Descoberto super malware que infecta firmwares de HDs

HDs

‘Equation’ estaria ligado ao Stuxnet, diz Kaspersky Lab.
Organizações no Brasil também sofreram ataques.

A fabricante de antivírus russa Kaspersky Lab divulgou detalhes técnicos de uma série de ataques batizada pela empresa de “Equation”. Especialistas da companhia chamaram os códigos usados pelos ataques de “a Estrela da Morte da galáxia dos malwares”, em referência à arma da série “Guerra nas estrelas” capaz de destruir planetas.

As informações foram publicadas nesta segunda-feira (16), junto de uma palestra sobre os ataques apresentada no Security Analyst Summit (SAS), um evento promovido pela Kaspersky Lab que ocorre em Cancun, no México.
O Equation engloba uma série de programas de espionagem usados para roubar informações de instituições financeiras, governamentais e militares, além de atacar organizações de setores como comunicação, pesquisa nuclear, nanotecnologia e empresas de segurança envolvidas no desenvolvimento de criptografia.

Os códigos foram usados apenas contra alvos específicos de espionagem. Os países mais atacados são o Irã, a Rússia e o Paquistão, o Afeganistão, a Índia, a China, a Síria e Mali. No Brasil, uma organização do setor aeroespecial aeronáutica teria sido invadida pelos espiões. A Kaspersky Lab estima que há pelo menos 500 vítimas do Equation no mundo.

Um dos componentes das pragas do grupo, chamado de “nls_933w.dll”, é capaz de reprogramar o firmware de discos rígidos. O firmware é o software que controla a operação básica do disco, o que significa que o vírus infecta o próprio disco rígido, não apenas os dados nele armazenados. O firmware também controla sua própria memória, por isso o único meio garantido de remover o vírus é retirando e reprogramando fisicamente o chip do disco, o que nem sempre é possível sem danificar o hardware.
Ataques contra hardware são dificultados pelas diferenças entre fabricantes, mas isso não impediu os programadores do Equation. O “nls_933w.dll” consegue funcionar em equipamentos de mais de uma dúzia” de marcas, incluindo Seagate, Western Digital, Samsung, Toshiba, Maxtor e IBM. Apesar de a função estar presente, ela foi raramente usada, segundo a Kaspersky Lab.

Nos casos em que o disco rígido foi alterado, o vírus ganhou acesso a compartimentos de armazenamento “secretos” que não são removidos pela formatação, garantindo a permanência do código espião no sistema infectado.
Possível envolvimento dos Estados Unidos
A Kaspersky Lab não informou quem são os responsáveis pela Equation, mas revelou alguns deslizes cometidos pelos programadores dos códigos que dão pistas sobre a origem dos programas. Em um dos arquivos aparece a palavra “implante”, comum no vocabulário da Agência de Segurança Nacional dos Estados Unidos (NSA).

Outra palavra encontrada nos arquivos é “Grok”, que também aparece em documentos secretos da NSA publicados pelo jornal alemão “Der Spiegel”.
Em outro caso, uma das pragas ligadas ao Equation, chamada de “Fanny”, utilizava em 2008 uma brecha de segurança desconhecida que seria corrigida só com a descoberta do vírus Stuxnet, em 2010. Segundo documentos secretos e uma reportagem do “New York Times”, o Stuxnet foi desenvolvido pela NSA em colaboração com o serviço secreto de Israel.

Distribuição via interceptação de CDs
A Kaspersky Lab informou no alerta que uma praga digital do Equation foi distribuída em 2009 por meio de um CD-ROM de uma “prestigiosa conferência científica internacional” em Houston. A vítima, que não foi identificada, recebeu o CD da organização da conferência. O disco deveria conter fotos do evento, mas era capaz de infectar o computador imediatamente ao ser lido pelo sistema, usando três falhas de segurança – duas delas sem correção na época.
Além da interceptação de encomendas durante o transporte para infectar CDs, o Equation seria distribuído também por meio de pen drives USB e sites maliciosos.

O Equation pode estar ativo pelo menos desde 2001, mas endereços usados pelos espiões chegam a ser registros datados de 1996.
O nome do grupo significa “equação” em português. A Kaspersky Lab deu esse nome por conta da preferência do grupo por complexos esquemas de criptografia. Tecnologias de criptografia costumam de depender de equações matemáticas complicadas para que a chave da criptografia (o “X”) não possa ser descoberta.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Novo malware ataca de forma silenciosa

malware_alertSem ser notado, ameaça faz um reconhecimento do terreno e testa barreiras vulneráveis, tornando-se altamente perigoso para as empresas

O Websense Security Labs descobriu um novo malware que utiliza técnicas de evasão e baixa um programa para minerar um cryptocurrency. O malware, batizado de ‘f0xy’, consegue alterar seu comando e controle (C&C) de maneira dinâmica, além de baixar e executar arquivos arbitrários, segundo a empresa.

