Novo malware tem foco em usuários de bancos brasileiros

De acordo com a OneSpan, clientes de diferentes bancos do Brasil vêm recebendo alertas sobre um novo vírus chamado CamuBot. Para infectar máquinas, o CamuBot simula a aparência de um módulo de segurança gerado por uma instituição financeira.

Módulo de segurança é um programa que o banco possui para tornar as suas transações de internet banking mais seguras. Nesse caso, o CamuBot engana o usuário se instalando no PC e simulando, com logotipo e visual completo, uma instituição bancária. Em alguns casos, o malware chega a ter acesso a senhas de uso único empregadas nas autenticações biométricas.

O malware não se baseia em telas falsas ou em ferramentas de acesso remoto, mas sim em engenharia social para tomar o controle da conta e do dispositivo

A OneSpan explica os passos do golpe da seguinte maneira: “A distribuição do vírus tem como alvos empresários ou pessoas com probabilidade de ter as credenciais de acesso à conta bancária da empresa. Em seguida, os criminosos entram em contato por telefone se passando por funcionários do banco e instruem a vítima a visitar uma URL específica para verificar se o seu “módulo de segurança” está atualizado. Esta verificação falsa solicitará, então, que seja feito um update de um suposto software de segurança. Na sequência, a vítima será instruída a fechar todos os programas, baixar e instalar o software criminoso empregando o perfil de administração do Windows”.

Na análise de Will LaSala, diretor de soluções de segurança e evangelista em segurança da OneSpan, “a história se repete na medida em que já há muitas formas de ataques contra USBs e dispositivos conectados externamente e este especificamente emprega aqueles antigos métodos criminosos, os atualiza e os combina com novos e potenciais ataques dirigidos. Ao empregar engenharia social e ter como alvo usuários específicos, este ataque tenta enganar desta vez de forma aberta e não mais escondido atrás da cena”.

Autenticação biométrica é a salvação? E USB?

Não. Segundo a empresa, em algumas circunstâncias, como na presença de autenticação biométrica ou outro hardware de autenticação forte ligado ao PC invadido, o CamuBot fica ainda mais letal ao instalar um drive.

“Sua sofisticação pode ser comprovada por sua capacidade de criar novas regras para barreiras de proteção e antivírus para poder passar por um programa confiável. O malware não se baseia em telas falsas ou em ferramentas de acesso remoto, mas sim em engenharia social para tomar o controle da conta e do dispositivo”, diz LaSala. “Bancos e usuários precisam ficar atentos. Treinar os consumidores no que eles devem ouvir e no que eles podem ou não fazer ao telefone é muito importante em um portfólio de segurança. Mas, além de preparar o usuário final, se assegurar de que um completo processo de encriptação de ponta a ponta é empregado, como uma comunicação segura, pode ajudar a reduzir a eficácia desse ataque (…) Biometria e OTP por si próprias são formas de autenticação forte, mas é importante aumentar o número de camadas adicionais de segurança quando do planejamento e distribuição de novas aplicações financeiras nesse atual cenário rico em ameaças no qual vivemos”.

Fonte: Tecmundo

Malware usava perfis falsos do Facebook para roubar dados de usuários

Se não bastassem todas as polêmicas envolvendo o escândalo do uso indevido de dados de usuários pela consultoria política Cambridge Analytica, o Facebook está precisando lidar com outro problema.

Pesquisadores da empresa de cibersegurança Avast descobriram recentemente um spyware disfarçado de um aplicativo chamado Kik Messenger, o qual teria sido distribuído por meio de um site falso, porém, muito convincente.

O malware fez vítimas principalmente no Oriente Médio, mas também atingiu usuários nos EUA, França, Alemanha e China.

A ameaça

Há alguns meses, a Avast detectou que seus clientes receberam mensagens estranhas por meio do Facebook Messenger. As mensagens vieram de perfis falsos criados na rede social e eram de mulheres atraentes e fictícias, que incentivavam o usuário a baixar um outro aplicativo de bate-papo para continuar as conversas. No entanto, o chat era um spyware.

Ao aprofundar as investigações nos arquivos, a Avast encontrou os APKs pertencentes a várias mensagens falsas e apps de leitores de feed, os quais incluíam módulos maliciosos. Descobriu ainda que, infelizmente, muitos caíram na armadilha.

