Novo malware ataca bancos, governos e empresas de telecomunicação

fileless_malware_statsA Kaspersky alertou nesta semana para um novo malware praticamente indetectável que já infectou mais de 140 empresas e organizações em todo o mundo.

De acordo com o post em seu blog, o malware infectou bancos, agências governamentais e empresas de telecomunicações para roubar informações confidenciais. O Brasil também está entre os países onde a infecção foi notada.

O novo malware, que foi batizado como MEM:Trojan.win32.cometer e MEM:Trojan.win32.metasploit pela Kaspersky, é um verdadeiro pesadelo para administradores e gerentes de TI. O que o torna tão problemático é que ele utiliza softwares legítimos, e geralmente com código aberto, para infectar um sistema com Windows.

Quando a infecção é bem-sucedida, o malware remove todos os traços de sua presença no computador e passa a residir na memória. Com isso os softwares antivírus que verificam o disco rígido do sistema infectado não conseguem detectá-lo.

Outro detalhe é que o novo malware também pode se esconder em outras aplicações, ficando invisível para os softwares antivírus.

Em seu blog, a Kaspersky oferece detalhes mais técnicos sobre como o malware opera. O processo de infecção começa com um instalador temporário no disco rígido.

Este instalador temporário injeta o malware na memória do computador usando um arquivo MSI comum, que depois é removido automaticamente.

Já dentro da memória, o malware utiliza scripts do PowerShell para obter privilégios administrativos no computador infectado e começar a roubar as informações.

A partir do momento em que ele começa a coletar as informações, o malware utiliza a porta 4444 para transmitir as informações roubadas.

O novo malware é difícil de ser detectado por residir na memória. O antivírus precisa ser capaz de verificar este espaço enquanto o computador está em execução para que sua detecção seja possível. Se o PC for reinicializado, o malware também será removido.

Confira os detalhes técnicos sobre o malware acessando o post no blog da Kaspersky aqui.

Agradecemos ao Davi e ao Igor, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Vem aí: o novo sistema do Google

google-fuchsiaO Google está desenvolvendo um novo sistema chamado Fuchsia, e o código fonte inicial já foi liberado publicamente. Os próprios desenvolvedores do Fuchsia e o Google não explicaram ainda para que a plataforma será usada – mas podemos “cavar” no código recém-lançado para aprender mais.

Pink + Purple == Fuchsia

O Fuchsia é um novo sistema open-source sendo desenvolvido por funcionários do Google. “Pink + Purple == Fuchsia (a new Operating System)”, diz a descrição misteriosa do projeto em uma página no GitHub, onde o código está disponível – assim como no Google Source.

Mas é só isso. Apesar de o código estar disponível e podermos ver quem especificamente está trabalhando nele, ainda não foi feito nenhum anúncio ou explicação oficial do Google ou dos desenvolvedores sobre os objetivos do Fuchsia.

E se ninguém está pronto para comentar sobre o assunto, por que o código foi liberado publicamente? “A decisão foi tomada para construí-lo de maneira open source, por isso já podemos começar isso desde o início”, afirmou Brian Swetland, do Google, em um canal do projeto no IRC. A partir das mesmas conversas, os desenvolvedores relatam que o Fuchsia “atualmente está inicializando razoavelmente bem em NUCs Broadwell e Skylake e no Acer Switch Alpha 12, apesar de o suporte para drivers ainda ser um trabalho em progresso”. O suporte para o Raspberry Pi 3 também chega em breve.

Magenta e Escher

Apesar de não existirem muitas notícias oficiais anunciadas, veja abaixo o que podemos saber a partir do código fonte.

O Fuchsia é baseado no Magenta, que, por sua vez, é uma combinação de microkernel e um conjunto de serviços e drivers de hardware. Essa é uma grande mudança em relação ao uso do kernel Linux pelo Google nos sistemas Android e Chrome OS.

O Fuchsia inclui o Escher, “um renderizador baseado fisicamente” que fornece sombras leves volumétricas, color bleeding, difusão de luz e um efeito de lente. Isso sugere que o Fuchsia não será apenas um sistema simples embutido, mas será capaz de fornecer interfaces gráficas de usuário.

A linguagem de programação principal do Fuchsia parece ser a Dart, do próprio Google.

Qual o objetivo?

Apesar do Fuchsia parecer ser um projeto extremamente interessante, qualquer especulação de que o Google esteja prestes a substituir o Android e o Chrome OS com o Fuchsia é infundada e muito precipitada.

Mesmo que esse seja o objetivo de longo prazo do projeto, provavelmente levará alguns anos antes de qualquer coisa estar pronta para um lançamento público para os consumidores.

Fonte: IDGNow!

Novo malware rouba dados de pagamento e traz grande preocupação

malware

Uma nova ameaça à segurança das transações financeiras está circulando pela internet, é o malware Nemesis, criado pelo grupo de hackers FIN1, da Rússia. De acordo com a empresa de cibersegurança FireEye, o alvo do software são as empresas de pagamento via internet e ele inclusive já teria infectado uma instituição do setor, que não teve seu nome revelado.

O malware age roubando dados de pagamento fornecido por clientes, como números de cartão de crédito. A atuação deste software vem na linha crescente de ações criminosas direcionadas a empresas financeiras, como a Target e a Home Depot, duas que já declaram ter tido problemas de segurança nos últimos anos.
O perigo do Nemesis, porém, é o fato de ele funcionar sem chamar a atenção, o que torna bastante difícil a sua detecção.
Além disso, ele é um bootkit e atua junto a componentes de baixo nível do sistema operacional, permanecendo na máquina mesmo que o SO seja reinstalado em um mesmo disco — daí a dificuldade de removê-lo.

Sistema sequestrado
Com isso, ele “sequestra” a função de arranque do Windows, carregando dados a partir de uma partição infectada com o Nemesis e burlando qualquer possibilidade de verificação de integridade feita pelo Sistema Operacional. Só então ele carrega o sistema, permanecendo invisível também aos programas antivírus e antimalwares. “Malware com a funcionalidade de um bootkit pode ser instalado e executado quase que completamente, independente do sistema operacional Windows”, informa a FireEye.

Como resultado disso, serão necessárias novas abordagens para detectar e remover tais ameaças, como o uso de ferramentas capazes de vasculhar partições no formato RAW. Os especialistas alertam que nem mesmo a remoção completa do sistema operacional é o suficiente para se livrar do Nemesis. “Administradores de sistema devem realizar a destruição física completa de qualquer sistema comprometido com um bootkit e então recarregar o sistema operacional”. Em suma, reinstalar o Windows não vai resolver: é preciso apagar completamente todos os dados de um disco.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

O número que pode causar outro ‘bug do milênio’

novo_bugAo término do último século, o mundo enfrentava a preocupação do “bug do milênio”, e agora parece que aquele mesmo tipo de problema voltou a nos assombrar.

O princípio do bug – também conhecido como Y2K- era o seguinte: os softwares que rodavam uma porção de coisas – de computadores pessoais a bancos – interpretavam os anos com dois dígitos. Assim, 1998 era 98, 1999 era 99 e 2000 era… 00, o que podia fazer as máquinas pensarem que o mundo havia retornado a 1900.

O princípio do que se discute hoje é o mesmo, a incapacidade de algumas máquinas ultrapassarem determinado número, no caso, 2.147.483.647. É o máximo que um computador de 32 bits consegue processar, então se ele chega a 2.147.483.648 pode ocorrer uma pane.

Isso já aconteceu antes, inclusive. Como lembra a BBC, em 4 de junho de 1996 o foguete Ariane 5 explodiu no ar 39 segundos após a decolagem. Antes, em 91, um míssil americano que mirava um quartel iraquiano errou o alvo e, como consequência, matou 28 soldados e feriu 98 pessoas.

Menos preocupante que isso foi o que aconteceu em dezembro passado, quando o vídeo Gangnam Style, do cantor Psy, atingiu essa marca e quebrou o contador de visualizações do YouTube, que então rodava em um sistema de 32 bits.

A BBC diz que recentemente se descobriu que o bug também afeta aeronaves Boeing 787; a unidade de gerenciamento que controla a energia do avião entrará em modo de segurança – causando desligamento total – caso a máquina tenha permanecido ligada por 248 dias. Isso pode ocorrer durante um voo.

Pode-se remediar a situação usando a fórmula do YouTube: migrando para um sistema de 64 bits, o que a Boeing provavelmente fará.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e Discovery

Novo malware utiliza roteadores para se disseminar

novo_malwareUm novo malware descoberto pela equipe do Ara Labs invade o seu computador de uma forma curiosa: ele utiliza roteadores para se espalhar e, uma vez instalado, envia publicidades indesejadas de forma extrema às páginas visitadas pelas vítimas durante a navegação.

Os criminosos utilizam configurações sequestradas do número de DNS dos roteadores, uma técnica conhecida desde 2013. Em seguida, eles substituem as palavras-chave do Google Analytics por pornografia e publicidade de games e serviços.

O problema estaria na configuração dos próprios eletrônicos, que utilizam automaticamente o mesmo DNS fornecido pelo roteador — que não faz ideia de que houve o sequestro, claro. Ou seja, você estará conectado a um servidor falso sem qualquer pista de que isso aconteceu e toda a sua navegação vai passar por esse código, que faz a ponte entre o PC e os domínios a serem visitados.

