O ataque recente ao CCleaner tinha um objetivo inesperado

Segundo informações divulgadas pela Cisco e pela Avast, o malware que atingiu o CCleaner tinha um foco específico de ataque cujo alvo eram pelo menos 20 gigantes da tecnologia, entre elas Google, Microsoft, Samsung, HTC, D-Link e outras. A ideia dos responsáveis por essa ação era infectar os computadores internos dessas companhias, sendo que o malware original seria utilizado apenas como uma forma de fazer um segundo malware acessar esses sistemas.

Os pesquisadores da Talos ainda relataram que a ideia dos hackers era observar a sua base de máquinas afetadas para encontrar computadores que estivessem conectados às redes dessas companhias. Um detalhe que vale ser mencionado é que 50% das tentativas de instalar esse segundo malware ocorreram com sucesso, sendo que algumas empresas foram infectadas duas vezes e outras escaparam ilesas. Porém, não se sabe quais se encaixam em cada um dos grupos.

50% das tentativas de instalar esse segundo malware ocorreram com sucesso, sendo que algumas empresas foram infectadas duas vezes e outras escaparam ilesas

A imagem que você confere acima dá uma ideia dos domínios nos quais os atacantes tentaram suas ações. Vale notar que o “ntdev.corp.microsoft.com” é utilizado por desenvolvedores da Microsoft, enquanto “hq.gmail.com” tem relação com uma área interna do Gmail para funcionários da Gigante das Buscas.

Tentativa de espionagem

Ainda no que diz respeito aos relatórios divulgados, foi dito que essa ação foi feita como uma tentativa de espionagem, e não apenas um meio de instalar ransomware e keyloggers nos computadores das pessoas. Além disso, houve a menção de que há estimativas de que apenas 700 mil computadores tenham sido afetados, e não 2,2 milhões como foi mencionado anteriormente.

Por fim, a Avast oferece algumas dicas para os usuários, e ressalta a importância de manter seus antivírus e outros programas atualizados com a última versão para diminuir os riscos de ter uma surpresa desagradável. Outra dica dada pela Cisco é de restaurar o PC usando o backup de uma data anterior à instalação do CCleaner.

Fonte: Tecmundo

Arquivos do PowerPoint podem carregar malware

Pesquisadores de segurança digital encontraram pela primeira vez um malware que infecta computadores a partir de arquivos do PowerPoint (PPSX) explorando uma falha do Microsoft Office e do WordPad conhecida como CVE-2017-0199. Essa brecha de segurança foi descoberta e consertada pela Microsoft em abril deste ano, mas usuários que nunca atualizaram suas máquinas ainda podem estar inseguros.

Hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus

A falha permite que criminosos disfarcem seus malwares como se fossem apresentações de slides do PowerPoint, mas o golpe mais comum até agora era atrair as vítimas por meio de arquivos RTF.

Ao que parece, os hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus, que fazem uma verificação menos criteriosa quando o assunto são documentos em PPSX, tradicionalmente inofensivos.

Como acontece

Segundo constataram os pesquisadores da TrendMicro, os arquivos infectados são distribuídos via email por técnicas de phishing muito direcionadas. A maioria dos casos vitimou funcionários de fabricantes de cabos na Ucrânia, que recebiam uma mensagem que, aparentemente, era de um parceiro comercial fazendo um pedido. O PPSX, portanto, continha os detalhes técnicos da solicitação.

Ao abrir o item infectado, os usuários do WordPad ou do Microsoft Office desatualizados via apenas a mensagem “CVE-2017-0199” na tela em vez da apresentação prometida. Imediatamente, o malware então começava a agir através do recurso “Object Linking and Embedding” (OLE) do Windows. Um arquivo com código XML ou JavaScript então era baixado da internet para abrir de forma automática o PowerShell ou CMD para que o arquivo RATMAN.exe seja executado.

Dessa forma, os criminosos podem registrar tudo o que a vítima faz no computador, desde as teclas pressionadas no teclado aos dados mostrados no display. Há também a possibilidade de o PC baixar de forma silenciosa novos malwares para aumentar ainda mais o controle do hacker sobre o dispositivo.

Portanto, o recado da TrendMicro é ficar alerta para emails minimamente suspeitos, mesmo aqueles enviados por fontes que parecem conhecidas.

Fonte: Tecmundo

500 apps com malware são removidos da Google Play

Uma pesquisa publicada pela Lookout nos últimos dias indicou um cenário alarmante para os usuários do sistema Android: até há pouco tempo, ao menos 500 apps presentes da Google Play continham um spyware que abria as portar do seu celular para invasores em potencial. O pior de tudo? Juntos, esses aplicativos tinham mais de 100 milhões de downloads na plataforma.

De acordo com a firma especializada em segurança mobile, todos os softwares foram removidos recentemente pela Google, mas, possivelmente, não antes que eles causassem um belo estrago junto ao público da empresa. O fator em comum entre todos os apps analisado foi a existência de uma versão maliciosa do Igexin, uma ferramenta que facilita a conexão dos programas com redes de anunciantes.

Em sua edição feita sob medida para os cibercriminosos, o kit de desenvolvimento faz a instalação de um plugin que cria brechas no Android, permitindo que atacantes ganhem acesso remoto a uma série de dados do dispositivo. Nos casos mais sérios de invasão, era possível interceptar o histórico de ligações do indivíduo, informações do GPS, lista de aplicativos instalados no smartphone e até detalhes das redes Wi-Fi acessadas pelo aparelho.

O malware foi encontrado principalmente em jogos voltados para o público jovem, mas também marcou presença em apps de clima, rádio pela internet, editores de fotos e softwares educacionais ou de saúde. Segundo um comunicado da Gigante das Buscas, a empresa já lidou com o problema na Google Play, liberou atualizações para usuários que tenham baixado programas com o Igexin corrompido e agradeceu o apoio dos pesquisadores por ajudar a tornar sua plataforma mobile mais segura.

Fonte: Tecmundo

 

Lipizzan: um novo e perigoso malware que tem como alvo o Android

Mais uma grande ameaça ronda o Android. Desta vez, o problema se chama Lipizzan e foi identificado pela própria Google em 20 aplicativos diferentes na Play Store. Apesar de já estar sendo combatido, esse novo spyware é uma grande ameaça à privacidade e à segurança dos seus usuários.

O vírus trabalha de forma bastante sofisticada para atingir o seu objetivo final: roubar informações privadas de um aparelho. Ele começa isso do jeito tradicional, se passando por um aplicativo genérico de nome “Backup” ou “Cleaner”, mas, após instalado, ele baixa e carrega uma “verificação de licença” em seu dispositivo a fim de verificar as possibilidades de infecção.

Se o smartphone em questão atender aos critérios do malware, então ele realiza root no dispositivo — ativa o modo administrador do Android — e utiliza exploits conhecidos para obter dados privados que trafegam por ele ou estão guardados no sistema de armazenamento. Ele pode ainda capturar imagens ou pesquisar por informações específicas.

Extração de dados

E a lista de itens que podem ser monitorados e extraídos pelo Lipizzan é grande. Após realizar todo o procedimento explicado acima, o spyware é capaz de:

  • Registrar chamadas normais ou feitas via VOIP;
  • Gravar áudios a partir do microfone;
  • Monitorar a sua localização;
  • Realizar capturas de tela;
  • Capturar imagens com qualquer câmera do aparelho;
  • Pesquisar por informações do dispositivo e arquivos;
  • Pesquisar por informações do usuário (como contatos, SMS, dados de apps e mais)

E se tudo isso não parece alarmante o suficiente, a lista de aplicativos-alvo do Lipizzan dá uma ideia do seu potencial nocivo. Quando infecta um aparelho, o vírus consegue obter tais informações dos seguintes aplicativos: Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber e WhatsApp.

A Google afirma que menos de 100 dispositivos foram infectados por ele — e todos já foram notificados. De qualquer maneira, a companhia garante também ter reforçado as capacidades do sistema Google Play Protect a fim de detectar o spyware, assim como já realizou em outras situações parecidas, como o caso do Chrysaor há alguns meses.

Fonte: Tecmundo

Os codinomes dos espiões utilizados pela CIA

A Agência Central de Inteligência dos Estados Unidos (CIA) teve várias ferramentas de vigilância de massa reveladas pela WikiLeaks ao longo das últimas semanas. São gadgets e malwares voltados para explorar vulnerabilidades de roteadores, invadir smartphones e até controlar computadores — você pode saber mais sobre isso clicando aqui. Porém, uma coisa é notável: a capacidade da CIA de dar nomes imbecis para ferramentas e malwares. Canguru Brutal? Vamos lá, caras, sejam mais maduros.