Após analisar o falso aplicativo Kik Messenger, a Avast detectou o spyware (ou APT-Advanced Persistent Threat). Nomeado “Tempting Cedar Spyware”, o malware foi dividido em diferentes módulos com comandos específicos e criados para roubar informações das vítimas – inclusive em tempo real -, como contatos, registros de chamadas, SMS, fotos, dados do dispositivo do usuário (versão do Android, modelo do aparelho, operador de rede e números de telefone), além de obter acesso ao sistema de arquivos do aparelho infectado. O spyware, por exemplo, foi capaz de monitorar os movimentos das pessoas por geolocalização, gravando sons ao redor como conversas enquanto as vítimas estavam no telefone, dentro do alcance.

Vetor infectado

O malware foi distribuído por meio do uso de vários perfis falsos do Facebook. Depois de conversas com suas vítimas, os cibercriminosos se ofereciam para levar a conversa do Facebook para uma outra plataforma, onde poderiam ter interações mais íntimas. Em seguida, os invasores enviavam um link às vítimas, direcionando-as para um site de phishing, que hospedava uma versão maliciosa para download do app Kik Messenger.

As vítimas tiveram que ajustar as configurações do dispositivo para “instalar aplicativos de fontes desconhecidas”, antes que o referido app de mensagens falsas fosse incluído. Depois de instalado, o malware imediatamente se conectava a um servidor de comando e controle (C&C). Persistente como um serviço, o malware era executado após cada reinicialização.

Fonte: IDGNow!

Cuidado com esta ameaça para o Facebook Web

A Trend Micro encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pela versão web do Messenger, do Facebook, observado pela primeira vez na Coreia do Sul. Batizado de Digmine, o bot está ativo também em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. E é possível que ele chegue rápido a outros países, devido a sua forma de propagação.

Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.

Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C). Portanto, pode ser atualizado.

Vale lembrar que o modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.

Etapas da Infecção

O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.

O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.

A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.

O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.

Disseminação

A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.

Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.

Componente de mineração

O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.

O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivoconfig.json em vez de receber parâmetros diretamente da linha de comando.

Comunicação e Protocolo da C&C

Tanto o componente de downloader quanto o de gestão da mineração usam cabeçalhos HTTP específicos para se comunicar com o servidor de C&C. Ao baixar a configuração inicial, o malware constrói a solicitação HTTP GET antes de enviar para o servidor de C&C:

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Um diferencial é a forma que o malware usa um User-Agent específico batizado de Miner, que nega o acesso ao arquivo de configuração inicial caso o cabeçalho HTTP da solicitação esteja incorreto.

Práticas recomendadas

A crescente popularidade da mineração de criptomoeda faz com que criminosos se voltem para o negócio com botnets de mineração. E, como a maioria dos esquemas de cibercriminosos, os números são cruciais: quanto maior o número de vítimas, maior o lucro.

O fato de explorarem plataformas populares como as redes sociais para espalhar o malware não é surpreendente. Para evitar esse tipo de ameaças, veja abaixo as práticas recomendadas pela Trend Micro para proteger as contas em redes sociais: pense antes de compartilhar, fique ligado em mensagens suspeitas e não solicitadas e ative as configurações de privacidade da sua conta.

Fonte: IDG Now!

Ransomware SLocker ameaça o Android

A onda do momento quando se fala em crimes virtuais é o ransomware. A técnica que resulta no “sequestro” de uma máquina, bloqueando o acesso a ela e exigindo um pagamento como resgate, ganhou fama com o WannaCry e, agora, outras ameaças começam a capitalizar em cima do seu sucesso.

Um desses problemas é o SLocker, uma família de ransomware famosa por agir no mundo mobile já há algum tempo. Na penumbra durante os últimos anos, o SLocker voltou à tona de forma repentina em maio visando a aparelhos com Android. O ransomware é supostamente o primeiro direcionado ao sistema da Google a utilizar criptografia de arquivos e a rede TOR para garantir o anonimato de suas comunicações a partir de um aparelho infectado.

O sistema operacional mais popular do mundo (inclusive mais usado do que o Windows) é um dos mais visados quando se fala em vírus e malware na atualidade, e não demoraria mesmo para que uma ameaça grave surgisse para ele. Apesar de ser capaz de travar o acesso a alguns arquivos do Android e exigir um pagamento para liberá-los, o SLocker já foi controlado.

Isso porque, logo após a sua identificação, ferramentas capazes de desbloquear com sucesso os aparelhos tomados pelo ransomware também foram publicadas, reduzindo assim o seu potencial de risco. Além disso, apenas cinco dias após os especialistas em segurança terem tomado ciência do retorno do SLocker, um suposto responsável por ele foi preso pela polícia na China, o que deve comprometer ainda mais a sua atuação.

