Malware usa domínios legítimos do Google e Facebook.
Usuários são redirecionados para páginas falsas de bancos.
Um novo trojan banker que se passa por um instalador do Google Chrome 19, foi descoberto pela Trend Micro. O arquivo é espalhado por meio de domínios legítimos, como o do Facebook, Google, Globo, MSN e Terra, com o propósito de dificultar a detecção por parte das ferramentas de segurança e confundir usuários.
A fabricante de antivírus reconheceu que desconhece como os criminosos conseguiram colocar o arquivo maliciosos nos endereços legítimos. No entanto, sabe-se que os usuários afetados estavam acessando IPs diferentes dos reais, ou seja, estavam sendo redirecionadas. É possível que o golpe esteja relacionado com os redirecionamentos feitos através do ataque a modems.
Ao acessar os sites falsos, a vítima é direcionada para um de dois IPs diferentes, onde os softwares que roubam senhas realmente estão hospedados.
Ao se instalar, o banker passa a enviar informações, como endereço IP e sistema operacional utilizado pela vítima, para um servidor específico. O código malicioso também baixa um arquivo de configuração responsável por redirecionar o usuário para páginas falsas de instituições bancarias.
A cada vez que a vítima tentar acessar um site bancário afetado pelo malware, a mensagem “Aguarde, carregando o sistema de segurança” é exibida, dando a entender que um componente de segurança do site está sendo carregado. Na verdade, neste ponto o internauta está sendo redirecionado para uma página clonada.
O Internet Explorer é aberto com a página falsa, que sempre contém um “_” (underline) antes do título da página. O vírus também remove o GbPlugin – plugin de segurança necessário para realizar transferências bancárias online, usando uma função do Gmer, programa legítimo destinado a remoção de malwares.
Segundo a Trend Micro, no momento da análise, mais de 3000 máquinas já haviam sido infectadas pelo código malicioso. Outras variantes do mesmo malware já foram encontradas pela empresa de segurança, o que pode indicar que o vírus ainda está em desenvolvimento.
Agradeço ao Davi, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.
Tags: novo ataque, Trendmicro
Empresa de segurança detectou campanha de envio massivo de e-mails maliciosos usando o nome do site de comércio eletrônico
Cibercriminosos lançaram na Internet uma enorme quantidade de e-mails usando o nome do Mercado Livre. Com o título “Debito Pendente”, a mensagem diz que se trata de um “último aviso” sobre a compra de um aparelho celular, acusando a falta de pagamento. golpistas pedem também para o usuário abrir um arquivo em PDF com a suposta fatura, com ameaça de levar o nome do “comprador” ao SPC/Serasa.
Eduardo Lopes, diretor comercial da Nodes Tecnologia, empresa que detectou a ameaça, afirma que este tipo de falso e-mail com o suposto PDF na verdade direciona à abertura de um arquivo executável contendo um Cavalo de Troia criado para coletar informações financeiras do usuário. “Nunca se deve acreditar neste tipo de mensagem e orientamos que o comprador entre em contato com a loja ou site onde fez a compra para verificar a veracidade do comunicado. Caso o e-mail possua algum telefone de contato, ele deve ser desconsiderado imediatamente”, explica.
Esse tipo de golpe, conhecido por phishing, é muito comum na web, e um dos principais vetores de infecção dos micros. Na dúvida, nunca clique em um e-mail com link se não tiver certeza da procedência, e use sempre a versão mais atualizada do navegador e um programa de segurança.
Agradeço ao Davi, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.
Um ótimo final de semana a todos vocês!
Tags: Fraude, mercado livre
Golpe brasileiro imita aparência da rede social.
Praga também distribui mensagens maliciosas.
Um novo golpe enviado por e-mail imita a aparência do Facebook para enviar à vítima uma mensagem sobre o uso de fotos. A mensagem encaminha o usuário para um link malicioso que possibilita a instalação de um ladrão de senhas bancárias.
No corpo da mensagem existe uma imagem imitando as solicitações recebidas por email da rede social Facebook. O texto “Oi, tudo bem? Gostaria de saber se posso usar nossa foto no meu Facebook?” tenta se passar por uma solicitação do amigo e junto dele existe um botão de confirmação. Caso o usuário clique em “Ir para fotos postadas”, o arquivo malicioso será oferecido para download.
O arquivo é um Trojan Banker e tem como função roubar senhas de bancos e gerar spam (mensagens em massa) aos contatos do usuário.
Ao se instalar no computador da vítima, o arquivo attachament092148.exe (VirusTotal: 17/42) termina com os processos de determinados antivírus e se torna proprietário de seus arquivos.
Os softwares afetados são AVs gratuitos e usados por uma grande parcela de usuários brasileiros tais como AVG8 (2012), Microsoft Security Essentials, Avira e Avast. O malware se camufla utilizando os mesmos ícones do antivírus AVG.
A praga cria diversas chaves no registro e também um ponto de inicialização junto ao sistema. Ela desabilita a Central de Segurança do Windows, o UAC e o Windows Defender, além de conceder privilégios de Administrador para arquivos maliciosos instalados durante a infecção.
Vale a recomendação para todos os internautas que costumam visitar frequentemente o Facebook para que evitem seguir links que chegam em mensagens de e-mail.
Agradeço ao Davi, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.
Tags: facebook, notificação, Trojan banker
Problema faz com que processos do Windows sejam detectados incorretamente como se fossem malwares
Uma atualização defeituosa disponibilizada para o Avira Antivirus Premium, Avira Internet Security, Avira Small Business Security Suite, Avira Endpoint Security e Avira Professional Security causou pane em PCs com Windows XP, Windows Vista e Windows 7 no mundo todo.
A atualização defeituosa eleva o número de versão do software para 8.2.10.64 e o do arquivo de definições para 7.11.30.24. O resultado desta atualização defeituosa é que o componente AntiVirProActiv passou a detectar processos críticos do Windows como se fossem malwares.
Entre os executáveis do Windows detectados incorretamente estão o explorer.exe, iexplore.exe, regedit.exe, rundll32.exe, wuauclt.exe, dllhost.exe e outros.
Ao detectar os processos incorretamente como se fossem malwares, o software da Avira os encerra e impede até mesmo a inicialização do Windows.
A atualização defeituosa também está identificando outros softwares da Microsoft (como Office e o Works) e de terceiros como Google Talk, Opera, OpenDNS Updater e outros incorretamente como se fosse malwares.
Basicamente, qualquer arquivo executável no PCs está sendo identificado como malware.
A boa notícia é que a versão gratuita do software de segurança da empresa, o Avira AntiVir Personal, não inclui o componente afetado pela atualização defeituosa.
A Avira disponibilizou em seu site de suporte uma página de ajuda com instruções detalhadas para contornar o problema temporariamente. Os usuários podem adicionar os executáveis afetados à lista de exceções ou podem desativar o componente ProActiv.
Agradeço ao Davi, amigo e colaborador deste site, pela referência a esta notícia.
Tags: avira, erro atualização
O Flashback foi mesmo um grande baque para a Apple: depois de ver mais de 100 mil Macs infectados com o vírus, a empresa resolveu pedir conselhos e uma análise detalhada para uma das grandes especialistas da área, a Kaspersky Labs. Com essa ajuda, o objetivo é retomar a fama de sistema seguro do Mac OS.
Mas tudo isso vai dar trabalho. Em entrevista ao Computing, um dos chefes de segurança do Kaspersky Labs, Nikolai Grebennikov, disse que o sistema operacional é “realmente vulnerável” – e que a Apple nunca prestou atenção nisso, o que levou a empresa a procurar ajuda. Só que agora pode ser tarde demais: em cerca de um ano, segundo ele, o primeiro malware exclusivo do iOS deve aparecer, sem contar outros perigos para o Mac OS.
Sobre a falta de preocupação da gigante, o grande exemplo citado por Grebennikov é mesmo o Flashback: enquanto a Oracle lançou uma atualização própria do Java para impedir o vírus de se alastrar em suas ferramentas, a Maçã demorou várias semanas até tomar a mesma medida. A parceria entre as companhias deve começar com a apresentação de um “diagnóstico” do Mac OS X e vai durar alguns anos.
Agradeço ao Davi, amigo e colaborador deste site, pela referência a esta notícia.
Tags: Apple, Kaspersky
