McAfee faz trapalhada e envia link de malware a seus usuários

Usuários do McAfee ClickProtect receberam um link malicioso na caixa de email enviado pela própria McAfee. Segundo o ZDNet, o serviço de proteção contra hacking da empresa disparou um domínio associado ao ClickProtect que continha o malware Emotet, capaz de roubar dados bancários, como senhas, conta corrente e outros números.

A ironia nessa ação, infelizmente, acontece porque o ClickProtect é o serviço da McAfee para proteger usuários contra golpes de phishing em e-mails, principalmente contra malwares distribuídos em caixas de entrada.

Se uma vítima entrasse no domínio, o arquivo era baixado no computador e o malware Emotet disparado

Quem descobriu o link malicioso foi um pesquisador de segurança chamado “Benkow”, que alertou a empresa no Twitter. Segundo o pesquisador, cibercriminosos registraram o domínio “cp.mcafee.com” e adicionaram um documento Word malicioso. Se uma vítima entrasse no domínio, o arquivo era baixado no computador e o malware Emotet disparado.

Como explica a fonte, o malware usa um documento Word que, quando aberto, ativa o download de outros arquivos por meio de um script PowerShell — e essa é a porta de entrada do Emotet.

Após os relatos iniciais, a McAfee já bloqueou o acesso ao domínio para os usuários que utilizam o software antivírus da empresa. O estranho dessa história, segundo o ZDNet, é que a McAfee ainda não bloqueou o download do arquivo Word malicioso, apenas bloqueou o acesso ao site — o que não é tão seguro quanto bloquear o download de fato.

Vale a pena ficar esperto até com os links enviados pelas de empresa, ao que parece

Já a companhia afirma que ainda não impede o download porque “está trabalhando para estabelecer uma linha do tempo exata”, entendendo melhor como o golpe foi realizado.

Anteriormente, o Emotet atacou os Estados Unidos, Reino Unido e Canadá. Provavelmente, esse ressurgimento buscou vítimas nestes três locais novamente. Mesmo assim, vale a pena ficar esperto até com os links enviados pelas de empresa, ao que parece.

Fonte: Tecmundo

WeChat é um perigo: fuja dele!

O que muita gente já suspeitava finalmente foi confirmado no finalzinho desta semana: um dos principais mensageiros instantâneos da China repassa mesmo os seus dados para o governo do país. A descoberta foi feita graças a uma atualização dos termos de privacidade do WeChat.

De acordo com o portal The Next Web, a nova versão do documento deixa claro que o aplicativo pode “reter, preservar e divulgar suas informações pessoas por um longo período de tempo” por conta de uma série de fatores.

Com isso, o serviço pode expor nome, contatos, email e até localização do usuário com terceiros: para cumprir ordens judiciais ou colaborar com pedidos do governo; sempre que a empresa acreditar que alguma lei ou regulação local tiver sido quebrada; e com o objetivo de proteger os direitos e a segurança da empresa, de parceiros ou dos próprios clientes do app.

A suspeita é que, até agora, a Tencent – dona do WeChat – já fazia esse tipo de papel mesmo sem alertar aos internautas, basicamente passando por cima da privacidade alheia para auxiliar as autoridades chinesas na sua luta por manter a internet do país cada vez mais fechada e controlada.

Fica a dica

Enquanto na China os usuários não têm muitas alternativas ao programa, quem mora em outras localidades pelo mundo e se preocupa para a segurança dos seus dados pode preferir a utilização de outros mensageiros no celular.

Fonte: Tecmundo

Conheça o Firefox Send

Nos últimos dias a Mozilla lançou um serviço de compartilhamento de arquivos autodestrutivos, o Firefox Send. Com ele, é possível enviar arquivos de até 1 GB para um amigo, e ele pode baixá-lo apenas uma vez em um período de 24 horas.

Assim que o arquivo for baixado uma vez, ele é automaticamente apagado dos servidores da Mozilla. Depois de um período de 24 horas, se ninguém fizer o download, ele também é deletado.

É bem fácil utilizar o serviço. Abaixo, explicamos os poucos passos necessários para você enviar um arquivo para os servidores da Mozilla e depois compartilhar o link de download com os seus amigos.

1. Escolha o arquivo que você quer enviar para a nuvem

Entre no site do Firefox Send. Logo na página inicial, você encontra uma área para arrastar o arquivo que quer enviar (lembrando que o tamanho máximo é 1 GB), e acima há um botão, caso você prefira selecionar o arquivo no seu computador.

Os arquivos serão automaticamente criptografados enquanto são enviados para os servidores da Mozilla. A fundação diz que não consegue acessar o conteúdo do arquivo e só o mantém nos servidores até que ele seja apagado.

2. Copie o link do arquivo

Com o envio feito, é fácil copiar o link para enviar a amigos: ele aparece em uma caixa de texto logo na parte central da página. Um botão azul copia o link automaticamente para a área de transferência, e depois é só colar em outro lugar para enviar aos amigos.

3. Se quiser, exclua o arquivo

Também há a opção de excluir o arquivo antes das 24h em que ele permanece nos servidores da Mozilla: é só clicar no botão “Excluir arquivo”, que aparece logo abaixo da caixa com o link para o arquivo.

4. Ou então envie outro arquivo

A última opção é clicar em “Enviar outro arquivo” para repetir o processo e deixar outro arquivo temporariamente nos servidores da Mozilla.

Fonte: Olhar Digital

Brasil está entre os 3 países que mais enviam anexos maliciosos

malware_novoO programa malicioso do tipo Trojan-Banker.Win32.ChePro.ink que, no ano passado ocupava a sexta posição, foi o mais popular dentre os enviados por e-mail no primeiro trimestre, revela estudo feito pelo Kaspersky Labs divulgado recentemente.

Trata-se de um downloader implementado como um miniaplicativo CPL (componente do Painel de Controle) que baixa trojans para roubar informações financeiras confidenciais. Em sua grande maioria, os programas maliciosos desse tipo têm como alvo bancos brasileiros e portugueses.

Mas, segundo os especialistas de segurança, considerando não apenas os programas em si, mas as características típicas dos programas maliciosos, o Uprate ficou na primeira posição durante o período. Geralmente, os representantes da família Upatre baixam o trojan bancário Dyre (também conhecido como Dyreza ou Dyzap).

Por conta disso, o Upatre também ocupou o primeiro lugar nas estatísticas de ameaças voltadas para bancos. A família Andromeda, que liderou a lista em 2014, caiu para a segunda posição. Vale lembrar que, com esses programas, os criminosos têm controle oculto sobre os computadores infectados que, muitas vezes, se tornam parte de botnets.

Em terceiro lugar apareceu a família MSWord.Agent. Esses programas maliciosos são arquivos *.doc que contêm uma macro escrita em VBA executada ao abrir o documento. A macro baixa e executa outros programas maliciosos, por exemplo, um dos integrantes da família Andromeda.

Segundo ainda o Kaspersky Lab, a quantidade de spam detectada no tráfego de e-mail foi de 59,2%, seis pontos percentuais abaixo do registrado no trimestre anterior. Os e-mails indesejados diminuíram de forma gradativa de janeiro (61,68%) até março (56,14%).

A lista dos países que mais enviam spam é liderada pelos Estados Unidos, de onde saíram 14,5% deles, seguidos da Rússia, que mantém o segundo lugar com 7,27%, e da Ucrânia, com 5,56%. Na América Latina, a Argentina ocupa o 7º lugar (3,23%), o Brasil o 10º (2,78%) e o México o 16º (1,73%) dentre os “20 principais”.

O tráfego de spam no primeiro trimestre também incluiu muitos e-mails enviados por domínios de cores, como .pink, .red ou .black, usados com frequência para anunciar sites de namoro asiáticos. De Os especialistas de segurança destacam que os domínios primários dos sites mais importantes foram criados recentemente e alterados constantemente, porém, seu conteúdo não mudava, o que é característica típica dos spams.

“Ao analisar os tipos de spam dos novos domínios neste primeiro trimestre, um dos assuntos predominantes foi a oferta variados tipos de seguros: de vida, de saúde, de imóveis, carros, animais e funerários”, revela Tatyana Shcherbakova, analista sênior de spam da Kaspersky Lab.

O levantamento destaca ainda que, considerando os países que mais enviam anexos maliciosos, Inglaterra, Brasil e Estados Unidos ficam nas primeiras posições com, respectivamente, 7,85%, 7,44% e 7,18%. A Alemanha, que esteve durante muito tempo entre os três primeiros lugares, ocupa agora o quarto lugar, com 6,05%. Itália, Austrália, Índia, Turquia, França e Rússia completam a lista das maiores fontes de spam do mundo.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Alerta: Skype está sendo usado para envio de malware

Malware-SkypeDepois de descoberto um bug (que entretanto já foi resolvido) que impossibilitava o acesso ao aplicativo de forma permanente no Android, iOS ou Windows, sabe-se agora que o Skype vem sendo usado para envio de malware em escala mundial.

A noticia foi divulgada pelo site ZDNet, depois de receber informações de um representante da PhishMe – empresa que detecta novos ataques de phishing.

O serviço mais popular de conversas parece voltar diante de um ataque. Desta vez, o serviço foi “associado” a uma Botnet e muitos usuários estão recebendo um popup com uma mensagem que solicita ao usuário o download de um player de vídeo para reproduzir o conteúdo. De acordo com a análise feita pela empresa PhishMe, por cada download os hackers recebem uma comissão.

skype_downloadsNa prática depois do usuário fazer o download do suposto Video Player e de o instalar, o seu sistema fica infectado com malware que altera de imediato várias definições.

No final de todo o processo é ainda instalado o Media Player Classic para que o usuário acredite que não fez nada de errado e que está tudo bem com o seu sistema.

videoplayerTal como revela o site ZDNet, a botnet usada recorre à infra-estrutura da Amazon Web Services para armazenar as páginas web (pop-ups) que são usadas durante o ataque. A Microsoft já está trabalhando numa solução para resolver este problema que afeta os clientes Skype do Windows, Android e iOS.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Sony Xperia enviando informações para servidores chineses?

sony_xperiaSe você tem um smartphone Sony Xperia com o Android 4.4.2 ou 4.4.4 KitKat então fique sabendo que o seu equipamento envia informações para servidores localizados na China.

A “denúncia” está publicada no site thehackernews.com e, segundo consta, os smartphones Sony Xperia contêm o chamado spyware Baidu que é responsável pela transferência de dados, sem a permissão dos usuários. Segundo a matéria, os smartphones afetados são os modelos novos Sony Xperia Z3 e Z3 Compact.

Há cerca de um mês um grupo de usuários que possuem smartphones Sony detectaram a presença de uma pasta estranha, nos seus dispositivos, com o nome Baidu. A parte assustadora é que tal pasta foi criada automaticamente pelo sistema, sem qualquer permissão dos usuários e parece ser impossível remover a mesma. Segundo vários relatos, quando alguém tenta remover tal pasta a mesma é reaparece em segundos.

Aparentemente a pasta Baidu é criada pelo serviço ‘my Xperia’ cada vez que uma conexão aos servidores chineses acontece.

baidu_folderInformação pessoal que é enviada

Analisando mais detalhadamente a questão, alguns usuários avaliaram as comunicações e chegaram à conclusão que o sypware (aparentemente criado pelo Governo Chinês), consegue obter várias informações do equipamento, tirar fotografias, fazer vídeos e muitas mais ações.
Elbird, um usuário que tem acompanhado de perto este assunto, colocou no Forum da Sony que o spyware é capaz de:

  • Informar o estado do dispositivo
  • Tirar fotografias
  • Enviar a localização
  • Ler o conteúdo do equipamento
  • Ler e editar contas
  • Mudar as definições de segurança
  • Saber quais as apps instaladas
  • Mudar definições do áudio
  • Mudar definições do sistema

Como desativar o Spyware Baidu?

  1. Fazer backup do equipamento e efetuar um reset do mesmo
  2. Depois de reiniciar o equipamento, ir a Settings -> Apps –> e interromper o serviço “MyXperia”.
  3. Em seguida remova a pasta baidu usando a app File Kommander
  4. Agora vá a Settings -> About Phone e carregue 7 vezes no Build Number para ativar o modo programador
  5. Faça o download e instale o Android SDK e ligue o cabo ao seu dispositivo
  6. Abra o terminal e escreva adb shell
  7. Na shell adb, escreva o comando pm block com.sonymobile.mx.android
  8. Saia da shell adb
  9. Reinicie o equipamento

E está feito! Aparentemente executando os passos anteriores, o equipamento deixa de enviar informações para os servidores chineses.
Até o momento a Sony ainda não esclareceu tal situação que, em se confirmando verdadeira, é muito grave. No entanto, segundo informa o thehackernews.com, a empresa já reconheceu a falha e diz que será lançado em breve uma correção, que deverá chegar com o Lollipop. Update: Na prática o suporte para o Baidu Push Notification framework apenas estará disponível na China.
Update: No Forum da Sony, Rickard, um membro da equipe de suporte, esclareceu que a app MyXperia tem suporte para o Baidu Push Notification framework. Daí as ligações para a China.

Agradeço ao Davi e Paulo Sollo, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: pplware e The Hacker News

Dados de cartões roubados nos EUA eram enviados ao Brasil

TargetServidor brasileiro fazia parte da infraestrutura do ataque.  Outro computador que recebia dados ficava na Rússia.

O jornalista especializado em segurança Brian Krebs publicou uma reportagem em seu site “KrebsOnSecurity.com” revelando que investigadores norte-americanos identificaram um servidor brasileiro sendo usado para receber dados de cartões de crédito roubados da rede varejista Target. O sistema brasileiro divida a tarefa com outros dois servidores, um em Miami, nos Estados Unidos, e um na Rússia. A reportagem foi publicada na quarta-feira (7).

Crackers roubaram dados de até 100 milhões de cartões de crédito da Target por meio da instalação de um software espião nos computadores de ponto de venda (PDV). Como o uso de cartões com chip nos Estados Unidos é incomum, o acesso aos dados do cartão pelo PDV eram suficientes para realizar uma clonagem. O roubo de dados começou no dia 15 de novembro e os dados obtidos estão à venda na web.

Informações da própria Target apontam que, entre os dias 27 de novembro e 15 de dezembro, dados de 40 milhões de cartões foram comprometidos. Pelo menos parte desses dados teria sido enviada ao Brasil.

Segundo o jornalista, as autoridades norte-americanas já enviaram ao Brasil uma solicitação de auxílio para que o servidor fique disponível aos investigadores. O Itamarity informou que essas solicitações são recebidas pelo Ministério da Justiça, seguindo um acordo de cooperação que existe entre o Brasil e os Estados Unidos. O Ministério da Justiça informou que o órgão não se pronuncia sobre casos concretos, protegidos por segredo de justiça.

Ainda de acordo com Krebs, os investigadores teriam identificado que os crackers conseguiram chegar aos sistemas da Target por meio da Fazio, uma empresa que fornece serviços de refrigeração. O presidente da empresa, Ross Fazio, confirmou que a companhia recebeu uma visita de agentes do serviço secreto norte-americano, mas não deu outros detalhes.
Não está claro como ou por que uma empresa de refrigeração teria acesso à rede da Target para que o software espião, chamado de BlackPOS, pudesse chegar aos pontos de venda.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: G1