Arquivos do PowerPoint podem carregar malware

Pesquisadores de segurança digital encontraram pela primeira vez um malware que infecta computadores a partir de arquivos do PowerPoint (PPSX) explorando uma falha do Microsoft Office e do WordPad conhecida como CVE-2017-0199. Essa brecha de segurança foi descoberta e consertada pela Microsoft em abril deste ano, mas usuários que nunca atualizaram suas máquinas ainda podem estar inseguros.

Hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus

A falha permite que criminosos disfarcem seus malwares como se fossem apresentações de slides do PowerPoint, mas o golpe mais comum até agora era atrair as vítimas por meio de arquivos RTF.

Ao que parece, os hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus, que fazem uma verificação menos criteriosa quando o assunto são documentos em PPSX, tradicionalmente inofensivos.

Como acontece

Segundo constataram os pesquisadores da TrendMicro, os arquivos infectados são distribuídos via email por técnicas de phishing muito direcionadas. A maioria dos casos vitimou funcionários de fabricantes de cabos na Ucrânia, que recebiam uma mensagem que, aparentemente, era de um parceiro comercial fazendo um pedido. O PPSX, portanto, continha os detalhes técnicos da solicitação.

Ao abrir o item infectado, os usuários do WordPad ou do Microsoft Office desatualizados via apenas a mensagem “CVE-2017-0199” na tela em vez da apresentação prometida. Imediatamente, o malware então começava a agir através do recurso “Object Linking and Embedding” (OLE) do Windows. Um arquivo com código XML ou JavaScript então era baixado da internet para abrir de forma automática o PowerShell ou CMD para que o arquivo RATMAN.exe seja executado.

Dessa forma, os criminosos podem registrar tudo o que a vítima faz no computador, desde as teclas pressionadas no teclado aos dados mostrados no display. Há também a possibilidade de o PC baixar de forma silenciosa novos malwares para aumentar ainda mais o controle do hacker sobre o dispositivo.

Portanto, o recado da TrendMicro é ficar alerta para emails minimamente suspeitos, mesmo aqueles enviados por fontes que parecem conhecidas.

Fonte: Tecmundo

Roteador DIR-615 da D-Link é uma porta aberta a ataques maliciosos

O roteador DIR-615, da D-Link, estava com uma porta de entrada aberta para cibercriminosos há cerca de um ano. De acordo com uma denúncia recebida pelo TecMundo, um backdoor no firmware do roteador permitia o acesso via Telnet, um protocolo de rede utilizado para proporcionar melhorar a comunicação.

Usuários brasileiros do roteador precisam atualizar o dispositivo de maneira urgente — consumidores do Brasil e Taiwan foram afetados.

Se você possui o roteador D-Link DIR-615, atualize-o com urgência

“Trata-se de uma forma de acesso indevido com privilégios administrativos aos roteadores com os firmware afetados, sem o conhecimento do proprietário do dispositivo”, segundo o pesquisador Oliveira Lima, da StoneLABS. Lima nota que a D-Link recebeu o aviso sobre o problema há cerca de um ano, mas apenas agora o problema foi corrigido: “A D-link levou 1 ano para corrigir o problema em questão e acredito que o backdoor estava presente desde do lançamento do firmware”.

Apesar da correção, a questão ainda é grave: as pessoas não atualizam os próprios roteadores. A parcela de usuários que realmente faz o download de patches e atualiza o dispositivo é pequena, por isso, boa parte das pessoas que usam o roteador DIR-615 estão expostas aos cibercriminosos.

– Confira agora o modelo do seu roteador e atualize-o urgentemente. Para saber como atualizar, acesse aqui.

Como a invasão acontece

O roteador é o dispositivo-chave de toda a sua navegação na internet. Seja WiFi ou cabeado, independentemente da maneira em que você esteja conectado ao roteador, acaba passando pelo dispositivo tudo o que você faz online.

Com um backdoor presente, uma porta de entrada (vulnerabilidade no sistema) aberta para cibercriminosos, um invasor poderá não só acompanhar e monitorar a sua atividade online, como também roubar diversos dados sensíveis como senhas de redes sociais e senhas de banco.