As táticas de evasão do f0xy incluem o VKontakte, rede social da Rússia, que utiliza o Background Intelligent Transfer Service para baixar arquivos.

“O malware emergente f0xy utiliza técnicas de evasão especialmente avançadas, além de astúcia e truques para esconder-se atrás dos ruídos de comunicações legítimas”, explica Carl Leonard, Principal Analista de Segurança da Websense. Ele completa dizendo que o malware age nos bastidores, faz um reconhecimento do terreno e testa barreiras vulneráveis, o que representa uma ameaça grave.

Os analistas da Websense acreditam que o autor do malware alterou e aprimorou o código para aumentar sua credibilidade e eficiência, chegando a uma versão que funciona na maioria dos sistemas operacionais. As primeiras versões do malware devem rodar apenas no Windows 6.0 (Vista) ou em versões mais recentes do sistema operacional. Porém, as versões seguintes do malware também devem rodar no anterior Windows XP.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ITForum 365

Site falso do “Reclame Aqui” tenta instalar malware

reclame_fakeA equipe do site Reclame Aqui descobriu nos últimos dias um domínio parecido que está usando o Google para confundir usuários e tentar instalar um malware em suas máquinas.

De acordo com o comunicado publicado no verdadeiro Reclame Aqui, o site falso investiu em um link patrocinado para aparecer em destaque em pesquisas realizadas no Google com os termos “Reclame Aqui”. Com o domínio http://www.reclameaqui.info, o site dos golpistas tenta instalar uma suposta atualização do Java na máquina de suas vítimas.

O malware uma vez instalado, faz o redirecionamento da vítima para o site verdadeiro, camuflando sua instalação.

O comunicado informa como se prevenir deste tipo de ataque, conhecido como phishing, usando “duas dicas muito importantes para os consumidores: o domínio verdadeiro do Reclame AQUI é http://www.reclameaqui.com.br; o Reclame AQUI não requer instalação de qualquer software para uso do site”.

Após o alerta, o site falso foi tirado do ar. O Reclame Aqui pede a ajuda dos usuários para diagnosticar e prevenir esse tipo de problema: “se você flagrar qualquer site fazendo mau uso dos serviços, denuncie. Você pode postar uma reclamação ou enviar e-mail para imprensa@reclameaqui.com.br”.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: CódigoFonte UOL

Malware infecta dispositivos Android a partir de apps legítimos

Durak-gameSe você está vendo anúncios em seu celular Android mesmo onde eles não apareciam originalmente, é hora de parar de criticar as desenvolvedoras de software e prestar mais atenção em sua própria segurança. A Avast, fabricante de um dos antivírus mais utilizados do mundo, revelou nesta semana a descoberta de um malware que está escondido em centenas de apps da Google Play Store e que já estaria instalado em milhões de celulares.

Tudo acontece de forma sorrateira e, muitas vezes, mesmo depois da praga começar sua operação, o usuário pode não perceber que está infectado. A ameaça se instala por meio de jogos e outros aplicativos aparentemente legítimos e fica dormente por algum tempo após a instalação, coletando dados de uso e métricas de consumo de conteúdo. Na sequência, passa a exibir anúncios, muitas vezes legítimos, mas com renda revertida para os autores da praga.

As principais vítimas seriam os russos, já que a maioria dos softwares infectados está relacionada a jogos tradicionais ou à história daquele país. Por outro lado, a Avast também encontrou casos de usuários internacionais infectados com o malware. Alguns dos apps identificados como portadores da praga já estão sendo retirados pelo Google de sua loja online, mas outros ainda permanecem por lá.

Com o tempo, o malware vai se tornando mais invasivo. De propagandas aqui e acolá, ele começa a se apoderar do sistema até chegar a exibir anúncios na tela inicial do celular, assim que ele é desbloqueado pelo usuário. Nesse caso, os avisos se parecem mais com indicações para a instalação de atualizações ou alertas de que o aparelho pode estar infectado e precisa de um antivírus – o que é bastante irônico levando em conta o caráter da praga.

Ao clicar na publicidade, normalmente os usuários são levados a sites também comprometidos, voltados para a instalação de ainda mais malwares no dispositivo. Por outro lado, como uma forma de engenharia social e de provar que o aparelho está funcionando bem, a ameaça também é capaz de exibir propagandas legítimas e redirecionar os usuários para apps certificados na Google Play Store. Para os especialistas da Avast, trata-se de uma forma de engenharia social desenvolvida para fazer o usuário acreditar que nada de esquisito está acontecendo.

A indicação da Avast é sempre manter um software antivírus instalado e funcionando no celular, um aparelho que muitas vezes tem suas necessidades de segurança minimizadas e, justamente por isso, se torna cada vez mais alvo de hackers. Além disso, é uma boa sempre dar uma lida na página dos aplicativos que se deseja baixar, checando número de downloads, informações sobre desenvolvedores e até comentários que possam exibir alguma coisa suspeita.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e Avast blog

Malware multiplica visualizações de vídeos no You Tube

tubrosaO cibercrime está desenvolvendo novas técnicas de monetizar suas vítimas. O novo relatório da Symantec destrincha o malware Tubrosa, criado para forçar computadores infectados a visualizarem determinados vídeos no YouTube com o objetivo de coletar a receita de publicidade oferecida pelo site de vídeos do Google.

O vírus recebe uma lista de cerca de 1 mil links do YouTube, que são abertos no plano de fundo da máquina infectada. O software malicioso é inteligente o bastante para disfarçar a atividade, reduzindo o volume sonoro do computador. Se o usuário não tiver o Flash Player instalado, o malware o instala, permitindo a visualização dos vídeos.

A praga também é capaz de se disfarçar para fugir dos sistemas de segurança contra fraudes do Google utilizando dois scripts PHP, que fazem com que cada visita de uma mesma pessoa seja identificada pelos servidores do Google como usuários diferentes.

A infecção acontece por meio de phishing, com mensagens falsas que chegam por e-mail. Uma vez infectado, o computador da vítima começa a agir sob o comando do malware. Quando isso acontece, é possível notar uma queda acentuada de desempenho da máquina.

Segundo a Symantec, o ataque já rendeu pelo menos alguns milhares de dólares para os cibercriminosos, mas é difícil estimar o valor com precisão. Isso porque outras campanhas similares devem estar acontecendo simultaneamente sem conhecimento dos especialistas.

O malware começou a ser distribuído em agosto do ano passado, e ainda está circulando a web, afetando principalmente Coreia do Sul, Índia, México e Estados Unidos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e Security Affairs

Empresas de propaganda móvel espalham malware a usuários do Android

Como analista de malwares, Filip Chytry se depara com novas amostras de malware dia sim e dia não. Na verdade, ele encontra tantas novas amostras de malware que é difícil determinar quais delas serão realmente interessantes para o público em geral. Há algumas semanas, ele encontrou algo que imediatamente lhe chamou a atenção e que achou interessante compartilhar conosco.

MobilelinksAs três URLs acima são de sites que fornecem kits de monetização móvel, isto é, kits de propaganda que os desenvolvedores podem introduzir em seus aplicativos móveis. O objetivo dos desenvolvedores é conseguir o retorno pelas propagandas.

No entanto, se um usuário clicar em uma das propagandas fornecidas por um dos fornecedores acima, ele irá parar em um site malicioso.

O mais visitado dos três é o Espabit. De acordo com as estatísticas da Avast, sabe-se que os servidores do Espabit recebem cerca de 150.000 visitas diárias e quase 100% destas visitas vem de aparelhos móveis. Isto pode não parecer muito se comparado ao total de usuários Android em todo o mundo, mas mesmo assim é um número considerável. O Espabit está tentando se tornar um líder mundial em propaganda e o seu site pode parecer inocente, mas a primeira impressão engana.

espabitO subdomínio mais visitado do Espabit, com mais de 400.000 visitas nos últimos meses, encaminha os usuários para sites pornográficos através de propagandas mostradas nos seus aplicativos. O site mostra uma oferta para baixar aplicativos indecentes (sem trocadilhos…) que têm comportamento malicioso.

imageAcima está apenas um exemplo de um link malicioso. Há muitos outros hospedados no mesmo servidor. A maioria dos links leva à pornografia ou a falsos aplicativos que têm uma coisa em comum: todos roubam dinheiro dos usuários inocentes.

Como eles convencem as pessoas a baixar o aplicativo deles? Parecendo ser aplicativos oficiais da Google Play. Os aplicativos são desenhados para parecerem oficiais da loja Google Play, enganando as pessoas que confiam nesta fonte. Uma vez que o Android não permite, por padrão, que os usuários instalem aplicativos de fontes desconhecidas, os sites oferecem tutoriais em vários idiomas como inglês, espanhol, alemão e francês, explicando como configurar o Android para que os usuários possam instalar aplicativos de fontes desconhecidas, como estes aplicativos maliciosos que acabamos de ver.

image_1Agora vamos dar uma olhada mais a fundo no que estes aplicativos são capazes de fazer:

Todos os “diferentes” aplicativos oferecidos pelos três sites citados acima são essencialmente o mesmo, porque podem roubar informações pessoais e enviar SMS premium. De fato, conhecemos mais de 40 deles armazenados naqueles sites. A maioria dos aplicativos está armazenada em links diferentes e, novamente, oferecidos em várias línguas (para que todos possam “apreciar” os aplicativos). O objetivo por trás destes aplicativos é sempre o mesmo: roubar dinheiro.
Algumas das permissões solicitadas pelos aplicativos ao serem baixados…

permissionsAssim que você abre os aplicativos, você é perguntado se tem 18 anos ou mais (eles não apenas pensaram em oferecer o seu produto em vários idiomas, mas eles também tem a sua moralidade!).

sexyface

sexyface2Depois que você clica em “Sim”, ele pede para conectar o seu aparelho à internet. Uma vez conectado, o seu aparelho começa imediatamente a enviar SMS premium, cada um custando 0,25 dólares e enviados três vezes por semana. Isto é tudo o que o aplicativo faz! A quantidade roubada em uma semana não parece muito, mas parece seguir um propósito: as pessoas podem não notar que estão pagando 3 dólares a mais e tudo devido a um aplicativo instalado no mês passado. Não se apercebem que seu dinheiro está sendo roubado e não desinstalam o aplicativo que pode lhes custar 36 dólares por ano.

Este malware não é o único em termos da tecnologia que utiliza. Contudo, juntos, os três sites têm cerca de 185.000 visitas diárias, o que é muito considerando que há malware armazenado nos seus servidores. Nem todos são redirecionados para os malwares, mas aqueles que são, são enganados. Considerando que o subdomínio malicioso mais visitado tem cerca de 400 mil visitas no último trimestre, isto nos mostra o grande número de visitantes que está infectado. Isto significa também que estes fornecedores de propaganda estão ganhando muito dinheiro e não apenas pela propaganda que distribuem.

Ainda que muitas empresas de telefonia celular em todo mundo bloqueiem o envio de SMS premium, incluindo as principais empresas nos Estados Unidos, Brasil e Reino Unido, isto não pode ser considerado algo de pouca importância. Estes produtores de malware utilizam engenharia social para superar a segurança do Google e atingir usuários através de propagandas. Pense em quantos aplicativos você utiliza que mostram propaganda, e pense em todas as informações valiosas que você tem armazenadas nos seu telefone que podem ser mal utilizadas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Avast blog

Novo malware compromete Mac OSX de forma definitiva

mac_malwarePor anos, os sistemas operacionais da Apple eram considerados mais seguros que o Windows pelo fato de não serem o foco de ataques criminosos. Agora, entretanto, isso pode mudar de forma trágica. Uma falha descoberta em dispositivos Thunderbolt pode dar acesso praticamente total a computadores com OS X e comprometer por completo a segurança do usuário.

Essa falha foi encontrada por pesquisadores e, até agora, não há relatos de que tenha sido utilizada por criminosos para invadir computadores de usuários comuns. De qualquer forma, a mera existência dessa brecha já significa uma ameaça que pode se concretizar a qualquer momento.

Como funciona

De acordo com o ExtremeTech, a falha pode ser explorada através das memórias Option ROM que acompanham dispositivos Thunderbolt. Esses elementos são responsáveis por armazenar informações de funcionamento básico dessa conexão, como o firmware dos aparelhos. Essas Option ROM são conferidas pelos computadores da Apple sempre que um dispositivo do gênero é conectado ou quando o sistema é iniciado.

Essa conferência é necessária para que o OS X saiba da existência de periféricos instalados e inicie os procedimentos de comunicação com o componente de forma apropriada. Portanto, não é possível simplesmente pular esse passo.

Infecção

Quando ocorre durante o boot, a conferência de um periférico infectado com a ameaça desenvolvida pelos pesquisadores, chamada “Thunderstrike”, compromete a interface EFI/UEFI do computador e garante acesso praticamente irrestrito ao dispositivo. Dessa forma, criminosos poderiam criar suas próprias versões do Thunderstrike e direcioná-las para roubar senhas, vigiar atividades no dispositivo, conferir históricos de navegação, lidar com arquivos e muito mais.

A boa notícia é que, até o momento, não há uma forma de infectar os computadores sem forçar a conferência na hora do boot dos Macs, momento em que um aparelho Thunderbolt infectado precisa estar conectado para ocorrer a infecção. Além do mais, a Apple já está se mexendo para pelo menos fazer a sequência de boot recusar o carregamento de firmwares suspeitos.

Ainda assim, uma vez infectado, não há mais o que fazer para livrar o computador ou o aparelho Thunderbolt da ameaça mencionada. Não é possível também identificar computadores ou periféricos que possuem esse problema com as ferramenta disponíveis hoje.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 531 outros seguidores