Malware mira carteiras virtuais de Bitcoins

Pesquisadores da Kaspersky Lab descobriram um novo malware que rouba criptomoedas das carteiras online de usuários. Na mira dos criminosos estão algumas das moedas virtuais mais populares, incluindo aí o Bitcoin, Ethereum, Zcash, Dash e Monero. De acordo com a Kaspersky, o número de assaltantes de criptomoedas aumenta a cada ano em resposta a crescente popularidade das moedas.

O novo malware, chamado de CryptoShuffler, consegue roubar as criptomoedas das carteiras online ao trocar o endereço pelo próprio na área de transferência do dispositivo infectado. Os sequestros na área de transferência, que redirecionam usuários para sites maliciosos e miram pagamentos em sistemas online, são conhecidos há anos. Entretanto, casos envolvendo moedas virtuais ainda são raros

Na maioria dos casos, se o usuário deseja transferir suas criptomoedas para outro, é necessário saber qual o ID da carteira dessa pessoa – um número único e exclusivo. É nesse momento que o CryptoShuffler explora a necessidade do sistema de operar com esses números, explica a Kaspersky.

Como funciona o ataque

Depois que é iniciado, o CryptoShuffler começa a monitorar a área de transferência do dispositivo, utilizado pelos usuários enquanto fazem o pagamento. Isso envolve copiar e colar os números da carteira onde está escrito “endereço de destino”, usado para a transação do dinheiro. O Trojan, então, troca o número original do usuário por um usado pelo criador do malware. Sem que a vítima perceba a diferença dos endereços, ela transfere seu dinheiro diretamente para o criminoso.

Até agora, com base nas observações dos pesquisadores da Kaspersky Lab, os criminosos por trás do CryptoShuffler tiveram sucesso em ataques contra usuários de carteiras de Bitcoin – eles conseguiram roubar 23 BTC, o que é equivalente a 140 mil dólares. O total em outras carteiras varia de alguns a milhares de dólares.

“Ultimamente, observamos um aumento nos ataques de malware visando diferentes tipos de criptomoeadas, e esperamos que essa tendência continue. Então, os usuários que estão considerando investir em criptomoedas neste momento precisam garantir que eles tenham proteção adequada”, diz Sergey Yunakovsky, analista de malware na Kaspersky Lab.

Um Trojan, que mira aparentemente apenas a moeda Monero, o DiscordiaMiner, também foi identificado pela Kaspersky. O vírus foi projetado para carregar e executar arquivos de um servidor remoto. De acordo com a pesquisa, existem algumas performances similares ao Trojan NukeBot, descoberto no início do ano. Assim como no caso NukeBot, a fonte dos códigos foi compartilhada em fóruns de hacking ilegal.

Fonte: Kaspersky

WeChat é um perigo: fuja dele!

O que muita gente já suspeitava finalmente foi confirmado no finalzinho desta semana: um dos principais mensageiros instantâneos da China repassa mesmo os seus dados para o governo do país. A descoberta foi feita graças a uma atualização dos termos de privacidade do WeChat.

De acordo com o portal The Next Web, a nova versão do documento deixa claro que o aplicativo pode “reter, preservar e divulgar suas informações pessoas por um longo período de tempo” por conta de uma série de fatores.

Com isso, o serviço pode expor nome, contatos, email e até localização do usuário com terceiros: para cumprir ordens judiciais ou colaborar com pedidos do governo; sempre que a empresa acreditar que alguma lei ou regulação local tiver sido quebrada; e com o objetivo de proteger os direitos e a segurança da empresa, de parceiros ou dos próprios clientes do app.

A suspeita é que, até agora, a Tencent – dona do WeChat – já fazia esse tipo de papel mesmo sem alertar aos internautas, basicamente passando por cima da privacidade alheia para auxiliar as autoridades chinesas na sua luta por manter a internet do país cada vez mais fechada e controlada.

Fica a dica

Enquanto na China os usuários não têm muitas alternativas ao programa, quem mora em outras localidades pelo mundo e se preocupa para a segurança dos seus dados pode preferir a utilização de outros mensageiros no celular.

