entre as práticas de pagamento por instalação e a disseminação de aplicativos indesejados. Os pesquisadores da Symantec apelidaram anteriormente de pagamento por instalação “a nova rede de distribuição de malware“, salientando-se no fato de que no malwares passado previsível (gostar vermes) foi auto-propagação com a ajuda de vulnerabilidades do lado do servidor. Os resultados da pesquisa também mostram as práticas enganosas de alguns operadores comerciais de PPI que atualmente perseveram, e provavelmente continuará a fazê-lo no futuro.
Mais tarde, o foco do ataque mudou para ataques do lado do cliente e técnicas de engenharia social (gostar phishing). Nestes ataques, a interação do usuário é necessária - a vítima potencial precisa visitar um site comprometido, abra um anexo de e-mail, etc. Mesmo que essas técnicas definitivamente dêem resultados, eles não irão propagar malware ou software indesejado em uma escala maior.
É assim que o modelo de distribuição pay-per-install entra no mercado. O fato de ser uma área cinzenta torna as coisas muito complicadas de lidar.
O modelo de distribuição pay-per-install é baseado na divisão da receita e comissão. Os autores de malware não têm recursos ou largura de banda para espalhar seu malware em grande escala. Em vez disso, eles contam com uma rede de afiliados, quem distribui o malware, e em troca receba uma comissão por cada instalação. [via relatório da Symantec]
Escusado será dizer, PPI comercial é um esquema de monetização muito eficaz, onde programas de terceiros são agrupados com software legítimo. Além do software, o usuário inicialmente queria instalar, ele também receberá um bônus - um pedaço de código indesejado que afetará o desempenho de seu sistema. O pior cenário aqui é pegar um malware desagradável. O melhor cenário é o aparecimento repentino de anúncios ou avisos pop-up sobre uma ameaça detectada (o conhecido suporte técnico, AV desonestos e golpes de scareware).
Contudo, esses anúncios e pop-ups podem mais tarde vincular a um site comprometido carregado com exploits, que geralmente termina com a distribuição de ransomware. Ou informações confidenciais podem ser coletadas dos usuários, que pode mais tarde ser explorado em novos ataques, ou pode ser vendido no mercado negro. Portanto, qualquer cenário é ruim o suficiente para você querer evitá-lo!
Durante sua pesquisa, os especialistas do Google, Universidade de Nova York, e o Instituto Internacional de Ciência da Computação focado em quatro afiliados PPI (Amonetize, InstallMonetizer, OpenCandy, e Outbrowse) e pacotes de software baixados regularmente para várias análises. O que mais os surpreendeu foi até que ponto os downloads são personalizados para maximizar as chances de sua carga útil ser entregue.
Quais são as campanhas PPI de execução mais longa?
Injetores de anúncios
Os injetores de anúncios são projetados para modificar a experiência de navegação de um usuário e substituir ou inserir anúncios adicionais que, de outra forma, não apareceriam em um site. Observou-se que a maioria das redes PPI participam da distribuição de injetores de anúncios.
Hijackers de configurações do navegador
Essas são ameaças projetadas para alterar especificamente as configurações do navegador de forma persistente e difícil de remover.
Utilidades do sistema
Isso inclui abordagens de scareware projetadas para assustar a vítima e faze-la comprar um produto nocivo. Esta categoria inclui vários utilitários de aumento de velocidade e produtos de segurança desonestos.
Por que o usuário médio deve se preocupar com a indústria de PPI
Você sabia que as redes PPI geralmente oferecem aos anunciantes a opção de verificar se um mecanismo antivírus está presente no sistema antes de mostrar a oferta do anunciante? Sorrateiro, direito? Esta pré-verificação é baseada em uma lista negra de chaves de registro, caminhos de arquivo, e sequências de registro especificadas pelo anunciante específico. Os pesquisadores fizeram uma lista de 58 tokens antivírus comuns que aparecem em uma amostra aleatória de requisitos de pré-verificação, junto com os nomes das empresas antivírus que participam do VirusTotal.
Então, eles verificaram todos os requisitos de instalação de oferta para esses tokens. O que eles concluíram com base em seu conjunto de dados é que 20% aproveite as vantagens dos recursos de download de PPI que evitam que as instalações aconteçam em sistemas equipados com uma solução AV. Quando uma verificação AV está presente, os anunciantes visam uma média de 3.6 Famílias AV. O que os pesquisadores acreditam é que as redes PPI apóiam os desenvolvedores de software indesejados como parceiros de negócios de primeira classe.
O que pode ser feito para neutralizar os danos das campanhas PPI?
Em poucas palavras, o estudo revela que as redes de afiliados PPI apóiam e espalham softwares indesejados, como:
- injetores de anúncios
- Sequestradores de configurações do navegador
- Utilidades do sistema
Um método que os usuários costumam usar para limpar seus navegadores é o Ferramenta de limpeza do Chrome. Antes de precisar usar tal ferramenta, você pode querer considerar um serviço como Navegação segura do Google. O serviço permite que aplicativos cliente verifiquem URLs em relação às listas frequentemente atualizadas do Google de recursos da web não seguros. (Dicas de segurança adicionais estão disponíveis abaixo do artigo).
As instalações indesejadas são definitivamente mais do que imagináveis - no total, o ecossistema PPI contribuiu para mais 60 milhões de tentativas de download semanais. O sucesso se deve em parte ao fato de que as redes comerciais PPI evoluem de acordo com o mercado AV.
Mesmo que muitas soluções AV e navegadores tenham começado a integrar assinaturas de software indesejado, as redes continuamente tentam escapar dessas proteções. Contudo, o único fato de um anunciante interromper uma instalação quando um antivírus está presente em um sistema fala muito. Nunca subestime o poder do seu programa antivírus! E mantenha seu bloqueador de anúncios!
Dicas de segurança adicionais contra software e malware indesejados
- Use proteção de firewall adicional. A descarga de um segundo firewall é uma excelente solução para quaisquer potenciais intrusões.
- Seus programas devem ter menos poder administrativo sobre o que lêem e escrevem em seu computador. Torná-los pedir-lhe acesso de administrador antes de iniciar.
- Use senhas fortes. senhas fortes (de preferência aqueles que não são palavras) são mais difíceis de rachadura por vários métodos, incluindo força bruta, uma vez que inclui listas de passagem com palavras relevantes.
- Desligue o AutoPlay. Isso protege o seu computador de arquivos executáveis maliciosos no pen drives ou outros transportadores de memória externos que são imediatamente inseridos nele.
- Compartilhamento de arquivos Disable - recomendado se você precisar de compartilhamento de arquivos entre o seu computador com senha protegê-lo para restringir a ameaça apenas para si mesmo se infectado.
- Desligue quaisquer serviços remotos - isso pode ser devastador para redes empresariais, uma vez que pode causar uma série de danos em grande escala.
- Considere desativar ou remover o Adobe Flash Player (dependendo do navegador).
- Configurar o servidor de correio para bloquear e apagar anexos de arquivo suspeito contendo e-mails.
- Nunca perca uma atualização para o seu sistema operacional e software.
- Desligue as portas infravermelhas ou Bluetooth.
- Se você tem um computador infectado na sua rede, certifique-se de isolar-lo imediatamente por desligá-la e desconectá-lo manualmente a partir da rede.
- Empregar uma poderosa solução anti-malware para se proteger de eventuais ameaças futuras automaticamente.