Usuários do Dropbox se tornam alvos de phishing

DropboxDiariamente observados milhões de mensagens de phishing e recentemente identificamos uma ameaça similar a do Google Docs, porém neste caso dirigida para os usuários do Dropbox. O código malicioso utiliza um correio eletrônico (com o assunto “importante”) afirmando que o destinatário encaminhou uma mensagens muito pesada para ser enviado por e-mail ou que não é possível enviar por correio eletrônico por razões de segurança. Como alternativa, o mesmo email sinaliza que o documento pode ser visualizado por meio de um click no link incluído na mensagem de e-mail. No entanto, o link abre uma página de login falsa Dropbox, hospedado no próprio Dropbox.

A página de login falsa está alojada no domínio do conteúdo dos usuários do Dropbox (onde estão as fotos e outros arquivos compartilhados) e funciona por meio do SSL (Secure Sockets Layer), o que torna o ataque mais perigoso e convincente.

O site se parece muito com a página verdadeira de login do Dropbox, mas com uma diferença crucial. Dado que os cibercriminosos estão interessados em roubar informações além das credenciais do Dropbox, na página falsa é possível observar logotipos de alguns serviços comuns de correio eletrônico baseados na web, sugerindo aos usuários iniciarem o seu login por meio de suas credenciais desses serviços.

Depois de clicar em “entrar”, o nome do usuário e senha da vítima é enviada para um script PHP em um servidor de web comprometido. As credenciais também são submetidas por meio do SSL, onde é fundamental para o sucesso do golpe. Caso contrário, as vítimas poderiam visualizar um aviso de segurança, como este:

dropbox_alertaUma vez que os dados dos usuários são guardados e/ou enviados por correio eletrônico do cibercriminoso, o Script PHP simplesmente encaminha ao usuário a página verdadeira de login do Dropbox.

Embora a própria página seja alimentada por meio do SSL, e o nome e senha dos usuários são enviados mediante o protocolo, alguns recursos da página (como imagens) não se alimentam pelo SSL. O uso de recursos não-SSL em uma página baseada em SSL mostra avisos quando não são usadas versões recentes dos navegadores. O destaque do aviso varia de navegador para outro; alguns simplesmente mudam o símbolo do cadeado mostrado na barra de endereços, enquanto outros incluem um pequeno banner no topo da página. Em qualquer um dos casos, é possível que o usuário não perceba ou compreenda estes avisos de segurança ou suas implicações associadas.

A Symantec reportou a página falsa do Dropbox, que imediatamente foi baixada. Qualquer página falsa que está hospedada no Dropbox poderá ser reportada diretamente para abuse@dropbox.com

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Symantec blog

Trend Micro detecta ataques direcionados por meio do Google Drive

fakegdriveA Trend Micro alerta que tem visto malware que se aproveita destes sites, como o DropBox, o Sendspace e o Evernote. Agora, também inclui o Google Drive na lista dos sites “abusados”. Recentemente, a empresa se deparou com um malware, detectado como TSPY_DRIGO.A, que usa o Google Drive como uma forma de obter informações sobre suas vítimas.

Acesso ao Google Drive

Uma vez executado, o malware irá verificar os seguintes tipos de arquivos em determinados locais para carregá-los no Google Drive:

XLSX
XLS
DOC
DOCX
PDF
TXT
PPT
PPTX

Os locais nos quais o malware verifica e busca por estes arquivos incluem a lixeira e a pasta Documentos do usuário.

Com o objetivo de fazer o upload dos arquivos para o Google Drive, foram incluídos no malware o “client_id” e o “client_secret”, junto a um token de atualização. Tokens de atualização são necessários como parte do protocolo OAuth 2.0, que é usado pelo Google Drive. Este protocolo é utilizado pelo Twitter, Facebook e outros sites para permitir que as contas nestes sites sejam usadas para efetuar login em sites diferentes. Os tokens de acesso são utilizados para ter acesso a uma conta do Google Drive. No entanto, tokens de acesso expiram, então tokens de atualização são necessários para obter novos tokens de acesso.

A Trend Micro descriptografou a comunicação da atividade do malware e notou atividades como os pedidos de novos tokens e upload de arquivos.

Os especialistas da empresa usaram essa mesma abordagem para verificar os arquivos que foram carregados na conta do Google Drive. Enquanto elaboravam a postagem dessa mesma notícia no blog, alguns dos arquivos ainda estavam “ativos” ou presentes na conta. Também descobriram que os nomes dos arquivos revelam quem são as entidades visadas, na sua maioria, agências governamentais.

A outra conexão com o Google

O uso do Google Drive não é a única coisa que conecta este malware com o Google. O malware foi, na verdade, criado usando a linguagem de programação Go, vulgarmente conhecido como “golang”. Esta é uma linguagem de programação de código aberto que foi inicialmente desenvolvido pelo Google. Segundo o Google, “os objetivos do projeto Go eram eliminar a lentidão e outras questões no desenvolvimento de software no Google, e, assim, tornar o processo mais produtivo e escalável.”

Embora interessante, a utilização da linguagem golang não é nova; pesquisadores de segurança já viram a golang sendo usada para criar malwares desde 2012. Seria difícil identificar as razões exatas para o uso da golang mas alguns têm atribuído o seu apelo à sua suposta falta de perfil dominante ou de massa.

A coleta de informações

A análise mostra que este malware só pode fazer o upload de arquivos do tipo “documento” para o Google Drive. Este tipo de rotina de malware é perfeito para a fase do reconhecimento – uma das etapas iniciais de ataques direcionados. Afinal, um dos principais aspectos de um ataque bem sucedido é ter informações suficientes sobre um determinado alvo. Quanto mais informações eles puderem reunir, maior vetor de ataque podem usar em seus alvos.

Os seguintes “hashes” estão relacionados a este ataque:

2C32674B334F10000CB63ED4BA4EE543A16D8572
2D98DDF8F5128853DD33523BCBBD472B8D362705

Segundo a Trend Micro o Google já foi notificado sobre o incidente.

Agradecemos ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: ti inside e Trend Micro blog

O que vai acontecer com o Windows 7 após 31 de Outubro?

windows_7O Windows 7 continua a ser o sistema operacional para desktop mais utilizado em todo o mundo. Segundo dados recentes, no universo Microsoft, o Windows 7 continua a ter uma parcela de adoção de 53% enquanto o Windows 8.1 apenas tem 7%.

Mas o que vai acontecer ao Windows 7 a partir do dia 31 de Outubro?

Em pleno dia de Halloween, a Microsoft vai dar ainda mais razões para ficarmos “assustamos”, isto porque vai deixar de vender licenças daquele que é considerado atualmente o sistema operacional mais estável da empresa, o Windows 7. Mas calma, pois isso só se aplicará a fabricantes de PCs, que neste caso deverão começar a instalar o Windows 8.1 nas máquinas para venda aos consumidores finais (deixarão assim de estar disponíveis as versões Windows 7 Home Basic, Home Premium ou Ultimate).

Computadores com o Windows 7 pré-instalado, versão profissional, continuarão a ser comercializados mas apenas para o segmento empresarial. É claro que o usuário final poderá comprar sempre uma licença de uso, mas o seu valor será elevado.
Tal como previsto desde o início do lançamento do Windows 7, a Microsoft continuará a dar suporte ao sistema (de certeza ao windows 7 com Service Pack 1) até dia 14 de Janeiro de 2015.
Ao nível de segurança o Windows 7 terá suporte até 14 de Janeiro de 2020.

Entretanto, como é sabido, em 2015 chega o Windows 10 que promete fazer esquecer o Windows 7 e o Windows 8/8.1. Será?

Agradecemos ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Vem aí: Preservativo para USB

condomHá ideias para tudo no que toca ao malware. Uma das últimas novidades é criar malware para uso em portas USB públicas que permitem carregar dispositivos móveis. É verdade, há gente com imaginação muito fértil, e como não podemos deixar de ter o smartphone ou o tablet sem energia, é tentador plugar o USB nesse espaço para carregar a bateria. Um descuido e o seu dispositivo poderá ficar infectado.

Para grandes males, grandes e inteligentes remédios. Um projeto crowdfunding quer criar um “preservativo” USB para proteger os dispositivos sempre que os liga em portas pouco, ou nada, confiáveis.

Estas portas USB ofertadas gratuitamente em locais públicos estão sendo utilizadas para infectar os dispositivos com malware grotesco, isto é, imagine o que poderá acontecer quando a câmara do seu smartphone, o microfone, o armazenamento, as teclas ou os dados GPS passam a ficar sob o contrele do “ladrão” que colocou este malware… Assustador, verdade?

Então, para quem usa e abusa destas soluções foi agora criado um dispositivo, uma espécie de preservativo eletrônico que nada mais é que um adaptador que se posiciona entre o seu dispositivo e a porta USB de sistemas de terceiros.

Mas como funciona?
O “USBCondom” impede a troca acidental de dados quando o dispositivo está ligado a um computador ou estação de carregamento com um cabo USB. O preservativo USB vai atuar no corte dos pinos de dados no cabo USB e permite unicamente que sejam utilizados os pinos de alimentação para carregar o dispositivo. Desta forma este preservativo previne o chamado “juice jacking”.

condom1A campanha de crowdfunding ultrapassou largamente os seus objetivos. Estas “camisinhas” custam apenas 10 dólares, mas podem ter seu custo reduzido para apenas 4.99 dólares a unidade.

Este dispositivo foi criado por uma empresas de consultoria de segurança, a Xipiter, que já iniciou a produção do USBCondom e testou o produto em um grande e variado número de cenários, o que poderá dar boas indicações de o que é prometido será cumprido.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: pplware com partes do texto editadas por seu micro seguro

Está no ar: Firefox v33.0.2

Mozilla_Firefox_v33.0.2A Mozilla disponibilizou para download nesta semana o Firefox v33.0.2, versão mais recente do popular navegador com código aberto para Windows e outras plataformas.

O navegador oferece recursos como o suporte para extensões, navegação por abas (tabbed browsing), alerta contra sites maliciosos e suporte para sincronização de informações (histórico de navegação, senhas, favoritos e até mesmo abas abertas).

Ele possui um gerenciador de senhas, bloqueador de janelas pop-up, pesquisa integrada, corretor ortográfico, gerenciador de downloads, leitor de feeds RSS e muitos outros.

De acordo com o changelog oficial publicado aqui, a versão 33.0.2 corrige um problema que causa o travamento durante a inicialização em computadores com certas combinações de hardware e drivers.

Faça o download do navegador Mozilla Firefox v.33.0.2

A versão 33.0.2 para Windows está disponível para download aqui. Uma versão 64 bits para Windows ainda não foi lançada oficialmente pela Mozilla, mas a versão de testes pode ser encontrada em seu FTP*.

Quem instalou o Serviço de Manutenção junto com uma versão anterior do navegador deverá receber a atualização automaticamente.

Agradeço ao Lucas, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Usuários do Tor podem ter sido infectados por malware

tor_hackedUm hacker russo injetou malware no Tor se aproveitando de uma falha de segurança. Os usuários do serviço devem utilizar ferramentas de segurança para detectar se os seus computadores foram infectados.

Um hacker russo ao que parece conseguiu injetar malware no popular serviço que permite navegar na Internet de forma anônima. Segundo o The Guardian, um especialista em segurança da empresa leviathan descobriu que um dos nós de saída do Tor (localizado na Rússia) estava sendo usado por um hacker para alterar os arquivos que eram descarregados pelos usuários. Ou seja, os usuários fazem um download que vem contaminado. Traz, no seu interior, um malware misturado com os dados originais do aplicativo.

Josh Pitts, explica que as versões mais recentes do Tor estarão imunes a esta ameaça específica, mas aconselha os usuários do serviço a analisarem as unidades de armazenamento das máquinas onde o Tor é executado habitualmente. Também aconselha a que se utilizem conexões criptografadas quando forem efetuados downloads a partir de redes como o Tor e ferramentas que inspecionem os dados descarregados para se apurar se assegurar de sua integridade: um arquivo original sem alterações maliciosas.

Agradecemos ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Exame Informática e leviathan

Windows 10 ganha nova versão Preview

notificationsA Microsoft disponibilizou nos últimos dias para download o Windows 10 Preview Build 9860.

O build anterior, 9841, foi disponibilizado para download no dia 1 de outubro.

De acordo com a Microsoft, este novo build traz mais de 7.000 correções e melhorias.

Os usuários registrados no Windows Insider Program já podem fazer o download do Windows 10 Preview build 9860 clicando aqui.

Windows 10 Preview Build 9860: Mais de 7 mil correções e melhorias

A Microsoft afirma que muitas mudanças neste build não são visíveis para os usuários, mas ele traz mais de 7.000 correções e melhorias.

Muitas destas correções foram feitas com base no feedback enviado pelos usuários através do app oficial instalado na versão Preview e através do fórum do Windows Insider Program.

Além disso, o Windows 10 Preview build 9860 também traz algumas novidades que os usuários perceberão logo de cara.

A primeira delas é a Central de Ações, que também está presente na versão mais recente do Windows Phone.

Esta versão preliminar no Windows 10 ainda é bem básica e possui uma interface simples. Futuros builds devem trazer uma Central de Ações com mais opções.

De acordo com a Microsoft, você verá notificações de apps (como chegada de novos emails), notificações do sistema operacional, e mais em um só lugar.

O Windows 10 Preview build 9860 também torna mais fácil mover apps de um monitor para outro e exibe uma animação quando o usuário alterna entre diferentes áreas de trabalho virtuais.

A Microsoft afirma que uma das críticas dos usuários da versão Preview lançada no dia 1 de outubro é que era difícil saber quando eles estavam alternando entre diferentes áreas de trabalho virtuais.

Agora, no build 9860 as áreas de trabalho virtuais “deslizam” na tela quando você alterna entre elas.

Este build também inclui o Data Sense e o Battery Saver, úteis para usuários de portáteis.

Como o nome já indica, o Battery Saver ajudará você a economizar a bateria do seu tablet/notebook/híbrido. Este recurso funciona limitando as atividades em segundo plano quando ele é ativado.

É possível ativá-lo a qualquer momento, mas o Windows 10 também terá a opção de ativação automática quando a bateria atingir uma certa porcentagem de carga restante.

Por exemplo, o Battery Saver pode ser ativado automaticamente quando restar 18% de carga na bateria.

Já o Data Sense é útil principalmente para quem usa conexões com planos de consumo de dados. Com ele os usuários poderão limitar as transferências de dados em segundo plano.

No geral, o Data Sense no Windows 10 funciona de forma similar ao Data Sense no Windows Phone 8.1.

Agradecemos ao Chrysthofer e ao Davi, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 498 outros seguidores