O que é o malware?
Saiba mais sobre o malware, como funciona e como se pode proteger a si e à sua empresa contra este tipo de ciberataque.
O malware definido
O termo malware descreve código ou aplicações maliciosas que causam danos ou perturbam a utilização normal de dispositivos de pontos finais . Quando um dispositivo é infetado com malware, pode deparar-se com acesso não autorizado, dados comprometidos ou ter o seu acesso ao dispositivo bloqueado até ter pago um resgate.
As pessoas que distribuem o malware, conhecidas como cibercriminosos, são motivadas por dinheiro e utilizam dispositivos infetados para iniciar ataques, como para obter credenciais bancárias, recolher informações pessoais que possam ser vendidas, vender o acesso a recursos de computação ou extorquir informações de pagamento às vítimas.
Como é que o malware funciona?
O malware funciona através de métodos enganosos para dificultar a utilização normal de um dispositivo. Assim que um cibercriminoso tiver ganho acesso ao seu dispositivo através de uma ou mais técnicas diferentes – como um e-mail de phishing, ficheiro infetado, vulnerabilidade do software ou do sistema, pen USB infetada ou site malicioso – tira partido da situação ao lançar ataques adicionais, obter credenciais de conta, recolher informações pessoais para vender, vender o acesso a recursos de computação ou extorquir pagamentos a vítimas.
Qualquer pessoa pode ser vítima de um ataque de malware. Embora algumas pessoas possam saber como identificar certas formas pelas quais os atacantes tentam atacar vítimas com malware – por exemplo, saber identificar um e-mail de phishing – os cibercriminosos são sofisticados e desenvolvem os respetivos métodos constantemente de forma a acompanharem a tecnologia e as melhorias de segurança. Além disso, os ataques de malware têm uma aparência e funcionamento diferentes consoante o tipo de malware. Por exemplo, alguém que seja vítima de um ataque de rootkit pode nem se aperceber disso porque este tipo de malware foi concebido para passar despercebido e manter-se dessa forma enquanto for possível.
Seguem-se alguns métodos que os cibercriminosos utilizam para tentar implementar malware em dispositivos.
Tipos de malware
O malware apresenta-se sob várias formas. Seguem-se alguns tipos comuns.
Phishing
Um ataque de phishing faz-se passar por uma fonte credível para roubar informações confidenciais através de e-mails, sites, mensagens de texto ou outras formas de comunicação eletrónica. Estes ataques fornecem um mecanismo de entrega de malware. Os ataques comuns roubam nomes de utilizador, palavras-passe, informações de cartões de crédito e informações bancárias. Estes tipos de ataques de malware podem levar ao roubo de identidade ou de dinheiro diretamente a partir da conta bancária ou do cartão de crédito pessoal de alguém.
Por exemplo, um cibercriminoso pode fazer-se passar por um banco bastante conhecido e enviar um e-mail a alertar alguém de que a sua conta foi bloqueada devido a atividade suspeita e instigá-lo a clicar numa ligação no e-mail para resolver o problema. Assim que o utilizador clica na ligação, o malware é instalado.
Spyware
O spyware funciona ao instalar-se num dispositivo sem o consentimento de alguém ou sem fornecer um aviso adequado. Depois de instalado, pode monitorizar comportamentos online, recolher informação confidencial, alterar definições do dispositivo e diminuir o desempenho do dispositivo.
Adware
Assim como o Spyware, o Adware instala-se num dispositivo sem consentimento do utilizador. No entanto, no caso do adware, o foco está na apresentação de publicidade agressiva, normalmente na forma de pop-up, para fazer dinheiro a partir de cliques. Estes anúncios diminuem frequentemente o desempenho de um dispositivo. Alguns tipos de adware mais perigosos também podem instalar software adicional, alterar definições do browser e tornar um dispositivo vulnerável a outros ataques de malware.
Vírus
Os vírus são concebidos para interferir com o funcionamento normal de um dispositivo através da gravação, corrupção ou eliminação dos dados. Normalmente, difundem-se para outros dispositivos ao induzir as pessoas a abrirem ficheiros maliciosos.
Exploits e kits de exploit
Os exploits utilizam vulnerabilidades no software para contornar as proteções de segurança de um computador de forma a infetar um dispositivo. Os hackers maliciosos procuram sistemas desatualizados que contenham vulnerabilidades críticas e, em seguida, exploram-nos através da implementação de malware. Ao incluir código de shell num exploit, os cibercriminosos podem transferir mais malware capaz de infetar dispositivos e se infiltrar em organizações.
