Analise arquivos suspeitos com o Hybrid Analysis

hybrid_analysisO VirusTotal é um serviço muito útil, uma vez que com ele você pode verificar os arquivos usando dezenas de antivírus. Porém, se você quer ir além, você pode usar o Hybrid Analysis, um serviço gratuito de análise de malwares que executa os arquivos em um ambiente virtual, para descobrir melhor como eles funcionam.

Antes de começar, é importante observar que ele suporta apenas alguns tipos de arquivos, como arquivos executáveis EXE, COM e DLL, documentos PDF, DOCX, XLS e PPTX, arquivos compactados ZIP, 7Z e outros.

Depois de selecionar o arquivo que você deseja examinar, ele solicita que você selecione o ambiente onde ele será analisado. Você pode executar os testes no Windows 7 (32 e 64 bits) ou no Windows 8.1 (32 bits).

Você também pode informar seu endereço de e-mail para receber notificações, uma vez que pode demorar um pouco para o arquivo ser processado. Para esperar a análise do arquivo, basta manter a página aberta.

Assim que a análise for concluída, os resultados serão exibidos na página. Os resultados são extensos, no entanto, ele exibe uma classificação de ameaça (0 a 100), que lhe ajudará a identificar arquivos maliciosos.

A página de resultados é dividida em várias partes. Por exemplo, a primeira parte mostra comportamentos potencialmente maliciosos e suspeitos que foram detectados quando ele foi executado no ambiente virtual.

Ele também faz capturas de telas (screenshots) com as etapas da execução do arquivo na máquina virtual, o que pode ser útil, por exemplo, para você verificar as telas de instalação de um programa no computador.

Outra parte interessante do relatório é o “Network Traffic”, que exibe solicitações feitas pelo arquivo, como hosts contatados e solicitações HTTP e DNS, que pode ser útil para verificar se as conexões são legítimas.

Além disso, um link para o resultado da análise do arquivo no VirusTotal é fornecido no começo da página de resultados, o que pode ser útil para você ver o resultado da análise nos dois serviços ao mesmo tempo.

No geral, apesar de exigir um conhecimento mais profundo, o Hybrid Analysis é uma ferramenta poderosa, que fornece informações detalhadas sobre os arquivos examinados, e pode ser útil para todos os usuários.

Para visitar o site do Hybrid Analysis basta clicar aqui. Caso a página apareça desconfigurada no seu navegador, basta colocar o endereço corresponde na lista branca (whitelist) do seu (AdBlock, uBlock ou AdGuard).

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: SoftDownload

Gerenciadores de senha viram alvo de malware

passwordLembrar todas as senhas que utilizamos no dia-a-dia é bem difícil e os gerenciadores de senha ajudam nisso, mas você pode estar em risco utilizando-os.

Manter senhas diferentes em suas contas é muito importante para a segurança. Mas, memorizar todas elas, para muitos, é um desafio. Para tentar resolver esse problema é que nasceram softwares gerenciadores de senhas. Neles, você cadastra seus códigos e protege todo o conjunto de senhas com uma mestra. Assim, basta lembrar esta senha principal e o software faz o resto do trabalho. Mas, será que utilizar gerenciadores, é seguro?

Especialistas do Arstechnica, serviços famosos como o KeePassDroid e o LastPass, entre outros, são fracos demais em segurança. Um aplicativo mal-intencionado, por exemplo, consegue acessar todo o código guardado pela ferramenta e obter acesso às senhas armazenadas.

Malware sofre mutação e ataca gerenciadores

Uma nova configuração do cavalo de troia Citadel, que em 2013 infectou centenas de computadores de empresas ligadas ao negócio do petróleo nos Estados Unidos, voltou a atacar no fim de 2014 um grande número de máquinas. A grande diferença, agora, está no fato do malware se focar em atacar os aplicativos que fazem gerenciamento de senhas, especialmente KeePass e Password Safe.

De acordo com o Arstechnica e o ZDNet, que divulgaram um aviso da detecção desta ameaça liberado pelos investigadores da IBM Trusteer, o malware funciona da seguinte maneira: ao abrir o gerenciador de senha “open-source” é ativado um keylogger (um software malicioso que registra os toques no teclado, permitindo ao hacker saber o que é digitado). Depois disso, o sistema do usuário, assim como todos os serviços registados pelo gerenciador de senhas, torna-se vulnerável.

Os especialistas, contudo, informaram que o impacto destes ataques ainda é baixo, mas o risco a curto e médio prazo é elevado, e deve se expandir consideravelmente.

Os principais gerenciadores de senhas

KeePass

É um dos melhores gerenciadores de senhas gratuito. Ele oferece um local criptografado e protegido por uma senha mestra para o usuário armazenar suas senhas com segurança. Também possui recursos como o preenchimento automático, organização das senhas em grupos, entre outros.

Dashlane

Ele é um gerenciador de senhas na nuvem, e oferece integração com o navegador para fazer login automaticamente nos sites. O app é compatível com Windows, Mac, Android e iOS.

Last Pass

Outro gerenciador muito utilizado. A maior diferença dele para o KeePass é a capacidade de armazenar  senhas na nuvem e sincronizá-las com outros computadores. Além disso, ele oferece integração com o navegador, para que o usuário faça login em suas contas automaticamente.

Password Safe

É um gerenciador de senhas gratuito para Windows que armazena as senhas no próprio computador, em um banco de dados criptografado e protegido por uma senha mestra.

LockCrypt

É um gerenciador de senhas gratuito para Windows OS. Ele usa encadeamento Cipher Block e criptografia AES, que o torna um pouco mais seguro. Tem gerador de senha forte e traduções nativas, como espanhol e alemão.

Sticky Password

Este é um dos melhores gerenciadores de senhas, e também possui um banco de dados criptografado e protegido. A má notícia é que a versão gratuita só permite cadastrar 15 senhas.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: PSafe Blog

Alerta: Skype está sendo usado para envio de malware

Malware-SkypeDepois de descoberto um bug (que entretanto já foi resolvido) que impossibilitava o acesso ao aplicativo de forma permanente no Android, iOS ou Windows, sabe-se agora que o Skype vem sendo usado para envio de malware em escala mundial.

A noticia foi divulgada pelo site ZDNet, depois de receber informações de um representante da PhishMe – empresa que detecta novos ataques de phishing.

O serviço mais popular de conversas parece voltar diante de um ataque. Desta vez, o serviço foi “associado” a uma Botnet e muitos usuários estão recebendo um popup com uma mensagem que solicita ao usuário o download de um player de vídeo para reproduzir o conteúdo. De acordo com a análise feita pela empresa PhishMe, por cada download os hackers recebem uma comissão.

skype_downloadsNa prática depois do usuário fazer o download do suposto Video Player e de o instalar, o seu sistema fica infectado com malware que altera de imediato várias definições.

No final de todo o processo é ainda instalado o Media Player Classic para que o usuário acredite que não fez nada de errado e que está tudo bem com o seu sistema.

videoplayerTal como revela o site ZDNet, a botnet usada recorre à infra-estrutura da Amazon Web Services para armazenar as páginas web (pop-ups) que são usadas durante o ataque. A Microsoft já está trabalhando numa solução para resolver este problema que afeta os clientes Skype do Windows, Android e iOS.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Descoberta forma de se injetar malware através de fotos na Internet

gatoUm especialista em segurança diz ter criado uma nova forma de ataque virtual que utiliza imagens aparentemente inofensivas, como memes de internet, para infectar o usuário. Saumil Shah diz ter se aproveitado de uma brecha de segurança para injetar códigos maliciosos de JavaScript nas fotos.

Segundo Shah, o golpe só pode ser realizado sob circunstâncias específicas, o que limitaria a abrangência do golpe. A imagem deve ser hospedada sem extensão de arquivo, o que é proibido por serviços como Dropbox, e não ser submetida a sistemas que alteram o arquivo original, como do Facebook e do Google.

Para funcionar, a foto “envenenada” deve ser servida diretamente ao usuário, navegando a partir de um navegador vulnerável.

Depois das alegações de Shah, outros engenheiros, entre eles Christian Bundy, fizeram críticas à suposta descoberta. Segundo Bundy, ainda seria necessário um website malicioso capaz de rodar o script instalado na imagem para tornar o golpe efetivo. Dessa forma, a imagem sozinha seria incapaz de injetar qualquer código malicioso.

Fontes:  Info e Engadget

Criado malware que se esconde na placa de vídeo

video_cardMemória pode não ser apagada quando o computador é reiniciado. Área não é verificada pelos programas antivírus.

Programadores anônimos criaram três programas espiões capazes de se alojar na memória de placas de vídeo. Os códigos fonte dos programas, chamados de WIN_JELLY, Jellyfish e Demon, foram publicados no site Github, permitindo que outros desenvolvedores estudem e compreendam a técnica utilizada. O mais recente é o WIN_JELLY, publicado recentemente, e todos eles foram criados como “demonstração de um conceito”, sem finalidade maliciosa.

Vírus já fazem uso de placas de vídeo para “minerar” moedas virtuais como o Bitcoin, mas nesses casos o programa em si não fica armazenado na placa de vídeo. Ele apenas “chama” funções do hardware de vídeo para aproveitar o processamento da placa em cálculos específicos ligados a moedas criptográficas.

A ideia dos três pacotes de software publicados no Github é armazenar o código todo do programa na memória da placa de vídeo do computador, um espaço que geralmente não é analisado pelos antivírus. Com isso, detectar o ataque fica mais difícil.

Para funcionar, os códigos exigem que o computador tenha uma placa de vídeo dedicada da AMD ou Nvidia. Essas placas têm memória própria e estão presentes em computadores para jogos, estações de trabalho 3D e outros sistemas de alto desempenho. Placas integradas, comuns em computadores baratos e notebooks, compartilham a memória do sistema com o processador e os códigos não funcionam nessa condição.

A técnica também é diferente da adotada por programas espiões alojados em hardware. O mais comum é que o programa malicioso seja armazenado no firmware, que é um programa presente no chip responsável pela lógica do circuito. Em fevereiro, a fabricante de antivírus Kaspersky Lab encontrou um “supervírus” capaz de se armazenar no chip de controle do disco rígido. Outros testes de laboratório já demonstraram ataques semelhantes contra placas-mãe e placas de rede.

Os três programas que se alojam na placa de vídeo, porém, usam meios disponibilizados pela própria placa de vídeo para manipular a memória da placa. Essas funções são destinadas a programas que querem usar o processador da placa – que é mais rápido para certos cálculos. Os códigos fazem uso dessas funções para gravar o programa malicioso na memória da placa.

No entanto, a memória é volátil e deve ser apagada quando o computador é reiniciado. Segundo a documentação do WIN_JELLY, porém, há uma chance de o código permanecer na memória, o que permite alojar a maior parte do código malicioso somente na placa de vídeo.

Como o meio é irregular, a técnica pode não funcionar em todos os casos e desligar o computador completamente fará com que o vírus suma da memória e precise ser recarregado, dando uma chance para que as ferramentas de segurança detectem um possível ataque.

Os programadores dizem que ainda estão nos “estágios iniciais da pesquisa e que começaram colocando em prática teorias descritas artigos acadêmicos sobre códigos maliciosos alojados na memória da placa de vídeo. Não foi informado de que maneira eles planejam melhorar o código.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Regin: sua empresa pode estar sendo espionada?

phishingO Regin consegue controlar os dispositivos de entrada (input) e assim capturar dados de acesso, monitorar o tráfego de redes e obter informação sobre vários processos de um sistema.

A origem do mesmo permanece desconhecida, mas existem, no entanto, fortes indícios de que o mesmo tenha sido criado por um governo ocidental. A prestigiada publicação alemã Der Spiegel afirmou mesmo ter provas de que o Regin foi mesmo criado pela americana NSA.

Falamos, então, de uma ameaça multi-staged como o Stuxnet, que usa uma abordagem modular à semelhança do Flame. Esta combinação torna o Regin num dos mais avançados backdoor trojan já identificados. Este avançado malware tem como objetivo recolher informação obtida de um variado grupo de diferentes fontes, desde organizações governamentais passando por instituições de ensino e operadores de telecomunicações. Mas o mesmo toolkit tem sido usado sobretudo para recolher informação sobre empresas de todas os segmentos.

A estratégia de combate

Diante de uma ameaça de tecnologia tão avançada, o fabricante alemão de soluções de segurança Avira trabalhou em conjunto com o German Federal Office for Information Security (BSI), órgão de alto nível do governo alemão.

Desta união de esforços resultou a criação de novas rotinas de detecção deste malware que, entretanto, foram integradas na eficaz ferramenta Avira PC Cleaner. “Os usuários dispõem agora de uma ferramenta poderosa, mas de fácil uso que permite detectar o malware Regin”, afirma Dirk Häger, chefe do departamento operacional de segurança de redes do BSI.

A Solução

A ferramenta Avira PC Cleaner detecta elementos identificáveis do Regin e consegue removê-los do sistema infectado. Mesmo após uma limpeza bem sucedida do sistema, o pessoal de engenharia da Avira aconselha executar o aplicativo de remoção uma segunda vez para ter a certeza absoluta de que a infraestrutura TI está protegida.

A solução é baseada no motor de detecção de malware do fabricante Avira que apresenta eficácia e eficiência comprovada em milhões de instalações em todo o mundo. Este também disponibiliza proteção em tempo real baseada nas nuvens e detecção proativa baseada em fatores comportamentais, entre muitas outras funcionalidades.

avira_pccleanerEsta ferramenta apresenta como grande vantagem o fato de não precisar ser instalada no sistema e ainda o fato de poder ser usada independentemente da solução ou fabricante anti-vírus que esteja previamente instalada na máquina, sendo por isso também chamada de scanner de segunda opinião.

O download da ferramenta pode ser feito aqui.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Site brasileiro hackeado propaga malware russo

MalwareChegou a nosso conhecimento que um site de streaming de vídeo brasileiro teve sua página principal comprometida, de modo que ataques diferentes eram feitos contra todos os usuários que a acessavam, cerca de 40.000 somente em Janeiro deste ano segundo o Alexa.

O ataque exigia apenas que a vítima visualizasse a página principal do site utilizando um navegador qualquer e desdobrava-se em três etapas:

1. Uma falsa notícia de necessidade de instalação do plugin do Flash.

Na página HTML principal do site, encontramos os seguinte código, que desenha uma caixa imitando a que os navegadores exibem quando um plugin é necessário para a visualização correta de um site. Caso o usuário clicasse no botão “OK” (ok.png), este faria o download de um arquivo install.zip, que continha um cliente da botnet QAKBOT comprimido.

qabot2. Tentativas de ataque de força bruta ao roteador da vítima, com a intenção de alterar as configurações de DNS.

Ainda na mesma página, o atacante utilizou-se do comando @import do CSS [https://developer.mozilla.org/pt-BR/docs/Web/CSS/@import] para forçar o navegador a fazer uma requisição HTTP GET para endereços como:

hxxp://admin:admin@10.0.0.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1;

hxxp://admin:admin@192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0&lcpMru=1480&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=200.98.170.34&dnsserver2=200.98.170.111&
downBandwidth=0&upBandwidth=0&Save=&Advanced=Advanced

hxxp://admin:admin@10.1.1.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1

O que essas requisições fazem é aproveitar a autenticação HTTP básica normalmente utilizadas em roteadores ADSL para alterar os IPs dos servidores DNS configurados nestes dispositivos. Contando que os usuários não alterem a senha padrão (o ataque em questão tenta com a senha “admin”), os atacantes tentaram alterar os servidores DNS das vítimas para 200.98.170.34 e 200.98.170.111, felizmente já retirados do ar.

Parte do trecho de código responsável por este estágio do ataque é exibida na imagem abaixo:

qabot13. Instalação de um cliente da botnet QAKBOT.

O último estágio requeria que a vítima acessasse o site comprometido utilizando o Internet Explorer, pois dependia da execução de um script em VBScript (interpretado como ActiveX), para baixar e instalar o cliente da QAKBOT, com o seguinte trecho de código:

qabot2A técnica utilizada neste curto script é bastante engenhosa: o atacante converteu todos os bytes do executável do cliente da QAKBOT para uma grande string na linha 237. Com o loop na linha 242, o código converte de volta cada byte original do arquivo executável e o escreve, um por um, num arquivo chamado svchost.exe, no diretório temporário. Na linha 248 ele finalmente executa o malware.

Apesar de funcional, a execução deste trecho normalmente requer que a vítima responda “Sim” para muitas confirmações que o Internet Explorer faz, como mostra a imagem abaixo:

qabot3No momento em que tivemos acesso à página comprometida, este trecho estava comentado/desativado, provavelmente pelo próprio atacante dadas as várias condições necessárias para o sucesso da infecção.

Em caso de sucesso na alteração dos servidores DNS utilizados pelas vítimas, os perigos são grandes: ao acessar sites de banco, e-mail, redes sociais etc os usuários podem facilmente ter suas credenciais e informações pessoais roubadas pelo atacante. Isto porque o sistema normalmente “pergunta” ao servidor DNS como chegar ao site que o usuário quer acessar e, utilizando um DNS de controle do atacante, este último pode instruir o computador da vítima a exibir uma cópia maliciosa do site desejado.

Já a tentativa de instalação da botnet, em caso de sucesso, permite que o atacante controle totalmente a máquina da vítima de forma remota, transformando-a no que chamamos de “máquina zumbi”, que passa a obedecer ordens, tais quais podem variar de envio de dados sensíveis a iniciar ataques de negação de serviço contra serviços expostos na Internet.

Apesar de antiga, a QAKBOT é poderosa e cheia de recursos. O arquivo executável que atua como cliente dela tem uma série de fatores que nos levam a concluir ter sido criada na Rússia, em linguagem Assembly. Com apenas 82 KB de tamanho já descomprimido, é também preparado para não ser analisado, possuindo técnicas de anti-debugging e anti-VM. Todo o controle é efetuado por um servidor nos Estados Unidos.

O que chamou nossa atenção neste ataque?

A colaboração entre cibercriminosos brasileiros e russos não é novidade, mas ainda é bastante ativa.
O uso do comando @import para o ataque de força bruta ao modem/roteador da vítima. Várias outras amostras deste mesmo ataque utilizam JavaScript no lugar de CSS.
A tentativa de instalar um cliente de uma botnet antigo, comprimido (packed) para tentar disfarçar sua origem, o que sugere que ele ainda funcione – e de fato o servidor de comando e controle (C&C) está ativo.

Agradecemos ao Henrique-RJ, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 581 outros seguidores