Falha no Windows Media Player permite contaminação por malware

windows_media_playerUma falha no Windows Media Player vem sendo utilizada atualmente por criminosos para a distribuição de malwares.

A falha de design na implementação de DRM do Windows Media Player foi descoberta originalmente em 2005 e já vem sendo explorada por criminosos desde então.

A exploração desta falha no Windows Media Player é possível quando os usuários fazem o download de vídeos de fontes não confiáveis.

Ao tentar reproduzir um vídeo malicioso no player da Microsoft, o usuário receberá um alerta informando que ele não possui os direitos necessários para reproduzi-lo. O alerta também inclui um link para um site onde ele supostamente poderá obter a licença necessária e pergunta se o usuário quer acessá-lo:windows-media_01Criadores de conteúdo legítimo usam este método para permitir que os usuários obtenham as licenças para reprodução facilmente. Em certos casos, isto abre um site onde será possível comprar a licença.

Já os criminosos usam este método para direcionar os usuários para sites contendo malwares disfarçados como codecs de vídeo (imagem abaixo) ou como uma “correção” para o vídeo:windows-media_02Os pesquisadores de segurança Amitay Dan da Cybermoon e Avi Turiel da Cyren descobriram que uma versão maliciosa do filme War Dogs distribuída via Bittorrent está sendo utilizada para infectar os PCs com o método acima.

Se os usuários fizerem o download do filme malicioso, que neste caso é o War-Dogs-2016-720p-BrRip-x264-SiNNERS, via Bittorrent ou através de sites de compartilhamento de arquivos, eles poderão ter seus PCs infectados.

Fonte: Baboo

Internautas tendem a clicar em links desconhecidos

cyber-securityUma pesquisa descobriu que mais de 50% dos usuários de internet podem cair em links maliciosos, seja endereço enviado por desconhecidos ou com títulos caça-cliques. Esse tipo de endereços podem, muitas vezes, terminar com a instalação de um malware ou risco de roubo de identidade.

O experimento, que consistiu de dois estudos, foi realizada por Friedrich-Alexander da Universidade de Nurnberg, na Alemanha. Os pesquisadores enviaram e-mails fraudulentos e mensagens no Facebook para 1.700 estudantes da mesma universidade sob um nome desconhecido. As mensagens tentavam atrair os destinatários, incitando-os a clicar no link fornecido, que conteria supostamente imagens deles em uma festa. No entanto, ao abrir o link, os destinatários foram recebidos por um aviso de acesso negado. Isso permitiu aos pesquisadores registrar as taxas de clique.

Segundo visto, 56 % dos destinatários dos e-mails abriram o link e 38% dos usuários do Facebook também. A mensagem continha apenas o nome do internauta como forma de atração para as supostas fotos de uma festa. A segunda versão do experimento, em que a mensagem não continha o nome do internauta, resultou em uma taxa menor. Apenas 20% dos destinatários ficaram curiosos e abriram o link e, no Facebook, 42%.

Os pesquisadores enviaram um questionário a todos os indivíduos do teste para avaliação da experiência. Os usuários também não souberam explicar porque clicaram em links tão suspeitos, alegaram que a curiosidade falou mais alto.

A Nokia faz estudos semestrais sobre as ameaças que existem nos smartphones em funcionamento ao redor do mundo. O relatório mais novo revela que dobrou a porcentagem de dispositivos afetados por ao menos um código malicioso, podendo ser malware, ransomware, trojan, adware agressivo, software espião, entre outros. Entre janeiro e junho de 2016, uma média de 0,49% dos celulares inteligentes no mundo tiveram algum desses programas instalados. Ainda segundo a Nokia, o Android é o sistema operacional mais visado para um ataque hacker.

Fonte: tudocelular

Malware consegue violar proteção da Google Play Store

malwareOs especialistas da Kaspersky Lab descobriram um trojan de Android chamado Guerrilla, que consegue ultrapassar os mecanismos de proteção anti-fraude da loja Google Play.
O ataque é feito através de um app fraudulento que se comporta como se se tratasse de um comportamento humano.

Por ser uma plataforma para milhões de usuários e programadores de software, a Google Play é um alvo muito atrativo para criminosos cibernéticos. Entre outras coisas, estes criminosos usam o Google Play Store para tornar realidade as campanhas Shuabang, já disseminadas na China. Estas campanhas são atividades publicitárias fraudulentas que têm como objetivo promover aplicativos legítimos garantindo-lhes avaliações mais altas, aumento dos índices de download e publicação de comentários positivos sobre as mesmas no Google Play.

Ainda que estas campanhas não se apropriem de recursos ou informação do proprietário do dispositivo, há riscos importantes a destacar: o download de aplicativos adicionais em aparelhos infectados resulta em custos extra de tráfego de internet móvel e em alguns casos os apps Shuabang são capazes de instalar em segredo programas pagos juntamente com os gratuitos, utilizando os dados bancários da conta Google Play da vítima como método de pagamento.

Para executar estas campanhas, os criminosos criam múltiplas contas falsas no Google Play ou infectam vários dispositivos com o malware especial que dissimuladamente executa ações no Google Play de acordo com as instruções enviadas pelos fraudadores.

Apesar do Google possuir fortes mecanismos de proteção que ajudam a detectar e bloquear usuários falsos e assim prevenir operações fraudulentas, os criadores do trojan Guerilla parecem ter conseguido vencer essas barreiras.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Wintech

Malware para Mac que rouba dados e senhas

backdoor_osxA Kaspersky Lab descobriu recentemente um Backdoor no Mac OS X, capaz de extrair diversos tipos de informação da máquina comprometida, conseguindo roubar dados, áudio, vídeo e capturar telas e o registro do que é digitado no teclado.

O malware, escrito em C++, usa um sistema multiplataforma QT ligado ao OpenSSL. Quando executado pela primeira vez no dispositivo, ele produz cópias em diversos locais na biblioteca do sistema, que ficam escondidos em pastas de apps como o Skype, o Firefox e a App Store.

De acordo com a empresa de segurança, o malware é a versão para o Mac do Backdoor identificado em janeiro, que opera no Windows, Linux e no OS X.

O código também é capaz de detectar e monitorar dispositivos de armazenamento removíveis e até documentos do Office. Por meio do servidor C&C, criminosos podem definir seus próprios filtros e executar comandos adicionais. “Além de ataques de malware como este, é vale lembrar que usuários do OS X também são alvo de diferentes ameaças, incluindo cibercriminosos e agências governamentais.

Por isso, é importante que eles tenham solução de proteção de Anti-Malware para proteger seus dados pessoais”, explica Dmitry Bestuzhev, diretor da equipe de investigação e análise para América Latina da Kaspersky Lab.

Fontes: Olhar Digital e SecureList

Brasil: terceiro país maior alvo de malware bancário

malwareO Brasil segue na mira de cibercriminosos e o País é o terceiro maior alvo de malwares financeiros em todo o mundo, segundo relatório da Kaspersky Lab. A Turquia foi o país mais atacado no período, em que 3,45% de usuários Kaspersky Lab enfrentaram ameaças financeiras on-line, seguido por Rússia (2,9%) e Brasil (2,6%), que, por conta dos Jogos Olímpicos, pode subir na lista de ataques no 3º trimestre. O documento indica ainda que o segundo trimestre de 2016 registrou alta de 15,6% nos ataques financeiros.

No período analisado, produtos da empresa de segurança bloquearam 1.132.031 ofensivas do crime nesse segmento, sendo que a parceria entre dois importantes cavalos de Troia bancários – Gozi Trojan e Nymaim Trojan – foi identificada como protagonista desse crescimento, colocando ambos na lista dos dez principais malware financeiros.

Cavalos de Troia bancários ainda são considerados os maiores perigos on-line e, frequentemente, têm sua propagação feita por meio de websites comprometidos ou fraudulentos, bem como por e-mails de spam. Depois de infectar o dispositivo, o malware cria cópias de páginas oficiais de bancos, na tentativa de roubar informações pessoais da vítima, como informações da conta, senhas ou dados de cartões de pagamento.

Desenvolvido inicialmente como ransomware, o Nymaim criptografa dados valiosos das vítimas, exigindo pagamento de resgate em troca do desbloqueio. No entanto, sua versão mais recente inclui funcionalidade que provém do código fonte do cavalo de Troia bancário Gozi, permitindo, agora, que criminosos tenham acesso remoto aos computadores das vítimas.

