Malware usa disfarce de arquivo de imagem e vídeo para enganar usuários do Facebook

fakebook_chamadaO pesquisador de segurança Bart Blaze revelou um malware que tem enganado muitos usuários do Facebook ao se disfarçar de um arquivo de imagem e depois até mesmo de um vídeo do YouTube.

O processo funciona assim: uma conta comprometida da rede social envia através do chat um arquivo de extensão “.svg”, que foi renomeado para lembrar uma foto. O detalhe é que arquivos deste tipo podem conter conteúdo embutido, como JavaScript, por exemplo, coisas que podem ser abertas por um navegador mais moderno.

Após clicar no link da suposta imagem, o usuário é redirecionado a um site falso que tenta imitar o YouTube. Apesar de não ativar nenhum alarme por parte do navegador ou de um possível anti-vírus, o site pede para o usuário baixar uma extensão de codec no Chrome para ver o vídeo.

E é aí que mora o problema. Após a extensão ser instalada, ela ganha a possibilidade de alterar os dados do usuário em relação aos sites que ele visita. De acordo com Bart Blaze, a extensão também passa a espalhar a enviar os arquivos “.svg” para os seus amigos do Facebook.

Não se sabe como isso passou pelo filtro de extensão de arquivo do Facebook, mas a equipe de segurança do site foi já foi notificada do ocorrido. Além disso, a extensão foi removida do Chrome.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline

Cuidado com este malware usado em ataques bancários

malware_macroEmbora os ataques de criminosos digitais que afetam diretamente os internautas sejam bastante comuns – gerando todo tipo de perigo para os usuários mais despreparados –, não é raro que esses malfeitores acabem mirando também os grandes players do mercado. Desde janeiro deste ano, por exemplo, organizações financeiras de todo o mundo vêm sofrendo com o malware Trojan.Odinaff. O software malicioso é discreto e parece afetar também prestadores de serviços que trabalham junto dessas companhias.

De acordo com um comunicado feito pela Symantec, o Odinaff funciona como uma espécie de primeiro estágio da investida dos cibercriminosos. Isso porque, ao invadir os servidores-alvo e se marcar uma posição na rede, o programa instala ferramentas adicionais no sistema para garantir que ele consiga se espalhar ainda mais. O processo é bastante sofisticado e busca a implementação de uma série de backdoors – brechas na segurança – para facilitar o acesso dos invasores.

Para a segurança digital, esse tipo de ataque indica que os crackers por trás do projeto investiram de forma pesada no desenvolvimento do malware, uma vez que toda a operação é customizada e os recursos de invasão são pensados especificamente para viabilizarem comunicações furtivas (Backdoor.Batel), descoberta de rede, roubo de credenciais e monitoração das atividades de funcionários. Apesar do trabalho pesado, esse tipo de ataque a bancos pode ser altamente lucrativo, podendo render centenas de milhões de dólares.

Ameaça de escala global

Os primeiros ataques envolvendo o Trojan datam de janeiro deste ano, com casos simultâneos em diversos países. Embora organizações sediadas nos Estados Unidos tenham sido o foco principal de muitos dos invasores, Hong Kong, Austrália, Reino Unido e Ucrânia também fizeram parte da leva inicial de infecções. Dos casos conhecidos envolvendo o Odinaff, a maioria deles (34%) foi contra instituições financeiras. Apesar disso, algumas organizações de valores mobiliários e serviços de saúde, jurídicos e governamentais constaram nessa listagem.

Para garantir a sua entrada nos sistemas financeiros, os idealizadores do malware utilizaram uma variedade bem grande de métodos. Mesmo com esse leque grande de opções de invasão, o meio mais comum para criar brechas é relativamente simples: documentos-isca. Geralmente enviados por email, esses arquivos contêm um macro malicioso que, ao ser ativado, instala o Odinaff no computador. Alguns deles trazem até mesmo um tutorial detalhado para que o funcionário incauto ative o recurso de macros no Microsoft Word.

Com o Trojan e o Backdoor.Batel devidamente alocados no terminal, a presença deles é quase que completamente escondida e abrem as portas do PC para uso dos criminosos – dando as condições ideais para que a dupla se espalhe pela rede até achar os servidores locais. Como esperado, evitar links e documentos maliciosos, assim como manter seus programas de proteção atualizados ajudam bastante na hora de prevenir ataques como esse.

Fonte: Tecmundo

Arquivo com registros de transações esconde malware

bitcoinArquivo com dados e documentos sobre a casa de câmbio contém vírus que atinge tanto máquinas com Windows quanto Macs.

Um arquivo contendo os registros de transações do Mt. Gox e que foi liberado ao público na semana passada por crackers que comprometeram o blog do CEO da casa de câmbio virtual, Mark Karpeles, também continha um malware capaz de roubar Bitcoins. O vírus atingiu tanto máquinas com Windows quanto Macs.

Os pesquisadores de segurança da empresa de antivírus Kaspersky Lab analisaram o arquivo de 620 MB chamado “MtGox2014Leak.zip” e concluiram que, além de vários documentos e dados relacionados ao Mt. Gox, ele contém arquivos binários maliciosos.

Os arquivos se passavam por versões para Windows e Mac de uma aplicação back-office customizada para acessar o banco de dados de transações do Mt. Gox.

No entanto, eles são na verdade programas maliciosos projetados para pesquisar e roubar arquivos de carteiras vituais (wallets) de Bitcoins a partir de computadores, explicou o pesquisador de segurança da Kaspersky, Sergey Lozhkin.

Ambos os binários para Windows e Mac foram escritos em LiveCode, uma linguagem de programação para desenvolvimento de aplicações multiplataformas.

Quando executados, eles exibem uma interface gráfica para o que aparenta ser a ferramenta de acesso ao banco de dados do Mt. Gox. No entanto, em segundo plano, é iniciado um processo (TibanneSocket.exe no Windows) que procura por arquivos “bitcoin.conf” e “wallet.dat” no computador do usuário, de acordo com Lozhkin.

“O último é um arquivo de dado importantíssimo para um usuário de Bitcoin: se ele é mantido sem criptografia e roubado, os cibercriminosos conseguem acesso a todo o dinheiro virtual que o usuário possui para uma conta específica”.

O malware, o qual foi nomeado pela Kaspersky de Trojan.Win32.CoinStealer.i (versão Windows) e Trojan.OSX.Coinstealer.a (versão Mac), envia os arquivos da wallet de Bitcoins roubada para um servidor remoto que estava localizado na Bulgária, mas agora encontra-se offline.

“Parece que todo o vazamento foi inventado para infectar os computadores dos usuários com o malware e se aproveitar do interesse das pessoas no Mt. Gox”, disse Lozhkin.

“Os criadores do malware geralmente usam truques de engenharia social e tópicos de discussões ativas para espalhar o malware e esse é um grande exemplo de um ataque com foco em uma audiência específica”, disse.

Os usuários que fizeram o download do arquivo e executaram qualquer arquivo binário devem verificar os seus computadores com algum programa antimalware e devem tomar providências imediatamente, a fim de proteger seus bitcoins.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!