Arquivos do PowerPoint podem carregar malware

Pesquisadores de segurança digital encontraram pela primeira vez um malware que infecta computadores a partir de arquivos do PowerPoint (PPSX) explorando uma falha do Microsoft Office e do WordPad conhecida como CVE-2017-0199. Essa brecha de segurança foi descoberta e consertada pela Microsoft em abril deste ano, mas usuários que nunca atualizaram suas máquinas ainda podem estar inseguros.

Hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus

A falha permite que criminosos disfarcem seus malwares como se fossem apresentações de slides do PowerPoint, mas o golpe mais comum até agora era atrair as vítimas por meio de arquivos RTF.

Ao que parece, os hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus, que fazem uma verificação menos criteriosa quando o assunto são documentos em PPSX, tradicionalmente inofensivos.

Como acontece

Segundo constataram os pesquisadores da TrendMicro, os arquivos infectados são distribuídos via email por técnicas de phishing muito direcionadas. A maioria dos casos vitimou funcionários de fabricantes de cabos na Ucrânia, que recebiam uma mensagem que, aparentemente, era de um parceiro comercial fazendo um pedido. O PPSX, portanto, continha os detalhes técnicos da solicitação.

Ao abrir o item infectado, os usuários do WordPad ou do Microsoft Office desatualizados via apenas a mensagem “CVE-2017-0199” na tela em vez da apresentação prometida. Imediatamente, o malware então começava a agir através do recurso “Object Linking and Embedding” (OLE) do Windows. Um arquivo com código XML ou JavaScript então era baixado da internet para abrir de forma automática o PowerShell ou CMD para que o arquivo RATMAN.exe seja executado.

Dessa forma, os criminosos podem registrar tudo o que a vítima faz no computador, desde as teclas pressionadas no teclado aos dados mostrados no display. Há também a possibilidade de o PC baixar de forma silenciosa novos malwares para aumentar ainda mais o controle do hacker sobre o dispositivo.

Portanto, o recado da TrendMicro é ficar alerta para emails minimamente suspeitos, mesmo aqueles enviados por fontes que parecem conhecidas.

Fonte: Tecmundo

Conheça o Firefox Send

Nos últimos dias a Mozilla lançou um serviço de compartilhamento de arquivos autodestrutivos, o Firefox Send. Com ele, é possível enviar arquivos de até 1 GB para um amigo, e ele pode baixá-lo apenas uma vez em um período de 24 horas.

Assim que o arquivo for baixado uma vez, ele é automaticamente apagado dos servidores da Mozilla. Depois de um período de 24 horas, se ninguém fizer o download, ele também é deletado.

É bem fácil utilizar o serviço. Abaixo, explicamos os poucos passos necessários para você enviar um arquivo para os servidores da Mozilla e depois compartilhar o link de download com os seus amigos.

1. Escolha o arquivo que você quer enviar para a nuvem

Entre no site do Firefox Send. Logo na página inicial, você encontra uma área para arrastar o arquivo que quer enviar (lembrando que o tamanho máximo é 1 GB), e acima há um botão, caso você prefira selecionar o arquivo no seu computador.

Os arquivos serão automaticamente criptografados enquanto são enviados para os servidores da Mozilla. A fundação diz que não consegue acessar o conteúdo do arquivo e só o mantém nos servidores até que ele seja apagado.

2. Copie o link do arquivo

Com o envio feito, é fácil copiar o link para enviar a amigos: ele aparece em uma caixa de texto logo na parte central da página. Um botão azul copia o link automaticamente para a área de transferência, e depois é só colar em outro lugar para enviar aos amigos.

3. Se quiser, exclua o arquivo

Também há a opção de excluir o arquivo antes das 24h em que ele permanece nos servidores da Mozilla: é só clicar no botão “Excluir arquivo”, que aparece logo abaixo da caixa com o link para o arquivo.

4. Ou então envie outro arquivo

A última opção é clicar em “Enviar outro arquivo” para repetir o processo e deixar outro arquivo temporariamente nos servidores da Mozilla.

Fonte: Olhar Digital

Gmail update: agora permite receber arquivos de até 50 MB

gmailEstá cansado de ter que hospedar seus arquivos grandes em algum provedor de nuvem, como o WeTransfer ou Google Drive? O Gmail agora pode tornar esse trabalho coisa do passado – ao menos para arquivos relativamente pequenos.

A partir desta semana, os anexos recebidos no Gmail podem ter tamanho de até 50 MB, o dobro da capacidade anterior dos e-mails.

O Google ainda quer que você guarde seus arquivos no Drive, mas reconhece que apresentações e fotos em alta resolução deveriam poder ser enviadas diretamente pelo Gmail.

“Enviar e receber anexos é uma parte importante das trocas de e-mails. Apesar do Google Drive ser uma forma conveniente de compartilhar arquivos de quaisquer tamanhos, às vezes, você precisa receber arquivos grandes como anexos no seu e-mail”, segundo o comunicado oficial da empresa.

Entretanto, o que você enviar pelo Gmail continua a ter limite de upload de 25 MB. A novidade, apesar de interessante para os usuários do Gmail, vai ser mais benéfica para empresas que enviam anexos grandes via e-mail.

O espaço do Gmail, que é unificado ao do Drive, segue sem alterações: a conta gratuita tem capacidade de 15 GB no total.

Fonte: Exame

Malware que pode infectar arquivos com assinatura digital

malwareO pesquisador de segurança Tom Nipravsky, da Deep Instinct, demonstrou um malware que pode infectar arquivos assinados digitalmente sem alterar seus hashes.

Nipravsky inseriu o código malicioso no campo do arquivo que contém informações sobre os certificados digitais. Outro detalhe é que este campo não está sujeito ao cálculo de hash.

Uma de três verificações de tamanho de arquivos não é conduzida corretamente pelo Authenticode da Microsoft, permitindo a alteração de certos valores para que os arquivos com assinatura digital infectados apareçam como válidos.

Nipravsky utilizou engenharia reversa no processo de carregamento do executável portátil para desenvolver o Reflective PE Loader, que pode injetar o código malicioso na memória do sistema sem alertar as soluções de segurança presentes nele.

Nipravsky e seus colegas na Deep Instinct descreveram seu trabalho com o malware no artigo “Certificate bypass: Hiding and executing malware from a digitally signed executable” disponível aqui*, divulgado na conferência de segurança realizada em Las Vegas na semana passada.

De acordo com o artigo, que oferece mais detalhes técnicos, o ataque passa pelas soluções de segurança sem ser detectado no disco e durante seu carregamento ao armazenar o código malicioso nos arquivos assinados e sem invalidar a assinatura. Ele também evita a detecção durante a execução.

Fontes: Baboo e The Register

Como proteger seu sistema da execução automática de arquivos JS/VBS

jsGrande parte do malware existente necessita sempre que o usuário realize alguma tarefa especifica, como a instalação de um programa, download de anexos em e-mails ou a execução de um determinado arquivo no sistema.
Apenas por si só, e excluindo raras situações, um malware não deve ser capaz de infectar o sistema sem que o usuário o “permita”.

Apesar de uma grande parte dos usuários estarem atentos a estas situações, ainda existe quem, por descuido, instale o que não tinha a intenção de instalar.
Uma grande parte do malware atual utiliza arquivos JS (javascript) ou VBS para instalar/fazer o download de arquivos no sistema.
Estes arquivos são utilizados como uma primeira isca, normalmente com outras extensões (como .DOC.js) para o usuário, o qual precisa executá-los para que a infecção ocorra.

O Windows permite que os arquivos JS e VBS sejam executados dentro do sistema operacional, utilizando o “Windows Script Host”. Apesar desta funcionalidade ser útil em certos casos, a grande maioria dos usuários não necessita da mesma, pelo que pode ser desativada a fim de evitar que um eventual malware seja instalado no sistema.
Neste guia iremos indicar como você pode desativar o Windows Script Host e, desta forma, evitar que os arquivos JS/VBS sejam executados.

Nota: Apesar da grande maioria dos usuários não necessitarem do Windows Script Host, certos programas mais antigos ainda podem necessitar do mesmo para serem instalados ou realizar certas tarefas.
Neste caso, ou se vier a ocorrer qualquer outro problema, esse recurso pode ser reativado.
Além disso, este método não substitui a utilização de ferramentas de segurança, como antivírus ou suítes, assim como o necessário conhecimento do usuário sobre segurança no ambiente digital.

1- Abra o Editor do Registo para fazer as modificações. Utilize a janela “Executar” (atalho via tecla WIN+R) e escreva “regedit” (sem aspas):execute2- Acesse ao segmento:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings:valor3- Uma vez dentro desta localização, clique com o botão direito do mouse em qualquer seção livre e escolha a opção “Novo > Valor DWORD (32 bits)”:enabled4- Coloque o nome “Enabled”, seguindo-se um duplo clique para abrir as definições do valor. Certifique-se que o mesmo se encontra com o valor “0”, como indicado a seguir:

enabled

5- Feito isso, agora basta reiniciar o windows para que as alterações sejam efetivadas.

Uma vez desativado o Windows Script Host, sempre que um arquivo JS ou VBS seja executado deve aparecer uma mensagem de erro na tela semelhante a esta:msg_erroCaso verifique algum problema, poderá sempre reativar o Windows Script Host. Para tal bastará alterar o valor “Enable” para “1”, seguindo os mesmos passos anteriormente descritos.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tugatech

Arquivos de PDF e imagem são usados como veículos para malware

malware_alertSegundo a Kaspersky, cibercriminosos brasileiros estão usando arquivos PDF e PNG anexos para burlar sistemas antispam e infectar usuários.

Os cibercriminosos brasileiros estão usando arquivos PDF e de imagem (PNG) para espalhar malware entre os internautas do país, de acordo com informações da Kaspersky Lab.

Segundo a empresa de segurança, esse tipo de ataque que usa phishing em PDF apareceu há alguns meses nos Estados Unidos.

O golpe em questão funciona da seguinte forma: o criminoso envia um e-mail de phishing tradicional avisando a vítima sobre uma suposta entrega juntamente com um código de rastreamento. A diferença em relação a ataques tradicionais do tipo é que aqui o link malicioso está presente no PDF anexado à mensagem, o que permite burlar os sistemas antispam que não identificam links em documentos anexos.

Ao clicar no link, o usuário é direcionado para fazer o download de um arquivo JAR malicioso, com malware.

A Kaspersky também descobriu recentemente o uso de arquivos PNG, um dos formatos de imagem mais usados, como “esconderijo” para arquivos maliciosos. Essa é a primeira vez que os cibercriminosos brasileiros usam a extensão em questão para esconder malware.

“É preciso que o usuário esteja sempre atento a e-mails desconhecidos, principalmente os que contêm links e arquivos anexos. Pois com esta técnica, os criminosos conseguem ocultar com sucesso seus malware em simples arquivos de imagem PNG – o que dificulta o trabalho de análise por parte das empresas de antimalware e burla os mecanismos de verificação automática dos serviços de hospedagem”, destaca o analista de segurança da Kaspersky Lab, Thiago Marques.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Falha em ransomware possibilita recuperação de arquivos

teslacryptBrechas de segurança não existem apenas para serem aproveitadas por criminosos para realizar ataques contra programas de uso comum. Uma vulnerabilidade no ransomware TeslaCrypt permite a recuperação dos arquivos para quem foi atacado com certas versões da praga e ferramentas estão disponíveis na web para quem quiser tentar o complicado procedimento de descobrir a chave e resgatar os arquivos.

A brecha é conhecida há algum tempo, mas foi mantida em sigilo para que o criador do ransomware não alterasse o comportamento do código e corrigisse o problema. Versões mais novas da praga eliminaram a falha, porém, e o método foi divulgado na web.

Um ransomware é uma praga digital que criptografa os arquivos armazenados no computador após contaminar o sistema. Esse processo torna os arquivos ilegíveis sem a chave capaz de decifrar os arquivos, que fica nas mãos dos criminosos e que só é cedida mediante um pagamento.

Uma ferramenta publicada na web chamada TeslaCrack pode permitir a recuperação de arquivos criptografados e que ficaram com as extensões .ECC, .EZZ, .EXX, .XYZ, .ZZZ,.AAA, .ABC, .CCC, e .VVV. Novas versões do TeslaCrypt, que usam as extensões TTT, .XXX, e .MICRO não têm mais a brecha.

O processo de recuperação, porém, não é simples. Além de exigir diversos passos técnicos, em alguns casos será preciso até uma semana de processamento para obter a chave necessária para decodificar os dados. O mais comum, porém, é que essa etapa leve apenas algumas horas.

Sem nenhuma falha no processo de criptografia dos dados, obter a chave de decodificação poderia levar anos ou décadas mesmo para um supercomputador.

O truque funciona apenas no TeslaCrypt, então outros ransomwares, como o CryptoWall não podem ser decifrados com o mesmo processo. Identificar exatamente qual vírus de resgate infectou o computador, porém, pode ser difícil. Algumas versões do TeslaCrypt usam a mesma mensagem do CryptoWall e outras, mais antigas, copiam a ameaça do CryptoLocker.

Para quem for vítima, no entanto, começa a valer a pena pensar em guardar os arquivos para, quem sabe, obter um meio de desbloqueio no futuro. Além das versões antigas do TeslaCrypt, o CoinVault e o Bitcryptor também podem ser decodificados. No caso desses outros dois, a possibilidade surgiu após uma ação da polícia, que apreendeu a infraestrutura dos criminosos e, com ela, as chaves que decifram os dados das vítimas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1