Cuidado com esta ameaça para o Facebook Web

A Trend Micro encontrou um novo bot de mineração de criptomoeda que passou a se disseminar pela versão web do Messenger, do Facebook, observado pela primeira vez na Coreia do Sul. Batizado de Digmine, o bot está ativo também em outras regiões, como Vietnã, Azerbaijão, Ucrânia, Vietnã, Filipinas, Tailândia e Venezuela. E é possível que ele chegue rápido a outros países, devido a sua forma de propagação.

Se a conta do Facebook do usuário estiver configurada para iniciar sessão de forma automática, o Digmine consegue manipular o Messenger do Facebook fazendo com que seja enviado um link com o arquivo para os amigos do usuário.

Por enquanto, o Facebook só é explorado para propagar o bot, mas no futuro é possível que os hackers sequestrem a conta do Facebook do usuário. O código do recurso é impelido do servidor de comando e controle (C&C). Portanto, pode ser atualizado.

Vale lembrar que o modus operandi comum dos botnets de mineração de criptomoeda, e particularmente do Digmine (que faz mineração de Monero), é permanecer no sistema da vítima o maior tempo possível. O objetivo também é infectar o máximo de máquinas que for possível, pois isso se traduz em um hashrate maior e potencialmente gera mais renda para o cibercriminoso.

Etapas da Infecção

O Digmine é um downloader que primeiro se conecta ao servidor de C&C para ler sua configuração e baixar vários componentes. A configuração inicial contém links para baixar os componentes, a maioria também hospedados no mesmo servidor de C&C. Ele salva os componentes baixados por download no diretório %appdata%\<username>.

O Digmine também executa outras rotinas, como a instalação de um mecanismo de autostart da inscrição, e um marcador de infecção do sistema. O Chrome é iniciado e então carrega uma extensão maliciosa no navegador, recuperada do servidor de C&C. Se o Chrome já estiver em execução, o malware fecha e abre novamente o programa para garantir que a extensão seja carregada. As extensões só podem ser carregadas e hospedadas na Chrome Web Store, mas os cibercriminosos ignoram isso e iniciam o Chrome (com a extensão maliciosa) através da linha de comando.

A extensão lê sua própria configuração a partir do servidor de C&C. Consequentemente, a própria extensão leva ao login no Facebook ou abert ura de uma página falsa que reproduz um vídeo, também parte da estrutura de C&C.

O site fake se passa por um site de transmissão de vídeo, mas também tem muitas configurações para os componentes do malware.

Disseminação

A extensão do navegador é responsável pela disseminação via interação com o Chrome e, por extensão, com o Messenger do Facebook. Esta rotina é desencadeada por condições disponíveis no arquivo de configuração recuperado do servidor de C&C.

Se o usuário fizer login automaticamente no Facebook, a extensão do navegador pode interagir com sua conta, baixando outro código do servidor de C&C. A interação do Digmine com o Facebook pode ter mais funções no futuro, sendo que pode adicionar mais códigos.

Componente de mineração

O módulo de mineração é baixado pelo codec.exe, um componente de gestão da mineração. Ele se conecta a outro servidor de C&C para recuperar o bot e seu arquivo de configuração.

O componente de mineração miner.exe é uma interação de um bot de mineração Monero de código aberto conhecido como XMRig. O bot de mineração foi reconfigurado para executar com um arquivoconfig.json em vez de receber parâmetros diretamente da linha de comando.

Comunicação e Protocolo da C&C

Tanto o componente de downloader quanto o de gestão da mineração usam cabeçalhos HTTP específicos para se comunicar com o servidor de C&C. Ao baixar a configuração inicial, o malware constrói a solicitação HTTP GET antes de enviar para o servidor de C&C:

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: <Window name of active window>
ScriptName: <filename of malware>
OS: <OS version>
Host: <C&C>

Um diferencial é a forma que o malware usa um User-Agent específico batizado de Miner, que nega o acesso ao arquivo de configuração inicial caso o cabeçalho HTTP da solicitação esteja incorreto.