Fonte: Tecmundo

Arquivos do PowerPoint podem carregar malware

Pesquisadores de segurança digital encontraram pela primeira vez um malware que infecta computadores a partir de arquivos do PowerPoint (PPSX) explorando uma falha do Microsoft Office e do WordPad conhecida como CVE-2017-0199. Essa brecha de segurança foi descoberta e consertada pela Microsoft em abril deste ano, mas usuários que nunca atualizaram suas máquinas ainda podem estar inseguros.

Hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus

A falha permite que criminosos disfarcem seus malwares como se fossem apresentações de slides do PowerPoint, mas o golpe mais comum até agora era atrair as vítimas por meio de arquivos RTF.

Ao que parece, os hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus, que fazem uma verificação menos criteriosa quando o assunto são documentos em PPSX, tradicionalmente inofensivos.

Como acontece

Segundo constataram os pesquisadores da TrendMicro, os arquivos infectados são distribuídos via email por técnicas de phishing muito direcionadas. A maioria dos casos vitimou funcionários de fabricantes de cabos na Ucrânia, que recebiam uma mensagem que, aparentemente, era de um parceiro comercial fazendo um pedido. O PPSX, portanto, continha os detalhes técnicos da solicitação.

Ao abrir o item infectado, os usuários do WordPad ou do Microsoft Office desatualizados via apenas a mensagem “CVE-2017-0199” na tela em vez da apresentação prometida. Imediatamente, o malware então começava a agir através do recurso “Object Linking and Embedding” (OLE) do Windows. Um arquivo com código XML ou JavaScript então era baixado da internet para abrir de forma automática o PowerShell ou CMD para que o arquivo RATMAN.exe seja executado.

Dessa forma, os criminosos podem registrar tudo o que a vítima faz no computador, desde as teclas pressionadas no teclado aos dados mostrados no display. Há também a possibilidade de o PC baixar de forma silenciosa novos malwares para aumentar ainda mais o controle do hacker sobre o dispositivo.

Portanto, o recado da TrendMicro é ficar alerta para emails minimamente suspeitos, mesmo aqueles enviados por fontes que parecem conhecidas.

Fonte: Tecmundo

Roteador DIR-615 da D-Link é uma porta aberta a ataques maliciosos

O roteador DIR-615, da D-Link, estava com uma porta de entrada aberta para cibercriminosos há cerca de um ano. De acordo com uma denúncia recebida pelo TecMundo, um backdoor no firmware do roteador permitia o acesso via Telnet, um protocolo de rede utilizado para proporcionar melhorar a comunicação.

Usuários brasileiros do roteador precisam atualizar o dispositivo de maneira urgente — consumidores do Brasil e Taiwan foram afetados.

Se você possui o roteador D-Link DIR-615, atualize-o com urgência

“Trata-se de uma forma de acesso indevido com privilégios administrativos aos roteadores com os firmware afetados, sem o conhecimento do proprietário do dispositivo”, segundo o pesquisador Oliveira Lima, da StoneLABS. Lima nota que a D-Link recebeu o aviso sobre o problema há cerca de um ano, mas apenas agora o problema foi corrigido: “A D-link levou 1 ano para corrigir o problema em questão e acredito que o backdoor estava presente desde do lançamento do firmware”.

Apesar da correção, a questão ainda é grave: as pessoas não atualizam os próprios roteadores. A parcela de usuários que realmente faz o download de patches e atualiza o dispositivo é pequena, por isso, boa parte das pessoas que usam o roteador DIR-615 estão expostas aos cibercriminosos.

– Confira agora o modelo do seu roteador e atualize-o urgentemente. Para saber como atualizar, acesse aqui.

Como a invasão acontece

O roteador é o dispositivo-chave de toda a sua navegação na internet. Seja WiFi ou cabeado, independentemente da maneira em que você esteja conectado ao roteador, acaba passando pelo dispositivo tudo o que você faz online.

Com um backdoor presente, uma porta de entrada (vulnerabilidade no sistema) aberta para cibercriminosos, um invasor poderá não só acompanhar e monitorar a sua atividade online, como também roubar diversos dados sensíveis como senhas de redes sociais e senhas de banco.

Sobre o roteador DIR-615 da D-Link, “basta que o atacante esteja conectado à rede, ele poderia acessar o roteador via Telnet e utilizar uma conta de ‘backdoor’ admin para ter acesso total a administração do roteador”, conta Lima. “Isso porque a senha de acesso é gerada dinamicamente utilizando os últimos quatro números do endereço MAC do roteador — informação esta que seria facilmente obtida através de uma simples requisição ARP ou realizando um ataque de força-bruta”.

