Novo malware tem foco em usuários de bancos brasileiros

De acordo com a OneSpan, clientes de diferentes bancos do Brasil vêm recebendo alertas sobre um novo vírus chamado CamuBot. Para infectar máquinas, o CamuBot simula a aparência de um módulo de segurança gerado por uma instituição financeira.

Módulo de segurança é um programa que o banco possui para tornar as suas transações de internet banking mais seguras. Nesse caso, o CamuBot engana o usuário se instalando no PC e simulando, com logotipo e visual completo, uma instituição bancária. Em alguns casos, o malware chega a ter acesso a senhas de uso único empregadas nas autenticações biométricas.

O malware não se baseia em telas falsas ou em ferramentas de acesso remoto, mas sim em engenharia social para tomar o controle da conta e do dispositivo

A OneSpan explica os passos do golpe da seguinte maneira: “A distribuição do vírus tem como alvos empresários ou pessoas com probabilidade de ter as credenciais de acesso à conta bancária da empresa. Em seguida, os criminosos entram em contato por telefone se passando por funcionários do banco e instruem a vítima a visitar uma URL específica para verificar se o seu “módulo de segurança” está atualizado. Esta verificação falsa solicitará, então, que seja feito um update de um suposto software de segurança. Na sequência, a vítima será instruída a fechar todos os programas, baixar e instalar o software criminoso empregando o perfil de administração do Windows”.

Na análise de Will LaSala, diretor de soluções de segurança e evangelista em segurança da OneSpan, “a história se repete na medida em que já há muitas formas de ataques contra USBs e dispositivos conectados externamente e este especificamente emprega aqueles antigos métodos criminosos, os atualiza e os combina com novos e potenciais ataques dirigidos. Ao empregar engenharia social e ter como alvo usuários específicos, este ataque tenta enganar desta vez de forma aberta e não mais escondido atrás da cena”.

Autenticação biométrica é a salvação? E USB?

Não. Segundo a empresa, em algumas circunstâncias, como na presença de autenticação biométrica ou outro hardware de autenticação forte ligado ao PC invadido, o CamuBot fica ainda mais letal ao instalar um drive.

“Sua sofisticação pode ser comprovada por sua capacidade de criar novas regras para barreiras de proteção e antivírus para poder passar por um programa confiável. O malware não se baseia em telas falsas ou em ferramentas de acesso remoto, mas sim em engenharia social para tomar o controle da conta e do dispositivo”, diz LaSala. “Bancos e usuários precisam ficar atentos. Treinar os consumidores no que eles devem ouvir e no que eles podem ou não fazer ao telefone é muito importante em um portfólio de segurança. Mas, além de preparar o usuário final, se assegurar de que um completo processo de encriptação de ponta a ponta é empregado, como uma comunicação segura, pode ajudar a reduzir a eficácia desse ataque (…) Biometria e OTP por si próprias são formas de autenticação forte, mas é importante aumentar o número de camadas adicionais de segurança quando do planejamento e distribuição de novas aplicações financeiras nesse atual cenário rico em ameaças no qual vivemos”.

Fonte: Tecmundo

Nome de bebida, mas é um novo e perigoso malware

Um malware chamado Dark Tequila foi descoberto pelos pesquisadores da Kaspersky Lab. De acordo com os analistas, o malware realizada ataques bancários e já atinge clientes no México e outras áreas da América Latina. Um dos principais problemas do vírus é que ele parece estar ativo desde 2013, ou seja: são cinco anos voando baixo pelos radares.

Segundo a Kaspersky, a programação do malware é sofisticada. “O malware Dark Tequila existe para coletar dados sobre suas vítimas, seja de credenciais bancárias ou dados pessoais ou corporativos. Como fica silenciosamente no disco rígido do usuário, ele recebe credenciais para serviços como o RackSpace, o BitBucket e o DropBox, que podem ser usados mais adiante na linha para realizar ataques adicionais”, adicionou a empresa.

A capacidade de roubar senhas do Dark Tequila vem de um keylogger instalado e uma ferramenta de monitoramento de redes

O método de transmissão e infecção do Dark Tequila acontece de duas maneiras: phishing, que engana as vítimas por meio de golpes; e pendrives maliciosos. Ambos se baseiam na ingenuidade e curiosidade das vítimas. No phishing, o cibercrime pesca por meio de descontos e promoções falsas de produtos. Já o pendrive, se você encontrar um jogado na rua, qual a chance de pegar e acabar espetando no seu computando? Podemos dizer que é relativamente alta.

“O malware utiliza um payload de vários estágios e é distribuído aos usuários por meio de dispositivos USB infectados e e-mails phishing. No computador, o malware se comunica com seu servidor de comando para receber instruções. O payload (código malicioso) é entregue à vítima somente quando certas condições são atendidas. Se o malware detectar uma solução de segurança instalada, ou tiver sinais de que a amostra é executada em um ambiente de análise (sandbox), interromperá a rotina de infecção e se excluirá do sistema”, afirma a Kaspersky.

A capacidade de roubar senhas do Dark Tequila vem de um keylogger instalado e uma ferramenta de monitoramento de redes. Por isso, ele também consegue se propagar em redes conectadas — um problema para ambientes corporativos, por exemplo.

“Esta campanha está ativa há vários anos e novas amostras ainda estão sendo encontradas. Até o momento, ele atacou apenas alvos no México, mas sua capacidade técnica é adequada para atacar alvos em qualquer parte do mundo”, finaliza a Kaspersky.

Como se proteger

A Kaspersky recomenda as seguintes medidas para se proteger contra spear-phishing e ataques por meio de mídia removível, como USBs.

Verificar os anexos de e-mail com um antivírus antes de abrir

  • Desativar a execução automática de dispositivos USB
  • Escanear as unidades USB com um antivírus antes de abrir
  • Não ligar dispositivos desconhecidos e USB ao seu PC
  • Usar uma antivírus com proteção robusta adicional contra ameaças financeiras
Fonte: Tecmundo

Novo malware se esconde no Windows

backdoor

Especialistas da Symantec, a desenvolvedora do Norton, descobriram uma nova classe de malwares que utilizam recursos de encriptação do Windows para se manterem longe de detecções. O backdoor Tranwos usa o EFS (Encrypting File System) do Windows para que suas pastas e dados não possam ser descobertos pelas varreduras dos antivírus.

O novo malware age criando uma pasta com um nome específico, que faz com que o sistema operacional a perceba como uma pasta de dados encriptados. Uma vez encriptados pelo sistema, os dados deixam de ser facilmente acessíveis por especialistas de segurança e os antivírus. A partir daí, o Tranwos pode causar danos e começar a se espalhar por uma rede. E sua técnica pode ser reproduzida em outras pragas virtuais.

A encriptação do Windows cria praticamente um salvo-conduto, um tipo de certificado de legitimidade das informações do malware aos olhos de todo o sistema. A situação acaba se tornando tão complexa, que alguns técnicos da Symantec precisaram usar um sistema Linux, bootável a partir de um pen drive, para acessar os arquivos maliciosos e removê-los com segurança do sistema infectado.

Mesmo essa estratégia tem limitações, porque um dos arquivos centrais da praga Tranwos, o wow.dll, fica profundamente encriptado dentro do EFS da plataforma. A companhia de segurança trabalha em uma solução que permita a captura e remoção completa do Tranwos.

A resposta para o problema é um pouco difícil, porque são necessários testes para traçar o perfil da ameaça: especialistas precisam monitorar computadores infectados para saber quais são os efeitos do malware. Com essas informações fica mais fácil descobrir como ele age e exatamente onde se instala. O próximo passo é trabalhar com engenharia reversa para aprender mais sobre seus mecanismos de operação.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Techtudo 

Mais de 2 milhões de dispositivos Android são infectados por Malware

'BadNews' Android Malware

Mais de de 2 milhões de dispositivos com o sistema Android foram alvo do ataque de um novo malware descoberto pela empresa de segurança de dispositivos móveis Lookout.

O “Bad News”, como é chamado, é um tipo de malware e infectou 32 aplicativos da loja virtual Google Play.

Segundo a Lookout, o “Bad News” se disfarça como uma simples rede de publicidades e usa a capacidade de enviar mensagens de notícias falsas para promover outros vírus de monetização e aplicativos associados. A Google já excluiu os programas infectados da rede.

Verificar se a configuração do sistema que permite a instalação de aplicativos de “fontes desconhecidas” está desmarcada e adquirir um antivírus são as principais recomendações dadas pela Lookout a usuários de Android.

Agradeço ao Davi e ao Lucas, por terem enviado referências desta notícia.

Fonte:  Zero Hora

Malware altera boletos e desvia pagamentos

Praga modifica a linha digitável de boletos gerados.
Código de barra é danificado para forçar uso dos números.

Uma praga digital enviada por um leitor do site Linha Defensiva apresenta um comportamento até hoje desconhecido no Brasil: ela detecta quando um boleto é visualizado no navegador web, altera os números da linha digitável para desviar o destino do pagamento e corrompe o código de barras, impedindo o uso do mesmo.
Com a alteração dos boletos, mesmo quem não utiliza internet banking pelo PC pode ser vítima do golpe. Se o boleto for impresso, por exemplo, ele continuará tendo os números incorretos e o dinheiro pago irá para uma conta diferente daquela que deveria receber o dinheiro.
O valor e o vencimento do boleto não são alterados, de modo que não é possível perceber a fraude facilmente.

Manipulação de boletos
O código não altera boletos de um site específico. Qualquer página que tiver uma linha digitável e a palavra “boleto” está sujeita a ser modificada. O vírus analisado pela Linha Defensiva envia os dados do boleto encontrados na página para um servidor, que informa ao vírus os novos dados para substituição. Esse processo acrescenta um pequeno atraso na exibição da página no navegador.

