Spyware Pegasus em atividade no Brasil

O spyware Pegasus, que virou notícia em 2017 porque foi descoberto espionando jornalistas, defensores dos direitos humanos e ativistas anticorrupção, continua ativo em mais de 44 países — e o Brasil é um deles. Segundo a ESET, o Pegasus foi desenvolvido para empresa NOS Group, de Israel, para ser usado inicialmente no México.

O propósito do Pegasus foi desviado

A ESET afirma que os cibercriminosos por trás do Pegasus operam o spyware da Ásia e tem como nome Ganges. “O mesmo operador [que atua no Brasil] também atua em países como Bangladesh, Índia, Paquistão e Hong Kong, usando domínios cujos nomes tinham alguma relação com as questões políticas para infectar os seus alvos”. Acredita-se que os alvos sejam escolhidos por motivações políticas.

Um relatório do CitizenLab comenta que o Pegasus foi desenvolvido de maneira legítima: a ideia era utilizar o software como ferramenta governamental para combater o terrorismo e o crime. Porém, seu propósito foi desviado.

O spyware aparece em países com registros duvidosos sobre histórias de comportamentos abusivos em matéria de direitos humanos

O operador do Pegasus, após sucesso da infecção, pude acessar tudo de um smartphone. Ou seja: mensagens de texto, informações de calendário, mensagens de WhatsApp e outros aplicativos, localização, microfone e câmera do dispositivo — e tudo sem que a vítima possa perceber.

O Pegasus estar presente no Brasil também corrobora com outra informação do relatório Citizen Lab: o spyware aparece em dispositivos localizados em países com registros duvidosos relacionados com histórias de comportamentos abusivos em matéria de direitos humanos pelos serviços de segurança desses países, e onde foram descobertas possíveis tentativas de utilização do Pegasus para discutir questões políticas suspeitas que não estão relacionados com os propósitos para os quais a ferramenta foi criada.

A ESET nota que o NSO Group informou que não comercializou a ferramenta em vários dos países mencionados no relatório do Citizen Lab.

Fonte: Tecmundo

Malware com foco na conta bancária

Um malware chamado Metamorfo age por meio de spam para infectar vítimas no Brasil, segundo o Threatpost. Utilizando uma campanha de infecção em vários estágios, o malware trabalha com ferramentas legítimas do Windows como side-loader, além do uso de armazenamento em nuvem para guardar o código malicioso.

É interessante notar que o Metamorfo busca atividades realizadas especificamente em bancos brasileiros, além de sites de criptomoedas

Segundo o FireEye Labs, o ataque começa via email com um HTML como anexo. Esse HTML redireciona a vítima para uma URL encurtada que leva até sites como GitHub, Dropbox ou Google Drive. Nestes sites, a vítima é induzida a baixar um arquivo ZIP — e é nele que o Metamorfo se esconde.

“Quando o ZIP é aberto, ele instala uma ferramenta legítima do Windows que é usada para baixar um trojan bancário”, nota que a FireEye. “A partir desse ponto, o malware espiona a vítima para acompanhar a atividade bancária”.

O Metamorfo tem a capacidade de capturar screenshots da tela do PC enquanto o usuário navega em internet banking. Dessa maneira, informações bancárias, bem como senhas e outros dados, são repassadas aos cibercriminosos por trás do trojan.

“O uso de cadeias de infecção em múltiplos estágios dificulta a pesquisa desses tipos de campanhas durante todo o processo”, disseram os pesquisadores da FireEye, Edson Sierra e Gerardo Iglesias, em análise. “Os invasores estão usando várias técnicas para evitar a detecção e infectar usuários desavisados no Brasil com trojans bancários. O uso da infraestrutura de nuvem pública para ajudar a fornecer os diferentes estágios desempenha um papel particularmente importante na entrega da carga maliciosa”.

Como se proteger

A prevenção é o caminho: não aceite mensagens de desconhecidos, principalmente as acompanhadas por links. Caso você receba um email ou mensagem de WhatsApp de seu banco, ignore — se bater alguma dúvida, entre em contato via telefone com o banco em questão.

Se você percebeu alguma movimentação estranha em sua conta, também entre em contato com o banco para entender quais serão os passos realizados.

Fonte: Tecmundo

Cibercrime fatura 22 bilhões no Brasil em 2017

O Brasil é benchmark em cibercrime. Por aqui, os golpes de phishing costumam fazer muito sucesso e são a atividade maliciosa mais detectada pelas empresas de segurança. Como todo ano, a Symantec publica o estudo Norton Cyber Security Insights Report, que abrange o valor do cibercrime em todo o mundo — e, infelizmente, para o Brasil, a notícia não boa.

O cibercrime brasileiro cresceu de 2016 para 2017: US$ 10,3 bilhões para US$ 22,5 bilhões. Na cotação atual, estamos falando de um montante de R$ 72,1 bilhões que caíram nas mãos de agentes maliciosos em todo o mundo — 62 milhões de brasileiros caíram em golpes, cerca de 60% da população conectada.

