FireBall: um adware perigoso e que já infectou milhões

Propagandas podem ser irritantes – e às vezes podem ser maliciosas. Muitos negócios que ganham dinheiro vendendo anúncios passam do limite, na tentativa de aumentar a visibilidade e alcance.

Recentemente, pesquisadores encontraram uma dessas empresas – uma grande agência de marketing digital – que chegou ao ponto de instalar adwares em 250 milhões de computadores com Windows e macOS.

Mas ainda piora, e muito. Esse adware é capaz de se tornar um malware completo, que pode redirecionar usuários para sites maliciosos e libertar vírus em seus computadores. E tinha passado despercebido até agora.

A bola de fogo silenciosa

Adware é uma aplicação que exibe anúncios ou coleta dados sobre o usuário a fim de montar um perfil e vendê-lo para agências de marketing. A forma mais fácil pela qual entra em computadores é se associando com outros programas. Criadores de adware pagam por essa combinação, de modo que desenvolvedores de softwares livres procuram por essas “parcerias” para monetizar seus produtos.

Essa combinação varia dependendo dos desenvolvedores. Embora você normalmente seja notificado sobre programas adicionais instalados com o software que realmente quer, o Fireball não concede a chance de negar – e se instala sorrateiramente. É importante notar que ele não é executado ao mesmo tempo que o freeware desejado, podendo aparecer apenas quando você estiver menos atento a problemas com a instalação.

O Fireball modifica seu navegador para servir aos propósitos de seu criador. A modificação envolve mudanças a página inicial e o mecanismo de busca padrão, bloqueando ainda suas tentativas de alterá-los. A ferramenta de busca implementada contém rastreamento de pixels que reúnem dados de usuários. Além disso, o malware possui a habilidade de executar qualquer código no dispositivo infectado e baixar extensões ou outros softwares.

Interessante que, apesar de sua natureza maliciosa, o adware é assinado com certificados digitais verdadeiros. Também implementa técnicas de evasão para dificultar que seja encontrado ou marcado como perigoso. É por isso ninguém o notou por um certo tempo – o Fireball se passava por um aplicativo legítimo.

Por que o Fireball é tão perigoso

Anúncios associados com monitoramento podem parecer irritantes, porém não perigosos. Contudo, a habilidade do Fireball de baixar, instalar extensões e executar códigos em um dispositivo infectado o torna uma porta dos fundos perfeita – que pode ser usada de diversas formas: principalmente colocando agentes maliciosos, coletando informações críticas ou infectando seu dispositivo com diversos tipos de malware.

De acordo com os pesquisadores que descobriram o Fireball, o malware já atingiu mais de 250 milhões de dispositivos ao redor do mundo, e pode ser encontrado em cinco redes corporativas. Se (ou uma vez) que seus criadores decidam usá-lo para espionagem, pode se tornar uma catástrofe global.

Como saber se estou infectado?

Apesar de sorrateiro, não é difícil de detectar. Abra seu navegador e observe a página inicial – é a que você definiu? E o mecanismo de busca? Consegue modificar as configurações? Se a resposta foi não para todas, pode estar infectado com um adware -inclusive, há chances de ser o Fireball, ou algo diferente.

Se nada bloquear suas tentativas de modificar as configurações e você tem certeza de que sua página inicial e seu mecanismo de busca estão intactos, provavelmente não está entre as vítimas. De qualquer forma, por que não executar uma verificação antivírus? Melhor prevenir do que remediar.

Fonte Kaspersky

Microsoft remove adware Vonteera

microsoft_removalA nova versão da ferramenta Malicious Software Removal Tool (MSRT) disponibilizada nesta semana pela Microsoft removeu automaticamente o adware Vonteera de milhões de PCs.

A ferramenta foi disponibilizada junto com as atualizações de segurança de março de 2016 via Windows Update.

O adware Vonteera foi detectado pela primeira vez em agosto de 2013, mas o rápido aumento no número de infecções nos últimos meses chamou a atenção da Microsoft.

De acordo com a empresa, o adware foi detectado 8 milhões de vezes nos últimos seis meses. Cerca de 60% das detecções foram na Arábia Saudita e nos Emirados Árabes Unidos.

O gráfico abaixo mostra os locais com as maiores taxas de detecção entre setembro de 2015 e março de 2016:vonteera_graficoO adware Vonteera é geralmente distribuído por softwares oferecidos com jogos gratuitos, codecs e players de vídeo. Depois de instalado, o adware modifica as configurações do navegador da Web.

Ele pode impedir que o usuário altere itens como página inicial, provedor de pesquisa e impede até mesmo que o usuário remova extensões instaladas pelo adware.

Outro detalhe é que o adware também faz algumas modificações que impedem que o usuário utilize certas soluções de segurança.

As versões mais recentes do adware Vonteera agora podem adicionar certificados digitais que pertencem a softwares de segurança legítimos à lista de certificados não confiáveis do Windows. Isto basicamente significa que se o adware estiver presente no PC, pode ser impossível instalar e executar certas soluções de segurança.

O adware também executa um serviço no PC infectado. Com isso, mesmo se você tentar remover os certificados legítimos da lista de certificados não confiáveis, o serviço do Vonteera os adiciona novamente.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Nova ameaça para Android tem ação destruidora

adware_newSegundo Lookout, novo tipo de ameaça chamada “trojanized adware” se disfarça de apps conhecidos como Facebook e WhatsApp. Solução seria trocar de aparelho.

Pesquisadores de segurança descobriram um novo tipo de malware para Android que se esconde dentro de apps que agem e parecem com serviços legítimos.

A empresa de segurança Lookout descreveu a nova prática como “trojanized adware”. Essencialmente os apps de lojas terceirizadas (ou seja, FORA do Google Play) se parecem e funcionam como Facebook, Google, Twitter e WhatsApp, entre outros. Mas uma vez que são instalados, eles concedem a si próprios permissões de nível do sistema e enviam anúncios para o restante do sistema, gerando dinheiro para o hacker.

É um novo nível de genialidade maligna porque, segundo a empresa de segurança, esses apps são quase impossíveis de serem desinstalados. A melhor opção para as vítimas é simplesmente trocar de aparelho. Os apps com trojan obtém acesso de nível root e se instalam como apps do sistema, então nem mesmo um reinício de fábrica se livra deles.

O impacto em você

Isso pode parecer repetição, mas confirma a principal dica de segurança sobre a plataforma: sempre fique com a Google Play Store ou a Amazon App Store e sempre instale as atualizações mais recentes do Android e do Play Service.

O velho oeste dos apps Android

Esses apps perigosos ficam escondidos em lojas terceirizadas de apps e em software baixado pela web. Eles ainda se parecem e funcionam como apps normais, mas então liberam o chamado “trojanized adware” no seu aparelho com acesso praticamente sem limite a dados essenciais.

Em um post no seu blog sobre a ameaça, a Lookout também alertou contra a prática de realizar root no celular, uma prática comum entre os usuários que querem instalar ROMs customizadas e “brincar” um pouco mais com a maneira como seus aparelhos funcionam.

A empresa de segurança ainda destaca que existem três famílias parecidas de “trojanized adware” que enviam os anúncios: Shuanet, Komage e Shudun. Juntas, elas são responsáveis por mais de 20 mil amostras diferentes de malware.

Um problema desse tipo pode representar uma dor de cabeça em especial para as empresas, uma vez que esses apps poderiam colocar as mãos em dados corporativos sensíveis, por exemplo.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

OSX tem falha de segurança que possibilita instalação de Adware

OSX_adwareGolpistas on-line estão usando uma brecha no OS X, sistema operacional da Apple usado em computadores Mac, para instalar softwares indesejados no sistema sem que o usuário precise digitar a senha de autorização. O ataque, segundo a empresa de segurança Malwarebytes, começa em uma página falsa, que oferece um aplicativo ao internauta. Depois que o programa é baixado e executado, ele explora a falha para obter direitos administrativos automaticamente.

Uma página web não pode usar essa falha para executar automaticamente um vírus no computador da vítima. É preciso que o programa seja baixado e executado. No entanto, uma vez executado, o software obtém direitos maiores do que o normal, o que pode dificultar a remoção do programa posteriormente.

A vulnerabilidade está em uma função que permite aos aplicativos do OS X especificar um arquivo para registrar mensagens de erro. A função não tem proteção adequada e permite que qualquer arquivo seja especificado para a gravação mensagens. Essa situação permite que um aplicativo malicioso envie “mensagens de erro” falsas para arquivos que alteraram configurações do sistema, reduzindo a segurança do computador.

No ataque está acontecendo na web, os hackers usam a brecha para alterar o arquivo “sudoers”, que define quais usuários do sistema precisam de senha para a obtenção de acesso administrativo. A modificação do arquivo faz com que nenhum usuário do computador precise mais da senha e, com isso, o programa malicioso obtém o acesso total, chamado de “root”.

Segundo a empresa “Malwarebytes”, o usuário que cair no golpe terá instalado na máquina os programas MacKeeper e VSearch, ambos considerados por muitos um “adware” – software comercial que exibe propaganda ou tem outro comportamento indesejado.

Apple não foi comunicada
Como a versão estável mais recente do OS X possui a brecha, ela é considerada uma falha do tipo “dia zero”, no jargão da área de segurança. “Dia zero” é qualquer falha explorada antes que o desenvolvedor tenha desenvolvido uma atualização para eliminá-la.

O problema foi revelado pelo especialista em segurança Stefan Esser e, até o momento, a versão atual do OS X, a 10.10.4, possui a brecha. O erro já está corrigido na versão de testes (beta) da 10.10.5 e Esser divulgou os detalhes técnicos do ataque sem entrar em contato com o Apple. Em seu Twitter, ele se defendeu dizendo que é só “o mensageiro” e que a culpa é do fabricante – no caso, a Apple.

Esser criou uma ferramenta (baixe no Github) para reduzir a vulnerabilidade dos sistemas afetados, mas uma correção por parte da Apple deve chegar em breve, já que o problema está corrigido nas versões de testes do OS X.

A falha não permite que um site de internet instale automaticamente um malware no Mac. Ainda é preciso baixar e executar um software, então também é possível se proteger tendo cuidado ao baixar e executar qualquer tipo de programa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Novo malware utiliza roteadores para se disseminar

novo_malwareUm novo malware descoberto pela equipe do Ara Labs invade o seu computador de uma forma curiosa: ele utiliza roteadores para se espalhar e, uma vez instalado, envia publicidades indesejadas de forma extrema às páginas visitadas pelas vítimas durante a navegação.

Os criminosos utilizam configurações sequestradas do número de DNS dos roteadores, uma técnica conhecida desde 2013. Em seguida, eles substituem as palavras-chave do Google Analytics por pornografia e publicidade de games e serviços.

O problema estaria na configuração dos próprios eletrônicos, que utilizam automaticamente o mesmo DNS fornecido pelo roteador — que não faz ideia de que houve o sequestro, claro. Ou seja, você estará conectado a um servidor falso sem qualquer pista de que isso aconteceu e toda a sua navegação vai passar por esse código, que faz a ponte entre o PC e os domínios a serem visitados.

Aplicando o golpe

A invasão do adware nos navegadores acontece por meio de uma falha no Javascript. No processo, a vítima visita um site e, em vez de carregar os códigos do Analytics tradicional, ativa uma página falsa da ferramenta, injetando a publicidade na página aberta. Ressaltamos que essa não é uma falha no serviço da Google: ele foi escolhido como “arma” somente por ser bastante popular.

No golpe, o DNS primário é alterado para 91.194.254.105, enquanto o DNS secundário é o mesmo da Google (8.8.8.8). Já o IP do Analytics falso é 195.238.181.169, nada relacionado com a Google.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e Ara Labs

PCs da Lenovo tem vulnerabilidade que possibilita roubo de dados pessoais

lenovoUma vulnerabilidade descoberta nos computadores da Lenovo pode permitir que hackers roubem dados pessoais dos consumidores.

A falha seria causada pelo programa Superfish, um adware que a Lenovo admitiu em janeiro ter incluído como padrão em seus computadores e que consegue acessar informações privadas para fins publicitários.

Segundo o The Verge, o adware se torna uma autoridade de certificação raiz sem restrições, e instala um proxy capaz de produzir certificados SSL falsos sempre que uma conexão segura é solicitada. Os certificados SSL são pequenos arquivos, utilizados por bancos, redes sociais e varejistas para garantir que a conexão esteja sendo feita com um site legítimo.

Com a criação de seus próprios certificados SSL, o Superfish é capaz de desempenhar as suas tarefas de publicidade, mesmo em conexões seguras, injetando anúncios e leitura de dados de páginas que devem ser privados.

Kenn White, um especialista em segurança, mostrou certificados de proxy do Superfish em seu Twitter. Veja abaixo:

lenovo_adwareAinda segundo o site, a Lenovo removeu o Superfish de seus produtos durante um curto período em janeiro, mas defendeu o uso do software alegando que ele não monitora o comportamento e não salva informações de usuários. A empresa ressaltou que os usuários são apresentados com os termos de uso e política de privacidade do produto na primeira vez em que o utilizam, e têm a opção de desativá-lo. Mas os consumidores da Lenovo descobriram que a desinstalação do programa não remove o certificado raiz.

Ao The Verge, a Lenovo respondeu dizendo que está investigando “todos e quaisquer problemas em relação ao Superfish”.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Info

Adwares para smartphones são mais perigosos

Adwares

Em desktops, browsers não têm acesso aos aplicativos instalados. Já em dispositivos móveis, que são completamente integrados, o app pode ir para contatos, e-mail e ver outras aplicações instaladas

Adware em dispositivos móveis significa mais do que apenas mostrar banners, de acordo com o analista sênior de ameaça online da Bitdefender, Bogdan Botezatu.

As pessoas podem ter a imagem de “adware” como banners ou pop-ups que são exibidos na tela durante o uso do software, mas Botezatu afirma que adwares para PCs são diferentes dos para dispositivos móveis.

“Os aplicativos para desktop são isolados e navegadores web não sabem quais os contatos que você tem em seu cliente de e-mail”, disse ele. “No entanto, o Android é altamente integrado, então quando você abre um adware ele está basicamente pedindo permissão para fazer qualquer coisa no seu dispositivo.”

Em desktops, o especialista afirma que browsers não podem ter acesso aos aplicativos instalados. “É basicamente um ‘modo seguro’ e ele não pode ver além do navegador”, disse ele.

Enquanto um navegador pode “olhar” os sites que um usuário visitou e armazená-los em cookies, ele não terá acesso ao cliente de email como o Outlook e nem conferir o conteúdo de lá. “No celular, se um aplicativo tem a permissão certa, ele pode ir para os contatos, contas de email, e ver outras aplicações instaladas”, disse Botezatu.

Quanto ao porquê desta falha existir, Botezatu disse que é uma questão de educação. “Há uma má comercialização quando se trata de adware”, disse ele.

Risco em roteadores
Outro ponto que preocupa Botezatu são dispositivos incorporados inseguros. “Dois rapazes, que quiseram permanecer anônimos, recentemente realizaram um teste onde sondaram toda a Internet”, disse. “É o último teste que eles poderiam fazer, porque provavelmente no próximo ano vamos ter o IPv6 e as coisas vão mudar.”

O que os crackers fizeram foi criar um pedaço de software que sonda IPs, procura por respostas, e se esses dispositivos responderem, os hackers tentam se conectar com credenciais falsas. “Eles provavelmente também tinham nomes de usuário e senhas simples”, disse.

Para Botezatu, isso significa que as pessoas não prestam atenção suficiente para manter suas redes seguras. “Isso é preocupante, porque é um mercado que não está atualmente ocupado por qualquer produto antivírus”, disse. “Afinal de contas, você não pode obter segurança antivírus para roteadores”.

No processo, Botezatu disse que eles conseguiram comprometer milhões de roteadores, equipamentos de segurança, SmartTVs e outros dispositivos. “Isso é preocupante, porque não há nada que os usuários finais possam fazer para se defender”, disse.

A Bitdefender realizou seus próprios testes para confirmar essas descobertas, onde Botezatu verificou o alcance do IP de seu provedor de serviços e descobriu que 46% dos dispositivos estavam disponíveis a partir da Internet.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!