Malware com foco em funcionários de instituições bancárias

Uma nova campanha de spam está mirando funcionários de instituições financeiras, ou bancos, no Brasil. No caso, arquivos HTML estão sendo enviados com Trojan bancário para infectar máquinas e roubar dados de acesso, segundo pesquisadores da Trustwave.

Ao acessar o email, os funcionários poderão encontrar uma mensagem com o anexo “comprovante.chm”, na verdade, um CHM malicioso. Caso o download seja realizado, dificilmente a máquina detectará o malware, já que ele é extremamente sofisticado: apenas 8 de 60 programas antivírus detectaram problema no arquivo, notou Rodel Mendrez, pesquisador da Trustwave.

O ataque se baseia no Microsoft Compiled HTML Help (CHM). Dessa maneira, cibercriminosos podem rodar um JavaScript e levar as vítimas para ambientes externos. “Assim que o usuário abre o CHM, ele executa um pequeno comando PowerShell que faz o download de um segundo script PowerShell. A persistência é obtida criando uma tarefa agendada para executar o malware quando o usuário faz o login”, disse Mendrez.

Segundo Rodel Mendrez, após infectar a máquina, o malware tem a capacidade de roubar nomes de usuário, do computador e enviar relatos para um servidor externo. Dessa maneira, os cibercriminosos podem obter informações sensíveis e formular ataques diretos em contas bancárias.

Fonte: Tecmundo

Nova ameaça se utiliza do Word para obter dados do dispositivo

Pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.

Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.

Eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima

Esses dados eram enviados para os criminosos e, com isso, eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima. A ideia era provavelmente aumentar a taxa de sucesso e, com isso, focar em personalidades famosas ou em executivos em altos postos de grandes empresas.

O IncludePicture do Word pode ser considerado “secreto” no Word porque não há nenhuma descrição oficial sobre como ele funciona ou o que exatamente ele é capaz de fazer no software. Também não há relatos do uso dessa ferramenta para nenhuma atividade prática, além da possiblidade de ser explorada por cibercriminosos. Isso foi inclusive uma das razões que dificultou a identificação do problema pelos pesquisadores.

Fonte: Tecmundo

Mais de 2.600 ataques eletrônicos ao dia com foco no FGTS

Ataques de phishing visando contas de FGTS estão longe de acabar no Brasil, segundo análise da empresa especialista em segurança virtual Kaspersky Lab. Seus especialistas divulgaram que têm bloqueado cerca de 100 domínios maliciosos por semana e mais de 2.600 ataques do tipo por dia.

“Com a Medida Provisória (MP) 763/2016, recentemente aprovada assegurando os saques do FGTS para as pessoas nascidas entre setembro e dezembro, não há previsão de que os ataques acabem tão cedo”, escreveram representantes da empresa. Eles são realizados por meio de páginas falsas, domínios maliciosos e posts em redes sociais.

Em março deste ano, a Kaspersky registrou o pico deste tipo de ataque – eles começaram a ser recorrentes em janeiro. Como isca, hackers utilizam páginas clonadas do FGTS e da Caixa Econômica Federal e mensagens do tipo “evite o bloqueio do seu FGTS”.

Ao acessar as páginas, vítimas inserem números do CPF/PIS/PASEP e a senha do cartão cidadão. Esses números são utilizados pelos criminosos para sacar as quantias relativas ao FGTS da vítima. “A grande quantidade de incidentes de vazamentos de dados pessoais, somados aos ataques massivos de phishing, tem possibilitado aos golpistas efetuarem os roubos sem grandes dificuldades, lesando vítimas inocentes e roubando o dinheiro do FGTS”, afirma Fabio Assolini, analista sênior da Kaspersky Lab que tem monitorado de perto os ataques com esse tema.

Caso detectem saques ilegais, os contribuintes deverão comparecer a agências da Caixa para tentar reverter os danos. O próximo lote de saques, para nascidos entre setembro e novembro, tem data prevista de abertura para o dia 16 deste mês. Depois, no dia 14 de julho, poderão sacar trabalhadores nascidos em dezembro.

Entram na lei de saque contas do FGTS referentes a períodos de trabalho terminados até 31 de dezembro de 2015, em casos de pedido de demissão e de demissão por justa causa. Nos demais casos, pode-se sacar o FGTS inativo há mais de 3 anos ou em demissões sem justa causa.

Para se proteger dos ataques a Kaspersky recomenda algumas providências:

  1. Prefira os canais oficiais: tentativas de consultas do saldo do FGTS, calendário de pagamentos e outros assuntos relacionados ao pagamento devem ser feitas somente no site da Caixa, digitando o endereço do site diretamente na barra do navegador, evitando buscar o site em motores de busca. Criminosos compram anúncios em buscadores para colocar o site falso entre os primeiros resultados.
  2. Cuidado com dados pessoais: jamais informe seu nome completo, CPF, PIS/PASEP ou algum outro dado pessoal em sites, perfis em redes sociais ou qualquer outro meio eletrônico que não pertença as instituições responsáveis pelo pagamento. Se tiver dúvida é melhor parar o processo do que entregar suas informações nas mãos de sites desconhecidos.
  3. Desconfie de SMSs: como este canal de comunicação é bastante usado pelos Bancos para se comunicar com seus clientes, criminoso brasileiro tem abusado dessas mensagens para disseminar links maliciosos para sites de phishing. Desconfie de mensagens SMS com links, na dúvida entre em contato com seu banco.
  4. Cuidado com apps móveis: instale apenas o app de consulta ao FGTS oficial da Caixa, evite instalar apps de terceiros e fornecer seus dados neles.
  5. Use uma boa solução de segurança.

Abaixo, confira uma lista com sites maliciosos já detectados pela equipe da empresa:

Fonte: Tecmundo

Cuidado com esse malware disfarçado de “pack de fontes”

alert_fakeOs crackers utilizam diferentes métodos para tentar levar os internautas a realizar o download e instalação de malwares em seus sistemas. Recentemente foi descoberto um novo que pode passar de forma despercebida, mesmo aos mais atentos.

A empresa de segurança NeoSmart Technologies revelou ter descoberto um novo método utilizado em sites maliciosos, tendo como alvo os usuários do Google Chrome. Os criminosos utilizam um falso site malicioso para apresentarem uma notificação sobre a falta de fontes no sistema operacional, apresentando um site com seus elementos desconfigurados. Para resolver o problema, os usuários são aconselhados a baixarem um “Pack de fontes”, que nada mais é que um malware disfarçado.

O que se destaca neste novo método de ataque é o formato como a mensagem é apresentada, que além de possuir uma interface similar aquela que se encontra no Google Chrome, apresenta também um alerta aparentemente inofensivo.

O arquivo baixado acaba não sendo filtrado pelo sistema de proteção do Google Chrome, mas é apresentado um alerta para o fato do mesmo não ser descarregado com regularidade. Além disso, a grande maioria dos sistemas de proteção/antivírus ainda não detecta este arquivo como uma ameaça.

Como sempre, é importante ter atenção redobrada em qualquer site desconhecido que lhe venha sugera o download ou instalação de algo em seu sistema. Regra geral, o conteúdo nada mais é que malware.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tugatech

Tendência: ciberataque focado na obtenção de resgate

hacker_attackHackers têm destruído mais dados corporativos ou criptografados em troca de resgate em vez de simplesmente destruí-los, disse uma grande empresa de cibersegurança.

A FireEye, mais conhecida pelas investigações conduzidas por sua unidade Mandian, disse em relatório sobre tendências ao longo do ano passado que o chamado sequestro de dados afligiu centenas de empresas, além de clientes.

Menos comumente, hackers têm usado ferramentas destrutivas como as que temporariamente inutilizaram redes da Sony e que também afetaram a Sands Las Vegas, disse a FireEye.

“Eu definitivamente não caracterizaria isso como comum, mas é algo que estamos vendo mais”, disse o vice-presidente da Mandiant, Marshall Heilman. “Há mais umas duas empresas vítimas que não foram a público”.

Heilman também disse que ataques chineses diminuíram como porcentagem dos casos em que a Mandiant está trabalhando, embora isso possa ser amplamente devido aos ataques da Rússia e outros locais estarem se tornando mais comuns.

EUA e China fecharam acordo de cooperação em 2015 para reduzir a ciberespionagem e empresas de segurança observaram queda, ou pelo menos transição, nas operações da China.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Reuters Brasil

Cibercrime nacional tem como foco os próprios brasileiros

hackerO cibercriminoso brasileiro tem como principal vítima o próprio compatriota, revela um estudo divulgado pela Kaspersky Lab, batizado como ‘Submundo cibernético no Brasil’. O levantamento revela a vida secreta dos cibercriminosos daqui e classifica o País como um dos mais perigosos para os usuários digitais, principalmente por conta de ataques maliciosos específicos que roubam dinheiro e dados privados. A cooperação internacional com grupos criminosos da Europa Oriental também contribui para a evolução do malware nacional.

“Há muitas campanhas criminosas voltadas especialmente para os brasileiros. Além disso, a legislação nacional é muito vaga em relação à crimes digitais. Se você une tudo isto ao vasto comércio de produtos e serviços entre criminosos locais, nota o quanto a realidade digital brasileira pode se tornar complexa para empresas que não contam com especialistas em segurança de TI no País”, afirma Fabio Assolini, autor da pesquisa e analista sênior de segurança da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab.

Um fato chama a atenção: diferentemente dos cibercriminosos de outros países que, em geral, não respeitam fronteiras e atuam no mundo inteiro, o cibercrime local se concentra em fraudes contra pessoas e empresas brasileiras. Uma das razões é a legislação vaga, que não pune estes criminosos de forma eficaz. O relatório detalha alguns exemplos em que bandidos virtuais passaram pouco ou nenhum tempo presos. A pesquisa mostra que não é necessário investigar muito para rastrear os culpados. Por conta desta percepção de impunidade, os criminosos locais ostentam seus lucros e vendem seus produtos e serviços despreocupadamente, como se estivessem dentro da lei, inclusive com promoções chamativas em redes sociais e sites.

Expansão internacional

O foco local não significa que os criminosos virtuais não interajam com pares de outros países. O relatório revela uma colaboração entre bandidos brasileiros e da Europa Oriental. Eles compartilham conhecimento, trocam favores e compram serviços, tais como hospedagem protegida para os malware nacionais. Há provas de que os criminosos brasileiros cooperam com as gangues do Leste Europeu envolvidas com o ZeuS, SpyEye e outros trojans bancários criados na região.

Com o monitoramento dessas atividades em todo o mundo, a Kaspersky Lab é capaz de prever o surgimento de determinados ataques virtuais e ajustar seus métodos de proteção de acordo com as informações obtidas em outras regiões. As especificidades regionais são a chave para entender melhor o cenário das ameaças e o relatório da Kaspersky Lab comprova isto. Um dos exemplos mais claros é o ataque dos boletos, em que cibercriminosos descobriram uma forma de manipulá-los para redirecionar a transferência do dinheiro para outra conta.

Em 2014, o Brasil foi considerado o país mais perigoso em ataques virtuais financeiros. O monitoramento contínuo das atividades maliciosas de cibercriminosos brasileiros proporciona às empresas de segurança de TI uma ótima oportunidade para descobrir novos ataques financeiros maliciosos.

Outra característica importante do cenário cibernético brasileiro é a falta de segurança dos recursos de TI das empresas e dos governos. Frequentes falhas de segurança em serviços online do governo expõem publicamente os dados sigilosos de cidadãos brasileiros. Cibercriminosos conseguem obter essas informações e as negociam com outros golpistas por alguns dólares. Um ataque direcionado ao sistema do Ibama permitiu reaver a licença de 23 empresas suspensas por crimes ambientais e, em 10 dias, foram extraídos 11 milhões de reais em madeira.

“No entanto, ao monitorar o ambiente cibernético brasileiro, fica claro que não basta todo o esforço das empresas de segurança. A melhor solução para garantir um ciberespaço mais seguro é o compartilhamento de informações e a cooperação entre o setor de segurança, empresas e governo, incluindo as autoridades legais”, adverte Fabio Assolini. O relatório Submundo cibernético da Kaspersky Lab referente ao Brasil está disponível no blog Securelist.com.

Agradecemos ao Davi e ao Rafael, colaboradores amigos do seu micro seguro, pela referência a essa matéria.

Fonte: Convergência Digital