Sobre o roteador DIR-615 da D-Link, “basta que o atacante esteja conectado à rede, ele poderia acessar o roteador via Telnet e utilizar uma conta de ‘backdoor’ admin para ter acesso total a administração do roteador”, conta Lima. “Isso porque a senha de acesso é gerada dinamicamente utilizando os últimos quatro números do endereço MAC do roteador — informação esta que seria facilmente obtida através de uma simples requisição ARP ou realizando um ataque de força-bruta”.

A desativação do Telnet também não ajuda nesta situação, sendo necessária a atualização do roteador, como você pode checar no alerta acima. O pesquisador Oliveira Lima disse o seguinte: “Na versão de firmware 20.11, o recurso Telnet está ativo independentemente da opção escolhida pelo usuário na interface web. Ou seja, mesmo que o usuário desabilite o Telnet, não irá fazer a menor diferença; algo confirmado pela fabricante”.

O backdoor presente no firmware do roteador se encontrava em aparelhos comercializados no Brasil e em Taiwan, segundo o pesquisador. Todos os roteadores vendidos nos Estados Unidos, por exemplo, não possuíam este problema.

O DIR-615 é um dos dispositivos mais vendidos no Brasil, com um preço médio de R$ 70. Vale relembrar que a D-Link já liberou um patch de correção para o backdoor, mas é necessário atualizar o roteador para fechar esta porta.

Fonte: Tecmundo

Baixar legendas de séries pode ser um risco para a sua segurança

Você costuma ver séries baixadas da internet? Se a resposta for sim e você também baixar legendas para ver esses vídeos, seu computador pode estar em risco para ataques de hackers mal intencionados.

De acordo com a empresa de segurança digital Check Point, o reprodutor de vídeos VLC, bem como o Popcorn Time, o Kodi e o strem.io têm uma falha de segurança que permite que seu computador seja controlado remotamente. Isso pode culminar a instalação de malware ou mesmo um ransonware, que sequestra os dados do seu PC e pede pagamento em dinheiro para liberá-lo.

Essa técnica também pode servir para transformar o seu computador em um dos “soldados virtuais” usados por grupos de hackers que promovem ataques de negação de serviço (múltiplos acessos simultâneos que tiram sites do ar e podem causar prejuízos milionários a empresas).

A Check Point indica que a falha afeta cerca de 200 milhões de computadores de usuários que veem séries baixadas ou transmitidas da internet. Netflix não aparece na lista de serviços problemáticos indicados pela empresa de segurança (ufa).

Para entrar na lista de legendas mais indicadas para o download e promover o ataque, os hackers mal intencionados publicam uma versão falsa da legenda em repositórios online e manipulam o ranking para que elas apareçam no topo.

O programa VLC já teve mais de 170 milhões de downloads, enquanto o Kodi tem mais de 40 milhões de usuários por mês. A Check Point estima que o Popcorn Time também esteja na casa dos milhões de usuários.

O problema que dá margem a esse tipo de ataque hacker é que não há uma padronização no formato de legendas usado na internet. Programas que baixam legendas diretamente de sites podem ajudar a evitar o download de arquivos maliciosos.

VLC, PopcornTime, Kodi e strem.io já tem correções para essa vulnerabilidade de segurança em seus respectivos sites. O Kodi ainda está em fase de implementação dessa correção.

Veja como é a invasão de um hacker ao computador de uma vítima por meio do download e execução de legendas no vídeo abaixo, divulgado pela Checkpoint.

Fonte: Exame

Fóruns na dark web negociam dados de usuários

security_riskFuncionários que possuem acesso privilegiado a informações confidenciais estão encontrando compradores para essas informações no submundo da web, segundo um relatório elaborado pelas empresas de segurança RedOwl e IntSights.

Atraídos pela promessa de dinheiro fácil e pela facilidade de execução do golpe, funcionários de bancos e instituições financeiras são recrutados por donos de sites na Dark Web para disponibilizarem dados sensíveis, tais como informações financeiras e meios de acesso a servidores de bancos ou outros ambientes corporativos.

A Dark Web, ou “web obscura”, refere-se a sites que precisam de softwares e autorizações específicas para serem acessados. Seus endereços, ou URLs, normalmente não se encontram em sites de busca e o método de acesso costuma ter proteções para garantir o anonimato dos usuários.

Segundo o relatório, há páginas nesses espaços que se dedicam à monetização da informação privilegiada, mediando o contato entre comprador e vendedor. Os vendedores são funcionários de instituições financeiras ou grandes corporações, e nesses fóruns são chamados de “Insiders”. Criadores de vírus fornecem as ferramentas necessárias para realizar ataques mais sofisticados, sem que seja necessário muito conhecimento do insider. A adesão a esses sites só é permitida àqueles que têm conhecimentos valiosos para oferecer.

O fórum Kick Ass Marketplace, por exemplo, cobra uma taxa de adesão de US$ 820 e o seu proprietário afirma que existem membros do clube que ganham mais de US$ 5.000 por mês negociando dados vazados, tais como números de cartões de crédito roubados. A atividade dos insiders neste fórum movimenta aproximadamente US$ 35.800 por semana.

As transações financeiras normalmente ocorrem por meio de moedas virtuais, como o Bitcoin.

Ainda segundo o relatório, recentemente surgiram sites voltados exclusivamente a informações sensíveis para manipulação do mercado de ações e outros dedicados à venda de acesso a sistemas corporativos e seus recursos,. Outros serviços comercializados incluem acesso ao mercado de câmbio, venda de commodities e até técnicas do tipo “saber antes dos outros o que vai acontecer”.

O fórum “The Stock Insiders”, que é dedicado somente ao comércio de “Insiders”, exibe anúncios solicitando funcionários de empresas conforme o perfil desejado. Em um anúncio, o solicitante buscava por um operador de caixa que trabalhasse em lojas com estoques de iPhones; em outro anúncio, um criminoso solicitava algum funcionário de banco que tivesse acesso ao computador do banco operando em mais alto nível para poder implantar um vírus na rede interna da instituição.

Em outras palavras, o invasor suborna um funcionário do banco para burlar todos mecanismos técnicos de segurança utilizados pela instituição.

A RedOwl acredita que as equipes de gerenciamento de risco precisam criar ativamente programas que lidem com ameaças internas — ou seja, dos próprios funcionários — e não apenas se concentrar em ameaças externas. Segundo a empresa, embora 80% das iniciativas de segurança se concentrem na defesa do perímetro — acessos de fora para dentro –, menos de metade das organizações investem na proteção contra ameaças internas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva

Cibercriminosos clonam contas do WhatsApp para pedir dinheiro aos seus contatos

whatsappSua conta do WhatsApp pode ser clonada por criminosos para roubar dinheiro de amigos e parentes. Um golpe divulgado recentemente conta com a ajuda de funcionários de operadoras, que transferem seu número de celular para outro chip e permitem que o aplicativo de mensagens seja ativado em outro aparelho. De posse da sua conta, criminosos se passam por você para pedir dinheiro a contatos próximos.

O golpe foi divulgado no último domingo pelo programa Fantástico, mas vem sendo aplicado há bastante tempo. Em julho de 2016, um funcionário da Vivo foi preso em flagrante no Maranhão depois de ter sido pego desativando os celulares das vítimas e habilitando as linhas em chips em poder dos criminosos. Na semana passada, dez pessoas de Porto Alegre procuraram a polícia para denunciar o esquema.

Na prática, é como se você fosse a uma loja da sua operadora dizendo que precisa trocar seu chip, mas manter o número. Sua linha, então, sai do ar e vai para o aparelho do golpista, que consegue entrar na sua conta do WhatsApp. Enquanto você não percebe nada de errado, o criminoso envia mensagens para pais, amigos ou até secretárias, se passando por você — em um dos casos, um empresário teve prejuízo de R$ 100 mil depois que sua secretária transferiu dinheiro e até pagou contas de criminosos.

