Entre março e agosto, a Kaspersky Security Network (KSN – sistema de proteção híbrida na nuvem para ameaças emergentes) registrou mais de dois milhões de ataques de  exploração de vulnerabilidades em softwares legítimos.  De acordo com os especialistas, esses ataques acontecem não apenas pela descoberta de vulnerabilidades -nos últimos 12 meses, foram detectados mais de 161 no JRE – Java Runtime Environment -, mas também em função do comportamento do usuário.

“Hoje, se um cibercriminoso quer infectar os computadores, por exemplo, com a modificação do Trojan ZeuS, tudo o que ele precisa fazer é comprar um pacote de exploração pré-preparado, configurá-lo e atrair o maior número de vítimas em potencial para a sua página de destino. O problema do BlackHole é que ele permanece relevante, apesar de já existirem estudos sobre o mecanismo de infecção e soluções abrangentes oferecidos por empresas de segurança. No caso do Java, o fabricante do software é bastante rápido em corrigir as vulnerabilidades recém-detectadas. No entanto, os usuários finais normalmente não se apressam para baixar e instalar as atualizações”, disse Vyacheslav Zakorzhevsky, chefe do Grupo de Pesquisa em Vulnerabilidade na Kaspersky Labs.

Até agora, esses pacotes de exploração deram aos cibercriminosos um meio extremamente confiável ​​de infectar computadores sem nenhum sistema de segurança instalado nas máquinas e com, pelo menos, um software popular com uma vulnerabilidade não corrigida instalado no sistema. Não é nenhuma surpresa que as infecções através de blocos de exploração são um método popular entre os cibercriminosos: é extremamente difícil para um usuário desprotegido detectá-las.

O processo começa com o redirecionamento do usuário para a página de destino do exploit. Os cibercriminosos utilizam uma grande variedade de métodos para fazer isso, incluindo mensagens de spam com links para os sites falsos. No entanto, o caso mais perigoso é quando os sites verdadeiros são comprometidos, e códigos de script ou iframes são injetados neles.

Nesses casos, é o suficiente para um usuário que visita a página ser vítima de um ataque drive-by download, onde um pacote de exploit será executado e poderá infectar sua máquina clandestinamente. O uso das vulnerabilidade do Java em golpes usando sites populares vem sendo constantementes usados no Brasil em setembro desde 2010 e eles são eficazes ainda hoje.

A única maneira infalível de evitar um ataque é assegurar que nenhum software desatualizado, utilizado pelo pacote de exploração esteja instalado no computador. Assim que um usuário visita a página de destino, os cibercriminosos recuperam informações do dispositivo da vítima, incluindo a versão do sistema operacional, navegador web e todos os plugins instalados. Se os cibercriminosos perceberem que o sistema está vulnerável, então os exploits apropriados são selecionados para realizar o ataque ao computador em questão.

Fonte: Convergência Digital