Malware com foco na conta bancária

Um malware chamado Metamorfo age por meio de spam para infectar vítimas no Brasil, segundo o Threatpost. Utilizando uma campanha de infecção em vários estágios, o malware trabalha com ferramentas legítimas do Windows como side-loader, além do uso de armazenamento em nuvem para guardar o código malicioso.

É interessante notar que o Metamorfo busca atividades realizadas especificamente em bancos brasileiros, além de sites de criptomoedas

Segundo o FireEye Labs, o ataque começa via email com um HTML como anexo. Esse HTML redireciona a vítima para uma URL encurtada que leva até sites como GitHub, Dropbox ou Google Drive. Nestes sites, a vítima é induzida a baixar um arquivo ZIP — e é nele que o Metamorfo se esconde.

“Quando o ZIP é aberto, ele instala uma ferramenta legítima do Windows que é usada para baixar um trojan bancário”, nota que a FireEye. “A partir desse ponto, o malware espiona a vítima para acompanhar a atividade bancária”.

O Metamorfo tem a capacidade de capturar screenshots da tela do PC enquanto o usuário navega em internet banking. Dessa maneira, informações bancárias, bem como senhas e outros dados, são repassadas aos cibercriminosos por trás do trojan.

“O uso de cadeias de infecção em múltiplos estágios dificulta a pesquisa desses tipos de campanhas durante todo o processo”, disseram os pesquisadores da FireEye, Edson Sierra e Gerardo Iglesias, em análise. “Os invasores estão usando várias técnicas para evitar a detecção e infectar usuários desavisados no Brasil com trojans bancários. O uso da infraestrutura de nuvem pública para ajudar a fornecer os diferentes estágios desempenha um papel particularmente importante na entrega da carga maliciosa”.

Como se proteger

A prevenção é o caminho: não aceite mensagens de desconhecidos, principalmente as acompanhadas por links. Caso você receba um email ou mensagem de WhatsApp de seu banco, ignore — se bater alguma dúvida, entre em contato via telefone com o banco em questão.

Se você percebeu alguma movimentação estranha em sua conta, também entre em contato com o banco para entender quais serão os passos realizados.

Fonte: Tecmundo

Microsoft disponibiliza extensão contra phishing para o rival Chrome

A Microsoft cedeu um ativo e tanto do seu navegador Edge para o rival Chrome ao lançar uma extensão que amplia as habilidades de detecção de phishing do browser do Google.

A empresa de Redmond não teve muita escolha, conforme aponta um analista da consultoria Directions chamado Michael Cherry. “Phishing é um problema enorme, e as pessoas vão usar o navegador que costumam usar. Eles estão fazendo isso para proteger o ecossistema do Windows.”

Chamada de Windows Defender Browser Protection (WDBP), a extensão gratuita em questão pode ser adicionada ao navegador Google em máquinas Windows ou macOS, e após uma correção, também no Chrome OS.

Assim como as ferramentas de defesa embutidas no Edge, o novo add-on se baseia na tecnologia SmartScreen, da Microsoft, que avisa aos usuários sobre sites potencialmente maliciosos que possam tentar baixar malware no computador ou sobre sites linkados em e-mails que levam a URLs de phishing desconhecidas.

A Microsoft mantém uma lista em constante alteração nos seus servidores sobre esses destinos provavelmente ruins – essa relação é gerada em parte a partir de telemetria enviada pelos usuários da SmartScreen.

Pelo menos, é o que parece que a WDBP faz. A Microsoft não registrou a operação da extensão além de algumas informações gerais no seu site e da descrição sobre a solução na Chrome Web Store. Na segunda, a companhia diz o seguinte: “Se você clicar em um link malicioso em um e-mail ou navegar até um site feito para te enganar a revelar informações financeiras, pessoais ou outros dados sensíveis, ou até um site que hospede malware, a Windows Defender Browser Protection vai verificar isso em relação a uma lista atualizada de URLs maliciosas de conhecimento da Microsoft.” Isso é a SmartScreen.

Ajudando o rival

Mas por que a Microsoft cedeu uma das poucas vantagens do Edge para um navegador rival?

Cherry acredita que a Microsoft se encontrou em uma posição difícil: proteger a maioria dos usuários Windows ou apenas aqueles rodando o Edge (ou a versão obsoleta e de legado do Internet Explorer)? “O Edge não conseguiu se popularizar”, destaca o analista, sobre os números baixos do navegador do Windows 10. “Mas se as pessoas forem vítimas de phishing, elas não vão apontar o dedo para o navegador, que é apenas um aplicativo. Elas vão questionar a Microsoft: ‘Por que vocês não protegeram o Windows?’ Esse é apenas um movimento de auto-defesa.”

O Edge, que está se aproximando do seu terceiro aniversário, não conseguiu atrair um público significativo. Os dados mais recentes da empresa de pesquisas Net Applications colocam o Edge com apenas 4% do mercado de browsers – e somente 13% entre as máquinas com Windows 10. Enquanto isso, o Chrome é o browser usado por 61% da população on-line no mundo.

Outras razões para a Microsoft compartilhar a sua tecnologia com o navegador do Google

Com o Edge e o IE respondendo por uma pequena fatia dos internautas – a Net Applications registrou em março que os dois combinados alcançaram 18% – a Microsoft não estava recebendo a quantidade de dados telemétricos, cruciais para a SmartScreen, que costumava receber antes.

“A explicação mais simples sobre a motivação para a Microsoft oferecer a SmartScreen no Chrome é que isso dá à companhia visibilidade sobre as coisas ruins encontradas pelos 60% do mercado que usam o Chrome”, explicou o especialista da companhia de segurança Sophos, John Dun. “Isso, por outro lado, ajuda o serviço de e-mail Office 365 Exchange, da Microsoft, a oferecer uma proteção melhor para competir com o pacote G Suite, do Google.”

Opinião do seu micro seguro: fiz uso dessa extensão e não verifiquei vantagens quando comparada à detecção nativa de sites de phishing já realizada pelo recurso nativo do próprio Chrome.

Fonte: IDGNow!

Crackers investem no roubo de dados via phishing

Estratégias de phishing também miram na iminente Copa do Mundo para lançar ciberataques, alerta Kaspersky Lab

O relatório “Spam e phishing em 2017”, produzido pela Kaspersky Lab, mostra que 29% dos usuários brasileiros foram afetados por campanhas de phishing no ano. Ao todo, a quantidade média de spam em 2017 diminuiu para 56,63%, o que representa 1,68% a menos do que em 2016. Ao mesmo tempo, o número de ataques de phishing aumentou. O sistema antiphishing da empresa russa de cibersegurança foi acionado 246 milhões vezes nos computadores de usuários da companhia – 59% mais do que no ano anterior.

Mas quais as principais estratégias dos crackers?

Segundo a Kaspersky Lab, os criminosos têm acompanhado os assuntos internacionais e usado temas em alta para enganar os usuários e roubar dinheiro ou informações pessoais. Os remetentes de spam se mostraram agentes atentos, monitorando instantaneamente questões globais com o objetivo principal de chamar e explorar a atenção das vítimas.

A Copa do Mundo de Futebol, que ocorre neste ano, foi um dos principais temas. Os remetentes de spam propagaram e-mails relacionados ao tema. Assim, enviaram às vítimas mensagens fraudulentas com logotipos oficiais do evento, incluindo informações dos organizadores e das marcas dos patrocinadores, que avisavam aos usuários sobre prêmios de sorteios e até prometendo ingressos gratuitos.

Outro tema em alta nos spams e golpes de phishing em 2017 são as criptomoedas, principalmente o bitcoin, que ganhou notoriedade com a disparada no seu preço. Os pesquisadores da Kaspersky Lab já tinham registrado um crescimento nos golpes com temas relacionados ao blockchain no terceiro trimestre de 2017. Até o final do ano, foi observado um amplo arsenal de ferramentas de envio de spam.

Estratégias

De acordo com as descobertas da empresa, os criminosos têm usado truques como sites disfarçados de bolsas de criptomoeda, serviços falsos oferecendo mineração na nuvem, ou seja, o uso de data centers especializados para locação. Mas, em todos os casos, os usuários se tornaram vítimas e perderam dinheiro.

Em esquemas de fraude mais tradicionais, como prêmios falsos de loterias, os criminosos também começaram a usar os bitcoins como isca. E, além dos bancos de dados de endereços visados anunciados por meio de spam, também foram oferecidos para compra bancos de dados com e-mails de usuários de criptomoedas, prometendo ótimas oportunidades.

Outras tendências e estatísticas importantes de 2017 destacadas pelos pesquisadores da Kaspersky Lab incluem:

– A fonte de spam mais popular foram os EUA (13,21%), seguidos da China (11,25%) e do Vietnã (9,85%). Outros dos dez países mais importantes incluem Índia, Alemanha, Rússia, Brasil, França e Itália.

– O país mais visado por envios de e-mails maliciosos foi a Alemanha (16,25%), com um leve aumento de 2,12 pontos percentuais em relação a 2016. Outros países dentre os dez principais incluem China, Rússia, Japão, Reino Unido, Itália, Brasil, Vietnã, França e Emirados Árabes Unidos.

– A maior porcentagem de usuários afetados por phishing ocorreu no Brasil (29,02%). No todo, 15,9% usuários exclusivos dos produtos da Kaspersky Lab no mundo todo foram atacados por golpes de phishing.

Fonte: IDGNow!

Crackers em busca de Bitcoins

O Lazarus Group, uma equipe de crackers conectada com a Coreia do Norte, está conduzindo um ataque de phishing que tem como alvo funcionários de indústria. A ideia é invadir computadores via arquivos maliciosos e roubar dados pessoais — principalmente dados que forneçam acesso aos Bitcoins, por exemplo.

A campanha de phishing tenta fisgar trabalhadores de indústrias diversas com emails alertando sobre vagas abertas em outras empresas. Dessa maneira, dentro do e-mail, um arquivo Word como anexo está infectado e, por ele, que os cibercriminosos ganham acesso ao PC.

De acordo com a empresa de segurança Secureworks, a campanha de phishing ainda está ativa e que os dados são preliminares. Novas análises surgirão nas próximas semanas.

Ataque via Word é antigo

Em setembro deste ano, pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.

Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.

Fonte: Tecmundo

Cuidado com páginas falsas de ofertas de emprego

Atenção para um novo golpe de phishing na praça: criminosos estão simulando páginas de grandes empresas com falsas oportunidades de emprego para roubar os dados dos usuários. Mais de 300 mil pessoas já curtiram ou estão seguindo as imitações, que são muito fiéis à identidade visual de grupos como Americanas, Coca-Cola, Carrefour e firmas de recursos humanos especializadas em reposição no mercado de trabalho.

O laboratório de segurança digital DRNDR Lab identificou somente no último mês mais de 30 investidas mal-intencionadas que exploram as esperanças de quem busca uma oportunidade neste final de ano. “Cibercriminosos estão se aproveitando da alta taxa de desemprego no País para chamar a atenção para falsas promessas de vagas. Na intenção de se realocar no mercado de trabalho, muitas pessoas estão se cadastrando em anúncios sem a certeza sobre sua veracidade”, comenta o diretor Emílio Simoni.

Ao clicar nas armadilhas, que normalmente oferece vagas atrativas com necessidade de urgência, as vítimas são levadas a um formulário com solicitação de nome completo, data de nascimento e posição profissional que gostaria de ocupar.

Somente isso já seria o suficiente para causar muita dor de cabeça por aí, mas os bandidos vão além. Muitas vezes, as pessoas também são levadas a ceder o número do telefone, cadastrar-se em serviços de SMS pago, baixar apps que podem abrir vulnerabilidades no aparelho e compartilhar os anúncios via WhatsApp.

Saiba como evitar

Para não ser uma das vítimas, sempre procure mais informações antes de sair preenchendo formulários e enviado para qualquer um. O próprio DFNDR Lab oferece uma ferramenta de verificação de endereços em seu site.

Desconfie de oportunidades mirabolantes, não envie dados bancários, observe bem para onde o link redireciona seu conteúdo, não baixe aplicativos de origem duvidosa e evite compartilhar coisas você não tem certeza sobre sua veracidade. Além disso, quem quiser pode também procurar por soluções de segurança anti-phishing disponíveis em lojas de apps.

Fonte: Tecmundo

Golpe que utiliza a Receita Federal é entregue por carta

Um golpe antigo que utiliza o nome da Receita Federal voltou a ser entregue por cartas via Correios para as vítimas. De acordo com denúncia recebida a carta “Intimação para regularização de dados cadastrais” vem com um link falso, que leva a vítima para um site que simula a Receita Federal para preenchimento de dados — e o golpe consiste no roubo destas informações.

As autoridades lidam com este tipo de golpe faz alguns anos e ainda não conseguiram descobrir os responsáveis. O crime é claro, por isso você precisa ter atenção: como um golpe de phishing, os criminosos por trás da carta se utilizam do desconhecimento e da ingenuidade da vítima ao querer resolver um problema.

Mais grave: a Receita Federal não envia links encurtados e links de outros domínios que não sejam os oficiais. Na carta que você acompanha abaixo, nenhum desses parâmetros é cumprido.

“A Receita Federal detectou inconsistências em seu cadastro de Pessoa Física, referente aos seus dados bancários declarados anteriormente”, começa a carta falsa. “Sua situação cadastral está gerando conflitos quanto ao processamento de seus dados bancários, levando seu cadastro de Pessoa Física a constar na malha fina da Receita Federal. Esta intimação tem caráter informativo e explicativo para a regularização de seu cadastro, evitando multas e futuros problemas”.

Tenha certeza: o lugar desta carta é na lixeira

O phishing na carta atua como o phishing de email: entrega a problemática para a vítima que se desespera. Os criminosos então fazem a ameaça e entregam uma solução “rápida”. No caso, um link de email falso para roubar os seus dados após o preenchimento.

“Procedimento online para regularização do cadastro de Pessoa Física da Receita Federal: http:\\info2010XXXXX”. Note o nome da URL e como ela foi encurtada: o problema já está na cara. Caso você tenha recebido esta carta que vê na imagem acima, tenha certeza: o lugar dela é na lixeira.

Fonte: Tecmundo

Falha no Chrome e Firefox permite ataque phishing

Os ataques de phishing não são nenhuma novidade. Sites e serviços falsos que se passam por outros para enganar usuários desavisados existem aos montes, mas você mal se preocupa com isso porque o seu navegador muito provavelmente faz o trabalho de filtrar e avisar caso você esteja prestes a entrar em uma página suspeita. No entanto, como agir quando a ameaça consegue driblar até mesmo esses sistemas de segurança? Pois é exatamente isso o que uma nova ameaça vem fazendo.

De acordo com uma empresa chinesa de pesquisa em segurança digital, há um novo ataque de phishing circulando pela internet que é praticamente impossível de ser detectado até mesmo por quem já está habituado a conferir a autenticidade dos sites que acessa. Segundo o alerta emitido pela companhia, há uma vulnerabilidade presente nos principais navegadores do mercado — Chrome, Firefox e Opera — que pode ser utilizada por hackers para enganar os usuários.

Assim, eles conseguem exibir falsos domínios como se fossem sites legítimos. Com isso, eles podem se passar por sites que você acessa todo dia, como Google, Facebook ou mesmo a loja da Amazon para roubar desde informações de acesso, como seu nome de usuário e senha, até dados pessoais e informações financeiras. Sem que você perceba, o número de seus documentos ou de seu cartão de crédito pode ser roubado quando você acreditava estar navegando em um ambiente seguro.

O que realmente chama a atenção nessa falha é que ela dribla até mesmo os mecanismos que geralmente utilizamos para identificar um phishing tradicional. Exemplo disso é que a empresa de segurança disponibilizou uma página de demonstração com o endereço real da Apple, mas cujo conteúdo não corresponde ao site da companhia. Isso porque essas informações estão sendo enviadas de outro servidor. A ideia é servir como um teste: se você acessar o link e visualizar um aviso ao invés do ver os produtos da Maçã, pode ter certeza de que seu navegador é vulnerável a esse novo golpe.

E o modo com que esses truques são feitos é bastante engenhoso. Eles se utilizam de caracteres Unicode, ou seja, letras de outros alfabetos que acabam sendo representados da mesma maneira que a gente costuma usar na maior parte do mundo. Isso porque os navegadores fazem uma conversão para tratar tudo da mesma forma na exibição, embora continue considerando os caracteres diferentes. Em outras palavras, ele vai mostrar o A cirílico e o A românico da mesma forma — “a” —, mas vai considerá-los diferentes na hora de gerar o endereço. E isso confunde diretamente o usuário, que acha que se trata tudo da mesma coisa.

Assim, o que os hackers fazem é inserir caracteres de vários idiomas para confundir o sistema e criar uma brecha. Como tudo isso vai ser convertido em um código universal, eles driblam a lógica dos navegadores para fazer com que essa salada linguística exiba o endereço que eles querem. É assim que eles conseguem registrar domínios que, para você, vai aparecer como se fosse apple.com, google.com ou qualquer outra página aparentemente de confiança.

Como dito, até o momento os pesquisadores identificaram o problema somente no Chrome, Firefox e Opera — também conhecidos como os programas mais utilizados para navegação. Enquanto isso, Internet Explorer, Microsoft Edge, Safari, Brave e Vivaldi seguem invulneráveis a esse truque.

Como se prevenir

Infelizmente, não tem muito o que os usuários possam fazer para contornar a situação, já que depende muito mais de uma solução apresentada pelas empresas do que ações que você possa fazer em casa. O Google, por exemplo, já está trabalhando em atualizações que corrigem o problema e a previsão é que o update seja liberado para o grande público nos próximos dias. Já a Mozilla segue em discussão sobre o que fazer.

No caso dos usuários do Firefox, há uma saída paliativa para amenizar o problema. Para isso, basta digitar about:config na barra de endereços e confirmar. Em seguida, pesquise por Punycode na área de busca. Isso vai fazer com que somente um parâmetro seja exibido — network.IDN_show_punycode. Clique com o botão direito do mouse sobre ele e selecione a opção Inverter Valor, fazendo com que ele faça a substituição automática e desative a conversão automático desses códigos.

Fonte: Canaltech