Microsoft corrige falha grave de segurança no WiFi com WPA 2

Na manhã desta segunda-feira (16), a notícia de que a encriptação WPA e WPA 2 utilizada em redes WiFi seria facilmente explorada por cibercriminosos aumentou o nível de preocupação no mundo da cibersegurança. Felizmente, a Microsoft anunciou um pacote de atualização para atacar esse problema nos sistemas Windows.

“Soltamos uma atualização de segurança para resolver este problema. Os consumidores que atualizarem o sistema, ou possuem as atualizações ativadas de maneira automática, estarão protegidos. Nós continuaremos encorajando nossos consumidores para ligarem as atualizações automáticas, isso ajudará a mantê-los seguros”, comentou um porta-voz da Microsoft.

Outros sistemas

Apesar de ter foco maior no Android — 41% dos dispositivos com o sistema da Google estariam vulneráveis a esse ataque, algo considerado “especialmente devastador” pelos especialistas —, a falha está presente nas criptografias WPA e WPA2, ou seja, gadgets com Windows, macOS, iOS e outros sistemas baseados no Linux também estão sujeitos a sofrer as consequências dela.

De acordo com especialistas de segurança, os dispositivos Android e Linux podem ser os mais afetados. A Google prometeu uma atualização que corrige a brecha para as próximas semanas — e os aparelhos Google Pixel serão os primeiros a receberem.

A Apple ainda não comentou sobre o caso, desde a vulnerabilidade no macOS e iOS até uma possível atualização de emergência.

Já a Wi-Fi Alliance, rede responsável pela tecnologia WiFi utilizada nos dispositivos ao redor do mundo, comentou que o problema pode ser resolvido por “atualizações de software disponibilizadas pelas fabricantes, e que a ‘indústria Wi-Fi’ já começou a disponibilizar pacotes de atualização”.

No PC onde tenho instalado uma distribuição Linux (Mint, XFCE), foi liberada hoje mesmo uma atualização de segurança para correção dessa falha de segurança aqui relatada.

Fonte: Tecmundo

Seu PC pode estar sendo usado para minerar criptomoedas

O chamado mining de criptomoedas é um termo e fenômeno de crescimento rápido na indústria de TI. Como parte de uma tendência de longo alcance, mais e mais pessoas estão se envolvendo com essa atividade, ou adicionando blocos a uma blockchain e, portanto, recebendo em criptomoeda. Ao fazer isso, esses “miners” inventam formas cada vez mais engenhosas, que nem sempre são exatamente legais, de obter as moedas. Alguns deles fazem isso às suas custas.

Por que precisam do seu computador?

Já falamos de botnets e como hackers podem tornar seu computador em um zumbi, integrante de uma dessas redes. Essas estruturas podem ser empregadas com os mais diversos objetivos, dentre os quais a obtenção de criptomoedas. Mas não para por aí!

De forma leiga, seu computador torna-se parte de uma rede distribuída cujo poder computacional é utilizado para obter uma criptomoeda que termina no bolso do dono da botnet. Milhares de computadores conectados podem obter criptmoedas de forma muito mais eficiente que apenas um. Neste caso especificamente, as vítimas também levam prejuízo na conta de luz, o que torna a instalação dos programas de mining muito lucrativa para o hacker.

Veja que um usuário pode ter instalado um programa desse tipo intencionalmente, para tentar a sorte no mercado das criptomoedas. Distinguir a legitimidade nessa atividade é um desafio. Os programas para esse fim são idênticos; a diferença reside na instalação e operação de aplicativos baixados ilegalmente.

Como um miner oculto termina em seu computador

Na maioria dos casos, um miner chega à sua máquina por meio de um programa malicioso desenvolvido com esse propósito, o que chamamos de dropper. Sua função é instalar outra aplicação em segredo. Normalmente se disfarçam de versões piratas de produtos ou de geradores de números de licença. Usuários buscam esse tipo de software em redes de compartilhamento de arquivos e os baixam de forma consciente.

Quando o software baixado é executado, um instalador é implementado no computador da vítima e faz o download de um miner e de uma ferramenta especial que o oculta no sistema. O programa pode também estar acompanhado de serviços que assegurem sua execução e configurações.

Por exemplo, esses serviços podem suspender o miner quando o usuário executa um jogo popular. (O miner, que usa o poder da placa de vídeo, atrasaria a execução, podendo alertar o usuário de que algo não está certo.)

Esses serviços também podem tentar desativar produtos antivírus, suspender o miner quando uma ferramenta de monitoramento do sistema é executada e restaurá-lo caso o usuário tente se livrar dele.

A gravidade do problema

Hackers distribuem esses programas por meio de serviços. Eles usam canais no Telegram dedicados à oportunidades de trabalho; você pode acabar vendo uma propaganda oferecendo a versão teste de um programa que na verdade contêm um miner oculto.

Para entendermos a escala desse fenômeno: nossos especialistas recentemente detectaram uma botnet que consistia em milhares de computador com o Minergate miner instalado de forma oculta. Embora não tenha como foco as populares bitcoins, atuava em criptomoedas como Monero (XMR) e Zcash (ZEC), que permitem transações ocultas. A estimativa mais conservadora indica que uma única botnet pode obter mais de US$ 30 mil por mês. Mais de US$ 200 mil passaram pela carteira usada neste caso.

Fonte: Kaspersky blog

Novo ransomware para Android usa Flash para infectar dispositivos

Um novo ransomware para Android foi descoberto recentemente pela companhia de segurança ESET. O vírus funciona por meio de uma versão fake do Flash para sequestrar o sistema operacional e liberar o acesso a ele apenas após o pagamento de uma determinada quantia.

Chamado de DoubleLocker, o exploit criptografa todo o conteúdo do aparelho e, para piorar, altera a senha de bloqueio do dispositivo. Dessa maneira, somente após o pagamento do resgate o usuário do dispositivo consegue ultrapassar a barreira imposta pelos cibercriminosos — a alternativa é, obviamente, formatar o dispositivo e perder todo o conteúdo não sincronizado. E, para piorar o cenário, o DoubleLocker não precisa de um dispositivo rooteado para funcionar.

Como acontece a contaminação

O novo ransomware da praça infecta smartphones e tablets com Android por meio de uma versão fake do Flash Player. Esse arquivo falso é oferecido em alguns sites também infectados, assim, se o usuário baixa e executa o APK em seu Andriod, abre a brecha para a infecção para todos os demais problemas aqui listados.

Depois disso, ele se autodefine como o launcher padrão do Android, sendo acionado assim que você aperta o botão para retornar à tela inicial do sistema operacional mobile. Depois disso, ele se autodefine como o launcher padrão do Android, sendo acionado assim que você aperta o botão para retornar à tela inicial do sistema operacional mobile. O passo seguinte é bloquear os seus arquivos, que ganham a extensão CRYEYE.

E outro adendo grave no comportamento do DoubleLocker: ele gera uma nova senha de bloqueio, mas esse dado não é enviado aos hackers, o que facilitaria o rastreamento da informação. Após receber o valor pedido, os cibercriminosos conseguem reiniciar a senha remotamente, agora sim cedendo essa informação para o usuário que poderá retomar o controle do seu smartphone.

Quando o root vira um aliado

Uma questão interessante aqui é que, caso o seu dispositivo esteja rooteado, ele tem uma arma a mais para tentar reaver o controle do aparelho sem negociar com os hackers. Isso porque se o dispositivo estiver em modo root e em modo debug antes do bloqueio pelo DoubleLocker, é possível resetar a senha sem restaurar o aparelho por meio da função Android Debug Bridge.

De qualquer maneira, esse não é um processo exatamente intuitivo e deve levar algum tempo até ser concluído. Ao final, depois de ter recuperado todos os seus arquivos mais importantes, o ideal é formatar o smartphone e recomeçar tudo do zero.

Por fim, vale lembrar que o Flash não está mais disponível para download na Play Store desde 2012, portanto, desconfie sempre que alguma página oferecer a instalação deste aplicativo enquanto você navega em seu smartphone Android.

Depois disso, ele se autodefine como o launcher padrão do Android, sendo acionado assim que você aperta o botão para retornar à tela inicial do sistema operacional mobile. O passo seguinte é bloquear os seus arquivos, que ganham a extensão CRYEYE.

Fonte: Tecmundo

Malware em caixas eletrônicos

Pesquisadores da Kaspersky Lab descobriram um novo malware voltado para infectar caixas eletrônicos que rodam em sistemas operacionais Microsoft Windows Vista e Windows 7. Chamado de ATMii, o malware não deve atingir a maior parte dos caixas eletrônicos, visto que eles rodam em sistemas Windows XP.

O código malicioso serve para roubar credenciais de usuários, ou seja, senhas bancárias. Ele foi descoberto pelos pesquisadores nos últimos meses, e as operadoras de caixas com os sistemas vulneráveis foram alertadas.

“O malware possui dois módulos: um injetor (exe.exe, 3fddbf20b41e335b6b1615536b8e1292) e um para ser injetado (dll.dll, dc42ed8e1de55185c9240f33863a6aa4)”, explicam os pesquisadores. Além disso, para conseguir o acesso ao ATM (caixa eletrônico), os cibercriminosos precisam do acesso físico.

Vale lembrar que, no Brasil, essa técnica é defasada se comparada com as utilizadas atualmente. O Brasil é benchmark em fraude bancária, tanto na internet quanto físico, com os famosos skimmers — vulgarmente conhecidos como chupa-cabra — instalados em caixas eletrônicos e maquininhas de pagamento.

Fonte: Tecmundo

Microsoft admite: Windows 10 mobile está morto

Como muitos fãs de tecnologia já devem saber perfeitamente bem, a plataforma móvel da Microsoft já é considerada “morta” por boa parte do público há um tempo considerável. Mas parece que agora a própria gigante de Redmond resolveu admitir isso, dizendo que não tem mais planos de investir em novidades para o mercado relacionadas ao Windows 10 Mobile.

A confirmação, vale notar, veio do próprio vice-presidente corporativo da empresa, Joe Belfiore. Em um tweet, o figurão admitiu que novas funções ou hardware para o sistema “não são o foco”; no entanto, ele ao menos garantiu que a plataforma vai continuar a receber suporte básico, com correções de bugs e atualizações de segurança.

“É claro que nós vamos continuar a dar suporte à plataforma… correções de bugs, atualizações de segurança, etc. Mas construir novas funções/hardware não é o foco.”

Mesmo admitindo tudo isso, Belfiore ainda avisa que a decisão não foi por falta de esforço da companhia. Quando questionado sobre a falta de sucesso do Windows 10 Mobile pela falta de aplicativos para a plataforma, o VP da Microsoft avisou que a companhia dedicou enormes esforços para atrair o desenvolvimento de apps para eles. O problema? “O volume de usuários é muito baixo para a maioria das companhias investirem”, explicou.

“Nós tentamos BASTANTE incentivar os desenvolvedores de apps. Pagamos dinheiro.. escrevemos apps para eles… Mas o volume de usuários é baixo demais para a maioria das companhias investir.”

Considerando que um número enorme de empresas e aplicativos dos maiores do mercado está deixando o Windows 10 Mobile (muitas, inclusive, partindo ainda nos tempos do Windows Phone), é difícil dizer que tudo isso é uma surpresa. Mas se isso quer dizer que a Microsoft quer abandonar o mercado mobile? Nem de longe: como o próprio Bill Gates disse recentemente, a empresa ainda tem muitos aplicativos nas outras plataformas – o que deve se tornar um foco cada vez maior com o avanço do mercado.

Fonte: Tecmundo

Faltam provas nas alegadas acusações contra a Kaspersky

Uma reportagem com fontes anônimas do jornal norte-americano “Wall Street Jornal” colocou ainda mais lenha na fogueira das acusações do governo dos Estados Unidos contra o antivírus russo Kaspersky. Segundo a reportagem, o antivírus teria sido uma peça-chave na obtenção de informações sigilosas da Agência de Segurança Nacional (NSA) e resultado de uma provável colaboração entre a inteligência do governo russo e a empresa de segurança.

O problema é que a reportagem não explica como isso aconteceu. E há diversas explicações para o fato, mesmo que o antivírus russo tenha realmente tido algum papel no incidente. De acordo com o “Journal”, um colaborador da NSA levou arquivos para um computador externo à agência, e esse computador tinha o antivírus da Kaspersky Lab instalado. Com uma suposta “ajuda” do antivírus, espiões russo tiveram acesso aos arquivos.

O primeiro detalhe que chama atenção é o ano em que o caso ocorreu: 2015. O ano de 2015 guarda dois fatos marcantes para a Kaspersky Lab.

Em fevereiro daquele ano, a empresa revelou a existência do “Equation Group” – um grupo de hackers altamente sofisticado que realiza ataques de espionagem e tinha até um “supervírus” capaz de contaminar os chips de discos rígidos. Hoje, o Equation Group é abertamente ligado à NSA por muitos especialistas.

Alguns meses depois, em junho, a Kaspersky Lab veio a público com a informação de que a empresa sofreu uma invasão altamente sofisticada de um grupo ligado ao governo de algum país. Sem citar nomes, a empresa disse ainda que poderia haver um elo entre quem atacou a empresa e os criadores do vírus “Duqu”. O vírus Duqu, por sua vez, teria vínculo com o Stuxnet, que seria uma obra da Agência Central de Inteligência (CIA), dos Estados Unidos.

Esses fatos indicam que autoridades americanas já estariam descontentes com a Kaspersky Lab em 2015.

Além disso, há explicações plausíveis e benignas para o incidente. Antivírus podem, às vezes, enviar informações sobre arquivos presentes no computador dos usuários para um servidor central. Essas informações ajudam a empresa a criar vacinas preventivas e impedir que o ataque se dissemine a outros clientes.

Como a Kaspersky Lab já tinha conhecimento das ferramentas da NSA desde o início do ano, muitos programas da agência seriam naturalmente detectados pelo antivírus. E isso poderia fazer com que o antivírus transmitisse esses dados para os servidores da Kaspersky Lab no momento em que eles fossem detectados no sistema do colaborador. Trata-se de uma operação normal de vários programas antivírus, incluindo o Windows Defender, que faz parte do Windows 10.

Outro detalhe é que, se a Kaspersky Lab já tinha conhecimento sobre as ferramentas da NSA, ela não teria que roubá-las novamente do colaborador.

Finalmente, é possível que espiões russos tenham se aproveitado de falhas no antivírus para realizar a invasão no sistema do colaborador. Mas isso, mesmo sendo verdade, não prova por si só que a Kaspersky Lab teve intenção de colaborar com as autoridades russas. Todos os programas de computador possuem vulnerabilidades, e isso inclui os antivírus.

Até o momento, o caso contra a Kaspersky Lab se resume a alguns e-mails trocados entre executivos da empresa – que não demonstram nada fora da relação entre uma empresa e seus clientes – e fontes anônimas que não trouxeram e nem sequer citaram qualquer prova. Acusações carentes de prova são sempre um problema, mas acusações dos Estados Unidos contra a Kaspersky Lab – a primeira companhia a expor os detalhes do aparato de espionagem norte-americano – são ainda mais suspeitas.

Apesar da falta de evidências, porém, a Kaspersky Lab já está sofrendo censura nos Estados Unidos. O uso do antivírus está proibido nos sistemas da esfera federal e é provável que governos estaduais e municipais sigam a orientação. Empresas, por cautela, podem acabar fazendo o mesmo – e, se isso ocorrer, já há quem aponte para a possibilidade de a companhia russa deixar os Estados Unidos.

Agradecemos ao Augusto e ao Igor, colaboradores amigos do seu micro seguro, por fazerem referência a essa polêmica envolvendo a Kaspersky.

Fonte: G1

Notícia de 14º salário é golpe

Armadilha promete um benefício falso para os brasileiros nascidos entre janeiro e junho; de acordo com a PSafe, mais de 320 mil brasileiros foram afetados

Um novo golpe está circulando no Whatsapp com a falsa promessa de que o Governo Federal liberou um 14º salário para os brasileiros nascidos entre janeiro e junho. De acordo com a empresa de segurança PSafe, mais de 320 mil brasileiros foram afetados até agora.

A armadilha promete que um décimo quarto salário seria enviado para usuários que já tenham trabalhado registrados pela Consolidação das Leis Trabalhistas (CLT). Com a promessa de verificação do direito ao benefício falso, as pessoas são enviadas para um link que pergunta se o usuário possui o cartão cidadão, se já trabalhou registrado em 2016 ou 2018 e se atualmente está registrado. Independentemente das respostas, os usuários são enviados para uma página que mostra que o benefício pode ser resgatado.

A armadilha promete que um décimo quarto salário seria enviado para usuários que já tenham trabalhado registrados pela Consolidação das Leis Trabalhistas (CLT). Com a promessa de verificação do direito ao benefício falso, as pessoas são enviadas para um link que pergunta se o usuário possui o cartão cidadão, se já trabalhou registrado em 2016 ou 2018 e se atualmente está registrado. Independentemente das respostas, os usuários são enviados para uma página que mostra que o benefício pode ser resgatado.

A rápida disseminação do golpe se deu porque, para poder resgatar o dinheiro, o site falso pede que a pessoa compartilhe o link com dez amigos ou grupos de conversa no WhatsApp.

Outro diferencial deste ataque é que ele pede que o usuário habilite as notificações por push, o que permite o envio de outros golpes no futuro sem o intermédio de links. “Nos testes realizados pelo nosso time de pesquisadores, algumas horas após o acesso ao golpe, o cibercriminoso enviou uma outra armadilha, via notificação direta para o celular das vítimas”, informa Emilio Simoni, gerente de segurança da PSafe.

Fonte: Estadão