Malware para Mac que rouba dados e senhas

backdoor_osxA Kaspersky Lab descobriu recentemente um Backdoor no Mac OS X, capaz de extrair diversos tipos de informação da máquina comprometida, conseguindo roubar dados, áudio, vídeo e capturar telas e o registro do que é digitado no teclado.

O malware, escrito em C++, usa um sistema multiplataforma QT ligado ao OpenSSL. Quando executado pela primeira vez no dispositivo, ele produz cópias em diversos locais na biblioteca do sistema, que ficam escondidos em pastas de apps como o Skype, o Firefox e a App Store.

De acordo com a empresa de segurança, o malware é a versão para o Mac do Backdoor identificado em janeiro, que opera no Windows, Linux e no OS X.

O código também é capaz de detectar e monitorar dispositivos de armazenamento removíveis e até documentos do Office. Por meio do servidor C&C, criminosos podem definir seus próprios filtros e executar comandos adicionais. “Além de ataques de malware como este, é vale lembrar que usuários do OS X também são alvo de diferentes ameaças, incluindo cibercriminosos e agências governamentais.

Por isso, é importante que eles tenham solução de proteção de Anti-Malware para proteger seus dados pessoais”, explica Dmitry Bestuzhev, diretor da equipe de investigação e análise para América Latina da Kaspersky Lab.

Fontes: Olhar Digital e SecureList

Dripion backdoor em escala mundial

dripionEm agosto de 2015, a Symantec identificou um Trojan que infectou organizações localizadas principalmente em Taiwan, mas Brasil e Estados Unidos também foram atingidos. O Dripion é feito sob encomenda, desenvolvido para roubar informações e tem sido usado em um número limitado de ataques direcionados, com bastante moderação.

Os cibercriminosos por trás dessa campanha tentam encobrir suas atividades usando nomes de domínios disfarçados de sites de antivírus e seus ataques têm algumas semelhanças com os feitos por um grupo chamado Budminer, envolvendo o a Taidoor Trojan (Trojan.Taidoor).

Ameaças desconhecidas podem escapar da detecção baseada em assinaturas, mas podem ser bloqueadas por outras ferramentas de detecção que identificam comportamentos maliciosos. Por isso, uma ameaça por malware personalizado, como Dripion, ilustra o valor da segurança de várias camadas.

Comportamento nocivo
Uma vez instalado o Dripion, o invasor pode acessar o computador do usuário e fazer upload, download e roubar informações relevantes da vítima, executando comandos remotos. Informações como nome do computador da vítima e endereço IP são automaticamente transmitidos para o servidor dos hackers, logo após a infecção inicial.

O Dripion foi identificado em múltiplas variações e traz números de versão codificados dentro do malware. Isso indica que os atacantes têm a capacidade de criar e desenvolver o seu próprio malware personalizado, bem como atualizar seu código para fornecer novas capacidades e tornar a detecção mais difícil.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Descoberto backdoor para Linux

backdoor_linuxFoi descoberto um backdoor multifuncional para Linux que pode assumir o controle dos computadores rodando neste sistema operacional.

A empresa de segurança informática Dr Web descobriu um backdoor multifuncional para Linux que pode assumir o controle do computador e executar comandos. Os pesquisadores explicaram que este malware (software malicioso), chamado Linux.BackDoor.Xunpes.1, contamina o computador em duas fases.

Na primeira, um dropper (um programa malicioso que instala outros malwares) escrito em Free Pascal, se encarrega de entrar no sistema operacional e baixá-lo, e o segundo e principal componente do ataque, um malware backdoor.

Uma vez dentro do computador, o software malicioso não se limita a roubar informações do usuário mas, de acordo com Dr.Web, permite que os hackers no controle do computador executem mais de 40 ações diferentes, como fazer screenshots, gravar as teclas digitadas, baixar arquivos e excluir pastas. Todos os comandos são enviados através de um servidor C&C (Comando e Controle) e permitem que os atacantes permaneçam anônimos.

“Linux.BackDoor.Xunpes.1” não é o primeiro malware que apareceu no Linux; anteriormente, já foram encontrados exemplos como o “Linux.Ekocms.1” ou o “Linux.Rekoobe”, somados aos sequestradores de dados “Linux.Encoder” e o botnet (rede de computadores contaminados) “DDoS XOR”. Bitdefender já está trabalhando para combater estes malwares que ameaçam a segurança de um sistema operacional pouco acostumado com esse tipo de ataque.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: CCM

Polêmica à vista: alerta na rede sobre um backdoor no Windows 8

backdoorDepois de a China ter banido o Windows 8 dos computadores de órgãos governamentais – como anunciado no início do ano depois que a Microsoft acabou com o suporte ao Windows XP – vem da Alemanha uma nova polêmica com o sistema operacional mais conhecido no planeta. Um relatório patrocinado pelo governo indicaria risco de backdoor no programa.

A conclusão estaria em um relatório com alerta para que agências públicas e mesmo empresas não usem o Windows 8. A alegação é de que seria possível explorar a vulnerabilidade para controlar computadores de forma remota. A notícia correu a partir de um site alemão, Zeit Online, que sugeriu que o governo da Alemanha via problemas no sistema operacional.

A preocupação do departamento de segurança da informação do governo da Alemanha seria com chips chamados de Trusted Platform Module, ou TPM, que armazenam chaves criptográficas utilizadas para verificação da integridade do sistema operacional e arquivos de aplicações – tendo como objetivo a prevenção a malwares ou rootkits.

Esses chips nasceram há cerca de uma década com uma coalizão de empresas de tecnologia – AMD, Cisco, HP, IBM, Intel, além da própria Microsoft – e exigem sistemas operacionais compatíveis para funcionar. Na prática, trata-se do armazenamento de chaves criptográficas no hardware até que os softwares precisem deles.

Daí que o departamento de segurança da informação tenha “explicado” que a preocupação é com o uso combinado do Windows 8 e o chip TPM pois poderia causar “perda do controle sobre o sistema operacional e o hardware utilizado”. Nesse sentido, computadores envolvidos com infraestruturas críticas – como água, eletricidade e gás – “podem enfrentar novos riscos”.

Agradeço ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Falha em roteadores da D-Link aguarda conserto

D-LinkBackdoor permite que malfeitores façam modificações na configuração de um roteador sem necessidade de autenticação.

A D-Link prometeu consertar até o fim de Outubro uma falha de segurança no firmware de alguns de seus roteadores, que possibilita que malfeitores mudem as configurações de um aparelho sem necessidade de um nome de usuário ou senha.

O problema está relacionado a um “backdoor” (porta dos fundos) incorporado ao firmware de alguns roteadores da empresa, que permite contornar o processo usual de autenticação nas interfaces de administração via web.

A vulnerabilidade foi descoberta e reportada por Craig Heffner, um pesquisador da Tactical Network Solutions. Segundo ele, “se o identificador de um navegador (ou “User Agent String”) for configurado para xmlset_roodkcableoj28840ybtide é possível acessar a interface web do roteador sem nenhum tipo de autenticação, e ver e modificar as configurações do aparelho. Quando lido ao contrário, parte do valor forma a frase “edit by 04882 joel backdoor.”

A D-Link informou via e-mail que irá lançar até o final de Outubro atualizações de firmware para resolver a vulnerabilidade nos roteadores afetados. As atualizações serão listadas em uma página de segurança no site da D-Link e na seção de downloads da página de suporte de cada produto afetado.

A empresa não esclareceu porque o backdoor foi colocado no firmware, nem quais modelos de seus roteadores são afetados. Mas de acordo com Heffner eles dão o DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-5240 e possivelmente o DIR-615. Outros dois modelos, o BRL-04UR e BRL-04CW, produzidos pela Planex Communications, também podem estar vulneráveis, já que parecem usar o mesmo firmware dos aparelhos da D-Link.

O risco de acesso não autorizado é maior nos roteadores que tenham sido configurados para gerenciamento remoto e tenham suas interfaces de administração acessíveis via Internet. Entretanto, mesmo quando a interface só pode ser acessada através da rede interna, o padrão nos aparelhos da D-Link, este backdoor ainda pode ser uma ameaça já que qualquer visitante que se conecte à rede sem fio ou qualquer malware rodando em um computador dentro da rede pode explorá-lo para fazer mudanças não autorizadas na configuração do roteador.

Tais mudanças podem ter sérias consequências de segurança. Por exemplo, trocar o endereço dos servidores DNS usados pelo roteador, e por consequência por todos os aparelhos conectados a ele, pelo endereço de servidores controlados por um malfeitor pode dar a ele a capacidade de redirecionar os usuários a sites maliciosos sempre que tentarem acessar as versões legítimas.

“Proprietários de aparelhos afetados podem minimizar os riscos certificando-se de que seu roteador exija uma senha para conexão à rede Wi-Fi e que o acesso remoto esteja desabilitado”, disse a D-Link.

“Se você receber e-mails não solicitados alertando sobre vulnerabilidades de segurança e lhe pedindo para agir para corrigí-la, por favor os ignore”, disse a empresa. “Clicar em qualquer link em tais mensagens pode permitir o acesso não autorizado ao roteador. Nem a D-Link nem seus parceiros e revendedores irão enviar mensagens não solicitadas pedindo para você clicar ou instalar algo”.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: PCWorld

Novo malware ataca máquinas da Apple

mac-flashback-virus

Através de um backdoor do MAC OSX, um novo malware pode fazer estragos nas máquinas da Apple. A descoberta foi feita a partir da máquina de um ativista angolano que caiu num golpe de phishing e acabou instalando um código malicioso, capaz de tirar cópias “printscreen” das páginas do usuário e enviá-las , em seguida, para uma central de controle de ataques.Embora seu mecanismo seja relativamente simples, o malware de backdoor consegue usar as ferramentas do sistema operacional para realizar suas tarefas. A aplicação original, bem como a amostra secundária da ameaça, foram isoladas e analisadas.

Ambos traziam a assinatura digital de um desenvolvedor Apple com ID legítimo, chamado Rajinder Kumar. A Apple já revogou o ID do desenvolvedor ao constatar a infecção, mas como já havia sido assinada anteriormente pelo ID, a amostra do malware foi capaz de enganar o mecanismo de execução preventiva, o Apple Gatekeeper, e prosseguir infectando.

De acordo com Eduardo D´Antona, Country Partner da Bitdefender, o crescente prestígio da Apple vem tornando este ambiente muito mais atraente para as máfias virtuais do que costumava ser há alguns anos. “Até recentemente, empresas e usuários finais se sentiam em segurança apenas por estarem encastelados no sistema operacional da Apple, enquanto o sistema Windows era tido como inseguro. Mas agora o jogo “empatou”, comenta o executivo.

Após infectar o sistema operacional, o malware extrai printscreens (foto-imagens) das telas do usuário e as manda para uma URL, na qual estão presentes as variantes do malware. Pelas análises da Bitdefender, esta URL leva a um domínio hospedado em um servidor na Romênia.

Ainda segundo D´Antona, pode-se dizer que este malware apresenta construção pouco sofisticada. Os criadores de malware, explica ele, têm tido pouca preocupação em criar ameaças difíceis de detectar, quando o alvo é o mundo Apple, porque os usuários de MAC OSX raramente instalam soluções de antivírus adequadas em suas máquinas, o que torna bem mais confortável a vida dos criminosos.

O dano do código malicioso causado ao sistema operacional pode ser irreparável. O sistema OSX é muito popular entre os gestores de redes empresariais; por isso, os dados contidos nestas máquinas podem ser mais valiosos para os cibercriminosos. Em abril de 2013, os MAC OSX representavam 7% do mercado.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Convergência Digital

48% dos servidores da AL infectados por backdoor estão no Brasil

Backdoor

Análise feita pela empresa de segurança ESET aponta que País concentra maior número de servidores afetados por códigos maliciosos do tipo na América Latina

Um levantamento realizado pela empresa de segurança ESET avaliou, na América Latina, a propagação dos códigos maliciosos backdoor do tipo WebShell – que executam comandos não-autorizados em servidores. Os pesquisadores identificaram que o Brasil é o país mais afetado por esse tipo de malware, respondendo por 48% dos servidores que apresentam problemas, seguido pela Argentina, com 21%, e México, com 14%.

Um backdoor WebShell é um programa malicioso desenvolvido em linguagem web e que tem como objetivo executar comandos no servidor afetado de forma remota. Geralmente esse tipo de malware é utilizado para roubar informações ou para propagar códigos maliciosos. Uma das WebShells mais famosas é a c99, mas existem milhares de variantes atualmente no mercado.

“Na prática, em vez de utilizar um servidor próprio, que pode ser facilmente identificado, os cibercriminosos se aproveitam da boa reputação de servidores legítimos para utilizar o tráfego dos mesmos para propagar malwares”, explica o gerente da ESET Brasil, Camillo Di Jorge. “As empresas brasileiras precisam estar atentas a esse tipo de vulnerabilidade, pois, conforme demonstrou esse levantamento da ESET, são os principais alvos desse tipo de ataque na América Latina”, complementa.

Para evitar esse tipo de problema, os administradores dos sites devem manter atualizados os sistemas e os módulos que compõem todos os serviços. “Dessa forma, estarão protegidos contra as vulnerabilidades mais recentes”, afirma Di Jorge. Além disso, ele aconselha que seja feita a revisão de código para assegurar que o ambiente esteja adequado e que não existam falhas.

Códigos identificados
No levantamento de backdoors WebShell realizado pelos pesquisadores do Laboratório da América Latina, a maior incidência, de 45%, foi da variante c99 (Backdoor.PHP/c99Shell), seguida pela WebShell (Backdoor.PHP/WebShell), com 38%, e pela Rst (Backdoor.PHP/Rst), com 10%.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!