Para entender como o governo deve lidar com o cibercrime, a Norton ainda realizou uma pesquisa global e descobriu que 81% dos consumidores Symantec acreditam que “o cibercrime deve ser tratado como qualquer ato criminoso”, enquanto 80% acredita que “o cibercrime é errado; as empresas e governo deveriam fazer mais para proteger a população”.

Mesmo assim, com US$ 172 bilhões roubados de usuários em todo o mundo, 1 a cada 4 consumidores da Norton acredita ter informações roubadas online não é tão ruim quanto ter algo roubado “no mundo real”.

Fonte: Tecmundo

A cada 15 s uma tentativa de fraude ocorre no Brasil

Não é difícil conhecer alguém que já sofreu com fraudes econômicas. Os transtornos causados são enormes para as finanças e para a paciência. A dificuldade para provar que não foi você que realizou os gastos que está sendo acusado é um teste para cardíaco.

Alguns cuidados, principalmente com os documentos, podem evitar que você passe por momentos de dor de cabeça. É recomendado não sair de casa com todos os documentos originais, mantê-los guardados em local seguro, como no bolso da frente ou escondido nas bolsas, além de não fornecer os dados para desconhecidos ou por telefone.

Caso o consumidor perceba que perdeu algum dos seus documentos, ele deve fazer um boletim de ocorrência (B.O.). Também existe um serviço gratuito de alerta do Serasa Experian. O registro nos meios legais blinda você, principalmente, dos gastos realizados pós-cadastro.

Outro serviço – pago – é conhecido como Serasa AntiFraude. Para se cadastrar existem totens em mais de duzentas cidades no Brasil. Além do registro, também é possível realizar recarga de jogos, telefone celular, consulta da situação do CPF e crédito, doações, compras de ingressos, pagamento de contas. O valor mensal é de R$ 9,90.

Pode parecer exagero, mas não é

Segundo dados fornecidos pelo Indicador Serasa Experian de Tentativas de fraude, “em julho de 2017, o Brasil registrou 172.649 tentativas de fraude. Isso significa uma tentativa a cada 15,5 segundos. Em relação ao mês anterior (junho), o índice teve aumento de 2,5%, quando as tentativas atingiram 168.388. Na comparação de julho/17 x julho/16 também teve crescimento de 16,0% nas tentativas. No acumulado de janeiro a julho deste ano já são cerca de 1,123 milhão de tentativas de fraudes, 8,7% maior que o mesmo período do ano passado (1,032 milhão).”

Fonte: Tecmundo

Forças Armadas Brasileiras adotam solução de segurança da Kaspersky

A Kaspersky Lab se tornou a responsável por fornecer soluções de segurança cibernética para as Forças Armadas do Brasil –Exército, Força Aérea e Marinha. Mais especificamente na proteção contra vírus.

O software da Kaspersky será parte da defesa cibernética desses órgãos, que inclui outros serviços ligados à segurança digital, como setores especializados na detecção de intrusos e de atividade maliciosa.

Por meio da distribuidora brasileira EsyWorld, com sede em São Paulo, os russos venceram pregão eletrônico realizado em 2015. Os contratos firmados têm duração de três anos e somam R$ 8,4 milhões. A maior parte, R$ 4,5 milhões, é referente ao serviço prestado ao Exército. O contrato com a Força Aérea tem valor de R$ 2,3 milhões e da Marinha R$ 1,6 milhão.

De acordo com a Kaspersky, a instalação dos sistemas já vem desde dezembro de 2016, mas, por questões de segurança, o anúncio oficial deve ser feito nesta semana. A informação, no entanto, já constava em Diário Oficial.

Segundo a empresa, o antivírus será instalado aproximadamente em 120 mil máquinas. O contrato de manutenção oferece relatórios de ameaças e serviços de monitoramento e resposta a incidentes. Serão também oferecidos treinamentos.

Em nota, o Exército afirma que anteriormente não havia uma solução que atendesse a todas as suas unidades militares. Os estudos para implantar essa infraestrutura começaram em 2014.

“Dessa maneira, o Exército pode realizar o monitoramento em tempo real de incidentes de segurança decorrentes de arquivos e processos maliciosos, proporcionando maiores níveis de segurança da informação”.

A Força Aérea diz que serviço semelhante já foi prestado pelas empresas Trend Micro e McAfee. Por meio de sua assessoria de imprensa, a Marinha apenas confirmou que contratou a solução.

Sistemas antivírus oferecem segurança a usuários finais, considerados um ponto crítico por especialistas por serem a porta de entrada para ataques mais sofisticados.

Espiões Russos

Na última semana, a administração Trump emitiu uma nota oficial em que se dizia “preocupada” com possíveis ligações da Kaspersky à inteligência russa e baniu os softwares da empresa dos computadores do governo dos EUA.

Eugene Kaspersky, fundador e CEO da companhia russa, atribui a decisão a motivações políticas. “Nossa cooperação com a Rússia é a mesma que temos com vários outros países”, diz. A Kaspersky presta serviço a governos de diferentes países e tem, entre seus clientes, entidades como a Interpol (Polícia Internacional).

