Malware que pode infectar arquivos com assinatura digital

malwareO pesquisador de segurança Tom Nipravsky, da Deep Instinct, demonstrou um malware que pode infectar arquivos assinados digitalmente sem alterar seus hashes.

Nipravsky inseriu o código malicioso no campo do arquivo que contém informações sobre os certificados digitais. Outro detalhe é que este campo não está sujeito ao cálculo de hash.

Uma de três verificações de tamanho de arquivos não é conduzida corretamente pelo Authenticode da Microsoft, permitindo a alteração de certos valores para que os arquivos com assinatura digital infectados apareçam como válidos.

Nipravsky utilizou engenharia reversa no processo de carregamento do executável portátil para desenvolver o Reflective PE Loader, que pode injetar o código malicioso na memória do sistema sem alertar as soluções de segurança presentes nele.

Nipravsky e seus colegas na Deep Instinct descreveram seu trabalho com o malware no artigo “Certificate bypass: Hiding and executing malware from a digitally signed executable” disponível aqui*, divulgado na conferência de segurança realizada em Las Vegas na semana passada.

De acordo com o artigo, que oferece mais detalhes técnicos, o ataque passa pelas soluções de segurança sem ser detectado no disco e durante seu carregamento ao armazenar o código malicioso nos arquivos assinados e sem invalidar a assinatura. Ele também evita a detecção durante a execução.

Fontes: Baboo e The Register

Pesquisadores encontram malware responsável por sistema de espionagem no mundo

MalwarePesquisadores da Kaspersky e da Symantec revelaram a descoberta de um novo tipo de malware. Ele é tão avançado que há forte possibilidade de que ele tenha sido desenvolvido para alguma organização governamental. Os nomes foram dados em referência à saga O Senhor dos Anéis, de J. R. R. Tolkien, como “Strider” (apelido do personagem Aragorn) e “ProjectSauron”, também chamaram de “Remsec”.\

O vírus está circulando desde 2011 e já foi responsável por infectar cerca de 36 computadores em sete organizações no mundo todo, incluindo indivíduos russos, uma companhia aérea chinesa, uma organização sueca e também uma embaixada da Bélgica. Além disso, pesquisadores científicos, instalações militares, companhias de telecomunicações e financeiras também foram alvos.

De acordo com o Engadget, mesmo que o vírus exista há cerca de cinco anos, o ProjectSauron foi descoberto apenas agora, quando a Kaspersky foi chamada por uma organização governamental não identificada para analisar a razão de sua rede estar se comportando de forma estranha. O vírus conseguiu se esconder por todo esse tempo pois foi desenvolvido para não utilizar padrões de segurança que são usados normalmente por especialistas em segurança.

O malware é muito sofisticado, tanto que consegue se infiltrar em redes que podem ligar computadores isolados de conexões externas. Após estar dentro, o ProjectSauron é capaz de interceptar senhas, chaves de criptografia, endereços de IP, arquivos de configuração, entre outras coisas também. Todo material é armazenado em um USB que pode enganar o Windows para poder ser reconhecido como dispositivo reconhecido.

Nenhuma das empresas de segurança se arriscou em comentar sobre quem criou o vírus, no entanto, as duas ressaltaram que a sua arquitetura e operação custam milhões de dólares, o que sugere envolvimento governamental. As empresas ainda encontraram traços de outros malwares desenvolvidos organismos públicos, incluindo o Stuxnet, que teria feito a pedido de Estados Unidos e Israel, em 2000. Ele tinha como objetivo infectar computadores do programa nuclear iraniano.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net 

Malware à moda antiga infecta PCs com Windows

virus-mbrNão se faz mais malware como antigamente.

Quem visitou o FossHub na semana passada para baixar o Classic Shell (que substitui o menu Iniciar) ou o editor de áudio Audacity está em risco de ter baixado um trojan que parece algo vindo dos anos 90.

O código malicioso foi escrito por um grupo de hackers que se autodenomina Pegglecrew. O YouTuber danooct1 explica que o programa é novo e passa em grande parte sem ser detectado por sites como o VirusTotal.

Até mesmo o instalador falso é quase idêntico em tamanho de arquivo ao original. Inicialmente, abrir a versão infectada do Audacity ou Classic Shell parece não fazer nada, mas ao reiniciar, o usuário é recebido com a seguinte mensagem:

Enquanto você reinicia, você nota que algo substituiu o seu MBR! É uma coisa triste que suas aventuras tenham terminado aqui! Direcione todo o ódio para Pegglecrew (@cultofrazer no Twitter)

A intenção do trojan não parece ser destrutiva, já que a mensagem afirma precisamente porque a máquina do usuário não está mais funcionando como esperado – e de forma semelhante a um RPG clássico baseado em texto.

Ao fazer boot com um disco de recuperação e executar um comando rápido para restaurar o MBR (registro mestre de inicialização), é possível restaurar as funções normais do sistema, de acordo com danooct1.

Vários tweets sugerem que a obra de Pegglecrew apareceu em diversas máquinas.

Eles estimam que só os downloads de Classic Shell foram responsáveis por infectar mais de 300 máquinas, mas afirmam que o trojan em si vem sendo usado por eles há meses. Felizmente, o Pegglecrew alega que seu malware tem “zero efeito além de substituir o MBR”, que pode ser facilmente revertido.

A Audacity escreveu em seu blog que o download comprometido ficou no ar por cerca de três horas, e desde então foi resolvido, embora o mesmo suposto membro do Pegglecrew afirme que “após os administradores reverterem as alterações, substituímos todos os executáveis de instalador nos servidores [do Fosshub] com o código que sobrescreve o MBR.”

O Pegglecrew anteriormente reivindicou ter invadido a conta de Ringo Starr no Twitter, e de causar tumulto no subreddit de Super Smash Bros.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Pokémon Go Pro é Pokégolpe

pokemongo_proArquivos maliciosos estão se aproveitando da popularidade de Pokémon Go para infectar usuários. A primeira ameaça que usa essa estratégia, identificada pela Kaspersky Lab, se disfarça de “versão Pro” de Pokémon Go (que não existe) para levar as vítimas a clicar em links maliciosos no WhatsApp.

Segundo a empresa de segurança digital, as víitimas recebem um link para baixar a falsa versão do jogo por meio do WhatsApp. A popularidade do jogo leva muitas pessoas a clicar, segundo a Kaspersky. Ao clicar no link, o usuário é direcionado para uma página por meio da qual ele poderia baixar a suposta versão Pro de Pokémon Go.

No entanto, o link não leva diretamente para uma página de download. Antes de poder baixar o suposto jogo, o usuário precisa compartilhar o link com pelo menos cinco amigos e cinco grupos como parte de um “processo de verificação” . Essa tática faz com que o link malicioso se dissemine mais rapidamente.

Em vez de baixar a versão Pro de Pokémon Go, no entanto (que, vale lembrar, nem existe), o link pode instalar adware no smartphone da vítima. O adware faz com que o dispositivo fique msotrando propagandas de maneira agressiva, e pode também, segundo a Kaspersky, inscrever a vítima em serviços pagos. É dessa forma que os criminosos ganham dinheiro com o golpe.

Pokégolpe

De acordo com Fabio Assolini, analista de segurança da Kaspersky Labs, “os criminosos ganham por instalação de cada aplicativo, ou por cada vítima que se cadastra em serviços premium, que trabalham por sistema de afiliados que remuneram por adesão”. A empresa já identificou 57 mil cliques de brasileiros no link malicioso.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Apenas 1 foto pode vir a contaminar sistemas da Apple

apple_malwareUma nova vulnerabilidade descoberta nos sistemas operacionais da Apple permite que criminosos possam invadir um dispositivo apenas compartilhando uma imagem em mensageiros. A falha afeta o iOS, Mac OS X(macOS), TvOS e watchOS e foi descoberta por pesquisadores da Cisco.

Caso seja explorado, o problema pode ser usado para roubar senhas e arquivos, além de executar códigos remotos automaticamente no equipamento sem o consentimento do usuário. A Apple afirma que já corrigiu o erro e pede que os usuários atualizem seus softwares em todos os aparelhos.

Para se aproveitarem da falha, os criminosos criam uma imagem contaminada com código malicioso nos formatos TIFF, OpenEXR, Collada ou BMP. Em seguida, é necessário fazer com que a vítima abra o arquivo, o que pode ser feito enviando-o por e-mail, mensageiros ou compartilhando o link de um site que hospede a imagem.