Os kits de exploit contêm uma coleção de exploits que procuram diferentes tipos de vulnerabilidades de software. Se for detetada alguma, os kits implementam malware adicional. O software que pode ser infetado inclui o Adobe Flash Player, Adobe Reader, browsers, Oracle Java e Sun Java. Angler/Axpergle, Neutrino e Nuclear são alguns tipos de kits de exploit comuns.
Normalmente, os exploits e kits de exploit dependem de sites maliciosos ou de anexos de e-mail para entrar numa rede ou dispositivo. No entanto, por vezes, também se escondem em anúncios em sites legítimos sem o conhecimento do próprio site.
Malware sem ficheiros
Este tipo de ciberataque refere-se, de modo geral, ao malware que não depende de ficheiros, como um anexo de e-mail infetado, para entrar numa rede. Por exemplo, pode chegar através de pacotes de rede maliciosos que exploram uma vulnerabilidade e, em seguida, instalar malware que só vive na memória de kernel. As ameaças sem ficheiros são especialmente difíceis de encontrar e remover porque a maioria dos programas antivírus não é concebida para analisar firmware.
Malware de macro
Já deve conhecer os macros, que são formas de automatizar rapidamente tarefas comuns. O malware de macro tira partido desta funcionalidade ao infetar anexos de e-mail e ficheiros ZIP. Para levar as pessoas a abrirem os ficheiros, os cibercriminosos normalmente escondem o malware em ficheiros disfarçados como faturas, recibos e documentos legais.
Anteriormente, o malware de macro era mais comum porque os macros eram executados automaticamente assim que um documento era aberto. No entanto, nas versões recentes do Microsoft Office, os macros estão desativados por predefinição, o que significa que os cibercriminosos que infetam dispositivos desta forma têm de convencer os utilizadores a ativar os macros primeiramente.
Ransomware
O ransomware é um tipo de malware que ameaça uma vítima ao destruir ou bloquear o acesso a dados ou sistemas críticos até que um resgate seja pago. Os ataques de ransomware operados por humanos são feitos a uma organização através de configurações comuns de segurança e de sistema incorretas que infiltram a organização, navegam na respetiva rede empresarial e se adaptam ao ambiente e a quaisquer fraquezas. Um método comum de ganhar acesso à rede de uma organização para fornecer ransomware é através do roubo de credenciais, em que um cibercriminoso poderia roubar as credenciais de um colaborador real para se fazer passar por ele e ganhar acesso às respetivas contas.
Os atacantes que utilizam ransomware operado por humanos têm como alvo organizações grandes porque estas podem pagar um resgate superior em comparação com os utilizadores individuais – normalmente muitos milhões de dólares. Visto que há muito em jogo quando se trata de uma falha de segurança desta escala, muitas organizações decidem pagar o resgate em vez de arriscarem a fuga dos respetivos dados confidenciais ou a ocorrência de mais ataques por parte dos cibercriminosos, mesmo que o pagamento não garanta a prevenção de nenhuma destas ocorrências.
À medida que os ataques de ransomware operados por humanos aumentam, os criminosos responsáveis por estes ataques tornam-se mais organizados. Na realidade, muitas operações de ransomware utilizam atualmente um Ransomware como Modelo de serviço, o que significa que um conjunto de programadores criminosos cria o próprio ransomware e, em seguida, contrata outros afiliados cibercriminosos para aceder de modo ilícito à rede de uma organização e instalar o ransomware, dividindo assim os lucros entre os dois grupos de acordo com uma taxa acordada.
Rootkits
Quando um cibercriminoso utiliza um rootkit, esconde malware num dispositivo enquanto for possível, por vezes durante anos, para poder roubar informações e recursos de forma contínua. Ao intercetar e alterar os processos standard do sistema operativo, um rootkit pode alterar a informação que o dispositivo comunica em relação a si próprio. Por exemplo, um dispositivo infetado com um rootkit pode não apresentar uma lista precisa dos programas em execução. Além disso, os rootkits podem fornecer privilégios de dispositivo administrativos ou elevados a cibercriminosos, para que ganhem o controlo completo de um dispositivo e possam realizar ações potencialmente maliciosas, como roubar dados, espiar a vítima e instalar malware adicional.
Ataques à cadeia de fornecimento
Este tipo de malware tem como alvo fornecedores e programadores de software ao aceder aos códigos fonte, criar processos ou atualizar mecanismos em aplicações legítimas. Assim que um cibercriminoso encontra um protocolo de rede não seguro, uma infraestrutura de servidor desprotegida ou uma prática de programação pouco segura, este força a entrada, altera os códigos fonte e esconde malware nos processos de criação e atualização.
Fraudes de suporte técnico
Reconhecidas como problema geral da indústria, as fraudes de suporte técnico utilizam a tática do medo para levar os utilizadores a pagarem serviços desnecessários de suporte técnico, que podem ser anunciados como a solução para um problema falsificado relacionado com um dispositivo, uma plataforma ou software. Com este tipo de malware, um cibercriminoso pode ligar para alguém diretamente e fingir ser um colaborador de uma empresa de software. Assim que tiverem ganho a confiança de alguém, os atacantes normalmente instigam as potenciais vítimas a instalarem aplicações ou darem acesso remoto aos seus dispositivos.
Trojans
Os trojans dependem da transferência inadvertida de um utilizador por parecerem ser aplicações ou ficheiros legítimos. Depois de transferidos, podem:
- Transferir e instalar malware adicional, como vírus ou worms.
- Utilizar o dispositivo infetado para fraude de clique.
- Registar os batimentos de tecla e os sites que visita.
- Enviar informações (por exemplo, palavras-passe, detalhes de início de sessão e o histórico de navegação) sobre o dispositivo infetado a um hacker malicioso.
- Dar o controlo de um dispositivo infetado a um cibercriminoso.
Software indesejado
Quando um dispositivo tem software indesejado, o utilizador pode deparar-se com uma experiência modificada de navegação na Web, controlo alterado de transferências e instalações, mensagens enganadoras e alterações não autorizadas a definições do dispositivo. Algum software indesejado está integrado em software que as pessoas pretendem transferir.
Worms
Encontrados maioritariamente em anexos de e-mail, mensagens de texto, programas de partilha de ficheiros, sites de redes sociais, partilhas de rede e unidades amovíveis, os worms difundem-se numa rede ao explorarem vulnerabilidades de segurança e copiarem-se a si próprios. Consoante o tipo de worm, o mesmo pode roubar informações confidenciais, alterar as suas definições de segurança ou impedi-lo de aceder a ficheiros.
Mineiros de criptomoedas
Com o aumento da popularidade das criptomoedas, os mineiros de criptomoedas tornaram-se uma prática lucrativa. Os mineiros de criptomoedas utilizam os recursos de computação para procurar criptomoedas. As infeções por este tipo de malware começam normalmente com o anexo de um e-mail que tenta instalar malware ou um site que utiliza as vulnerabilidades de browsers ou tira partido do poder de processamento dos computadores para adicionar malware a dispositivos.
Ao utilizar cálculos matemáticos complexos, os mineiros de criptomoedas mantêm o livro razão do blockchain para roubar recursos de computação que permitem ao mineiro criar novas moedas. Contudo, a mineração de criptomoedas requer um poder significativo de processamento de computadores para roubar quantidades relativamente pequenas de criptomoedas. Por este motivo, os cibercriminosos normalmente trabalham em equipa para maximizar e dividir os lucros.
No entanto, nem todos os mineiros de criptomoedas são criminosos. Ocasionalmente, os utilizadores individuais e as organizações compram hardware e equipamento eletrónico para a mineração legítima de criptomoedas. O ato torna-se criminoso quando um cibercriminoso infiltra uma rede empresarial sem o conhecimento desta para utilizar o respetivo poder de computação para a mineração.
Proteção contra malware
Embora qualquer pessoa possa tornar-se vítima de um ataque de malware, há muitas formas de impedir que um ataque aconteça.
Instale um programa antivírus
A melhor forma de proteção é a prevenção. As organizações podem bloquear ou detetar muitos ataques de malware com uma solução de segurança ou um serviço antimalware de confiança, como o Microsoft Defender para Endpoint ou o Antivírus do Windows Defender. Quando utiliza um programa como estes, o seu dispositivo primeiro analisa quaisquer ficheiros ou ligações que tenta abrir para ajudar a garantir que são seguros. Se um ficheiro ou site for malicioso, o programa irá alertá-lo e sugerir que não o abra. Estes programas também podem remover malware de um dispositivo que já esteja infetado.
Implemente proteções avançadas de e-mail e de pontos finais
Ajude a impedir ataques de malware com o Microsoft Defender para Office 365, que analisa ligações e anexos em e-mails e ferramentas de colaboração, como o SharePoint, OneDrive e Microsoft Teams. Como parte do Microsoft Defender XDR, o Defender para Office 365 disponibiliza funcionalidades de deteção e resposta para eliminar a ameaça de ataques de malware.
Também como parte do Microsoft Defender XDR, o Microsoft Defender para Endpoint utiliza sensores comportamentais de pontos finais, análise de segurança na nuvem e informações sobre ameaças para ajudar as organizações a impedir, detetar, investigar e responder a ameaças avançadas.
Realize formações regularmente
Mantenha os colaboradores informados sobre como reconhecer sinais de phishing e outros tipos de ciberataques através de formações regulares. Isto irá ensinar-lhes práticas de trabalho mais seguras e ainda a forma como podem manter-se em segurança quando utilizam os respetivos dispositivos pessoais. As ferramentas de simulação e formação, como a formação em simulação de ataques no Defender para Office 365, ajudam a simular ameaças no mundo real no seu ambiente e atribuem formações aos seus utilizadores finais com base nos resultados da simulação.
Tire partido das cópias de segurança na nuvem
Quando move os seus dados para um serviço baseado na nuvem, poderá fazer a cópia de segurança dos dados facilmente para uma manutenção mais segura. Se os seus dados alguma vez forem comprometidos por malware, estes serviços ajudam a garantir que a recuperação é imediata e abrangente.
Adote um modelo Confiança Zero
Um modelo Confiança Zero avalia todos os dispositivos e utilizadores em relação aos riscos antes de permitir que acedam a aplicações, ficheiros, bases de dados e outros dispositivos, o que diminui a probabilidade de um dispositivo ou identidade maliciosa conseguir aceder aos recursos e instalar malware. Por exemplo, foi provado que a implementação da autenticação multifator, uma componente do modelo Confiança Zero, reduz a eficácia de ataques de identidade até mais de 99%. Para avaliar a fase de maturidade do modelo Confiança Zero implementado na sua organização, realize a nossa Avaliação de Maturidade do Modelo Confiança Zero.
Adira a um grupo de partilha de informações
Os grupos de partilha de informações, muitas vezes organizados por indústria ou localização geográfica, promovem o trabalho em conjunto de organizações estruturadas de forma semelhante com o intuito de encontrar soluções de cibersegurança . Os grupos também oferecem benefícios diferentes às organizações, como a resposta a incidentes e serviços de análise forense digital, notícias sobre as ameaças mais recentes e a monitorização de domínios e intervalos IP públicos.
Mantenha cópias de segurança offline
Visto que algum malware irá tentar localizar e eliminar quaisquer cópias de segurança online que possa ter, é uma boa ideia manter uma cópia de segurança offline atualizada de dados confidenciais que teste regularmente para garantir que pode ser restaurada caso o sistema seja alvo de um ataque de malware.
Mantenha o software atualizado
Além de manter todas as soluções de antivírus atualizadas (considere escolher atualizações automáticas), certifique-se de que transfere e instala todas as outras atualizações do sistema e patches de software assim que estiverem disponíveis. Isto ajuda a minimizar quaisquer vulnerabilidades de segurança de que um cibercriminoso se possa aproveitar para ganhar acesso à sua rede ou dispositivos.
Crie um plano de resposta a incidentes
Tal como ter um plano de emergência em vigor para sair de casa em caso de incêndio lhe confere maior segurança e preparação, criar um plano de resposta a incidentes para o que fazer se for alvo de um ataque de malware irá fornecer-lhe passos acionáveis para tomar em diferentes cenários de ataque, para que possa regressar à normalidade e segurança o quanto antes.
Como detetar e remover malware
O malware nem sempre é facilmente detetável, especialmente no caso de malware sem ficheiros. Recomenda-se que as organizações e pessoas vigiem o aumento de anúncios de pop-up, redirecionamentos de browser, publicações suspeitas em contas de redes sociais e mensagens sobre contas comprometidas ou segurança do dispositivo. As alterações no desempenho de um dispositivo, como uma execução muito mais lenta, também podem ser motivos de preocupação.
Felizmente, tem opções de deteção e remoção se estiver preocupado com a possibilidade de se ter tornado uma vítima de um ataque de malware. Em primeiro lugar, tire partido de produtos de antivírus, como o que o Windows oferece nativamente para procurar malware. Assim que tiver instalado um programa antivírus, execute uma análise ao dispositivo para procurar quaisquer programas ou código maliciosos. Se o programa detetar malware, irá listar o tipo e fornecer recomendações para a respetiva remoção. Após a remoção, certifique-se de que mantém o software atualizado e em execução para impedir ataques futuros.
Para ataques mais sofisticados contra organizações que os programas antivírus não conseguem detetar e bloquear, as ferramentas Gestão de Informações e Eventos de Segurança (SIEM) e Deteção e Resposta Alargada (XDR) fornecem métodos de segurança de pontos finais baseados na nuvem aos profissionais de segurança que ajudam a detetar e a responder a ataques em dispositivos de pontos finais. Como estes tipos de ataques são multifacetados, com os cibercriminosos a escolherem como alvo mais do que apenas o controlo de dispositivos, a SIEM e a XDR ajudam as organizações a verem a perspetiva geral do ataque em todos os domínios, incluindo dispositivos, e-mails e aplicações.
Começar a utilizar as ferramentas SIEM & XDR , como o Microsoft Sentinel, Microsoft Defender XDR, e Microsoft Defender para a Cloud, é um ótimo ponto de partida para aplicar funcionalidades de antivírus. Os profissionais de segurança devem garantir que as definições do dispositivo estão sempre atualizadas para corresponder às recomendações mais recentes, de forma a ajudar a impedir ameaças de malware.
Saiba mais sobre o Microsoft Security
Microsoft Sentinel
Detete ameaças sofisticadas e responda de forma decisiva com uma solução SIEM intuitiva e competente, com tecnologia da nuvem e IA.
Microsoft Defender XDR
Impeça ataques entre domínios com a visibilidade expandida e a IA inigualável de uma solução de XDR unificada.
Microsoft Defender para a Cloud
Fortaleça a segurança na nuvem e monitorize e proteja cargas de trabalho em ambientes multicloud.
Microsoft Defender para Office 365
Ajude a salvaguardar a sua organização de ameaças associadas a e-mails, ligações e ferramentas de colaboração.
Relatório de Defesa Digital da Microsoft
Familiarize-se com o panorama atual de ameaças e saiba como criar um sistema de defesa digital.
Perguntas mais frequentes
-
Infelizmente, qualquer pessoa pode ser vítima de um ataque de malware. Os cibercriminosos tornaram-se cada vez mais sofisticados na imitação de e-mails e outras formas de comunicação de organizações com as quais já tem negócios, como o seu banco. Outros tipos de malware são ainda mais discretos e podem estar escondidos em software que pretende transferir.
Entretanto, investir em soluções proativas, como os serviços de proteção contra ameaças, é uma forma viável de impedir que o ransomware infete a sua rede ou dispositivos. Desta forma, as pessoas e organizações com programas de antivírus e outros protocolos de segurança em vigor, como um modelo de Confiança Zero, antes da ocorrência de um ataque, têm menor probabilidade de serem vítimas de um ataque de malware.
-
Os ataques de malware podem ocorrer através de diferentes formas. Poderá clicar numa ligação maliciosa, abrir um anexo de e-mail infetado ou não fazer absolutamente nada: alguns ataques aproveitam-se de vulnerabilidades de segurança do dispositivo quando não efetuou qualquer ação.
-
Os ataques de malware podem ser devastadores, como ser a vítima do roubo de identidade ou de dinheiro, ou menos sérios, mas ainda assim intrusivos, como a apresentação de anúncios indesejados no seu dispositivo.
-
Os programas antivírus são um tipo de software que o protegem ativamente e removem malware no seu dispositivo. Quando tem um serviço de antivírus instalado, irá receber uma notificação antes de aceder a uma ligação ou ficheiro comprometido a avisar que este é potencialmente perigoso.
-
A melhor forma de impedir os ataques de malware é através da transferência e instalação de um programa antivírus, que irá monitorizar as ações e atividade do seu dispositivo e sinalizar quaisquer ficheiros, ligações ou programas suspeitos antes de se tornarem um problema.
Siga o Microsoft Security