“Nós não trabalhamos com a parte de ataques. Nosso serviço é todo ligado à proteção”, afirma Eugene.

Em julho deste ano uma equipe de militares brasileiros foi à sede da Kaspersky, em Moscou para inspecionar os códigos dos produtos que serão usados.

O Exército afirmou que, por ter uma rede de computadores complexa, apenas empresas “líderes mundiais no mercado” estariam aptas a fornecer a solução e diz que todas elas são estrangeiras.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Folha

Brasil: campeão em clonagem de cartões na AL

Segundo divulgou nesta terça, 12/9, a Kaspersky Lab, o Brasil é o país líder em clonagem de cartões em pontos de vendas (POS) na América Latina, responsável por 77,37% dos ataques dedicados a região. Na sequência, está o México com cerca de 11,6% dos ataques a cartões.

Segundo a empresa, mais de 22% da população adulta da região possui, pelo menos, um cartão de crédito e 72% das transações de pagamento da América Latina são feitas nesse formato.

O estudo analisou os anos de 2015 e 2016 e calculou terem sido realizados cerca de 1,3 mil ataques em pontos de venda em toda América Latina. Segundo a empresa de antivírus, o malware para ponto de venda possui funções de “raspagem” da memória RAM, que tem como objetivo coletar dados importantes do cartão.

“Os criminosos que clonaram esses cartões utilizaram o malware Dexter – um open source disponível gratuitamente na internet – para realizar os golpes. Esse número aumentou para 1 mil ataques apenas nos primeiros oito meses de 2017, principalmente por conta do malware NeutrinoPOS – encontrado pela primeira vez em 2015 e que também é utilizado em ataques de negação de serviços (DDoS).”

“Como resultado das clonagens, os criminosos revendem as informações dos cartões que foram clonados em pontos de venda no mercado underground”, diz o analista de segurança sênior da Kaspersky Lab Fabio Assolini.

Fonte: Convergência Digital

Ransomware Mamba volta a atacar

Um velho conhecido voltou a atacar empresas no Brasil. Pesquisadores da Kaspersky detectaram uma nova onda do poderoso ransomware Mamba, famoso por ter interditado o transporte público de São Francisco no ano passado.

O Mamba é particularmente danoso por criptografar o disco rígido inteiro, em vez de alguns arquivos. Ele é semelhante aos malware Petya e Mischa, assim como o ExPetr, responsável pelo maior surto global dos últimos tempos.

Ainda não se sabe quem está por trás da nova onda de ataques contra companhias brasileiras -negócios na Arábia Saudita também estão sendo afetados.

Entrevistados pelo Threatpost, os pesquisadores da Kaspersky Lab Juan Andres Guerrero Saade e Brian Bartholomew afirmam que essa onda de sabotagem cibernética disfarçada de extorsão vai continuar.

“Digamos que temos todos os meios para um ataque de sabotagem e queremos disfarçá-lo como ransomware ou algo potencialmente tratável”, diz Saade. “Mas não é necessariamente diferente do que o Grupo Lazarus fez com a Sony, ou alguns outros alvos sul-coreanos, quando primeiro pediram dinheiro e depois despejaram os dados de qualquer maneira. É uma evolução particularmente preocupante”.

Ao contrário dos ataques do ExPetr, em que é improvável que as vítimas recuperarem suas máquinas, talvez não seja o caso com o Mamba.

“Criadores de malware wiper (destruidores) não são capazes de decifrar as máquinas das vítimas. O ExPetr, por exemplo, usa uma chave gerada aleatoriamente para codificar uma máquina, mas não a guarda”, disse Orkhan Memedov, pesquisador da Kaspersky. No entanto, no caso de Mamba, a chave deve ser passada para o trojan, significando que o criminoso conhece essa chave e, em teoria, é capaz de libertar a máquina”.

O Mamba surgiu em setembro de 2016, quando pesquisadores da Morphus Labs disseram que o malware foi detectado em uma empresa de energia no Brasil com subsidiárias nos EUA e Índia. Ao infectar uma máquina Windows, ele substitui o Registro de inicialização (MBR) por um personalizado e criptografa o disco rígido usando um utilitário de criptografia de HD de código aberto chamado DiskCryptor.

“O Mamba tem sido usado em ataques direcionados contra empresas e infraestruturas críticas inclusive no Brasil”, di o analista sênior de maware da Kaspersky no Brasil, Fabio Assolini. “Diferentemente das outras famílias de ransomware, ele impossibilita o uso da máquina comprometida, exibindo o pedido de resgate logo e cifrando o disco por completo. O uso de um utilitário legítimo na cifragem é outra prova de que os autores visam causar o maior dano possível”.

“Infelizmente, não há nenhuma maneira de decodificar dados criptografados com o DiskCryptor, porque ele usa algoritmos de criptografia fortes”, aponta relatório da Kaspersky.

Agradecemos ao Sérgio, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky