Distribuição de malware por anexar documentos corrompidos para e-mails é um dos truques mais antigos do livro. Não é apenas um risco teórico - atacantes reais usar documentos maliciosos para infectar alvos o tempo todo. Portanto, além de seus esforços anti-spam e anti-phishing, o Gmail expandiu seus recursos de detecção de malware no final do ano passado para incluir um monitoramento de documentos mais personalizado. Boas notícias, está funcionando.

Na conferência de segurança RSA em San Francisco na terça-feira, o líder de pesquisa de segurança e antiabuso do Google, Elie Bursztein, apresentará descobertas sobre como o novo scanner de aprendizagem profunda para documentos está se saindo em relação aos 300 bilhões de anexos que precisa processar a cada semana. É um desafio dizer a diferença entre documentos legítimos em todas as suas infinitas variações e aqueles que foram especificamente manipulados para ocultar algo perigoso. O Google diz que 63% dos documentos maliciosos que bloqueia todos os dias são diferentes daqueles que seus sistemas sinalizaram no dia anterior. Mas esse é exatamente o tipo de problema de reconhecimento de padrões em que o aprendizado profundo pode ser útil.

Atualmente, 56% das ameaças de malware contra usuários do Gmail vêm de documentos do Microsoft Office e 2% vêm de PDFs. Nos meses em que esteve ativo, o novo scanner aumentou sua detecção diária de documentos maliciosos do Office em 10%.

"Dez por cento importa", disse Bursztein à WIRED. "Estamos tentando fechar a lacuna o máximo possível. Queremos continuar adicionando aprendizado de máquina em todos os lugares que pudermos, onde fizer sentido. O aprendizado de máquina faz coisas incríveis às vezes, mas às vezes é exagerado. Tentamos usá-lo como um extra camada em vez da única camada. Achamos que funciona muito melhor."

O analisador de documentos procura sinalizadores vermelhos comuns, verifica arquivos se eles tiverem componentes que possam ter sido ofuscados propositalmente e faz outras verificações, como examinar macros - a ferramenta em documentos do Microsoft Word que encadeia comandos em uma série e é frequentemente usada em ataques. O volume de documentos maliciosos que os invasores enviam varia muito de um dia para o outro. Bursztein diz que, desde a sua implantação, o scanner de documentos tem sido particularmente bom em sinalizar documentos suspeitos enviados em rajadas por botnets maliciosos ou por outros métodos de distribuição em massa. Ele também ficou surpreso ao descobrir como o scanner é eficaz na análise Documentos do Microsoft Excel, um formato de arquivo complicado que pode ser difícil de avaliar.

Embora um aumento de detecção de 10% possa não parecer muito, é uma grande melhoria na escala em que o Google está trabalhando, e qualquer ganho é produtivo, visto que a ameaça de documentos maliciosos é uma preocupação real em todo o mundo. Bursztein diz que empresas e organizações sem fins lucrativos têm três vezes mais chances de serem alvo de documentos maliciosos do que outras organizações, e que entidades governamentais têm cinco vezes mais chances. Algumas indústrias são mais propensas do que outras a serem visadas também. Os serviços públicos de transporte e infraestrutura crítica, por exemplo, apresentam um risco muito maior do que o setor educacional.

A prevalência de ataques maliciosos a documentos varia em todo o mundo, mas para os invasores a abordagem é sempre uma opção. Bursztein aponta que os kits para criar documentos maliciosos e adaptá-los para escapar dos scanners antivírus estão prontamente disponíveis em fóruns criminais online, com preços variando de cerca de US$ 400 a US$ 5,000.

Enquanto o scanner está capturando mais documentos maliciosos do que nunca, Bursztein e seus colegas continuarão a refiná-lo na esperança de bloquear uma parte ainda maior do malware enviado para contas do Gmail em todo o mundo.

"Malware é algo que fizemos depois de spam e phishing, porque o malware é um pouco mais difícil", diz ele. "Não temos o malware em si em um e-mail; os documentos são tudo o que temos nesse ponto. Mas sempre queremos melhorar nossos recursos de detecção e, com documentos maliciosos, escolhemos aquele em que poderíamos causar o maior impacto para nossos usuários ."

Quando um hack completo é apenas um download de documento do Word não autorizado, os usuários terão todas as proteções extras que puderem obter.