Topo

Engenharia do mal: como vírus invadem seu computador e roubam dinheiro

Você já parou para pensar como os vírus que afetam sua máquina funcionam? - Kacper Pempel/Reuters
Você já parou para pensar como os vírus que afetam sua máquina funcionam? Imagem: Kacper Pempel/Reuters

Gabriel Francisco Ribeiro

Do UOL, em São Paulo

06/06/2019 04h00

Os populares "vírus" de computador -- que devem na verdade ser chamados de malware --são o temor de qualquer pessoa conectada. É a possibilidade de ser infectado por um deles que faz a gente ter cuidado redobrado com o que acessamos e clicamos. Mas você já parou para pensar em como funciona a tecnologia por trás desses malditos ataques?

A engenhoca por trás de qualquer malware são páginas e mais páginas de códigos escritos por alguma mente do mal. Um arquivo que infecta o computador, por sinal, não difere muito de um software ou programa do bem que você use por aí --daí vem o nome malware, em paralelo ao software.

Tudo o que está por trás do malware é uma programação que também é usada para criar programas e aplicativos "do bem". Basta que alguém interessado em praticar crimes tenha os conhecimentos necessários em programação para criar um código que infecte máquinas --de fato, hoje em dia é até mais fácil simplesmente comprar um malware do que fazer.

Um vírus de computador é um software programado por alguém. Alguém foi lá, usou uma plataforma de programação e escreveu o código, são os chamados coders. Alguém pensou na lógica do malware e adicionou funções maliciosas dentro desses códigos
Fábio Assolini, analista sênior da Kaspersky, empresa especializada em segurança digital

Sobrevivência e persistência

Para atingir os objetivos buscados pelo criador do código malicioso, os malwares contam com alguns truques específicos que os diferem dos programas de computador normais. Isso serve a dois propósitos: evitar que sejam detectados e que sejam interrompidos pelos usuários.

O analista da Kaspersky cita três truques comuns usados por criminosos:

  • Sobrevivência ao reboot: um malware tem códigos para sobreviver ao ato de desligar e ligar o aparelho. Isso visa garantir que ele sempre seja iniciado junto ao sistema, da mesma forma que um mouse ou um programa começa a funcionar quando você liga a máquina. Para fazer isso, ele vai buscar um dos 40 pontos de inicialização do Windows, por exemplo;
  • Ganhar persistência: dependendo do ponto de inicialização que for escolhido, o malware ganhará persistência para não ser interrompido facilmente. Se o usuário encontrar um malware e tentar deletá-lo, o arquivo não vai ser apagado porque esta sendo usado pelo computador e carregado na memória. Para resumir: o sistema operacional inicia o malware e, enquanto a execução não for parada, você não consegue tirá-lo do disco;
  • Não dá para deletar: outro ponto que criminosos colocam no malware são barreiras para que o usuário não consiga deletar o programa. Se você tentar simplesmente desinstalar um malware, não vai conseguir por causa dos códigos embutidos.

Estes três pontos fazem um arquivo malicioso se diferenciar fortemente de um programa normal. Outros tipos de software têm a opção de serem inicializados com o sistema, mas o usuário pode ativar ou desativar isso. Além disso, eles não oferecem barreiras para serem interrompidos ou deletados.

O malware conta ainda com outras técnicas para ficar oculto e fazer com que o usuário não saiba de sua existência. Um recurso utilizado é a ausência de interface gráfica. Ou seja: o arquivo não leva a nenhum programa visual e fica invisível. São usados até atributos do próprio sistema para manter distância dos olhos da vítima: ele pode ficar oculto em pastas ou não ser mostrado ao acionar o gerenciador de tarefas. Alguns malwares sequer têm arquivos -- são os chamados fileless malware.

Como o computador quântico vai solucionar problemões

Leia mais

"Os fileless malware têm esse nome por não deixarem arquivos no disco. Em vez disso, ficam residentes na memória e executam comandos que já existem na máquina. Eles usam geralmente ferramentas para coordenar ataques", afirma Eric Cornelius, chefe de produto da BlackBerry Cylance.

Tudo o que o malware fará, no fim, dependerá do código do criminoso e do sistema operacional envolvido. Um vírus para Windows, por exemplo, não tem utilidade nenhuma em um Mac -- apesar de que cada vez mais são criadas ameaças multiplataforma.

E o malware, claro, está sempre limitado aos recursos do seu sistema hospedeiro. Isso quer dizer que ele não poderá fazer algo além das capacidades da máquina infectada, mesmo que esteja em seu código.

Se o programador escolher uma linguagem de programação multiplataforma pode tornar esse vírus compatível com vários sistemas. Mas sempre vai estar limitado à tecnologia do sistema operacional
Fábio Assolini, analista da Kaspersky

Os programas também costumam ter elementos em comum na propagação entre diferentes sistemas -- como engenharia social e phishing -- mas podem usar meios diferentes. Para computadores, normalmente o mais usado por criminosos é o email. Já em celulares isso pode ser feito por mensageiros como o WhatsApp ou o próprio SMS.

Nem sempre, contudo, o usuário tem meios de se defender: há malwares que podem ser transmitidos sem que você clique em nada, apenas se aproveitando de falhas do sistema, como foi o caso da recente falha no WhatsApp. Já outros podem ser pegos simplesmente se a pessoa estiver na internet ou na mesma rede de uma pessoa infectada, como ocorreu com o devastador WannaCry.

A monetização

Depois de criado e com o computador infectado, vem a parte que interessa ao criminoso: a monetização do ataque. E, para isso, não faltam formas:

  • Criptomoedas: bastante comum atualmente, em que o malware serve para minerar criptomoedas para o criminoso sem que o usuário da máquina saiba
  • Ataques DDOS: os milhões de computadores infectados têm seus recursos "alugados" ao criminoso para serem usados em ataques direcionados, como se fossem aparelhos "zumbis" controlados pelo hacker
  • Roubo de dados: bastante comum no Brasil, em que criminosos podem captar tudo o que você digita ou fazer redirecionamento de sites para roubar dados, principalmente credenciais bancárias
  • Resgate: os malwares da categoria "ransomware" podem "sequestrar" as capacidades de uma máquina, ou impedir o acesso a alguns arquivos, e exigir um resgate --normalmente em criptomoedas-- para devolver tudo ao usuário.

Como se proteger

As dicas para se proteger são aquelas que valem sempre:

  • Manter o sistema operacional e programas sempre atualizados
  • Contar com antivírus funcionando
  • Evitar clicar em links suspeitos
  • Mantenha backup de seus arquivos importantes
  • Mude com frequência senhas de acesso a sites e serviços

A tecnologia por trás...