Segundo o blog da companhia especializada em segurança digital TrendMicro, graças aos canais de transmissão limitados da nova ameaça para o sistema Android, poucas pessoas foram atingidas pelo SLocker.

Método

Ainda de acordo com a TrendMicro, a amostra do ransomware obtida por eles veio por meio de um aplicativo chamado King of Glory Auxiliary, uma espécie de cheater para o altamente popular game mobile King of Glory.

Ao infectar um dispositivo móvel, o SLocker faz uma busca no Android por arquivos cujo tamanho varie entre 10 KB e 50 MB, evitando com isso bloquear arquivos essenciais do sistema (o que impediria o Android de funcionar) e visando aos arquivos baixados da web, documentos de texto, fotos, vídeos e por aí vai. Após criptografá-los, o ransomware solicita o pagamento de uma determinada quantia para então fornecer a chave capaz de destravar o acesso aos arquivos.

Aparentemente, a ameaça do SLocker está sob controle; afinal, seu possível criador foi preso e já foram publicadas ferramentas capaz de descriptografá-lo. Entretanto, é sempre importante ficar alerta para possíveis variações (ou mesmo “concorrentes”) que possam sugir.

Fonte: Tecmundo

Malware com capacidade de contaminar seu PC sem download ou clique do mouse

Qual a principal recomendação para não infectar o seu computador com malwares, spywares, trojans etc? Não clique em links suspeitos e não baixe arquivos de desconhecidos. Bem, não vamos parar de fazer isso, mas um novo tipo de malware simplesmente ignora esse passo para infectar a sua máquina.
Pesquisadores da Trend Micro descobriram um malware que instale um Trojan a partir de uma ação da vítima: colocar o ponteiro do mouse sobre um link. Exatamente: você não clica no hyperlink; basta colocar o mouse sobre a área destacada que o malware é ativado.

O Trojan presente neste malware tem a capacidade de roubar senhas de redes sociais, sites diversos e informações bancárias

A Trend Micro nota que essa técnica já foi utilizada por cibercriminosos em um ataque via spam de email — os alvos eram empresas e organizações na Europa, Oriente Média e África. Nestes emails, além de um texto de phishing que buscava ludibriar o alvo, havia uma apresentação em PowerPoint anexa.

Neste arquivo PowerPoint, um hyperlink no centro diz o seguinte “Loading… please wait” (Carregando… por favor espere). Assim que a vítima coloca o ponteiro do mouse sobre o link com esses dizeres, um script PowerShell é executado. A empresa de segurança que descobriu o vírus nota que, se você estiver utilizando a última versão do Microsoft Office, o malware ainda precisa de aprovação do usuário para entrar no PC — então, trate de atualizar o software.

O Trojan presente neste malware tem a capacidade de, assim que infectar o PC, roubar senhas de redes sociais, sites diversos e informações bancárias, caso a vítima utilize internet banking. De acordo com a Trend Micro, este tipo de ataque não está mais acontecendo, contudo, a técnica existe e poderá ser empregada em ataques futuros.

Então, como eu me protejo de um ataque assim, já que apenas passando o mouse sobre o link, meu PC é infectado?

O padrão de não baixar nem clicar em links suspeitos continua. Agora, sabendo dessa nova técnica, é interessante não buscar os arquivos que são enviados via email por terceiros desconhecidos. Além disso, mantenha o seu sistema operacional atualizado e tenha uma boa ferramenta antivírus instalada.

 

Phishing é a maior ameaça para os donos de iPhone

golpe-iphoneA situação é triste: seu iPhone é roubado, você faz o boletim de ocorrência, cancela o chip e compra um novo para colocar em outro aparelho. Após algum tempo, eis que você recebe um SMS pedindo para acessar um link em que é necessário digitar um login do iCloud para ver a localização do seu aparelho.

Isto é um típico ataque de phishing, isto é, uma tentativa de conseguir dados pessoais (como senha) de um usuário por meio de fraude. Geralmente, com essas informações em mãos, o golpista pode desbloqueá-lo para ter acesso aos dados pessoais (como fotos ou vídeos comprometedores) e extorquir o dono ou até mesmo revender o dispositivo.

“Este tipo de ataque tem aumentado consideravelmente nos últimos anos. Uma das possíveis razões é o alto valor de revenda de iPhones”, afirmou Fábio Assolini, analista de segurança da Kaspersky Lab Brasil.

Como ocorre o ataque

Com um aparelho em mãos e bloqueado via iCloud, a única solução do golpista para que o iPhone deixe de ser um peso de papel é tentar burlar os sistemas de segurança. Passar pelo sistema de desbloqueio por código do aparelho é difícil, porém não impossível, como já foi mostrado algumas vezes.

