Falha no Chrome possibilita a terceiros vasculhar arquivos no PC

A Google revelou no dia 06 de março uma vulnerabilidade no navegador Chrome que praticamente abria as portas do computador para um hacker malicioso.

A Google já corrigiu a brecha e todos os navegadores devem estar atualizados com a última versão disponível.

A vulnerabilidade zero-day (CVE-2019-5786) foi corrigida na versão 72.0.3626.121 do Chrome. Segundo anúncio da empresa, a falha já estava sendo explorada por atacantes antes da correção — por isso, garanta que seu Chrome está atualizando em ‘Menu’, ‘Ajuda’ e ‘Sobre o Google Chrome”.

Confira agora se o seu Chrome está com a última versão instalada

Segundo a empresa, a vulnerabilidade é um erro no gerenciamento de memória do FileReader no Chrome. O FileReader é a API responsável por permitir que aplicativos web acessem o conteúdo de arquivos armazenados no computador de um usuário. A brecha vinha acontecendo quando um app web tentava acessar a memória após ler liberado ou apagado da memória alocada do Chrome.

Com esta brecha, cibercriminosos poderiam escalar privilégios dentro do sistema operacional e ler o conteúdo de arquivos no computador de uma vítima. Ou seja: tudo que é mais pessoal e sensível.

Ainda não foram divulgados muitos detalhes sobre a vulnerabilidade. A Google já atualizou automaticamente os navegadores Chrome, contudo, garanta que o seu aparece com a mesma versão abaixo — se não aparecer, faça uma atualização na página oficial do Chrome.

Fonte: Tecmundo

Novo malware atinge 20 mil usuários do Android

Um malware inédito no Brasil foi identificado pela Diebold Nixdorf em fevereiro. Segundo relatório da companhia que atua na prevenção de fraudes, o chamado RAT (Remote Access Trojan) opera em dispositivos móveis Android e se utiliza de técnica em que o atacante navega e realiza as transações diretamente no dispositivo móvel do usuário.

Ao infectar um dispositivo, o fraudador tem como principal objetivo se passar pelo cliente e realizar transações eletrônicas nos aplicativos de bancos enquanto o usuário não está com a atenção voltada ao celular. Todo processo de navegação, autenticação e inserção das transações acontece sem qualquer interação física do aparelho, de forma remota e controlada pelo atacante.

Segundo a Diebold Nixdorf, o malware possibilita uma visualização e controle total do dispositivo da vítima por meio de permissão de acessibilidade, concedida pelo usuário no momento da instalação do aplicativo. Uma vez com a permissão, o software concede a si mesmo outras permissões necessárias para executar as demais tarefas a qual se propõe, inclusive a própria senha de desbloqueio do aparelho.

Para não chamar a atenção, o criminoso inicia a fraude e controla o dispositivo quando o usuário não está utilizando o aparelho. Os hackers ainda conseguem ativar o modo silencioso do aparelho e escurecem a tela em 90% para que a pessoa não veja o acesso remoto acontecendo. Para apagar vestígios, o malware ainda pode ser desinstalado de maneira remota após a fraude.

Como o malware chega aos usuários

Durante os processos de análise e engenharia reversa realizados pela área de Online Fraud Detection (OFD) da Diebold Nixdorf, foi possível identificar que o processo de disseminação do Malware se dá por meio de spam e via anúncios pagos pelos criminosos. Na maioria das vezes o acesso se dá por anúncios de atualização do aplicativo WhatsApp ou propaganda de retrospectivas.

Uma vez com controle total do dispositivo, o criminoso pode facilmente navegar pelos aplicativos de mensagem instantânea e disseminar o link para download do aplicativo falso, se passando pelo próprio usuário como se fosse uma recomendação pessoal enviada em sua rede de contatos.

Como se proteger

Especialistas da Diebold Nixdorf detectaram 20 mil instalações no Brasil que já impactaram usuários de aplicativos de grandes bancos no país. Para evitar cair em uma fraude como essa, os profissionais recomendam algumas atitudes:

Fique atento com links encaminhados via aplicativos de mensagens. Cheque sempre a fonte daquela informação e pesquise sobre a veracidade da informação antes de realizar qualquer download.

Não baixe e nem instale softwares e/ou aplicativos desconhecidos – existem diversos programas na internet que prometem melhorar a eficiência de seus dispositivos, porém, pode se tratar de programas espiões.

Tenha um software antivírus instalado e sempre atualizado – seja no seu computador ou celular.

Fonte: itmídia

Apps populares no Android ainda continuam compartilhando dados com o Facebook

Alguns aplicativos populares usados no sistema operacional Android continuam compartilhando sem consentimento dados de usuários com o Facebook. O objetivo é a criação de perfis para a personalização de anúncios. A informação é de uma pesquisa feita pela ONG Privacy International, que já havia identificado o problema em dezembro do ano passado – à época, a rede social afirmou que encerrou os compartilhamentos de dados.

De acordo com a pesquisa, os aplicativos do Android compartilham dados com o Facebook assim que o usuário entra na plataforma – entre os apps que ainda continuam com a prática estão a plataforma de ensino de idiomas Duolingo, o aplicativo de procura de emprego Indeed e algumas plataformas religiosas. A rede social também obtém dados de usuários que não estão logados no Facebook e até mesmo daqueles que não têm uma conta na rede social.

Não se sabe ao certo que tipos de dados são coletados. Entretanto, a ONG afirma que as informações permitem que o Facebook saiba qual aplicativo da empresa o usuário está usando, o que inclui o Messenger, o WhatsApp e o Instagram. A rede social também consegue saber quando o usuário abre um aplicativo em seu dispositivo. O Facebook não comentou o assunto.

Essa prática é ilegal de acordo com a lei de proteção de dados europeia, a GDPR, que entrou em vigor em maio do ano passado – as novas regras estabelecem que é necessário o consentimento dos usuários antes da coleta de dados pessoais. As empresas que transmitem dados sem permissão podem ser obrigadas a pagar uma multa de até 4% de seu faturamento.

O estudo inicial da Privacy International revelado em dezembro do ano passado analisou os 34 aplicativos mais populares utilizados no sistema operacional Android e descobriu que ao menos 20 deles compartilhavam dados com o Facebook sem a permissão dos usuários. A ONG afirmou que parte desses aplicativos não repassa mais dados ao Facebook.

Fonte: Estadão

Google aumenta eficiência da navegação no modo anônimo

O Modo Anônimo oferecido pelo Google Chrome dá uma ideia de privacidade ao usuário: ele permite a navegação desconectada, porém, usuários ainda podem ser rastreados de uma maneira ou outra — e muitos sites ainda conseguem detectar se você navega via Modo Anônimo. Agora, o Google está alterando alguns códigos do modo para deixar a sua navegação mais secreta, escondendo dos sites se você está em Modo Anônimo ou não.

O Chrome vai criar um arquivo de sistema virtual usando a RAM

Mas, por qual motivo os sites querem saber se você está utilizando esse modo ou não? Um deles, e talvez o principal, é o paywall de sites de notícias. Diversos sites de notícias pelo mundo utilizam um tipo de pawall que bloqueia usuários no Modo Anônimo e até registra quem já acessou uma quantidade X de acessos gratuito fora do modo para manter o bloqueio.

Para aumentar as “barreiras” do Anônimo, o Chrome vai criar um arquivo de sistema virtual usando a RAM. Dessa maneira, quando você sair do modo, é garantido que tudo que você navegou será apagado — e os métodos de detecção também deverão cair. Segundo o 9to5Google, o Google tem como meta remover toda a API FileSystem com o passar do tempo.

A novidade deve chegar no Chrome 74 com a possibilidade de ativação feita pelo usuário, contudo, deve ser apenas no Chrome 76 que o recurso já chega como padrão nos navegadores.

Fonte: Tecmundo

Macs na mira dos cibercriminosos

Criminosos estão usando um programa com extensão para Windows para infectar máquinas com macOS, sistema dos iMacs e MacBooks. O tipo de ataque inédito foi descoberto por analistas da Trend Micro – empresa especializada em cibersegurança –, após avaliarem uma versão pirata do Little Snitch – aplicativo firewall pago, projetado para modelos da Apple.

O download do software foi feito em sites de torrents. Após a instalação, os especialistas perceberam que no seu grupo de arquivos havia uma pasta oculta com um arquivo EXE, extensão usada no sistema da Microsoft e por padrão incompatível com Mac. Para burlar essa restrição, os bandidos agruparam o documento EXE em uma estrutura livre, conhecida como Mono. Essa tecnologia permite que programas do Windows sejam executados em outros sistemas operacionais, como Android, Linux e o próprio MacOS. Após ter sido extraída pelo instalador, ela foi então usada para executar o falso programa.

Os avaliadores relataram que o falso Little Snitch agiu em fases. Na primeira, roubou algumas informações da máquina infectada, como: seu modelo, ID exclusivo e ferramentas instaladas. Em seguida, começou a baixar e instalar vários aplicativos adwares. Inclusive, alguns deles começaram a se comportar como uma versão original do firewall e do Adobe Flash.

No entanto, quando testaram o falso firewall no Windows, depararam-se com uma mensagem de erro. Por essa razão, a suspeita é de que ele tenha sido desenvolvido com a finalidade de enganar o Gatekeeper, recurso de segurança da Apple que monitora somente arquivos nativos do MacOS.

As amostras avaliadas foram as seguintes:

Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zi
Wondershare_Filmora_924_Patched_Mac_OSX_X.zi
LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zi
Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zi
TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zi
Little_Snitch_583_MAC_OS_X.zip

Os índices mais altos de infecções a partir desses arquivos foram observados em maior número em localizações, como: Reino Unido, Austrália, Armênia, Luxemburgo, África do Sul e Estados Unidos. Os analistas ainda vão continuar investigando esse tipo de ação e sua rotina. Enquanto isso, nunca é demais lembrar: baixe arquivos somente de fontes muito confiáveis, até mesmo quando eles prometerem proteger seus dados.

Fonte: Tecmundo

Presentes na Windows store, apps mineravam criptomoedas secretamente

Em janeiro, pesquisadores de segurança da Symantec descobriram aplicativos criptomineradores na Microsoft App Store, os quais foram publicados na loja entre abril e dezembro de 2018. Não está claro quantos usuários baixaram ou instalaram os aplicativos, mas eles tinham quase 1.900 avaliações de usuários.

Os aplicativos maliciosos colocados como navegadores, mecanismos de pesquisa, downloaders de vídeos do YouTube, VPN e otimizadores de computadores foram enviados por três contas de desenvolvedores chamados DigiDream, 1clean e Findoo. No entanto, os pesquisadores da Symantec acreditam que os aplicativos foram criados por uma única pessoa ou pelo mesmo grupo de invasores, já que todos compartilham o mesmo domínio de origem no back-end.

“Assim que os aplicativos são baixados e lançados, eles buscam uma biblioteca JavaScript de mineração de moedas acionando o Gerenciador de Tags do Google (GTM) em seus servidores de domínio”, disseram os pesquisadores da Symantec em um relatório na sexta-feira. “O script de mineração é ativado e começa a usar a maioria dos ciclos da CPU do computador para minerar o Monero para os operadores. Embora esses aplicativos pareçam fornecer políticas de privacidade, não há menção à mineração de moedas em suas respectivas descrições na loja de aplicativos”.

Os programas foram publicados como Progressive Web Applications (PWA), um tipo de aplicativo que funciona como uma página da Web, mas também tem acesso ao hardware do computador por meio de APIs, podendo enviar notificações push, usar armazenamento off-line e se comportar como um programa nativo. No Windows 10, esses aplicativos são executados independentemente do navegador, em um processo autônomo chamado WWAHost.exe.

Quando executados, os aplicativos sinalizam o GTM, um serviço legítimo que permite aos desenvolvedores injetarem dinamicamente o JavaScript em seus aplicativos. Todos os apps usam a mesma chave única do GTM, o que sugere que eles foram criados pelo mesmo desenvolvedor.

O script carregado pelos aplicativos é uma variante do Coinhive, um minerador de criptomoeda baseado em Web que foi usado no passado por invasores para infectar sites e sequestrar recursos da CPU dos visitantes.

“Informamos a Microsoft e o Google sobre os comportamentos desses aplicativos’, disseram os pesquisadores da Symantec. “A Microsoft removeu os aplicativos de sua loja. O JavaScript de mineração também foi removido do Gerenciador de Tags do Google”.

Este incidente mostra que a mineração com criptomoedas continua sendo de grande interesse para os cibercriminosos. Seja para sequestrar computadores pessoais ou servidores em datacenters, eles estão sempre à procura de novas maneiras de implantar mineradores.

Nos últimos dois anos, os invasores lançaram ataques de mineração de moedas por meio de aplicativos Android hospedados no Google Play, por extensões de navegador para o Google Chrome e Mozilla Firefox, por aplicativos de desktop comuns, por sites comprometidos (roubados ou hackeados) e agora pelo PWA do Windows 10. Há também uma variedade de botnets que infectam servidores Linux e Windows com programas de mineração de criptomoedas, explorando vulnerabilidades em aplicativos e plataformas populares da Web.

Os usuários geralmente são aconselhados a fazer o download apenas de aplicativos de fontes confiáveis, seja em dispositivos móveis ou computadores. No entanto, com aplicativos desonestos que frequentemente chegam às lojas de aplicativos oficiais, confiar apenas naqueles conselhos para proteção não é mais uma opção.

Fonte: itmidia

Mega vazamento: 2,2 bilhões de senhas circulam pela rede

No começo do mês, o pesquisador de segurança Troy Hunt revelou que um vazamento, batizado de Collection #1, tinha exposto os e-mails de 773 milhões de pessoas e mais de 21 milhões de senhas. Em seguida, o pesquisador de segurança da informação Brian Krebs informou que existiam outros pacotes de credenciais, o Collection #2 até o Collection #5, que tinham até dez vezes o tamanho do vazamento original. Agora, diferentes pesquisadores de segurança da informação tiveram acesso e analisaram esses últimos quatro pacotes de dados. A conclusão é de que eles abrigam os nomes de usuários e senhas de 2,2 bilhões contas únicas, quase três vezes mais do que o primeiro pacote.

“Essa é a maior coleção de credenciais que já vimos”, disse à revista Wired Chris Rouland, pesquisador de cibersegurança da empresa Phosphorus.io. Boa parte desses arquivos é velha, composta por material de outros vazamentos, como do Yahoo, LinkedIn e Dropbox. Esses dados já vinham circulando na internet em fóruns e programas de torrent – apenas uma fração seria inédita. Ainda assim, o Hasso Plattner Institute, na Alemanha, afirmou que 750 milhões das credenciais não faziam parte do seu catálogo de informações vazadas. Já Rouland 611 milhões de credenciais não faziam parte da Collection #1 – é comum que em grandes compilações de dados exista informação duplicada.

Os pesquisadores também chamam a atenção para a livre circulação do material na internet. É comum que vazamentos inéditos sejam vendidos por valores altos na rede e percam valor conforme envelhecem, dando tempo para que seus proprietários ou empresas tomem ações para combater invasões. Segundo os pesquisadores, a fácil disponibilidade indica que as credenciais perderam apelo, mas não significa que não possam ser úteis para para hackers menos habilidosos, que ainda podem tentar descobrir se as senhas e logins funcionam.

Rouland não revelou quais companhias foram afetadas pelo vazamento, mas disse estar tentando contato com elas e que também está aberto a conversar com representantes de empresas que acreditam terem sido afetadas.

Troy Hunt publicou em seu site – haveibeenpwned.com – uma ferramenta em que usuários podem checar se foram afetados pelo vazamento Collection # 1. O recurso também mostra se um e-mail já foi afetado em outras falhas de segurança, como a da rede social Myspace ou a do serviço de música Last.fm. A recomendação dos especialistas é que as pessoas troquem as senhas das contas caso elas estejam listadas na ferramenta de Hunt. Os pesquisadores da Plattner Institute em Potsdam criaram uma outra ferramenta para que usuários descubram se fazem parte do segundo pacote em diante.

Fonte: Estadão