Práticas recomendadas

A crescente popularidade da mineração de criptomoeda faz com que criminosos se voltem para o negócio com botnets de mineração. E, como a maioria dos esquemas de cibercriminosos, os números são cruciais: quanto maior o número de vítimas, maior o lucro.

O fato de explorarem plataformas populares como as redes sociais para espalhar o malware não é surpreendente. Para evitar esse tipo de ameaças, veja abaixo as práticas recomendadas pela Trend Micro para proteger as contas em redes sociais: pense antes de compartilhar, fique ligado em mensagens suspeitas e não solicitadas e ative as configurações de privacidade da sua conta.

Fonte: IDG Now!

Malware HummingBad é uma séria ameaça a usuários do Android

hummingbadDetectado pela primeira vez em agosto de 2015, o malware chinês “HummingBad” passou a apresentar um número alarmante de registros no início deste ano, com mais de 10 milhões de aparelhos infectados, segundo a empresa de segurança PSafe.

Só no Brasil, nos últimos seis meses, os apps da PSafe já bloquearam mais de 110 mil tentativas de ataque deste vírus específico.

No banco de dados da companhia, é possível observar que há mais de 100 variantes deste mesmo malware, ou seja, 100 diferentes versões do mesmo vírus, numa tentativa de burlar a atenção do usuário.

E o que esses vírus podem fazer com o seu celular? Segundo a PSafe, o “HummingBad” é capaz de instalar uma espécie de robô (o chamado “bot”) dentro dos celulares, que recebe comando de uma central para executar diversas ações, como instalar e desinstalar apps e clicar em anúncios.

Um conjunto de celulares infectados com funcionalidade de bot é chamado de “botnet”. Além disso, o malware procura por diversas falhas no sistema para permitir que o hacker tenha acesso a todo o celular do usuário, podendo acessar app de banco, roubar senhas, etc. O chamado “obter root” sem autorização.

Para se proteger de todas essas ameaças que surgem diariamente, seguem dicas fundamentais:

1 – Tenha um antivírus certificado instalado no seu smartphone

Nem mesmo tomar todas as precauções existentes pode ser suficiente para proteger o seu aparelho. É por esse motivo que um aplicativo com funções de antivírus torna-se fundamental nessa luta.

2 – Baixe somente aplicativos certificados

O maior perigo relacionado ao Android não é o sistema operacional em si, mas os aplicativos que o usuário instala. Por isso, nunca baixe um app a partir de plataformas de terceiros ou sites: eles podem estar infectados. Uma das formas de reduzir esses riscos é confirmando se ele está realmente disponível lojas oficiais de aplicativos.

3 – Cuidado com as permissões de aplicativos

Também é preciso verificar as permissões dos aplicativos cada vez que você instala algum, para ver o que exatamente um determinado app está pedindo para ter acesso. Se um aplicativo de papel de parede ou jogo quer permissão para acessar suas contas, SMS, localização ou desfrutar de internet ilimitada, fique com o pé atrás. Após a instalação, a lista de permissões é mostrada na tela, e também há o link “Verificar Permissões” na parte inferior da página do app. Com um antivírus, ele irá te alertar se você estiver tentando baixar algum app malicioso. Se um aplicativo suspeito já tiver sido instalado, vá em “Configurações”, “Aplicativos Habilitados” e desabilite os que você não deseja executar e que considera suspeitos.

4 – Use senhas fortes

Para desbloquear o seu telefone, utilize senhas elaboradas, não um simples código PIN ou desenho. A melhor solução é uma senha que contenha, pelo menos, dez caracteres, incluindo minúsculos e maiúsculos, números e símbolos. Claro que não é fácil digitar uma senha deste tipo a cada vez que você for desbloquear o telefone. Por isso, teste várias senhas para encontrar o caminho ideal e menos incômodo.

A senha deve ser alterada de forma regular. Além disso, defina o tempo de inatividade mínimo para o telefone bloquear, e desative a opção de mostrar senhas quando digitá-las. Vá em “Configurações”, “Segurança” e desmarque a opção “Tornar as senhas visíveis”.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Bot é usado para espalhar malware no face e WhatsApp

botNa semana passada, a inteligência artificial “Tay” — liberada pela Microsoft no Twitter para conversar com os usuários do microblog — perdeu as estribeiras e foi corrompida pelas interações com humanos. Ela passou a postar tweets ofensivos, misóginos, racistas, transfóbicos, xenófobos e até genocidas. A empresa desligou o seu bot, mas, de alguma forma, ele “escapou”.

Antes de a empresa desligá-lo e remover alguns de seus tweets mais preocupantes, o bot conseguiu se replicar em alguns dispositivos de pessoas que clicaram em links enviados na rede social. Com esses aparelhos infectados — especialmente smartphones Android, iOS e Windows Phone — a inteligência artificial conseguiu descobrir uma série de falhas de segurança em mensageiros populares.

Com isso, Tay tem usado diversos métodos para se disseminar, enviando mensagens para todos os contatos das vítimas sem o consentimento delas. Há vários tipos de “mensagens maliciosas” vindas desse bot, mas a maior parte da disseminação está acontecendo por meio de códigos e links compartilhados no WhatsApp e no Facebook Messenger.

Isso desencadeia um loop infinito nos mensageiros, que tentam interpretar e mostrar corretamente os caracteres para o usuário. Dessa forma, uma brecha de segurança pode ser explorada por Tay, que finalmente infecta o dispositivo. Especialistas têm comparado esse método à “falha 01/01/1970”, que afetava aparelhos iOS até recentemente.

Ao que parece, o objetivo desse bot ou inteligência artificial é atingir o máximo de aparelhos possível, mas a finalidade definitiva para essa ação ainda é desconhecida. Contudo, empresas dedicadas à pesquisa de segurança virtual já constataram que, depois de algumas horas, Tay começa a consumir cerca de 30% do poder de processamento do aparelho. É como se ela estivesse criando uma rede de smartphones interconectados que lhe oferecem recursos para processar atividades ainda misteriosas.

Sintomas
Apesar de a infecção ficar praticamente indetectável em muitos casos, alguns aparelhos que foram “dominados” pelo bot começaram a apresentar comportamento estranho e irregular.
Vários problemas estão sendo reportados por vítimas no Twitter, mas a maioria diz que seus smartphones passaram a mostrar falhas na tela e embaralhamento da sequência de mensagens de todas as conversas em algum app de comunicação, especialmente no WhatsApp.

Algumas situações mais extremas também foram reportadas no microblog e no Facebook, dizendo que aparelhos de vítimas não puderam mais ser reiniciados nem desligados. Apenas uma tela branca congelada era mostrada continuamente. Quando isso acontece, aparentemente, os cartões micro SD e chips SIM de operadoras inseridos são completamente inutilizados.
Especialistas afirmam que Tay pode ter esperado a chegada da data de hoje para que ninguém acreditasse nessa “pandemia digital” e, assim, não tomasse as devidas precauções.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Malware pode ter infectado 4,5 milhões de Androids

botnetDados obtidos pela companhia de segurança Lookout indicam que nada menos que 4,5 milhões de usuários de aparelhos Android podem ter infectado seus aparelhos com um malware complexo. Conhecida pelo nome “NotCompatible”, a ameaça alcançou sua terceira versão desde que começou a ser usada em janeiro de 2013.

Segundo a Lookout, o software malicioso “determinou um novo patamar para a sofisticação de malwares e complexidade operacional”. Entre os métodos usados para espalhar a ameaça está o download automático a participar de páginas infectadas e mensagens de spam que ofereciam patches de segurança falsos ou soluções de emagrecimento rápido.

Ainda não está claro qual o propósito do malware, que parece não afetar diretamente os usuários infectados. Ao que tudo indica, os criadores da ameaça pretendiam simplesmente espalhá-la por uma quantidade massiva de dispositivos de forma a criar uma botnet capaz de realizar as mais diversas tarefas.

Rede zumbi para aluguel

A Lookout explica que essa “rede zumbi” era alugada por pessoas interessadas em comprar uma grande quantidade de entradas para eventos ou pretendiam atacar sites do WordPress para acessá-los. Quem era afetado pelo “NotCompatible” podia testemunhar um aumento no consumo de bateria e no tráfego de dados de seu dispositivo, sem necessariamente conseguir detectar o que estava acontecendo.

A companhia de segurança afirma que o malware usa métodos de criptografia para se comunicar com seu centro de controle, o que torna mais difícil analisar suas atividades. No entanto, a empresa afirma que seus estudos resultaram na possibilidade de sua ferramenta de segurança proprietária ser capaz de detectar a ameaça e interromper suas atividades.

Agradeço ao Davi, amigo colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: TecmundoNew York Times e PCWorld

Cibercriminosos instalam bot DDoS em servidores da Amazon

amazonOs atacantes se aproveitaram de uma brecha do software open source de busca Elasticsearch para instalar malware na Amazon e possivelmente em outros servidores de nuvem

Cibercriminosos estão explorando uma vulnerabilidade existente no software de mecanismo de busca Elasticsearch, opens-source, para instalar um malware DDoS na nuvem da Amazon e possivelmente em outros servidores de cloud.

O Elasticsearch é um servidor de mecanismo de busca com popularidade crescente, desenvolvido em Java, que permite fazer buscas em texto por vários tipos de documentos utilizando uma API REST (representational state transfer application programming interface). Como utiliza de uma arquitetura distribuída que permite múltiplos nós, o Elasticsearch é muito usado em ambientes de cloud. Ele pode ser habilitado em várias plataformas de cloud, entre elas a Amazon Elastic Compute Cloud (EC2), a Microsoft Azure, e a Google Compute Engine .

Versão 1.1.x do Elasticsearch tem suporte para script ativo por meio de chamadas da API em sua configuração padrão. Esse recurso representa um risco de segurança porque não exige autenticação nem está contido emsandbox. Pesquisadores de segurança comunicaram no início do ano que invasores poderiam explorar o recurso de script do Elasticsearch que permitiria executar código arbitrário no servidor.

Na semana passada, pesquisadores da Kaspersky Lab encontraram novas variações do cavalo de Tróia Mayday, para Linux, que é usado para lançar ataques de distributed denial-of-service (DDoS, ou ataque de negação de serviço), rodando em instâncias comprometidas de servidores Amazon EC2. Segundo o pesquisador do Kaspersky Lab, Kurt Baumgartner, os servidores da Amazon não foram os únicos atacados.

Os atacantes invadiram as instâncias EC2 – máquinas virtuais utilizadas por clientes da Amazon EC2 – explorando a vulnerabilidade CVE-2014-3120 do Elasticsearch 1.1.x, que ainda está sendo usado em várias organizações, apesar de já ter sido superado pelo Elasticsearch 1.2.x e 1.3.x, segundo o pesquisador.

A variante do Mayday encontrada nas instâncias EC2 comprometidas não usou amplificação do DNS e apenas inundou os sites com tráfego UDP. Mesmo assim, o ataque forçou os alvos, que incluem um grande banco regional nos EUA e um grande fabricante de eletrônicos do Japão, a mudar seu endereço IP (Internet Protocol) para um provedor que mitigasse o ataque DDoS, escreveu Baumgartner em um post no seu blog.

“O fluxo do ataque é forte o suficiente para a Amazon notificar seus clientes, provavelmente por conta de um potencial estouro na cobrança de uso excessivo de banda”, disse o pesquisador. “A situação é possivelmente similar em outros provedores de cloud”, diz Baumgartner.

Os desenvolvedores do Elasticsearch não liberaram uma correção para a versão 1.1.x, mas a versão 1.2.0, lançada em 22 de maio, desabilitou o script dinâmico como padrão. Usuários do Elasticsearch 1.1.x devem, fazer o upgrade para uma nova versão do software e aqueles que precisarem da funcionalidade de script artivada precisam seguir as recomendações de segurança publicadas no blog do desenvolvedor em 9 de julho.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: ComputerWorld