Brasil lidera ataques contra aparelhos Android na AL

androidmalwareSegundo a Kaspersky, país fica a frente de Colômbia e México, que aparecem logo atrás. Empresa não revela números de ameaças na região.

O Brasil lidera os ataques contra aparelhos Android na América Latina, segundo informações da empresa de segurança Kaspersky, que realizou um estudo mundial entre agosto de 2013 e julho de 2014 em parceria com a INTERPOL.

De acordo com o levantamento, o Brasil é seguido por México e Colômbia no ranking de ameaças contra gadgets com o sistema do Google na AL.

Um em cada cinco

A pesquisa ainda descobriu que um em cada cinco dispositivos Android no mundo com soluções de segurança da Kaspersky sofreu alguma tentativa de ataque por software malicioso nesse período.

No total, cerca de um milhão de usuários Android no mundo todo foram vítima de sofrware perigosos neste período entre agosto de 2013 e julho de 2014, o que representa um quinto de todos os usuários com produtos mobile da Kaspersky.

Mundo

No mundo, os usuários Android de países como Rússia, Índia, Cazaquistão, Vietnã, Ucrânia e Alemanha estão entre os principais alvos dos cibercriminosos. Isso acontece, em geral, porque as pessoas nesses locais costumam pagar por conteúdo e serviços online via SMS.

Aumento

De forma geral, a Kaspersky aponta que houve um aumento nas ameaças Android, já que o número registrado no estudo foi o maior dos últimos anos.

De acordo com a empresa, a principal razão para esse crescimento foi o uso dos programas da família Trojan-SMS, que representaram nada menos que 57,08% das detecções feitas no período.

Na América Latina, o RiskTool ficou em primeiro como principal malware, seguido pelo Trojan-SMS, e depois pelo Adware, que registrou um número menor de detecções.

Estudo

Vale notar que o levantamento foi feito em aparelhos Android protegidos por soluções de segurança da Kaspersky Lab.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Falha do Flash está sendo usada para ataques por cibercriminosos

adobe-hackedSe você não costuma atualizar o Flash, é melhor começar imediatamente a fazer isso. Em mais uma mostra de sua versatilidade, hackers já estão utilizando uma vulnerabilidade descoberta há poucas semanas, e reparada pela Adobe no último dia 14 de outubro, para realizar ataques em “larga escala”, na tentativa de assumir controle dos computadores de suas vítimas e roubar dados pessoas e bancários.

O Flash Player é um vetor comum de ataques desse tipo, justamente por ser uma das aplicações mais utilizadas por aí em sistemas online. Também por tal motivo, ele recebe atualizações constantes uma vez que brechas são descobertas a todo momento. A desta vez, chamada CVE-2014-0569, foi relatada à Adobe em segredo pela HP e sua Zero-Day Initiative, que varre a rede e seus softwares mais usados em busca de aberturas do tipo.

Isso normalmente acontece de maneira confidencial, de forma que o problema não caia nas mãos erradas e seja explorado antes da chegada de uma solução. Normalmente, tais vulnerabilidades começam a ser exploradas por meio de engenharia reversa nos patches de correção, o que diminui seu alcance e penetração. Mas não foi bem o que aconteceu agora, já que de acordo com a pesquisadora independente Kafeine, hackers começaram a usar a brecha horas após a liberação do patch, o que indica um vazamento de informações. As informações são da PC World.

Para a especialista, seria impossível que a atualização pudesse ser quebrada tão rapidamente e todos os indícios apontam mesmo para um “trabalho interno”. Rapidamente, o mecanismo solucionado pelo mais recente patch do Flash estava disponível no Fiesta, um conjunto de ferramentas comumente usado por hackers profissionais para realizar grandes ataques e quebras de sigilo. Os mais recentes golpes, inclusive, estariam obtendo certo sucesso uma vez que nem todos os sistemas estão atualizados.

Para Kafeine, essa é mais uma prova da versatilidade de determinados grupos hackers. A especialista aponta que o provável vazamento veio ou de um contato dentro de organizações de segurança ou, então, alguém recebeu dinheiro para quebrar o acordo de confidencialidade que normalmente protege revelações de falhas desse tipo. Seja como for, a indicação é que todos os usuários de Flash atualizem seus sistemas o mais rápido possível, de forma a não se tornarem alvos.

A situação é ainda mais grave para as empresas, justamente o principal alvo dos golpes atuais. Mais do que isso, corporações normalmente possuem uma política de TI restrita, que não permite atualizações automáticas e costumam aplicar patches de uma só vez, periodicamente. Nesta situação, todas estão vulneráveis ao novo ataque, que vem sendo aplicado em “grande escala”.

A brecha atinge usuários de Windows, Linux e Mac. Além disso, o Flash Player também está presente de forma integrada aos principais navegadores do mercado. Todos devem ser atualizados assim que possível. A Adobe liberou também patches de correção para todos os seus SDKs e também para o AIR, seu ambiente de aplicações.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e PCWorld

Ataque cracker mira em links de download

SegurançaO que está sendo chamado de uma evolução dos ataques XSS (cross-site scripting) foi descoberta pelos especialistas em segurança da Trustwave e tem os downloads como novo alvo. O RFD (Reflected File Download), como está sendo chamado, é capaz de redirecionar links de download que parecem ser de fontes legítimas, mas, quando executados, acabam instalando scripts e outros malwares voltados para roubo de dados, acesso remoto ou criação de computadores zumbis. As informações são da PC World.

A novidade está permitindo uma escalada nos ataques de engenharia social, já que, agora, mensagens falsas enviadas por crackers também podem conter links que parecem legítimos, mas que são redirecionados depois que o usuário clica neles. Ainda assim, é preciso que o arquivo seja executado, mas, para os criminosos, essa é a parte mais simples de tudo, já que a vítima já foi fisgada pelo que aparenta ser uma proposta legítima.

De acordo com a firma de segurança, alguns casos já estão sendo registrados internet afora e a ideia é que mais e mais sejam identificados na medida em que a ameaça se torna mais popular. Entre os exemplos de utilização estão e-mails de bancos oferendo soluções aprimoradas de segurança que seriam essenciais para o acesso, ou de empresas de cobrança com supostos boletos a serem pagos pelos usuários incautos.

A diferença do RFD para os tradicionais ataques de engenharia social está no link. Caso o usuário recebesse um e-mail do tipo e passasse o mouse sobre o link para download oferecido, veria que o endereço do arquivo não é da instituição que teria enviado a comunicação, mas sim de terceiros. Com a nova técnica, porém, URLs aparentemente legítimas podem ser aplicadas nos e-mails, com o redirecionamento acontecendo entre o clique e a confirmação de que o arquivo pode ser baixado.

Segundo a Trustwave, trata-se de uma vulnerabilidade que precisa ser resolvida na outra ponta, em sites e serviços online. O RFD pode ser usado em sites que utilizem protocolos JavaScript dos tipos JSON ou JSONP. Ambas são tecnologias bastante populares para execução de scripts e estão presentes em boa parte das ferramentas e plataformas web disponíveis no mercado.

Durante a apresentação da vulnerabilidade, realizada durante a conferência Black Hat Europe, o especialista Oren Hafif, da Trustwave, demonstrou as possibilidades de uso do RFD em plataformas do Google, Microsoft e Yahoo!, além de outros endereços que estão entre os 100 mais acessados do mundo. Segundo ele, todos estão sendo alertados sobre os problemas para que possam tomar atitudes.

O especialista disse ainda que há variações do ataque que modificam até mesmo características do próprio Windows, ocultando, por exemplo, o alerta sobre a execução de arquivos baixados da internet para garantir que o usuário não pense duas vezes antes de rodar o download. A Microsoft também estaria trabalhando nesse sentido, de forma a impedir que o aviso seja escondido.

