Golpe online redireciona sites de bancos

emmentalResponsável estaria atuando desde 2011, segundo pesquisa.

Nenhum código malicioso fica instalado no computador.

A fabricante de antivírus Trend Micro divulgou nesta terça-feira (22) uma pesquisa que detalha um golpe on-line usado por uma quadrilha ou indivíduo que estaria ativo desde 2011. Os ataques mais recentes redirecionam sites de banco com um código que não fica ativo no computador, levando as vítimas a um site falso que orienta para a instalação de um aplicativo para Android. O app, que diz ser um gerador de senhas do banco, na verdade intercepta mensagens SMS para que os criminosos realizem o roubo.

A pesquisa foi realizada por três especialistas da Trend Micro, David Sancho, Feike Hacquebord, e Rainer Link. O documento completo (veja aqui, PDF em inglês) está disponível on-line. O golpe ocorre na Suíça, na Áustria e na Suécia. Desde maio, o ataque também atinge internautas do Japão.

A quadrilha, quando começou a atuar, utilizava softwares espiões “prontos”. Esses ataques mais recentes do grupo, no entanto, são códigos novos. O vírus que ataca o Windows é disseminado com e-mails falsos e, uma vez aberto pela vítima, modifica a configuração de DNS (Domain Name Service) do sistema. Com isso, os criminosos podem controlar qual o servidor acessado pela vítima quando ela digita o endereço do banco no navegador.

O vírus ainda instala um novo certificado raiz no sistema, permitindo que os sites falsos tenham um certificado SSL válido, exibindo o conhecido “cadeado” de segurança. Depois disso, o vírus se desinstala, não deixando nenhum outro rastro.

O site falso do banco se parece com o original, mas solicita que o internauta instale um aplicativo para Android que seria fornecido pelo banco para gerar senhas de autorização para transações. Esse aplicativo, no entanto, intercepta as mensagens SMS recebidas pelo aparelho. Assim, a proteção dos bancos que utiliza mensagens SMS para gerar senhas únicas para as transações fica comprometida.

Para que o golpe pareça mais natural, o site falso diz ao usuário que deve digitar um código recebido no celular. Como o código nunca chega, o usuário é obrigado a clicar no link “não recebi o código”, que então recomenda a instalação do aplicativo falso. A quadrilha (ou indivíduo) e o golpe foram batizados de “Emmental”.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Suporte do Windows 7 acaba daqui 6 meses

fim-suporte-windows-7Com o fim do suporte do Windows XP há exatamente três meses, muitos usuários que ainda estão pensando em migrar para o Windows 7 certamente não sabem que daqui 6 meses o Windows 7 não terá suporte completo da Microsoft.

O Windows 7 foi lançado em 2009 e o Service Pack 1 em 2011, e o suporte gratuito de ambos termina dia 13 de janeiro de 2015. Até essa data o usuário continuará recebendo atualizações e correções de segurança até 2020, mas algumas atualizações específicas (hotfixes, entre outras) poderão estar disponíveis somente para empresas com contrato de suporte estendido.

Além do Windows 7, no dia 13 de janeiro de 2015 não haverá mais atualizações e correções gratuitas para Windows Server 2008 e 2008 R2, Windows Storage Server 2008, Dynamics 2010 e NAV 2009 e 2009 R2. Nesta data o Windows Server 2003 deixará de receber definitivamente todo tipo de correção e atualização – inclusive paga.

A lista com a lista do ciclo de vida do Windows 7 está aqui e a página geral sobre Ciclo de Vida de Suporte da Microsoft está aqui.

Sobre o Windows 7

O Windows 7 foi lançado dia 22 de outubro de 2009 e continua sendo um dos sistemas operacionais de maior sucesso no mercado. As principais novidades dele incluem novo menu Iniciar, nova barra de tarefas, suporte a telas sensíveis ao toque, UAC personalizável, suporte nativo a VHD, entre outras.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Malwares para Android: um problema que só cresce

malware-androidOs dispositivos Android são partes cada vez mais dominante do mercado global, mas também são cada vez mais afetados problemas de malware. Até agora, tem sido um ano particularmente difícil para a reputação do Google Play, a loja de aplicativos para dispositivos baseados em Android. Em fevereiro, a empresa de segurança RiskIQ informou que o número de aplicativos na loja do Google Play quadruplicou entre 2011 e 2013.

