Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware

Novo ciberataque em curso

Após o ataque de sexta-feira, especialistas descobriram um novo ataque vinculado ao vírus Wannacry, chamado Adylkuzz

Um novo ciberataque em grande escala para roubar moeda virtual afetava centenas de milhares de computadores em todo o mundo nesta quarta-feira, de acordo com especialistas em segurança cibernética.

Após o ataque de sexta-feira, especialistas descobriram um novo ataque vinculado ao vírus Wannacry, chamado Adylkuzz.

“Utiliza com mais discrição e para diferentes propósitos ferramentas de pirataria recentemente reveladas pela NSA e a vulnerabilidade agora corrigida pela Microsoft”, afirmou o pesquisador Nicolas Godier, especialista em segurança cibernética da Proofpoint.

“Ainda desconhecemos o alcance, mas centenas de milhares de computadores podem ter sido infectados”, disse à AFP Robert Holmes, da Proofpoint, o que indica que o ataque é “muito maior” que o WannaCry.

Concretamente, este ‘malware’ se instala em equipamentos acessíveis através da mesma vulnerabilidade do Windows utilizada pelo WannaCry, uma falha já detectada pela NSA (Agência de Segurança Nacional dos Estados Unidos), que vazou na internet em abril.

Este malware cria, de forma invisível, unidades de uma moeda virtual não localizável chamada Monero, comparável ao Bitcoin. Os dados que permitem utilizar este dinheiro são extraídos e enviados a endereços criptografados.

Para os usuários, “os sintomas do ataque incluem sobretudo uma performance mais lenta do aparelho”, afirma a Proofpoint em um blog.

A empresa detectou alguns computadores que pagaram o equivalente a milhares de dólares sem o conhecimento de seus usuários.

De acordo com Robert Holmes, “já aconteceram ataques deste tipo, com programas que criam moeda criptográfica, mas nunca nesta escala”.

O WannaCry afetou mais de 300.000 computadores em 150 países, de acordo com Tom Bossert, conselheiro de Segurança Interna do presidente dos Estados Unidos, Donald Trump.

Fonte: Exame

Descoberta base de dados com 560 milhões de senhas roubadas

Publicação descoberta pela MacKeeper reúne logins vazados de ataques variados contra serviços como LinkedIn, Dropbox, Tumblr e LastFM.

Hora de trocar as senhas. Isso porque a empresa de segurança MacKeeper descobriu nesta semana uma base de dados anônima com centenas de milhões de senhas roubadas.

A base reúne mais de 560 milhões informações de login, com e-mails e senhas de acesso, que teriam origem em vazamentos separados, de datas variadas, de serviços como LinkedIn, Dropbox, Tumblr e LastFM.

O site Have I Been Pwned possui uma ferramenta para você verificar se o seu endereço de e-mail aparece em alguma das base de dados que foi comprometida pelos criminosos.

Além de habilitar a autenticação de dois fatores sempre que possível, também é recomendado utilizar programas de gerenciamento de senhas – apesar de que nem mesmo esses softwares são 100% seguros como provado pelo recente hack contra o LastPass.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDGNow!

Alerta: uTorrent está distribuindo malware

O uTorrent é um dos melhores clientes de torrents para Windows, MacOS e também Android. É simples, leve e extremamente eficiente no download de arquivos distribuídos pelo protocolo P2P BiTorrent.

Recentemente descobriu-se que esta ferramenta está sendo usada para distribuição de malware. Assim. caso você tenha o uTorrent instalado no seu PC é melhor desinstalá-lo.

O protocolo BitTorrent é um dos mais eficientes e flexíveis no que se refere ao download de arquivos. Ao contrário de outros protocolos, o conceito do protocolo BitTorrent está baseado no download simultâneo de partes do arquivo, a partir de outros usuários que já possuam esse dado. Como cliente de torrents o uTorrent é sem dúvida um dos mais populares só que este software vem sendo usado para distribuição de malware.

De acordo com várias fontes, uma publicidade que vem aparecente junto dessa ferramenta está fazendo uso do SWF/Meadgive, um exploit que explora vulnerabilidades do Adobe Flash e que em seguida instala software malicioso.

Assim caso você tenha o uTorrent instalado, recomendamos que faça a desisntalação do mesmo e em seguida um escaneamento do sistema para verificar a presença de algum com código malicioso.

Quais as alternativas?

Neste segmento existem boas ferramentas. Dentre elas destacam-se o QBittorrent, Transmission ou Deluge.

Agradecemos ao Paulo Sollo, amigo colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: pplware 

Golpe no Facebook: Passagens aéreas gratuitas

Foi identificado nos últimos dias mais um golpe circulando pelo Facebook. A nova estratégia dos criminosos oferecia duas passagens aéreas gratuitas a cada usuário que participasse de uma promoção. O problema é que – obviamente – a pessoa saía perdendo.

As páginas falsas se passavam pelas companhias LATAM e GOL, atraindo assim os acessos aos sites maliciosos, convertendo-os em assinaturas para mensagens de textos pagas, serviço que cobra do usuário por cada SMS recebido.

Ao acessar a página, a pessoa era informada de que havia sido contemplada com os bilhetes, mas seria necessário reivindicá-los.

Para solicitar as supostas passagens, a vítima tinha que responder a três perguntas genéricas, como “você gosta dos nossos serviços dentro do avião?”.

Depois de responder ao questionário, uma animação aparecia na tela, simulando o processamento, que supostamente estaria verificando os resultados.

Depois dessas etapas, a tela apresentava três opções: compartilhar, curtir e obter bilhetes. O primeiro botão permitia que o usuário compartilhasse a suposta oferta no Facebook. Dessa forma, novos contatos da rede social abriam a página para participar da falsa promoção e, assim, viralizavam o golpe.

Ao clicar em “obter bilhetes”, uma janela surgia informando que a mensagem deveria ser compartilhada com 15 amigos, sem fazer qualquer tipo de verificação.

O “curtir” era o botão mais grave, já que redirecionava o visitante para uma página externa com uma foto de outra companhia aérea. Ao clicar nessa imagem de fundo, o visitante era levado a um site de assinatura de SMS Premium.

Caso a vítima chegasse a se inscrever – pensando ser necessário para ter as passagens –, pagaria o valor de R$ 3,99 por semana (para Oi, TIM e Claro) ou R$ 2,99 (para Vivo), que seriam debitados do saldo do cliente. E o pior: o serviço tem renovação automática.

Rede social bloqueia links

O Facebook passou a impedir o compartilhamento do link e também a remover os posts publicados que continham a página após diversos internautas reportarem o conteúdo como malicioso.

A empresa de segurança digital ESET alerta que, se por algum motivo você acabou inscrito nesse serviço de SMS sem ter intenção, a alternativa é enviar uma mensagem com a palavra “SAIR” para o número 49769.

E vale o aviso: nunca confie em sites que sejam diferentes dos oficiais ou links com ofertas mirabolantes. Lembre-se que os serviços suspeitos que pedem compartilhamentos com uma grande quantidade de contatos podem ser fraudes.

Fonte: Tecmundo

WannaCry já tem nova e mais poderosa versão

O ransomware WannaCrypt, também conhecido como WannaCry, assolou o mundo na sexta-feira (12). Foi noticiado que o especialista de segurança Marcus Hutchins (@malwaretech), ao comprar um domínio na internet, interrompeu as atividades do malware. Contudo, o ransomware apenas desacelerou o número de novas infecções e continua atingindo novas máquinas. Além disso, uma segunda versão do WannaCry está dobrando a esquina.

O WannaCry 2.0 já está rodando e procurando novas máquinas para infectar

Caso você não saiba, o jovem Hutchins comprou um domínio ligado ao WannaCry e ativou um “Kill Switch”. Acreditava-se que isso tinha interrompido as atividades do ransomware. Contudo, algumas horas após a propagação dessa informação, diversos especialistas de segurança já encontraram novas amostras do WannaCry, com domínios diferentes e sem qualquer função “Kill Switch”.

A melhor maneira para se proteger do ransomware, até o momento, é atualizar com urgência o seu sistema operacional — principalmente se ele for um Windows XP ou Server 2003. A atualização é feita de maneira gratuita via Windows Update, e a Microsoft já liberou patches de segurança para blindar computadores.

WannaCry 2.0

Ainda não se sabe quem está por trás do ransomware WannaCrypt. Mesmo assim, o pesquisador de segurança Matthieu Suiche confirmou a existência de uma nova variante do malware que funciona em um domínio diferente. Para tentar desacelerar a variante, Suiche também registrou o domínio, como o jovem Hutchins — este é domínio: “hxxp://ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com/”.

Hoje, ainda há maneiras de ser infectado pelo ransomware original. Como? Caso você receba o arquivo via phishing no email, por um torrent malicioso ou outros vetores, como um protocolo SMB.

Atualize o seu computador, aumente as suas defesas, execute um antivírus decente e — pelo amor de Deus — tenha um backup seguro

Costin Raiu, diretor de pesquisa global do Kaspersky Labs, comentou que a própria equipe de pesquisadores encontrou novas versões do WannaCry prontas para sequestrar novas máquinas: “Eu posso confirmar que encontramos versões sem os domínios Kill Switch”, alertou Raiu ao The Hackers News.

Acredita-se que o WannaCry 2.0 não foi criado pelos cibercriminosos originais, mas sim por hackers black hat que aproveitaram o exploit e desenvolveram novas maneiras de infectar computadores. Além disso, é esperado que o ransomware atualizado ainda infecte milhares de máquinas — até o momento, mais de 237 mil foram sequestradas em mais de 100 países.

Com as novas ameaças por aí e praticamente certas, o especialista em cibersegurança Graham Cluley comentou que a mensagem, agora, é bem simples: “Atualize o seu computador, aumente as suas defesas, execute um antivírus decente e — pelo amor de Deus — tenha um backup seguro”.

Fonte: Tecmundo

HP coloca keylogger em notebooks, mas foi sem querer…entenda

Se você é um feliz dono de um dos notebooks mais novos da HP e presa por sua privacidade, lamentamos informar que pode ser uma boa ideia deixá-lo de lado por algum tempo. Ao que parece, uma atualização dos drivers de áudio para diversos dispositivos da empresa lançada ainda em 2015 acabou por se tornar uma “ferramenta de espionagem” do que você faz.

Calma, não é como se isso tivesse sido proposital. Segundo um post no blog ModZero, que descobriu o problema, tudo foi resultado de uma nova ferramenta mal programada.

Explicando a história, tudo começou por culpa de uma função adicionada com o update, que adicionava novas capacidades de diagnóstico aos drivers. Esta deveria originalmente identificar quando uma tecla específica era pressionada. O problema? Ela foi mal implementada. Como resultado, o software simplesmente identificava absolutamente cada tecla pressionada no computador – ou seja: ele virou um dos tão famosos keyloggers.

Isso já seria problemático o suficiente, mas uma atualização seguinte feita pela HP deixou a situação ainda pior. Com ela, o driver passou a anotar cada tecla pressionada em um registro armazenado dentro do sistema. Esse arquivo, vale notar, se apaga automaticamente toda a vez que você desloga do computador; caso você tenha alguma ferramenta de backup incremental, no entanto, ela pode gerar um registro de tudo o que você faz no PC.

Com uma implementação malfeita, o driver de áudio passou a identificar e registrar cada tecla pressionada – basicamente, o mesmo trabalho de um keylogger.

Que modelos da HP foram afetados? Vários deles, infelizmente. Como você pode conferir na lista abaixo, vários EliteBooks, ProBooks, Elite e ZBooks das mais diversas gerações estão atualmente vulneráveis à falha:

HP EliteBook 820 G3 Notebook PC
HP EliteBook 828 G3 Notebook PC
HP EliteBook 840 G3 Notebook PC
HP EliteBook 848 G3 Notebook PC
HP EliteBook 850 G3 Notebook PC
HP ProBook 640 G2 Notebook PC
HP ProBook 650 G2 Notebook PC
HP ProBook 645 G2 Notebook PC
HP ProBook 655 G2 Notebook PC
HP ProBook 450 G3 Notebook PC
HP ProBook 430 G3 Notebook PC
HP ProBook 440 G3 Notebook PC
HP ProBook 446 G3 Notebook PC
HP ProBook 470 G3 Notebook PC
HP ProBook 455 G3 Notebook PC
HP EliteBook 725 G3 Notebook PC
HP EliteBook 745 G3 Notebook PC
HP EliteBook 755 G3 Notebook PC
HP EliteBook 1030 G1 Notebook PC
HP ZBook 15u G3 Mobile Workstation
HP Elite x2 1012 G1 Tablet
HP Elite x2 1012 G1 with Travel Keyboard
HP Elite x2 1012 G1 Advanced Keyboard
HP EliteBook Folio 1040 G3 Notebook PC
HP ZBook 17 G3 Mobile Workstation
HP ZBook 15 G3 Mobile Workstation
HP ZBook Studio G3 Mobile Workstation
HP EliteBook Folio G1 Notebook PC

A boa notícia é que parece que essa história vai ter um final feliz. Isso porque, pouco depois de essa falha ser descoberta, a HP entrou em contato com o site The Next Web para explicar o fato, afirmando estar ciente da falha de segurança, que já encontrou uma correção para ela e que deve disponibilizar o patch para isso aos seus clientes. Infelizmente, não há uma data para que isso aconteça, mas vamos torcer que ela não demore a chegar.

Fonte: Tecmundo