Crônica
De acordo com um relatório divulgado pelo editor de notícias de segurança do BleepingComputer, Catalin Cimpanu, aproximadamente 75 por cento de todas as amostras de malware que são enviadas para scanners não distributivos não são compartilhadas com multi-scanners posteriormente. O VirusTotal, a varredura de malware da Jotti e outros sites semelhantes enviam informações sobre os arquivos verificados de volta aos laboratórios da infosec, que as usam para realizar pesquisas adicionais sobre infecções maliciosas.
No entanto, esse tipo de compartilhamento de dados pode levantar algumas bandeiras vermelhas potenciais relacionadas a questões de privacidade. Muitas pessoas, principalmente aquelas com documentos confidenciais, prefeririam não compartilhar essas informações com empresas de segurança. Isso é especialmente verdadeiro para aqueles que estão usando a Internet para fins maliciosos, pois não desejam divulgar o que fizeram com suas conexões.
Além disso, os scanners de não distribuição não fornecem qualquer tipo de API para estranhos. Como resultado, os laboratórios de pesquisa de segurança não se beneficiam dos arquivos carregados para esses scanners. Em média, parece que eles recebem muito menos dados do que se acreditava originalmente.
A Recorded Future, uma empresa de segurança com sede nos Estados Unidos, afirma que isso significa que uma porção de malware permanece desconhecida para aqueles que escrevem o código para o software de digitalização. Muitos produtos antivírus serão capazes de, eventualmente, detectar essas vulnerabilidades apesar desse fato, mas isso diminui muito o tempo necessário para detectar novas infecções.
Pelo que os especialistas em segurança podem dizer, cerca de 45 por cento da pequena quantidade de amostras que são carregadas para grandes players como o VirusTotal foram originalmente vistas por um scanner sem distribuição. Alguns chegaram a sugerir que os autores de malware estão aprendendo a não fazer upload de amostras de seus próprios trabalhos no VirusTotal e em outros sites semelhantes, para que não sejam descobertos muito cedo.
Os desenvolvedores de software mal-intencionado precisam executar verificações de antivírus em seu próprio código, no entanto, para garantir que a tecnologia heurística não possa sinalizá-lo imediatamente. Eles podem estar enviando amostras para scanners não distribuídos, a fim de evitar que qualquer parte do código seja retransmitida para um laboratório.
No entanto, as preocupações com a privacidade levantadas entre usuários legítimos podem significar que algumas mudanças ocorrerão na indústria que podem, pelo menos, ajudar a aumentar a quantidade de malware carregado em scanners tradicionais, ao mesmo tempo em que ameniza esses problemas.
Tag infosec segurança na web
