Apps mal intencionados bombardeiam usuário com propagandas

Um dos principais aborrecimentos para usuários de Windows na década passada está em alta em um novo ambiente: o Android. A ideia é simples: golpistas instalam aplicativos no celular com o único objetivo de transmitir anúncios para o usuário, recebendo dinheiro pela veiculação e pelos cliques nas propagandas. Segundo a fabricante de antivírus Kaspersky Lab, que divulgou nesta segunda-feira (6) um relatório sobre ameaças no Android, esses apps maliciosos são tão agressivos que pode ficar até impossível de usar o aparelho.

Das 20 pragas mais comuns detectadas pelos produtos da Kaspersky Lab em 2016, 16 são da categoria “cavalo de Troia de publicidade”. A empresa separa essa categoria de programas que simplesmente são patrocinados por anúncios (adware). Os verdadeiros “vírus de propaganda” são muito mais agressivos, porque podem acabar controlando todo o aparelho.

O maior risco ocorre para quem não instala atualizações no sistema operacional. Nesses casos, o malwawre de propaganda é capaz de explorar vulnerabilidades para tomar o controle total do aparelho. Isso permita que o malware faça qualquer coisa, inclusive comprar automaticamente apps no Google Play.

Outros, segundo a Kaspersky Lab, “são capazes de infectar a imagem de recuperação, tornando impossível resolver o problema restaurando o dispositivo com as configurações de fábrica”.

Os menos agressivos simplesmente substituem arquivos em sites visitados para exibir propagandas diferentes ou propagandas que não deviam estar lá, piorando a navegação do internauta. Ainda assim, as propagandas do aplicativo são exibidas a qualquer momento, diferente de programas comuns patrocinados por anúncios, que só exibem propagandas na sua janela e quando estão ativos.

O relatório da Kaspersky Lab também apontou um crescimento no uso de malwares bancários e ransomwares focados no Android. O Brasil, porém, não consta entre os dez países mais atacados por nenhuma dessas pragas. Em ambos os casos, o Brasil ficou na faixa de menor risco, com menos de 0,49% de proporção dos ataques. Isso significa que a realidade no Android é diferente da realidade no Windows, onde o Brasil é um dos países mais atacados, especialmente por malwares bancários.

Levando em conta todo tipo de praga digital, o Brasil ficou na segunda faixa de menor risco, que compreende os países nos quais 10 a 10.99% dos usuários sofreram algum ataque. Bangladesh, Irã, Nepal, China e Indonésia foram os únicos países em que essa taxa superou os 40%.

Terceirização

Levando em conta todo tipo de praga digital, o Brasil ficou na segunda faixa de menor risco, que compreende os países nos quais 10 a 10.99% dos usuários sofreram algum ataque. Bangladesh, Irã, Nepal, China e Indonésia foram os únicos países em que essa taxa superou os 40%.

Embora o uso de malwares para distribuir anúncios seja normalmente proibido pelas redes, a falta de verificação e a terceirização – às vezes, podem haver três ou quatro intermediários entre o anunciante e o programador do malware – permitem que os mesmos golpistas continuem se recadastrando nas mesmas redes de publicidade, mesmo após serem banidos por violação contratual.

Aplicativos legítimos que oferecem recompensas por instalação – ou seja, ele paga uma comissão por anúncios que rendem uma instalação do programa – também acabam patrocinando práticas abusivas, como a compra não autorizada de aplicativos.

Esse cenário já foi extremamente comum no Windows, especialmente entre os anos de 2003 e 2009. Nessa época, diversos malwares instalavam programas sem autorização na máquina das vítimas, muitas vezes para exibir anúncios. Programas como o “KaZaA”, que era usado para o download de música, foram os grandes responsáveis pelo “boom” de empresas que sobreviviam da exibição de propaganda, se oferecendo como “patrocinadoras” de aplicativos gratuitos.

Programadores de malwares logo enxergaram uma oportuidade e começaram a instalar esses aplicativos em troca de comissão. O problema é que, nesses casos, os anúncios eram exibidos a troco de nada, já que não havia um programa útil e gratuito para ser patrocinado. Além disso, os programas muitas vezes eram instalados em pacotes tão grandes que o computador ficava exibindo anúncios o tempo todo. Remover os programas era quase impossível, exatamente como ocorre no Android.

As táticas ficaram cada vez mais agressivas, até que o governo dos Estados Unidos entrou com ações contra quase todas as empresas. Anunciantes começaram a exigir que seus anúncios não fossem veiculados dessa maneira, o que então levou essas companhias à falência e obrigou os criminosos a se afiliarem a redes de anúncios e ganharem dinheiro diretamente com propagandas, não com comissão por instalação.

Hoje, muitos dos malwares de propaganda que restam no Windows — assim como alguns que já existem no Android — em nada afetam o computador. Eles realizam “cliques fantasmas” nos bastidores, o que frauda totalmente o anunciante e a rede de publicidade, porque o anúncio jamais é exibido. Sem que o usuário perceba, o computador dele contribui com os lucros de um criminoso.

Fonte: G1

Microsoft busca forçar usuários a trocar o Chrome pelo Edge

msn_shop_assistA Microsoft fez um grande esforço para convencer os usuários do Chrome e de outros navegadores a mudarem para o Edge, mas esse browser, até o momento, não tem conseguido cooptar muita gente. Agora, a empresa parece estar com uma nova estratégia para, pelo menos, fazer os usuários do Chrome usarem uma extensão feita pela empresa.

De acordo com relatos de usuários ao Myce e ao Engadget, uma popup estaria aparecendo na Área de trabalho das pessoas assim que elas fixam o Chrome na Barra de tarefas — ação que dá a entender que elas pretendem usar esse browser mais frequentemente. A popup, como você pode conferir, traz a seguinte mensagem:

quick_compare_msn

“Compare preços online rapidamente. Obtenha o Personal Shopping Assistant da Microsoft para Chrome”.

Ao clicar na tal janelinha, que é praticamente um spam, a pessoa é levada para a Chrome Web Store, onde elas podem adicionar a extensão feita pela criadora do Windows. Vale notar que a aplicação ainda está em fase beta, mas consegue comparar preços e permite aos usuários favoritarem produtos em lojas online, bem como receberem aletas de mudanças nos valores.

Já estava lá…

Essa possibilidade de trazer popups diretamente na área de trabalho do Windows 10 já estava presente no sistema há praticamente um ano. Contudo, uma atualização estaria ativando a novidade, que aparentemente foi testada com a tal extensão para Chrome.

Por conta disso, usuários que receberam a notificação estão enchendo a página de download do Personal Shopping Assistant com reviews negativas. Isso na versão em inglês da página, pois em português não há qualquer comentário ou avaliação. Portanto, supomos que usuários brasileiros ainda não receberam a popup em seus sistemas.

Vale lembrar que, em algumas regiões, anúncios também já começaram a aparecer no Menu Iniciar do Windows 10. Fora isso, existe agora a preocupação de a Microsoft abrir para anunciantes essas popups e acabar tornando a experiência com o Windows mais complicada.

Fonte: Tecmundo

Crackers usam estratégias de marketing para espalhar malware

hacker_vs_crackersA Avast emitiu um alerta onde aponta que a indústria do malware deixou há bastante tempo de ser um hobby e já é um negócio lucrativo, criado e distribuído por quadrilhas digitais.
A empresa de segurança descobriu que crackers promovem seus serviços em redes sociais, possuem táticas de rebranding e têm até programas de incentivo e marketing de afiliação.

Um exemplo disso são os criminosos que criaram o ransomware Petya e seu irmão mais novo, o Mischa. Seus autores, a organização autodenominada Janus, iniciaram uma estratégia de marketing para promover o uso do seu malware: criaram uma marca e também um programa de incentivo com elevadas recompensas, tornando possível para qualquer iniciante em TI ser capaz de ganhar dinheiro com o cibercrime.

Assim como muitas empresas legais utilizam táticas estratégicas para aumentar a visibilidade da marca, Janus usa seu próprio conjunto de truques para fazer seu malware se destacar dos outros no mercado negro: uma marca, diferenciando-se assim dos concorrentes. Segundo a Avasta, “como já existem milhares de cibercriminosos vendendo seu malware no darknet, reforçar a marca é importante para aqueles que querem tornar-se grandes players“.

Na primeira versão do Petya, a Janus escolheu o vermelho como a cor para a sua marca: a imagem da caveira aparece nos computadores infectados e a imagem pisca a cada segundo, invertendo as cores. Mas, muitas vezes, as empresas fazem rebranding, a fim de alterar a forma como são vistas e consideradas pelo público. Assim, após a primeira versão do Petya, a Janus parece ter passado por um processo desses, optando pela cor verde em lugar do vermelho, revelou a Avast.

Além disso, a Janus criou um programa de marketing de afiliados para a dupla Petya e Mischa. Como a própria organização criminosa descreve, “foi criada uma interface de web simples, onde os afiliados podem ver as últimas infecções, definir preços de resgate, recriptografar seus programas, gerar endereços de bitcoin e chaves para o sistema de pagamento”. A Avast também descobriu que a Janus tem uma equipe de suporte disponível para responder online a quaisquer perguntas que os afiliados possam ter.

Hoje em dia também não é possível promover adequadamente qualquer marca sem mídia social e até os cibercriminosos sabem disso. É por isso que a Janus está no Twitter promovendo seus produtos, e também comentando o que especialistas em segurança estão dizendo sobre a dupla Petya e Mischa em conferências.

“O cibercrime agora é semelhante ao tráfico de drogas na vida real. Você não precisa ser um químico para lidar com drogas; você pode se tornar um negociante associado a uma gangue. Como agora você também não precisa saber como escrever código de malware para distribuí-lo. Você pode simplesmente comprá-lo a partir da darknet e negociá-lo” – desabafou Michal Salat, diretor de Inteligência de Ameaças da Avast.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte UOL 

Phishing multi-estágio usa links reais

phishingEspecialistas da Kaspersky Lab descobriram um método que permite a fraudadores roubar informações pessoais sem ter acesso a login e senha do usuário. Neste caso, os cibercriminosos não tentam furtar credenciais da vítima – agem de forma muito mais inteligente.

A fraude ocorre da seguinte maneira: a vítima recebe e-mail com um link para um serviço legítimo e deve digitar uma nova senha; caso contrário, sua conta seria bloqueada. Surpreendentemente, o link realmente leva para o site do desenvolvedor – por exemplo, para o Windows Live.

phishing1Após a autorização, a vítima recebe uma solicitação para uma série de permissões de um aplicativo desconhecido. Entre eles, login automático, o acesso a informações de perfil, lista de contatos e lista de endereços de e-mail. Ao atribuir esses direitos abrimos acesso à nossa informação pessoal para cibercriminosos.

E, em seguida, indivíduos desconhecidos reúnem secretamente informações para fins fraudulentos. Por exemplo, podem usar os dados para distribuir spam ou links para sites de phishing ou outros sites maliciosos.

Como funciona?

Existe um protocolo útil (porém não tão seguro) chamado OAuth, que permite aos usuários dar acesso a recursos protegidos (listas de contatos, agenda e outras informações pessoais) de maneira limitada -sem compartilhar credenciais. É comumente usado por aplicativos para redes sociais que precisam, por exemplo, ter acesso a listas de contatos dos usuários.

Como esses aplicativos usam OAuth, sua conta Facebook não está em segurança também. Um aplicativo mal-intencionado pode usar o acesso à conta do usuário para enviar arquivos de spam e maliciosos, bem como links de phishing.

Desde que o problema com o OAuth foi revelado, o ano foi bastante conturbado. No início de 2014, um estudante de Cingapura havia descrito possíveis técnicas para roubar dados do usuário após a autenticação. No entanto, esta é a primeira vez que vemos uma campanha de phishing usada para colocar essas técnicas em prática.

O que você pode fazer para se proteger:

– Não clique em links suspeitos recebidos por e-mail ou em mensagens privadas em redes sociais;

– Não permita que os aplicativos que você não confia tenham acesso aos seus dados;

– Antes de concordar, leia atentamente as descrições das permissões de acesso solicitados pelo aplicativo;

– Leia os comentários de usuários e feedbacks sobre o aplicativo na Internet;

– Você também pode visualizar e cancelar os direitos dos aplicativos instalados atualmente em configurações de conta/perfil de qualquer site de rede social ou serviço web. E nós recomendamos fortemente que você deixe esta lista o mais curta possível.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog

Malware Zeus ataca novamente e usa nova estratégia

zeus_malwareNovos golpes que atacam usuários desavisados e instalam malwares por meio de phishing ou armadilhas em sites não param de surgir — e o PhishLabs descobriu uma forma atualizada de propagação por navegadores do Zeus, o perigoso vírus que cria redes-zumbis de computadores e sobrevive há anos nos confins da internet.

Explorando falhas em serviços como Adobe Reader, Flash, Java e Internet Explorer, o Zeus agora mostra no navegador uma janela de perigo que tenta fazer a pessoa entrar em pânico e clicar no único botão que vê pela frente. O aviso não é exatamente convincente, mas pode pegar aquele usuário novato ou com pouca familiaridade com a internet.

A janela em vermelho “Aviso sobre leitor de documentos do navegador online reportado” diz que foram detectadas “atividades fora do comum em seu navegador” e o Atual Leitor de Arquivos de Documentos Online (assim, com tudo começando por letra maiúscula) “foi bloqueado com base em suas preferências de segurança”. O falso serviço de proteção que tenta proteger um serviço que nem sequer existe diz que “é recomendável que você atualize a última versão disponível para restaurar as opções e visualizar Documentos”.

Um simpático botão de download e instalação é, na verdade, a porta de entrada para o arquivo executável Zbot. Por enquanto, parece que só a versão em inglês da mensagem foi identificada, mas fique de olho para você também não cair em golpes similares.

Agradecemos ao Paulo Sollo, colaborador e amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo