Mais de 90 mil sites estão direcionando usuários à código malicioso

hardware-malwareA Palo Alto Networks, uma empresa de segurança, publicou nesta segunda-feira (11) um relatório indicando que ao menos 90 mil sites na internet estão levando usuários para o “Angler”, que é um “kit de ataque”.

O Angler não é um malware em si, mas é um código usado para a instalação de outras pragas digitais. Ele é incluído em sites criados por criminosos ou em páginas que foram invadidas e alteradas. Em alguns casos, o código pode estar embutido em um anúncio publicitário. A empresa de segurança identificou versões do kit que atacam o Internet Explorer e também o Chrome e o Firefox, normalmente por meio de falhas no Flash. Quem se descuidou da segurança será contaminado com um malware ao infectar um desses sites.

Entenda como funcionam os kits de ataque

Segundo a companhia, esses sites contaminados demoram a ser identificados pelas empresas antivírus. O levantamento começou em novembro. Em dezembro, a empresa testou todos os 90.558 sites no “VirusTotal” e apenas 2.850 foram identificados como maliciosos.

Isso não significa que os antivírus não conseguem proteger o computador do Angler. Eles ainda podem impedir o código de funcionar depois que ele foi baixado. No entanto, o bloqueio da própria página garante uma proteção mais efetiva. Essas detecções são também usadas para os filtros de segurança aplicados pelo Google Chrome e Firefox, independentemente do antivírus utilizado.

Entre os endereços, a Palo Alto Networks informou que 30 deles estão na lista dos 100 mil maiores sites da web mantida pela Alexa, que mede a audiência de páginas web.

O malware que é instalado pelo Anger varia de acordo com a localização do internauta. A mesma tecnologia é usada para dificultar a detecção do ataque. Redes que pertencem a empresas antivírus, por exemplo, podem não conseguir acessar o conteúdo malicioso.

O Angler tenta se esconder de ainda outras formas. O endereço real que leva ao kit de ataque muda em períodos de 30 minutos ou uma hora e todos os sites infectados são “sincronizados” com o novo endereço simultaneamente. O redirecionamento também só fica ativo em certos períodos do dia e tenta reconhecer o navegador utilizado. Todas essas técnicas, segundo a Palo Alto, provavelmente servem para dificultar a ação de programas de proteção que tentam identificar quais sites estão contaminados.

Prevenção
É possível se proteger do Angler por meio da atualização do navegador web e do Flash Player. O Google Chrome atualiza automaticamente o Flash, mas outros navegadores dependem de uma atualização específica do Flash, que também pode ser configurada para ocorrer automaticamente após a instalação do plug-in.

A atualização automática do Windows também deve permanecer ativada para o Internet Explorer e o Edge (no Windows 10) sejam atualizados.

Se você não tem certeza se o seu Flash está atualizado, você pode baixar o Flash do site da Adobe https://get.adobe.com/br/flashplayer/. As atualizações do Flash também podem ser configuradas por meio da opção “Flash Player” no Painel de Controle do Windows.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Hackers usam roteadores para redirecionar usuários a sites maliciosos

crackerCibercriminosos estão utilizando malwares para reconfigurar o DNS de roteadores, consequentemente, redirecionar usuários para websites maliciosos, de acordo com a empresa de segurança Trend Micro. O objetivo é roubar informações sigilosas, como credenciais de conta e senhas.

O Brasil é o país que apresenta o maior número deste tipo de site malicioso – 88% do total – seguido por Estados Unidos e Japão.

Com as configurações de DNS alteradas, os usuários não sabem se estão navegando por sites confiáveis ou cópias deles. Os mais vulneráveis a este tipo de ataque são as pessoas que não modificam a configuração padrão dos roteadores.

Outro dado importante sobre essa tática, segundo a Trend Micro, é que alguns dos sites identificados pela empresa são adaptados para serviços móveis. Isso significa que, uma vez que o roteador tem suas configurações de DNS alteradas, todos os equipamentos na rede do roteador estão vulneráveis a esses ataques, inclusive os dispositivos móveis.

Os ataques podem não ser somente limitados a fraudes bancárias online. Eles podem ser perigos iminentes também para a internet das coisas (IoT) ou dispositivos inteligentes.

