Os codinomes dos espiões utilizados pela CIA

A Agência Central de Inteligência dos Estados Unidos (CIA) teve várias ferramentas de vigilância de massa reveladas pela WikiLeaks ao longo das últimas semanas. São gadgets e malwares voltados para explorar vulnerabilidades de roteadores, invadir smartphones e até controlar computadores — você pode saber mais sobre isso clicando aqui. Porém, uma coisa é notável: a capacidade da CIA de dar nomes imbecis para ferramentas e malwares. Canguru Brutal? Vamos lá, caras, sejam mais maduros.

Como notou o pessoal do The Next Web, alguns nomes ganham até crédito pela criatividade e pelo fator humor — como se invadir a vida de cidadãos respaldados pela lei fosse algo a se fazer graça. Porém, outros nomes mostram apenas como os programadores que trabalham para a CIA, às vezes, beiram a infantilidade, apesar do conhecimento técnico absurdo.

Abaixo, você conhecer os melhores e os piores nomes escolhidos pela CIA para batizar os malwares utilizados. Acompanhe.

Canguru Brutal

O “Brutal Kangaroo” é um malware que infecta dispositivos via porta USB usando táticas de esteganografia. Agora, o motivo de usar canguru? Simplesmente porque os dados roubados do PC/notebook “pulam” para o pendrive espetado.

Anjo Chorão

Este é o malware WeepingAngel que tem como alvo as smartTVs da Samsung, permitindo que a CIA acesse o microfone integrado na TV. No show Doctor Who, os Anjos Lamentadores são estátuas que se mexem e atacam pessoas — será que tem ligação?

Lugia, Starmie, Totodile, Flaaffy, Steelix, Dugtrio e Spearow

É sério isso: os profissionais da CIA são fascinados por Pokémon. Boa parte dos malwares possuem nomes dos monstrinhos do desenho animado. Legal, né? Definitivamente Não.

Espirro de panda

Os caras simplesmente pegaram o nome de um dos melhores vídeos na internet (Panda Sneeze) e usaram em um malware que invade a privacidade das pessoas. Que vergonha, CIA.

Tempura

Seriam otakus os hackers da CIA? Veja só: memes, pokémons e tempura. É a combinação matadora. No caso, sendo mais específicos, o “Tempura” é usado mais pela GCHQ, que fica no Reino Unido e analisa o tráfego de rede de cabos submarinos. Bom, mas vale a menção.

Fontes: Tecmundo e TNW

A volta de um malware para Android com mais poderes

A companhia de segurança Trend Micro descobriu que um antigo malware do Android voltou a atuar ainda mais forte do que antes. Chamado de GhostCtrl, o software malicioso se passa por apps legítimos a fim de infectar o seu dispositivo e, com isso, transforma o seu dispositivo em um espião, além de permitir que hackers controle o dispositivo remotamente e à sua revelia.

Segundo os pesquisadores da empresa holandesa, foram encontradas três variações do GhostCtrl, com duas delas sendo capazes de danificar dados e controlar diversas funções de um dispositivo. A terceira, porém, é ainda pior, pois combina o que há de melhor nas duas primeiras e ainda oferece mais perigo.

Ainda de acordo com a Trend Micro, este “novo” malware é, na verdade, uma evolução de um antigo conhecido. O GhostCtrl teria sido criado a partir do OmniRAT, um exploit descoberto há algumas semanas e responsável por roubar dados de hospitais em Israel ao sequestrar remotamente computadores com Linux, Mac e Windows via Android.

Se apresenta disfarçado

Como é comum na atuação de malwares, o GhostCtrl se espalha disfarçado como apps legítimos. Segundo a Trend Micro, ele se camufla como aplicativos legítimos, como WhatsApp e Pokémon GO, para instalar o malware em si abrir uma backdoor nos dispositivos infectados. Essa brecha de segurança é aproveitada por hackers, que começam a realizar uma série de ações sem o conhecimento (muito menos a autorização) do usuário.

Isso permite, por exemplo, que alguém colete informações privadas em um smartphone (como registro de chamadas ou SMSs), envie mensagens de texto ou faça ligações, apague, copie ou altere arquivos armazenados no gadget, baixe novos arquivos, controle o sistema infravermelho do aparelho e muito mais.

Até mesmo modificar senhas e ativar ou desativar as conexões Bluetooth estão entre as possibilidades, denotando o risco do GhostCtrl. Para evitar problemas com esse tipo de malwre, a dica dada pelos especialistas é manter o Android sempre atualizado e também restringir as permissões dos aplicativos em relação aos seuis daos mais sensíveis.

Fonte: Tecmundo

Promoção da Nespresso que circula no WhatsApp é golpe

Uma promoção falsa da marca de café Nespresso está circulando nas redes sociais no Brasil. A promessa é ganhar uma cafeteira grátis para virar testador da marca. A mensagem, que virou uma espécie de corrente compartilhada entre amigos no Whatsapp, contém um link com vírus.

A Nespresso confirmou que a promoção é falsa.

Fonte: G1

Próxima atualização do Windows contará com IA para combater malwares

Na próxima grande atualização do Windows, a Fall Creators Update, a Microsoft pretende fazer uma grande aposta na segurança do seu sistema e vai recorrer a mecanismos de inteligência artificial para melhorar o Windows Defender Advanced Threat Protection (ATP), serviço destinado ao mundo empresarial.

Devido aos ataques cibernéticos registados nos últimos tempos, espalhados por todo o mundo, e que se aproveitaram de falhas do Windows, como foram nos caso do WannaCry e do NotPetya, a Microsoft se convence da necessidade de melhorar os seus mecanismos de segurança, em especial aqueles no segmento empresarial.

Com a implementação da inteligência artificial o software ATP vai estar ligado a um ambiente na nuvem da empresa e vai ter a habilidade de, instantaneamente, conseguir coletar informações referentes a ataques anteriores.

Com esta conexão constante a um grande serviço na nuvem, o sistema será capaz de agir rapidamente contra um ataque colocando o malware imediatamente de quarentena e criando em seguida uma “assinatura” que o identifica e permite a pesquisa e o compartilhamento da informação sobre o mesmo, permitindo assim a extensão da proteção a outros computadores.

Cerca de 96% dos ataques cibernéticos utilizam um novo malware , mesmo que seja uma forma modificada de um outro já existente, e ao conseguir compartilhar instantaneamente a informação com os servidores da empresa, garante-se uma proteção mais rápida a todos os usuários.

Inicialmente esta ferramenta estará disponível apenas para os clientes empresariais mas, segundo o que a CNET informa, a Microsoft também poderá vir a disponibilizar esta solução de segurança para todos os demais usuários.

Agradecemos ao Pedro Damas, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Sapo

Trojan para Android escondido na Google Play

Já removido pelo Google da sua loja, malware foi baixado mais de 50 mil vezes, segundo a empresa de segurança Kaspersky Lab.

Um novo Cavalo de Troia para aparelhos Android chamou a atenção dos pesquisadores de segurança da Kaspersky Lab na última semana. Distribuído como um jogo pela loja oficial da plataforma, a Google Play Store, o malware consegue obter direito de acesso à raiz do smartphone, segundo a companhia de segurança.

Além disso, a ameaça também pode assumir o controle do aparelho Android ao injetar código malicioso na biblioteca do sistema. Ao conseguir isso, o trojan pode excluir o acesso à raiz, em uma tentativa de evitar a sua detecção.

Segundo a Kaspersky, o Cavalo de Troia em questão já foi baixado mais de 50 mil vezes pela Google Play Store desde o último mês de março. Depois de ficar sabendo da ameaça pela Kaspersky, o Google retirou a ameaça da Play Store.

“Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, explica o analista sênior de malware da Kaspersky Lab, Roman Unuchek.

O que fazer

Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica, conforme a empresa.

Fonte: PCWorld

Malware com capacidade de contaminar seu PC sem download ou clique do mouse

Qual a principal recomendação para não infectar o seu computador com malwares, spywares, trojans etc? Não clique em links suspeitos e não baixe arquivos de desconhecidos. Bem, não vamos parar de fazer isso, mas um novo tipo de malware simplesmente ignora esse passo para infectar a sua máquina.
Pesquisadores da Trend Micro descobriram um malware que instale um Trojan a partir de uma ação da vítima: colocar o ponteiro do mouse sobre um link. Exatamente: você não clica no hyperlink; basta colocar o mouse sobre a área destacada que o malware é ativado.

O Trojan presente neste malware tem a capacidade de roubar senhas de redes sociais, sites diversos e informações bancárias

A Trend Micro nota que essa técnica já foi utilizada por cibercriminosos em um ataque via spam de email — os alvos eram empresas e organizações na Europa, Oriente Média e África. Nestes emails, além de um texto de phishing que buscava ludibriar o alvo, havia uma apresentação em PowerPoint anexa.

Neste arquivo PowerPoint, um hyperlink no centro diz o seguinte “Loading… please wait” (Carregando… por favor espere). Assim que a vítima coloca o ponteiro do mouse sobre o link com esses dizeres, um script PowerShell é executado. A empresa de segurança que descobriu o vírus nota que, se você estiver utilizando a última versão do Microsoft Office, o malware ainda precisa de aprovação do usuário para entrar no PC — então, trate de atualizar o software.

O Trojan presente neste malware tem a capacidade de, assim que infectar o PC, roubar senhas de redes sociais, sites diversos e informações bancárias, caso a vítima utilize internet banking. De acordo com a Trend Micro, este tipo de ataque não está mais acontecendo, contudo, a técnica existe e poderá ser empregada em ataques futuros.

Então, como eu me protejo de um ataque assim, já que apenas passando o mouse sobre o link, meu PC é infectado?

O padrão de não baixar nem clicar em links suspeitos continua. Agora, sabendo dessa nova técnica, é interessante não buscar os arquivos que são enviados via email por terceiros desconhecidos. Além disso, mantenha o seu sistema operacional atualizado e tenha uma boa ferramenta antivírus instalada.