A desativação do Telnet também não ajuda nesta situação, sendo necessária a atualização do roteador, como você pode checar no alerta acima. O pesquisador Oliveira Lima disse o seguinte: “Na versão de firmware 20.11, o recurso Telnet está ativo independentemente da opção escolhida pelo usuário na interface web. Ou seja, mesmo que o usuário desabilite o Telnet, não irá fazer a menor diferença; algo confirmado pela fabricante”.

O backdoor presente no firmware do roteador se encontrava em aparelhos comercializados no Brasil e em Taiwan, segundo o pesquisador. Todos os roteadores vendidos nos Estados Unidos, por exemplo, não possuíam este problema.

O DIR-615 é um dos dispositivos mais vendidos no Brasil, com um preço médio de R$ 70. Vale relembrar que a D-Link já liberou um patch de correção para o backdoor, mas é necessário atualizar o roteador para fechar esta porta.

Fonte: Tecmundo

Baixar legendas de séries pode ser um risco para a sua segurança

Você costuma ver séries baixadas da internet? Se a resposta for sim e você também baixar legendas para ver esses vídeos, seu computador pode estar em risco para ataques de hackers mal intencionados.

De acordo com a empresa de segurança digital Check Point, o reprodutor de vídeos VLC, bem como o Popcorn Time, o Kodi e o strem.io têm uma falha de segurança que permite que seu computador seja controlado remotamente. Isso pode culminar a instalação de malware ou mesmo um ransonware, que sequestra os dados do seu PC e pede pagamento em dinheiro para liberá-lo.

Essa técnica também pode servir para transformar o seu computador em um dos “soldados virtuais” usados por grupos de hackers que promovem ataques de negação de serviço (múltiplos acessos simultâneos que tiram sites do ar e podem causar prejuízos milionários a empresas).

A Check Point indica que a falha afeta cerca de 200 milhões de computadores de usuários que veem séries baixadas ou transmitidas da internet. Netflix não aparece na lista de serviços problemáticos indicados pela empresa de segurança (ufa).

Para entrar na lista de legendas mais indicadas para o download e promover o ataque, os hackers mal intencionados publicam uma versão falsa da legenda em repositórios online e manipulam o ranking para que elas apareçam no topo.

O programa VLC já teve mais de 170 milhões de downloads, enquanto o Kodi tem mais de 40 milhões de usuários por mês. A Check Point estima que o Popcorn Time também esteja na casa dos milhões de usuários.

O problema que dá margem a esse tipo de ataque hacker é que não há uma padronização no formato de legendas usado na internet. Programas que baixam legendas diretamente de sites podem ajudar a evitar o download de arquivos maliciosos.

VLC, PopcornTime, Kodi e strem.io já tem correções para essa vulnerabilidade de segurança em seus respectivos sites. O Kodi ainda está em fase de implementação dessa correção.

Veja como é a invasão de um hacker ao computador de uma vítima por meio do download e execução de legendas no vídeo abaixo, divulgado pela Checkpoint.

Fonte: Exame

Fóruns na dark web negociam dados de usuários

security_riskFuncionários que possuem acesso privilegiado a informações confidenciais estão encontrando compradores para essas informações no submundo da web, segundo um relatório elaborado pelas empresas de segurança RedOwl e IntSights.

Atraídos pela promessa de dinheiro fácil e pela facilidade de execução do golpe, funcionários de bancos e instituições financeiras são recrutados por donos de sites na Dark Web para disponibilizarem dados sensíveis, tais como informações financeiras e meios de acesso a servidores de bancos ou outros ambientes corporativos.

A Dark Web, ou “web obscura”, refere-se a sites que precisam de softwares e autorizações específicas para serem acessados. Seus endereços, ou URLs, normalmente não se encontram em sites de busca e o método de acesso costuma ter proteções para garantir o anonimato dos usuários.

Segundo o relatório, há páginas nesses espaços que se dedicam à monetização da informação privilegiada, mediando o contato entre comprador e vendedor. Os vendedores são funcionários de instituições financeiras ou grandes corporações, e nesses fóruns são chamados de “Insiders”. Criadores de vírus fornecem as ferramentas necessárias para realizar ataques mais sofisticados, sem que seja necessário muito conhecimento do insider. A adesão a esses sites só é permitida àqueles que têm conhecimentos valiosos para oferecer.

O fórum Kick Ass Marketplace, por exemplo, cobra uma taxa de adesão de US$ 820 e o seu proprietário afirma que existem membros do clube que ganham mais de US$ 5.000 por mês negociando dados vazados, tais como números de cartões de crédito roubados. A atividade dos insiders neste fórum movimenta aproximadamente US$ 35.800 por semana.

As transações financeiras normalmente ocorrem por meio de moedas virtuais, como o Bitcoin.

Ainda segundo o relatório, recentemente surgiram sites voltados exclusivamente a informações sensíveis para manipulação do mercado de ações e outros dedicados à venda de acesso a sistemas corporativos e seus recursos,. Outros serviços comercializados incluem acesso ao mercado de câmbio, venda de commodities e até técnicas do tipo “saber antes dos outros o que vai acontecer”.

O fórum “The Stock Insiders”, que é dedicado somente ao comércio de “Insiders”, exibe anúncios solicitando funcionários de empresas conforme o perfil desejado. Em um anúncio, o solicitante buscava por um operador de caixa que trabalhasse em lojas com estoques de iPhones; em outro anúncio, um criminoso solicitava algum funcionário de banco que tivesse acesso ao computador do banco operando em mais alto nível para poder implantar um vírus na rede interna da instituição.

Em outras palavras, o invasor suborna um funcionário do banco para burlar todos mecanismos técnicos de segurança utilizados pela instituição.

A RedOwl acredita que as equipes de gerenciamento de risco precisam criar ativamente programas que lidem com ameaças internas — ou seja, dos próprios funcionários — e não apenas se concentrar em ameaças externas. Segundo a empresa, embora 80% das iniciativas de segurança se concentrem na defesa do perímetro — acessos de fora para dentro –, menos de metade das organizações investem na proteção contra ameaças internas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva

Cibercriminosos clonam contas do WhatsApp para pedir dinheiro aos seus contatos

whatsappSua conta do WhatsApp pode ser clonada por criminosos para roubar dinheiro de amigos e parentes. Um golpe divulgado recentemente conta com a ajuda de funcionários de operadoras, que transferem seu número de celular para outro chip e permitem que o aplicativo de mensagens seja ativado em outro aparelho. De posse da sua conta, criminosos se passam por você para pedir dinheiro a contatos próximos.

O golpe foi divulgado no último domingo pelo programa Fantástico, mas vem sendo aplicado há bastante tempo. Em julho de 2016, um funcionário da Vivo foi preso em flagrante no Maranhão depois de ter sido pego desativando os celulares das vítimas e habilitando as linhas em chips em poder dos criminosos. Na semana passada, dez pessoas de Porto Alegre procuraram a polícia para denunciar o esquema.

Na prática, é como se você fosse a uma loja da sua operadora dizendo que precisa trocar seu chip, mas manter o número. Sua linha, então, sai do ar e vai para o aparelho do golpista, que consegue entrar na sua conta do WhatsApp. Enquanto você não percebe nada de errado, o criminoso envia mensagens para pais, amigos ou até secretárias, se passando por você — em um dos casos, um empresário teve prejuízo de R$ 100 mil depois que sua secretária transferiu dinheiro e até pagou contas de criminosos.

Não é muito difícil perceber que seu WhatsApp foi clonado. Para que sua linha seja transferida temporariamente para o chip de um golpista, você ficará sem sinal no chip atual. E, enquanto estiver usando o smartphone, o aplicativo de mensagens pedirá que você verifique seu número de celular novamente, como se tivesse reinstalado o WhatsApp — no entanto, como você está sem sinal, não conseguirá receber o SMS de verificação e ficará impossibilitado de se comunicar.

Também é simples se proteger: na quinta-feira (9), o WhatsApp liberou para todos os usuários um recurso de verificação em duas etapas. Com a proteção ativada, caso você (ou um golpista) ative seu WhatsApp em outro celular, precisará, além do SMS de verificação (que poderia ser interceptado ou desviado para outro chip), uma senha de 6 dígitos que só você possui. É melhor se precaver.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecnoblog