Malware mira carteiras virtuais de Bitcoins

Pesquisadores da Kaspersky Lab descobriram um novo malware que rouba criptomoedas das carteiras online de usuários. Na mira dos criminosos estão algumas das moedas virtuais mais populares, incluindo aí o Bitcoin, Ethereum, Zcash, Dash e Monero. De acordo com a Kaspersky, o número de assaltantes de criptomoedas aumenta a cada ano em resposta a crescente popularidade das moedas.

O novo malware, chamado de CryptoShuffler, consegue roubar as criptomoedas das carteiras online ao trocar o endereço pelo próprio na área de transferência do dispositivo infectado. Os sequestros na área de transferência, que redirecionam usuários para sites maliciosos e miram pagamentos em sistemas online, são conhecidos há anos. Entretanto, casos envolvendo moedas virtuais ainda são raros

Na maioria dos casos, se o usuário deseja transferir suas criptomoedas para outro, é necessário saber qual o ID da carteira dessa pessoa – um número único e exclusivo. É nesse momento que o CryptoShuffler explora a necessidade do sistema de operar com esses números, explica a Kaspersky.

Como funciona o ataque

Depois que é iniciado, o CryptoShuffler começa a monitorar a área de transferência do dispositivo, utilizado pelos usuários enquanto fazem o pagamento. Isso envolve copiar e colar os números da carteira onde está escrito “endereço de destino”, usado para a transação do dinheiro. O Trojan, então, troca o número original do usuário por um usado pelo criador do malware. Sem que a vítima perceba a diferença dos endereços, ela transfere seu dinheiro diretamente para o criminoso.

Até agora, com base nas observações dos pesquisadores da Kaspersky Lab, os criminosos por trás do CryptoShuffler tiveram sucesso em ataques contra usuários de carteiras de Bitcoin – eles conseguiram roubar 23 BTC, o que é equivalente a 140 mil dólares. O total em outras carteiras varia de alguns a milhares de dólares.

“Ultimamente, observamos um aumento nos ataques de malware visando diferentes tipos de criptomoeadas, e esperamos que essa tendência continue. Então, os usuários que estão considerando investir em criptomoedas neste momento precisam garantir que eles tenham proteção adequada”, diz Sergey Yunakovsky, analista de malware na Kaspersky Lab.

Um Trojan, que mira aparentemente apenas a moeda Monero, o DiscordiaMiner, também foi identificado pela Kaspersky. O vírus foi projetado para carregar e executar arquivos de um servidor remoto. De acordo com a pesquisa, existem algumas performances similares ao Trojan NukeBot, descoberto no início do ano. Assim como no caso NukeBot, a fonte dos códigos foi compartilhada em fóruns de hacking ilegal.

Fonte: Kaspersky

McAfee faz trapalhada e envia link de malware a seus usuários

Usuários do McAfee ClickProtect receberam um link malicioso na caixa de email enviado pela própria McAfee. Segundo o ZDNet, o serviço de proteção contra hacking da empresa disparou um domínio associado ao ClickProtect que continha o malware Emotet, capaz de roubar dados bancários, como senhas, conta corrente e outros números.

A ironia nessa ação, infelizmente, acontece porque o ClickProtect é o serviço da McAfee para proteger usuários contra golpes de phishing em e-mails, principalmente contra malwares distribuídos em caixas de entrada.

Se uma vítima entrasse no domínio, o arquivo era baixado no computador e o malware Emotet disparado

Quem descobriu o link malicioso foi um pesquisador de segurança chamado “Benkow”, que alertou a empresa no Twitter. Segundo o pesquisador, cibercriminosos registraram o domínio “cp.mcafee.com” e adicionaram um documento Word malicioso. Se uma vítima entrasse no domínio, o arquivo era baixado no computador e o malware Emotet disparado.

Como explica a fonte, o malware usa um documento Word que, quando aberto, ativa o download de outros arquivos por meio de um script PowerShell — e essa é a porta de entrada do Emotet.

Após os relatos iniciais, a McAfee já bloqueou o acesso ao domínio para os usuários que utilizam o software antivírus da empresa. O estranho dessa história, segundo o ZDNet, é que a McAfee ainda não bloqueou o download do arquivo Word malicioso, apenas bloqueou o acesso ao site — o que não é tão seguro quanto bloquear o download de fato.

Vale a pena ficar esperto até com os links enviados pelas de empresa, ao que parece

Já a companhia afirma que ainda não impede o download porque “está trabalhando para estabelecer uma linha do tempo exata”, entendendo melhor como o golpe foi realizado.

Anteriormente, o Emotet atacou os Estados Unidos, Reino Unido e Canadá. Provavelmente, esse ressurgimento buscou vítimas nestes três locais novamente. Mesmo assim, vale a pena ficar esperto até com os links enviados pelas de empresa, ao que parece.

Fonte: Tecmundo

Cuidado: legendas de filmes podem ser vetor de malware

Quanto inquietante pode ser a ideia de que enquanto você assiste um filme no computador, no Raspberry Pi ou em um dispositivo preferido, alguém também possa ter acesso indevido a sua informação ou até mesmo te espionar?

Na última edição da Ekoparty 2017, evento realizado na Argentina, os pesquisadores Omri Herscovici e Omer Gull apresentaram uma palestra chamada “Pwned in Translation – from Subtitles to RCE”, na qual demonstram que, se você não estiver protegido da forma devida, isso realmente poderá acontecer… e de uma forma inimaginável.

Um curioso vetor de ataque

Se você acredita que as legendas são apenas linhas de texto simples incorporadas em filmes, será melhor que continue lendo este post, pois descreveremos como as mesmas podem ser usadas para tomar o controle de um sistema ou dispositivo, de acordo com a apresentação dos especialistas.

O grande impacto desta notícia está relacionado com o fato de que milhões de pessoas baixem e executem legendas sem pensar duas vezes, de forma cotidiana na Internet. Duvido que alguém se pergunte pela origem dessas legendas, pela forma como são processadas ou se são analisadas em busca de códigos maliciosos…

Bem, no início da palestra foram apresentadas as diversas extensões e formatos de legendas que são utilizadas na atualidade. Estes são alguns exemplos: “.SRT”, “.PJS”, “.USF” ,”.SUB”, “.PSB”, “.IDX”, “.ASS”, “.SMI” ,”.CVD”, “.AQT”, “.STL”, “.DKS”, “.JSS”, “.SSF” e “.TTXT”.

Dentro dos mais de 25 formatos de legendas, a maioria suporta características tais como etiquetas HTML, imagens em formato raw e até mesmo binários em linguagens free-form, o que naturalmente o fará pensar.

Somado a isso, comumente não existe uma metodologia padrão utilizada para a análise de legendas, o que torna a implementação desta tarefa um pouco mais independente e de acordo com cada um dos diversos players. E é claro que existem diversas vulnerabilidades que podem ser exploradas nestes casos.

O ataque

Através de diferentes métodos, que incluem técnicas de JavaScript, exploração de vulnerabilidades e corrupção de arquivos manipulados, os pesquisadores conseguiram executar códigos maliciosos (além das legendas) e tomar o controle do equipamento alvo.

A técnica de execução remota de código, apresentada ao vivo, não apenas funciona em players como o famoso VLC, mas também por meio de serviços de streaming como o Popcorn Time, com os quais é possível ver filmes online, e inclusive no famoso Kodi (XBMC), que é utilizado em players multimídia.

O ataque se baseia no fato de que determinados players baixem legendas de forma automática por meio de depósitos compartilhados de forma online (como OpenSubtitles), onde são indexados e rankeados. Ao manipular estas bases de dados do site, baseadas em algoritmos, podem garantir que as legendas maliciosas criadas sejam as únicas baixadas pelo player. Desta forma, conseguem tomar o controle total da cadeia de fornecimento de legendas.

Como se isso não bastasse, também apresentaram como é possível corromper a origem da fonte das legendas.

O prejuízo que um atacante pode provocar vai desde o roubo da informação confidencial até a instalação de ransomware, passando pelos ataques massivos de Negação de Serviço. Os detalhes técnicos das vulnerabilidades exploradas em cada player estão em uma pesquisa publicada (em inglês) pelos palestrantes.

Qual é o impacto deste ataque?

Se você gosta dos filmes de terror ou suspense e da sensação que geram, pense na quantidade de usuários que utilizam estes meios para ver os filmes. Este fato é assustador.

Para revelar o suspense, este número chega a mais de 220 milhões de usuários, segundo um cálculo realizado pelos pesquisadores. Portanto, sem dúvidas, o uso de legendas manipuladas é uma forma muito viável de lançar campanhas maliciosas de forma massiva.

Como os pesquisadores anteciparam, parece que não existe limite para o que se pode conseguir usando estes arquivos de texto que parecem não ser grande coisa.

Apesar de não querer te assustar, é fundamental manter os seus aplicativos e soluções de segurança atualizadas e que utilize apenas páginas de confiança para procurar conteúdo. Desta forma, você poderá evitar uma infecção com diferentes tipos de ameaças, como por exemplo um ransomware que pode criptografar a sua informação.

Agindo com precaução e contando com as ferramentas adequadas, será possível evitar que a sua experiência com filmes ou séries online termine sendo um filme de terror.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ESET

Malware em caixas eletrônicos

Pesquisadores da Kaspersky Lab descobriram um novo malware voltado para infectar caixas eletrônicos que rodam em sistemas operacionais Microsoft Windows Vista e Windows 7. Chamado de ATMii, o malware não deve atingir a maior parte dos caixas eletrônicos, visto que eles rodam em sistemas Windows XP.

O código malicioso serve para roubar credenciais de usuários, ou seja, senhas bancárias. Ele foi descoberto pelos pesquisadores nos últimos meses, e as operadoras de caixas com os sistemas vulneráveis foram alertadas.

“O malware possui dois módulos: um injetor (exe.exe, 3fddbf20b41e335b6b1615536b8e1292) e um para ser injetado (dll.dll, dc42ed8e1de55185c9240f33863a6aa4)”, explicam os pesquisadores. Além disso, para conseguir o acesso ao ATM (caixa eletrônico), os cibercriminosos precisam do acesso físico.

Vale lembrar que, no Brasil, essa técnica é defasada se comparada com as utilizadas atualmente. O Brasil é benchmark em fraude bancária, tanto na internet quanto físico, com os famosos skimmers — vulgarmente conhecidos como chupa-cabra — instalados em caixas eletrônicos e maquininhas de pagamento.

Fonte: Tecmundo

Nova ameaça se utiliza do Word para obter dados do dispositivo

Pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.

Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.

Eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima

Esses dados eram enviados para os criminosos e, com isso, eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima. A ideia era provavelmente aumentar a taxa de sucesso e, com isso, focar em personalidades famosas ou em executivos em altos postos de grandes empresas.

O IncludePicture do Word pode ser considerado “secreto” no Word porque não há nenhuma descrição oficial sobre como ele funciona ou o que exatamente ele é capaz de fazer no software. Também não há relatos do uso dessa ferramenta para nenhuma atividade prática, além da possiblidade de ser explorada por cibercriminosos. Isso foi inclusive uma das razões que dificultou a identificação do problema pelos pesquisadores.

Fonte: Tecmundo

Novo malware tem como foco usuários do Chrome

A Unit 42, equipe de pesquisa da Palo Alto Networks, identificou uma mudança no comportamento de um grupo de criminosos virtuais visando usuários do navegador Google Chrome com ataques que incluíam engenharia social para distribuir um malware.

Nos últimos meses, a campanha criminosa conhecida como EITest estava fazendo a distribuição de ransomwares como o Spora e o Mole, mas no final de agosto o modo de operação foi alterado para outro tipo de ameaça. Se as amostras recentes servirem de indicativo, houve a infecção de servidores Windows com NetSupport Manager, ferramenta de acesso remoto.

A equipe da Unit 42 fez uma análise utilizando “HoeflerText popups”, uma técnica para ludibriar as vítimas a instalar malware em suas máquinas, para compreender como os agentes por trás do ElTest estão operando. Os resultados mostraram que o grupo invade páginas selecionadas por meio de engenharia social, na qual é feita uma pesquisa dos costumes da vítima, incluindo aqui os sites que visita, quando e por qual navegador. Ao entrar em um website comprometido, o alvo do ataque recebe uma mensagem como a mostrada na figura mais acima.

Após clicar em “update”, outra mensagem aparece direcionando a vítima para o download do arquivo “Font_Chrome.exe”, sendo este o malware para tomar controle da máquina.

Histórico e atividade recente

Em dezembro de 2016, a campanha ElTest começou a usar pop-ups HoeflerText para distribuir malwares, e desde o final de janeiro deste ano vem sendo registrado ransomware nestes pop-ups. Esse método desapareceu por semanas, voltando em julho de 2017 com o envio da ameaça Mole no arquivo Font_Chrome.exe. Tal ação foi encerrada no final do mesmo mês, mas retornou em agosto de 2017 com um tipo diferente de malware enviado sob o mesmo nome de arquivo.

As análises também mostram que o tráfego de rede segue dois caminhos distintos. Quem utiliza o Internet Explorer como navegador, por exemplo, recebe um alerta de antivírus falso com um número de telefone para uma fraude de suporte técnico, enquanto quem está no Chrome visualiza um pop-up HoeflerText que oferece o malware disfarçado como Font_Chrome.exe.

Sendo assim, fique atento caso perceba algo do gênero enquanto estiver navegando na rede utilizando o Chrome – especialmente se receber algo com uma mensagem “HoeflerText font wasn’t found”.

Fonte: Tecmundo

O ataque recente ao CCleaner tinha um objetivo inesperado

Segundo informações divulgadas pela Cisco e pela Avast, o malware que atingiu o CCleaner tinha um foco específico de ataque cujo alvo eram pelo menos 20 gigantes da tecnologia, entre elas Google, Microsoft, Samsung, HTC, D-Link e outras. A ideia dos responsáveis por essa ação era infectar os computadores internos dessas companhias, sendo que o malware original seria utilizado apenas como uma forma de fazer um segundo malware acessar esses sistemas.

Os pesquisadores da Talos ainda relataram que a ideia dos hackers era observar a sua base de máquinas afetadas para encontrar computadores que estivessem conectados às redes dessas companhias. Um detalhe que vale ser mencionado é que 50% das tentativas de instalar esse segundo malware ocorreram com sucesso, sendo que algumas empresas foram infectadas duas vezes e outras escaparam ilesas. Porém, não se sabe quais se encaixam em cada um dos grupos.

50% das tentativas de instalar esse segundo malware ocorreram com sucesso, sendo que algumas empresas foram infectadas duas vezes e outras escaparam ilesas

A imagem que você confere acima dá uma ideia dos domínios nos quais os atacantes tentaram suas ações. Vale notar que o “ntdev.corp.microsoft.com” é utilizado por desenvolvedores da Microsoft, enquanto “hq.gmail.com” tem relação com uma área interna do Gmail para funcionários da Gigante das Buscas.

Tentativa de espionagem

Ainda no que diz respeito aos relatórios divulgados, foi dito que essa ação foi feita como uma tentativa de espionagem, e não apenas um meio de instalar ransomware e keyloggers nos computadores das pessoas. Além disso, houve a menção de que há estimativas de que apenas 700 mil computadores tenham sido afetados, e não 2,2 milhões como foi mencionado anteriormente.

Por fim, a Avast oferece algumas dicas para os usuários, e ressalta a importância de manter seus antivírus e outros programas atualizados com a última versão para diminuir os riscos de ter uma surpresa desagradável. Outra dica dada pela Cisco é de restaurar o PC usando o backup de uma data anterior à instalação do CCleaner.

Fonte: Tecmundo