Os droppers são um subtipo de malware que tem como propósito "liberar" outro arquivo executável malicioso. Assim como os trojans, categoria na qual os droppers são incluídos, a ameaça pode parecer inofensiva à primeira vista, até que a vítima seja instruída a baixar um malware.
Os droppers são desenvolvidos com o objetivo de instalar outros malwares no computador comprometido e geralmente exploram diferentes tipos de vulnerabilidades.
Entre as funcionalidades dos droppers, alguns podem fazer modificações na configuração do computador afetado a fim de preparar a máquina da vítima para ser infectada por um payload (em português, carga útil).
Vale a pena esclarecer que, como veremos mais adiante neste post, o dropper não é o mesmo que downloader. Embora sejam muito semelhantes e ambos tenham como objetivo baixar uma ameaça ao computador da vítima, a principal diferença é que o dropper não baixa a ameaça da internet como um downloader faz, mas a contém incorporada em si mesmo.
Os droppers geralmente também implementam uma série de verificações antidebugging e antiemulação no computador, que são executadas antes de desempacotar o payload.
Normalmente, esse tipo de malware é incluído em arquivos compactados enviados como anexos em e-mails de phishing. Uma vez que a vítima baixa o dropper para seu computador, a ameaça se executa e realiza atividades maliciosas em segundo plano, tais como desativar serviços para executar o payload. Geralmente, após esta ação, o dropper realiza sua autoeliminação para evitar deixar vestígios do processo de infecção.
Historicamente, o termo dropper era usado para descrever um arquivo cujo único objetivo era introduzir código malicioso em um computador, e os pesquisadores às vezes se referiam a essa ameaça como um vírus de "geração zero" ou mesmo um vírus "paciente zero". Este último termo se referia ao campo médico, no qual era usado por médicos e epidemiologistas ao discutir doenças infecciosas.
É importante ter em conta que esse tipo de malware surgiu apenas no início dos anos 2000, com o surgimento da internet. Isto porque, naquela época, muitos cibercriminosos encontraram nos droppers uma oportunidade de baixar módulos adicionais ao obter acesso ao computador de uma vítima.
Se já tínhamos o suficiente com serviços do tipo RaaS (Ransomware-as-a-Service) ou Maas (Malware-as-a-Service), neste último ano alguns pesquisadores de segurança detectaram um aumento nos serviços de DaaS (Dropper-as-a-Services).
A seguir, destacamos as principais características dos droppers, os tipos existentes, fontes de infecção e algumas dicas sobre como mitigar essa ameaça.
Tipos de Droppers
Dentro deste subtipo de malware, os droppers podem ser classificados de acordo com:
Persistência no sistema:
- Persistente: são droppers que fazem modificações no registro do computador infectado. Eles não são detectados pelos sistemas e não deixam nenhum vestígio das modificações realizadas no registro, permitindo que o malware continue sendo baixado no computador.
- Não-persistente: são droppers que se autoeliminam após o download do payload em segundo plano.
O projeto utilizado:
- Single-stage (uma única etapa): ocorre quando a única finalidade do payload malicioso dentro do dropper é burlar as soluções que vasculhem o computador em busca de malware.
- Two-stage (duas etapas): ocorre quando o o dropper, além de burlar as soluções antimalware, inclui uma função de downloader, ou seja, espera estar ativo dentro da máquina da vítima para fazer o download do payload. É importante ter em conta que um dropper de duas etapas pode ter um ou mais droppers embutidos ou até mesmo um downloader.
Interação com o usuário/vítima:
- Sem interação do usuário: aqueles que entram no sistema da vítima, explorando uma vulnerabilidade no sistema.
- Com a interação do usuário: eles convencem o usuário de que é um programa legítimo (trojan), solicitando assim permissões.
Dropper vs Downloader
Como mencionado acima, outro tipo de malware que é frequentemente usado para baixar malware em um sistema é o downloader. Um downloader, como o nome sugere, baixa o payload a partir de um servidor remoto, em vez de usar o método do dropper para transportar o payload em si (incorporado). Entretanto, na prática, o termo dropper é muitas vezes mal utilizado como sinônimo para downloader.
Fontes de infecção utilizadas pelos droppers
Abaixo, descrevemos as formas mais comuns que os cibercriminosos costumam utilizar para introduzir um dropper no computador da vítima:
- Anexos maliciosos em formato de arquivos ZIP, PDF ou pacotes do office (Excel ou Word) contidos em e-mails.
- Aplicativos baixados de lojas não-oficiais ou cracks de software.
- Unidades USB ou outros dispositivos previamente infectados.
- Clicando em mensagens ou notificações falsas.
- Websites que foram anteriormente comprometidos com malware.
Dicas de segurança
Um dropper é caracterizado, entre muitas outras coisas, por se esconder efetivamente dentro do dispositivo da vítima, o que pode tornar difícil a detecção. Além disso, como destacamos acima, existem droppers que realizam funcionalidades antidebugging e antiemulação. Com isto em mente, destacamos algumas dicas para evitar esse tipo de malware:
- Mantenha o sistema operacional e o software instalado no computador atualizados.
- Não abra anexos com aspecto suspeito.
- Use uma solução anitmalware no dispositivo o e mantenha-a atualizada.
- Instale programas que são baixados somente através fontes confiáveis.