SyncAck: um perigoso ransomware da nova geração

Os malwares tendem a evoluir conforme criminosos adicionam novas funcionalidades e técnicas para evitar a detecção por programas de antivírus. Às vezes, essa evolução é bastante rápida. Por exemplo, o ransomware SynAck, conhecido desde setembro de 2017 (quando era apenas comum e pouco inteligente), foi recentemente reformulado e tornou-se uma ameaça muito sofisticada que evita detecções com uma eficácia sem precedentes e usa uma nova técnica chamada Process Doppelgänging.

Ataque surpresa

Os criadores de malware utilizam muito a técnica de ofuscamento — tentativas de deixar o código ilegível para que os antivírus não reconheçam o malware — que normalmente empregam pacotes de software especiais para esse objetivo. No entanto, os desenvolvedores de antivírus perceberam e esse tipo de estratégia é facilmente detectada. Os cibercriminosos por trás do SynAck escolheram outro jeito que requer mais esforço de ambos os lados: ofuscar o código de forma completa e cuidadosamente antes de o compilar, o que dificulta significativamente o trabalho de detecção das soluções de segurança.

Esse não é o único método de fuga da nova versão do SynAck emprega. Adicionalmente, implementa uma técnica bastante complicada chamada Process Doppelgänging – e é o primeiro ransomware a ser visto à solta fazendo isso. Foi apresentada pela primeira vez na Black Hat 2017 por pesquisadores de segurança, e em seguida captada por cibercriminosos e utilizada em diversas espécies de malware.

O método Process Doppelgänging conta com alguns recursos do sistema de arquivos NTFS e um carregador de processos desatualizado que existem em todas as versões do Windows desde o Windows XP, e que permitem que desenvolvedores criem malwares “sem arquivo” que fazem com que ações maliciosas se passem por processos legítimos e inofensivos. A técnica é complicada; para saber mais, veja este post do Securelist.

O SynAck tem mais duas características dignas de mencionar. Primeiro, verifica se está instalado no diretório correto. Se não estiver, não executa – essa é uma tentativa de evitar a detecção por meio das sandboxes automáticas que várias soluções de segurança utilizam. Segundo, o SynAck analisa se está instalado em um computador com um teclado definido para um determinado script – nesse caso, o alfabeto cirílico – e, nessa situação, também não faz nada. Essa é uma técnica comum para restringir o malware em regiões específicas.

O crime habitual

Para o usuário, o SynAck é apenas mais um ransomware, notável principalmente pela sua demanda de resgate considerável: US$ 3000 mil. Antes de criptografar os arquivos da vítima, garante que tem acesso aos mais importantes durante a derrubada de alguns processos que, de outra forma, manteriam esses arquivos em uso e fora de perigo.

A vítima vê o pedido de resgate, que inclui as instruções de contato, na tela de login. Infelizmente, o SynAck usa um algoritmo de encriptação poderoso e nenhuma falha foi encontrada em sua implementação d – por isso ainda não há como descriptografar os arquivos atingidos.

Observamos que o SynAck foi distribuído, na maioria das vezes, por meio de um ataque de força bruta ao protocolo Remote Desktop Protocol – o foco são usuários corporativos. O número limitado de ataques até agora – todos nos EUA, Kwait e Irã – corroboram com essa hipótese.

Prepare-se para a próxima geração de ransomware

Mesmo que o SynAck não esteja atrás de você, sua existência é um sinal claro da evolução dos ransomwares, que se tornam mais sofisticados e difíceis de combater. Os utilitários de descriptografia vão ser menos frequentes conforme os criminosos aprendem como evitar os erros que tornaram possível sua criação. Apesar de terem cedido terreno para os mineradores ocultos (conforme previmos), o ransomware ainda é uma grande tendência global, e saber como se proteger contra todas essas ameaças é essencial para todo usuário de Internet.

Aqui estão algumas dicas que podem ajudar você a evitar a infecção ou, se necessário, minimizar as consequências.

Faça backups dos seus dados regularmente. E os armazene em diferentes mídias que não estejam permanentemente conectadas à sua rede ou à Internet.
Se você não utiliza o Windows Remote Desktop em seus processos de negócios, o desabilite.

Fonte: Kaspersky

Malware russo é pior do que o imaginado

Revelado no final de maio, o malware russo VPNFilter pode ser pior do que o imaginado inicialmente. Isso porque a Cisco Systems atualizou nesta semana a lista de ataques possíveis e de roteadores que podem ser afetados pela ameaça.

Em um post feito no seu blog em 6 de junho, a divisão Talos, da Cisco, afirmou ter descoberto um “novo módulo de estágio 3 que injeta conteúdo malicioso no tráfego web à medida que passa por um aparelho de rede”. Mais conhecido como “man-in-the-middle”, esse ataque permite que os cibercriminosos usem essa vulnerabilidade para interceptar tráfego de rede e injetar código malicioso sem que o usuário fique sabendo.

Isso significa que um hacker pode manipular o que você vê na sua tela enquanto ainda realiza tarefas maliciosas no seu display. Como o gerente sênior de tecnologia da Talos, Craig Williams, afirmou ao site especializado Ars Technica, “Eles podem modificar o saldo da sua conta bancária para que ele pareça normal enquanto que eles retiram dinheiro e potencialmente chaves PGP e coisas do tipo. Eles podem monitorar tudo entrando e saindo do aparelho”. Essa é uma ameaça muito maior do que o imaginado inicialmente.

Quais os roteadores afetados?

O alerta emitido pelo FBI no fim de maio sugere que todos os donos de roteadores devem reiniciar seus aparelhos. Por isso, talvez seja uma boa ideia reiniciar o seu roteador de qualquer forma.

Dito isso, a Symantec publicou a seguinte lista no fim de maio com roteadores e aparelhos NAS que seriam suscetíveis ao VPNFilter.

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Mikrotik RouterOS for Cloud Core Routers: Versões 1016, 1036 e 1072
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• Outros aparelhos QNAP NAS rodando software QTS
• TP-Link R600VPN

Nos últimos dias, no entanto, a Cisco, emitiu um alerta afirmando que a ameaça vai além desses modelos acima, e inclui um grupo mais amplo de roteadores fabricados por empresas como Asus, D-Link, Huawei, Ubiquiti, UPVEL e ZTE. Vale lembrar que o FBI e a Cisco recomenda que todos os usuários reiniciem os seus roteadores, independente de eles estarem na lista ou não.

Reiniciar o seu roteador acaba com o que a Cisco chama de Estágio 2 e Estágio 3 do VPNFilter – a parte destrutiva do malware. O processo é simples: simplesmente desconecte o roteador da tomada, espere 30 segundos e plugue-o novamente. Pronto!

Também é recomendado trocar a senha do roteador por um código novo e forte, desabilitar os recursos de gerenciamento remoto (que devem vir desabilitados por padrão na maioria dos casos) e atualizar seu software de antivírus no computador. Além disso, caso você tenha um roteador que esteja na lista de aparelhos afetados pelo VPNFilter pode ser importante realizar um reinício de fábrica nas configurações do dispositivo.

Fonte: IDGNow!

Cuidado com extensões maliciosas

Um trojan bancário é um malware que rouba as credenciais dos usuários – como logins, senhas e números de identificação – e, claro, dinheiro. Apesar de serem comuns entre os cibercriminosos, usar uma extensão maliciosa em um navegador não é a primeira escolha – principalmente por razões técnicas, é mais fácil que hackers criem as próprias extensões de adware (propaganda).

No final de abril, produtos da Kaspersky detectaram uma extensão para o Google Chrome chamada Unblock Content (“Desbloquear conteúdo”) que se comunicava com uma zona de domínio suspeita, normalmente usada por cibercriminosos. Essa extensão maliciosa, segundo nossos especialistas, atacou quase 100 clientes brasileiros de vários bancos.

Extensões maliciosas tendem a utilizar diferentes técnicas para impedir detecções por soluções de segurança. Devido ao protocolo WebSocket, os autores do golpe conseguem estabelecer comunicação em tempo real com o servidor de comando e controle (C&C). O ataque redireciona o tráfego de usuários para o C&C, que age como um servidor proxy para quando a vítima visitar sites de bancos brasileiros.

O código malicioso copiou o botão “Fazer login” para que, quando o usuário insere suas credenciais, elas são passadas não apenas para os sistemas bancários, mas também para o servidor dos cibercriminosos. Dessa forma, foi executado um discreto ataque Man-in-the-Middle.

“Extensões de navegador destinadas a roubar logins e senhas são menos comuns em comparação às extensões de adware. Mas, dado o possível dano, vale a pena levá-las a sério. Recomendamos escolher extensões conhecidas, que tenham um considerável número de instalações e avaliações na Chrome Web Store ou em outros serviços oficiais. Afinal, apesar das medidas de proteção tomadas pelos proprietários de tais serviços, extensões maliciosas ainda podem infiltrá-las”, diz Vyacheslav Bogdanov, autor da pesquisa.

Extensão maliciosa na Chrome Store

“Desenvolver uma extensão maliciosa para roubar credenciais bancárias é bem mais trabalhoso do que criar um trojan bancário. Essa tática tem sido escolhida por cibercriminosos brasileiros pois assim podem controlar totalmente a navegação da vítima com o menor ruído possível, passando desapercebidos por algumas soluções de segurança. Encontramos em média de 2 a 3 extensões maliciosas publicadas por criminosos todo mês na Chrome Web Store”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Fonte: Kaspersky

SMS usado para invadir e-mail da vítima

Um golpe que vem ganhando popularidade ultimamente utiliza técnicas de engenharia social e phishing para conseguir o acesso a contas de um usuário a partir do código de verificação enviado para o celular da vítima. A atividade foi percebida pela empresa de segurança Kaspersky, que publicou um texto com informações sobre como se proteger.

O esquema começa com uma pessoa enviando um SMS afirmando que era o antigo dono do celular da vítima. Muita gente pode acreditar na afirmação, já que as empresas de telefonia realmente costumam pegar números antigos que foram desativados e dá-los para clientes novos. O golpista então diz que está tentando ativar uma conta antiga, que ainda estaria associada ao número usado pela vítima. Para isso, ela só precisaria informar o código que seria enviado por SMS.

Não responda a mensagem

Como lembra a Kaspersky, a chance de que a mensagem seja mesmo de uma pessoa que perdeu o acesso à conta são mínimas. O mais provável é que esse criminoso tenha descoberto seu e-mail e número de telefone, possivelmente através de algum vazamento de informações, e está tentando invadir suas contas.

Para isso, ele precisa do código de ativação que é enviado para confirmar a sua identidade quando você esquece a senha de acesso ao e-mail. A partir desse ponto, é possível invadir praticamente qualquer outro serviço, já que a maioria deles depende apenas do e-mail para ter as senhas reiniciadas.

Por conta disso, uma das melhores formas de se proteger contra esse tipo de ataque é através da autenticação de dois fatores. Com ela ligada, será necessário aprovar todos os acessos à sua conta através do celular, o que vai proteger seus dados, mesmo no caso de um e-mail comprometido. Além disso, fique atento e nunca compartilhe esse tipo de código de verificação com ninguém, mesmo que ela peça com uma mensagem muito educada.

Fonte: Tecmundo

Cibercriminosos usam dia dos namorados para golpes

Com a chegada do Dia dos Namorados, crackers criaram uma promoção falsa utilizando a linha de produto Glamour da marca O Boticário, que promete um kit de perfume para a pessoa que responder a um questionário e compartilhar o link com amigos via WhatsApp. Segundo o dfndr lab, laboratório da PSafe especializado em cibercrime, mais de 40 mil pessoas foram impedidas pelo aplicativo de segurança digital dfndr security de terem seus aparelhos infectados por esse golpe apenas nas últimas 24 horas.

Ao clicar no link malicioso, o usuário precisa responder três perguntas para ganhar o suposto kit de perfume. São elas:

“Você gostaria de ganhar um kit masculino ou feminino?”

“O kit é para uso próprio ou presente para o namorado(a)?”

“Você indicaria nossa promoção para amigos ou familiares?”

Independentemente das respostas escolhidas, o usuário é encaminhado para uma página que solicita o compartilhamento da falsa promoção com 30 amigos ou grupos no WhatsApp. Ao final, o usuário é direcionado para realizar o download de um malware.

Para passar credibilidade e incentivar o compartilhamento, o link malicioso exibe comentários de falsos usuários que alegam terem recebido o benefício, como: “Maravilha… consegui pegar pra dar de presente”; “Presente da namorada garantido hehe”, “Minha mãe também conseguiu pegar os dois”.

“O número de pessoas que estão acessando essa promoção falsa está aumentando significativamente nas últimas horas. Isso porque, além do compartilhamento via aplicativo de mensagem solicitado ao final do questionário, o golpe está se espalhando por meio notificações via navegador (push notification) para pessoas que deram essa permissão prévia ao hacker em outros golpes realizados anteriormente” explica Emilio Simoni, Diretor do dfndr lab.

Para evitar cair em falsas promoções, os especialistas do dfndr lab reforçam a importância de as pessoas criarem o hábito de se certificar sobre a veracidade de qualquer informação antes de compartilhá-la com seus contatos. Nestes casos, é possível usar a ferramenta gratuita de verificação de links do dfndr lab, no site.

Além disso, é importante utilizar soluções de segurança que disponibilizam uma função de bloqueio anti-phishing.

Font: IDGNow!

Cibercriminosos focam ataques no Microsoft Office

Exploits do Microsoft Office entraram na lista de problemas cibernéticos do primeiro trimestre de 2018. O número de usuários vítimas de documentos maliciosos do Office aumentou mais de quatro vezes em relação ao primeiro trimestre de 2017. Em apenas três meses, sua parcela na distribuição de exploits usadas nos ataques cresceu para quase 50% -duas vezes mais que a média de exploits do Microsoft Office durante todo o ano de 2017. Essas são as principais conclusões do relatório de evolução de ameaças de TI da Kaspersky Lab referente ao primeiro trimestre.

Os ataques baseados nesses exploits são considerados muito eficientes, pois não exigem outras interações com o usuário e são capazes de entregar código perigoso de maneira discreta. São amplamente usados tanto por criminosos virtuais que buscam lucros quanto por agentes mais sofisticados apoiados por algum nação-estado.

No primeiro trimestre de 2018, houve um influxo enorme dessas vulnerabilidades direcionadas ao popular Microsoft Office. Segundo os especialistas da Kaspersky Lab, esse provavelmente será o pico de uma tendência mais longa, pois em 2017-2018 foram identificados pelo menos dez exploits do Office em uso. No mesmo período, foram observadas dois exploits 0-day (desconhecidos) do Adobe Flash Player usados ativamente.

Como era de se esperar, a parcela desse último na distribuição de exploits usados em ataques está diminuindo (pouco menos de 3% no primeiro trimestre). A Adobe e a Microsoft se empenharam muito em dificultar a exploração do Flash Player.

Quando os criminosos virtuais descobrem uma vulnerabilidade, preparam uma exploit. Em seguida, podem usar o spear phishing como vetor de infecção, comprometendo usuários e empresas por meio de e-mails com anexos maliciosos. Pior ainda, esses vetores de ataque por phishing normalmente são discretos e muito usados ativamente em sofisticados ataques direcionados. Temos muitos exemplos nos últimos seis meses.

Por exemplo, no terceiro trimestre de 2017, os avançados sistemas de prevenção de exploits da Kaspersky Lab identificaram uma nova exploit de 0-day do Adobe Flash usada contra nossos clientes. Por meio de um documento do Office, o objetivo era infectar a máquina com a versão mais recente do malware FinSpy. A análise permitiu associar esse ataque a um agente sofisticado conhecido como “BlackOasis”. No mesmo mês, nossos especialistas publicaram uma análise detalhada da vulnerabilidade 0-day crítica СVE-2017-11826.

“O cenário das ameaças no primeiro trimestre novamente nos mostra que a falta de atenção ao gerenciamento de correções é um dos perigos cibernéticos mais importantes. Embora normalmente os fornecedores lancem correções de vulnerabilidades, muitas vezes os usuários não conseguem atualizar seus produtos a tempo. Isso causa ondas de ataques discretos e altamente eficazes assim que as vulnerabilidades são expostas à ampla comunidade de criminosos virtuais”, diz Alexander Liskin, especialista em segurança da Kaspersky Lab.

Fonte: Kaspersky

Cibercriminosos já clonam cartões com chip

Recentemente, os Estados Unidos passaram do uso da faixa magnética insegura em cartões de crédito e débito para cartões de chip e PIN mais bem protegidos, regulados pelo padrão EMV. É um grande passo para aumentar a segurança das transações e reduzir a fraude.

No entanto, nossos pesquisadores descobriram recentemente que cibercriminosos brasileiros desenvolveram uma maneira de roubar dados e clonar cartões de chip e PIN (senha de quatro dígitos). Nossos especialistas apresentaram sua pesquisa em nossa conferência SAS 2018.

Fraudes em caixas eletrônicos e além

Ao pesquisar malware para caixas eletrônicos usado por um grupo brasileiro chamado Prilex, nossos pesquisadores tropeçaram em uma versão modificada. Ela traz alguns recursos adicionais ​​para infectar terminais de ponto de serviço (POS) e coletar dados de cartões.

Este malware foi capaz de modificar o software do POS para permitir a um terceiro capturar a comunicação entre o device e o banco. Foi assim que os criminosos obtiveram os dados. Basicamente, quando você paga em uma loja cujo POS está infectado, os dados do cartão são transferidos imediatamente para os criminosos.

No entanto, ter os números é apenas metade da batalha. Para roubar dinheiro, também precisavam clonar cartões, um processo mais complicado pelos chips e suas autenticações múltiplas.

O grupo Prilex desenvolveu uma infra-estrutura que permite a seus “clientes” criarem cartões clonados – em teoria não deveria ser possível.

Para saber como, é melhor primeiro dar uma olhada em como funcionam cartões EMV. Quanto à clonagem, tentaremos manter o mais simples possível.

Como o padrão chip-e-PIN funciona

O chip no cartão não é apenas memória flash, mas um pequeno computador capaz de executar aplicativos. Ao ser introduzido em um terminal POS, começa uma seqüência de etapas.

O primeiro passo é a inicialização: o terminal recebe informações básicas, como nome do titular, data de validade e a lista de aplicativos que o cartão pode executar.

O segundo é uma etapa opcional chamada autenticação. O terminal verifica se o cartão é autêntico, processo que envolve a validação usando algoritmos criptográficos. É mais complicado do que precisa ser discutido aqui.

O terceiro, também optativo, é a verificação do titular; ele deve fornecer o código PIN ou uma assinatura (depende de como o cartão foi programado). Este passo é para garantir que a pessoa tentando pagar com um cartão é a mesma para a qual foi emitido.

Cartão ilimitado

Então, temos um cartão capaz de executar tarefas e, durante seu primeiro aperto de mão, o POS solicita informações sobre os aplicativos disponíveis. O número e a complexidade das etapas necessárias para a transação dependem dos aplicativos disponíveis.

Os clonadores de cartões criaram um applet Java para os cartões executarem. O app possui dois recursos: primeiro, informa ao terminal POS não haver necessidade de autenticação de dados. Isso significa nada de operações criptográficas, poupando a tarefa quase impossível de obter as chaves privadas do cartão.

Mas isso ainda deixa a autenticação do PIN. No entanto, existe uma opção no padrão EMV para escolher como entidade verificadora o… seu cartão. Ou, mais precisamente, um aplicativo em execução nele.

Você leu direito: o código dos cibercriminosos pode dizer que um PIN é válido, independentemente do inserido. Isso significa que o criminoso que empunha o cartão clonado pode simplesmente digitar quatro dígitos aleatórios – sempre serão aceitos.

Em quarto, a transação acontece. Observe que apenas os passos 1 e 4 são obrigatórios. Em outras palavras, a autenticação e a verificação podem ser ignoradas – aí que os brasileiros entram.

Fraude de cartão como serviço

A infraestrutura Prilex criada inclui o applet Java, um aplicativo de cliente chamado “Daphne” para escrever a informação em cartões inteligentes (dispositivos de leitor/gravador de cartões inteligentes e cartões inteligentes em branco são baratos e legais para comprar). O mesmo software é usado para verificar a quantidade de dinheiro que pode ser retirada do cartão.

A infra-estrutura também inclui o banco de dados com números de cartões e outros dados. Se o cartão é débito ou crédito não importa; “Daphne” pode criar clones de ambos. Os bandidos vendem tudo como um pacote, principalmente para outros criminosos no Brasil, que então criam e usam os cartões clonados.

Conclusão

De acordo com o relatório da Aite 2016 Global Consumer Card Fraud, é seguro assumir que todos os usuários foram comprometidos. Se você usa um cartão com uma faixa magnética ou um cartão chip-and-PIN mais seguro não importa – se você tiver um cartão, sua informação provavelmente foi roubada.

Agora que os criminosos desenvolveram um método para realmente clonar os cartões, isso começa a parecer uma ameaça muito séria. Se você quiser evitar a perda de quantias significativas de dinheiro com a fraude de cartão, recomendamos o seguinte:

Fique atento ao histórico de transações do seu cartão, usando notificações por SMS. Se você notar gastos suspeitos, ligue para o banco o mais rápido possível e bloqueie o cartão imediatamente.

Use o AndroidPay ou o ApplePay, se possível; Esses métodos não revelam os dados do seu cartão para o POS. É por isso que podem ser considerados mais seguros do que inserir seu cartão em um POS.

Use um cartão separado para pagamentos pela Internet, pois este é ainda mais provável de ser comprometido do que os que você usa apenas em lojas físicas. Não tenha grandes somas de dinheiro nesse cartão.

Fonte: Kaspersky