Usuários do Tor podem ter sido infectados por malware

tor_hackedUm hacker russo injetou malware no Tor se aproveitando de uma falha de segurança. Os usuários do serviço devem utilizar ferramentas de segurança para detectar se os seus computadores foram infectados.

Um hacker russo ao que parece conseguiu injetar malware no popular serviço que permite navegar na Internet de forma anônima. Segundo o The Guardian, um especialista em segurança da empresa leviathan descobriu que um dos nós de saída do Tor (localizado na Rússia) estava sendo usado por um hacker para alterar os arquivos que eram descarregados pelos usuários. Ou seja, os usuários fazem um download que vem contaminado. Traz, no seu interior, um malware misturado com os dados originais do aplicativo.

Josh Pitts, explica que as versões mais recentes do Tor estarão imunes a esta ameaça específica, mas aconselha os usuários do serviço a analisarem as unidades de armazenamento das máquinas onde o Tor é executado habitualmente. Também aconselha a que se utilizem conexões criptografadas quando forem efetuados downloads a partir de redes como o Tor e ferramentas que inspecionem os dados descarregados para se apurar se assegurar de sua integridade: um arquivo original sem alterações maliciosas.

Agradecemos ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Exame Informática e leviathan

Crackers podem vir a esconder malware para Android em fotos

androidDescoberta por pesquisadores, falha foi apresentada durante evento Black Hat na Europa. Google diz já trabalhar em solução para problema.

Uma nova técnica que permite aos hackers esconderem aplicativos Android maliciosos criptografados dentro de imagens pode ser usada para evitar a detecção por antivírus e possivelmente pelo próprio scanner de malware da loja Google Play.

O ataque foi desenvolvido por Axelle Apvrille, uma pesquisadora na Fortinet, e pelo engenheiro reverso Ange Albertini, que apresentaram sua prova de conceito durante a conferência de segurança Black Hat Europe, na quinta-feira, 16/10, em Amsterdam.

Segundo os criadores, o ataque é baseado em uma técnica inventada por Albertini chamada de AngeCryption que permite controlar tanto a entrada quanto a saída de uma operação de criptografia usando o padrão Advanced Encryption Standard (AES) ao aproveitar as propriedades de alguns formatos de arquivos que permitem que os documentos continuem válidos mesmo tendo dados imprestáveis ligados a eles.

A AngeCryption, que foi implementada como script Python disponível para download no Google Code, permite ao usuário escolher um arquivo de entrada e saída e faz as mudanças necessárias para que quando o arquivo de entrada for criptografado com uma chave específica usando AED no modo CBC (cipher-block chaining), ele produza o arquivo de saída desejado.

Apvrille e Albertini levaram a ideia adiante e aplicaram-na em arquivos APK (Android application package). Eles criaram um aplicativo envoltório de prova de conceito que simplesmente exibe uma imagem PNG do personagem Anakin Skywalker, da franquia Star Wars. No entanto, o app também pode criptografar a imagem com uma chave particular para produzir um segundo arquivo APK que possa então instalar.

Na demonstração dos pesquisadores, o APK escondido dentro da imagem foi designado para exibir uma imagem do Darth Vader, mas um criminoso de verdade poderia usar um aplicativo malicioso em vez disso, para roubar mensagens de texto, fotos, contatos, e outros dados.

Durante a demonstração, o Android exibiu um pedido de permissão quando o aplicativo envoltório tentou instalar o arquivo APK criptografado, mas esse pedido pode ser burlado usando um método chamado DexClassLoader para que o usuário não precise ver nada, afirma Apvrille. A imagem não precisaria nem ser incluída no aplicativo envoltório e poderia ser baixada a partir de um servidor remoto depois da instalação.

Para o ataque funcionar, alguns dados precisam ser anexados ao final do aplicativo original, mas o formato APK, que é derivado do ZIP, não permite dados anexos depois de um marcador chamado End of Central Directory (EOCD), que sinaliza o fim do arquivo.

No entanto, os pesquisadores descobriram que adicionar um segundo EOCD depois dos dados anexos engana o Android a aceitar o arquivo como válido. Segundo Apvrille, isso não deveria acontecer e é resultado de um erro do APK do Android.

O ataque funciona no Android 4.4.2, versão mais recente do sistema do Google, mas a equipe de segurança da plataforma já foi notificada e trabalha em uma solução, informa a pesquisadora.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Jogo da velha para Android pode espionar você

tic-tac-toeO pessoal da Kaspersky foi notificado de que o aplicativo de jogo da velha é uma prova de conceito desenvolvido pela Lacoon Segurança. A fim de mostrar que o mesmo não está disponíveil ao público, o seguinte artigo contém algumas partes modificadas. No entanto, o seu conteúdo e recomendações continuam a ser relevantes, desde que qualquer cibercriminoso pode vir a desenvolver um jogo similar e torná-lo público . É por esta razão que a pesquisa da Lacoon é de grande utilidade.

O jogo começa a espionar somente após o usuário descuidado ter lhe dado uma permissão para acessar quase tudo no dispositivo.

O que precisa fazer um espião para obter informações sobre a vítima? Vigiá-las constantemente com câmeras e microfones escondidos. Ou talvez roubar seu smartphone e a chave de acesso. Mas, na verdade, hoje em dia você pode obter todas as informações necessárias de uma forma muito mais simples: basta lançar um jogo móvel gratuito e esperar o momento em que vítima o instale no seu dispositivo. E isso não é um exagero: um simples aplicativo de smartphone pode reunir um monte de informações sobre uma determinada pessoa. Quer uma prova? Os especialistas da Kaspersky Lab tem.

O jogo da velha (também conhecido como tic tac toe e jogo do galo) é bem simples e fácil de encontrar nos dispositivos baseados em Android e que não deve ser subestimado pensando que se trata apenas de um jogo. Trata-se de uma prova de conceito, sob a forma de uma ferramenta de espionagem, utilizada por um vírus que os investigadores da Kaspersky chamam de Goal, um trojan que furta dados privados, grava a voz do dono do aparelho e até ler mensagens de textos e e-mails armazenados no dispositivo. E o que é mais importante, só são possíveis quando um usuário descuidado dá permissão para este malware atacar.

Este jogo da velha especificamente (Tic Tac Toe) solicita mais acesso do que a versão nornal costuma pedir. De fato, a lista de permissões solicitadas pelo jogo é impressionante: para acessar a Internet, a lista de contatos e o arquivos com os SMS; também processa ligações e gravação de sons. O resultado é bastante previsível: depois que o usuário instala e inicia o jogo, o trojan passeia por todo o smartphone, incluindo a memória,com o objetivo de privilégios para acessar a raiz do sistema operacional.

Na verdade, este não é o primeiro jogo com esta natureza: já ocorreram milhares de tentativas dos cibercriminosos para disfarçar malwares como programas legítimos. O jogo da velha parece ser uma nova forma de malware móvel que tem capacidade de roubar mensagens, inclusive de aplicativos mais seguros. É um jogo que foi feito para funcionar em ambientes específicos, mas graças ao seu mecanismo de ação ele pode roubar dados dequalquer aplicativo de mensagens instantâneas como WhatsApp ou Viber, entre outros.

Mas você pode facilmente reduzir o risco de infecção por malware móvel, basta seguir as nossas recomendações:

Não ative nunca a opção “Instalar aplicativos a partir de fontes de terceiros”;

Instalar apenas aplicativos provenientes dos canais oficiais (Google Play, Amazon Store, etc);

Ao instalar novos aplicativos, estude cuidadosamente os direitos que solicitam;

Se os direitos solicitados não correspondem com funções pretendidas do app, não instale o aplicativo;

Use um software de proteção.

O pessoal da Kaspersky alerta que os usuários podem perceber que neste artigo o aplicativo em questão foi rotulado como malicioso. Não é uma postura rígida, mas como empresa de segurança, a Kaspersky Lab detectou todas as formas possíveis de malware, independentemente da sua origem ou finalidade. A Kaspersky Lab recebeu amostras do jogo da velha Tic Tac Toe através de uma troca de malware com outros fabricantes de antivírus, sem realizar testes de conceito. Foram vistas muitas funções potencialmente maliciosas no aplicativo e a análise feita revelou que o código do jogo representou menos de 30% do tamanho total do arquivo executável. O resto está destinado ao monitoramento de usuários e obtenção dos dados pessoais. É por esta razão que nós começamos a investigação e relatamos o incidente ao público.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa matéria.

Fonte: Kaspersky blog

Anúncios no YouTube infectam mais de 100 mil usuários com malware

 

youtube.jpegAproximadamente 100 mil usuários do Youtube foram atingidos por um malware que chegava aos computadores através dos anúncios da plataforma de vídeo.

O malware não estava no próprio site de compartilhamento de vídeos; o exploit kit, pacote feito para roubar dados ou tomar controle de softwares, ficava nos sites para onde a vítima era redirecionada ao clicar nas propagandas. O pacote usado nesse ataque se chama Sweet Orange, e tinha como alvo o Internet Explorer, Java e Flash.

O pessoal da Trendmicro monitorou os ataques nos últimos trinta dias e constatou que 95% dos usuários atingidos são dos Estados Unidos. Um dos vídeos com anúncio comprometido era de uma gravadora americana, e tinha mais de 11 milhões de visualizações. Os cyber criminosos tinham um esquema para fazer o processo não parecer suspeito.

Ao clicar na propaganda, o usuário era levado a um site do governo polonês, depois redirecionado para um domínio na Holanda e ai sim chegava ao servidor onde o malware estava hospedado.

Os usuários do Internet Explorer que mantem o software atualizado não precisam se preocupar. A Microsoft lançou em maio de 2013 uma atualização de segurança contra o Sweet Orange. É recomendado para quem usa os softwares Adobe e Java atualizar os programas ou aplicar as atualizações básicas de segurança.

Agradeço ao Davi e ao Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: Adrenaline e Trendmicro

Malware Tyupkin é usado para assaltar caixas eletrônicos

ATMA empresa de segurança Kaspersky e a Interpol detectaram um novo malware que faz os caixas eletrônicos ejetarem notas. Conhecido como Tyupkin, o vírus mostra aos criminosos qual a quantia disponível no caixa eletrônico e, assim, pode entregar até 40 notas de uma vez nas mãos de cada integrante da quadrilha que aplica o código malicioso na máquina de serviços bancários e cédulas.

Para não ser detectado facilmente, o malware só funciona nas noites de domingo e segunda-feira. Um vídeo obtido por câmeras de segurança de um caixa eletrônico mostrou o método utilizado pela quadrilha. Sem a inserção de um cartão no caixa eletrônico, o criminoso trabalha em duas etapas.

Primeiro ele acessa o caixa eletrônico e insere um CD de boot para instalar o malware. Depois, ele reinicia o sistema para a máquina, já infectada, ficar sobre seu controle. O Tyupkin permite ao criminoso gerar códigos que vão mudando rotativamente, para que ele então possa repassar o algoritmo aos seus parceiros.

De acordo com Vicente Diaz, pesquisador de segurança da Kaspersky, o restante da quadrilha recebe as instruções por meio de um telefone. Quando o código, único para cada sessão, é digitado corretamente no caixa eletrônico, a máquina exibe detalhes de quanto dinheiro está disponível e assim ela libera até 40 notas por vez. Até agora, estima-se que 50 caixas foram vítimas do malware na América Latina, Leste Europeu e também na Ásia.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

FBI irá disponibilizar portal para análise de malware

Android_malware_TORO FBI (Polícia Federal dos Estados Unidos) liberou o uso público do que antes era uma ferramenta de análise de malware somente disponível para a própria agência, para realizar o que é conhecido como crowdsourcing (solicitar contribuições de outras pessoas para otimizar o resultado de pesquisas), e dessa forma conseguir mais amostras de malware de forma mais rápida, segundo o site The Register.

O site de tecnologia Techworld reportou que ao utilizar o Malware Investigator (nome do software do FBI), os usuários deveriam receber um relatório em “questão de minutos” com informação que a agência e/ou seus parceiros possuem sobre conteúdo malicioso “com detalhes minuciosos que mostram onde e como esse malware estava sendo utilizado”.
Arquivos comuns como PDF, .EXE, APKs da plataforma Android entre outros farão parte desses relatórios. Outros sistemas operativos de dispositivos móveis estão previstos para fazer parte dos relatórios em breve.

O site Threat Post revelou que o portal foi inaugurado em agosto, porém até o momento somente está disponível para oficiais da polícia. A notícia de que um portal público paralelo seria disponibilizado para o público foi revelado por Jonathan Burns, agente do FBI especialista na luta contra o crime digital, em uma palestra ministrada na conferência Virus Bulletin 2014.
Burns explicou que “A intenção basicamente é conseguir amostras. Quanto mais ferramentas disponibilizamos para a polícia e para a indústria que luta contra o cibercrime, maior a nossa contribuição para com o governo para lutar contra esse tipo de ameaças”.

O agente também declarou que a privacidade do usuário não será comprometida ao ajudar o FBI com as amostras de malware: “O usuário não tem que compartilhar nada que não queira. Ninguém saberá de quem se trata a menos que o usuário queira”, adiciona.

O site Techworld especula que essa abordagem era necessária para chegar a um número de detecções de malware alta o suficiente para ser efetiva, dizendo que “Em algum momento o FBI percebeu que criar um portal para as equipes da polícia não era o suficiente para conseguir informação sobre malware de forma ágil”.
A análise de malware feita pelo FBI é algo que vem sendo feito desde o século passado, segundo o site The Register: “o FBI começou a analisar malware em 1998, e nos anos seguintes, começou a desenvolver sistemas para coletar e examinar vírus, trojans, worms e bots. O processo foi automatizado em 2011, e no ano passado o Malware Investigator foi lançado”.

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Eset blog

Pesquisadores usam cola para neutralizar malware para USB

usb-epoxyNa semana passada, dois pesquisadores de segurança publicaram o código do malware que explora uma grave falha de segurança encontrada em todos os dispositivos USB. A ideia é que, dessa forma, alguém poderia corrigi-la.

Eles próprios divulgaram uma solução parcial, mas ela envolve usar cola transparente à base de resina epóxi dentro do seu dispositivo USB.

A falha
Para recapitular: há alguns meses, descobriu-se que todo dispositivo USB tem uma profunda falha de segurança no firmware, que controla as funções básicas do dispositivo. Ele pode ser alterado de maneiras que são basicamente indetectáveis.

Karsten Nohl e Jakob Lell, os pesquisadores de segurança que encontraram a falha, criaram um malware chamado BadUSB para explorá-la. Ele pode “ser instalado em um dispositivo USB para assumir completamente um PC, para alterar de forma invisível os arquivos instalados a partir do pendrive, ou até mesmo para redirecionar o tráfego de internet do usuário”.

Na semana passada, outros dois pesquisadores de segurança, Adam Caudill e Brandon Wilson, também fizeram engenharia reversa na falha e publicaram o código de malware no Github.

Como corrigi-la (de forma parcial)
Agora, Caudill e Wilson divulgaram uma solução parcial. O código, postado no Github, desativa o “modo de inicialização”, que permite ao firmware ser reprogramado. Mas isto só funciona na versão mais recente do código USB, portanto dispositivos mais antigos ficam de fora.

E chegamos à cola epóxi. O firmware no USB ainda pode ser reprogramado ao dar curto-circuito nos pinos conectores – que transmitem dados entre seu PC e pendrive, por exemplo – caso o hacker tenha acesso físico ao dispositivo. De acordo com a Wired, funciona assim:

Esse método envolve ligar o drive em um computador enquanto se coloca um pedaço de metal condutor em dois ou três pinos, que conectam o chip controlador à placa de circuito do pendrive USB… Esse método meticuloso atua como uma espécie de “hard reset”, permitindo que o firmware seja reprogramado.

That unpatchable USB malware now has a patch … sort of http://t.co/Vd8YlzJtIS pic.twitter.com/Tp3BdIKGYD

— WIRED (@WIRED) October 7, 2014

Mas se você revestir a parte interna de um drive USB com cola epóxi, Caudill e Wilson dizem que não é possível fazer curto-circuito nos pinos.

Em última análise, estas “soluções” são apenas medidas paliativas. O problema real está no firmware, que pode ser alterado sem deixar rastros. Até que ele seja corrigido – alguns dizem que isso é impossível – é mais fácil ser bem cuidado com seus dispositivos USB, especialmente os de estranhos. [Wired]

Agradeço ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 504 outros seguidores