Windows – nova vulnerabilidade revelada

A Kaspersky Lab revelou uma nova vulnerabilidade 0-day que explora o núcleo (kernel) do Windows. De acordo com a empresa de cibersegurança, este é o terceiro ataque consecutivo de 0-day que foi descoberto nos últimos três meses.

“Como a falha (CVE-2018-8611) está no módulo do kernel do sistema, este exploit é particularmente perigoso e pode ser usado para ignorar os mecanismos de mitigação de explorações maliciosas existentes em navegadore3s web modernos, incluindo o Chrome e o Edge”, explica a Kaspersky.

Caso um cibercriminoso explore essa falha, ele pode acessar o sistema da vítima e ter acesso completo aos arquivos

O que a vulnerabilidade permite: caso um cibercriminoso explore essa falha, ele pode acessar o sistema da vítima e ter acesso completo aos arquivos — “vulnerabilidades de 0-day são uma das formas mais perigosas de ciberameaça, pois, por ser desconhecida, não existe detecção ou correção”, adiciona a empresa.

Vale notar que a Microsoft já corrigiu as três vulnerabilidades, por isso, é importante que você mantenha o seu sistema operacional atualizado com os últimos pacotes disponíveis.

“A descoberta de três vulnerabilidades de 0-day no modo kernel em poucos meses é uma evidência de que nossos produtos usam as melhores tecnologias e são capazes de detectar ameaças sofisticadas. Para as organizações, é importante entender que, para proteger seu perímetro, elas precisam de uma solução que combine proteção endpoint e uma plataforma avançada de detecção de ameaças”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.

Acompanhe mais dicas que a empresa separou aqui embaixo:

  • Instale a atualização da Microsoft para corrigir a vulnerabilidade desconhecida
  • Certifique-se de manter atualizado todos os softwares usados em sua organização e sempre executar novos patches de segurança quando disponíveis
  • Use uma solução de segurança de ponta
  • Em caso empresarial, garanta que sua equipe de segurança tenha acesso aos mais recentes relatórios de Threat Intelligence.
  • Por fim, mas não menos importante, garanta que sua equipe seja treinada nos aspectos básicos de cibersegurança.
Fonte: Tecmundo

Descoberta nova vulnerabilidade no Windows

Ataques que usam vulnerabilidades de dia zero são considerados extremamente perigosos, pois eles exploram vulnerabilidades desconhecidas (consequentemente sem correção), que dificulta sua detecção e prevenção. Se encontrado por criminosos, a vulnerabilidade pode ser usada na criação de exploits – programa malicioso que usa a vulnerabilidade para acessar todo o sistema. Este tipo de “ameaça oculta” é amplamente utilizado por grupos especializados em ataques APT sofisticados.

A Kaspersky Lab informou nesta segunda-feira (19) que sua tecnologia de Prevenção Automática de Exploit detectou, em menos de um mês, uma segunda vulnerabilidade desconhecida (zero-day) no Microsoft Windows sendo explorada em uma série de ciberataques no Oriente Médio. Depois de ser reportada, a vulnerabilidade foi corrigida pela Microsoft em 13 de novembro.

Embora o método de distribuição ainda seja desconhecido, a análise da Kaspersky Lab descobriu que o exploit que utiliza a vulnerabilidade de zero-day é executado no primeiro estágio de instalação do malware com o objetivo de conseguir os privilégios necessários para se manter no sistema da vítima. O golpe funciona apenas na versão 32-bits do Windows 7.

De acordo com os especialistas da empresa, não é possível determinar qual grupo está por trás da descoberta da vulnerabilidade, porém o exploit desta vulnerabilidade está sendo usado em ataques APT feitos por mais de um grupo.

Após a descoberta, a Kaspersky Lab relatou imediatamente a vulnerabilidade à Microsoft. Apenas algumas semanas antes disto, no início de outubro, foi detectado outro exploit explorando uma vulnerabilidade de dia zero no Microsoft Windows, que infectava as vítimas por meio de um backdoor no PowerShell. A Kaspersky Lab identificou a ameaça, que também foi relatada e corrigida pela Microsoft.

“Em um mês, descobrimos duas novas vulnerabilidades de dia zero e diversos ataques mirando uma mesma região. A discrição dos cibercriminosos nos faz lembrar que é extremamente importante contar com ferramentas e soluções inteligentes que consigam proteger as empresas contras ameaças sofisticadas como estas. Caso contrário, elas podem se tornar vítimas de ataques direcionados”, afirma Anton Ivanov, especialista em segurança da Kaspersky Lab.

Fonte: IDGNow! 

Nome de bebida, mas é um novo e perigoso malware

Um malware chamado Dark Tequila foi descoberto pelos pesquisadores da Kaspersky Lab. De acordo com os analistas, o malware realizada ataques bancários e já atinge clientes no México e outras áreas da América Latina. Um dos principais problemas do vírus é que ele parece estar ativo desde 2013, ou seja: são cinco anos voando baixo pelos radares.

Segundo a Kaspersky, a programação do malware é sofisticada. “O malware Dark Tequila existe para coletar dados sobre suas vítimas, seja de credenciais bancárias ou dados pessoais ou corporativos. Como fica silenciosamente no disco rígido do usuário, ele recebe credenciais para serviços como o RackSpace, o BitBucket e o DropBox, que podem ser usados mais adiante na linha para realizar ataques adicionais”, adicionou a empresa.

A capacidade de roubar senhas do Dark Tequila vem de um keylogger instalado e uma ferramenta de monitoramento de redes

O método de transmissão e infecção do Dark Tequila acontece de duas maneiras: phishing, que engana as vítimas por meio de golpes; e pendrives maliciosos. Ambos se baseiam na ingenuidade e curiosidade das vítimas. No phishing, o cibercrime pesca por meio de descontos e promoções falsas de produtos. Já o pendrive, se você encontrar um jogado na rua, qual a chance de pegar e acabar espetando no seu computando? Podemos dizer que é relativamente alta.

“O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instruções. O payload (código malicioso) é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, ou tiver sinais de que a amostra é executada em um ambiente de análise (sandbox), interromperá a rotina de infecção e se excluirá do sistema”, afirma a Kaspersky.

A capacidade de roubar senhas do Dark Tequila vem de um keylogger instalado e uma ferramenta de monitoramento de redes. Por isso, ele também consegue se propagar em redes conectadas — um problema para ambientes corporativos, por exemplo.

“Esta campanha está ativa há vários anos e novas amostras ainda estão sendo encontradas. Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é adequada para atacar alvos em qualquer parte do mundo”, finaliza a Kaspersky.

Como se proteger

A Kaspersky recomenda as seguintes medidas para se proteger contra spear-phishing e ataques por meio de mídia removível, como USBs.

Verificar os anexos de e-mail com um antivírus antes de abrir

  • Desativar a execução automática de dispositivos USB
  • Escanear as unidades USB com um antivírus antes de abrir
  • Não ligar dispositivos desconhecidos e USB ao seu PC
  • Usar uma antivírus com proteção robusta adicional contra ameaças financeiras
Fonte: Tecmundo

Trump bane Kaspersky do governo norte-americano

O presidente dos Estados Unidos, Donald Trump, assinou na terça-feira (12) uma lei banindo os produtos da Kaspersky Lab de serem utilizados em instituições governamentais. A decisão vem após longas semanas de discussões sobre a alegada interferência russa na Kaspersky.

A Kaspersky está passou por um escrutínio feito pela justiça norte-americana. Além da “guerra fria política” que a empresa se encontra, materiais confidenciais da NSA (Agência de Segurança Nacional) foram supostamente roubados por um software antivírus da Kaspersky.

A nova lei assinada por Trump exige que a administração do presidente remova os softwares da Kaspersky em até 90 dias

Para refrescar a sua memória: “Segundo o Wall Street Journal, documentos da NSA (Agência de Segurança Nacional) que detalhavam como os Estados Unidos defendem a própria rede de ciberataques foram roubados por hackers russos. Além dos detalhes sensíveis sobre a segurança, o WSJ nota que os documentos também mostram como os EUA invadem redes estrangeiras e até os códigos computacionais usados para explorar e invadir.

Agora, a nova lei assinada por Trump exige que a administração do presidente remova os softwares da Kaspersky em até 90 dias — tanto em redes civis quanto redes militares.

Anteriormente, o CEO da Kaspersky, Eugene, divulgou uma carta dizendo o seguinte

“Como uma empresa privada, a Kaspersky Lab não possui laços inapropriados com qualquer governo, incluindo a Rússia, e a única conclusão a chegar é que a Kaspersky foi pega no meio de uma guerra geopolítica.

Não pediremos desculpas por sermos agressivos na batalha contra malwares e cibercriminosos. A companhia detecta e mitiga de maneira efetiva as infecções de malwares, independentemente da fonte, e vem fazendo isso com orgulho pelos últimos 20 anos — o que sempre nos traz as melhores notas testes de independentes.

Também é interessante notar que os produtos da Kaspersky Lab seguem os restritos padrões da indústria de cibersegurança e possuem níveis de acesso e privilégicos similares aos sistemas que eles protegem, como qualquer outro vendedor de segurança nos EUA e pelo mundo”.

Eles usam a Rússia como argumento para essa briga, disse Eugene.

Fonte: Tecmundo

Malware em caixas eletrônicos

Pesquisadores da Kaspersky Lab descobriram um novo malware voltado para infectar caixas eletrônicos que rodam em sistemas operacionais Microsoft Windows Vista e Windows 7. Chamado de ATMii, o malware não deve atingir a maior parte dos caixas eletrônicos, visto que eles rodam em sistemas Windows XP.

O código malicioso serve para roubar credenciais de usuários, ou seja, senhas bancárias. Ele foi descoberto pelos pesquisadores nos últimos meses, e as operadoras de caixas com os sistemas vulneráveis foram alertadas.

“O malware possui dois módulos: um injetor (exe.exe, 3fddbf20b41e335b6b1615536b8e1292) e um para ser injetado (dll.dll, dc42ed8e1de55185c9240f33863a6aa4)”, explicam os pesquisadores. Além disso, para conseguir o acesso ao ATM (caixa eletrônico), os cibercriminosos precisam do acesso físico.

Vale lembrar que, no Brasil, essa técnica é defasada se comparada com as utilizadas atualmente. O Brasil é benchmark em fraude bancária, tanto na internet quanto físico, com os famosos skimmers — vulgarmente conhecidos como chupa-cabra — instalados em caixas eletrônicos e maquininhas de pagamento.

Fonte: Tecmundo

Decisão dos EUA de boicotar Kaspersky é um equívoco

A decisão dos Estados Unidos de proibir a compra e a manutenção de produtos da empresa de segurança russa Kaspersky Lab em computadores do governo pode ser um “tiro no pé”. A exportação de software e serviços de tecnologia é, afinal, uma grande fonte de renda para o país. Se outros países do mundo adotarem o mesmo raciocínio empregado pelos Estados Unidos – de que uma empresa russa é obrigada a cumprir ordens da Rússia para espionar em nome dela -, então também há argumento para proibir os programas e serviços norte-americanos.

E, realmente, o governo norte-americano e seus agentes nunca esconderam a vontade de poder obrigar empresas do país a cumprirem ordens judiciais e a cederem informações, mesmo quando que os dados estejam armazenados fora do território americano. A Microsoft venceu uma batalha judicial nos Estados Unidos que ia exatamente nessa direção.

Fora do sistema judiciário, empresas norte-americanas são obrigadas a cumprir – em total sigilo – ordens recebidas nas chamadas “Cartas de Segurança Nacional” (NSL, na sigla em inglês). É um tipo de mecanismo idêntico ao que os Estados Unidos temem que a Kaspersky Lab seja obrigada a obedecer na Rússia.

Esse mar de evidências de possíveis abusos do governo norte-americano, junto de tudo que já se sabe sobre a atuação das agências de inteligência dos Estados Unidos no sentido de espionagem e sabotagem, contrapõe-se com a escassez de provas que os norte-americanos têm contra a Rússia.

As provas de que a Kaspersky Lab estaria colaborando com o governo russo se resumem a e-mails datados de 2009 em que o alto escalão da empresa – inclusive o fundador, Eugene Kaspersky – discutiam serviços sob medida solicitados pela FSB, a agência de inteligência do governo russo. Os e-mails, revelados pelo site “Bloomberg”, são autênticos, por admissão da própria empresa. Mas, segundo a Kaspersky Lab, a comunicação trata apenas de serviços personalizados oferecidos a um cliente. Não há colaboração com campanhas de espionagem.

Ao lado da Kaspersky Lab está o seu histórico: a empresa é notória por expor campanhas de espionagem, inclusive quando estas são atribuídas (normalmente por terceiros) ao governo russo.

Países mais cautelosos já adotam software livre em sistemas sensíveis, mas a atitude dos Estados Unidos, de proibir um software russo em todas as agências de departamento da esfera civil do governo, sinaliza a possibilidade de uma postura mais agressiva. Pior: o país perde a razão se argumentar em órgãos internacionais, como a Organização Mundial do Comércio (OMC), de que impor esse tipo de restrição beneficia injustamente os fabricantes de software locais.

Como os Estados Unidos são um importante aliado comercial e político de vários países do globo e seus produtos tecnológicos são quase indispensáveis, é improvável que muitos governos adotem restrições contra a tecnologia norte-americana. Até a Rússia terá dificuldade de retaliar, caso queira. No entanto, agora que a carta está em jogo, ela pode ser facilmente usada contra os americanos em uma hora oportuna — especialmente se as autoridades do país persistirem em sua guerra contra a criptografia, que deve fragilizar os produtos e serviços projetados por lá.

Fonte: G1

McAfee em rota de colisão com Kaspersky

Duas das maiores empresas de softwares antivírus do mundo estão caminhando para uma possível desavença. A McAfee, para divulgar seu novo produto, citou que o FBI pediu a remoção da Kaspersky de computadores norte-americanos por causa de possíveis ligações com espiões da Rússia.

“O FBI aconselha a remoção da Kaspersky por laços suspeitos com espiões russos”, diz a McAfee na página de venda do software Total Protection. A resposta da Kaspersky veio das mãos do próprio CEO, Eugene Kaspersky, que escreveu o seguinte no Twitter: “A McAfee junta-se ao Hall of Shame da cibersegurança” — não há uma tradução clara para Hall of Shame, mas seria algo como “Cantinho da Vergonha”.

Eugene Kaspersky disse que a McAfee foi parar no Cantinho da Vergonha

Em recente entrevista, Eugene Kaspersky,abordou a questão do FBI, que havia indicado ligação da companhia com o governo russo. Sobre o caso, Eugene respondeu o seguinte:

“Parece uma guerra fria civil, uma guerra fria política nos Estados Unidos. Eles usam a Rússia como argumento para essa briga. Então, estar no meio desse conflito como uma companhia não é algo prazeroso, não é confortável. E todas essas notícias falsas e mensagens falsas que eles usam, eu me sinto como um boneco no jogo político. Eu não posso mudar [isso], porque é uma criação deles. A única coisa que eu posso fazer é explicar que não é verdade…”, disse Kaspersky.

Para colocar uma pá de cal no assunto, o CEO ainda disse que a empresa “coopera com departamentos policiais, investigadores e a cibersegurança nacional em várias nações, até no Brasil”.

Todas essas notícias são falsas. É uma guerra fria política e talvez não esteja tão fria neste momento

“Nós tratamos o governo russo da mesma maneira que tratamos o brasileiro. Nós compartilhamos dados específicos sobre o cibercrime, essa é a única maneira que cooperamos, seja com a Rússia, com o Brasil ou com os nossos clientes. Os EUA têm uma política de democracia e possuem ‘informações confidenciais’? Eles nos culpam dizendo que espionamos nossos clientes. Isso não é verdade. Na verdade, eles que fazem isso há muitos anos. A mídia americana faz isso há muitos anos. Eles não têm provas, qualquer prova qualquer nome [de que a Kaspersky espiona usuários]. Eles dizem que isso é “informação confidencial”. Vamos lá… Eles têm uma política de democracia e possuem “informações confidenciais”? Eles não têm qualquer prova, todas essas notícias são falsas. É uma guerra fria política e talvez não esteja tão fria neste momento”.

Fonte: Tecmundo