Proteção
Para prevenir ataques contra roteadores, a Trend Micro recomenda que os usuários configure-os da seguinte forma:

– Usar senhas fortes para todas as contas de usuário;
– Usar endereços de IP diferentes das contas padrão;
– Desabilitar recursos de administração remota.

Outra dica é verificar periodicamente as configurações DNS do roteador e prestar atenção às visitas a sites que solicitam o uso de credenciais, como provedores de e-mail, bancos, entre outros. Todas essas páginas devem exibir um certificado SSL válido. Como ação preventiva, também é possível instalar extensões de browser que possam bloquear scripts antes de eles serem executados no browser.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: ITForum365

Safari tem falha de segurança que possibilita redirecionamento para sites maliciosos

SafariAs mais recentes versões do safari para Mac OS X e iOS estão vulneráveis a um URL-spoofing que permite aos hackers realizarem ataques de phishing. Essa falha grave de segurança do navegador da Apple pode ser utilizada para redirecionar os usuários para sites maliciosos utilizando URLs autênticas.

A descoberta foi realizada pelo pesquisador de segurança David Leo, que publicou uma prova da falha presente na versão mais recente do Safari. De acordo com a amostra do pesquisador, ao abrir o site dailymail.co.uk foi possível exigir o conteúdo de outro site, no caso o deusen.co.uk, hospedado em seu próprio servidor. A falha foi apresentada tanto no Mac OS X quanto no iOS 8.3 de um iPhone 5S.

“Embora este teste de conceito não seja perfeito, ele definitivamente poderia ser utilizado por ataques de phishing muito facilmente”, declarou Manuel Humberto Santander Peláez, da SANS Internet Storm Center.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

Site brasileiro hackeado propaga malware russo

MalwareChegou a nosso conhecimento que um site de streaming de vídeo brasileiro teve sua página principal comprometida, de modo que ataques diferentes eram feitos contra todos os usuários que a acessavam, cerca de 40.000 somente em Janeiro deste ano segundo o Alexa.

O ataque exigia apenas que a vítima visualizasse a página principal do site utilizando um navegador qualquer e desdobrava-se em três etapas:

1. Uma falsa notícia de necessidade de instalação do plugin do Flash.

Na página HTML principal do site, encontramos os seguinte código, que desenha uma caixa imitando a que os navegadores exibem quando um plugin é necessário para a visualização correta de um site. Caso o usuário clicasse no botão “OK” (ok.png), este faria o download de um arquivo install.zip, que continha um cliente da botnet QAKBOT comprimido.

qabot2. Tentativas de ataque de força bruta ao roteador da vítima, com a intenção de alterar as configurações de DNS.

Ainda na mesma página, o atacante utilizou-se do comando @import do CSS [https://developer.mozilla.org/pt-BR/docs/Web/CSS/@import] para forçar o navegador a fazer uma requisição HTTP GET para endereços como:

hxxp://admin:admin@10.0.0.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1;

hxxp://admin:admin@192.168.1.1/userRpm/PPPoECfgAdvRpm.htm?wan=0&lcpMru=1480&ServiceName=&AcName=&EchoReq=0&manual=2&dnsserver=200.98.170.34&dnsserver2=200.98.170.111&
downBandwidth=0&upBandwidth=0&Save=&Advanced=Advanced

hxxp://admin:admin@10.1.1.1/dnscfg.cgi?dnsPrimary=200.98.170.34&dnsSecondary=200.98.170.111&dnsDynamic=0&dnsRefresh=1

O que essas requisições fazem é aproveitar a autenticação HTTP básica normalmente utilizadas em roteadores ADSL para alterar os IPs dos servidores DNS configurados nestes dispositivos. Contando que os usuários não alterem a senha padrão (o ataque em questão tenta com a senha “admin”), os atacantes tentaram alterar os servidores DNS das vítimas para 200.98.170.34 e 200.98.170.111, felizmente já retirados do ar.

Parte do trecho de código responsável por este estágio do ataque é exibida na imagem abaixo:

qabot13. Instalação de um cliente da botnet QAKBOT.

O último estágio requeria que a vítima acessasse o site comprometido utilizando o Internet Explorer, pois dependia da execução de um script em VBScript (interpretado como ActiveX), para baixar e instalar o cliente da QAKBOT, com o seguinte trecho de código:

qabot2A técnica utilizada neste curto script é bastante engenhosa: o atacante converteu todos os bytes do executável do cliente da QAKBOT para uma grande string na linha 237. Com o loop na linha 242, o código converte de volta cada byte original do arquivo executável e o escreve, um por um, num arquivo chamado svchost.exe, no diretório temporário. Na linha 248 ele finalmente executa o malware.

Apesar de funcional, a execução deste trecho normalmente requer que a vítima responda “Sim” para muitas confirmações que o Internet Explorer faz, como mostra a imagem abaixo:

qabot3No momento em que tivemos acesso à página comprometida, este trecho estava comentado/desativado, provavelmente pelo próprio atacante dadas as várias condições necessárias para o sucesso da infecção.

Em caso de sucesso na alteração dos servidores DNS utilizados pelas vítimas, os perigos são grandes: ao acessar sites de banco, e-mail, redes sociais etc os usuários podem facilmente ter suas credenciais e informações pessoais roubadas pelo atacante. Isto porque o sistema normalmente “pergunta” ao servidor DNS como chegar ao site que o usuário quer acessar e, utilizando um DNS de controle do atacante, este último pode instruir o computador da vítima a exibir uma cópia maliciosa do site desejado.

Já a tentativa de instalação da botnet, em caso de sucesso, permite que o atacante controle totalmente a máquina da vítima de forma remota, transformando-a no que chamamos de “máquina zumbi”, que passa a obedecer ordens, tais quais podem variar de envio de dados sensíveis a iniciar ataques de negação de serviço contra serviços expostos na Internet.

Apesar de antiga, a QAKBOT é poderosa e cheia de recursos. O arquivo executável que atua como cliente dela tem uma série de fatores que nos levam a concluir ter sido criada na Rússia, em linguagem Assembly. Com apenas 82 KB de tamanho já descomprimido, é também preparado para não ser analisado, possuindo técnicas de anti-debugging e anti-VM. Todo o controle é efetuado por um servidor nos Estados Unidos.

O que chamou nossa atenção neste ataque?

A colaboração entre cibercriminosos brasileiros e russos não é novidade, mas ainda é bastante ativa.
O uso do comando @import para o ataque de força bruta ao modem/roteador da vítima. Várias outras amostras deste mesmo ataque utilizam JavaScript no lugar de CSS.
A tentativa de instalar um cliente de uma botnet antigo, comprimido (packed) para tentar disfarçar sua origem, o que sugere que ele ainda funcione – e de fato o servidor de comando e controle (C&C) está ativo.

Agradecemos ao Henrique-RJ, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Trend Micro blog

Ataque à rede da Net levava clientes a site falso do Banco do Brasil

Um ataque à rede da NET no dia 26 de agosto esteve redirecionando clientes do Banco do Brasil a uma página falsa da instituição financeira. A página em questão era a de atualização de boletos vencidos e, quando uma pessoa digitava os códigos para receber uma nova data, o novo boleto desviava o pagamento para outro destino.

Com isso, criminosos podem ter ganhando uma boa quantidade de dinheiro recebendo pagamentos que não foram processados devidamente. Apesar disso, não há uma estimativa de quantos ataques foram feitos ou quanto em valores foi desviado.

O problema foi percebido por uma cliente que tentava atualizar um boleto. Ela disse ao G1 que, quando se conectava a outra rede WiFi que não tinha sinal da NET, o problema desaparecia. Um especialista foi contatado e foi possível constatar que se tratava de um problema de DNS da NET, o que permitia a fraude.

Sem HTTPS

Como o BB não usa o HTTPS em sua página inicial, fica também mais fácil para criminosos explorar falhas do site e conseguir redirecionar clientes para páginas falsas como essa. Apesar do relato da cliente, nem o banco nem a operadora admitiram o erro e publicaram notas dizendo que não identificaram falhas em seus sistemas no dia do acontecido.

Como os DNS das operadoras são diferentes para cada localidade, é possível que nem todas as regiões do Brasil tenham sofrido com o ataque, registrado em Belo Horizonte no dia 26 de agosto. Fora isso, como as duas empresas relacionadas não encontraram o problema, é possível que ele ainda aconteça em algum momento. Portanto, é necessário redobrar a atenção na hora de atualizar boletos pelo Banco do Brasil.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Golpe online redireciona sites de bancos

emmentalResponsável estaria atuando desde 2011, segundo pesquisa.

Nenhum código malicioso fica instalado no computador.

A fabricante de antivírus Trend Micro divulgou nesta terça-feira (22) uma pesquisa que detalha um golpe on-line usado por uma quadrilha ou indivíduo que estaria ativo desde 2011. Os ataques mais recentes redirecionam sites de banco com um código que não fica ativo no computador, levando as vítimas a um site falso que orienta para a instalação de um aplicativo para Android. O app, que diz ser um gerador de senhas do banco, na verdade intercepta mensagens SMS para que os criminosos realizem o roubo.

A pesquisa foi realizada por três especialistas da Trend Micro, David Sancho, Feike Hacquebord, e Rainer Link. O documento completo (veja aqui, PDF em inglês) está disponível on-line. O golpe ocorre na Suíça, na Áustria e na Suécia. Desde maio, o ataque também atinge internautas do Japão.

A quadrilha, quando começou a atuar, utilizava softwares espiões “prontos”. Esses ataques mais recentes do grupo, no entanto, são códigos novos. O vírus que ataca o Windows é disseminado com e-mails falsos e, uma vez aberto pela vítima, modifica a configuração de DNS (Domain Name Service) do sistema. Com isso, os criminosos podem controlar qual o servidor acessado pela vítima quando ela digita o endereço do banco no navegador.

O vírus ainda instala um novo certificado raiz no sistema, permitindo que os sites falsos tenham um certificado SSL válido, exibindo o conhecido “cadeado” de segurança. Depois disso, o vírus se desinstala, não deixando nenhum outro rastro.

O site falso do banco se parece com o original, mas solicita que o internauta instale um aplicativo para Android que seria fornecido pelo banco para gerar senhas de autorização para transações. Esse aplicativo, no entanto, intercepta as mensagens SMS recebidas pelo aparelho. Assim, a proteção dos bancos que utiliza mensagens SMS para gerar senhas únicas para as transações fica comprometida.

Para que o golpe pareça mais natural, o site falso diz ao usuário que deve digitar um código recebido no celular. Como o código nunca chega, o usuário é obrigado a clicar no link “não recebi o código”, que então recomenda a instalação do aplicativo falso. A quadrilha (ou indivíduo) e o golpe foram batizados de “Emmental”.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Cuidado com o falso instalador do WinRar

winrar

Usuários brasileiros que buscam pelo WinRAR no Google podem acabar instalando um malware no computador acidentalmente. Cibercriminosos do país registraram diversos domínios maliciosos para distribuir falsos instaladores do software. E não só isso: para aparecerem no topo dos resultados, eles também compraram links patrocinados.

A técnica é parecida com a utilizada no caso do falso Windows Live Messenger, um golpe que se espalhou durante o processo de integração do serviço com o Skype.

Conforme a Kaspersky Lab, o falso programa, depois de executado, direciona a vítima para páginas falsas de banco quando ela tenta realizar uma transação no Internet Banking.
Fábio Assolini, analista de malware da companhia, destaca o método de distribuição do arquivo malicioso. Conforme o especialista, durante boa parte do dia o site malicioso oferece o download legítimo do WinRAR, hospedado no domínio rarlab.com. Em certas horas da noite, porém, ele começa a distribuir o cavalo-de-troia.

O malware faz uma pequena alteração no proxy dos navegadores Internet Explorer e Mozilla Firefox. Essa mudança é a responsável pelo direcionamento para os sites falsos de bancos, que têm o objetivo de roubar as credenciais bancárias do usuário.

Os analistas da Kaspersky Lab alertam para os usuários ficarem atentos ao baixar programas na internet, escolhendo sempre o site oficial do distribuidor que, no caso do WinRAR, é http://www.winrarbrasil.com.br

Em caso do site ser desconhecido, não baixe o programa.

Opinião do Seu micro seguro: em suma, de acordo com a Kaspersky o site que faz uso do endereço “brasilwinrar” é malicioso, enquanto o outro “winrarbrasil” é legítimo e seguro. É uma sutileza que pode fazer toda a diferença para o usuário final.

Considero este um fato muito grave e ao mesmo tempo preocupante, pois estamos falando de um dos principais e mais populares softwares do mercado. Recomendo a todos extrema prudência na instalação de qualquer programa e que busquem sempre fazer o download diretamente do site do fabricante. Em se tratando do WinRar, recomendo o seguinte link:  http://www.rarlab.com/ 

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Adrenaline