Além disso, é possível que a parceria também tenha trabalhado na distribuição desses malware, colocando os golpes entre os top dez ataques financeiros, com Nymaim na 6ª colocação, identificado por 1,9% de usuários do software de segurança. Gozi assumiu a vice-liderança com 3,8% de detecção, atrás somente do Zbot, que mantém o primeiro lugar com 15,17% de vítimas.

Fonte: ITForum 365

Cuidado: novo malware foca ataque em clientes de bancos brasileiros

Malware_bankerOs cibercriminosos adotaram uma abordagem mais sofisticada para atacar alvos no Brasil. Nas últimas duas semanas, o time de segurança IBM X-Force identificou atividade atípica que acarretou o surgimento dos trojans bancários de alta sofisticação Zeus Sphinx e Zeus Panda operando em território nacional.

“Esses malwares possuem uma sofisticação que não é comum encontrar no País”, afirmou Limor Kessem, conselheira da divisão de segurança da Big Blue. “Definitivamente, trata-se de algo fora do que vemos frequentemente”.

De acordo com a especialista, o mercado brasileiro é tipicamente atacado por ameaças de scripts ou extensões de navegadores. Segundo ela, não é comum ver ataques com um software modular complexo como o Zeus em solo brasileiro.

O malware age atacando computadores de usuários, onde fica hospedado até que as pessoas acessem suas contas bancárias ou realizem pagamentos online. Nesse ponto, o vírus intercepta a comunicação, modifica o website, rouba credenciais e redireciona o pagamento.

Limor supõe que os atacantes sejam baseados no Brasil ou, pelo menos, atuem suportados por um parceiro local.

Como age o malware

A ameaça se comunica com uma central de servidores de comando e controle para baixar arquivos customizados. Nesses casos, os documentos são personalizados para atacar os três maiores bancos brasileiros, além do sistema brasileiro de pagamento. O nome das instituições não foi revelado.

Adicionar um novo alvo requer que os atacantes criem uma injeção de engenharia social que imita precisamente a identidade do banco, compreendendo a forma como aquela instituição autentica processos para não deixar transparecer que os usuários estão sendo enganados.

“Eles são capazes de manipular o que a pessoa consegue ver quando visita uma página”, ilustra a especialista da IBM. “Por exemplo, além do login e senha, o ataque pode também pedir dígitos de um documento ou o nome de um familiar da vítima na hora da autenticação, simulando um processo real usado por um banco”, acrescenta.

Segundo Limor, no passado era possível ver cibercriminosos atacando países que não conheciam ou tinham familiaridade e, quando faziam isso, cometiam deslizes grotescos em sua abordagem – deixando indícios da fraude.

Isso não se vê nessa ofensiva. “Agora eles colaboram com grupos locais, o que dá uma habilidade maior de fazer as coisas de um jeito certo a partir do conhecimento sobre como os alvos se comportam, o que eleva a chance de sucesso”.

Baseado no Zeus, o código fonte do Panda e Sphinx é similar. O Panda, além de bancos, também mira vulnerabilidades em empresas do segmento de varejo. Já o Zeus, que também ataca instituições financeiras, pode atacar pagamentos por Boleto Bancário.

Fonte: IDGNow!

Clones falsos do KickassTorrents roubam dados dos usuários

kickass-torrentNova versão em forma de golpe do site KAT pede para usuário se cadastrar e fornecer dados de cartão de crédito na hora de fazer um download.

Depois do site de pirataria KickassTorrents ser derrubado no mês passado e ter seu fundador preso, surgiram diversos clones. Mas é preciso ficar de olho, pois já há versões maliciosas da conhecida comunidade torrent.

O conhecido clone KAT.am, que também saiu do ar recentemente, reapareceu na Internet em forma de um golpe que rouba os dados bancários dos usuários.

Como aponta o The Next Web, a nova versão da página parece um mirror funcional do KickassTorrents à primeira vista, mas logo que o usuário tenta fazer um download, o site pede imediatamente pelos dados do seu cartão de crédito.

Alvo

Além da derrubada do KickassTorrents e da prisão do seu suposto fundador Artem Vaulin, recentemente outro site conhecido de pirataria, o Torrentz.eu, também saiu do ar.

Fonte: IDGNow!