Novo golpe de phishing tem foco em clientes de 2 importantes bancos

O DFNDR Lab, laboratório de segurança digital especializado em cibercrimes, alerta para golpes envolvendo o nome de dois importantes bancos do país de forma fraudulenta: o Santander e o Banco do Brasil. Na última semana, hackers disseminaram de forma massiva links maliciosos via mensagens SMS que simulavam à perfeição comunicações oficiais das instituições financeiras

Ataques via SMS ainda são muito comuns. Por isso, é muito importante manter um aplicativo de segurança atualizado com a função antiphishing

As mensagens recebidas pelas vítimas dos golpes traziam os dizeres: “Por razões de segurança, seu cartão foi bloqueado” e “Prezado(a) cliente, seu cartão de segurança expirou”. Ao todo, mais de 33 mil ataques deste golpe pelo aplicativo do DFNDR Lab.

Segundo Emílio Simoni, diretor do DFNDR Lab, “ataques via SMS ainda são muito comuns. Por isso, é muito importante manter um aplicativo de segurança atualizado com a função antiphishing e também desconfiar de quaisquer arquivos e links, mesmo quando recebidos de pessoas conhecidas ou quando a comunicação aparenta ser oficial”.

Todo cuidado é pouco!

Tendo como base a quantidade de smartphones no Brasil, o laboratório estima que cerca de outras 410 mil pessoas tenham sido impactadas. O golpe pode parecer datado e até um pouco óbvio nos dias de hoje, mas não deixa de fazer vítimas entre usuários mais descuidados, que acabam cedendo à perfeição das mensagens usadas para pescar dados pessoais, que é como o phishing funciona.

Ao acessar a URL do golpe, o usuário do smartphone é encaminhado a uma página que o induz a passar informações pessoais e bancárias, como CPF e dados do cartão de crédito

Ao acessar a URL do golpe, o usuário do smartphone é encaminhado a uma página que o induz a passar informações pessoais e bancárias, como CPF e dados do cartão de crédito, incluindo senhas e fotos de tokens/cartões de segurança bancários. Além disso, também é solicitado do correntista o número de IMEI (Identificação Internacional de Equipamento Móvel) dos aparelhos celulares. Com isso, criminosos conseguem clonar os dispositivos dos usuários.

A recomendação é que sempre deve-se usar aplicativos de segurança para evitar qualquer tipo de infecção do seu dispositivo e, claro, tomar cuidado sempre com mensagens suspeitas, mesmo que venham de remetentes confiáveis, como seus amigos ou conhecidos. Nenhum tipo de informação bancária individual deve ser fornecido para ninguém por meio de mensagens ou mesmo ligações telefônicas.

Fonte: Tecmundo

Ataque remoto: nova modalidade de roubo de bancos

Imagina se você é funcionário de um banco e vai fazer a reposição na máquina de autoatendimento. Quando vai realizar o trabalho, a encontra vazia, sem nenhuma cédula ou registros de transações bancárias. Não há também vestígios de interação física com a máquina nem malware — não aparentemente.

Em fevereiro deste ano, a Kaspersky, empresa de segurança digital, publicou em seu blog resultados de uma investigação sobre ataques misteriosos contra bancos, os quais incluíam casos no Brasil, usando um malware que não deixa vestígios. O caso foi chamado de “ATMitch”.

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque: não foi possível localizar os executáveis maliciosos porque, após o roubo, os cibercriminosos tinham removido o malware.

Analisando os arquivos de log – que funcionam como um histórico de operações da máquina – os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas e estabeleceram conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Depois de um dia de espera, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. Foi vista duas vezes: uma no Cazaquistão, e outra na Rússia.

Esse malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando.

Depois de retirar dinheiro, os criminosos o pegam e vão embora. Uma vez que um banco é roubado, o malware exclui seus traços.

Responsáveis pelo ataque

Ainda não se sabe quem está por trás dos ataques, já que o uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos torna quase impossível determinar o grupo responsável.

Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber nesse perfil são GCMAN e Carbanak.
Para saber mais informações sobre a investigação, bem como os detalhes da análise, você pode acessar o site da Secure List [em inglês].

Fonte: Tecmundo

Bancos viram alvos de ataques de novas ameaças

Internet_ataquesOs ciberataques tentaram infectar mais de 100 organizações em 31 diferentes países, diz relatório da Symantec

A fonte do ataque parece ter sido o site do regulador financeiro polonês. Os atacantes comprometeram o site para redirecionar os visitantes para um kit de exploração, que tentou instalar malware em alvos selecionados.

A Symantec bloqueou tentativas de infecção de clientes na Polônia, no México e no Uruguai pelo mesmo kit de exploração que infectou os bancos poloneses. Desde outubro, foram bloqueados 14 ataques contra computadores no México, 11 contra computadores no Uruguai e dois contra computadores na Polônia.

Os hackers parecem estar usando sites comprometidos para redirecionar os visitantes para um kit de exploração personalizado, que é pré-configurado para infectar apenas visitantes de aproximadamente 150 endereços de IP. Esses IPs pertencem a 104 diferentes organizações, localizadas em 31 países, cuja grande maioria é composta por bancos. Um pequeno número de empresas de telecomunicações e internet também estão na lista.

Países em que três ou mais organizações foram alvo de ataques

Links com Lazarus?

O malware utilizado nos ataques (Downloader.Ratankba) anteriormente não era identificado, embora tenha sido detectado pela Symantec sob assinaturas de detecção genérica, que foram criadas para bloquear quaisquer arquivos envolvidos em atividades maliciosas.

A análise do malware ainda está em andamento, mas algumas sequências de código nesse malware compartilham pontos comuns com o usado pelo grupo de ameaças conhecido como Lazarus.

Esse grupo está associado a uma série de ataques agressivos desde 2009, principalmente nos Estados Unidos e na Coréia do Sul. O Lazarus esteve envolvido em ataques financeiros de alto nível e algumas das ferramentas usadas no assalto ao banco de Bangladesh mostraram semelhanças de código com malware usado em ataques históricos ligados ao grupo.

A investigação desses ataques está em andamento, em busca de mais evidências sobre a identidade e os motivos dos atacantes que focam principalmente as instituições financeiras, alvo crescente de ameaças.

Fonte: IDG Now!

Novo malware ataca bancos, governos e empresas de telecomunicação

fileless_malware_statsA Kaspersky alertou nesta semana para um novo malware praticamente indetectável que já infectou mais de 140 empresas e organizações em todo o mundo.

De acordo com o post em seu blog, o malware infectou bancos, agências governamentais e empresas de telecomunicações para roubar informações confidenciais. O Brasil também está entre os países onde a infecção foi notada.

O novo malware, que foi batizado como MEM:Trojan.win32.cometer e MEM:Trojan.win32.metasploit pela Kaspersky, é um verdadeiro pesadelo para administradores e gerentes de TI. O que o torna tão problemático é que ele utiliza softwares legítimos, e geralmente com código aberto, para infectar um sistema com Windows.

Quando a infecção é bem-sucedida, o malware remove todos os traços de sua presença no computador e passa a residir na memória. Com isso os softwares antivírus que verificam o disco rígido do sistema infectado não conseguem detectá-lo.

Outro detalhe é que o novo malware também pode se esconder em outras aplicações, ficando invisível para os softwares antivírus.

Em seu blog, a Kaspersky oferece detalhes mais técnicos sobre como o malware opera. O processo de infecção começa com um instalador temporário no disco rígido.

Este instalador temporário injeta o malware na memória do computador usando um arquivo MSI comum, que depois é removido automaticamente.

Já dentro da memória, o malware utiliza scripts do PowerShell para obter privilégios administrativos no computador infectado e começar a roubar as informações.

A partir do momento em que ele começa a coletar as informações, o malware utiliza a porta 4444 para transmitir as informações roubadas.

O novo malware é difícil de ser detectado por residir na memória. O antivírus precisa ser capaz de verificar este espaço enquanto o computador está em execução para que sua detecção seja possível. Se o PC for reinicializado, o malware também será removido.

Confira os detalhes técnicos sobre o malware acessando o post no blog da Kaspersky aqui.

Agradecemos ao Davi e ao Igor, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Cuidado com este malware usado em ataques bancários

malware_macroEmbora os ataques de criminosos digitais que afetam diretamente os internautas sejam bastante comuns – gerando todo tipo de perigo para os usuários mais despreparados –, não é raro que esses malfeitores acabem mirando também os grandes players do mercado. Desde janeiro deste ano, por exemplo, organizações financeiras de todo o mundo vêm sofrendo com o malware Trojan.Odinaff. O software malicioso é discreto e parece afetar também prestadores de serviços que trabalham junto dessas companhias.

De acordo com um comunicado feito pela Symantec, o Odinaff funciona como uma espécie de primeiro estágio da investida dos cibercriminosos. Isso porque, ao invadir os servidores-alvo e se marcar uma posição na rede, o programa instala ferramentas adicionais no sistema para garantir que ele consiga se espalhar ainda mais. O processo é bastante sofisticado e busca a implementação de uma série de backdoors – brechas na segurança – para facilitar o acesso dos invasores.

Para a segurança digital, esse tipo de ataque indica que os crackers por trás do projeto investiram de forma pesada no desenvolvimento do malware, uma vez que toda a operação é customizada e os recursos de invasão são pensados especificamente para viabilizarem comunicações furtivas (Backdoor.Batel), descoberta de rede, roubo de credenciais e monitoração das atividades de funcionários. Apesar do trabalho pesado, esse tipo de ataque a bancos pode ser altamente lucrativo, podendo render centenas de milhões de dólares.

Ameaça de escala global

Os primeiros ataques envolvendo o Trojan datam de janeiro deste ano, com casos simultâneos em diversos países. Embora organizações sediadas nos Estados Unidos tenham sido o foco principal de muitos dos invasores, Hong Kong, Austrália, Reino Unido e Ucrânia também fizeram parte da leva inicial de infecções. Dos casos conhecidos envolvendo o Odinaff, a maioria deles (34%) foi contra instituições financeiras. Apesar disso, algumas organizações de valores mobiliários e serviços de saúde, jurídicos e governamentais constaram nessa listagem.

Para garantir a sua entrada nos sistemas financeiros, os idealizadores do malware utilizaram uma variedade bem grande de métodos. Mesmo com esse leque grande de opções de invasão, o meio mais comum para criar brechas é relativamente simples: documentos-isca. Geralmente enviados por email, esses arquivos contêm um macro malicioso que, ao ser ativado, instala o Odinaff no computador. Alguns deles trazem até mesmo um tutorial detalhado para que o funcionário incauto ative o recurso de macros no Microsoft Word.

Com o Trojan e o Backdoor.Batel devidamente alocados no terminal, a presença deles é quase que completamente escondida e abrem as portas do PC para uso dos criminosos – dando as condições ideais para que a dupla se espalhe pela rede até achar os servidores locais. Como esperado, evitar links e documentos maliciosos, assim como manter seus programas de proteção atualizados ajudam bastante na hora de prevenir ataques como esse.

Fonte: Tecmundo

Cuidado: novo malware foca ataque em clientes de bancos brasileiros

Malware_bankerOs cibercriminosos adotaram uma abordagem mais sofisticada para atacar alvos no Brasil. Nas últimas duas semanas, o time de segurança IBM X-Force identificou atividade atípica que acarretou o surgimento dos trojans bancários de alta sofisticação Zeus Sphinx e Zeus Panda operando em território nacional.

“Esses malwares possuem uma sofisticação que não é comum encontrar no País”, afirmou Limor Kessem, conselheira da divisão de segurança da Big Blue. “Definitivamente, trata-se de algo fora do que vemos frequentemente”.

De acordo com a especialista, o mercado brasileiro é tipicamente atacado por ameaças de scripts ou extensões de navegadores. Segundo ela, não é comum ver ataques com um software modular complexo como o Zeus em solo brasileiro.

O malware age atacando computadores de usuários, onde fica hospedado até que as pessoas acessem suas contas bancárias ou realizem pagamentos online. Nesse ponto, o vírus intercepta a comunicação, modifica o website, rouba credenciais e redireciona o pagamento.

Limor supõe que os atacantes sejam baseados no Brasil ou, pelo menos, atuem suportados por um parceiro local.

Como age o malware

A ameaça se comunica com uma central de servidores de comando e controle para baixar arquivos customizados. Nesses casos, os documentos são personalizados para atacar os três maiores bancos brasileiros, além do sistema brasileiro de pagamento. O nome das instituições não foi revelado.

Adicionar um novo alvo requer que os atacantes criem uma injeção de engenharia social que imita precisamente a identidade do banco, compreendendo a forma como aquela instituição autentica processos para não deixar transparecer que os usuários estão sendo enganados.

“Eles são capazes de manipular o que a pessoa consegue ver quando visita uma página”, ilustra a especialista da IBM. “Por exemplo, além do login e senha, o ataque pode também pedir dígitos de um documento ou o nome de um familiar da vítima na hora da autenticação, simulando um processo real usado por um banco”, acrescenta.

Segundo Limor, no passado era possível ver cibercriminosos atacando países que não conheciam ou tinham familiaridade e, quando faziam isso, cometiam deslizes grotescos em sua abordagem – deixando indícios da fraude.

Isso não se vê nessa ofensiva. “Agora eles colaboram com grupos locais, o que dá uma habilidade maior de fazer as coisas de um jeito certo a partir do conhecimento sobre como os alvos se comportam, o que eleva a chance de sucesso”.

Baseado no Zeus, o código fonte do Panda e Sphinx é similar. O Panda, além de bancos, também mira vulnerabilidades em empresas do segmento de varejo. Já o Zeus, que também ataca instituições financeiras, pode atacar pagamentos por Boleto Bancário.

Fonte: IDGNow!

Plugin de “segurança” dos bancos leva insegurança a seus clientes

modulo_cefOs plugins de segurança são utilizados pelos bancos para garantir mais segurança aos usuários durante o acesso de suas contas pelo internet banking. Ironicamente, no entanto, uma falha em um dos principais mecanismos deste tipo está expondo dados pessoais de usuários na internet.

Chamado de Warsaw, o plugin defeituoso em questão é utilizado por empresas como Caixa Econômica Federal, Banco do Brasil e Itaú. A falha permite que criminosos utilizem a tecnologia para instalar um malware que enganaria o internauta fazendo-o ceder seus dados para hackers.

A artimanha funciona por meio de um código em JavaScript que rouba informações do Warsaw. Dessa forma, o hacker consegue identificar qual o banco utilizado pela sua vítima e, de posse dessa informação, criar uma página falsa praticamente idêntica ao do banco. Assim, caso não perceba, o usuário poderá digitar seus dados bancários em um site que serve apenas para roubar informações.

O responsável por descobrir esta falha chama-se Joaquim Espinhara. Consultor de segurança, ele detalhou o problema à fabricante do plugin, a empresa GAS Tecnologia, mas não obteve qualquer resposta da companhia.

Além dos já citados, outros bancos que também utilizam a tecnologia são: Safra, Banese, Sicredi, Banco do Nordeste, Banco de Brasília e Banco da Amazônia.

Vale lembrar que essa não é a primeira vez que o Warsaw sofre criticas. Em 2015, uma atualização no serviço impossibilitava o acesso a sites como Facebook, Google, UOL, entre outros. Outro destaque negativo é que o plugin não é mais aceito nas últimas versões do Chrome.

Opinião do seu micro seguro: para contornar esse problema, eu recomendo o acesso ao Internet Banking através do sistema operacional Linux – via Live do Linux Mint, por exemplo – ou a virtualização do sistema através dos programas Shadow Defender ou do gratuito Toolwiz Time Freeze. No Linux você em muitos dos bancos você não precisará instalar nenhum plugin, e naqueles em que tal instalação for compulsória o acesso via Windows virtualizado é seguro, rápido e simples.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa noticia.

Fonte: Olhar Digital