O perigo desta falha é que ela, muitas vezes, não requer que o usuário abra o arquivo enviado, uma vez que muitos softwares o fazem automaticamente para poder exibir seu conteúdo. Quando é aberta, ocorre um processo chamado de buffer overflow, que faz com que o sistema escreva memórias no local errado do disco, o que permite a execução de códigos sem o conhecimento ou consentimento do usuário.
Este código, por sua vez, pode ser usado para vários fins diferentes, alguns dos mais comuns são roubar senhas ou dados bancários e até mesmo criar formas para que o dispositivo seja controlado remotamente.

Falha semelhante no Android

O processo é semelhante ao Stagefright, um bug do Android que foi descoberto e corrigido em 2015. A falha era usada para esconder códigos em arquivos de vídeo que eram reproduzidos automaticamente ao ser enviados por MMS.
A correção para a vulnerabilidade já foi lançada pela Apple para todos os seus sistemas operacionais e a recomendação é que os usuários atualizem seus dispositivos para as versões mais atuais o mais rápido possível. Enquanto isto não ocorre, uma precaução é evitar abrir qualquer link ou e-mail suspeito recebido.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Novo Android irá bloquear o boot de dispositivos infectados por malware

android_nougatDesde que a versão KitKat foi lançada, o sistema operacional da Google realiza uma checagem de segurança durante o processo de boot para garantir a integridade de seu aparelho. No entanto, o software não fazia muito mais do que alertar sobre possíveis problemas — algo que a empresa deve mudar com o lançamento da atualização Nougat.

Em uma publicação em seu site oficial, a companhia explica que o sistema vai tomar medidas mais estritas durante a checagem de boot e, diante de problemas, pode acionar automaticamente um modo de uso limitado. Em casos mais extremos, o software pode simplesmente decidir que a melhor solução é impedir que seu aparelho seja ligado.

A decisão deve se mostrar um tanto controversa: para muitos, ela surge como algo positivo, já que vai evitar que um smartphone se torne um “parque de diversão” para vírus. No entanto, alguns consumidores menos atentos podem simplesmente considerar irritante ver que seus aparelhos não estão funcionando direito devido ao bloqueio de blocos de dados corrompidos.

Segundo a companhia, o sistema não deve afetar o funcionamento de produtos cujo bootloader está desbloqueado, o que significa que não haverá dificuldades adicionais em instalar ROMs modificadas. Outra medida de segurança tomada pela empresa está na indicação da fonte dos aplicativos instalados em seu smartphone, o que deve facilitar a detecção de softwares maliciosos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Novo malware simula app de recarga da TIM

MalwareUm novo malware finge ser um aplicativo de recarga para celulares pré-pagos como forma de enganar as vítimas, segundo a empresa de segurança PSafe. Batizado de Tim.AndroRat, o novo malware simula o aplicativo Recarga TIM, da operadora de mesmo nome, e foi descoberto nesta semana pela equipe da PSafe.

Para enganar os usuários, o Tim.AndroRat usa o código original do app da TIM, com exceção dos arquivos que contém códigos nativos do sistema operacional (.so), o que dificulta a diferenciação pelos usuários.

Segundo o gerente de Segurança da PSafe, Emilio Simoni, o hacker pode ter removido estes arquivos com o objetivo de reduzir o tamanho final do APK malicioso, tornando-o assim mais fácil de disseminar.

Como funciona

Ao baixar o aplicativo falso, o smartphone da vítima fica mais vulnerável. Isso porque os criminosos passam a ter acesso a todas as informações do dispositivo, como mensagens de texto, chamadas, localização, fotos, senhas e qualquer outro dado armazenado no aparelho.

Além disso, após o app malicioso ser baixado, o hacker também é capaz de realizar uma série de ações remotas no smartphone, como envio de SMS, chamadas e instalação de outros apps.

Por isso, é muito importante sempre seguir a dica de não baixar aplicativos de lojas não oficiais (como a Google Play Store ou a loja da Amazon), sejam recebidos por e-mail ou via SMS ou por outra fonte.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!