Pesquisadores de segurança descobriram um malware que escaneia PCs para ter acesso remoto ou acesso a arquivos de configuração de desktop distante, que indicam que software instalado pode ser usados para controlar remotamente o computador. A ameaça – denominada Georbot – rouba as credenciais relacionadas dos arquivos e as transmite para os invasores, fornecendo acesso direto para as máquinas com as ferramentas de acesso embutidas.
As habilidades do malware foram descobertas em janeiro pelos pesquisadores de segurança da empresa antivírus Eset. “Um dos analistas de nosso laboratório notou que se comunicava com um domínio pertencente ao governo da Georgia (o país no sudoeste na Ásia, não o estado do Estados Unidos) para recuperar atualizações”, apontou a pesquisa lançada na última semana.
A empresa afirmou que o malware está em circulação desde setembro de 2010 e foi atualizado pelo menos mil vezes. “Deve ser observado que a Agência de Intercâmbio de dados do Ministério da Justiça da Georgia e sua CERT nacional estão conscientes da situação desde o início de 2011 e, em paralelo com sua própria monitoração, cooperam com o Eset acerca do problema”.
A empresa disse que conseguiu o acesso ao painel de controle botnet, permitindo que contasse o número de máquinas infectadas, sua localização, bem como deduzir exatamente quais tipos de comandos o aplicativo troia pode gerar. Por exemplo, o malware pode ser usado para gravação de áudio e vídeo de PCs infectados.
Agradeço ao Vanderlei e Davi, nossos amigos e colaboradores deste site, pela referência a esta notícia.
Tags: Georbot, malware
Pesquisadores de segurança da Sophos detectaram uma nova variante do malware OSX/Imuler, que infecta o Mac OS X.
Esta nova variante conhecida como OSX/Imuler-B usa imagens da modelo Irina Shayk para tentar enganar os usuários e fazer com que eles executem o aplicativo malicioso:
Os criminosos se aproveitaram do fato de que o Mac OS X oculta por padrão as extensões dos arquivos, assim os usuários pensam que estão abrindo um arquivo de imagem .jpg ao invés de um arquivo malicioso.
Ao ser executado, o malware apaga o arquivo original usado para infecção e deixa apenas a imagem de Irina Shayk. Além disso, ele abre uma backdoor no Mac infectado e envia informações do usuário para um servidor controlado pelos criminosos.
A Sophos recomenda que os usuários do Mac OS X habilitem a opção “Show all filename extensions” para ajudar a evitar este tipo de situação.
Agradeço aos amigos e colaboradores deste site Vanderlei e Davi, pela referência a esta notícia.
Tags: Mac OS X, malware
Uma nova ameaça descoberta visa atacar smartphones, tablets, roteadores e qualquer outro terminal que utilize sistema operacional baseado em Linux, como o Android.
Segundo a empresa ESET, a ameaça, identificada como Aidra, age como um botnet (rede zumbi) para controlar remotamente o dispositivo infectado. A Aidra seria uma variante da ameaça Linux/Hydra.B. e já teria infectado mais de 11 mil equipamentos.
O malware age invadindo o dispositivo por meio de um ataque massivo, no qual tenta de forma sucessiva várias combinações até conseguir identificar uma forma de acessar os equipamentos.
Uma vez que consegue invadir o aparelho, a Aidra infecta o sistema operacional e transforma o terminal em um dispositivo zumbi, que será controlado pelo cibercriminoso.
A ameaça pode ser identificada e eliminada por um software antivírus, que esteja atualizado. Além disso, a ESET sugere que os usuários evitem utilizar senhas que sejam identificadas facilmente ou que tenham sido fornecidas pelo fabricante do produto.
Agradeço ao Vanderlei, nosso amigo e colaborador deste site, pela referência a esta notícia.
Tags: linux, malware
Experts da empresa de segurança não conseguem descobrir que linguagens foram usadas para escrever partes do código do malware.
Especialistas em malware da Kaspersky Lab pediram à comunidade de programação ajuda na identificação da linguagem de programação, compilador, ou framework usado para escrever uma parte importante do Trojan Duqu, na esperança de que isso revele pistas sobre quem o criou ou porquê.
“Quando checamos o Duqu, ele parecia totalmente desconhecido, o que é muito curioso, porque não se sabe por que algo tão personalizado foi desenvolvido e usado”, disse Vitaly Kamluk, chefe da equipe de pesquisa e análise global da Kaspersky.
Entender como um malware foi criado pode oferecer pistas sobre onde procurá-lo ou o nível de recursos necessários para seu desenvolvimento, disse o especialista.
Algumas partes do DLL de payload do Duqu, o componente responsável por interagir com os servidores de comando e controle, baixar e executar módulos adicionais e executar outras tarefas, foram escritos em C++, mas uma grande parte, não.
“Esta fatia é diferente dos outros, porque não foi compilado a partir de fontes C++. Ele não contém nenhuma referência a qualquer norma ou funções C++, mas é definitivamente orientada a objetos”, escreveu o expert especialista Igor Soumenkov, da Kaspersky.
Pesquisadores da empresa se referem a esta parcela da Trojan como “O Framework Duqu” e acreditam que pode ter sido criado por uma equipe de programação diferente.
Esse código incomum é específico do Duqu e não existe no Stuxnet, ao contrário de outras partes que foram copiadas do malware que sabotou o programa nuclear do Irã.
“Essa linguagem de programação misteriosa definitivamente não é C++, Objective C, Java, Python, Ada, Lua e muitas outras linguagens”, disse Soumenkov.
Após “incontáveis horas” de análise, a Kaspersky apelou à comunidade de programação, na esperança de quealguém possa reconhecer o código.
Agradeço aos amigos Vanderlei, Davi e Marcelo, colaboradores deste site, pela referência a esta notícia.
Um excelente final de semana a todos!
Tags: Kaspersky, malware
Trojan ‘Flashback’ também tenta usar certificado falso da Apple.
Malware rouba senhas de serviços como Paypal, Google e bancos.
A fabricante de antivírus Intego divulgou a descoberta de uma nova “versão” de um vírus para Mac OS X conhecido como “Flashback”. A novidade está na forma que o vírus é capaz de infectar o sistema da Apple: ele tenta utilizar duas falhas no Java e, se tiver sucesso, será instalado sem nenhum aviso ao internauta que visitar um site infectado.
As brechas no Java estão em uma versão antiga do software. Usuários do Mac OS X 10.7 correm menos risco, porque o Java não está instalado por padrão. Quem usa a versão 10.6 ou instalou o Java na 10.7 precisa usar o Apple Software Update para instalar a versão mais nova do Java para se proteger.
O problema existe porque o Java é executado dentro dos navegadores de internet em um formato conhecido como “applet”. Os applets são restritos e não são capazes de realizar uma série de tarefas. No entanto, devido às falhas de segurança, é possível burlar essas restrições e infectar o sistema.
A técnica é a mesma que já vem sendo utilizada para atacar os usuários de Windows, embora o sistema da Microsoft também seja atacado por falhas do próprio Windows e de outros plug-ins, como Flash e PDF.
Se a tentativa de instalação não funcionar, a página infectada tentará oferecer um applet com certificado inválido com o nome de “Apple, Inc”. Se o usuário clicar no botão “Continuar”, o vírus será instalado. É a mesma técnica usada por vírus brasileiros.
Funcionamento ainda é instável
De acordo com a Integro, o vírus tenta se incluir na memória de programas populares, como Skype e Safari. O objetivo da praga seria monitorar o acesso a endereços como o Google, Paypal e sites de bancos para roubar senhas dos usuários.
No entanto, o vírus é instável e causa problemas nos softwares, impedindo-os de iniciar e causando erros.
O vírus também evita se instalar em Macs que tiverem recursos de proteção adicional, como antivírus de terceiros. O recurso de segurança antivírus embutido no Mac, porém, é desativado pelo código.
Outro detalhe que chama a atenção nesta variante do Flashback é que ele possui um mecanismo de atualização automática.
A Intego recomenda que todos os usuários do Mac OS X mantenham o Java sempre atualizado.
Agradeço aos Vanderlei e ao Davi Lino, amigos e colaboradores deste site, pela referência a esta notícia.
Fonte: G1
Tags: Mac, malware, Trojan
