Malware Fireball já infectou mais de 24 milhões de PCs no Brasil

países mais afetadosPesquisadores da empresa de segurança Check Point descobriram um malware chamado Fireball. As informações, postadas hoje no site oficial da companhia, dizem que o malware já infectou mais de 250 milhões de computadores no mundo — e mais de 24 milhões apenas no Brasil. Os sistemas operacionais afetados são Windows e Mac OS.

Segundo os pesquisadores, o Fireball é um pacote de adware que tem a capacidade de controlar totalmente navegadores de internet como Google Chrome, Mozilla Firefox, Safari, Internet Explorer, Microsoft Edge etc. Ao infectar o navegador, o browser se torne um “zumbi”, permitindo que cibercriminosos espionem as atividades do alvo e roubem dados sensíveis.

No que toca aos dados sensíveis, estamos falando de fotos, vídeos, textos, planilhas, senhas de redes sociais, senhas de internet banking etc. A Check Point nota que os rastros do Fireball indicam ligação com uma companhia chinesa chamada Rafotech que, em sua página oficial, diz que faz marketing digital e desenvolve games para mais de 300 milhões de consumidores.

Mais detalhes sobre o malware

Ao que parece, a empresa citada está utilizando o Fireball para injetar propagandas em navegadores e gerar receita com a ação maliciosa. Entre os sinais de infecção, por exemplo, está a alteração de configurações do navegador, como a alteração automática de sua página inicial e sites de busca com mecanismos falsos — um deles, que foi citado no relatório, é o trotux.com.

“Olhando por uma perspectiva técnica, o Fireball emprega técnicas de evasão bem sofisticadas e de alta qualidade, com capacidade anti-detecção, estrutura de camadas múltiplas e C&C flexível”, comentou a Check Point.

Isso significa que, resumidamente, o malware Fireball tem tanto a capacidade de gerar dinheiro para cibercriminosos via propagandas quanto ser um espião/ladrão de dados sensíveis. Não é por menos que, uma ferramenta com tantas pontas como esta, já infectou mais de 250 milhões de computadores no mundo.

Dentro destas 250 milhões de máquinas, 20% operam em redes corporativas. Ou seja, são PCs de empresas, e não de uso doméstico. O país mais afetado até o momento é a Índia, com 25,3 milhões de infecções; enquanto isso, o Brasil é o segundo com 24,1 milhões de PCs tomados. O TOP 5 fecha com México, Indonésia e Estados Unidos, respectivamente.

Como se proteger do Fireball

Apesar do poder destrutivo do Fireball — e de muitas pessoas terem baixado o malware —, ele tem fácil identificação e remoção. Veja: se você consegue definir ou alterar a página inicial do seu navegador (homepage), é familiar com os sites apresentados automaticamente e se lembra de ter instalado todas as extensões presentes na área de configuração, está tudo bem. Do contrário, se qualquer uma dessas questão tiver uma negativa, algum malware pode estar dentro de sua máquina.

Como apagar o malware (para iniciantes): procure por programas desconhecidos no sistema e extensões estranhas no navegador; delete tudo que lhe estranhar. Utilize também um adware cleaner/ferramenta antivírus para escanear o seu computador. Além disso, você pode restaurar o seu navegador para as configurações padrão.

Agora, para evitar a instalação destes adwares, spywares, malwares etc, a melhor ferramenta é você: fique ligado em tudo que você baixa na internet. O principal canal de infecção é o download. Não clique em qualquer link que encontre e sempre levante suspeitas. No mais, quando você realizar algum downlaod, na hora da instalação, sempre busque uma instalação customizada — e não recomendada. Dessa maneira, é possível notar tudo que o software tem acesso.

Lista de domínios maliciosos utilizados pelo Fireball

attirerpage[.]com
s2s[.]rafotech[.]com
trotux[.]com
startpageing123[.]com
funcionapage[.]com
universalsearches[.]com
thewebanswers[.]com
nicesearches[.]com
youndoo[.]com
giqepofa[.]com
mustang-browser[.]com
forestbrowser[.]com
luckysearch123[.]com
ooxxsearch[.]com
search2000s[.]com
walasearch[.]com
hohosearch[.]com
yessearches[.]com
d3l4qa0kmel7is[.]cloudfront[.]net
d5ou3dytze6uf[.]cloudfront[.]net
d1vh0xkmncek4z[.]cloudfront[.]net
d26r15y2ken1t9[.]cloudfront[.]net
d11eq81k50lwgi[.]cloudfront[.]net
ddyv8sl7ewq1w[.]cloudfront[.]net
d3i1asoswufp5k[.]cloudfront[.]net
dc44qjwal3p07[.]cloudfront[.]net
dv2m1uumnsgtu[.]cloudfront[.]net
d1mxvenloqrqmu[.]cloudfront[.]net
dfrs12kz9qye2[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

Agradecemos ao Igor, colaborador amigo do seu micro seguro, por compartilhar conosco dessa notícia.

Fonte: Tecmundo

Malware espião preocupa

Um alerta no Peru chama a atenção para a segurança da informação na região da América Latina: um caso direcionado de espionagem industrial por meio de uma invasão do tipo Advanced Persistent Threat (ou ameaça avançada e persistente, da sigla em inglês) roubou dez mil projetos de Autocad peruanos. Os focos eram extremamente claros: projetos de Autocad e o Peru. “Esta foi a primeira vez que vimos algo neste nível na AL”, contou Raphael Labaca, especialista em educação e pesquisa do laboratório de segurança da Eset na região.

“Não podemos dizer que existe uma forte tendência de APT, mas este é o único caso em que um malware foi feito especificamente para uma empresa”, continuou Labaca. Segundo o executivo, o Brasil também registra casos esparsos, mas nada ainda com força o suficiente ou em frequência de ocorrências que possa configurar um auge da ameaça. “Não posso dizer que a AL está em um auge de ataques direcionados, nem falar que espionagem representa uma porcentagem específica dos casos na região. O que posso afirmar é que estamos vendo casos que nunca havíamos visto”, garantiu.

Para explicar esse foco, Labaca detalhou que a maioria dos projetos roubados pelo Medre era de empresas peruanas; mais de 90% das ocorrências. Uma parcela menor atingiu outros países, como Equador, Colômbia, Estados Unidos e até mesmo Brasil (a menor proporção de todas), mas isso foi causado muito mais pela propagação incontrolável – característica típica dos vírus (humanos ou de computador) – do que por objetivo.

De qualquer forma, o especialista explicou que oportunismo ainda é o principal meio utilizado pelos cibercriminosos para roubar suas vítimas. As ameaças específicas se enquadram em outro nível de malware, com mais assertividade e maior retorno do “investimento”. No caso de Troia ou botnets, por exemplo, a ideia é alcançar o maior número de usuários, porque a “receita” obtida pela ação é de valor reduzido.

Ainda segundo Labaca, explicar roubo de dados por espionagem é algo difícil. Diferentemente de um bem, quando um hacker rouba um arquivo, ele não desaparece da máquina da vítima – ele é copiado para outro servidor. Além disso, não sai dinheiro da conta-corrente da empresa e, com isso, a compreensão do risco torna-se muito menor neste caso.

APTs

As APTs não são novidade no mercado de segurança da informação. Diferente dos malwares comuns, esses programas têm objetivos específicos e extremamente direcionados. Seriam uma evolução dos vírus convencionais, com foco no corporativo. Impossível, nessas situações, não levar em consideração o Stuxnet (ameaça voltada a paralisar o enriquecimento de urânio no Irã) e o Flame (direcionado a máquinas Windows também no Irã).

Existe também a, não tão repercutida, operação Aurora que, de dezembro de 2010 a janeiro de 2011, buscou promover ações contra a Adobe, Google, Juniper, entre outras, explorando a vulnerabilidade de dia zero no Internet Explorer. O processo era de direcionar usuários a sites maliciosos e instalar cavalos de Troia e ferramentas de acesso remoto, como forma de roubar documentos confidenciais.