 

Malware Fireball já infectou mais de 24 milhões de PCs no Brasil

países mais afetadosPesquisadores da empresa de segurança Check Point descobriram um malware chamado Fireball. As informações, postadas hoje no site oficial da companhia, dizem que o malware já infectou mais de 250 milhões de computadores no mundo — e mais de 24 milhões apenas no Brasil. Os sistemas operacionais afetados são Windows e Mac OS.

Segundo os pesquisadores, o Fireball é um pacote de adware que tem a capacidade de controlar totalmente navegadores de internet como Google Chrome, Mozilla Firefox, Safari, Internet Explorer, Microsoft Edge etc. Ao infectar o navegador, o browser se torne um “zumbi”, permitindo que cibercriminosos espionem as atividades do alvo e roubem dados sensíveis.

No que toca aos dados sensíveis, estamos falando de fotos, vídeos, textos, planilhas, senhas de redes sociais, senhas de internet banking etc. A Check Point nota que os rastros do Fireball indicam ligação com uma companhia chinesa chamada Rafotech que, em sua página oficial, diz que faz marketing digital e desenvolve games para mais de 300 milhões de consumidores.

Mais detalhes sobre o malware

Ao que parece, a empresa citada está utilizando o Fireball para injetar propagandas em navegadores e gerar receita com a ação maliciosa. Entre os sinais de infecção, por exemplo, está a alteração de configurações do navegador, como a alteração automática de sua página inicial e sites de busca com mecanismos falsos — um deles, que foi citado no relatório, é o trotux.com.

“Olhando por uma perspectiva técnica, o Fireball emprega técnicas de evasão bem sofisticadas e de alta qualidade, com capacidade anti-detecção, estrutura de camadas múltiplas e C&C flexível”, comentou a Check Point.

Isso significa que, resumidamente, o malware Fireball tem tanto a capacidade de gerar dinheiro para cibercriminosos via propagandas quanto ser um espião/ladrão de dados sensíveis. Não é por menos que, uma ferramenta com tantas pontas como esta, já infectou mais de 250 milhões de computadores no mundo.

Dentro destas 250 milhões de máquinas, 20% operam em redes corporativas. Ou seja, são PCs de empresas, e não de uso doméstico. O país mais afetado até o momento é a Índia, com 25,3 milhões de infecções; enquanto isso, o Brasil é o segundo com 24,1 milhões de PCs tomados. O TOP 5 fecha com México, Indonésia e Estados Unidos, respectivamente.

Como se proteger do Fireball

Apesar do poder destrutivo do Fireball — e de muitas pessoas terem baixado o malware —, ele tem fácil identificação e remoção. Veja: se você consegue definir ou alterar a página inicial do seu navegador (homepage), é familiar com os sites apresentados automaticamente e se lembra de ter instalado todas as extensões presentes na área de configuração, está tudo bem. Do contrário, se qualquer uma dessas questão tiver uma negativa, algum malware pode estar dentro de sua máquina.

Como apagar o malware (para iniciantes): procure por programas desconhecidos no sistema e extensões estranhas no navegador; delete tudo que lhe estranhar. Utilize também um adware cleaner/ferramenta antivírus para escanear o seu computador. Além disso, você pode restaurar o seu navegador para as configurações padrão.

Agora, para evitar a instalação destes adwares, spywares, malwares etc, a melhor ferramenta é você: fique ligado em tudo que você baixa na internet. O principal canal de infecção é o download. Não clique em qualquer link que encontre e sempre levante suspeitas. No mais, quando você realizar algum downlaod, na hora da instalação, sempre busque uma instalação customizada — e não recomendada. Dessa maneira, é possível notar tudo que o software tem acesso.

Lista de domínios maliciosos utilizados pelo Fireball

attirerpage[.]com
s2s[.]rafotech[.]com
trotux[.]com
startpageing123[.]com
funcionapage[.]com
universalsearches[.]com
thewebanswers[.]com
nicesearches[.]com
youndoo[.]com
giqepofa[.]com
mustang-browser[.]com
forestbrowser[.]com
luckysearch123[.]com
ooxxsearch[.]com
search2000s[.]com
walasearch[.]com
hohosearch[.]com
yessearches[.]com
d3l4qa0kmel7is[.]cloudfront[.]net
d5ou3dytze6uf[.]cloudfront[.]net
d1vh0xkmncek4z[.]cloudfront[.]net
d26r15y2ken1t9[.]cloudfront[.]net
d11eq81k50lwgi[.]cloudfront[.]net
ddyv8sl7ewq1w[.]cloudfront[.]net
d3i1asoswufp5k[.]cloudfront[.]net
dc44qjwal3p07[.]cloudfront[.]net
dv2m1uumnsgtu[.]cloudfront[.]net
d1mxvenloqrqmu[.]cloudfront[.]net
dfrs12kz9qye2[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net
dgkytklfjrqkb[.]cloudfront[.]net/main/trmz[.]exe

Agradecemos ao Igor, colaborador amigo do seu micro seguro, por compartilhar conosco dessa notícia.

Fonte: Tecmundo