Enquanto a vulnerabilidade não é resolvida, a orientação vigente é a de evitar clicar ou baixar arquivos enviados por e-mail, mesmo que as fontes pareçam legítimas. Bancos e outras instituições dificilmente fazem comunicados sobre o internet banking ou cobranças por meio de e-mails, portanto desconfie de mensagens desse tipo e sempre procure os meios oficiais caso acredite que o texto seja legítimo.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Crackers usaram Dropbox para ataque phishing

nodropbox-100354429-largeDescoberto pela Symantec, golpe que enviava links hospedados no próprio serviço de armazenamento de arquivos já foi derrubado pela própria Dropbox.

O serviço de armazenamento de arquivos Dropbox foi usado para um ataque de phishing enganoso, segundo a empresa de segurança Symantec, que nota que a empresa foi rápida em acabar com o problema em questão.

A Symantec afirma ter detectado um volume de e-mails de phishing que afirmavam aos destinatários que eles tinham recebido um grande arquivo e ainda enviava um link para uma página hospedada no Dropbox.

“O e-mail afirma que o documento pode ser visualizado ao clicar no link incluído na mensagem. No entanto, o link em questão abre uma página falsa de login do Dropbox, que por sua vez está hospedada no próprio Dropbox”, afirmou o especialista em segurança da Symantec, Nick Johnston, em um post sobre o assunto.

Ao hospedar uma página falsa de login no Dropbox, os criminosos ganham alguns benefícios em vez do que teriam se a colocassem em um nome de domínio estranho e aleatório. A página era colocada dentro do domínio de conteúdo de usuário do Dropbox, de forma parecida com fotos ou arquivos compartilhados, afirmou Johnston.

A maioria dos elementos da página de phishing também são servidas via SSL (Secure Sockets Layer), que criptografa a comunicação entre um cliente e um servidor e faz com que o golpe pareça mais convincente. Navegadores mais antigos podem não exibir um aviso se o SSL não for usado para a página toda, explicou o analista da Symantec.

“A prominência do aviso varia de browser para browser; alguns deles simplesmente mudam o símbolo de cadeado mostrado na barra de endereço, enquanto outros incluem um pequeno banner no topo da página”, afirmou Johnston. “Os usuários podem não perceber ou entender esses alertas de segurança ou as implicações associadas.”

Anteriormente, ataques de phishing já foram realizados em serviços confiáveis de armazenamento e compartilhamento de arquivos, como os serviços Google Docs e Google Drive.

A página de phishing em questão, que foi rapidamente derrubada pelo Dropbox, pedia pelas credenciais de acesso do usuário, mas também incluiu logos de conhecidos serviços de e-mail – a intenção era fazer com que as pessoas colocassen também as mesmas credenciais de e-mail que utilizam para acessar o Dropbox.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Windows XP é o alvo preferencial dos cibercriminosos

WindowsXPSeis meses depois de a Microsoft ter deixado de oferecer suporte ao Windows XP, o sistema operacional continua sendo utilizado por muitos usuários e acabou se tornando um dos favoritos dos cibercriminosos.

Em uma pesquisa realizada recentemente, a empresa de segurança Proofpoin descobriu um servidor utilizado por um grupo de hackers russos que controlava uma botnet composta por 500 mil PCs infectados. Mais da metade deles utilizava o XP como sistema operacional.

As máquinas eram contaminadas por um malware chamado Qbot, que rouba informações bancárias online e adiciona ao computador uma rede botnet que era alugada para outros criminosos. Segundo a empresa, a rede pode transferir dados roubados e se infiltrar em organizações.

Estimativas da NetMarketShare, empresa de pesquisa de mercado, indicam de 24% dos PCs do mundo todo ainda rodam o XP. A tendência é de que o sistema se torne cada vez mais vulnerável, já que a Microsoft parou de oferecer correções e atualizações de segurança.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e MIT Technology Review

Extensão do Google Tradutor que roda direto no navegador

google-translateFoi lançado um plugin do Google Tradutor que facilita a vida de usuários que acessam sites com trechos que estão em línguas diferentes e palavras ou frases que não entendemos o significado. Com a agilidade e a comodidade de não precisar sair da página e nem traduzir toda ela – muitas vezes deteriorando a compreensão do site – agora é possível traduzir trechos ou palavras específicas.

Para isso, basta baixar o Google Tradutor Plugin, selecionar o que você deseja traduzir, clicar com o botão direito e escolher “Google Tradutor”, opção essa adicionada após instalação da extensão. Se você clicar no ícone no canto direito superior da página, toda ela será traduzida.

google-tradutorA extensão detecta automaticamente se a linguagem do site é diferente da que você escolheu como nativa do navegador, habilitando ou desabilitando a possibilidade de tradução automaticamente.

Cada dia mais as barreiras e dificuldades de comunicação virtual estão sendo quebradas com avanços na compreensão e acesso a diferentes linguagens. O plugin Google Translate está disponível apenas no Google Chrome.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Techtudo

Crackers podem vir a esconder malware para Android em fotos

androidDescoberta por pesquisadores, falha foi apresentada durante evento Black Hat na Europa. Google diz já trabalhar em solução para problema.

Uma nova técnica que permite aos hackers esconderem aplicativos Android maliciosos criptografados dentro de imagens pode ser usada para evitar a detecção por antivírus e possivelmente pelo próprio scanner de malware da loja Google Play.

O ataque foi desenvolvido por Axelle Apvrille, uma pesquisadora na Fortinet, e pelo engenheiro reverso Ange Albertini, que apresentaram sua prova de conceito durante a conferência de segurança Black Hat Europe, na quinta-feira, 16/10, em Amsterdam.

Segundo os criadores, o ataque é baseado em uma técnica inventada por Albertini chamada de AngeCryption que permite controlar tanto a entrada quanto a saída de uma operação de criptografia usando o padrão Advanced Encryption Standard (AES) ao aproveitar as propriedades de alguns formatos de arquivos que permitem que os documentos continuem válidos mesmo tendo dados imprestáveis ligados a eles.

A AngeCryption, que foi implementada como script Python disponível para download no Google Code, permite ao usuário escolher um arquivo de entrada e saída e faz as mudanças necessárias para que quando o arquivo de entrada for criptografado com uma chave específica usando AED no modo CBC (cipher-block chaining), ele produza o arquivo de saída desejado.

Apvrille e Albertini levaram a ideia adiante e aplicaram-na em arquivos APK (Android application package). Eles criaram um aplicativo envoltório de prova de conceito que simplesmente exibe uma imagem PNG do personagem Anakin Skywalker, da franquia Star Wars. No entanto, o app também pode criptografar a imagem com uma chave particular para produzir um segundo arquivo APK que possa então instalar.

Na demonstração dos pesquisadores, o APK escondido dentro da imagem foi designado para exibir uma imagem do Darth Vader, mas um criminoso de verdade poderia usar um aplicativo malicioso em vez disso, para roubar mensagens de texto, fotos, contatos, e outros dados.

Durante a demonstração, o Android exibiu um pedido de permissão quando o aplicativo envoltório tentou instalar o arquivo APK criptografado, mas esse pedido pode ser burlado usando um método chamado DexClassLoader para que o usuário não precise ver nada, afirma Apvrille. A imagem não precisaria nem ser incluída no aplicativo envoltório e poderia ser baixada a partir de um servidor remoto depois da instalação.

Para o ataque funcionar, alguns dados precisam ser anexados ao final do aplicativo original, mas o formato APK, que é derivado do ZIP, não permite dados anexos depois de um marcador chamado End of Central Directory (EOCD), que sinaliza o fim do arquivo.

No entanto, os pesquisadores descobriram que adicionar um segundo EOCD depois dos dados anexos engana o Android a aceitar o arquivo como válido. Segundo Apvrille, isso não deveria acontecer e é resultado de um erro do APK do Android.

O ataque funciona no Android 4.4.2, versão mais recente do sistema do Google, mas a equipe de segurança da plataforma já foi notificada e trabalha em uma solução, informa a pesquisadora.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 498 outros seguidores