Esquema contamina roteadores para exibição de anúncios publicitários

malvertisingA empresa de segurança norte-americana Proofpoint identificou uma forte campanha de malvertising focada no Google Chrome capaz de infectar roteadores para a exibição de anúncios publicitários.
O ataque se dá através de banners aparentemente legítimos que, na verdade, tentam identificar e explorar vulnerabilidades em diversos tipos de modelos domésticos de roteadores.

Os cibercriminosos compram espaço publicitário em redes conhecidas e sites populares. Entretanto, um código JavaScript malicioso inserido nos anúncios é capaz de redirecionar o usuário através de um iframe imperceptível para um servidor que analisa o tipo de roteador utilizado. Se comprovada a rede doméstica, o ataque testa 166 diferentes pacotes de exploits desenvolvidos para penetrar em falhas de segurança de vários tipos de roteadores.

Usando táticas avançadas e criptografia para camuflar o tráfego, a operação acontece em questão de segundos, segundo a Proofpoint. O resultado é a contaminação do roteador, que passa a substituir propagandas legítimas de outras redes por anúncios de produtos afiliados aos cibercriminosos ou até mesmo injetar banners em páginas onde eles não aparecem normalmente. Entre as marcas afetadas de roteadores estão aparelhos da Linksys, Netgear, D-Link, Comtrend, Pirelli e Zyxel.

De acordo com a empresa de segurança, o ataque independe da força da senha de administrador do roteador ou da desativação do painel de controle. A única forma de barrar o ataque é através de uma atualização de firmware do dispositivo, uma vez que a grande maioria de vulnerabilidades exploradas pelos criminosos já foi corrigida pelos fabricantes.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte

Cuidado: anúncios maliciosos estão em toda a rede

malvertisingNa semana passada, o Spotify exibiu anúncios perigosos em seu serviço. Mas esse é apenas o exemplo mais recente de um problema antigo: o malvertising.

A semana passada foi um tanto tensa para muitos assinantes do Spotify. Um usuário reportou no fórum de suporte que a versão gratuita do serviço estava exibindo anúncios maliciosos. Pouco tempo depois, uma avalanche de relatos semelhantes apareceu ali e em redes sociais. O assunto gerou indignação, é claro: como uma empresa desse porte deixa uma coisa dessas acontecer? A verdade é que, se fosse só com o Spotify, estaria bom.

Malvertising

Anúncios maliciosos na internet são um problema antigo, tanto que ganhou nome: malvertising. Se for para resumir, um malvertising nada mais é do que um anúncio que propaga malwares. Mas, hoje, esse tipo de anúncio é evoluído o bastante para atender a vários propósitos distintos, especialmente capturar dados, aplicar golpes e comercializar produtos ilegais.

Não é difícil identificar anúncios maliciosos. Os mais clássicos, por assim dizer, dizem que você vai receber um prêmio por ser o visitante de número 1 milhão daquela página, afirmam que o seu computador está com vírus e oferecem uma fórmula mágica para você ganhar dinheiro enquanto dorme, só para dar alguns exemplos.

Geralmente, esses anúncios são exibidos em sites de qualidade duvidosa, como aqueles que disponibilizam conteúdo adulto ou distribuem links para downloads ilegais. O problema é que ninguém espera que anúncios maliciosos apareceram em sites ou serviços com boa reputação. Mas, de vez em quando, eles aparecem.

O Spotify é apenas o caso mais recente. Yahoo, Google, Microsoft (com o portal MSN) também já passaram por problemas semelhantes. No Facebook, anúncios sobre lojas falsas surgem todos os dias. Vez ou outra, o Twitter também exibe publicidade perigosa. Há inúmeros mecanismos de controle, mesmo assim, nenhum site que trabalha com anúncios está imune ao malvertising.

Como os anúncios maliciosos vão parar lá?

Os anúncios que você encontra na web, nas redes sociais e em outros serviços online quase sempre são controlados por redes de publicidade que lidam com muito tráfego. As empresas responsáveis normalmente estabelecem critérios rígidos de segurança e qualidade para evitar que anúncios sejam usados para disseminar malwares, promover produtos proibidos, divulgar esquemas fraudulentos e por aí vai.

Há um ditado que diz que uma regra serve para ser quebrada, o que indica que um conjunto rígido de critérios não é suficiente para combater o malvertising. Mecanismos de controle são igualmente importantes. A barreira mais eficiente é a análise humana, mas é inviável manter um exército gigantesco de pessoas para aprovar (ou reprovar) cada anúncio, por isso, as redes de publicidade também empregam tecnologias de filtragem.

Com serviços como AdWords e DoubleClick, o Google controla a maior parte dos anúncios veiculados na internet, seja em seus próprios serviços, seja em sites parceiros. A companhia afirma ter bloqueado, só em 2015, 780 milhões de anúncios maliciosos graças à combinação de algoritmos sofisticados com os esforços de uma equipe com mais de mil analistas.

Em outras redes também há esse tipo de controle, mas como a quantidade de anúncios que aparece todos os dias é gigantesca, muitos anúncios maliciosos acabam passando pelos filtros. Sem contar que os responsáveis por esses anúncios também se aperfeiçoam: um dos vários truques usados por eles recentemente para conseguir aprovação é registrar domínios expirados que outrora pertenceram a empresas de publicidade.

Mas o pior problema, receio, é a “cegueira intencional”: não é raro uma rede de publicidade ou um veículo fazer vista grossa para anúncios maliciosos por conta da expectativa de boa remuneração. Também há empresas do ramo que simplesmente têm regras menos rígidas, fazendo anúncios potencialmente perigosos serem, tecnicamente, legítimos.

No Brasil, um exemplo notável de anúncio prejudicial, mas legítimo do ponto de vista técnico, foi o da Neon Eletro. Entre 2012 e 2013, a loja veiculou anúncios na página principal do UOL promovendo produtos eletrônicos com preços muito abaixo da média. Os anúncios da loja não disseminavam malwares ou tentavam capturar dados do usuário. Mas os preços irreais oferecidos só podiam indicar uma coisa: fraude.

Era fraude mesmo, tanto que o site saiu do ar pouco tempo depois de o Gizmodo Brasil detalhar o assunto. Mas como os anúncios eram exibidos em um grande portal (além de outros veículos, como o SBT), muita gente acreditou nas ofertas. Ninguém espera que veículos grandes e sérios submetam seus visitantes a esse tipo de risco.

Ruim para a indústria, pior para o usuário

No caso do Spotify, os anúncios — desativados após as denúncias — quase sempre direcionavam para páginas que disseminavam malwares. Esse é o objetivo mais frequente. Os malwares podem ser usados para espalhar um software que captura dados sigilosos ou aplicar configurações que fazem o navegador apontar para uma loja online falsa, por exemplo.

Muitas vezes, não é necessário clicar no anúncio. A peça pode conter um código que explora uma vulnerabilidade no navegador ou no sistema operacional. Assim, a simples exibição consegue ser suficiente para a infecção.

A já abordada variedade que promove fraudes também é comum, assim como aquelas que expõem o usuário a produtos ilegais ou questionáveis, como drogas que prometem emagrecimento rápido ou comercializam itens falsificados.

Para a indústria da publicidade, os efeitos dos anúncios maliciosos também são terríveis. Segundo a IAB, uma das mais importantes associações para assuntos ligados à publicidade online, o segmento perde mais de US$ 8 bilhões por ano apenas com atividades fraudulentas.

Não é difícil entender. Além do prejuízo com devolução de valores, pagamentos não efetuados e afins, anúncios maliciosos disputam espaço com publicidade legítima. Como, na maioria das redes, os anunciantes pagam pela exibição de anúncios em um sistema de leilão, os custos para eles acabam aumentando com essa disputa.

Outro ponto de preocupação: anúncios maliciosos são um dos fatores que contribuem para o aumento do uso de bloqueadores de anúncios. É por isso que o setor vem se esforçando para aperfeiçoar e desenvolver tecnologias de combate ao malvertising.

Mas tudo indica que essa continuará sendo uma briga de gato e rato. Por conta disso, as já clássicas dicas de segurança continuam valendo: desconfiar de ofertas milagrosas, manter sistema operacional e aplicativos (principalmente navegadores) atualizados e redobrar os cuidados com redes Wi-Fi públicas são um bom jeito de lidar com o problema.

Talvez essas orientações sejam triviais para você. Nesse caso, convém instruir pessoas próximas que não são tão familiarizadas com a internet. Elas são justamente as principais vítimas dos anúncios maliciosos.

Fonte: Tecnoblog

Bloqueio de propagandas pode acabar com malvertising

malvertising

O cenário de ameaças é famoso por sua volatilidade. Ameaças específicas que eram populares entre os blak hats um ano atrás podem ser renegadas no ano seguinte, por uma série de razões. A Trend Micro prevê que um dos vetores de infecção mais bem-sucedidos em todos os lugares – o malverstising – pode finalmente estar de saída em 2016 graças ao crescimento da conscientização e uma maior disponibilidade e uso de tecnologias de bloqueio.

Mas, cuidado: os cibercriminosos são um bando resiliente e quando uma porta se fecha, outra sempre está abrindo, comprometendo usuários da Internet desavisados através de uma rota diferente.

O problema do malvertising
O malvertising se tornou um método cada vez mais popular para propagar malware este ano, com os cibercriminosos procurando se aproveitar da enorme complexidade da economia de anúncios online e da falta de uma verificação de segurança adequada por parte de algumas redes e plataformas de anúncios. Ao infectar apenas uma rede de anúncios –por exemplo, a Yahoo ou a AOL – eles podem distribuir malware para centenas ou milhares de sites que contrataram essa rede, e também bilhões de visitantes mensais. Cada vez mais eles estão usando técnicas de ofuscação para ficarem escondidos mais tempo.

Em alguns casos os usuários têm que clicar fisicamente em um anúncio para ficar infectado. Nesses casos a engenharia social é geralmente usada para enganá-los, levando-os a fazer exatamente isso. Mas um método mais certeiro envolve um drive-by-download. O usuário precisa apenas visitar uma página infectada para começar a instalação do malware. Considerando que todos os sites publicam anúncios – desde redes sociais até sites de e-commerce, novos hubs e outros – ninguém está totalmente a salvo. E não são apenas os usuários pessoais que estão arcando com o ônus dessa epidemia online. As redes de anúncios sofrem um golpe em sua reputação todas as vezes que são infectadas, enquanto os proprietários do site muitas vezes são considerados culpados pelos usuários que são infectados ao acessar suas páginas.

Mais recentemente, começamos a ver campanhas de malvertising ligadas a exploits kits infames como o Angler espalhando ransomware e outras coisas desagradáveis online. O blog de um jornal do Reino Unido, The Independent, foi um desses sites afetados por uma recente campanha generalizada envolvendo o ransomware TeslaCrypt.

Invertendo as coisas
Então, o que se pode fazer? Bem, sempre aconselhamos os usuários a utilizarem ferramentas antimalware avançadas com tecnologia de sandboxing para detectar comportamentos maliciosos. Também é importante manter os navegadores e plugins atualizados para impedir qualquer risco, enquanto a reputação de arquivos e da web bloqueiam a sequência de redirecionamento e detectam cargas.

Mas outra tecnologia pode expulsar os malvertising da empresa mais rapidamente. Considerando a crescente disponibilidade de recursos para bloquear anúncios nos produtos e serviços de fornecedores, combinados a uma maior conscientização sobre anúncios maliciosos irão acabar com os malvertising. Por exemplo, a Apple o incluiu em seu Safari iOS 9 e existem muito mais bloqueadores de anúncios disponíveis na App Store e no Google Play.

De fato, o relatório sobre Bloqueio de Anúncios do PageFair e Adobe de 2015 revelou um aumento global de 41% no uso de software de bloqueio em 2015. Cresceu ainda mais nos EUA, 48%, atingindo 45 milhões de usuários mensais ativos no 2º Trim.

Mas antes de estourarmos o champanhe, as coisas raramente são tão simples quando se trata do cenário de ameaças. Os cibercriminosos sempre estão procurando o caminho mais fácil para conseguir seus objetivos de ganhar dinheiro. Em 2016, é bem provável que o caminho do malvertising será, em grande parte, bloqueado. Mas isso só vai fazer com que eles procurem uma outra rota mais fácil e mais eficaz para infectar os usuários. Isso pode significar um pico nos ataques tradicionais de watering hole, envolvendo drive-by-downloads de páginas populares da web infectadas. Ou o crescimento de outros vetores de ameaças.

Uma coisa é certa: Os usuários da Internet não podem baixar a guarda em 2016, mesmo que possamos finalmente dizer “adeus e boa viagem” para o malvertising.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog

Anúncios maliciosos contaminam sites de conteúdo adulto

conteudo_adulto

Centenas de sites de conteúdo adulto, como RedTube e PornHub, foram alvo de malvertising – publicidade maliciosa que infecta com malwares os dispositivos de visitantes das páginas. A ação foi descoberta nos últimos meses pela empresa de segurança Malwarebytes.

De acordo com a companhia, os anúncios são hospedados pela rede AdXpansion e não precisam ser clicados para afetar o visitante de um site.”O resultado final de PCs infectados ainda é o mesmo, mas como a maioria das formas de malvertising, os próprios sites tendem a ter pouco controle sobre o que anúncios são servidos para os seus visitantes”, explica Chris Boyd, analista da Malwarebytes.

A empresa revela que entrou em contato com a rede AdXpansion para informá-la do problema, mas ainda não obteve respostas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Crackers usam vídeos de publicidade para espalhar malware

hackerNovo método pode virar uma dor de cabeça e tanto para o mercado publicitário à medida que os vídeos ficam cada vez mais difundidos na web.

Os cibercriminosos vem entregando malware por meio de anúncios online há anos, mas agora eles parecem estar a caminho de usar um novo método de distribuição: anúncios em vídeo.

Ambos os métodos de ataque, conhecidos como malvertising, podem ter um amplo impacto e são uma grande dor de cabeça para o mercado publicitário. Um único anúncio malicioso, distribuído para vários sites com muitos acessos, podem expor dezenas de milhares de computadores a malware em um curto período de tempo.

Algumas redes e publicadores de anúncios tomaram medidas para proteger melhor seus anúncios, mas os criminosos estão sempre em busca de novas vulnerabilidades.

Um ataque detectado há cerca de duas semanas mostra como os cibercriminosos estão mostrando mais interesse em criar anúncios maliciosos em vídeo.

Os ataques com anúncios em vídeo já foram vistos antes, mas esse mais recente foi notável pelos sites que afetou, incluindo várias das páginas com maior tráfego na web, segundo a consultoria Alexa.

O incidente foi registrado pela The Media Trust, uma empresa que desenvolve serviços e ferramentas de segurança para detectar malvertising.

Por cerca de 12 horas, a partir de 29 de outubro, algo em torno de 3 mil sites exibiram o anúncio em vídeo malicioso, que mostrava uma janela pop-up com o apelido “Tripbox”.

O pop-up alertava os usuários de que era necessário um update para o navegador, como o Safari, da Apple, e, caso as pessoas seguissem as instruções, uma backdoor era baixada para o computador.

Os vídeos publicitários são um alvo atraente para os crackers porque são muito mais difíceis de serem vetados por qualidade do que os banners, afirma o CEO da Media Trust, Chris Olson.

Além disso, os anúncios em vídeo são mais caros de que comprar do que banners, o que ajudou a manter os criminosos afastados. Eles querem infectar o maior número de computadores possível, mas ainda precisam pagar pelas impressões. Mas os preços estão caindo, tornando o vídeo um veículo mais atraente para isso.

No incidente de duas semanas atrás, o conteúdo malicioso veio de um domínio chamado brtmedia[.]net. Não ficou claro se esse domínio está conectado com a BRT Media, que parece ser uma empresa de publicidade online. Os responsáveis pela companhia não puderam ser encontrados por e-mail para comentar o assunto.

Olson disse que é difícil estimar quantos computadores podem ter sido expostos ao anúncio malicioso. Mas destaca o que pode ser um problema em ascensão à medida que o vídeo torna-se mais difundido.

“Isso significa que as empresas servindo anúncios em vídeos e os publicadores que monetizam por meio de vídeos publicitários precisam prestar atenção ao canal de vídeos, assim como fariam com banners ou outro código de terceiros que são rodados em seus sites”, afirma o especialista.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Symantec alerta sobre campanha fraudulenta que faz uso de malvertising

MalvertisingA Symantec detectou uma campanha de malvertising – tipo de anúncio publicitário online que geralmente é usado para espalhar malware na internet – direcionada para a língua portuguesa, em particular aos residentes no Brasil. O objetivo deste tipo de ameaça é redirecionar os usuários para sites maliciosos e contaminar o computador desse internauta com um malware. As vítimas são atacadas ao visitar qualquer um dos milhares de sites suportados por anúncios, incluindo os populares MSN, UOL e Globo.

Ao longo da investigação, a Symantec registrou quase 150 mil ataques por dia do mesmo invasor, que enviou o conteúdo mal-intencionado por meio de dois domínios. Em abril de 2015, os ataques vieram do domínio sepabi.com. Ao começar a gerar suspeitas, o invasor registrou um novo domínio: abespi.com (um anagrama de sepabi.com), quando os ataques disparados pelo domínio mais antigo foram interrompidos, o que demonstrou um forte vínculo entre os dois domínios. É interessante notar que o domínio abespi.com foi registrado para Jake Muller (provavelmente uma referência a um personagem do popular jogo Resident Evil) e inclui um endereço de caixa postal da Califórnia. O outro domínio, usado no início do ano, foi registrado em Chipre, mas não fazia referências à jogos em que os personagens enfrentam zumbis.

A Symantec começou a contatar os portais afetados por esse ataque, mas, devido ao grande número de ataques, a empresa recomenda aos sites brasileiros que tomem medidas para erradicar esses anunciantes fraudadores de sua cadeia de clientes, e também criem uma lista negra desses sites maliciosos.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: TI InsideOnline 

Saiba o que é malvertising e porque ele está aumentando

MalvertisingMalvertising lembra de propaganda má, certo? De fato é uma má propaganda, mas não contém necessariamente um jingle pegajoso ou um mascote. Malvertising é a abreviatura para propaganda maliciosa (de malware ou vírus) e é uma tática utilizada pelos cibercriminosos para disseminar malwares através de propagandas maliciosas em sites legítimos. Grandes sites como a Reuters, Yahoo e o YouTube já caíram vítimas da malvertising no passado.

Como os usuários e as pequenas empresas podem se proteger da malvertising?

A malvertising coloca em grande risco tanto os visitantes do site quanto as empresas de onde se conectam. Os visitantes de um site podem ser infectados com malwares através da malvertising, que depois pode roubar seus dados pessoais, ao mesmo tempo que mancha a reputação das empresas caso elas hospedem malvertisments em seus computadores. Até empresas que pagam para que suas propagandas sejam mostradas em sites podem sofrer perdas financeiras através de alguns tipos de malvertising porque estas podem substituir as suas próprias propagandas.

Para proteger a si mesmas, as pequenas e médias empresas devem ter certeza de que utilizam as versões mais atualizadas dos seus programas de propaganda, além de contarem com senhas fortes que impeçam o hackeamento automático dos seus sistemas, além é claro de utilizar um antivírus gratuito, o Avast para Empresas, que detecte e limpe os scripts maliciosos dos seus servidores. Os consumidores finais também devem manter os seus programas atualizados e ter certeza de que utilizam um antivírus que os proteja de arquivos maliciosos que podem transformar os seus próprios computadores em um robô espalhador de vírus. Outra consequência nefasta é que os computadores se tornam lentos e correm o risco de terem sua privacidade invadida. Os usuários do Avast podem executar o Software Updater para ajudar a identificar os programas desatualizados.

Como a malvertising funciona?

As empresas utilizam sistemas de propaganda para colocar e gerenciar a propaganda em seus sites, ajudando-as a ganhar dinheiro. Os sistemas de propaganda podem, no entanto, conter falhas. Em geral, estas falhas são conhecidas dos criminosos porque tornam o “trabalho” deles muito mais fácil. Acredite, falhas e vulnerabilidades em sistemas de propaganda não são uma exceção. Os cibercriminosos podem tirar vantagem das falhas de um sistema e distribuir propaganda infectada através de outros sites conhecidos e de difícil hackeamento.

Por que os cibercriminosos gostam da malvertising

Os cibercriminosos adoram a malvertising porque é uma maneira muito simples de enganar os visitantes de site para que cliquem nas suas propagandas maliciosas. Os cibercriminosos têm grande taxas de sucesso com a malvertising porque a maioria das pessoas não imagina que as propagandas “normais” que são mostradas nos sites que confiam sejam maliciosas. Colocar o alvo nos sites populares não só aumenta as chances dos cliques, mas também permite que os cibercriminosos dirijam os tiros para países específicos e pessoas que normalmente não seriam facilmente atingidas. Outra razão pela qual a malvertising é atraente aos cibercriminosos é porque que ela geralmente passa despercebida, uma vez que o código malicioso não é hospedado no site onde a propaganda está sendo mostrada.

Exemplos de malvertising

Um exemplo de um sistema de propaganda com uma rica história de falhas é a plataforma Revive Adserver, formalmente conhecida como OpenX. No passado, os hackers obtinham as credenciais de login do administrador na plataforma através de uma injeção de código SQL. Os hackers podiam então enviar um Trojan e outras ferramentas para controlar o servidor. O resultado é que eles conseguiam modificar os banners de propaganda que redirecionavam os visitantes do site para outro site que continha malware. Se a vítima estivesse utilizando um software desatualizado, o programa podia baixar e executar o código malicioso.

Outra família de malwares que o Avast identificou e que está muito disseminada na internet através de malvertising era a Win32/64:Blackbeard. O Blackbeard é um fraude via robô-propaganda que atingiu principalmente os Estados Unidos. De acordo com a telemetria do Avast, o Blackbeard infectou centenas de novas vítimas a cada dia. O Blackbeard utiliza o computador da vítima como um robô, mostrando propagandas online e clicando nelas sem o consentimento da vítima. O resultado é o lucro dos operadores das redes de computadores zumbis, com as empresas deixando de receber por suas propagandas legítimas que já não eram clicadas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Avast blog