Cibercriminosos focam ataques no Microsoft Office

Exploits do Microsoft Office entraram na lista de problemas cibernéticos do primeiro trimestre de 2018. O número de usuários vítimas de documentos maliciosos do Office aumentou mais de quatro vezes em relação ao primeiro trimestre de 2017. Em apenas três meses, sua parcela na distribuição de exploits usadas nos ataques cresceu para quase 50% -duas vezes mais que a média de exploits do Microsoft Office durante todo o ano de 2017. Essas são as principais conclusões do relatório de evolução de ameaças de TI da Kaspersky Lab referente ao primeiro trimestre.

Os ataques baseados nesses exploits são considerados muito eficientes, pois não exigem outras interações com o usuário e são capazes de entregar código perigoso de maneira discreta. São amplamente usados tanto por criminosos virtuais que buscam lucros quanto por agentes mais sofisticados apoiados por algum nação-estado.

No primeiro trimestre de 2018, houve um influxo enorme dessas vulnerabilidades direcionadas ao popular Microsoft Office. Segundo os especialistas da Kaspersky Lab, esse provavelmente será o pico de uma tendência mais longa, pois em 2017-2018 foram identificados pelo menos dez exploits do Office em uso. No mesmo período, foram observadas dois exploits 0-day (desconhecidos) do Adobe Flash Player usados ativamente.

Como era de se esperar, a parcela desse último na distribuição de exploits usados em ataques está diminuindo (pouco menos de 3% no primeiro trimestre). A Adobe e a Microsoft se empenharam muito em dificultar a exploração do Flash Player.

Quando os criminosos virtuais descobrem uma vulnerabilidade, preparam uma exploit. Em seguida, podem usar o spear phishing como vetor de infecção, comprometendo usuários e empresas por meio de e-mails com anexos maliciosos. Pior ainda, esses vetores de ataque por phishing normalmente são discretos e muito usados ativamente em sofisticados ataques direcionados. Temos muitos exemplos nos últimos seis meses.

Por exemplo, no terceiro trimestre de 2017, os avançados sistemas de prevenção de exploits da Kaspersky Lab identificaram uma nova exploit de 0-day do Adobe Flash usada contra nossos clientes. Por meio de um documento do Office, o objetivo era infectar a máquina com a versão mais recente do malware FinSpy. A análise permitiu associar esse ataque a um agente sofisticado conhecido como “BlackOasis”. No mesmo mês, nossos especialistas publicaram uma análise detalhada da vulnerabilidade 0-day crítica СVE-2017-11826.

“O cenário das ameaças no primeiro trimestre novamente nos mostra que a falta de atenção ao gerenciamento de correções é um dos perigos cibernéticos mais importantes. Embora normalmente os fornecedores lancem correções de vulnerabilidades, muitas vezes os usuários não conseguem atualizar seus produtos a tempo. Isso causa ondas de ataques discretos e altamente eficazes assim que as vulnerabilidades são expostas à ampla comunidade de criminosos virtuais”, diz Alexander Liskin, especialista em segurança da Kaspersky Lab.

Fonte: Kaspersky

Botnets aumentam ataques com roubo de identidade

Pouco mais de um ano depois do devastador ataque DDOs da botnet Mirai, que usando uma rede zumbi de dispositivos de Internet das Coisas (incluindo câmeras de segurança) derrubou grandes serviços da internet como Twitter, Netflix e CNN, os bancos russos e toda a conexão IP da Libéria, o estado da segurança da internet global continua a exigir cuidado. Dados do estudo State of the Internet/Security Report, da Akamai Technologies, sobre o quarto trimestre de 2017, mostram que as botnets estão bem vivas e cada vez mais espertas e difíceis de combater.

O documento relata as descobertas da Akamai sobre as atividades cibercriminosas que circularam nas redes administradas por ela globalmente. Em linhas gerais, a companhia confirmou o aumento do número de ataques DDoS (negação de serviço) em 14% no último trimestre de 2017, comparado com o mesmo período de 2016. Além disso, identificou que a temida botnet Mirai não sumiu. No final de novembro, a botnet foi responsável por uma tentativa de ataque, bloqueada pela Akamai, de quase 1 milhão de endereços únicos de IP contra um cliente.

Uma das descobertas importantes aconteceu quase por acaso, por conta do uso de uma nova ferramenta da Akamai, a Bot Manager, que utiliza múltiplas heurísticas para identificar potenciais bots em tempo real e fazer análise comportamental de tráfego de bots em geral. Com a ferramenta, a Akamai analisou mais de 17 bilhões de logins em sites de seus clientes e, como resultado colateral, descobriu que 43% desse logins eram ataques maliciosos de credential stuffing, executados por bots “do mal’, digamos assim.

Roubo de identidade

Um ataque de credencial stuffing (preenchimento de credenciais) consiste de tentativas repetitivas de fazer login em diferentes sites, com credenciais (email e senha, por exemplo) roubadas, para tentar entrar com alguma delas. Esses ataques, nesse caso, foram empreendidos por botnets e esse dado, segundo a companhia, mostra uma novidade no comportamento das botnets que precisa ser monitorada. Os dados da Akamai mostram que os ataques de abuso de credenciais afetaram especialmente sites de varejo.

Segundo a companhia, as tentativas de login fraudulento por botnets foram mais intensas contra os sites de hospitalidade (hoteis, companhias aéreas, agências de viagem etc.). Do total de 1,2 bilhão de tentativas de login feitas nesses sites em novembro de 2017, 82% (ou 982 milhões) foram maliciosas. Ou seja, quase o dobro do percentual de 43% dos ataques contra todas as verticais analisadas. A segunda área mais atacada foi a de high tech, com 57% dos logins maliciosos, seguida do varejo, com 36% dos logins focados em abuso de credenciais roubadas.

Segundo o engenheiro da Akamai no Brasil, Thiago Marques, o mundo continua a ser um lugar muito perigoso para os cibercidadãos. “É impossível prever tudo. Ou você já foi atacado ou não sabe que foi atacado”, disse o engenheiro durante o webcast para apresentar o estudo no Brasil.

Fonte: IDG Now!

IA da Google impede ataque de 700 mil malwares a aparelhos Android

A Google informou nas últimas semanas por meio de uma postagem em seu blog oficial para desenvolvedores do Android que suas ações contra malware na Play Store estão rendendo frutos. Em 2017, a empresa conseguiu barrar 700 mil apps maliciosos de chegarem a smartphones Android através da loja oficial do sistema, o que é um aumento em 70% no número de detecções em relação a 2016. A companhia atribui esse resultado ao Google Play Protect, que usa inteligência artificial para descobrir quais apps estão tentando infectar dispositivos, roubar dados ou cometer alguma fraude.

99% de todos os apps maliciosos detectados pela IA da empresa foram removidos do catálogo da Play Store antes mesmo de serem baixados por qualquer pessoa. Isso quer dizer que esses apps não conseguiram sequer serem publicados. Segundo Dave Kleidermacher, chefe de segurança da Play Store, contou ao TechCrunch, a integração de inteligência artificial na segurança da loja representa “um grande avanço para nossa habilidade de detectar apps maliciosos”.

A chance de alguém baixar algum app malicioso a partir da loja caiu para 0,00006%

O executivo explicou ainda que a Play Store realiza mais de 8 bilhões de instalações por mês no mundo todo, e a chance de alguém baixar algum app malicioso a partir da loja caiu para 0,00006%. Kleidermacher também destacou que o usuário tem 10 vezes mais chances de ser infectado baixando ferramentas de lojas e repositórios de terceiros do que a partir da própria Play Store.

Fora essa questão da segurança, a Google também informou que removeu mais de 250 mil clones de outros apps da loja do Android em 2017. Essas ferramentas são basicamente cópias de apps e jogos famosos tentando enganar os usuários com muitas promessas e ferramentas limitadas.

Google Play Protect pode ser hoje o software antimalware mais utilizado do mundo

Presente em cerca de 2 bilhões de dispositivos, o Google Play Protect pode ser hoje o software antimalware mais utilizado do mundo. Ainda assim, é interessante destacar que, apesar de bem-sucedido, esse elemento com IA é apenas uma solução para um problema segurança multifacetado no Android.

Correções críticas e melhorias que a Google libera anualmente/mensalmente através de novas versões do SO raramente chegam à maioria dos smartphones em atividade no mundo porque as fabricantes simplesmente lançam novos telefones com software datado e não se comprometem com atualizações. Felizmente, isso pode começar a mudar a partir do Android 9.0 P.

Fonte: Tecmundo

Cuidado: legendas de filmes podem ser vetor de malware

Quanto inquietante pode ser a ideia de que enquanto você assiste um filme no computador, no Raspberry Pi ou em um dispositivo preferido, alguém também possa ter acesso indevido a sua informação ou até mesmo te espionar?

Na última edição da Ekoparty 2017, evento realizado na Argentina, os pesquisadores Omri Herscovici e Omer Gull apresentaram uma palestra chamada “Pwned in Translation – from Subtitles to RCE”, na qual demonstram que, se você não estiver protegido da forma devida, isso realmente poderá acontecer… e de uma forma inimaginável.

Um curioso vetor de ataque

Se você acredita que as legendas são apenas linhas de texto simples incorporadas em filmes, será melhor que continue lendo este post, pois descreveremos como as mesmas podem ser usadas para tomar o controle de um sistema ou dispositivo, de acordo com a apresentação dos especialistas.

O grande impacto desta notícia está relacionado com o fato de que milhões de pessoas baixem e executem legendas sem pensar duas vezes, de forma cotidiana na Internet. Duvido que alguém se pergunte pela origem dessas legendas, pela forma como são processadas ou se são analisadas em busca de códigos maliciosos…

Bem, no início da palestra foram apresentadas as diversas extensões e formatos de legendas que são utilizadas na atualidade. Estes são alguns exemplos: “.SRT”, “.PJS”, “.USF” ,”.SUB”, “.PSB”, “.IDX”, “.ASS”, “.SMI” ,”.CVD”, “.AQT”, “.STL”, “.DKS”, “.JSS”, “.SSF” e “.TTXT”.

Dentro dos mais de 25 formatos de legendas, a maioria suporta características tais como etiquetas HTML, imagens em formato raw e até mesmo binários em linguagens free-form, o que naturalmente o fará pensar.

Somado a isso, comumente não existe uma metodologia padrão utilizada para a análise de legendas, o que torna a implementação desta tarefa um pouco mais independente e de acordo com cada um dos diversos players. E é claro que existem diversas vulnerabilidades que podem ser exploradas nestes casos.

O ataque

Através de diferentes métodos, que incluem técnicas de JavaScript, exploração de vulnerabilidades e corrupção de arquivos manipulados, os pesquisadores conseguiram executar códigos maliciosos (além das legendas) e tomar o controle do equipamento alvo.

A técnica de execução remota de código, apresentada ao vivo, não apenas funciona em players como o famoso VLC, mas também por meio de serviços de streaming como o Popcorn Time, com os quais é possível ver filmes online, e inclusive no famoso Kodi (XBMC), que é utilizado em players multimídia.

O ataque se baseia no fato de que determinados players baixem legendas de forma automática por meio de depósitos compartilhados de forma online (como OpenSubtitles), onde são indexados e rankeados. Ao manipular estas bases de dados do site, baseadas em algoritmos, podem garantir que as legendas maliciosas criadas sejam as únicas baixadas pelo player. Desta forma, conseguem tomar o controle total da cadeia de fornecimento de legendas.

Como se isso não bastasse, também apresentaram como é possível corromper a origem da fonte das legendas.

O prejuízo que um atacante pode provocar vai desde o roubo da informação confidencial até a instalação de ransomware, passando pelos ataques massivos de Negação de Serviço. Os detalhes técnicos das vulnerabilidades exploradas em cada player estão em uma pesquisa publicada (em inglês) pelos palestrantes.

Qual é o impacto deste ataque?

Se você gosta dos filmes de terror ou suspense e da sensação que geram, pense na quantidade de usuários que utilizam estes meios para ver os filmes. Este fato é assustador.

Para revelar o suspense, este número chega a mais de 220 milhões de usuários, segundo um cálculo realizado pelos pesquisadores. Portanto, sem dúvidas, o uso de legendas manipuladas é uma forma muito viável de lançar campanhas maliciosas de forma massiva.

Como os pesquisadores anteciparam, parece que não existe limite para o que se pode conseguir usando estes arquivos de texto que parecem não ser grande coisa.

Apesar de não querer te assustar, é fundamental manter os seus aplicativos e soluções de segurança atualizadas e que utilize apenas páginas de confiança para procurar conteúdo. Desta forma, você poderá evitar uma infecção com diferentes tipos de ameaças, como por exemplo um ransomware que pode criptografar a sua informação.

Agindo com precaução e contando com as ferramentas adequadas, será possível evitar que a sua experiência com filmes ou séries online termine sendo um filme de terror.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ESET

Novo Ransomware se espalha por países europeus

Segundo informações da ESET e Kaspersky, ameaça possui similaridades com o ransomware Petya. Alvos incluem aeroporto, metrô e sistemas de meios de comunicação.

Um novo ataque de ransomware se espalhou por diversos países da Europa nesta quarta-feira, 25/10, segundo pesquisadores da ESET e da Kaspersky. Chamada de BadRabbit, a ameaça atingiu redes corporativas e sistemas de aeroportos, metrôs e até meios de comunicação em locais como Rússia, Ucrânia, Turquia e Alemanha, entre outros.

De acordo com as empresas de segurança, o BadRabbit possui algumas similaridades com o ransomware Petya, que afetou diversos países europeus no último mês de junho. Entre elas, chama a atenção o fato dos dois ransomwares terem aparecido em vários dos mesmos sites hackeados e se espalharem por meio da interface Windows Management Instrumentation Command-line.

No entanto, o BadRabbit não utiliza EternalBlue, usado no Petya, ou qualquer outro tipo de exploit, conforme as descobertas das empresas de segurança.

A Kaspersky destaca que ainda o BadRabbit é um ataque do tipo ‘drive-by’, em que os usuários infectam suas máquinas ao baixar um instalador falso do Adobe Flash Player a partir de um site infectado – a maioria dos sites comprometidos encontrados pelos pesquisadores da empresa são de notícias ou de mídia.

Após invadirem as redes e sistemas e sequestrarem os arquivos dos usuários, os cibercriminosos por trás do BadRabbit exigem um resgate de 0,05 bitcoin – o que dá cerca de 280 dólares na taxa de câmbio atual. Por enquanto, ainda não foi descoberta e/ou publicada nenhuma forma de recuperar os arquivos criptografados sequestrados pelo BadRabbit.

Fonte: IDG Now!

Usinas nucleares viram alvo de crackers

Os ciberataques feitos aos EUA estão tomando uma guinada um tanto perigosa. Ao menos é isso o que indicam novas informações trazidas pelo The New York Times: segundo eles, hackers têm tentado invadir redes de companhias que operam usinas nucleares.

Entre os alvos dos ataques, temos companhias como a Wolf Creek Nuclear Operating Corporation, dona de uma usina nuclear em Burlington, Kansas. Em um relatório que teria sido emitido em conjunto com o Departamento de Segurança Nacional e o FBI, a empresa não detalha se a ação foi uma tentativa de espionagem ou de destruição por parte dos hackers.

Vale notar que, apesar do informe, não há indicações com relação a se os invasores conseguiram seguir do computador de suas vítimas para os sistemas de controle das usinas, nem de quantas fábricas podem ter sido hackeadas. Eles avisam, porém, que quaisquer impactos em potencial parecem ter se limitado às áreas administrativas.

Poucos riscos, por enquanto

A boa notícia é que, mesmo se os ataques tiverem sucesso, não devemos temer um novo desastre nuclear acontecendo. Segundo os oficiais da Wolf Creek, os sistemas de operação da usina são mantidos separados da rede de computadores da instalação – o que quer dizer que um hacker não poderia controlar diretamente o funcionamento dela.
No entanto, os ataques em si não deixam de ser extremamente preocupantes. Afinal, esse pode ser o começo de uma série de ações para mapear os sistemas dessas usinas e conseguir informações potencialmente perigosas. Resta agora aguardar para ver qual lado sairá vencedor dessa briga.

Fontes: Tecmundo e NYT

Ferramentas gratuitas como solução aos ataques por Ransomware

Ferramentas gratuitas podem ser a melhor maneira para recuperar arquivos bloqueados por vírus ransomware sem precisar pagar nada para hackers. Oferecidas na web por fabricantes de antivírus, funcionam online e offline para liberar o computador sem necessidade de pagar o resgate em bitcoins cobrado pelos criminosos. Esse tipo de ameaça veio à tona novamente depois do ataque WannaCry, que afetou milhares de PCs com Windows 10 usando uma falha do próprio Windows.

A solução para voltar a acessar os dados após um ataque de ransomware é uma chave secreta que só o hacker tem. Com isso, o usuário fica refém do criminoso se quiser recuperar suas informações.
A melhor forma de fazer isso é usar um software de descriptografia. Para infectador computadores, normalmente, hackers usam iscas como Netflix de graça ou golpes de phishing que fazem o usuário instalar na sua máquina o próprio vírus.

Confira a seguir uma lista para ajudá-lo a encontrar chaves seguras.

Avast

A Avast oferece uma lista grande de opções (avast.com/ransomware-decryption-tools). São programas que combatem ransomwares como AES_NI, Alcatraz Locker, Apocalypse, BadBlock e Crypt888 Fix — ameaças que apareceram a partir de 2015 e que na sua maioria usa criptografia AES-256 em conjunto com outros tipos de codificação.

AVG

A AVG oferece chaves contra vários ransomwares. Há uma ferramenta para o Tesladecrypt (avg.com/br-pt/ransomware-decryption), código malicioso que não muda a extensão dos itens gravados no HD e acaba tornando a identificação mais demorada por parte do usuário. Há ainda programas para enfrentar SZFLocker, Bart e outros.

No more Ransom

O No More Ranson reúne todas as entidades de segurança que trabalham contra o avanço do ransomware no mundo. Aqui há outra lista de programas de desbloqueiam arquivos no PC. Um destaques vai para o CoinVault Decryptor (nomoreransom.org), uma ferramenta criada pelo governo e pela polícia da Holanda, capaz de desbloquear arquivos atingidos pelos ransomwares CoinVault e Bitcryptor, de 2015.

ESET

A fabricante de antivírus Eset oferece gratuitamente para download o ESET Crysis Decryptor (eset.com/au/download-utilities/), uma arma contra o ransomware Crysis, conhecido também como JohnyCryptor, Virus-Encode, Aura ou Dharma. Esse ransomware usa uma das maiores variedades de extensões na criptografia dos arquivos, mas o software da ESET promete liberar tudo rapidamente sem dor de cabeça.

Kaspersky

No site da Kaspersky há outras várias opções úteis de ferramenta de desbloqueio de arquivos. Uma delas é a Rakhni Decryptor (noransom.kaspersky.com/), uma das mais poderosas disponíveis no mercado. Descriptografa arquivos bloqueados pelos ransomwares: Rakhni, Agent.iih, Aura, Autoit, Pletor, Rotor, Lamer, Cryptokluchen, Lortok, Democry, Bitman (TeslaCrypt) versões 3 e 4, Chimera, Crysis (2 e 3) e Dharma.

Trend Micro

O Trend Micro Ransomware File Decryptor (success.trendmicro.com/) é uma ferramenta capaz de eliminar a ação uma variedade grande de ransomwares, incluindo CryptXXX, TeslaCrypt, Badlock, Stampado, Chimera, Jigsaw, Crysis e o famoso WannaCry. O programa é oferecido gratuitamente no site da fabricante de software de segurança.

McAfee

O programa contra ransomware mais importante disponibilizado pela McAfee é o WildFire Decryptor (mcafee.com/br/downloads). A ferramenta libera aplicativos, bases de dados e outros arquivos infectados com o ransomware WildFire, um trojans traiçoeiro que pede US$ 300 de resgate e triplica a quantia se o depósito não for feito em oito dias.

Fonte: Techtudo