Dharma: o ransomware que se disfarça de antivírus

Um novo tipo de ransomware foi descoberto pela Trend Micro: chamado de Dharma, ele utiliza instalações do antivírus ESET AV Remover falsas para distrair vítimas enquanto infecta a máquina e criptografa todos os arquivos.

De acordo com o Bleeping Computer, o ransomware é enviado via email para os computadores por meio de uma campanha de spam. Como um phishing, o ransomware fica como anexo. É interessante notar que o email lista uma senha para abrir o arquivo malicioso: a vítima, curiosa com a senha no corpo de email, assim que abre o arquivo acaba liberando a infecção.

A mensagem no email diz o seguinte: “Seu Windows está temporariamente em risco! Nosso sistema detectou vários dados incomuns do seu PC. Está corrompido pelo DISPLAY SYSTEM 37.2%. Todas as suas informações estão em risco, isso pode danificar os arquivos do sistema, dados, aplicativos ou até mesmo causar vazamentos de dados, etc. Atualize e verifique seu antivírus abaixo. Senha: http://www.microsoft.com”.

É interessante notar o uso do instalador ESET AV Remover enquanto o ransomware age por baixo dos panos. A vítima acaba pensando que está atualizando seu próprio antivírus, enquanto isso, seus arquivos vão sendo criptografados.

A ESET, dona do software AV Remover — que é legítimo —, comentou o seguinte sobre o caso:

“O artigo descreve a prática bem conhecida de um malware ser empacotado com aplicativos legítimos. No caso específico que a Trend Micro está documentando, foi utilizado um ESET AV Remover oficial e não modificado. No entanto, qualquer outro aplicativo poderia ser usado dessa maneira. A principal razão é para distrair o usuário; este aplicativo é usado como um aplicativo chamariz. Os engenheiros de detecção de ameaças da ESET viram vários casos de ransomware em pacote de extração automática junto com alguns arquivos limpos ou hack/keygen/crack recentemente. Então isso não é novidade.

No caso específico descrito pela Trend Micro, o ransomware é executado logo após o nosso aplicativo removedor, mas o removedor tem um diálogo e aguarda a interação do usuário, portanto não há nenhuma chance de remover qualquer solução AV antes que o ransomware seja totalmente executado”.

A lição é a mesma de sempre: não abra emails de desconhecidos.

Fonte: Tecmundo

LightNeuron: malware perigoso que promove ataques por e-mail

A empresa de segurança ESET descobriu um malware, backdoor do Microsoft Exchange, que tem a capacidade de ler, modificar ou bloquear qualquer email que passe pelo servidor, incluindo escrever novas mensagens e enviá-las sob a identidade de qualquer usuário legítimo da escolha dos invasores. O malware foi batizado de LightNeuron e tem o Brasil entre seus alvos.

O controle do malware é feito remotamente por meio de anexos em formato PDF e JPG ocultos em mensagens recebidas pelos usuários: “Na arquitetura do servidor de e-mail, o LightNeuron pode operar com o mesmo nível de confiança que os produtos de segurança, como filtros de spam. Como resultado, esse malware oferece ao invasor controle total sobre o servidor de e-mail e, portanto, sobre toda a comunicação do usuário”, diz Matthieu Faou, pesquisador de malware da ESET.

O LightNeuron fez vítimas na Europa e Oriente Médio. No Brasil, apesar do país ter sido atingido, ainda não se sabe qual organização foi atacada.

“Para fazer com que os e-mails de comando e controle (C&C) pareçam inocentes, o LightNeuron usa esteganografia para ocultar seus comandos em imagens PDF ou JPG válidas. A capacidade de controlar a comunicação por email torna o LightNeuron uma ferramenta perfeita para vazar documentos e também para controlar outras máquinas locais por meio de um mecanismo de C&C, o que é muito difícil de detectar e bloquear”, explica a ESET.

Uma vítima do malware terá trabalho para limpar o PC, completa a empresa. A simples exclusão de arquivos maliciosos não funciona, já que isso poderia fazer o servidor de e-mail falhar. Segundo Matthieu Faou, “encorajamos os administradores de sistemas a ler o documento de pesquisa da ESET em sua totalidade antes de implementar um mecanismo de limpeza”. Você pode encontrar o documento aqui.

Fonte: Tecmundo

Microsoft Office apresenta vulnerabilidades

As palestras da SAS 2019 não trataram apenas dos ataques sofisticados de APTs, mas também do trabalho diário de nossos pesquisadores que lutam contra os malware. Nossos especialistas Boris Larin, Vlad Stolyarov e Alexander Liskin prepararam um estudo sobre a detecção de ataques multicamadas de 0-day no MS Office chamado “Catching multilayered zero-day attacks on MS Office”. O foco da pesquisa são as ferramentas que os ajudam na análise de malwares, mas também chamaram a atenção para o atual cenário de ameaças do Microsoft Office.