Imagem da Caixa para fins didáticos – Qualquer boleto pode ser alterado:

boleto

Boleto alterado, com detalhe para diferenças na linha digitável e código de barras:

Boleto1

A nova linha digitável não modifica o valor nem o vencimento do boleto. Outros dados do boleto não são alterados, ou seja, os dados apresentados de forma legível não conferem com a linha digitável manipulada. O vírus também não modifica o logo do banco que acompanha o documento, o que significa que o logo e o número do banco nem sempre estarão corretos.
Em um teste realizado pela Linha Defensiva, o código do boleto era sempre do Banco Santander, apesar de boletos terem sido gerados com números da Caixa, Banco do Brasil, Itaú e Bradesco. A praga digital pode usar qualquer banco como conta de destino, já que a substituição ocorre em tempo real. É possível que esse mesmo vírus utilize contas de outros bancos, conforme necessidade ou interesse dos golpistas.
Como as contas usadas ficam armazenadas no servidor, não é possível extrair uma lista de contas da própria praga digital.
A praga não consegue alterar o código de barras. Por isso, ela tenta quebrar o código de barras existente na página. Ela faz isso acrescentando um elemento HTML “spam”. Essa marcação não existe no HTML, mas o que quebra o código de barras é o caractere “ ” – um espaço. Na prática, há “buracos” no meio do código de barras. [clique aqui para ver o código e observe nas imagens desta página os buracos nos códigos de barras]
Boletos de contas de consumo (energia elétrica, telefone) não são alterados.

Funcionamento básico do vírus

img1

Ao ser iniciado, o vírus tenta localizar a presença de softwares de segurança dos bancos e removê-los do computador. Ele também desabilita o firewall do Windows e copia a si mesmo com um nome aleatório e configura o Windows para iniciar esse arquivo junto com o sistema.

Detalhe de nomes que ativam ações do vírus: Facebook, Live, boletos e ‘segundavia’.
Além da capacidade de manipular boletos, o vírus traz ainda recursos de captura de senha do Facebook e Hotmail. Essas contas podem ser usadas para disseminar outras pragas digitais futuramente.

Detalhe de nomes que ativam ações do vírus: Facebook, Live, boletos e ‘segundavia’:

img2

A praga fica em constante contato com um servidor de controle, que armazena informações sobre cada computador infectado, entre elas o endereço IP, o nome do computador e a localização geográfica.
A Linha Defensiva recebeu duas amostras de vírus com esse comportamento. Uma delas tem pouco mais de 400 KB de tamanho, e a outra cerca de 500 KB.

A praga também possui funções que demonstram a tentativa de evitar a análise do código e não entra em operação imediatamente após ser executada, o que pode burlar alguns sistemas automáticos de análise de comportamento.

Detectando o golpe
Por limitações do vírus, é possível identificar o golpe de algumas formas:

– As linhas digitáveis dos boletos serão sempre parecidas;
– O código de barras terá um “buraco” branco e será inválido;
– O logo do banco não será sempre idêntico ao número do banco presente na linha digitável.

Uma versão avançada desse vírus poderia resolver todos esses problemas. Ou seja, o vírus ainda não adquiriu sofisticação plena, mas novas versões do programa podem aperfeiçoá-lo e corrigir essas limitações. Assim, o ataque seria bastante difícil de ser detectado.
O ataque é especialmente notório por conseguir “pular” para o mundo off-line, prejudicando mesmo aqueles que não utilizam internet banking, mas fazem, por exemplo, impressão de segunda via de boletos pela internet.
Em circulação há pelo menos três semanas segundo o VirusTotal, as taxas de detecção são boas, embora o funcionamento do golpe não tenha sido divulgado por nenhuma empresa antivírus.

VirusTotal Versão 2 – 33/46

VirusTotal Versão 1 25/46

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Linha Defensiva

Novo malware faz uso da memória RAM para infectar o computador

A empresa de segurança Kaspersky Labs descobriu um novo malware que não instala nenhum arquivo no PC da vítima.

Descrito pelos pesquisadores da empresa como um malware “único” e “muito raro”, ele injeta a partir da Web uma dll criptografada diretamente na memória do processo javaw.exe.

Este modo de operação indica que tanto o Windows como o Mac OS X são afetados por ele, além de tornar mais difícil sua detecção pelos antivírus já que ele é executado dentro de um processo confiável.

Depois que a dll é injetada com sucesso na memória do processo javaw.exe, o malware tenta enganar o UAC (Controle de Conta de Usuário) do Windows. Com isso, o Trojan-Spy.Win32.Lurk será baixado, instalado e se conectará a uma botnet.

Esta tentativa de instalação é a principal tarefa do malware, já que viver na memória RAM significa que ele será removido caso o computador seja reinicializado antes que ela seja concluída.

A injeção da dll só é possível graças a uma vulnerabilidade no Java, a CVE-2011-3544. Ela já foi corrigida pela Oracle em 2011, mas muitos usuários não costumam instalar as atualizações para o Java assim que elas são disponibilizadas.

De acordo com a Kaspersky, o malware é servido através de anúncios maliciosos presentes em sites russos. A empresa de publicidade já foi contatada para removê-los.

Agradeço aos amigos e colaboradores deste site, Davi e Vanderlei, pela referência a esta notícia.

Fonte: Baboo