Crackers usam estratégias de marketing para espalhar malware

hacker_vs_crackersA Avast emitiu um alerta onde aponta que a indústria do malware deixou há bastante tempo de ser um hobby e já é um negócio lucrativo, criado e distribuído por quadrilhas digitais.
A empresa de segurança descobriu que crackers promovem seus serviços em redes sociais, possuem táticas de rebranding e têm até programas de incentivo e marketing de afiliação.

Um exemplo disso são os criminosos que criaram o ransomware Petya e seu irmão mais novo, o Mischa. Seus autores, a organização autodenominada Janus, iniciaram uma estratégia de marketing para promover o uso do seu malware: criaram uma marca e também um programa de incentivo com elevadas recompensas, tornando possível para qualquer iniciante em TI ser capaz de ganhar dinheiro com o cibercrime.

Assim como muitas empresas legais utilizam táticas estratégicas para aumentar a visibilidade da marca, Janus usa seu próprio conjunto de truques para fazer seu malware se destacar dos outros no mercado negro: uma marca, diferenciando-se assim dos concorrentes. Segundo a Avasta, “como já existem milhares de cibercriminosos vendendo seu malware no darknet, reforçar a marca é importante para aqueles que querem tornar-se grandes players“.

Na primeira versão do Petya, a Janus escolheu o vermelho como a cor para a sua marca: a imagem da caveira aparece nos computadores infectados e a imagem pisca a cada segundo, invertendo as cores. Mas, muitas vezes, as empresas fazem rebranding, a fim de alterar a forma como são vistas e consideradas pelo público. Assim, após a primeira versão do Petya, a Janus parece ter passado por um processo desses, optando pela cor verde em lugar do vermelho, revelou a Avast.

Além disso, a Janus criou um programa de marketing de afiliados para a dupla Petya e Mischa. Como a própria organização criminosa descreve, “foi criada uma interface de web simples, onde os afiliados podem ver as últimas infecções, definir preços de resgate, recriptografar seus programas, gerar endereços de bitcoin e chaves para o sistema de pagamento”. A Avast também descobriu que a Janus tem uma equipe de suporte disponível para responder online a quaisquer perguntas que os afiliados possam ter.

Hoje em dia também não é possível promover adequadamente qualquer marca sem mídia social e até os cibercriminosos sabem disso. É por isso que a Janus está no Twitter promovendo seus produtos, e também comentando o que especialistas em segurança estão dizendo sobre a dupla Petya e Mischa em conferências.

“O cibercrime agora é semelhante ao tráfico de drogas na vida real. Você não precisa ser um químico para lidar com drogas; você pode se tornar um negociante associado a uma gangue. Como agora você também não precisa saber como escrever código de malware para distribuí-lo. Você pode simplesmente comprá-lo a partir da darknet e negociá-lo” – desabafou Michal Salat, diretor de Inteligência de Ameaças da Avast.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Código Fonte UOL 

Microsoft reforça segurança do navegador Edge

defender_app_guard_windowsA Microsoft anunciou nos últimos dias, durante o segundo dia de sua conferência Ignite, em Atlanta (EUA), uma nova ferramenta para tornar o Microsoft Edge do Windows 10 mais seguro em ambientes corporativos. Denominada Windows Defender Application Guard, a solução não permite que malwares consigam acessar o restante da máquina ou da rede.

Na prática, isso significa que o vírus será executado apenas na máquina virtual, em algo parecido com uma prisão de segurança máxima, de acordo com a Microsoft. Em sua apresentação, a fabricante argumentou que outros navegadores ainda deixam as empresas vulneráveis a 90% dos ataques mais prevalentes por não usarem proteção baseada em hardware.

A tecnologia, no entanto, só começa a funcionar no início de 2017 para empresas que vão testá-la e no restante do ano para um público maior. A empresa apresentou também novas funcionalidades de segurança para o Office 365, como o aprimoramento dos recursos de proteção que protegem os usuários de clicar em endereços maliciosos, por exemplo.

Essa ferramenta funcionará em serviços como o SharePoint, onedrive for Business, Word, Excel e PowerPoint. Os administradores de segurança, principalmente do setor financeiro, também contarão, em breve, com dados de milhões de máquinas que rodam o Windows para se protegerem melhor, ainda segundo o anúncio da Microsoft.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech Corporate e Techcrunch

Novo malware sabe se foi instalado em uma máquina virtual

anti-vm-tricks-word-viewO pesquisador de segurança Caleb Fenton, da SentinelOne, alertou para um novo malware capaz de detectar se foi ou não instalado em uma máquina virtual.

Caso ele detecte que foi instalado em uma máquina virtual, o malware tornará sua análise muito mais difícil.

Como os pesquisadores utilizam máquinas virtuais para analisar os malwares em ambientes isolados, a técnica utilizada pelo novo malware representa um grande problema.

De acordo com Fenton, o malware chega como uma macro em um documento do Word.

Para detectar se foi ou não instalado em uma máquina virtual, o novo malware tentará obter informações sobre o endereço IP. Depois de obter o IP, ele o analisará para ver se corresponde ao endereço de uma empresa de segurança ou a um ambiente isolado.

Se ele detectar que foi instalado em máquina virtual, o malware se recusará a se comportar de forma suspeita para dificultar sua detecção.

O pesquisador de segurança recomenda que os usuários mantenham seus softwares antivírus sempre atualizados e que evitem abrir documentos que chegam por email via fontes desconhecidas.

Fontes: Baboo e SentinelOne

Falha no Windows Media Player permite contaminação por malware

windows_media_playerUma falha no Windows Media Player vem sendo utilizada atualmente por criminosos para a distribuição de malwares.

A falha de design na implementação de DRM do Windows Media Player foi descoberta originalmente em 2005 e já vem sendo explorada por criminosos desde então.

A exploração desta falha no Windows Media Player é possível quando os usuários fazem o download de vídeos de fontes não confiáveis.

Ao tentar reproduzir um vídeo malicioso no player da Microsoft, o usuário receberá um alerta informando que ele não possui os direitos necessários para reproduzi-lo. O alerta também inclui um link para um site onde ele supostamente poderá obter a licença necessária e pergunta se o usuário quer acessá-lo:windows-media_01Criadores de conteúdo legítimo usam este método para permitir que os usuários obtenham as licenças para reprodução facilmente. Em certos casos, isto abre um site onde será possível comprar a licença.

Já os criminosos usam este método para direcionar os usuários para sites contendo malwares disfarçados como codecs de vídeo (imagem abaixo) ou como uma “correção” para o vídeo:windows-media_02Os pesquisadores de segurança Amitay Dan da Cybermoon e Avi Turiel da Cyren descobriram que uma versão maliciosa do filme War Dogs distribuída via Bittorrent está sendo utilizada para infectar os PCs com o método acima.

Se os usuários fizerem o download do filme malicioso, que neste caso é o War-Dogs-2016-720p-BrRip-x264-SiNNERS, via Bittorrent ou através de sites de compartilhamento de arquivos, eles poderão ter seus PCs infectados.

Fonte: Baboo

Internautas tendem a clicar em links desconhecidos

cyber-securityUma pesquisa descobriu que mais de 50% dos usuários de internet podem cair em links maliciosos, seja endereço enviado por desconhecidos ou com títulos caça-cliques. Esse tipo de endereços podem, muitas vezes, terminar com a instalação de um malware ou risco de roubo de identidade.

O experimento, que consistiu de dois estudos, foi realizada por Friedrich-Alexander da Universidade de Nurnberg, na Alemanha. Os pesquisadores enviaram e-mails fraudulentos e mensagens no Facebook para 1.700 estudantes da mesma universidade sob um nome desconhecido. As mensagens tentavam atrair os destinatários, incitando-os a clicar no link fornecido, que conteria supostamente imagens deles em uma festa. No entanto, ao abrir o link, os destinatários foram recebidos por um aviso de acesso negado. Isso permitiu aos pesquisadores registrar as taxas de clique.

Segundo visto, 56 % dos destinatários dos e-mails abriram o link e 38% dos usuários do Facebook também. A mensagem continha apenas o nome do internauta como forma de atração para as supostas fotos de uma festa. A segunda versão do experimento, em que a mensagem não continha o nome do internauta, resultou em uma taxa menor. Apenas 20% dos destinatários ficaram curiosos e abriram o link e, no Facebook, 42%.

Os pesquisadores enviaram um questionário a todos os indivíduos do teste para avaliação da experiência. Os usuários também não souberam explicar porque clicaram em links tão suspeitos, alegaram que a curiosidade falou mais alto.

A Nokia faz estudos semestrais sobre as ameaças que existem nos smartphones em funcionamento ao redor do mundo. O relatório mais novo revela que dobrou a porcentagem de dispositivos afetados por ao menos um código malicioso, podendo ser malware, ransomware, trojan, adware agressivo, software espião, entre outros. Entre janeiro e junho de 2016, uma média de 0,49% dos celulares inteligentes no mundo tiveram algum desses programas instalados. Ainda segundo a Nokia, o Android é o sistema operacional mais visado para um ataque hacker.

Fonte: tudocelular

Malware consegue violar proteção da Google Play Store

malwareOs especialistas da Kaspersky Lab descobriram um trojan de Android chamado Guerrilla, que consegue ultrapassar os mecanismos de proteção anti-fraude da loja Google Play.
O ataque é feito através de um app fraudulento que se comporta como se se tratasse de um comportamento humano.

Por ser uma plataforma para milhões de usuários e programadores de software, a Google Play é um alvo muito atrativo para criminosos cibernéticos. Entre outras coisas, estes criminosos usam o Google Play Store para tornar realidade as campanhas Shuabang, já disseminadas na China. Estas campanhas são atividades publicitárias fraudulentas que têm como objetivo promover aplicativos legítimos garantindo-lhes avaliações mais altas, aumento dos índices de download e publicação de comentários positivos sobre as mesmas no Google Play.

Ainda que estas campanhas não se apropriem de recursos ou informação do proprietário do dispositivo, há riscos importantes a destacar: o download de aplicativos adicionais em aparelhos infectados resulta em custos extra de tráfego de internet móvel e em alguns casos os apps Shuabang são capazes de instalar em segredo programas pagos juntamente com os gratuitos, utilizando os dados bancários da conta Google Play da vítima como método de pagamento.

Para executar estas campanhas, os criminosos criam múltiplas contas falsas no Google Play ou infectam vários dispositivos com o malware especial que dissimuladamente executa ações no Google Play de acordo com as instruções enviadas pelos fraudadores.

Apesar do Google possuir fortes mecanismos de proteção que ajudam a detectar e bloquear usuários falsos e assim prevenir operações fraudulentas, os criadores do trojan Guerilla parecem ter conseguido vencer essas barreiras.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech

Malware para Mac que rouba dados e senhas

backdoor_osxA Kaspersky Lab descobriu recentemente um Backdoor no Mac OS X, capaz de extrair diversos tipos de informação da máquina comprometida, conseguindo roubar dados, áudio, vídeo e capturar telas e o registro do que é digitado no teclado.

O malware, escrito em C++, usa um sistema multiplataforma QT ligado ao OpenSSL. Quando executado pela primeira vez no dispositivo, ele produz cópias em diversos locais na biblioteca do sistema, que ficam escondidos em pastas de apps como o Skype, o Firefox e a App Store.

De acordo com a empresa de segurança, o malware é a versão para o Mac do Backdoor identificado em janeiro, que opera no Windows, Linux e no OS X.

O código também é capaz de detectar e monitorar dispositivos de armazenamento removíveis e até documentos do Office. Por meio do servidor C&C, criminosos podem definir seus próprios filtros e executar comandos adicionais. “Além de ataques de malware como este, é vale lembrar que usuários do OS X também são alvo de diferentes ameaças, incluindo cibercriminosos e agências governamentais.

Por isso, é importante que eles tenham solução de proteção de Anti-Malware para proteger seus dados pessoais”, explica Dmitry Bestuzhev, diretor da equipe de investigação e análise para América Latina da Kaspersky Lab.

Fontes: Olhar Digital e SecureList