Outro exemplo foi o Shady Rat, que teve duração de cinco anos e afetou 14 geografias do mundo. Diversos países foram alvo, tanto corporações públicas quanto privadas e, no total, foram 72 empresas comprometidas e 32 tipos de organizações.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Information Week

Flame, o vírus espião mais complexo de todos

Pesquisadores da Kaspersky dizem que o Flame é especializado em roubar dados e é tão sofisticado que age há dois anos sem ter sido detectado

Meses depois do Stuxnet, vírus que atingiu o programa nuclear do Irã, uma nova – e mais sofisticada – ciberarma foi descoberta. De acordo com pesquisadores da Kaspersky, a complexidade e a funcionalidade do programa malicioso recém-descoberto são superiores aos de todas as ciberameaças conhecidas até o momento. O malware foi identificado pelos especialistas da empresa russa durante uma investigação realizada para a International Telecommunication Union (ITU).

O programa malicioso, chamado de Worm.Win32.Flame pela companhia, é projetado para realizar espionagem virtual. Ele pode roubar informações valiosas, incluído, mas não limitado a, conteúdos de um computador, informações em sistemas específicos, dados de contatos e até conversas em áudio.

A pesquisa foi iniciada pela ITU e pela Kaspersky depois de uma série de incidentes com outro malware destrutivo, e ainda desconhecido,– apelidado de Wiper – responsável por apagar dados de um elevado número de computadores na região do Oriente Médio (veja mapa). As pesquisas sobre este malware ainda não foram concluídas. Porém, durante sua análise, os especialistas, em conjunto com a ITU, depararam-se com o novo malware, conhecido agora como Flame.

Resultados preliminares indicam que este programa malicioso está sendo disseminado há mais de dois anos, desde meados março de 2010. Devido à extrema complexidade, além da natureza de seus alvos, nenhum software de segurança tinha conseguido detectá-lo até agora, diz a empresa.

Embora as características do Flame diferem das primeiras ciberarmas, como o Stuxnet e o Duqu, a geografia dos ataques, o uso de vulnerabilidades em softwares específicos e o fato de que só computadores selecionados serem atacados indicam que este malware pertence à mesma categoria de “super-ciberarmas”.

“O Stuxnet e o Duqu pertenciam a uma única cadeia de ataques, o que levantou preocupações relacionadas com a guerra cibernética no mundo inteiro. O malware Flame parece ser uma nova fase nesta guerra e é importante entender que as armas cibernéticas podem facilmente serem usadas contra qualquer país. Neste caso, ao contrário da guerra convencional, os países mais desenvolvidos são realmente os mais vulneráveis”, afirmou Eugene Kaspersky, CEO e co-fundador da Kaspersky Lab, sobre a descoberta do Flame.

O objetivo principal do Flame parece ser a ciberespionagem, roubando informações das máquinas infectadas. As informações então são enviadas para uma rede de servidores de comando e controle localizados em diferentes partes do mundo.

A diversidade das informações roubadas, que incluem documentos, imagens, gravações em áudio e interceptação de tráfego de rede, torna-o o kit de ataque mais avançado e complexo já descoberto. O exato vetor da infecção ainda não foi revelado, mas já está claro que o Flame tem a capacidade de se replicar numa rede local usando vários métodos, incluindo os mesmos métodos explorados pelo Stuxnet, explorando vulnerabilidades no serviço de impressão e de dispositivos USB.

“Os resultados preliminares da pesquisa, pedida com urgência pela ITU, confirmam a natureza altamente direcionada deste programa malicioso. Um dos fatos mais alarmantes é que este ciberataque está no auge da sua fase ativa e seu criador está vigiando constantemente os sistemas infectados, recolhendo informações e definindo novos sistemas para atingir os seus objetivos, ainda desconhecidos”, explica Alexander Gostev, analista-chefe da Kaspersky.

Por enquanto, o que se sabe é que este malware é composto por vários módulos e vários megabytes de códigos executáveis – o que o faz cerca de 20 vezes maior do que o Stuxnet. Isto significa que analisar e reverter esta arma exige uma grande equipe de especialistas e engenheiros altamente qualificados e com vasta experiência em ciberdefesa.

Ao que parece, por hora esta nova ameaça tem os seus ataques restritos a corporações e governos, o que não impede de em algum momento começar a se espalhar entre os demais usuários da rede.

Agradeço ao Davi, amigo e colaborador deste site, pela referência a esta notícia.

Fonte: IDG Now!