As alterações que o cenário de ameaças sofreu em apenas dois anos são dignas de menção. Nossos especialistas estudaram os números de usuários vítimas de ataques por plataformas alvos no final do ano passado, em comparação a apenas dois anos atrás. A conclusão foi que os cibercriminosos mudaram sua preferência por vulnerabilidades da web para as do MS Office. Mas mesmo eles foram surpreendidos a magnitude da mudança: nos últimos meses, o MS Office tornou-se a plataforma mais explorada, sofrendo mais do que 70% dos ataques.

No início do ano passado, exploits de 0-day começaram a surgir no MS Office. Geralmente, eles tentavam uma campanha direcionada, mas com o passar do tempo, são publicados e acabam integrados a um gerador de documentos maliciosos. No entanto, o tempo de resposta foi reduzido consideravelmente. Por exemplo, no caso da CVE-2017-11882, a primeira vulnerabilidade do editor de equações que nosso especialista observou, uma enorme campanha de spam foi lançada no mesmo dia que se publicou a prova conceito. Algo semelhante ocorreu com outras brechas de segurança: depois que um relatório de vulnerabilidade é divulgado publicamente, é uma questão de dias até que um exploit apareça no mercado do cibercrime. Inclusive, os bugs se tornaram bem menos complexos e, às vezes, tudo que o cibercriminoso precisa para gerar um exploit funcional é uma análise detalhada.
Depois de avaliar as brechas de segurança mais utilizadas em 2018, podemos confirmar que os autores de malware preferem bugs simples, mas lógicos. Portanto, as vulnerabilidades CVE-2017-11882 e CVE-2018-0802 do editor de equação são agora as mais exploradas no MS Office. De forma geral, são confiáveis e funcionam em todas as versões de Word lançadas nos últimos 17 anos e, mais importante, não exigem habilidades avançadas para criar um exploit, já que o editor de equações binárias não têm quaisquer proteções e medidas atuais que seriam esperadas de um aplicativo em 2018.

Curiosamente, deve-se notar que nenhuma das vulnerabilidades mais exploradas são encontradas no próprio MS Office, mas em seus componentes.

Mas por que esse tipo de coisa continua acontecendo?

Bem, a superfície de ataque do MS Office é enorme, com muitos formatos de arquivo complexos que devem ser considerados, bem como a sua integração com o Windows e interoperabilidade. E, mais importante em termos de segurança, muitas das decisões tomadas durante a criação do Microsoft Office não são mais adequadas, mas modificá-las pode prejudicar a compatibilidade com versões anteriores.

Somente em 2018, encontramos várias vulnerabilidades aproveitadas por exploit de 0-day. Entre elas, a CVE-2018-8174 (a vulnerabilidade remota de execução de código do mecanismo VBScript do Windows) que é especialmente interessante, pois o exploit foi inicialmente detectado em um documento do Word, mas hoje se espalhou para o Internet Explorer. Para mais informações, consulte esta publicação no Securelist.

Como a Kaspersky encontrou as vulnerabilidades?

Os produtos de segurança para endpoints da Kaspersky têm funcionalidades heurística muito avançadas para detectar ameaças distribuídas por meio de documentos MS Office. É uma das primeiras camadas de detecção. O mecanismo heurístico conhece todos os formatos de arquivos e de ofuscação de documentos atuando como a frente de defesa inicial. Mas quando encontramos um objeto malicioso, não nos limitamos a determinar simplesmente se é perigoso. Ele passa por diferentes camadas de segurança. Por exemplo, por uma tecnologia que foi particularmente bem-sucedida no isolamento do processo conhecida sandbox.

Com relação à segurança da informação, sandboxes são usadas para separar os ambientes inseguros dos seguros, ou vice-versa, a fim de protegê-los contra a exploração de vulnerabilidades e para analisar o código malicioso. Nossa sandbox é um sistema para detectar malware que executa um objeto suspeito em uma máquina virtual com um sistema operacional totalmente funcional, e detecta a atividade mal-intencionada por meio de uma análise comportamental. Foi desenvolvida há alguns anos para ser usada em nossa infraestrutura e, posteriormente, tornou-se parte do Kaspersky Anti-Targeted Attack Platform.

O Microsoft Office tem sido e permanecerá como alvo preferido dos cibercriminosos. Eles perseguem as brechas mais fáceis, assim, as funcionalidades obsoletas continuarão a ser usadas para tirar vantagem ilegalmente. Para proteger sua empresa, aconselhamos a utilização de soluções cuja eficácia tenha sido testada na longa lista de CVEs detectadas.

Fonte: Kaspersky

Clonagem de celular – ameaça ronda usuários brasileiros

O SIM swap, conhecido popularmente como “clonagem dos chips do celular”, é uma fraude que está sendo amplamente utilizada por cibercriminosos no País. Essa técnica é um recurso legítimo e utilizado quando um smartphone é perdido ou roubado, e permite ao dono da linha ativar o número em outro chip. Os golpistas, porém, estão constantemente enganando as operadoras de celular para fazer a portabilidade do número do dispositivo roubado para um novo chip. Uma investigação conjunta, entre a Kaspersky Lab e o CERT de Moçambique, descobriu que esse tipo de ataque é muito comum também no mundo todo, sendo usado pelos cibercriminosos não apenas para roubar credenciais e capturar senhas de uso único (OTPs) enviadas por SMS, mas também para roubar dinheiro das vítimas.
Os pagamentos móveis tornaram-se muito populares, especialmente em mercados emergentes, como África e América Latina, onde os consumidores podem facilmente depositar, sacar e pagar bens e serviços usando seus dispositivos móveis. Porém, eles também estão sendo alvos de uma onda de ataques, e as pessoas estão perdendo dinheiro em fraudes de clonagem de chips em grande escala.

Como funciona o golpe

O golpe começa com a coleta de dados das vítimas por meio de e-mails de phishing, engenharia social, vazamentos de dados ou até pela compra de informações de grupos criminosos organizados. Depois de obter os dados necessários, o cibercriminoso entra em contato com a operadora móvel, passando-se pela vítima, para que faça a portabilidade e ative o número do telefone no chip do fraudador. Quando isso acontece, o telefone da vítima perde a conexão (voz e dados) e o fraudador recebe todos os SMSs e chamadas de voz destinados à vítima. Assim, todos os serviços que dependem da autenticação de dois fatores ficam vulneráveis.

Para se ter uma ideia, somente no Brasil um grupo organizado de cibercriminosos conseguiu clonar o chip de 5 mil vítimas, envolvendo não apenas pessoas comuns, mas também políticos, ministros, governadores, celebridades e empresários famosos. Em Moçambique um golpe causou prejuízo de US$ 50 mil a um empresário, roubados de suas contas bancárias, já no Brasil foram identificadas diversas fraudes de R$ 10 mil cada. Porém, é difícil estimar o impacto total desse tipo de ataque na América Latina, África e no mundo, pois a maioria dos bancos não divulga as estatísticas publicamente.

Na África, o maior banco de Moçambique registrou uma média mensal de 17,2 casos de fraude por clonagem de chips. Tal situação levou bancos e operadoras no país a adotar uma solução simples, porém eficaz no combate à fraude. Eles desenvolveram um sistema integrado de consulta em tempo real que possibilitou zerar os casos de fraude no país.

A investigação também mostrou que, em alguns casos, o alvo pretendido é a própria operadora de celular. Isso acontece quando funcionários da operadora não conseguem identificar um documento fraudulento e permitem que o fraudador ative um novo chip. Outro grande problema são os funcionários corruptos, recrutados pelos cibercriminosos, que pagam de 40 a 150 reais por chip ativado. No entanto, o pior tipo de ataque ocorre quando um cibercriminoso envia um e-mail de phishing com o objetivo de roubar as credenciais do funcionário para ter acesso direto ao sistema da operadora. Quando isso acontece, o cibercriminoso consegue realizar um ataque em duas ou três horas sem muito esforço.

“O interesse dos cibercriminosos nas fraudes de SIM swap é tão grande que alguns até vendem este serviço para outros criminosos. Os fraudadores atiram em todas as direções; os ataques podem ser direcionados ou não, mas qualquer pessoa pode ser vítima. Tudo o que o criminoso precisa é do número do celular, que pode ser obtido facilmente pesquisando vazamentos de bancos de dados, comprando bancos de dados de empresas de marketing ou usando aplicativos que oferecem serviços de bloqueio de spam e identificação do chamador. Na maioria dos casos, é possível descobrir o número do seu celular com uma simples busca no Google”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab e corresponsável pela pesquisa.

WhatsApp e fintechs

A técnica de clonagem de chips também gerou um novo tipo de ataque conhecido como ‘clonagem do WhatsApp’. Neste caso, depois da ativação do chip no celular do criminoso, ele carrega o WhatsApp para restaurar os chats e contatos da vítima no aplicativo. Então, manda mensagens para os contatos como se fosse a vítima, falando de uma emergência e pedindo dinheiro. Alguns dos ataques atingiram empresas depois que cibercriminosos conseguiram sequestrar o celular de um executivo e usaram a clonagem do WhatsApp para solicitar recursos do departamento financeiro da empresa. O golpe é semelhante ao comprometimento de e-mails corporativos (BEC), mas usando contas do WhatsApp.

De maneira semelhante, os cibercriminosos passaram a usar esta técnica para burlar os avanços no setor financeiro, incluindo de fintechs populares e assim esvaziar as contas bancárias das vítimas. Como a maioria dos aplicativos financeiros ainda depende da autenticação de dois fatores, os cibercriminosos conseguem usar a função de recuperação de senha do aplicativo para receber um código SMS e, assim, ter total controle sobre a conta do usuário e efetuar pagamentos ilegais usando o cartão de crédito registrado no aplicativo.

“Embora não haja uma solução milagrosa, a extinção da autenticação de dois fatores via SMS é o melhor caminho a seguir. Isso é particularmente verdadeiro quando falamos de Internet Banking. Quando os serviços financeiros pararem de usar esse tipo de autenticação, os golpistas irão focar em outras coisas, como redes sociais, serviços de e-mail e mensageiros instantâneos para continuar roubando”, conclui Assolini.

Como não ser vítima:

  • Quando possível, os usuários devem evitar usar a autenticação de dois fatores via SMS, optando por outros métodos, como a geração de uma autenticação única (OTP) via aplicativo móvel (como o Google Authenticator) ou o uso de um token físico. Infelizmente, alguns serviços online não apresentam alternativas. Nesse caso, o usuário precisa estar ciente dos riscos.
  • Quando é solicitada a troca do chip, as operadoras devem implementar uma mensagem automatizada que é enviada para o número do celular, alertando o proprietário de que houve uma solicitação de troca do chip e, caso ela não seja autorizada, o assinante deve entrar em contato com uma linha direta para fraudes. Isso não impedirá os sequestros, mas avisará o assinante para que ele possa responder o mais rápido possível em caso de atividades maliciosas. Caso a operadora não ofereça esse tipo de serviço, o usuário deve entrar em contato solicitando um posicionamento a respeito.
  • Para evitar o sequestro do WhatsApp, os usuários devem ativar a dupla autenticação (2FA) usando um PIN de seis dígitos no dispositivo, pois isso adiciona uma camada extra de segurança que não é tão fácil de burlar.
  • Solicite que seu número seja retirado das listas de IDs de aplicativos que identificam chamadas; eles podem ser usados por golpistas para encontrar seu número a partir do seu nome.
Fonte: Kaspersky

Malware de mineração de criptomoeda ainda permanece como ameaça

malwareEmbora os serviços de mineração de criptomoeda, como o Coinhive, tenham encerrado no último mês de março, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo, segundo o Índice Global de Ameaças referente ao mês de março de 2019, da Check Point Research.

Segundo pesquisadores da companhia, é a primeira vez desde dezembro de 2017 que o Coinhive caiu da primeira posição, mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum a afetar as companhias durante o mês. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o código JavaScriptCoinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. A expectativa é que outros serviços de mineração também aumentem a sua atividade para aproveitar a ausência do Coinhive.

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”.

“No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineração mais robustas, utilizando ambientes em nuvem para mineração. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Fonte: itmidia

Método russo à serviço dos cibercriminosos brasileiros

cibercrimeNão é novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usuários – mas não é sempre que criam novas técnicas. A Kaspersky Lab identificou uma campanha de malware bancário utilizando o método BOM para confundir scanners de e-mail e infectar as vítimas – esta é a primeira vez que a técnica é utilizada no País e tem como alvo correntistas brasileiros e chilenos. Os usuários dos produtos da companhia estão protegidos deste ataque.

Técnica de 2013

Criados por criminosos russos para distribuir malware de sistemas Windows, essa técnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detecção. Campanhas de malware bancários dependem das famosas mensagens de phishing para aumentar o número de vítimas. O desafio dos criminosos russos era confundir os scanners de e-mail, então criaram um arquivo .ZIP com cabeçalho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usuários.malware zipadoAo tentar abrir o arquivo compactado utilizando o visualizador padrão do Windows Explorer, o usuário vê uma mensagem de erro, dizendo que está corrompido. Ao analisá-lo, os especialistas da Kaspersky perceberam que o cabeçalho do ZIP contém três bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura “PK” (0x504B), que é o padrão do ZIP. Já o BOM é encontrado normalmente em arquivos de texto com codificação UTF-8. O ponto é que algumas ferramentas não irão reconhecer este arquivo como um ZIP -elas o lerão como um arquivo de texto e não conseguirão abri-lo.

Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e irão extrair seu conteúdo corretamente. Uma vez que o usuário faça isso, será infectado. Quando isso acontece, o malware atuará como ponte para baixar o malware principal.malwareApós uma sequência de processos que visam evitar a detecção das ações maliciosas, é baixado o malware principal: variantes do malware Banking RAT que fica inoperante na máquina da vítima até que esta tente acessar seu Internet banking. Neste momento, ele começa a capturar tokens, código de acesso, data de aniversário, senha de acesso, entre outras formas de autenticação bancária.
“Identificamos atividades da campanha maliciosas usando o método BOM contra correntistas brasileiros e chilenos. Tecnicamente, é engenhosa e, por isso, é ingênuo esperar que com seis anos desde seu descobrimento não será efetiva. Usuários que contam com uma solução de segurança não correm muitos riscos, porém quem não tem nenhuma proteção está vulnerável”, afirma Thiago Marques, analista de segurança da Kaspersky Lab.

Todos os produtos da companhia estão aptos a extrair e analisar arquivos comprimidos contendo Byte Order Mark, além de já identificarem e bloquearem o malware usado neste golpe.

Mais informações sobre a ataque estão disponíveis no Securelist.com.

Fonte: Kaspersky

A nova modalidade de ataque ao seu dinheiro dos cibercriminosos

cibercriminosoAutenticação de dois fatores (2FA na sigla em inglês) é um método utilizado amplamente por instituições financeiras ao redor do mundo que objetiva manter o dinheiro de clientes seguro: sabe, aqueles códigos de 4 a 6 dígitos que você recebe do banco e precisa digitar para aprovar uma transação. Usualmente, bancos enviam esses códigos de SMS por mensagens de texto. Infelizmente, SMS é uma das formas mais frágeis de implementar 2FA, pois são interceptáveis. Foi exatamente isso que ocorreu no Reino Unido.

Como os criminosos colocam as mãos nas mensagens de texto? Bem, há formas diferentes, e uma das mais extravagantes é por meio da falha de segurança SS7, um protocolo usado por empresas de telecomunicações para coordenar como direcionam mensagens e chamadas. A rede SS7 não se importa com quem enviou o pedido. Caso criminosos consigam acessá-la, a rede seguirá seus comandos de redirecionamento de mensagens e chamadas como se fossem legítimos.

O esquema segue assim: os cibercriminosos primeiro obtêm a senha e usuário do internet banking – seja por phishing, keyloggers ou Banking Trojans. A partir daí, entram na conta e realizam a transferência. Hoje, a maioria dos bancos pediria uma confirmação adicional para essa operação e enviaria um código de verificação ao usuário da conta. Se o banco faz isso por meio de mensagens de texto, é aí que os malfeitores se valem da vulnerabilidade SS7: interceptam o texto e usam o código, como se estivessem com seu telefone. As instituições financeiras, por sua vez, aceitam a transação como legítima, pois foi autorizada duas vezes: uma pela senha, e outra com o código de uso único. E assim, o dinheiro vai para o criminoso.

Os bancos do Reino Unido confirmaram ao Motherboard que alguns de seus clientes foram vítimas desse tipo de fraude. Em 2017, o Süddeutsche Zeitung reportou que bancos alemães também passaram pelo mesmo problema.

Há também boas notícias. Como a própria Metro Bank comenta, um número mínimo de clientes passaram por isso e “nenhum deles saiu no prejuízo”.

A situação como um todo poderia ser evitada se os bancos utilizassem outras formas de 2FA que não se valessem de mensagens de texto (como por exemplo, um aplicativo de autenticações ou, digamos uma autenticação pautada em hardware como o Yubikey). Infelizmente, no momento, as instituições financeiras (com raras exceções) não permitem outras formas de autenticação de dois fatores que não SMS. Esperemos que em futuro próximo mais bancos mundialmente ofereçam alternativas aos clientes no que concerne sua proteção.

Portanto, a lição dessa história é a seguinte:

  • É bom usar autenticação de dois fatores sempre possível, mas melhor ainda é utilizar um método que envolva aplicativos de autenticação ou Yubikeys. Experimente esses como alternativa ao SMS.
  • Use uma solução de antivírus confiável para manter os Banking Trojans e keyloggers longe de seu sistema – de forma que não possam roubar suas credenciais de acesso, e você nem precise se preocupar em situações como essa.
Fonte: Kaspersky