Extensão do Chrome era utilizada para Golpes

Uma extensão do Chrome usada por cibercriminosos brasileiros foi removida pelo Google da loja de aplicativos do navegador. Ela tinha como alvo usuários corporativos, com o objetivo de roubar credenciais bancárias.

Os hackers usavam redes sociais para identificar as pessoas dentro das empresas responsáveis por transações financeiras. Então eles ligavam para as vítimas e pediam a atualização no módulo de segurança do banco, sem a qual o acesso à conta seria bloqueado.

As vítimas instalavam uma extensão do Chrome chamada Interface Online (veja abaixo), da Internet Security Online.

Renato Marinho, diretor de pesquisa da Morphus Labs e membro do SANS Internet Storm Center, divulgou o golpe. Ele disse que os hackers estão concentrados em apenas alguns alvos corporativos e o malware tem relativamente poucas detecções no VirusTotal.

Fabio Assolini, analista sênior de malware da Kaspersky no Brasil, disse que o ataque foi encontrado em 8 de agosto e os servidores de comando e controle foram identificados e bloqueados pelos produtos da empresa. Mas o servidor C2 ainda está funcionando, afirma Marinho. Ele confirmou que este não era um ataque generalizado e que outros atacantes usaram extensões maliciosas em outros ataques no Brasil, incluindo alguns que visam boletos.

O telefonema tinha instruções sobre como atualizar o suposto módulo de segurança. A vítima devia acessar um endereço web e, ao clicar em “Instalar”, era redirecionada para a página da extensão na Chrome Store. O código malicioso capturava os dados inseridos na página do banco.

Fonte: Kaspersky

Ciberataques podem se transformar em catástrofes globais

Um relatório publicado nas últimas semanas indica que a recente onda de ciberataques que vem se espalhando pelo mundo – atingiu os mais variados setores da indústria e também o público geral – pode levar a uma catástrofe digital capaz de causar prejuízos bilionários. O estudo é da Lloyds e tem como base scams, malwares, hacks e ataques de ransomware que se tornam cada vez mais frequentes.

De acordo com a firma especializada em seguros, ainda não tivemos no ambiente virtual um caso tão devastador quanto o dos desastres naturais no mundo real. Afinal, mesmo o temido WannaCry – que atingiu milhares de empresas e exigiu pagamento em Bitcoins para o resgate de dados – ainda não chegou perto dos estragos causados por episódios envolvendo tornados, terremotos, tsunamis e cidades completamente destruídas. Infelizmente, um cenário online nessas proporções pode não estar longe de acontecer.

Para a Lloyd, um ciberataque em escala global, como jamais foi visto até hoje, pode gerar um prejuízo médio de astronômicos US$ 53 bilhões (R$ 167,5 bilhões) aos cofres privados – um valor muito próximo do estimado para a catástrofe causada pelo furacão Sandy, em 2012. A simulação prevê um ataque que atinja os principais provedores de serviços na nuvem e se esconda por cerca de um ano antes de espalhar códigos maliciosos para todos os usuários da plataforma, potencializado em múltiplas vezes seu poder de fogo e alcance.

O pior cenário possível pode resultar em um prejuízo de US$ 121 bilhões

O impacto desse hack lendário, no entanto, pode variar de intensidade conforme a indústria se preparar para algo dessa magnitude. Isso quer dizer que, se tudo estiver em ordem – com times de inteligência a postos e backups atualizados dos bancos de dados –, o montante pode ser reduzido para “apenas” US$ 4,6 bilhões (R$ 14,5 bilhões). O pior cenário possível para esse acontecimento, porém, é implacável e pode resultar em um prejuízo monstruoso de nada menos que US$ 121 bilhões (R$ 382,5 bilhões).

Fonte: Tecmundo

Microsoft e Kaspersky chegam a acordo

Está oficialmente hasteada a bandeira branca na guerra travada há mais de um ano entre Microsoft e Kaspersky. Ambas as empresas encontraram um ponto em comum nas recentes discussões e acertaram um acordo de paz.

Em uma postagem no blog do Windows, a Microsoft confirmou mudanças para a próxima atualização do Windows 10 e se comprometeu a trabalhar de perto com as desenvolvedoras de antivírus para estreitar a relação com essas marcas, evitando novos conflitos.

A partir de agora, empresas como a Kaspersky podem criar alertas e notificações próprios para avisar os usuários de atualizações do sistema ou renovação de licença. Além disso, quando o aplicativo expirar, será mais difícil ignorar a janela de anúncio — seja para ampliar o tempo de uso do programa ou trocar para outro serviço.

Recapitulando…

A briga começou ainda em 2016, quando o presidente da companhia russa, Eugene Kaspersky, acusou a gigante norte-americana de práticas anticompetitivas e de priorizar o próprio serviço no sistema operacional, o Windows Defender.

A Microsoft estaria escondendo avisos de atualização dos antivírus rivais e, caso notasse que eles estavam defasados, trocava automaticamente a proteção padrão pelo software da casa. Nem é preciso dizer o quanto isso enfureceu a Kaspersky e outras empresas de segurança.

No fim das contas, foi a própria companhia de Redmond quem cedeu e cumpriu as exigências do outro lado.

E já temos consequência direta dessas novas práticas. A Kaspersky se comprometeu a retirar os processos antitruste homologados na Europa. Segundo a companhia, as marcas tiveram “conversas frutíferas” sobre “como serviços de antivírus devem operar no ecossistema Windows para garantir um ambiente seguro para os usuários”.

Fonte: Tecmundo

Kaspersky descobre malware espião em software legítimo

Experts da Kaspersky Lab descobriram um backdoor em um software de gerenciamento de servidor usado por centenas de grandes empresas em todo o mundo. Esse recurso permite a hackers baixarem novos módulos maliciosos ou capturar dados.

A Kaspersky alertou a NetSarang, fornecedora do software, que removeu o código malicioso e lançou uma atualização.
O ShadowPad é um dos maiores ataques de cadeia de fornecedores conhecidos. “Esse tipo de operação usa empresas fornecedoras para atingir uma organização mais bem protegida, como um banco”, explica Fabio Assolini, analista sênior de malware da KL no Brasil.

Software legítimo

Em julho de 2017, a equipe de pesquisa e análise global (GReAT) da Kaspersky foi abordada por um dos seus parceiros – uma instituição financeira. A equipe de segurança estava preocupada com requisições de DNS suspeitos (servidor de nomes de domínio) em um sistema envolvido no processamento de transações financeiras. Outras investigações mostraram que a fonte era o software de gerenciamento, produzido por uma empresa legítima e usado por centenas de clientes em setores como serviços financeiros, educação, telecomunicações, fabricação, energia e transporte. A descoberta mais preocupante foi que o software não deveria agir assim. “O truque aqui é usar um aplicativo que é considerado seguro (whitelist) pelos produtos de segurança”, explica Assolini.

A Kaspersky descobriu também que os pedidos suspeitos eram gerados por um módulo malicioso dentro de uma versão recente do software legítimo. Após a instalação de uma atualização de software infectado, esse módulo começa a enviar consultas de DNS para domínios específicos (servidor de comando e controle) a cada 8h. O pedido contém informações básicas sobre o sistema da vítima. Se os atacantes considerassem que o sistema era “interessante”, o servidor de comando responderia e ativaria uma porta (backdoor) no computador atacado.

Após a descoberta, a KL avisou a NetSarang. A empresa reagiu rapidamente e lançou um update do software.

Até agora, o módulo malicioso foi ativado em vários países da Ásia, mas pode estar dormindo em muitos sistemas em todo o mundo. “Inclusive, detectamos empresas no Brasil com essa versão maliciosa”, afirma Assolini.

Ao analisar as técnicas utilizadas pelos atacantes, o GReAT chegou à conclusão de que alguns deles são muito semelhantes aos usados ​​anteriormente pelos grupos de ciberespionagem de fala chinesa PlugX e WinNTi. Esta informação, no entanto, não é suficiente para estabelecer uma conexão precisa com esses atores.

De acordo com Dmitry Bestuzhev, diretor do GReAT na América Latina, este ataque burla os mecanismos de segurança, o que torna mais fácil o acesso à administração da rede. “Os atacantes se tornam intrusos indetectáveis”, disse.

“O ShadowPad é um exemplo de quão perigoso e de grande escala pode ser um ataque bem sucedido na cadeia de suprimentos. Dadas as oportunidades de alcance e coleta de dados que dá aos atacantes, provavelmente será reproduzido novamente com algum outro componente de software amplamente utilizado. Felizmente, a NetSarang foi rápida e lançou um update. Este caso mostra que as grandes empresas devem contar com soluções avançadas capazes de monitorar a atividade da rede e detectar anomalias.”, disse Igor Soumenkov, especialista em segurança do GReAT.

Fonte: Kaspersky

45% dos sites ainda não contam com uma URL segura

Uma pesquisa da SEMRush, coletando informações de mais de 100 mil sites, indica que apenas 45% dos domínios pesquisados já migraram os endereços para HTTPS. Atualmente, não possuir o protocolo significa que um certo “descomprometimento” com a segurança do domínio.

De acordo com a pesquisa, entre os que já adotaram os novos endereços, também foram encontrados alguns erros na implantação. Entre os mais frequentes, estão desde protocolos de segurança desatualizados até erros de arquitetura dos sites, passando por links que direcionam para páginas não seguras.

Para quem tem uma loja online, isso pode significar o fim do site a curto prazo

“Não importa se um site traz URL com protocolo de segurança HTTPS se as páginas contidas dentro dele ainda não estão linkando para sites não seguros. Isso vai prejudicar o SEO e a própria credibilidade do site da mesma forma”, comentou Maria Chizhikova Marques, coordenadora de mercado brasileiro na SEMRush.

“Desde o início do ano todas as páginas que solicitam dados confidenciais, como número de cartão de crédito e documento, e tem apenas HTTP na URL estão sendo marcadas como inseguras. Para quem tem uma loja online, isso pode significar o fim do site a curto prazo”, ressalta Marques.

Fonte: Tecmundo

Conheça o Firefox Send

Nos últimos dias a Mozilla lançou um serviço de compartilhamento de arquivos autodestrutivos, o Firefox Send. Com ele, é possível enviar arquivos de até 1 GB para um amigo, e ele pode baixá-lo apenas uma vez em um período de 24 horas.

Assim que o arquivo for baixado uma vez, ele é automaticamente apagado dos servidores da Mozilla. Depois de um período de 24 horas, se ninguém fizer o download, ele também é deletado.

É bem fácil utilizar o serviço. Abaixo, explicamos os poucos passos necessários para você enviar um arquivo para os servidores da Mozilla e depois compartilhar o link de download com os seus amigos.

1. Escolha o arquivo que você quer enviar para a nuvem

Entre no site do Firefox Send. Logo na página inicial, você encontra uma área para arrastar o arquivo que quer enviar (lembrando que o tamanho máximo é 1 GB), e acima há um botão, caso você prefira selecionar o arquivo no seu computador.

Os arquivos serão automaticamente criptografados enquanto são enviados para os servidores da Mozilla. A fundação diz que não consegue acessar o conteúdo do arquivo e só o mantém nos servidores até que ele seja apagado.

2. Copie o link do arquivo

Com o envio feito, é fácil copiar o link para enviar a amigos: ele aparece em uma caixa de texto logo na parte central da página. Um botão azul copia o link automaticamente para a área de transferência, e depois é só colar em outro lugar para enviar aos amigos.

3. Se quiser, exclua o arquivo

Também há a opção de excluir o arquivo antes das 24h em que ele permanece nos servidores da Mozilla: é só clicar no botão “Excluir arquivo”, que aparece logo abaixo da caixa com o link para o arquivo.

4. Ou então envie outro arquivo

A última opção é clicar em “Enviar outro arquivo” para repetir o processo e deixar outro arquivo temporariamente nos servidores da Mozilla.

Fonte: Olhar Digital

Saiba mais sobre o Microsoft Windows Defender Exploit Guard

A Microsoft publicou nesta semana no blog Security Research & Defense um novo post falando um pouco mais sobre o Windows Defender Exploit Guard no Windows 10 Fall Creators Update.

Windows Defender Exploit Guard no Windows 10 Fall Creators Update

Em novembro passado a empresa confirmou que o Microsoft EMET (Enhanced Mitigation Experience Toolkit) seria descontinuado e que seus recursos e tecnologias seriam incorporados ao Windows em atualizações futuras do sistema operacional.

Com o lançamento do Windows 10 Fall Creators Update nos próximos meses, a introdução do Windows Defender Exploit Guard será mais uma das etapas deste processo.

O Exploit Guard basicamente implementará algumas defesas anti-exploits oferecidas até então pelo EMET, como regras inteligentes de Attack Surface Reduction (ASR).

Os participantes do Windows Insider Program rodando os builds mais recentes do Windows 10 podem acessar as configurações do Windows Defender Exploit Guard clicando com o botão direito do mouse no ícone da Central de Segurança do Windows Defender exibido na área de notificações e selecionando Abrir no menu.

Com a Central de Segurança do Windows Defender aberta, clique em Controle de aplicativos e do navegador. Agora navegue até a parte inferior e clique no link Configurações do Exploit Protection.

Você verá uma lista com as proteções oferecidas pelo Exploit Guard separadas em duas áreas: Configurações de sistema e Configurações de programa, o que oferece ainda mais control

Para facilitar a migração do EMET para o Windows Defender Exploit Guard, empresas e profissionais de TI podem utilizar um novo módulo do PowerShell que converte as configurações do EMET armazenadas em arquivos XML para políticas de mitigação para o Exploit Guard do Windows 10. Informações sobre este módulo do PowerShell podem ser encontradas aqui.

É importante destacar que para prevenir possíveis problemas de compatibilidade que podem causar instabilidade e outras dores de cabeça, o Windows 10 Fall Creators Update não permitirá a instalação do Microsoft EMET. Se o usuário fizer o upgrade para o Fall Creators Update a partir de um sistema com o EMET instalado, ele será removido durante o processo.

O Windows Defender Exploit Guard também incluirá mais do que as defesas anti-exploits do Microsoft EMET. A Microsoft pretende divulgar mais informações sobre isso em um futuro post.

A empresa já adiantou que o Exploit Guard terá integração total com o Windows Defender Advanced Threat Protection (WDATP) e outros recursos voltados para uso corporativo.

Agradecemos ao Augusto, colaboraador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo