Cibercriminosos continuam se aproveitando de vulnerabilidade da Microsoft

Hackers do Fancy Bear, grupo russo, estão explorando uma vulnerabilidade DDE do Microsot Office, de acordo com pesquisadores da McAfee. O lado ruim disso é que, anteriormente, a Microsoft não considerou essa vulnerabilidade como um problema de segurança, então não pretende lançar um patch de atualização para corrigir a brecha.

Como o DDE é um recurso legítimo, os programas antivírus não realizam qualquer tipo de alerta

O DDE, Dynamic Data Exchange, é um recurso integrado do Microsoft Office. Se explorado por cibercriminosos, ele pode servir para a execução de códigos em dispositivos com Office sem a necessidade de ativação do Macros. Para o sistema, o protocolo DDE é um dos métodos usados pela Microsoft para permitir a troca de dados entre duas aplicações (programas) rodando ao mesmo tempo.
Entre os programas que usam o DDE — e podem ser explorados — estão o Word, o Excel, o Quattro Pro e o Visual Basic.

De acordo com a McAfee, o Fancy Bear já está realizando ataques via DDE. É interessante notar que muitos pesquisadores apontam o Fancy Bear, também conhecido como APT28, como um grupo patrocinado pelo governo da Rússia. O grupo, por meio de phishing, está explorando a vulnerabilidade em PCs de vítimas desde outubro deste ano.

Infelizmente, como o DDE é um recurso legítimo, como nota o Hacker News, os programas antivírus não realizam qualquer tipo de alerta quando ele é explorado — ou sobre qualquer ameaça.

Como se proteger

Neste caso, parece que não há como esperar um patch de atualização. Então, a dica é desabilitar o recurso DDE. Se você possui o Microsoft Word/Excel 2016, em “Opções”, “Avançado”, retire o check ao lado de “Update automatic links at open” (Atualize os links automáticos em aberto). Essa ação já deve prevenir alguma exploração, caso você acabe caindo em phishing.

Fonte: Tecmundo

Milhões de PCs são usados como mineradores criptomoeda sem consentimento

De acordo com informações recentes, mais de 500 milhões de PCs estão sendo usados para mineração de Bitcoin e outras moedas virtuais sem o consentimento dos usuários.

Segundo a pesquisa realizada pela AdGuard, desenvolvedora do bloqueador de anúncios com o mesmo nome, ela encontrou 220 sites populares que utilizam os PCs dos visitantes para mineração das moedas virtuais sem o seu consentimento.

Os sites fazem isso executando scripts como o CoinHive em segundo plano quando os usuários visitam os sites.

O maior número de PCs infectados com este tipo de script está nos Estados Unidos. A índia fica em segundo lugar, seguida pela Rússia e pelo Brasil.

Depois de infectar o computador, o script passa a utilizar o processador do computador do usuário para mineração de Bitcoin e outras moedas virtuais. Com isso o PC acaba ficando lento, já que seus recursos estão sendo utilizados pelo script.

Os pesquisadores encontraram o script em sites com reputação “questionável”, mas no futuro é bem possível que este tipo de coisa se torne uma forma comum de fazer dinheiro na Web.

O CoinHive foi lançado em 14 de setembro e embora sua presença em 220 sites pareça algo pequeno, o crescimento no seu uso foi bem rápido.

Bloqueadores de anúncios como o próprio AdGuard e o Adblock Plus já são capazes de detectar e bloquear o CoinHive. Alguns softwares antivírus, como o Bitdefender Free na imagem abaixo, também são capazes de detectá-lo e removê-lo do computador.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Seu PC pode estar sendo usado para minerar criptomoedas

O chamado mining de criptomoedas é um termo e fenômeno de crescimento rápido na indústria de TI. Como parte de uma tendência de longo alcance, mais e mais pessoas estão se envolvendo com essa atividade, ou adicionando blocos a uma blockchain e, portanto, recebendo em criptomoeda. Ao fazer isso, esses “miners” inventam formas cada vez mais engenhosas, que nem sempre são exatamente legais, de obter as moedas. Alguns deles fazem isso às suas custas.

Por que precisam do seu computador?

Já falamos de botnets e como hackers podem tornar seu computador em um zumbi, integrante de uma dessas redes. Essas estruturas podem ser empregadas com os mais diversos objetivos, dentre os quais a obtenção de criptomoedas. Mas não para por aí!

De forma leiga, seu computador torna-se parte de uma rede distribuída cujo poder computacional é utilizado para obter uma criptomoeda que termina no bolso do dono da botnet. Milhares de computadores conectados podem obter criptmoedas de forma muito mais eficiente que apenas um. Neste caso especificamente, as vítimas também levam prejuízo na conta de luz, o que torna a instalação dos programas de mining muito lucrativa para o hacker.

Veja que um usuário pode ter instalado um programa desse tipo intencionalmente, para tentar a sorte no mercado das criptomoedas. Distinguir a legitimidade nessa atividade é um desafio. Os programas para esse fim são idênticos; a diferença reside na instalação e operação de aplicativos baixados ilegalmente.

Como um miner oculto termina em seu computador

Na maioria dos casos, um miner chega à sua máquina por meio de um programa malicioso desenvolvido com esse propósito, o que chamamos de dropper. Sua função é instalar outra aplicação em segredo. Normalmente se disfarçam de versões piratas de produtos ou de geradores de números de licença. Usuários buscam esse tipo de software em redes de compartilhamento de arquivos e os baixam de forma consciente.

Quando o software baixado é executado, um instalador é implementado no computador da vítima e faz o download de um miner e de uma ferramenta especial que o oculta no sistema. O programa pode também estar acompanhado de serviços que assegurem sua execução e configurações.

Por exemplo, esses serviços podem suspender o miner quando o usuário executa um jogo popular. (O miner, que usa o poder da placa de vídeo, atrasaria a execução, podendo alertar o usuário de que algo não está certo.)

Esses serviços também podem tentar desativar produtos antivírus, suspender o miner quando uma ferramenta de monitoramento do sistema é executada e restaurá-lo caso o usuário tente se livrar dele.

A gravidade do problema

Hackers distribuem esses programas por meio de serviços. Eles usam canais no Telegram dedicados à oportunidades de trabalho; você pode acabar vendo uma propaganda oferecendo a versão teste de um programa que na verdade contêm um miner oculto.

Para entendermos a escala desse fenômeno: nossos especialistas recentemente detectaram uma botnet que consistia em milhares de computador com o Minergate miner instalado de forma oculta. Embora não tenha como foco as populares bitcoins, atuava em criptomoedas como Monero (XMR) e Zcash (ZEC), que permitem transações ocultas. A estimativa mais conservadora indica que uma única botnet pode obter mais de US$ 30 mil por mês. Mais de US$ 200 mil passaram pela carteira usada neste caso.

Fonte: Kaspersky blog

Site falso do BB é traído por erro de português

Uma nova página falsa do Banco do Brasil é usada para roubar dados de clientes do banco. O endereço do site pede o preenchimento de dados bancários e até mesmo o IMEI (número de identificação único) do seu celular.

O golpe é enviado por SMS e pode até convencer os desatentos de sua autenticidade.

Porém, se olharmos a página com atenção, facilmente notamos que ela não é verdadeira. No rodapé, há a seguinte mensagem–em linguagem coloquial e inadequada–ao lado do ícone de telefone: “Ligue pra nóis”(sic).

A página oficial do Banco do Brasil fica no endereço web http://www.bb.com.br e não contém erros de português em sua interface.

O domínio falso está vinculado a um indivíduo chamado Roberto Rubens, no Rio de Janeiro.

O BB não liga ou envia mensagens ou links pedindo senhas dos clientes. O banco também orienta a não informar senhas ou números de cartões em ligações ou links recebidos de páginas que seriam da instituição. Casos semelhantes podem ser reportados por e-mail em abuse@bb.com.br.

O Banco também disponibiliza aos clientes orientações sobre comportamento seguro que estão disponíveis na sua página http://www.bbseguranca.com.br, e também nas fanpages do Banco do Brasil nas Redes Sociais – Facebook, Youtube e Instagram. Ao tomar conhecimento das mensagens, o Banco denuncia os sites que são utilizados com a finalidade criminosa, para que sejam bloqueados e o conteúdo retirado do ar”, informou o banco, em nota.

Fonte: Exame

 

Sabe qual é o foco da maioria dos ataques de hackers?

Pouco preparadas para lidar com situação, criminosos cibernéticos miram dados dos clientes de pequenas empresas; País registrou seis golpes por segundo em 12 meses

“Quase todo mundo que vem à delegacia prestar queixa diz ‘nunca pensei que isso podia acontecer comigo”, afirma o delegado José Mariano de Araújo. Ele é o responsável pelo departamento de crimes eletrônicos da Polícia Civil de São Paulo. Acostumado a se deparar com diversos tipos de crimes virtuais, Araújo explica que essa sensação de surpresa por parte das vítimas não tem base na realidade. E os pequenas e médias empresas, ele diz, são alguns dos mais atraentes para cibercriminosos.

Dados da produtora de softwares de segurança Kaspersky Lab apontam que o Brasil é hoje o nono país que mais sofre ataques de hacker em todo o mundo. Foram 199 milhões de emails maliciosos entre agosto de 2015 e agosto de 2016, cerca de seis golpes por segundo. Estudo da Fiesp de 2015 indicou que 65,2% dos ciberataques com foco apenas financeiro envolviam pequenas empresas.

“Isso acontece porque não necessariamente o alvo primário é a empresa. Os clientes dela, estes sim, podem representar um alto valor financeiro”, diz o delegado. Ou seja, o empreendimento pode até movimentar pequenos valores, mas talvez ele seja um boa “ponte” para chegar aos clientes e prejudicá-los. “Hoje, quem invade um computador quer basicamente roubar informações. É por meio delas que os criminosos têm acesso a contas-corrente, dados de cartões de crédito, etc”, explica Araújo. “A primeira coisa que um criminoso tem em mente é: preciso obter as informações desta vítima.”

O que eles querem com sua empresa. De acordo com Renato Ribeiro, especialista em segurança digital e “hacker do bem” nas horas vagas, no passado os hackers eram motivados pelo desafio que representava acessar informações sigilosas. Com o passar do tempo, esses grupos perceberam que existia a possibilidade de retorno financeiro e, hoje, a maior parte deles é motivada pelo dinheiro.

Durante um tempo, os ataques virtuais eram caracterizados por fraudes e rápidas transferências de dinheiro para contas laranjas, que eram sacadas na pressa antes de serem bloqueadas. “Só que isso era pouco eficiente”, diz Rodrigo Fragola, presidente da Aker Security, empresa especializada em segurança digital. “Hoje, os ataques se sofisticaram e os hackers estão mais pacientes. Em média, no mundo todo, eles ficam escondidos na máquina da vítima por 240 dias, apenas coletando informações. O interesse é retirar o máximo de dados da empresa para verificar com o que se pode lucrar”, diz.

No entanto, quando um hacker tem acesso a arquivos sigilosos, dificilmente ele utiliza as informações para efetuar fraudes. Segundo Ribeiro, os criminosos preferem vender a base inteira no mercado negro da internet, em negociações feitas com bitcoins, que são impossíveis de rastrear. “É muito difícil encontrar um hacker que utilize dados de outras pessoas, porque ele sabe a exposição que isso gera. Quem faz compras online com número de cartão de crédito, por exemplo, precisa informar um endereço, esperar o produto chegar, e o hacker não se arrisca a esse ponto”, diz.

Como eles atacam

Atualmente, os criminosos têm optado por invasões mais elaboradas, com dois ou três passos de execução. Isso significa que existe um primeiro alvo, a partir do qual o hacker consegue acesso a outras vítimas, que são o objetivo final do ataque.

As invasões podem ocorrer na infraestrutura da empresa ou nos softwares que ela utiliza. Um bom exemplo do primeiro caso acontece em redes wi-fi de estabelecimentos comerciais, como restaurantes e cafés. “Nesses lugares, é comum encontrar roteadores protegidos com senhas fracas, ou até mesmo com a senha padrão de fábrica. Isso permite que um hacker acesse sem dificuldades as configurações do roteador e altere o funcionamento do aparelho para enviar informações falsas a todos que estiverem conectados”, explica Renato.

Nesse exemplo, um cliente que tentar acessar o site do seu banco através de uma rede wi-fi hackeada pode ser levado a uma página falsa, com visual semelhante ao site original da instituição financeira. A partir daí, o hacker é capaz de coletar as informações bancárias sem dificuldades.

Também são comuns ataques diretos ao servidor da empresa. Existem muitas maneiras dessas ataques acontecerem, mas uma delas, que é relativamente simples e antiga, ainda tem resultados em pequenas empresas. Conhecida como SQL Injection, esse tipo de ameaça utiliza falhas básicas dos sistemas que armazenam as bases de dados da empresa.

O ataque, basicamente, ocorre da seguinte maneira: sempre que alguém faz login em um sistema, as informações de acesso são enviadas aos servidores, que verificam se os dados da conta e da senha estão corretos. Nesse caminho percorrido pelas informações, um hacker pode enviar linhas de código com comandos para receber dados confidenciais. Caso o servidor não esteja preparado para ignorar esses códigos, existe o risco de ele obedecer a ordem do hacker e enviar dados que deveriam ser protegidos.

Ataque da moda

Advogada e sócia da Opice Blum, escritório que há vinte anos atua com direito digital, Juliana Abrusio alerta para o “crime do momento” no mundo cibernético. “Apesar de ainda representar uma parcela pequena dos casos atendidos, notamos uma grande aumento no número de ataques do tipo ransomware”, diz Juliana.

Ransomware é um ataque virtual no qual o criminoso, em vez de roubar dados para vendê-los ou causar fraudes, aplica criptografia sobre as informações, tornando-as inacessíveis aos usuários. Para liberá-los, geralmente é preciso pagar um resgate ao criminoso. Daí ser chamado de “sequestro” de dados. O pagamento normalmente é feito em bitcoins.

“Esse ataque geralmente acontece com médias e pequenas empresas”, explica a advogada. “E, em muitos casos, o empresário não tem o back up dos dados e acaba pagando o valor exigido”, diz Juliana. A especialista revela que, inclusive, existe um “ticket médio” para o valor do resgate: o equivalente a cerca de R$ 10 mil. Talvez o valor não pareça tão alto, mas, de acordo com a advogada, isso é estratégico.

“Os criminosos estipulam um valor para desestimular a busca por ajuda. A pessoa prefere pagar para resolver o problema, e o hacker ganha no volume de vítimas”, diz Juliana. O que não significa que, eventualmente, valores bem mais altos sejam exigidos. “Peguei há pouco tempo um caso em que pediram R$ 400 mil pelo resgate”.

Fonte: Estadão

Caixas eletrônicos obsoletos expõe usuários a riscos

atmsEles são antigos, equipados com sistemas operacionais desatualizados (Windows XP ou 2000) e muitas vezes têm cabos expostos e redes mal instaladas. O descuido dos bancos com os caixas eletrônicos na América Latina facilita a vida dos criminosos que investem cada vez mais em técnicas sofisticadas para roubar dinheiro destas máquinas.

O alerta foi revelado hoje pela empresa de segurança Kaspersky durante conferência que acontece em Los Cabos, no México. Segundo os dados, esta prática afeta principalmente México, Colômbia e Brasil, que foi palco para uma ação tão complexa que roubou 107 caixas eletrônicos com apenas um ataque. “A situação não é boa”, lamenta o analista sênior Fábio Assolini.

Além da má qualidade dos caixas eletrônicos, outro fator contribui para este tipo de crime: a corrupção. De acordo com Assolini, há funcionários que vazam informações confidenciais sobre o funcionamento das máquinas, detalhando o procedimento necessário para a invasão do sistema, a consequente manipulação do software – que já não tem suporte da fabricante e fica suscetível a falhas – para, enfim, obter o acesso ao dinheiro.

O passo a passo até o roubo

Houve um tempo em que os ataques eram feitos com CD’s e USB’s. Atualmente, a forma mais sofisticada de acesso ilegal aos caixas eletrônicos atende pela sigla APT em inglês, (Ameaça Persistente Avançada, na tradução livre). Ela pode acontecer de duas formas, externa ou interna, sendo que no primeiro caso a programação maliciosa das máquinas é feita geralmente a partir de dados vazados. Já no segundo, conhecido como ataque dirigido, o processo é mais complexo.

Após uma análise minuciosa das atividades de um banco, os ataques dirigidos se infiltram na rede da empresa usando iscas aparentemente inofensivas, como e-mails acompanhados de arquivos comuns anexados. Estes arquivos, quando abertos, exploram uma vulnerabilidade no software instalado na máquina do funcionário escolhido como “porta de entrada” da ação. “O ataque vai ser pensado e vai mirar quem não costuma ter conhecimento técnico, por exemplo o pessoal do RH ou do administrativo”, explica o analista.

Uma vez infectado o computador do funcionário, começa uma outra etapa chamada “movimento lateral”, quando o vírus “pula de galho em galho” até alcançar o alvo na empresa que detém as informações desejadas. A partir daí, devidamente infiltrado, o criminoso aprende o funcionamento do software e expande a atuação para a rede de caixas eletrônicos do banco, infectando-os individualmente ou de maneira generalizada.

Um dos casos mais famosos envolvendo este método foi descoberto no ano passado. Um grupo chamado Carbanak aplicou o passo a passo citado acima para programar caixas eletrônicos para que eles liberassem dinheiro sem qualquer comando físico. “O criminoso chegou próximo do caixa, com a mochila e o telefone celular, e, sem encostar em nada, o caixa eletrônico a começou a ‘cuspir’ dinheiro. Parece coisa de filme”, descreve Assolini. O resutado da ação foi um roubo expressivo de US$ 1 bilhão.

Brasil à frente

Apesar das crescentes ameaças, o Brasil é considerado o mercado mais maduro da América Latina no combate às fraudes online. “Eles [os bancos brasileiros] continuam usando sistemas antigos, mas tentam contornar o problema protegendo o caixa eletrônico com um software específico para limitar execuções pré-aprovadas. E isso tem sido suficiente”, analisa. As estatísticas são favoráveis: embora tenha mais caixas eletrônicos instalados que o México, o Brasil contabiliza menos ataques que o vizinho.

Para piorar o cenário, o tema é velado no Brasil. Segundo Assolini, os bancos controlam as informações relacionadas aos casos de roubo e dificultam os estudos acerca do assunto. Já os cibercriminosos, por sua vez, fazem a lição de casa e mantêm-se constantemente atualizados sobre as técnicas de ataque, em contato com correspondentes europeus nos fóruns online – geralmente de forma anônima. Entretanto, é possível encontrar na internet equipamentos à venda para facilitar os golpes externos.

Perigo à vista

Engana-se quem acha que o roubo de caixas eletrônicos pode causar dor de cabeça apenas aos bancos. Segundo Assolini, há uma nova ameaça na Europa, chamada Skimmer, que repete todo o processo mencionado acima e ainda clona os cartões dos clientes que usam as máquinas. E, segundo ele, ela está a caminho do Brasil.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Hackers elogiam segurança do Windows 10

windows_10Desde que o Windows continue um alvo popular para ataques, pesquisadores de segurança e hackers continuarão analisando a plataforma para descobrir estratégias avanças contra as defesas do sistema da Microsoft.

Mas o nível de segurança do software está muito mais alto do que costumava ser, uma vez que a Microsoft adicionou várias mitigações avançadas no Windows 10 que acabam com categorias inteiras de ataques.

Apesar de os hackers da conferência Black Hat terem aparecido com técnicas de ataques sofisticadas, houve um reconhecimento geral durante o evento de que desenvolver uma técnica bem-sucedida ficou muito mais difícil com o Windows 10. Ou seja, invadir o sistema por meio de uma vulnerabilidade do software agora é bem mais complicado do que há alguns anos.

A Microsoft desenvolveu ferramentas de interface de escaneamento antimalware (AMSI) que conseguem pegar scripts maliciosos na memória. “AMSI é um grande passo para bloquear ataques baseados em script no Windows”, afirmou o consultor de segurança da NoSoSecure, Nikhal Mittal, durante a Black Hat.

Outra novidade de segurança do Windows 10 é a VBS (segurança baseada em virtualização), um conjunto de recursos de segurança “feita” diretamente no hypervisor. A superfície de ataques para a VBS é diferente de outras implementações de virtualização, afirmou o arquiteto chefe de segurança da Bromium, Rafal Wojtczuk.

“Apesar do seu alcance limitado, a VBS é útil – ela previne determinados ataques que seriam mais simples e diretos sem ela”, explica.

Os invasores, que incluem criminosos, pesquisadores e hackers interessados em ver o que podem fazer, estão engajados em uma dança elaborada com a Microsoft. Assim que descobrirem uma maneira de burlar as defesas do Windows, a Microsoft fecha essa brecha de segurança. Ao implementar tecnologia inovadora de segurança para tornar os ataques mais difíceis, a Microsoft força os invasores a cavarem mais fundo para conseguirem ter sucesso. O Windows 10 é o Windows mais seguro já lançado, graças aos novos recursos focados na área.

Os criminosos estão ocupados, e o volume de malware não mostra sinais de diminuir o ritmo, mas vale notar que a maioria dos ataques atuais são resultado de software sem patches, engenharia social, ou configurações erradas.

Nenhuma aplicação de software pode ser perfeitamente livre de bugs, mas quando as defesas embutidas tornam mais difícil explorar as defesas existentes, essa é uma vitória para quem está se defendendo. A Microsoft fez muita coisa nos últimos anos para bloquear ataques no sistema, e o Windows 10 é o beneficiário direto dessas alterações.

Considerando que a Microsoft melhorou suas tecnologias de isolamento no Update de Aniversário do Windows 10, a estrada para um ataque bem-sucedido em um sistema moderno do Windows parece ainda mais complicado.

Fonte: IDG Now!