Cuidado com o MSE falso

faka_mseA Microsoft publicou no blog Microsoft Malware Protection Center um alerta sobre um instalador falso do Microsoft Security Essentials.

De acordo com a empresa, este instalador falso na verdade é um malware conhecido como Hicurdismos.

Para quem não se lembra, o Microsoft Security Essentials é o antivírus gratuito da Microsoft para Windows Vista e Windows 7. No Windows 8, Windows 8.1 e Windows 10, ele foi substituído pelo Windows Defender e já vem pré-instalado.

Se o usuário executar o instalador falso do Microsoft Security Essentials, o malware será instalado e exibirá uma BSOD (a tela azul da morte) também falsa.

Um detalhe sobre a BSOD falsa é que ela foi criada com base nas BSODs das versões posteriores ao Windows Vista e Windows 7.

A BSOD falsa inclui um número de telefone utilizado pelos criadores do malware para enganar os usuários para que eles paguem para que uma suposta equipe de suporte solucione o problema.

O instalador falso chega por meio de um tipo de ataque conhecido como “drive by”, que baixa automaticamente arquivos maliciosos quando o usuário visita uma página da Web comprometida:arq_malware

arq_malware_1Na imagem abaixo é possível ver o instalador verdadeiro (à esq.) comparado com o falso:instaladoresA Microsoft recomenda que os usuários do Windows Vista e Windows 7 baixem o Microsoft Security Essentials sempre através de fontes confiáveis ou do seu site oficial.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Malware que pode infectar arquivos com assinatura digital

malwareO pesquisador de segurança Tom Nipravsky, da Deep Instinct, demonstrou um malware que pode infectar arquivos assinados digitalmente sem alterar seus hashes.

Nipravsky inseriu o código malicioso no campo do arquivo que contém informações sobre os certificados digitais. Outro detalhe é que este campo não está sujeito ao cálculo de hash.

Uma de três verificações de tamanho de arquivos não é conduzida corretamente pelo Authenticode da Microsoft, permitindo a alteração de certos valores para que os arquivos com assinatura digital infectados apareçam como válidos.

Nipravsky utilizou engenharia reversa no processo de carregamento do executável portátil para desenvolver o Reflective PE Loader, que pode injetar o código malicioso na memória do sistema sem alertar as soluções de segurança presentes nele.

Nipravsky e seus colegas na Deep Instinct descreveram seu trabalho com o malware no artigo “Certificate bypass: Hiding and executing malware from a digitally signed executable” disponível aqui*, divulgado na conferência de segurança realizada em Las Vegas na semana passada.

De acordo com o artigo, que oferece mais detalhes técnicos, o ataque passa pelas soluções de segurança sem ser detectado no disco e durante seu carregamento ao armazenar o código malicioso nos arquivos assinados e sem invalidar a assinatura. Ele também evita a detecção durante a execução.

Fontes: Baboo e The Register

Nova ameaça pode atingir PCs desconectados da Internet

esquemaO roubo de dados e de informações de computadores de uma forma geral se utiliza de trojans, malware e em vírus, que lentamente vão coletando todas a base valiosa de informação.

Se julgávamos que máquinas desconectadas da Internet estariam 100% seguras, esse mito caiu por terra ao ser descoberto um novo malware que consegue atacar esse tipo de PCs.

O USB Thief é provavelmente um dos trojans mais complexos descobertos até hoje, ao usar criptografia e auto-protecção para infectar as suas vítimas e para se esconder de quem o tenta detectar.

Foi criado para ser propagado com recurso a dispositivos USB e assim atingir máquinas que não estão acessíveis pela Internet que na grande maioria das vezes contam com informações mais sensíveis e confidenciais.

Esse agente utiliza formas muito interessantes para se esconder, ao usar aplicativos portáteis como o Firefox, NotePad++ e TrueCrypt para atingir as máquinas das novas vítimas.

Uma vez no sistema que pretende atacar, o USB Thief vasculha e coleta os dados que pretende roubar, buscando uma forma de retirar a informação de dentro destes sistemas.

Mas por serem isolados, o USB Thief por norma volta a passar a informação para fora através do mesmo pen drive que os colocou nestes sistemas. Este processo é repetido sempre que este dispositivo USB é conectado ao sistema.

O USB Thief é um malware composto por várias fases, com 3 executáveis presentes. A cada é responsável por administrar um componente, interligando todos entre si. Dois desses componentes contêm dois arquivos codificados e um dedicado ao processo de infecção. Este último tem também a seu cargo a identificação das informações a serem roubadas, onde as guardar e como as vai criptografar, para que nada seja detectado.

A forma como foi criado e os métodos de criptografia que usa tornam extremamente difícil analisar o USB Thief e é também difícil e complicado identificar o ponto de origem pois ao retirar o dispositivo USB do PC todos os rastros do USB Thief são eliminados da máquina.

A descoberta deste novo malware prova que cada vez menos há máquinas invulneráveis e que os atacantes conseguem criar versões únicas de malware para roubar dados dos usuários.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Sinais de um smartphone infectado

pesquisa_smartphone_int

Fortinet observa proliferação de ameaças em dispositivos móveis. Fabricante cita quatro sinais que indicam que seu aparelho pode estar infectado.

A expansão e a complexidade de malwares para smartphones avança em ritmo constante. A Fortinet avalia que o ambiente de convergência tende a proliferar infecções mais afeitas ao mundo do computador no ambiente móvel. De acordo com a provedora de ferramentas de segurança, isso desencadeará “um comprometimento generalizado” em milhões de dispositivos.

Os ataques ao Android continuam a aumentar. Segundo a fabricante, 90% dos vírus afetaram esse sistema ao longo de 2014. A justitificativa reside no fato de que trata-se da plataforma mais utilizada em aparelhos móveis inteligentes.

“Fala-se atualmente na existência de 900 mil amostras maliciosas para o Android e no aparecimento de mais 1,3 mil por dia para esse sistema”, afirma Fortinet, em relatório, que prossegue: “Em menor escala [os vírus] afetaram o iOS, da Apple, e o Windows Phone, da Microsoft”.

Segundo a fornecedora, inicialmente as ameaças para dispositivos móveis só se disseminavam e, agora, elas capturam informações do usuário ou controlam funções do dispositivo. Botnets também foram identificadas especificamente para as redes e dispositivos móveis.

A Fortinet lembrou de alguns episódios relativos ao mundo móvel que marcaram os últimos doze meses. A companhia cita, por exemplo, o vazamento de fotos de celebridades em contas do iCloud ocorrido em outubro. Além disso, o Shellshock, que afetava todas as versões do Bash até a 4.3 em sistemas Unix, atingiu os dispositivos iOS e Android e sistemas operacionais de desktop.

Um terceiro fato versa sobre o Code4HK, spyware que atinge iPhones desbloqueados e aparelhos com o sistema operacional do Google, oferecendo acesso a informações de contatos, SMS, localização e histórico de mensagens, entre outros.

A evolução do malware

Em 2004 surgiu o Cabir, o primeiro malware móvel. Hoje, 11 anos depois, a evolução desses ataques tem variado em termos de complexidade e comportamento.

Inicialmente, os malwares buscavam se espalhar pela rede e não tinham a intenção de gerar mais do que um incômodo para os usuários. Mais tarde, eles evoluíram e se replicaram, causando danos ao host que contaminavam. Logo se tornaram agentes para o roubo de informações (desde tendências na navegação do usuário a informações críticas no dispositivo).

Então apareceram os rootkits, malwares que camuflam sua ação e transformam um computador em uma botnet, aguardando as ordens adequadas para executar ataques ou para intermediá-los a outros hospedeiros e, portanto, para outras redes.

Estamos agora no momento de alguns malwares tradicionais, mas eles evoluíram com novos códigos e novas abordagens de infecção, que criptografam a informação do usuário e exigem o pagamento para a recuperação do acesso aos seus próprios dados.

Sinais de um smartphone infectado

De acordo com a Fortinet, há vários sinais que o usuário deve levar em conta para identificar se o seu smartphone está ou não infectado:

1. A memória e a CPU do dispositivo estão no limite de sua capacidade (informação geralmente disponível em configuração, aplicações, utilização). O aparelho começa a usar cada vez mais bateria, fazendo com que o usuário precise aumentar a frequência com que recarrega o equipamento

2. Aparecem instalações de aplicativos que o usuário não baixou.

3. Surgem mensagens SMS que o usuário não enviou (e, portanto, também são cobradas taxas de mensagens enviadas que não identificam quem as enviou).

4. O dispositivo começa a ter comportamentos alheios à experiência do usuário: as luzes se acendem sozinhas, aplicativos são abertos sem a intervenção do usuário, arquivos são gerados aleatoriamente, entre outros.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa matéria.

Fonte: ComputerWorld

Ao menos 5 milhões de usuários estão infectados por Adwares

googleA Google divulgou nos últimos dias os resultados de uma pesquisa realizada no ano passado, a fim de descobrir até onde vai o alcance dos adwares, os programas “intrusos” que injetam propaganda nos sites pelos quais o usuário infectado navega. A gigante da tecnologia concluiu que pelo menos 5% das pessoas que visitam os seus sites são vítimas dos programas maliciosos.

A porcentagem representa mais de 5 milhões de IPs diferentes e, segundo o estudo, este número tende a ser, na verdade, bem maior, uma vez que alguns programadores de adware são espertos o suficiente para não deixar seus “caça-níqueis” funcionarem em sites de grandes empresas, para dificultar sua detecção.

Só o Superfish, centro recente de uma polêmica envolvendo computadores da Lenovo que vinham instalados com o adware, foi encontrado em mais de 3,7 milhões de acessos. A fabricante de PCs prometeu que não está mais pré-instalando o programa em seus dispositivos, mas parece que isso não diminuiu muito a sua “epidemia”. Outros dos programas que apareceram bastante na pesquisa da Google foram o Jollywallet, o Crossrider e o Netcrawl.

Adwares geralmente são instalados no computador pelo próprio usuário que acaba sendo induzido a aceitá-los por instaladores confusos que induzem ao erro. É o caso, por exemplo, do minerador de bitcoins sendo instalado junto com uma versão recente do uTorrent, que era aceito pelos usuários por falta de uma clareza na explicação do instalador.

Só o Superfish, centro recente de uma polêmica envolvendo computadores da Lenovo que vinham instalados com o adware, foi encontrado em mais de 3,7 milhões de acessos. A fabricante de PCs prometeu que não está mais pré-instalando o programa em seus dispositivos, mas parece que isso não diminuiu muito a sua “epidemia”. Outros dos programas que apareceram bastante na pesquisa da Google foram o Jollywallet, o Crossrider e o Netcrawl.

Adwares geralmente são instalados no computador pelo próprio usuário que acaba sendo induzido a aceitá-los por instaladores confusos que induzem ao erro. É o caso, por exemplo, do minerador de bitcoins sendo instalado junto com uma versão recente do uTorrent, que era aceito pelos usuários por falta de uma clareza na explicação do instalador.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline

LightEater: malware que pode infectar milhões de Bios mundo afora

BiosOs pesquisadores Corey Kallenberg e Xeno Kovah revelaram na conferência de segurança intitulada CanSecWest informações sobre o LightEater, ameaça que pode infectar BIOS em todo o mundo de forma bem fácil, sem que o atacante possua conhecimentos técnicos para realizar a ação, basta apenas que ele obtenha acesso à máquina.

O LightEater se aproveita de vulnerabilidades na BIOS para criar um SMM (System Management Mode), e poder escrever novas instruções no Kernel da BIOS e enviá-los ao processador, fazendo com que a maioria dos PCs não iniciem mais (Só para constar essa vulnerabilidade vinha sendo explorada a algum tempo atrás pela NSA). Com a criação do SMM, por parte do LightEater o atacante conseguirá ter direitos administrativos elevados em questões relacionadas à gestão de energia, componentes do sistema, e assim por diante.

O malware tem a capacidade de deixar o computador completamente inutilizável, e como afeta diretamente a BIOS, não importa qual sistema operacional esteja sendo utilizado, e a reinstalação desse SO não irá resolver o problema.

Caso não seja resolvido podemos esperar uma epidemia de BIOS sendo prejudicadas, já que os fabricantes utilizam os mesmo códigos para diferentes BIOS UEFI, significando que todas as linhas de placas podem vir a ser contaminadas.

Aliás, o UEFI BIOS é uma verdadeira maravilha em nível de funcionalidades em relação a BIOS convencional, mas por outro lado pode ser um poço de problemas como relatam os pesquisadores, eles dizem que a BIOS UEFI é praticamente um sistema operacional em miniatura, e é invisível aos programas antimalware do PC. Ao tomar o controle dele, é possível subverter as suas funções, e com o LighEater também seria possível obter o acesso direto aos dados da memória, podendo realizar a extração de chaves criptográficas, senhas e outros dados.

Nenhuma empresa está imune ao problema, placas-mãe da ASUS, Gigabyte, MSI, e etc estão correndo esse risco. Em entrevista ao The Register Xeno Kovah explica que o problema é muito grande, porque muitas pessoas não se preocupam em atualizar a BIOS da placa-mãe, e com uma BIOS desatualizada o malware pode facilmente vir a se instalar facilmente.

A pesquisa revelou que a BIOS da Gigabyte era muito insegura, e é justamente essa marca que enfatiza em algumas de suas placas, o conceito de dual BIOS.

Os pesquisadores Kallenber e Kovah demonstraram durante a apresentação uma grande variedade de computadores sendo comprometidos pelo LightEater, e eles estão comercializando as ferramentas de diagnóstico para os fabricantes, a fim de ajudá-los a pesquisar tais vulnerabilidades e e consequentemente os patches de correção.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Guia do Hardware e The Register

Anúncio em site brasileiro tentou infectar estrangeiros

adobe-flash-playerQuem estava com o Flash Player desatualizado poderia ser infectado sem aceitar nenhum download.

Anúncio chegou ao site Lancenet via rede terceirizada.
Ataque explorava falha já corrigida no Flash Player e não foi veiculado no Brasil.

A empresa de segurança Trustwave alertou para um ataque de malvertising — publicidade maliciosa — veiculado no site brasileiro Lancenet nos dias 14 e 22 de maio. O anúncio, de acordo com uma investigação dos operadores do site, foi veiculado apenas para internautas de fora do Brasil.

Não há informação sobre as ações do código malicioso que infectou os internautas. Sabe-se, no entanto, que o anúncio tentava explorar uma falha já conhecida no Adobe Flash Player. Quem estava com o software atualizado não ficou exposto ao ataque.

Embora a publicidade tenha sido veiculada pelo Lancenet, a peça publicitária chegou ao site por meio da Realmedia, uma rede de anúncios terceirizada. Em comunicado, a Realmedia informou que o anúncio foi introduzido por um parceiro da rede. “Contatamos nossos parceiros, responsáveis pelas campanhas em questão, e estes imediatamente tomaram providências,  garantindo que estão reforçando as medidas de segurança quando sobem campanhas”, diz o comunicado.

A Realmedia possui como clientes os principais portais brasileiros, incluindo Globo, Abril, IG e Estadão. Não há informação sobre a presença do anúncio malicioso em outros portais.

De acordo com Thiago Musa, Managing Consultant da Trustwave, esses ataques não se caracterizam como uma invasão ao site. “Esse tipo de ataque abusa da infraestrutura complexa de anúncios on-line. Então muitas vezes o site tem contrato com uma empresa que vai publicar esses anúncios e essa empresa tem contrato com N outras empresas que vão se desdobrando e em algum ponto dessa camada um anúncio é aceito”, explicou ele.

A Trustwave ficou sabendo do ataque depois que um software da companhia identificou a presença de um código que tentava explorar uma falha já conhecida no Flash que surgiu em abril. O software Secure Web Gateway, que monitora o tráfego web de clientes da Trustwave, “percebeu” essa semelhança e avisou os especialistas da empresa, que prosseguiram com a análise do ataque. A empresa já publicou uma breve análise do ataque.

Segundo Musa, a melhor defesa para esse ataque está no lado de quem acessa ou site, ou seja, no computador do usuário ou na rede da empresa. Para isso, o ideal é um software capaz de analisar o tráfego de web — e essa função pode, ou não, fazer parte do antivírus. Outra medida ainda mais importante é a atualização dos softwares. “Quem estiver com o Flash atualizado não estaria exposto a esse problema. É sem sombra de dúvida uma ação que qualquer um pode tomar e é muito relevante para minimizar esse tipo de exposição e diversas outras”, afirmou.

Dados da ONG norte-americana Online Trust Alliance apontam que o número de anúncios infectados cresceu 225% em 2013. O malvertising é notório por vitimar sites populares, como Gawker e New York Times. Anúncios maliciosos brasileiros já foram veiculados no Facebook.

Entenda o malvertising

No malvertising, o código malicioso está em uma peça publicitária que normalmente entra no sistema por meios legítimos, e não por uma invasão. Assim, o criminoso não chega a ter acesso a nenhum dado do site.
O anúncio também só foi veiculado para usuários de fora do Brasil por fazer parte do acervo internacional da rede de anúncios, ou seja, a peça não foi aprovada para ser veiculada no Brasil. Para os operadores do site, é bastante difícil detectar esse tipo de ataque.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva