Alerta: Skype está sendo usado para envio de malware

Malware-SkypeDepois de descoberto um bug (que entretanto já foi resolvido) que impossibilitava o acesso ao aplicativo de forma permanente no Android, iOS ou Windows, sabe-se agora que o Skype vem sendo usado para envio de malware em escala mundial.

A noticia foi divulgada pelo site ZDNet, depois de receber informações de um representante da PhishMe – empresa que detecta novos ataques de phishing.

O serviço mais popular de conversas parece voltar diante de um ataque. Desta vez, o serviço foi “associado” a uma Botnet e muitos usuários estão recebendo um popup com uma mensagem que solicita ao usuário o download de um player de vídeo para reproduzir o conteúdo. De acordo com a análise feita pela empresa PhishMe, por cada download os hackers recebem uma comissão.

skype_downloadsNa prática depois do usuário fazer o download do suposto Video Player e de o instalar, o seu sistema fica infectado com malware que altera de imediato várias definições.

No final de todo o processo é ainda instalado o Media Player Classic para que o usuário acredite que não fez nada de errado e que está tudo bem com o seu sistema.

videoplayerTal como revela o site ZDNet, a botnet usada recorre à infra-estrutura da Amazon Web Services para armazenar as páginas web (pop-ups) que são usadas durante o ataque. A Microsoft já está trabalhando numa solução para resolver este problema que afeta os clientes Skype do Windows, Android e iOS.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Descoberta forma de se injetar malware através de fotos na Internet

gatoUm especialista em segurança diz ter criado uma nova forma de ataque virtual que utiliza imagens aparentemente inofensivas, como memes de internet, para infectar o usuário. Saumil Shah diz ter se aproveitado de uma brecha de segurança para injetar códigos maliciosos de JavaScript nas fotos.

Segundo Shah, o golpe só pode ser realizado sob circunstâncias específicas, o que limitaria a abrangência do golpe. A imagem deve ser hospedada sem extensão de arquivo, o que é proibido por serviços como Dropbox, e não ser submetida a sistemas que alteram o arquivo original, como do Facebook e do Google.

Para funcionar, a foto “envenenada” deve ser servida diretamente ao usuário, navegando a partir de um navegador vulnerável.

Depois das alegações de Shah, outros engenheiros, entre eles Christian Bundy, fizeram críticas à suposta descoberta. Segundo Bundy, ainda seria necessário um website malicioso capaz de rodar o script instalado na imagem para tornar o golpe efetivo. Dessa forma, a imagem sozinha seria incapaz de injetar qualquer código malicioso.

Fontes:  Info e Engadget

Criado malware que se esconde na placa de vídeo

video_cardMemória pode não ser apagada quando o computador é reiniciado. Área não é verificada pelos programas antivírus.

Programadores anônimos criaram três programas espiões capazes de se alojar na memória de placas de vídeo. Os códigos fonte dos programas, chamados de WIN_JELLY, Jellyfish e Demon, foram publicados no site Github, permitindo que outros desenvolvedores estudem e compreendam a técnica utilizada. O mais recente é o WIN_JELLY, publicado recentemente, e todos eles foram criados como “demonstração de um conceito”, sem finalidade maliciosa.

Vírus já fazem uso de placas de vídeo para “minerar” moedas virtuais como o Bitcoin, mas nesses casos o programa em si não fica armazenado na placa de vídeo. Ele apenas “chama” funções do hardware de vídeo para aproveitar o processamento da placa em cálculos específicos ligados a moedas criptográficas.

A ideia dos três pacotes de software publicados no Github é armazenar o código todo do programa na memória da placa de vídeo do computador, um espaço que geralmente não é analisado pelos antivírus. Com isso, detectar o ataque fica mais difícil.

Para funcionar, os códigos exigem que o computador tenha uma placa de vídeo dedicada da AMD ou Nvidia. Essas placas têm memória própria e estão presentes em computadores para jogos, estações de trabalho 3D e outros sistemas de alto desempenho. Placas integradas, comuns em computadores baratos e notebooks, compartilham a memória do sistema com o processador e os códigos não funcionam nessa condição.

A técnica também é diferente da adotada por programas espiões alojados em hardware. O mais comum é que o programa malicioso seja armazenado no firmware, que é um programa presente no chip responsável pela lógica do circuito. Em fevereiro, a fabricante de antivírus Kaspersky Lab encontrou um “supervírus” capaz de se armazenar no chip de controle do disco rígido. Outros testes de laboratório já demonstraram ataques semelhantes contra placas-mãe e placas de rede.

Os três programas que se alojam na placa de vídeo, porém, usam meios disponibilizados pela própria placa de vídeo para manipular a memória da placa. Essas funções são destinadas a programas que querem usar o processador da placa – que é mais rápido para certos cálculos. Os códigos fazem uso dessas funções para gravar o programa malicioso na memória da placa.

No entanto, a memória é volátil e deve ser apagada quando o computador é reiniciado. Segundo a documentação do WIN_JELLY, porém, há uma chance de o código permanecer na memória, o que permite alojar a maior parte do código malicioso somente na placa de vídeo.

Como o meio é irregular, a técnica pode não funcionar em todos os casos e desligar o computador completamente fará com que o vírus suma da memória e precise ser recarregado, dando uma chance para que as ferramentas de segurança detectem um possível ataque.

Os programadores dizem que ainda estão nos “estágios iniciais da pesquisa e que começaram colocando em prática teorias descritas artigos acadêmicos sobre códigos maliciosos alojados na memória da placa de vídeo. Não foi informado de que maneira eles planejam melhorar o código.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Regin: sua empresa pode estar sendo espionada?

phishingO Regin consegue controlar os dispositivos de entrada (input) e assim capturar dados de acesso, monitorar o tráfego de redes e obter informação sobre vários processos de um sistema.

A origem do mesmo permanece desconhecida, mas existem, no entanto, fortes indícios de que o mesmo tenha sido criado por um governo ocidental. A prestigiada publicação alemã Der Spiegel afirmou mesmo ter provas de que o Regin foi mesmo criado pela americana NSA.

Falamos, então, de uma ameaça multi-staged como o Stuxnet, que usa uma abordagem modular à semelhança do Flame. Esta combinação torna o Regin num dos mais avançados backdoor trojan já identificados. Este avançado malware tem como objetivo recolher informação obtida de um variado grupo de diferentes fontes, desde organizações governamentais passando por instituições de ensino e operadores de telecomunicações. Mas o mesmo toolkit tem sido usado sobretudo para recolher informação sobre empresas de todas os segmentos.

A estratégia de combate

Diante de uma ameaça de tecnologia tão avançada, o fabricante alemão de soluções de segurança Avira trabalhou em conjunto com o German Federal Office for Information Security (BSI), órgão de alto nível do governo alemão.

Desta união de esforços resultou a criação de novas rotinas de detecção deste malware que, entretanto, foram integradas na eficaz ferramenta Avira PC Cleaner. “Os usuários dispõem agora de uma ferramenta poderosa, mas de fácil uso que permite detectar o malware Regin”, afirma Dirk Häger, chefe do departamento operacional de segurança de redes do BSI.

A Solução

A ferramenta Avira PC Cleaner detecta elementos identificáveis do Regin e consegue removê-los do sistema infectado. Mesmo após uma limpeza bem sucedida do sistema, o pessoal de engenharia da Avira aconselha executar o aplicativo de remoção uma segunda vez para ter a certeza absoluta de que a infraestrutura TI está protegida.

A solução é baseada no motor de detecção de malware do fabricante Avira que apresenta eficácia e eficiência comprovada em milhões de instalações em todo o mundo. Este também disponibiliza proteção em tempo real baseada nas nuvens e detecção proativa baseada em fatores comportamentais, entre muitas outras funcionalidades.

avira_pccleanerEsta ferramenta apresenta como grande vantagem o fato de não precisar ser instalada no sistema e ainda o fato de poder ser usada independentemente da solução ou fabricante anti-vírus que esteja previamente instalada na máquina, sendo por isso também chamada de scanner de segunda opinião.

O download da ferramenta pode ser feito aqui.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Site brasileiro hackeado propaga malware russo

MalwareChegou a nosso conhecimento que um site de streaming de vídeo brasileiro teve sua página principal comprometida, de modo que ataques diferentes eram feitos contra todos os usuários que a acessavam, cerca de 40.000 somente em Janeiro deste ano segundo o Alexa.

O ataque exigia apenas que a vítima visualizasse a página principal do site utilizando um navegador qualquer e desdobrava-se em três etapas:

1. Uma falsa notícia de necessidade de instalação do plugin do Flash.

Na página HTML principal do site, encontramos os seguinte código, que desenha uma caixa imitando a que os navegadores exibem quando um plugin é necessário para a visualização correta de um site. Caso o usuário clicasse no botão “OK” (ok.png), este faria o download de um arquivo install.zip, que continha um cliente da botnet QAKBOT comprimido.

qabot2. Tentativas de ataque de força bruta ao roteador da vítima, com a intenção de alterar as configurações de DNS.

Ainda na mesma página, o atacante utilizou-se do comando @import do CSS [https://developer.mozilla.org/pt-BR/docs/Web/CSS/@import] para forçar o navegador a fazer uma requisição HTTP GET para endereços como:

hxxp://admin:admin@10.0.0.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1;

hxxp://admin:admin@192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0&lcpMru=1480&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=200.98.170.34&dnsserver2=200.98.170.111&
downBandwidth=0&upBandwidth=0&Save=&Advanced=Advanced

hxxp://admin:admin@10.1.1.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1

O que essas requisições fazem é aproveitar a autenticação HTTP básica normalmente utilizadas em roteadores ADSL para alterar os IPs dos servidores DNS configurados nestes dispositivos. Contando que os usuários não alterem a senha padrão (o ataque em questão tenta com a senha “admin”), os atacantes tentaram alterar os servidores DNS das vítimas para 200.98.170.34 e 200.98.170.111, felizmente já retirados do ar.

Parte do trecho de código responsável por este estágio do ataque é exibida na imagem abaixo:

qabot13. Instalação de um cliente da botnet QAKBOT.

O último estágio requeria que a vítima acessasse o site comprometido utilizando o Internet Explorer, pois dependia da execução de um script em VBScript (interpretado como ActiveX), para baixar e instalar o cliente da QAKBOT, com o seguinte trecho de código:

qabot2A técnica utilizada neste curto script é bastante engenhosa: o atacante converteu todos os bytes do executável do cliente da QAKBOT para uma grande string na linha 237. Com o loop na linha 242, o código converte de volta cada byte original do arquivo executável e o escreve, um por um, num arquivo chamado svchost.exe, no diretório temporário. Na linha 248 ele finalmente executa o malware.

Apesar de funcional, a execução deste trecho normalmente requer que a vítima responda “Sim” para muitas confirmações que o Internet Explorer faz, como mostra a imagem abaixo:

qabot3No momento em que tivemos acesso à página comprometida, este trecho estava comentado/desativado, provavelmente pelo próprio atacante dadas as várias condições necessárias para o sucesso da infecção.

Em caso de sucesso na alteração dos servidores DNS utilizados pelas vítimas, os perigos são grandes: ao acessar sites de banco, e-mail, redes sociais etc os usuários podem facilmente ter suas credenciais e informações pessoais roubadas pelo atacante. Isto porque o sistema normalmente “pergunta” ao servidor DNS como chegar ao site que o usuário quer acessar e, utilizando um DNS de controle do atacante, este último pode instruir o computador da vítima a exibir uma cópia maliciosa do site desejado.

Já a tentativa de instalação da botnet, em caso de sucesso, permite que o atacante controle totalmente a máquina da vítima de forma remota, transformando-a no que chamamos de “máquina zumbi”, que passa a obedecer ordens, tais quais podem variar de envio de dados sensíveis a iniciar ataques de negação de serviço contra serviços expostos na Internet.

Apesar de antiga, a QAKBOT é poderosa e cheia de recursos. O arquivo executável que atua como cliente dela tem uma série de fatores que nos levam a concluir ter sido criada na Rússia, em linguagem Assembly. Com apenas 82 KB de tamanho já descomprimido, é também preparado para não ser analisado, possuindo técnicas de anti-debugging e anti-VM. Todo o controle é efetuado por um servidor nos Estados Unidos.

O que chamou nossa atenção neste ataque?

A colaboração entre cibercriminosos brasileiros e russos não é novidade, mas ainda é bastante ativa.
O uso do comando @import para o ataque de força bruta ao modem/roteador da vítima. Várias outras amostras deste mesmo ataque utilizam JavaScript no lugar de CSS.
A tentativa de instalar um cliente de uma botnet antigo, comprimido (packed) para tentar disfarçar sua origem, o que sugere que ele ainda funcione – e de fato o servidor de comando e controle (C&C) está ativo.

Agradecemos ao Henrique-RJ, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog

Novo malware pode apagar o HD da vítima

malware_novoOs pesquisadores do Talos Group, da Cisco, descobriram uma nova espécie de malware que faz de tudo para se esconder das ferramentas de análise. Em último caso, o malware é capaz de apagar todo o disco rígido da vítima com o objetivo de se manter escondido.

O software malicioso recebeu a alcunha de Rombertik. Ele se espalha por meio de arquivos anexos em e-mails e seu objetivo é coletar todo tipo de dados importantes da vítima, possivelmente credenciais de login e informações bancárias, por exemplo.

Os pesquisadores fizeram a engenharia reversa e descobriram que o vírus é capaz de fugir da análise utilizando vários níveis de ofuscação, que tornam difícil para pessoas de fora entender como ele funciona. E, caso o Rombertik perceba que está sendo observado por um pesquisador de segurança, ele se autodestrói, levando junto o HD da vítima.

Segundo os especialistas do Talos Group, há vários outros malwares que tentam driblar a análise, mas o Rombertik é o primeiro caso de vírus que destrói o computador para tal.

O vírus também usa outras técnicas menos destrutivas para fugir da análise. Ao ser executado em sandbox, modo que permite ao malware agir de modo livre em um ambiente controlado, ele escreve um byte de dados aleatórios na memória 960 milhões de vezes, o que causa demora e pode causar problemas na ferramenta de sandbox, além de evitar que ferramentas de análise documentem o comportamento preciso do vírus.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e ars technica

Malwares avançam sobre o sistema Android

androidmalwareO Android é um sistema que recorrentemente se vê exposto a problemas de segurança graves. Tipicamente, são aplicativos que são lançadas na Play Store e lojas similares que conseguem infectar milhares de equipamentos roubando dados e/ou outros elementos.

Um estudo recente revelou um cenário ainda pior e muito preocupante para os usuários do Android. Em 2014, 1 em cada 6 aplicativos existentes para Android era na realidade um malware disfarçado.

Os números apresentados resultam de um estudo feito pela Symantec, realizado durante o ano de 2014, e revelam um cenário muito sombrio para o Android e para os aplicativos que os usuários têm acesso.

Dentre o que se pode concluir da análise desse estudo, o percentual de aplicativos maliciosos nas diferentes lojas de apps a que o usuário tem acesso estão cada vem mais sendo ocupadas com softwares que depois de instalados acabam se transformando em uma dor de cabeça para os seus usuários.

Este número é extremamente elevado, girando em torno dos 17%, um valor que não se esperaria ver e que mostra fragilidades nos sistemas de aprovação de aplicativos nas lojas Android.

Mas para além deste número elevado, há um ainda mais preocupante e igualmente alto. Falamos do software que a Symantec categorizou como greyware.

Este software não se revela problemático no momento da instalação, mas algum tempo depois assume a sua verdadeira identidade e acaba por se tornar maligno. Este software representa já cerca de 36% dos aplicativos disponíveis para instalação.Este estudo avaliou mais de 200 lojas de aplicações para Android, de onde foram descarregadas mais de 50 mil aplicações.

A maioria do malware encontrado pretende principalmente roubar dados do usuário, como números de telefone bem como agendas, para depois serem vendidas.

Há ainda os que conseguem fazer com que os smartphones passem a enviar SMS para serviços de custo bem elevado ou que apresentam publicidade sem qualquer controlr do usuário.

As áreas onde existe maior propagação deste malware são em locais onde é difícil ou impossível o acesso à loja de aplicativos da Google, o que obriga os usuários a recorrerem a lojas de apps não oficiais que em muitas vezes encontram-se adulteradas ou alteradas com propósitos bem claros.

Curiosamente este mesmo estudo conseguiu encontrar três aplicativos para iOS que eram malware, mas que obrigavam os usuários a realizar jailbreak para que algum problema fosse detectado.

Resumidamente pode-se dizer que o problema maior do Android está mesmo nos aplicativos que se obtêm de lojas paralelas às oficiais e onde não existe qualquer controle sobre os aplicativos ali disponibilizados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplwware
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 566 outros seguidores