O passo seguinte, porém, envolve tentar hackear a conta do iCloud da pessoa. E aí é que entra o phishing por SMS. No iPhone, é possível saber o número da linha do usuário de duas formas: indo ao menu Ajustes, se ele estiver sem senha; ou simplesmente tirando o SIM card dele e colocando num outro aparelho. Com essa informação em mãos, o atacante tenta enviar uma “isca” via mensagem de texto.

“Phishing é a maior ameaça contra donos de iPhone”

Sabemos que as empresas de tecnologia melhoraram os mecanismos de segurança nos smartphones para tornar o roubo desse tipo de aparelho uma atividade menos atraente para os ladrões. No entanto, essa prática de phishing tem sido comum entre usuários de iOS, segundo a Kaspersky.

“Phishing é a maior ameaça contra donos de iPhone. A Apple consegue com algum sucesso coibir vírus no ambiente móvel. No entanto, este tipo de golpe sempre acha vítimas que acabam cedendo seus dados para golpistas”, afirmou Assolini.

Em um mundo ideal, seria interessante que os provedores e fabricantes monitorassem esse tipo de iniciativa e encerassem essas páginas o quanto antes.

Como os golpistas são rápidos e acham formas de hospedar páginas em plataformas distintas, resta ao usuário ficar esperto ao abrir links estranhos e tomar alguns cuidados específicos. Ative a autenticação de dois fatores da Apple, para que qualquer tipo de mudança seja verificada em um segundo meio, como um código enviado a outro aparelho; e após um furto ou roubo, bloqueie o iPhone via iCloud o mais rápido possível.

Fonte: Gizmodo

Ransomware é nova ameaça aos smartphones e tablets

ransomware_mobileO ransomware sempre esteve nas manchetes de segurança. O ransomware para Windows chamado Locky estava circulando em fevereiro e infectou muitos hospitais americanos, forçando o desligamento de suas redes. No entanto, o ransomware não está apenas atacando os computadores, mas esta praga está se tornando cada vez mais sofisticada e invadiu também os smartphones e tablets.

Como o ransomware migrou para os smartphones e tablets?

Os cibercriminosos são como as adolescentes que gostam das últimas modas e, neste caso, quiseram também “partir para a tecnologia móvel” utilizando ransomwares. O malware utilizado para atacar computadores está agora mirando os smartphones e tablets.

Quase dois terços dos americanos possui um smartphone e de acordo com um relatório da Ericsson, 70% da população mundial estará utilizando um smartphone em 2020. Este crescente público alvo é ideal para os cibercriminosos porque as pessoas estão armazenando cada vez mais dados pessoais e sensíveis em seus smartphones, o que também significa que estão mais dispostas a pagar um resgate para recuperar os seus dados em caso de ameaça.

Como o ransomware móvel é espalhado?

Já que é difícil que o malware invada a Google Play Store, os desenvolvedores de ransomwares se apoiam com tudo na engenharia social para enganar as pessoas e fazê-las baixar o conteúdo malicioso dos seus sites. Já vimos muitos casos onde o ransomware é disfarçado de um aplicativo antivírus em um site que parece quase idêntico ao Google Play. Primeiro o usuário se depara com uma propaganda enquanto navega e que “informa” que o aparelho está infectado. Tocando na propaganda, será aberta uma página que se parece com a Loja Google Play. Se você olhar com cuidado, verá que o site tem um nome de domínio diferente. O falso site terá um endereço, por exemplo, google.xy e não google.com. O falso aplicativo irá informar à vítima que precisa habilitar o uso de aplicativos de outras fontes (lojas) que a oficial da Loja Google Play.

O ransomware também pode ser disseminado através de falhas ou bugs como o Certifi-gate (malware). Se o ransomware for distribuído via Certifi-gate, um aplicativo malicioso não precisa enganar o usuário e pedir permissão para ser baixado de fora da Loja Google Play. Ele pode obter esta permissão de acesso sozinho.

O que acontece quando o resgate é pago?

Em alguns casos, os aplicativos não descriptografam os dados mesmo que um resgate tenha sido pago. Já foram encontrados casos onde o aplicativo descriptografa os dados após o pagamento do resgate e finge que se removeu do aparelho, mas, na realidade, o ransomware permaneceu oculto no aparelho. Enquanto estiver oculto, ele pode permanecer hibernado por algum tempo, enviando apenas informações ao servidor. Neste caso, os cibercriminosos podem enviar um comando e reativar o ransomware depois de algum tempo.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Avast blog