Malware como serviço avança no cibercrime

malware_piratariaMalware como Serviço. A modalidade avança no cibercrime, revela estudo da Trustwave. O levantamento constatou que ações do crime virtual envolvendo o kit de malware Magnitude durante o mês de maio, comprometeu mais de 210 mil computadores e expôs ao ataque mais de 1,1 milhão de endereços IP em todo o mundo. Os ataques renderam entre US$ 60 e US$ 100 mil por semana para os atacantes.

A ameaça substitui outros kits mais antigos, principalmente o Blackhole, muito utilizado até a prisão de seu mantenedor, o criminoso conhecido como Paunch, no final do ano passado. Mas, diferentemente do Blackhole e outros kits da mesma geração, o Magnitude não pode ser alugado nem comprado no mercado negro.

Os criminosos o adquirem por meio de uma assinatura de uso do kit para seus ataques, oferecendo, como pagamento, uma porcentagem das máquinas-alvo para que a gangue principal controladora do malware possa explorá-las como vítimas. Em geral, os “usuários” do Magnitude repassam de 5% a 20% das máquinas vítimas aos donos do sistema malicioso.

Os principais alvos de ataques são os EUA, com cerca de 338,44 mil tentativas de infecção. Em seguida, vem a França, com cerca de 75,52 mil tentativas e o Irã, com cerca de 69,51 mil. Mesmo sendo o mais atacado, os EUA registraram a menor taxa de sucesso para os criminosos, com apenas 9% dos ataques sendo convertidos em infecção, parcela idêntica à da França.

Vários países na América Latina sofreram tentativa de infecção, sendo que a Argentina apresentou cerca de 42,08 mil ocorrências; o Brasil, cerca de 32,93 mil; o México teve em torno de 25,71 mil tentativas; o Peru, cerca de 14.94 mil; a Venezuela, cerca de 12,30 mil e a Colômbia, 8,81 mil tentativas de infecção.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Novo malware pode atacar tanto Android como iOS

malware_mobileUm novo malware descoberto recentemente tem chamado a atenção por apresentar a capacidade de invadir tanto aparelhos Android quanto dispositivos iOS que passaram pelo processo de jailbreak. Conhecida como Xsser, a ameaça por roubar mensagens SMS, fotografias, registros de ligação e até mesmo as senhas armazenadas em seu dispositivo.

Enquanto donos de aparelhos Apple podem evitar a ameaça ao bloquear a instalação de apps com fontes desconhecidas, usuários do sistema da Google devem evitar conteúdos que não estejam disponíveis oficialmente na Play Store. Apesar de poder ser evitada facilmente, a maneira como ela é distribuída causa preocupações por sua capacidade de enganar usuários.

Em Hong Kong, o malware foi distribuído através de uma mensagem que imitava o serviço WhatsApp que acompanhava a descrição “confira esse aplicativo para Android desenvolvido pelo grupo de ativistas Code4HK para a coordenação da Occupy Central”. Ao clicar no link que acompanhava o texto, o smartphone usado era infectado automaticamente pelo Xsser.

Segundo a Lacoon Mobile Security, o fato de o ataque infectar múltiplas plataformas indica que ele está sendo conduzido por grupos bem organizados ou até mesmo por nações-estado. “O fato de o ataque estar sendo usado contra protestantes e executado por falantes do chinês sugere que esse é o primeiro Trojan para iOS criado por ciberativistas do governo local”, afirma a empresa em um comunicado.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: TecmundoPhone Arena e Lacon Mobile

Plugin malicioso é encontrado em site do Banco do Brasil

bb-trojanEm 18/09 vários usuários foram surpreendidos ao serem contaminados pelo malware Win32/Chir.

Essa ameaça infecta o computador da vítima e imediatamente procura outros compartilhamentos de rede, infectando os arquivos executáveis (.EXE).
Se outro computador executar este EXE, ele também será infectado e torna-se um novo vetor de infecção espalhando muito rapidamente a infecção para todos os computadores da rede tornando-o uma ameaça difícil de ser eliminada em redes com muitos computadores.

Ao que parece o plugin infectado, disseminado pelo programa  diagnosticbb.exe que faz parte do módulo de segurança Internet Banking, estava disponível no site oficial do Banco do Brasil na noite de 18/09 por volta das 20h e foi descoberto durante a madrugada e imediatamente removido da página.
Ao induzir o download, o falso plugin de segurança fez com que muitos correntistas instalassem o malware Win32/Chir em seus PCs.
Caso você tenha se defrontado com esse plugin na referida data e tenha a suspeita de contaminação podeseguir o seguinte procedimento para desinfetar o seu computador:

  1.  Faça o download da ferramenta de remoção da AVG no link a seguir:  http://download.winco.com.br/avg_remover_chir.exe
  2.  Desconecte o computador da rede.
  3.  Execute a ferramenta de remoção no computador.
  4. Com o computador ainda fora da rede, reinicie e execute novamente a ferramenta de remoção.

Em caso de redes corporativas com diretórios compartilhados, recomendamos desconectar todos os computadores da rede, passar a ferramenta em todos os computadores (desconectados da rede) e só depois de todos os computadores serem desinfetados reconecta-los.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: AVG e PSafe

Ataque que pode vincular malware ao download de softwares legítimos

new_attackUma equipe de pesquisadores da Universidade Ruhr, em Bochum, na Alemanha, criou um novo tipo de ciberataque no qual o código malicioso pode ser enviado em paralelo com um download de software legítimo sem a necessidade de mudança de nenhum código.

O novo ataque se liga a softwares de código aberto, já que há menos códigos de assinatura e checagens de integridade nesses downloads. Ele é incomum no fato do código não ser injetado no software, e sim vinculado a ele. Os pesquisadores explicam o que isso significa:

“Como a aplicação original não é modificada, há a vantagem do código malicioso poder ser de um tamanho maior, e assim ter mais funcionalidades. Assim, ao iniciar a aplicação infectada, o malware é iniciado. Ele analisa o arquivo em busca de mais arquivos executáveis embutidos, reconstitui e executa eles, opcionalmente de forma invisível para o usuário.”

Uma pessoa que use tal técnica precisaria apenas controlar um único ponto de rede entre o servidor do download e o cliente – o que significa que engenharia social simples ou redirecionamento de rede podem ser o suficiente para fazer isso se tornar realidade. E a técnica de vinculamento, que significa que o arquivo original não é alterado, significa que ele não se torna suspeito.

Mas há esperança. Os pesquisadores dizem que VPNs e HTTPS podem ser usados para detectar esse tipo de atividade suspeita que os sistemas atuais de detecção de malware não conseguem detectar. E lembre-se, por enquanto isso é apenas um projeto de pesquisa. Por enquanto.

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Gizmodo e Threatpost

Novo malware pode ser controlado a partir de serviços de e-mail

Android_malware_TORA G Data, representada no Brasil pela FirstSecurity, identificou a ação de um novo tipo de cavalo de troia que pode ser controlado remotamente pelos criminosos cibernéticos a partir de serviços de e-mail como o Gmail, Outlook.com e Yahoo Mail.

O Win32.Trojan.IcoScript.A é um cavalo de troia que pode receber comandos remotamente a partir de serviços de e-mail online e usa sua própria linguagem de script para se conectar automaticamente a uma conta de e-mail, o que faz dele um tipo tão incomum, segundo a G Data.

O cavalo de troia tem causado problemas desde 2012 sem ser descoberto, infectando PC com Windows a partir da ação direta nos processos de aplicações, mesmo que nenhum software antivírus tenha problema em detectar este tipo de ação, o IcoScript atua como uma ferramenta modular de administração remota (Modular Remote Administration Tool – RAT), e conseguiu promover muitos estragos sem ser incomodado.

“Ele abusou das interfaces de desenvolvimento COM (Component Object Model), que permite aos cibercrimionosos criar plug-ins para o navegador Internet Explorer, criando um esconderijo para comprometer o navegador sem ser notado pelo usuário ou pelo software antivírus”, comentou Ralf Benzmüller, especialista em segurança da G Data. “Ele funciona tão bem nestes serviços de e-mail, que existe a possibilidade de colocar as redes sociais em estado de alerta”, finaliza o especialista.

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: ti inside online

Cracker de 19 anos criou um malware e infectou 100 mil Androids

android_virusO segredo está na engenharia social e efeito da multiplicação, na forma como se convence o inocente usuário a instalar um app e a infectar-se com algo que desconhece, essa técnica é única e foi usada por um estudante chinês de 19 anos. Com isso ele “apenas” conseguiu infectar, em apenas 24 horas, 100 mil telefones com Android.

Vamos conhecer uma técnica que, embora batida, resultou e tornou-se numa praga.

HeartApp é apresentado como um app totalmente inofensivo que apela ao amor, um app de namoro, mas que no seu saldo já leva 100 mil smartphones infectados com malware. Passaram 24 horas e as habilidades em programação deste estudante permitiu que com um simples SMS, enviado para 99 contactos inicias, pudesse desencadear um ataque brutal. Este SMS incluía um link para download do app, que supostamente as pessoas iriam instalar no seu Android.

Depois dos usuários clicarem no link e descarregarem um app “real” inútil, mas que solicita permissões de acesso aos dados do smartphone, permissões que normalmente as pessoas nem lêem, aceitam logo, o malware trabalha em segundo plano recolhendo os dados existentes no smartphone que serão também enviados para o criador do vírus.

Após descarregar o primeiro aplicativo, o usuário será confrontado com outro pedido, desta vez é para descarregar um app complementar, um tipo de “pacote de recursos”, com o qual o cracker consegue tornar o terminal num bot e pode ler as suas SMS, enviar e emular falsas mensagens na caixa de entrada.

Depois é uma reação em cadeia. Em poucos segundos as máquinas estão enviando SMS para os seus contatos e começam a infectar pessoas que supostamente estão recebendo mensagens confiáveis. Depois de detectado este esquema, os principais operadores chineses já conseguiram bloquear mais de 20 milhões de mensagens, quase nada. Mas ainda há os tais 100 mil smartphones infectados.

O perigo do download de APK de fontes desconhecidas

Mas porque é que isto tudo atinge estas proporções? Bom, basicamente porque na China a Google não tem a sua Play Store e os Androids por lá fazem uso de lojas online não oficiais com apps que não são fidedignas. Descarregam-se APKs para obter aplicativos, e por isso têm ativada a opção “Fontes desconhecidas”.

Só desta forma se chega a tal situação e também porque se apela à ingenuidade das pessoas, de um usuário que não tem noção destas consequências, de como um simples aplicativo pode capturar dados privados, além dos custos associados.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

F-Secure prevê grande crescimento de malwares para os mobiles

malwareA empresa de segurança F-Secure prevê um crescimento do número de informações armazenadas em smartphones e tablets, além disso prevê também o aumento da quantidade de transações financeiras feitas através desses dispositivos. Esta situação faz com que esses aparelhos sejam cada vez mais um dos alvos mais prioritários para crackers.

Assim, segundo a empresa finlandesa, estima-se que até o final de 2014 o número de ameaças no universo móvel alcance um crescimento de 614% em relação a 2013.

Outro dado interessante levantado pelos especialistas da F-Secure é de que já existem aproximadamente 900.000 exemplares de vírus e malwares circulando entre smartphones e tablets. São 1.200 famílias de malware para mobile, sendo que 50% afetam o sistema Symbian, 45% o sistema Android e 5% outros sistemas operacionais.

“Os malwares para smartphones e tablets são cada vez mais comuns. Como o Android superou a utilização do Windows, passou a ser o maior alvo dos crackers”, explica Roni Katz, especialista em segurança da F-Secure.

Mais uma vez a empresa de segurança recomenda que os usuários desse tipo de dispositivo tenham particular cuidado quando acessarem redes Wi-Fi públicas, tomando estes cuidados:

- Não entrar em sites com informações confidenciais, como bancos
– Não abrir anexos de e-mails suspeitos
– Verificar se o link de acesso ao site é real
– Não instalar apps de lojas não oficiais
– Trocar periodicamente as senhas.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 499 outros seguidores