Desde o ultimo post, tenho estado a trabalhar num sistema de monitorização da distribuição de malware e phishing direcionada a utilizadores portugueses através de email.

Este sistema era inicialmente destinado à minha utilização, como ferramenta de pesquisa de malware interessante. No entanto, o próprio sistema acaba por ser bastante interessante e a sua utilização poderá ser util para outros. Pelo que, decidi partilhar parcialmente os seus resultados neste site. No futuro publicarei algo sobre o desenvolvimento do próprio sistema, que também me parece interessante.

Assim surge uma nova secção do site chamada “Campanhas de email”. Trata-se de uma página, atualizada de hora a hora, que contém métricas e informação sobre as campanhas de email (potencialmente malicioso), com foco em utilizadores Portugueses, que foram observadas nos últimos 15 dias pelo sistema de monitorização de emails do malware.pt. O gráfico seguinte é um exemplo dos conteúdos da nova secção:

Como funciona o sistema?

O sistema recebe emails não solicitados dirigidos a diversas contas de email portuguesas. De hora a hora estes são agrupados automaticamente, com recurso a machine learning, em campanhas que agregam a informação de todos os emails, links, attachments, IPs e endereços que façam parte do corpo de emails que o algoritmo identificou como semelhantes.

Este agrupamento em campanhas não só permite uma visibilidade de alto nível sobre os ataques (campanhas) que estão em progresso, como permite focar os esforços de análise em apenas algumas campanhas, evitando o enorme gasto de recursos necessário à análise de centenas de emails.

Onde posso aceder a nova secção?

Clicando Aqui, ou na secção “Campanhas de email” através do menu.

Quais os próximos passos?

Há ainda um grande trabalho de melhoria no sistema. Faze-lo detetar mais campanhas, enriquecer de forma automática os dados das campanhas. Adicionar conteúdos e funcionalidades. Publicar posts sobre a construção do sistema….

Neste momento (25/5/2020), apenas está presente no site informação sobre o volume, data, subjects e “tags” de cada campanha. Ainda esta tudo em desenvolvimento, pelo que se torna necessário dar pequenos passos. Adicionarei mais alguma informação à secção publica nos próximos dias.

Até lá, terei todo o gosto em partilhar mais informação quando a motivação for a segurança de utilizadores ou a investigação de malware. Estou também a trabalhar numa secção de acesso limitado com informação técnica mais detalhada sobre as campanhas. Contacto: [email protected].