Aplicando o golpe

A invasão do adware nos navegadores acontece por meio de uma falha no Javascript. No processo, a vítima visita um site e, em vez de carregar os códigos do Analytics tradicional, ativa uma página falsa da ferramenta, injetando a publicidade na página aberta. Ressaltamos que essa não é uma falha no serviço da Google: ele foi escolhido como “arma” somente por ser bastante popular.

No golpe, o DNS primário é alterado para 91.194.254.105, enquanto o DNS secundário é o mesmo da Google (8.8.8.8). Já o IP do Analytics falso é 195.238.181.169, nada relacionado com a Google.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e Ara Labs

Vem aí o HTTP/2 que tornará a navegação mais rápida

http_2Quando você requisita uma página ou arquivo de um servidor, seu navegador faz esse pedido usando HTTP, e o servidor responde usando HTTP também. Este é um dos padrões mais fundamentais na internet; agora, depois de 16 anos, ele finalmente ganhou uma nova versão.

O HTTP/2 será a primeira atualização para o Protocolo de Transferência de Hipertexto desde 1999, quando foi adotado o HTTP 1.1. E ele trará alguns grandes benefícios para a web.

Vantagens
Ele deve fazer as páginas carregarem mais rápido, garantir que conexões durem mais tempo, e facilitar que servidores enviem dados para o seu cache, para seu computador não ter que baixá-los depois.

Ele também terá suporte a APIs que expandem sua funcionalidade, vai oferecer mais espaço para criptografia, entre outros. Apesar das mudanças, os endereços da web continuarão usando “http://”.

E como fica o HTTPS? Na verdade, o “S” apenas significa que o HTTP comum está sendo executado através de um protocolo seguro (TLS ou SSL). O HTTP/2 também fará o mesmo para fornecer uma conexão segura. Na verdade, Firefox e Chrome provavelmente só darão suporte a ele usando TLS.

O HTTP/2 também deve resolver um problema que aflige os desenvolvedores há muito tempo. Atualmente, múltiplas solicitações de HTTP deixam os servidores lentos, impedindo que as páginas carreguem; a nova norma terá suporte a multiplexação, de modo que várias solicitações podem ser atendidas simultaneamente.

Adoção
A nova norma foi finalizada ainda hoje, de acordo com Mark Nottingham, presidente do Grupo de Trabalho para HTTP da IETF (Força-Tarefa de Engenharia da Internet). Ela vai passar por algumas etapas editoriais antes de ser publicada como um novo padrão a ser usado em navegadores e serviços da web.

O HTTP/2 foi baseado no protocolo SPDY, criado pelo Google em 2009, que carrega páginas da web 50% mais rápido que o HTTP comum. Ele foi implementado em sites como Google e Twitter, e já é suportado por todos os principais navegadores.

O Google anunciou recentemente que irá mudar para HTTP/2 o mais rápido possível, a fim de acelerar a navegação no Chrome; outras empresas devem fazer o mesmo. Desenvolvedores interessados em testar o HTTP/2 podem visitar este link para fazer isso; enquanto nós teremos que esperar até que ele seja embutido nos serviços que usamos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo

Novo malware ataca de forma silenciosa

malware_alertSem ser notado, ameaça faz um reconhecimento do terreno e testa barreiras vulneráveis, tornando-se altamente perigoso para as empresas

O Websense Security Labs descobriu um novo malware que utiliza técnicas de evasão e baixa um programa para minerar um cryptocurrency. O malware, batizado de ‘f0xy’, consegue alterar seu comando e controle (C&C) de maneira dinâmica, além de baixar e executar arquivos arbitrários, segundo a empresa.

As táticas de evasão do f0xy incluem o VKontakte, rede social da Rússia, que utiliza o Background Intelligent Transfer Service para baixar arquivos.

“O malware emergente f0xy utiliza técnicas de evasão especialmente avançadas, além de astúcia e truques para esconder-se atrás dos ruídos de comunicações legítimas”, explica Carl Leonard, Principal Analista de Segurança da Websense. Ele completa dizendo que o malware age nos bastidores, faz um reconhecimento do terreno e testa barreiras vulneráveis, o que representa uma ameaça grave.

Os analistas da Websense acreditam que o autor do malware alterou e aprimorou o código para aumentar sua credibilidade e eficiência, chegando a uma versão que funciona na maioria dos sistemas operacionais. As primeiras versões do malware devem rodar apenas no Windows 6.0 (Vista) ou em versões mais recentes do sistema operacional. Porém, as versões seguintes do malware também devem rodar no anterior Windows XP.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ITForum 365