Retrôs e perigosos

Se você costuma baixar jogos no seu celular, deve estar acostumado com as propagandas que vão aparecer em algum momento. Além de irritantes, esses anúncios podem ser perigosos para a segurança dos dados do usuário: alguns games disponíveis na App Store, a loja de aplicativos da Apple, trouxeram preocupações para a Wandera, empresa de segurança. Acontece que certos apps – boa parte deles, títulos clássicos — estavam se comunicando com o mesmo servidor responsável por espalhar um software malicioso chamado Golduck.

Talvez você não tenha ouvido falar deste malware. O Golduck chamou a atenção em 2017 por estar presente justamente nos jogos clássicos, mas na Play Store. O malware instalava uma parte de um programa no dispositivo do usuário, que enviava mensagens SMS para seus criadores, gerando dinheiro para os envolvidos no desenvolvimento do Golduck e, claro, aumentando o valor da conta de celular do usuário.

Até o momento, não houve qualquer incidente com os jogos suspeitos na App Store. O servidor em questão está sendo utilizado apenas para mostrar anúncios, mas isso não o remove da lista negra; afinal, segundo analistas, o uso do servidor pode ser mudado a qualquer momento. Além disso, pesquisadores descobriram que os games estavam enviando informações sobre os dispositivos nos quais estavam instalados.

A Apple já foi informada dos jogos suspeitos e, agora, nenhum deles é mostrado na busca. Trata-se de uma situação um pouco rara, já que a Maçã possui regras bem rígidas, que acabam barrando mais os apps maliciosos.

Fonte: Tecmundo

SyncAck: um perigoso ransomware da nova geração

Os malwares tendem a evoluir conforme criminosos adicionam novas funcionalidades e técnicas para evitar a detecção por programas de antivírus. Às vezes, essa evolução é bastante rápida. Por exemplo, o ransomware SynAck, conhecido desde setembro de 2017 (quando era apenas comum e pouco inteligente), foi recentemente reformulado e tornou-se uma ameaça muito sofisticada que evita detecções com uma eficácia sem precedentes e usa uma nova técnica chamada Process Doppelgänging.

Ataque surpresa

Os criadores de malware utilizam muito a técnica de ofuscamento — tentativas de deixar o código ilegível para que os antivírus não reconheçam o malware — que normalmente empregam pacotes de software especiais para esse objetivo. No entanto, os desenvolvedores de antivírus perceberam e esse tipo de estratégia é facilmente detectada. Os cibercriminosos por trás do SynAck escolheram outro jeito que requer mais esforço de ambos os lados: ofuscar o código de forma completa e cuidadosamente antes de o compilar, o que dificulta significativamente o trabalho de detecção das soluções de segurança.

Esse não é o único método de fuga da nova versão do SynAck emprega. Adicionalmente, implementa uma técnica bastante complicada chamada Process Doppelgänging – e é o primeiro ransomware a ser visto à solta fazendo isso. Foi apresentada pela primeira vez na Black Hat 2017 por pesquisadores de segurança, e em seguida captada por cibercriminosos e utilizada em diversas espécies de malware.

O método Process Doppelgänging conta com alguns recursos do sistema de arquivos NTFS e um carregador de processos desatualizado que existem em todas as versões do Windows desde o Windows XP, e que permitem que desenvolvedores criem malwares “sem arquivo” que fazem com que ações maliciosas se passem por processos legítimos e inofensivos. A técnica é complicada; para saber mais, veja este post do Securelist.

O SynAck tem mais duas características dignas de mencionar. Primeiro, verifica se está instalado no diretório correto. Se não estiver, não executa – essa é uma tentativa de evitar a detecção por meio das sandboxes automáticas que várias soluções de segurança utilizam. Segundo, o SynAck analisa se está instalado em um computador com um teclado definido para um determinado script – nesse caso, o alfabeto cirílico – e, nessa situação, também não faz nada. Essa é uma técnica comum para restringir o malware em regiões específicas.

O crime habitual

Para o usuário, o SynAck é apenas mais um ransomware, notável principalmente pela sua demanda de resgate considerável: US$ 3000 mil. Antes de criptografar os arquivos da vítima, garante que tem acesso aos mais importantes durante a derrubada de alguns processos que, de outra forma, manteriam esses arquivos em uso e fora de perigo.

A vítima vê o pedido de resgate, que inclui as instruções de contato, na tela de login. Infelizmente, o SynAck usa um algoritmo de encriptação poderoso e nenhuma falha foi encontrada em sua implementação d – por isso ainda não há como descriptografar os arquivos atingidos.

Observamos que o SynAck foi distribuído, na maioria das vezes, por meio de um ataque de força bruta ao protocolo Remote Desktop Protocol – o foco são usuários corporativos. O número limitado de ataques até agora – todos nos EUA, Kwait e Irã – corroboram com essa hipótese.

Prepare-se para a próxima geração de ransomware

Mesmo que o SynAck não esteja atrás de você, sua existência é um sinal claro da evolução dos ransomwares, que se tornam mais sofisticados e difíceis de combater. Os utilitários de descriptografia vão ser menos frequentes conforme os criminosos aprendem como evitar os erros que tornaram possível sua criação. Apesar de terem cedido terreno para os mineradores ocultos (conforme previmos), o ransomware ainda é uma grande tendência global, e saber como se proteger contra todas essas ameaças é essencial para todo usuário de Internet.

Aqui estão algumas dicas que podem ajudar você a evitar a infecção ou, se necessário, minimizar as consequências.

Faça backups dos seus dados regularmente. E os armazene em diferentes mídias que não estejam permanentemente conectadas à sua rede ou à Internet.
Se você não utiliza o Windows Remote Desktop em seus processos de negócios, o desabilite.

Fonte: Kaspersky

Cuidado: o perigo real do Phishing Scam

Phishing-Scam

O Brasil é hoje o 5º país mais conectado à internet – segundo dados do Instituto Ipsos o percentual de brasileiros conectados à internet subiu de 27% para 48% entre 2007 e 2011, atingindo o impressionante número de 94,2 milhões de internautas tupiniquins em dezembro de 2012.

Naturalmente, junto com um aumento assim tão expressivo no número de usuários, vem toda a sorte de perigos: golpes para extorquir dinheiro, roubo de informação confidencial, dados de cartões de crédito, software malicioso, etc. E no meio desta infindável lista, ganha destaque uma técnica antiga e que requer baixo conhecimento técnico – o Phishing Scam.

O Phishing Scam consiste no envio de e-mails com promessas de dinheiro fácil, ofertas financeiras de todo o tipo – sempre vindas de alguém que você não conhece e não enviadas diretamente para seu e-mail.

Para exemplificar, transcrevo aqui a troca de mensagens entre Dody Lira, gerente sênior do datacenter americano Softlayer e responsável pelo grupo antispam e um scammer recentemente.

———————————————
From: “Freddy Scammer” <scammer@address>
To: “Freddy Scammer” <scammer@address>
Subject: PA URGENTLY NEEDED

Hi, I am looking for a Personal Assistant, Kindly let me know if you are interested, and i can send you more details. Thank you
Freddy Scammer
———————————————

Naturalmente aqui os nomes e e-mails estão preservados. O interessante é notar que o e-mail do scammer foi enviado ao destinatário em BCC – certamente junto com milhares de outros destinatários.

Nosso amigo Dody troca algumas mensagens com o scammer, não se expondo, mas ‘dando corda’ para ver se o scammer revela mais sobre suas intenções. A proposta do scammer é de pagar 500 dólares por semana para receber encomendas (caixas) e reenvia-las para o(s) endereço(s) indicados a ele. Parece realmente muito fácil. Tudo o que é necessário é fornecer seus dados pessoais completos (nome, endereço completo, telefones, etc) ao fraudador, receber as caixas e reenviá-las.

Neste caso específico o que está acontecendo é o seguinte: o fraudador usa números de cartão de crédito roubados para fazer compras e as envia para o endereço da vítima. Este recebe as caixas e as repassa ao fraudador, de modo que, se alguém for pego, será a vítima, que acha que fez grande negócio ao receber 500 dólares por semana ‘apenas’ para receber caixas e as reenviar. Parece tolo, mas com o número crescente de pessoas começando a usar a internet torna-se muito alto o número de pessoas que não tem discernimento para entender o risco, ou que precisa muito do dinheiro e se deixa levar pela oferta tentadora.

Hoje um ingresso bem localizado para um show de banda do momento custa facilmente mais de R$ 500. Sem dúvida há um grande número de jovens dispostos a topar uma oferta tentadora e de baixa dificuldade para levantar dinheiro e ir ao show, ou comprar roupas, viajar, ir a festas, etc.

Como sempre, Educação é a chave: recebeu e-mail de quem você não conhece e que nem ao menos foi enviada para seu e-mail diretamente? Nem leia. Não existe este tipo de oferta tentadora, infelizmente o que existe é um golpe e você provavelmente será a vítima. Atenção !

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: itweb

Risco: extensão para Chrome e os “Likes” do Facebook

Dislike

Novo golpe instala um complemento no navegador, a fim de transformar um “curtir” da rede social em dinheiro para criminosos online

Os pesquisadores de empresa de segurança Bitdefender identificaram um novo esquema de phishing que instala uma extensão maliciosa no Chrome, a fim de transformar um “curtir” do Facebook em dinheiro para cibercriminosos.

Phishing é um método que consiste no envio de links ou anexos maliciosos em e-mails direcionados a possíveis vítimas, que as leva a um site malicioso ou as incentiva a abrir o anexo.

O exploit nesse caso envia um link malicioso por meio de uma mensagem de spam, disse o analista sênior de ameaças da Bitdefender, Bogdan Botezatu. O link leva o usuário à Chrome Web Store e lá ele baixa uma extensão para o Flash Player.

Uma vez que a chamada “versão para negócios” do software é baixada, ela monitora as atividades do navegador. Quando o usuário acessar uma página no Facebook com o Chrome, o malware verifica os cookies do browser para ver se a pessoa está logada na rede. Se sim, ele busca por um código do Javascript que diz à extensão o que fazer com a conta. “Eles podem fazer quantas campanhas quiserem”, disse Botezatu em uma entrevista. “Tudo o que eles precisam é buscar um novo script.”

Por meio desse script, a conta do usuário pode ser usada para enviar mensagens de spam aos contatos, publicar links maliciosos no feed de notícias e na Linha do Tempo, e automaticamente “curtir” páginas sem o conhecimento do dono da conta. “Eles podem fazer qualquer coisa que o usuário pode fazer com um perfil no Facebook”, disse Botezatu.

Um cibercriminoso também pode roubar os cookies da rede social com a extensão. Em seguida, o cracker pode usá-los para acessar a conta a partir de outro computador. “É assim que você pode perder seu perfil”, disse o especialista.

O script também pode instruir contas comprometidas a “curtir” páginas específicas. A Bitdefender descobriu uma dessas páginas que registrava mais de 40 mil likes, embora ela fosse desprovida de conteúdo. Como essas páginas acumulam “curtir”, seu valor de revenda na Dark Net sobe – afinal, quanto mais “likes”, mais visível a página se torna para os usuários do Facebook.

Essa visibilidade vale milhares de dólares para os cibercriminosos, porque dá a eles uma plataforma para atingir usuários da rede social com todo tipo de ameaça, desde malwares até roupa falsificada. “Em fóruns clandestinos na Rússia, uma página com 100 mil likes é vendida de 150 a 200 mil dólares”, disse Botezatu.

Uma vez que o cracker compra uma página, ele pode mudar a sua marca. “Eles podem fazer a página parecer que é filiada a uma marca bem conhecida”, explicou. “Vimos uma que está sendo usada para comercializar roupas esportivas falsas da Nike.”

Links maliciosos também podem ser postados nessa página para que todos os visitantes que a curtiram exibam os links em seus próprios perfis, acrescentou o especialista.

Botezatu disse que é improvável que esse tipo de infecção seja detectada por um antivírus, a menos que o programa também incluia filtros web. “Esse tipo de ameaça pode persistir em um navegador por um bom tempo”, disse ele.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: IDG Now!