Como notou o pessoal do The Next Web, alguns nomes ganham até crédito pela criatividade e pelo fator humor — como se invadir a vida de cidadãos respaldados pela lei fosse algo a se fazer graça. Porém, outros nomes mostram apenas como os programadores que trabalham para a CIA, às vezes, beiram a infantilidade, apesar do conhecimento técnico absurdo.

Abaixo, você conhecer os melhores e os piores nomes escolhidos pela CIA para batizar os malwares utilizados. Acompanhe.

Canguru Brutal

O “Brutal Kangaroo” é um malware que infecta dispositivos via porta USB usando táticas de esteganografia. Agora, o motivo de usar canguru? Simplesmente porque os dados roubados do PC/notebook “pulam” para o pendrive espetado.

Anjo Chorão

Este é o malware WeepingAngel que tem como alvo as smartTVs da Samsung, permitindo que a CIA acesse o microfone integrado na TV. No show Doctor Who, os Anjos Lamentadores são estátuas que se mexem e atacam pessoas — será que tem ligação?

Lugia, Starmie, Totodile, Flaaffy, Steelix, Dugtrio e Spearow

É sério isso: os profissionais da CIA são fascinados por Pokémon. Boa parte dos malwares possuem nomes dos monstrinhos do desenho animado. Legal, né? Definitivamente Não.

Espirro de panda

Os caras simplesmente pegaram o nome de um dos melhores vídeos na internet (Panda Sneeze) e usaram em um malware que invade a privacidade das pessoas. Que vergonha, CIA.

Tempura

Seriam otakus os hackers da CIA? Veja só: memes, pokémons e tempura. É a combinação matadora. No caso, sendo mais específicos, o “Tempura” é usado mais pela GCHQ, que fica no Reino Unido e analisa o tráfego de rede de cabos submarinos. Bom, mas vale a menção.

Fontes: Tecmundo e TNW

A volta de um malware para Android com mais poderes

A companhia de segurança Trend Micro descobriu que um antigo malware do Android voltou a atuar ainda mais forte do que antes. Chamado de GhostCtrl, o software malicioso se passa por apps legítimos a fim de infectar o seu dispositivo e, com isso, transforma o seu dispositivo em um espião, além de permitir que hackers controle o dispositivo remotamente e à sua revelia.

Segundo os pesquisadores da empresa holandesa, foram encontradas três variações do GhostCtrl, com duas delas sendo capazes de danificar dados e controlar diversas funções de um dispositivo. A terceira, porém, é ainda pior, pois combina o que há de melhor nas duas primeiras e ainda oferece mais perigo.

Ainda de acordo com a Trend Micro, este “novo” malware é, na verdade, uma evolução de um antigo conhecido. O GhostCtrl teria sido criado a partir do OmniRAT, um exploit descoberto há algumas semanas e responsável por roubar dados de hospitais em Israel ao sequestrar remotamente computadores com Linux, Mac e Windows via Android.

Se apresenta disfarçado

Como é comum na atuação de malwares, o GhostCtrl se espalha disfarçado como apps legítimos. Segundo a Trend Micro, ele se camufla como aplicativos legítimos, como WhatsApp e Pokémon GO, para instalar o malware em si abrir uma backdoor nos dispositivos infectados. Essa brecha de segurança é aproveitada por hackers, que começam a realizar uma série de ações sem o conhecimento (muito menos a autorização) do usuário.

Isso permite, por exemplo, que alguém colete informações privadas em um smartphone (como registro de chamadas ou SMSs), envie mensagens de texto ou faça ligações, apague, copie ou altere arquivos armazenados no gadget, baixe novos arquivos, controle o sistema infravermelho do aparelho e muito mais.

Até mesmo modificar senhas e ativar ou desativar as conexões Bluetooth estão entre as possibilidades, denotando o risco do GhostCtrl. Para evitar problemas com esse tipo de malwre, a dica dada pelos especialistas é manter o Android sempre atualizado e também restringir as permissões dos aplicativos em relação aos seuis daos mais sensíveis.

Fonte: Tecmundo

Promoção da Nespresso que circula no WhatsApp é golpe

Uma promoção falsa da marca de café Nespresso está circulando nas redes sociais no Brasil. A promessa é ganhar uma cafeteira grátis para virar testador da marca. A mensagem, que virou uma espécie de corrente compartilhada entre amigos no Whatsapp, contém um link com vírus.

A Nespresso confirmou que a promoção é falsa.

Fonte: G1