Mozilla corrige falha crítica: atualize seu Firefox

A Mozilla liberou nos últimos dias um novo update de segurança para o Firefox. E se você faz uso do navegador, é melhor baixar a atualização agora mesmo, já que foi descoberta uma falha crítica que permite a hackers instalar arquivos maliciosos no computador. O problema é tão grave que a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos emitiu comunicado alertando todos aqueles que têm o Firefox como navegador padrão.

Esta é a mensagem da Mozilla sobre o bug: “Uma confusão de vulnerabilidade pode acontecer quando se manipula objetos de JavaScript por conta de problemas no Array.pop. Isso pode gerar uma pane explorável. Estamos cientes de ataques direcionados que têm se aproveitado dessa brecha”. Aparentemente, códigos maliciosos podem ser instalados a partir de qualquer página.

A recomendação da atualização para o Firefox 67.0.3 ou Firefox ESR 60.7.1 é imediata. Você ode efetuar o download clicando no ícone de busca no navegador e pesquisar por “update” até encontrar a opção “Restaurar para atualizar o Firefox”.

Fonte: itmidia

Novidade: extensão do Chrome para navegação segura

O Google lançou nos últimos dias na Chrome Web Store a extensão Suspicious Site Reporter, que busca facilitar, em poucos cliques, a denúncia de sites suspeitos.

“A navegação segura do Google ajuda a proteger contra ameaças como phishing e malwares, exibindo avisos aos usuários quando eles tentam navegar em sites suspeitos ou fazer download de arquivos perigosos”, explicou o Google.

A aplicação mostra um ícone de uma bandeira que muda de cor quando o usuário está navegando em um possível site malicioso, além de informações mais detalhadas sobre a página. Caso o usuário perceba algo estranho ele pode denunciar a página ao Google. É possível também acessar o relatório completo após a efetivação da denúncia.

No entanto, são considerados sites suspeitos qualquer site que não esteja no top 5000 do Google. O processo da denúncia é simples, a extensão tem opções de incluir screenshots e o conteúdo DOM do site (HTML completo da página incluindo imagens).

Outro ponto importante da nova ferramenta é que ela bloqueia o acesso a qualquer site que considera suspeito, sendo necessário a autorização do usuário para acessar.

Fonte: itmidia

1000 GB livre para arquivos on line: cuidado, é golpe

A empresa de cibersegurança ESET identificou um novo golpe que chega aos usuários do WhatsApp. Dessa vez, uma mensagem compartilhada oferece “1000 GB” de internet gratuita para o usuário devido ao aniversário do app. Por trás da mensagem, na verdade, se esconde um golpe para gerar renda de publicidade para cibercriminosos.

A monetização dessa campanha está diretamente ligada à entrega de anúncios massivos

Logo após o clique no link, o usuário é redirecionado para um questionário com diversas perguntas. Além disso, o golpe pode que ele compartilhe o link para 30 pessoas e, dessa maneira, ter os “1000 GB” liberados.

Segundo a ESET, o objetivo deste golpe é mostrar publicidades durante todo o processo. Ou seja, nenhuma evidência foi encontrada de que foram instalados programas maliciosos ou de que houve tentativa de roubar informações adicionais. Nesse sentido, a monetização dessa campanha está diretamente ligada à entrega de anúncios massivos e sem autorização dos usuários.

“Recomendamos ter soluções de segurança robustas, tanto em dispositivos móveis quanto em desktops. Nas análises realizadas com proteção ativa, o acesso a essas páginas é filtrado pelo módulo antiphishing das soluções. Em qualquer caso, não podemos ignorar a importância da educação para os usuários, bem como manter-se informado sobre as ameaças e técnicas existentes para se proteger. Quanto mais cauteloso e informado for o usuário, menores serão as chances de clicar em phishings”, diz Luis Lubeck, especialista em segurança da informação da ESET América Latina.

A ESET também notou a existência de um novo site voltado para a disseminação do phishing. Depois de analisar o número de páginas indexadas neste domínio, ela observou que existem pelo menos 66 “ofertas” diferentes, cada uma simulando uma marca ou empresa diferente, como Adidas, Nescafé, Sopas Sorrel, Rolex Watches, por exemplo.

Caso você não saiba, phishing é um dos métodos de ataque mais antigos, já que “metade do trabalho” é enganar o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/e-commerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.

Dicas para se proteger dessas mensagens falsas:

  • Atenção para detectar se a mensagem mostra que o remetente é um contato conhecido: os provedores de serviço não enviam mensagens endereçadas para “Caro Cliente”, sem qualquer personalização
  • Cuidado com anexos e links integrados: geralmente, um provedor não envia uma mensagem pedindo para efetuar login a partir de um link inserido em um e-mail, mesmo que a mensagem seja personalizada. Recomenda-se não confiar em arquivos não solicitados ou links integrados nestas correspondências, mesmo que sejam de empresas confiáveis ou amigos
  • Tome precauções básicas: passar o cursor sobre o link para verificar sua veracidade é muito importante. Além disso, se você receber uma promoção boa demais para ser real, procure nas redes oficiais da marca para verificar sua existência
  • Controle a ansiedade: devemos evitar entrar em pânico ou reagir imediatamente, sem as devidas precauções às possíveis ameaças. A maioria das empresas não age dessa maneira
  • Não fique animado com os cliques: não caia na compulsão de aceitar todas as condições de qualquer software pelo simples fato de ter um programa de segurança. Existem novos códigos que podem não ser detectados. É por isso que é importante identificar sites maliciosos ou arquivos não seguros para evitá-los. Conhecer os riscos é a melhor maneira de evitar ser enganado
  • Preste atenção aos detalhes: as mensagens de phishing estão por toda parte. Afetam SMS (mensagens de texto) e redes sociais, como Facebook e Twitter. Por isso, preste atenção em erros gramaticais, de concordância ou até se a logomarca da empresa condiz com a real
Fonte: Tecmundo

Mais de 2 milhões de cartões de crédito tem seus dados roubados

Um ataque malware massivo comprometeu mais de 2,3 milhões de dados de cartões de crédito e débito em estabelecimentos comerciais no Brasil, segundo um levantamento da equipe de Threat Intelligence da Tempest. Segundo descoberta da empresa de cibersegurança, uma campanha de malware atingiu, pelo menos, 2.600 sistemas no País e tinha como objetivo capturar dados de cartões de pagamento transacionados em sistemas de ponto de venda (PDV).

Ricardo Ulisses, Head de Threat Intelligence da Tempest, diz que foi possível identificar oito servidores que serviam de repositório das informações capturadas pelo malware. “Analisando estes servidores, entendemos que esta operação era controlada por, ao menos, 10 operadores diferentes que capturaram mais de 2,3 milhões de informações de cartões de crédito e débito”, explica.

Até o momento, não há indícios de que os cartões roubados foram usados em fraudes ou que vazaram em outros canais, segundo a Tempest. Assim que identificou a ameaça, a companhia a reportou aos bancos, entidades de classe e outros membros da comunidade de segurança de modo que essas instituições pudessem tomar as medidas cabíveis em relação aos cartões e mitigar fraudes antes da divulgação do relatório.

“Nenhum dos malwares identificados nesta campanha utiliza técnicas que dificultem sua análise ou detecção por software antivírus, e já são detectados. Apesar disso, a Tempest está colaborando e compartilhando informações com parceiros de empresas de antivírus”, afirma Ulisses.

A Tempest ainda não sabe ao certo como o malware instalado em cada máquina, mas sabe-se que, conceitualmente, o golpe é simples e de baixa complexidade. “O estágio inicial de infecção é feito a partir de um arquivo executável com a função de descarregar e copiar outros três artefatos para o diretório TEMP. A partir deste ponto, se inicia a execução dos arquivos e o monitoramento dos processos de interesse”, explica a empresa.

O malware dispõe pelo menos de três funções genéricas principais, que consistem em criar persistência na inicialização do Sistema Operacional, acompanhar os registros realizados pela vítima por meio do teclado do computador infectado e monitorar processos de interesse, em sua maioria relacionados a software PDV.

De acordo com a leitura do código-fonte da aplicação, constatou-se que a memória desses processos é monitorada em busca de vestígios de informações relacionadas a números de cartões de pagamento. Durante a análise, também foi localizado um registro de sistemas infectados pelo malware onde constam informações do computador da vítima, como ‘Nome do computador’ e ‘Nome do usuário’ logado na máquina no momento da infecção.

Dados de cartões transacionados nos computadores dos estabelecimentos infectados foram identificados e interceptados pelos cibercriminosos que operam a engenharia do malware, porém, as senhas desses cartões não foram capturadas, segundo a Tempest.

Fonte: itmidia

Brasil: campeão em ataques phishing

O Brasil foi o país que teve a maior parcela dos usuários atacados por golpes de phishing no primeiro trimestre de 2019 (22%, em comparação com 19% no 1º trimestre de 2018). Depois vêm Austrália (17%) e Espanha (17%).

Um dos culpados por este aumento foi um surto de spams sofisticados oferecendo falsas ofertas de emprego que supostamente vinham de recrutadores de grandes corporações. Claro que o objetivo final era instalar malware para roubar dinheiro da vítima, aponta relatório da Kaspersky.

Esse tipo de golpe usa a engenharia social, como promoções ou manipulação psicológica para disseminar malware e, frequentemente, é subestimado. Para rastrear essas ameaças, os pesquisadores da Kaspersky usam os chamados honeypots, ‘armadilhas’ virtuais capazes de detectar e-mails maliciosos e pegar os cibercriminosos. Nessa operação específica, rastrearam fraudadores que tentavam enganar pessoas descuidadas em busca de emprego.

A análise detalhada está no novo relatório Spam e phishing no primeiro trimestre de 2019 e mostra que os destinatários dos spams receberam uma oferta tentadora de emprego de uma grande empresa. A mensagem convidava a vítima a entrar em um sistema gratuito de busca de vagas e solicitava a instalação de um aplicativo para dar acesso ao banco de dados de empregos. Para fazer a instalação parecer confiável, os atacantes associaram a ele uma janela pop-up com as palavras “DDoS Protection” e uma mensagem falsa indicando que o usuário estava sendo redirecionado para o site de uma das maiores agências de recrutamento.

Na verdade, as vítimas eram redirecionadas para um servidor na nuvem onde fariam o download de um instalador que parecia um arquivo do Word. Sua função era instalar no computador da vítima o trojan bancário Gozi, malware bastante usado em roubos financeiros.

“Muitas vezes, vemos remetentes de spam usando nomes de empresas conhecidas, pois isso contribui para o sucesso de seus negócios fraudulentos e para ganhar a confiança das pessoas. Marcas com uma reputação sólida podem se tornar vítimas de fraudadores que se passam por elas e atraem usuários inocentes para baixar um arquivo malicioso em seus computadores. Era preciso verificar erros no endereço de e-mail para suspeitar que a oferta de trabalho não era autêntica”, explica Maria Vergelis, pesquisadora de segurança da Kaspersky Lab.

Como não ser vítima de spam malicioso

  • Sempre verifique o endereço do site para onde foi redirecionado, endereço do link e o e-mail do remetente para garantir que são genuínos antes de clicar neles, além de verificar se o nome do link na mensagem não aponta para outro hyperlink;
  • Não clique em links contidos em e-mails, SMS, mensagens instantâneas ou postagens em mídias sociais vindos de pessoas ou organizações desconhecidos, que têm endereços suspeitos ou estranhos. Verifiquem se são legítimos e começam com ‘https‘ sempre que solicitam informações pessoais ou financeiras;
  • Se não tiver certeza de que o site da empresa é real e seguro, não insira informações pessoais;
    Verifique no site oficial da empresa se há vagas em aberto correspondentes a suas qualificações profissionais;
  • Entre em contato com a empresa por telefone para garantir que a oferta de emprego é verdadeira;
    Procure possíveis erros nas ofertas de trabalho, verificando com atenção o nome da empresa ou o título e as responsabilidades do cargo;
  • Use soluções de segurança confiáveis para ter uma proteção em tempo real para ameaças emergentes.

Fonte: Kaspersky

Microsoft antecipa em 4 anos o final do Windows 8

A Microsoft fez uma atualização discreta em um texto publicado no ano passado, mas que vai impactar o cronograma de atualizações das versões mais antigas do sistema operacional da empresa. A versão original da publicação dizia que a Windows Store iria parar de receber atualizações para apps do Windows 8 em 1º de julho de 2023, mas essa data foi alterada para 1º julho de 2019.

Com essa mudança, a Microsoft adiantou em quatro anos o fim definitivo do sistema operacional. O Windows 8 teve seu suporte encerrado em 2016, mas aplicativos nativos ou baixados pela Windows Store continuaram recebendo atualizações, algo que vai acabar em julho. É importante lembrar que essa medida vale apenas para o Windows 8 e não para o Windows 8.1, que terá apps atualizados até 2023.

Embora seu suporte tenha acabado há três anos, o Windows 8 ainda é utilizado por aproximadamente 15 milhões de pessoas, representando 0,95% do total de usuários de PCs. Como sempre, a recomendação para quem ainda está nessas versões mais antigas é atualizar o sistema para o Windows 10.

Opinião do seu micro seguro: para quem deseja uma experiência diferente, eu recomendo a migração para uma distribuição Linux. A nova e mais recente versão do Ubuntu está excelente: interface amigável, rápida, leve e com muitas opções de softwares. E o melhor de tudo, sistema operacional e aplicativos todos gratuitos.

Fonte: Tecmundo

Os riscos associados aos dispositivos USB

Dispositivos USB são a principal fonte de malware para sistemas de controle industrial, disse Luca Bongiorni da Bentley Systems durante sua palestra na #TheSAS2019. A maioria das pessoas envolvidas de alguma maneira com segurança já ouviram os contos clássicos sobre pendrives que caíram “acidentalmente” em estacionamentos – uma história comum sobre segurança que é ilustrativa demais para não ser recontada diversas vezes.

Outra história – real – sobre pendrives USB envolvia um funcionário de uma unidade industrial que queria assistir La La Land e decidiu baixar o filme em um pendrive durante o almoço. Assim começa a narrativa sobre como um sistema isolado de uma usina nuclear foi infectado – é um relato muito familiar sobre uma infecção de infraestrutura crítica extremamente evitável.
No entanto, as pessoas tendem a esquecer que dispositivos USB não estão limitados a pendrives. Dispositivos de interface humana (Human Interface Devices – HIDs) como teclados e mouses, cabos para carregar smartphones, e até mesmo objetos como globos de plasma e canecas térmicas, podem ser manipulados com a finalidade de atingir sistemas de controle industrial.

Uma pequena história sobre armas USB

Apesar do esquecimento das pessoas, os dispositivos USB manipulados não são uma novidade. Os primeiros dispositivos desse tipo foram criados em 2010. Com base em uma pequena placa programável chamada Teensy e equipados com um conector USB, tornaram-se capazes de agir como HDIs, por exemplo, pressionando teclas em um PC. Os hackers rapidamente perceberam que dispositivos podiam ser usados para testes de penetração e inventaram uma versão programada para criar novos usuários, executar programas para criar backdoors e injetar malware – copiando ou baixando o vírus de um site específico.

A primeira versão modificada da Teensy foi chamada de PHUKD. Kautilya, que era compatível com as placas Arduino, mais populares, veio em seguida. E então Rubberducky – talvez a ferramenta USB de emulação de teclas mais conhecida, graças ao Mr. Robot, que imitava exatamente a movimentação média do dedo polegar. Um dispositivo mais poderoso chamado Bunny foi usado em ataques contra caixas eletrônicos.

O inventor do PHUKD rapidamente teve uma ideia e criou um mouse “trojanizado” com uma placa integrada de testes de penetração para que, além de funcionar como um mouse normal, pudesse fazer tudo que o PHUKD é capaz de fazer. De uma perspectiva de engenharia social, usar HIDs verdadeiros para penetrar sistemas pode ser ainda mais fácil do que usar pendrives USB com o mesmo propósito, já que até mesmo as pessoas com conhecimento suficiente para saber que não se deve inserir um dispositivo desconhecido em seu computador geralmente não se preocupam com teclados ou mouses.

A segunda geração de dispositivos USB manipulados foi criada durante os anos de 2014 e 2015 e incluía os famigerados dispositivos BadUSB. O TURNIPSCHOOL e o Cottonmouth, supostamente desenvolvidos pela Agência de Segurança Nacional dos Estados Unidos (NSA), também merecem ser mencionados: eram dispositivos tão pequenos que podiam ser colocados dentro de um cabo USB e usados para extrair dados de computadores (incluindo computadores desconectados de qualquer rede). Apenas um simples cabo – nada que preocupe alguém, certo?

O estado moderno dos dispositivos USB manipulados

A terceira geração de ferramentas USB de testes de penetração acaba por atingir um outro nível. Uma dessas ferramentas é o WHID Injector, basicamente um Rubberducky com uma conexão WiFi. Dessa forma, não precisa ser programada inicialmente com tudo que deve fazer; um hacker pode controlar a ferramenta remotamente, o que oferece mais flexibilidade além da habilidade de trabalhar com diferentes sistemas operacionais. Outra invenção da nova geração é a P4wnP1, baseada no Raspberry Pi e que é como o Bash Bunny com algumas funcionalidades adicionais, incluindo conectividade wireless.

E, é claro, tanto o WHID Injector quanto o Bash Bunny são suficientemente pequenos para serem inseridos em um teclado ou mouse. Esse vídeo mostra um laptop que não está conectado a nenhuma rede por USB, Ethernet ou WiFi, mas possui um teclado “trojanizado” que permite que um criminoso execute comandos e programas remotamente.

Dispositivos USB pequenos como os mencionados acima podem até mesmo ser programados para parecerem um modelo específico de HID, o que permite que desviem de políticas de segurança de empresas que aceitam mouses e teclados apenas de fornecedores específicos. Ferramentas como o WHID Injector também podem ser equipadas com um microfone para estabelecer vigilância por áudio e espionar pessoas em uma empresa. Pior ainda, apenas um destes dispositivos é capaz de comprometer toda a rede – a não ser que esteja adequadamente segmentada.

Como proteger sistemas contra dispositivos USB manipulados

  • Teclados e mouses “trojanizados”, além de vigilância ou cabos maliciosos, são ameaças sérias que podem ser usadas para comprometer até mesmo sistemas isolados. Hoje em dia, as ferramentas usadas nestes tipos de ataques podem ser compradas por preços baratos e programadas sem qualquer habilidade de programação, de forma que precisam estar no seu radar. Para proteger infraestruturas críticas contra essas ameaças utilize uma abordagem multicamadas.
  • Garanta a segurança física primeiro, para que pessoas não-autorizadas não possam conectar dispositivos USB aleatórios a sistemas de controle industrial. Além disso, bloqueie fisicamente portas USB não-utilizadas nesses sistemas e evite a remoção de HIDs que já estão conectados.
  • Treine funcionários para que conheçam os diferentes tipos de ameaça, inclusive dispositivos USB manipulados (como o do incidente La La Land).
  • Segmente a rede adequadamente e gerencie os direitos de acesso para evitar que criminosos alcancem sistemas usados para controlar a infraestrutura crítica.

Proteja todos os sistemas da unidade com soluções de segurança capazes de detectar todos os tipos de ameaça.

Fonte: Kaspersky