Então, em abril um aplicativo falso de antivírus foi baixado por tantos usuários que o Google anuncio que ia reembolsar aos mais de 10 mil compradores que pagaram US $ 3,99 pelo aplicativo – que, felizmente, não tinha nada pior do que ser inútil, já que não era mais que um ícone que mudou de forma quando aproveitado.

O Android continua a aumentar o seu domínio do mercado de smartphones e tablets dos EUA e em outro países, com a plataforma do Google mantendo 52% do mercado de smartphones dos EUA em comparação ao 41% da Apple, segundo ComScore, e essa diferença é mais notável no mercado mundial – onde o Android possui 44% da cota de mercado do primeiro quatrimestre de 2014, comprando com o 10% da Apple. Além disso, os dispositivos Android compõem 62% do mercado de tablet dos EUA, enquanto aiOS registra 36%.

Mas, enquanto os valores de mercado do Android continuam crescendo, também cersce as críticas sobre os protocolos de segurança da empresa. Além dos problemas de segurança com os aplicativos autorizados por Google para venda na App Store, o relatório da empresa de segurança cibernética OPSWAT da semana passada sugeriu que cerca de um terço dos aplicativos disponíveis para venda em lojas de aplicativos de terceiros contêm malware. Isso levou o Google a aumentar os recursos de segurança Verity Apps em dispositivos Android, que agora digitalizará localmente os aplicativos de terceiros em todos os dispositivos do usuário (sempre que os usuários não optem por usá-lo, o mesmo será permitido fazer). Ah, e para quem isto é relevante, também tem uma desagradável peça de ransomware Android que está roubando muito dinheiro dos usuários internacionais de pornô.

A conclusão é que os usuários do Android precisam ser extremamente cautelosos na forma como baixam aplicativos. É melhor não confiar em aplicativos de terceiros, e quaisquer que sejam aplicativos, os usuários devem verificar localmente o download através do recurso Verity Apps. Mas, além disso, os usuários do Android devem executa uma suíte de segurança móvel em seus aparelhos. Há muitas no mercado para os usuários escolherem – e, claro, a Kaspersky Lab tem o prazer de recomendar um aos usuários – mas dado o número crescente e a gravidade dos malwares em aplicativos e supostos sistemas de antivírus, os usuários não devem usar seus dispositivos Android sem uma dessas suítes de segurança de dispositivos móveis.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Kaspersky blog

Falsos certificados legitimam malwares

falso_certificadoCertificados digitais roubados estão sendo usados para manter agentes mal intencionados escondidos sob uma credencial legitima, revela estudo divulgado pela FireEye. O levantamento apura ainda que, recentemente, Trojans como Zeus usaram assinaturas autênticas para passar por defesas automáticas e humanas, com o intuito de roubar informações bancárias.

Algumas amostras de malware chamaram a atenção da FireEye por causa da distribuição em massa de RATs (sigla em inglês para Ferramenta de Administração Remota) em uma região em particular. Também por causa do recente caso do malware XtremeRAT, publicado no blog da FireEye (em inglês) no inicio de 2014.

Os pesquisadores da FireEye encontraram um malware com assinatura digital enquanto investigavam um aumento nas campanhas de spam Spy-Net (um tipo de RAT). O Spy-Net permite ao invasor um grande controle da máquina da vítima via remote shell, com os recursos:

·Realizar downloads e uploads

·Alterar o registro

·Acesso aos processos em execução e serviços

.Capturar imagens da área de trabalho

·Gravações de áudio e vídeo por meio da webcam

·Extrair senhas salvas

·Tornar a vítima um servidor Proxy

Variações do malware ainda são capazes de se defender de processos de segurança que o identificam e se desligando automaticamente. A amostra testada, o arquivo sc2.exe, apresentou comportamentos típicos do Spy-Net. A partir disso, os pesquisadores começaram a testar a assinatura da CZ Solution por meio de pivotação.

Em meio aos testes, especialistas da FireEye encontraram particularidades que provaram que a assinatura da CZ Solution não estava sendo utilizada apenas em binários Spy-Net, mas também com XtremeRAT, usado regularmente por ciber criminosos. O XtremeRAT tem as mesmas funcionalidades do Spy-Net e seu código é compartilhado com muitos outros projetos de RAT, incluindo o CyberGate e o Cerberus.

Foram encontradas ainda várias amostras do Trojan Zeus utilizando a assinatura da CZ Solution. O Zeus pode ser modificado para roubar informações que normalmente envolvem logins de redes sociais, e-mail e internet banking. O trojan é largamente usado para lesar clientes de instituições financeiras.
A partir das amostras analisadas, constatou-se que a assinatura da CZ Solution foi utilizada para criar e assinar os malwares Spy-Net, XtremeRAT, Zeus e outros.

O estudo informa também que foram utilizados outros RAT sob a assinatura da CZ Solution como o BozokRAT. Com tantos binários se interligando, a FireEye começou a traçar paralelos entre as amostras descobrindo suas tendências como a sobreposição de C2 (C2 Overlap) e vetores de invasão como o phishing.

Numa análise de todas as amostras correlatadas e pivotadas, os especialistas notaram que a maioria da linguagem e C2 usados girava em torno do idioma francês. Os domínios que fazem parte da infra-estrutura C2 eram quase todos exclusivamente em francês, assim como as informações da pessoa que registrou os domínios em questão.

A conclusão tirada pelos técnicos da FireEye é de que uso de assinaturas não irá diminuir em breve – especialmente por agentes de ameaças. Estas assinaturas e certificados são uma maneira rápida e simples de passar por cima de controles tradicionais de segurança, visto que estes são considerados confiáveis por padrão. Os estudos publicados pela FireEye provam que o uso é uma tendência.

Os pesquisadores da FireEye podem dizer com segurança, baseados nas informações coletadas, que as assinaturas da CZ Solution foram utilizadas por um indivíduo ou um grupo usando infraestrutura e ativos franceses. Estes invasores em particular não mostraram um nível significante de expertise, mas mostraram recursos coletivos com conhecimento em pelo menos três malwares: Zeus, Spy-Net e XtremeRAT.

Para ajudar a proteger a sua empresa e outras contra ameaças usando assinaturas digitais válidas, você pode incluir a verificação do número de série da assinatura. Neste caso, o número de série: 6e 7b 63 95 ac 5b 5c 8a 2a ec c4 52 8d 9e 65 10 é o identificador para localizar a relação com este editor. Além disso, se você estiver executando sua própria certificação interna, garanta que certificados que podem ter sido comprometidos sejam revogados devidamente. Isso ajudará a garantir que certificados comprometidos não são utilizados em ataques.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Windows 9 trará para PCs interface estilo Windows 7

windows-9Os rumores são de que o Windows 9 apresentará uma interface tradicional nos desktops e laptops tradicionais, ao estilo do Windows 7, e a Modern nos tablets e dois-em-um

Se as notícias publicadas recentemente têm algum crédito, a Microsoft finalmente percebeu o que tenho dito desde que o Windows 8 revelou a sua feia face: a interface Modern (antes Metro) pode funcionar bem em smartphones e tablets, mas basicamente atira os computadores tradicionais para o limbo. A tela Iniciar do Windows 8 é simplesmente idiota nos computadores tradicionais.

A situação agrava-se quanto maior a tela do dispositivo. Já olhou para o Windows 8 em um monitor de 27 polegadas? Que tal num par de grandes telas? Apesar das características que permitem organizar as “tiles” (arrumação em azulejo), a linha inferior mostra que quanto maior a tela , mais o Windows 8 se transforma em uma tremenda confusão.

Os rumores são de que o Windows 9, previsto para chegar ao mercado no próximo ano, apresentará uma interface tradicional nos desktops e laptops tradicionais, ao estilo do Windows 7 e as “tiles” em dispositivos com telas menores, sensíveis ao toque.

Por um lado, isto pode ser visto como uma admissão de um terrível fracasso por parte da Microsoft. A aposta da empresa em uma nova interface radical do Windows 8, escondendo o desktop tradicional e o menu Iniciar atrás de uma parede de “tiles” tácteis enigmáticas, podem ter parecido “moderno” mas nunca fez sentido para tarefas de computação tradicionais. Fazer os usuários tradicionais fingirem que estão trabalhando em um tablet despertou a ira de comentaristas raivosos e assustou os consumidores tradicionais desde então.

Concorrentes como a Apple e a Google, por sua vez, oferecem sistemas operacionais distintos e interfaces igualmente diversas para computadores, tablets e smartphones. Eles, como quase todo mundo fora [da sede da Microsoft em] Redmond, parecia entender que enquanto os smartphones e tablets são tecnicamente computadores, as pessoas os usam de maneiras muito diferentes para tarefas muito diferentes. Se estou sentado na minha mesa de trabalho, tenho necessidades completamente diferentes de quando estou vendo meu “feed” do Facebook no meu celular ou a assistindo um vídeo no meu tablet.

Embora o Mac OS X e o iOS da Apple estejam cada vez mais semelhantes (como o Android e o Chrome, da Google), eles continuam parecendo e a sendo muito diferentes uns dos outros. O que é bom.

Ainda assim, prefiro ver a possível mudança da Microsoft como algo positivo. Em vez de um fracasso, vamos chamá-la de reconhecimento da realidade e uma demonstração de vontade de mudar e se adaptar. Isso é exatamente o tipo de coisa que a Microsoft teve problemas para fazer sob a liderança anterior (sim, de Steve Ballmer).

Não há vergonha em fazer as coisas erradas. Mesmo Steve Jobs fez muitas asneiras. A chave é reconhecer os erros e corrigi-los. Se Satya Nadella tiver maturidade para admitir os erros da Microsoft e encontrar uma maneira de resolvê-los, esses erros serão menos propensos a se tornarem fatais.

Neste caso, creio, isso significa a bifurcação do Windows em dois (ou vários) sistemas otimizados para as diferentes coisas que as pessoas fazem com os smartphones, tablets e computadores tradicionais.

Eu, por exemplo, não considero o uso do Windows 8 em um desktop tradicional (por vezes, uso um Surface 2 e tenho sido um feliz utilizador do Windows 7). E, a julgar pelos últimos dados de utilização do sistema operacional, não estou sozinho.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: CIO

Ransomwares continuam a representar um grande risco

ransomwareNo final do ano passado, um malware chamado Cryptolocker começou a assombrar os EUA. Um alerta chegou a ser emitido pelo US-CERT, equipe norte-americana que lida com emergências na área de segurança virtual, o que mostrou que o caso era de fato bem grave. Mas o que o malware tinha de especial para chamar tanta atenção, fora o fato de ter se espalhado rapidamente? Simples: ele era um ransomware, tipo de ameaça que “sequestra” computadores e arquivos, cobrando um resgate relativamente alto para liberá-los.

Mas o termo, que vem de “ransom” (“resgate”, em inglês) não é exatamente novo, com menções a ele datadas de pelo menos oito anos atrás. A popularização dos malwares do tipo, no entanto, é bem mais recente: em junho do ano passado, por exemplo, a McAfee notou que o número de malware sequestradores detectados havia dobrado em relação ao mesmo período de 2012. E mais para o final do ano, a ESET viu um aumento de 200% no total de ransomware entre junho e setembro de 2013.

O interessante é que, junto da popularização, houve também um aprimoramento no funcionamento dessas ameaças, como explicou a INFO Raphael Labaca Castro, coordenador de Awareness & Research da ESET na América Latina. Segundo o especialista, esses malwares inicialmente bloqueavam apenas o acesso ao computador, usando uma espécie de tela de login “falsa”. “Você não podia usar o PC, e precisava pagar certo valor para obter o acesso de volta”, conta ele. “Mas naquele caso, o usuário podia tirar o HD e conectá-lo em outro lugar para acessar os dados.”

Foi essa possibilidade que, de certa forma, fez os criminosos melhorarem a ideia por trás do ransomware. “O que eles querem hoje é que a informação seja criptografada. Você acessa o computador, seu sistema operacional, mas eles podem pegar uma unidade inteira de HD e bloqueá-la”, diz Castro. E para poder abri-la novamente, é preciso usar uma chave, pela qual você precisar pagar um determinado valor dependendo do malware em questão.

Como funciona o ransomware? – A ameaça mais “famosa” do tipo, o Cryptolocker, entra nas máquinas de forma não muito diferente dos malware tradicionais – a partir do phishing. Um e-mail falso, atribuído à FedEx nos EUA, por exemplo, tenta chamar a atenção da possível vítima, que abre a mensagem, baixa um arquivo PDF disfarçado e acaba instalando o malware ao abrir o documento.

Então, o malware criptografa alguns arquivos usando uma chave pública (bem forte, de 1024-bits, no caso do Cryptolocker), e emite um alerta ao usuário. E é por ele que o usuário fica sabendo que, se um resgate de determinado valor não for pago até uma data limite, a combinação que liberaria os documentos seria apagada – e os itens acabariam perdidos para sempre, provavelmente. O pagamento, aliás, deve ser feito normalmente em bitcoins ou por algum outro método que impeça o criminoso de ser rastreado.

Outros tipos de ransomware – De acordo com Castro, a maior parte das ameaças do tipo tem como alvo o Windows, “mas pelo fato de ser a plataforma mais usada”. Fora o Cryptolocker, um exemplo recente que atingiu (e ainda atinge) o sistema da Microsoft é o BitCrypt2, que segue o mesmo conceito e também usa uma chave de 1024-bits para bloquear arquivos de diversas extensões no HD. O resgate cobrado, no caso dele, girava em torno dos 0,4 bitcoin.

Mas existem ameaças também para Android, que é alvo pelo mesmo motivo do Windows, como acredita o especialista. O caso mais recente e preocupante é o Simplocker, um app malicioso que criptografa arquivos em um cartão SD, cobra um resgate e se esconde usando um servidor hospedado em um domínio na rede TOR. Mas segundo a ESET, empresa que descobriu o malware, ele não chega perto do tamanho do Cryptolocker em termos de risco, e deve infectar apenas aparelhos que se conectam a lojas que não são a Google Play.

Aliás, o iOS não escapa de ameaças parecidas, como foi visto também há algumas semanas. O caso, no entanto, não era bem um ransomware, nem mesmo uma aplicação. “O que os criminosos fizeram ali foi usar senhas e nomes de usuários do iCloud vazados na web para bloquear aparelhos remotamente”, explica Castro. É uma função do próprio serviço da Apple, que ainda permitia aos invasores exibir uma mensagem personalizada na tela dos dispositivos “hackeados” – no caso, um pedido de resgate.

Proliferação pelo mundo – Até alguns meses atrás, esses malwares sequestradores eram uma preocupação maior na Europa (Rússia, especialmente) e nos Estados Unidos. Mas segundo o especialista, “agora podemos dizer que já vimos muitos casos na América Latina”.

O principal deles é o de um ransomware que se passava por um alerta do FBI. “Ele bloqueava seu computador, exibindo na tela um texto que dizia que seu PC tinha sido travado porque havia pornografia infantil ou ilícita guardada nele”, explica o coordenador da ESET. “Mas claro que não era o FBI, era só um atacante que usou o logo do órgão.”

O alerta emitido ainda dizia que uma “multa” de 200 dólares precisava ser depositada em uma conta para que a máquina fosse liberada – e muitas vítimas de fato fizeram isso para conseguir (ou não) o acesso de volta. “Esse caso nós vimos na América Latina, e depois ainda tivemos outro parecido envolvendo a polícia da Argentina, e outro no México.” De acordo com Castro, é bem possível que algo parecido ainda aconteça por aqui, mas envolvendo a Polícia Militar ou a Federal, por exemplo.

Qual a solução? – Pagar o criminoso para liberar os arquivos é a primeira ideia que vem à cabeça de quem tem o computador infectado. Mas não dá para ter certeza de que o invasor irá, de fato, entregar a chave para desbloquear os arquivos. “Você não está falando com uma empresa, e sim com um cara que está roubando seu dinheiro”, alerta Castro.

Para ele, o atacante pode simplesmente pegar o valor do resgate e “sumir”, já que não há uma obrigação real com o “cliente”. “Fora que, quando você paga, acaba ajudando esse crime a se espalhar”, diz o especialista. “Se eles perceberem que vão receber, vão fazer isso cada vez mais para ganhar ainda mais dinheiro. E por isso que os ransomware estão crescendo.”

Prevenção – Por não deixar de ser um malware, as táticas de prevenção “normais” devem ser suficientes para prevenir uma infecção, como afirma o coordenador. “O primeiro passo é utilizar uma solução de segurança tradicional, que vai proteger de todo tipo de malware, inclusive dos ransomwares.” Mas há algo ainda mais importante do que isso para evitar eventuais transtornos causados por uma infecção por um malware sequestrador: criar o hábito de fazer backup.

“Se as pessoas tiverem um backup atualizado dos arquivos, poderão simplesmente formatar o computador sem precisar começar tudo de novo.” E ainda vale o alerta: se guardar os documentos em um HD externo, o ideal é mantê-lo longe do computador, especialmente caso você esteja fazendo downloads. Assim, no caso de alguma aplicação maliciosa infectar a máquina, o disco com as cópias de segurança ficará a salvo.

E a prevenção é a melhor forma de combater um ransomware, já que, caso a máquina seja infectada, pode não haver como recuperar os arquivos sem “pagar e torcer”. Algumas ameaças do tipo podem até usar uma chave de criptografia fraca, que pode ser quebrada por “força bruta”, ou mesmo simplesmente bloquear os arquivos sem cifrá-los.

“Mas cada caso é um caso”, como diz o especialista. “No do Cryptolocker, eles usam uma combinação tão forte que é praticamente impossível de adivinhar.” E aí, só formatando a máquina e recorrendo ao backup mesmo para voltar à normalidade. “Nós dizemos que um grama de prevenção equivale a muitos e muitos quilos de infecção”, brinca Castro.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Firefox 31 já está no ar

firefox_31A Mozilla lançou hoje o Firefox 31, versão mais recente do popular navegador com código aberto da empresa.

O navegador oferece recursos, como o suporte para extensões, navegação por abas (tabbed browsing), alerta contra sites maliciosos e suporte para sincronização de informações (histórico de navegação, senhas, favoritos e até mesmo abas abertas).

Ele possui um gerenciador de senhas, bloqueador de janelas pop-up, pesquisa integrada, corretor ortográfico, gerenciador de downloads, leitor de feeds RSS e muitos outros.

De acordo com o changelog da Mozilla, a versão 31 do navegador adiciona uma caixa de busca à janela “Nova aba” (foto abaixo), usa mozilla::pkix como verificador oficial de certificados digitais, pode reproduzir áudio/vídeo em .ogg e exibir documentos em .pdf caso um aplicativo específico para lidar com estes formatos não esteja instalado no Windows, inclui a API WebVTT do HTML5 habilitada por padrão (permite a exibição de legendas com o elemento <track> em vídeos publicados com a tag <video>) e mais.

firefox_31_detalheFaça o download do navegador Firefox 31

A versão 31 para Windows está disponível para download aqui. Usuários do Mac OS X, Linux 32 bits e Linux 64 bits podem baixar o Firefox 31 aqui, aqui e aqui, respectivamente.

Quem instalou o Serviço de Manutenção junto com uma versão anterior do navegador deverá receber a atualização automaticamente.

Saiba mais sobre o navegador Firefox clicando aqui.

Agradeço ao Domingos, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 475 outros seguidores