Não é muito difícil perceber que seu WhatsApp foi clonado. Para que sua linha seja transferida temporariamente para o chip de um golpista, você ficará sem sinal no chip atual. E, enquanto estiver usando o smartphone, o aplicativo de mensagens pedirá que você verifique seu número de celular novamente, como se tivesse reinstalado o WhatsApp — no entanto, como você está sem sinal, não conseguirá receber o SMS de verificação e ficará impossibilitado de se comunicar.

Também é simples se proteger: na quinta-feira (9), o WhatsApp liberou para todos os usuários um recurso de verificação em duas etapas. Com a proteção ativada, caso você (ou um golpista) ative seu WhatsApp em outro celular, precisará, além do SMS de verificação (que poderia ser interceptado ou desviado para outro chip), uma senha de 6 dígitos que só você possui. É melhor se precaver.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecnoblog

Maioria das VPNs para Android são um risco para o usuário

vpn_the_worstEsteja você tentando aumentar sua privacidade durante a navegação na internet, acessar conteúdos restritos para a sua localização ou então contornar situações como um bloqueio do WhatsApp pela Justiça, é provável que já tenha usado uma VPN. Como supostamente criptografam suas informações e as roteiam para outros países, essas redes parecem ser a solução ideal para situações como as descritas. No entanto, um estudo recente indica que elas podem também representar um risco para os usuários.

Feito com a participação de uma série de pesquisadores de instituições que incluem a Universidade da Califórnia em Berkeley e a CSIRO, uma agência federal australiana, o trabalho analisou quase 300 VPNs para Android e descobriu dados alarmantes sobre elas. De acordo com a pesquisa, nada menos que 84% das redes disponíveis para os dispositivos com o sistema operacional da Google vazam os dados de tráfego das pessoas que as utilizam.

Além disso, 38% das VPN estudadas no Android continham algum tipo de malware ou de anúncio mal-intencionado e 18% simplesmente não contavam com qualquer tipo de encriptação real. Três dos aplicativos (Neopard, Dash VP e DashNet) chegam até a interceptar as informações de tráfego diretamente, permitindo que operadores lessem emails de usuários que abrissem suas contas do Gmail, entre outras atividades nefastas – embora eles alegassem que coletavam esses dados apenas para aumentar a velocidade das conexões.

Questão de confiança

Um dos coautores do estudo, o pesquisador Narseo Vallina-Rodriguez da IMDEA Networks e da ICSI disse não ter ficado surpreso com os resultados. “Para mim, o fato chocante é que as pessoas confiam nesse tipo de tecnologia”, disse o cientista ao site The Verge. Segundo ele, ao instalar esses apps, os usuários estão simplesmente entregando suas conexões, e, se a companhia que a está recebendo não for confiável, pode acabar abusando desse acesso.

Embora a pesquisa tenha se focado em opções de VPNs gratuitas para Android, o estudioso afirma que pagar por um serviço do tipo também não é garantia de que você estará livre desses riscos. Ainda assim, nesses casos a questão é puramente de confiança na companhia que você está pagando, algo similar ao que já acontece normalmente com seus fornecedores de conexão com a internet.

Outro ponto que merece atenção é o fato de o trabalho ter analisado apps no ano passado, alguns dos quais já foram removidos da Google Play Store desde então. Além disso, o estudo não avalia se todas as brechas de segurança encontradas existem por motivos maliciosos ou não. Por fim, a pesquisa também não investigou VPNs para iOS, mas Vallina-Rodriguez diz acreditar que a avaliação mais rígida da App Store provavelmente elimina opções mais suspeitas. Em todo caso, vale o alerta: fique atento à empresa à qual você está confiando sua conexão.

A imagem de abertura deste post traz a lista dos 10 piores apps de VPN para Android no que diz respeito a malwares.

Agradecemos ao Davi e ao Igor pela referência a essa notícia.

Fonte: Tecmundo

Autopreenchimento dos navegadores pode ser um risco

SegurançaPara muitas pessoas, o sistema de autopreenchimento encontrado em navegadores pode ser uma mão na roda, mas o que talvez muitos não saibam é que ele pode fazer algo mais: passar as suas informações para pessoas mal-intencionadas. E, evidentemente, isso não é algo muito bom.

Viljami Kuosmanen, um desenvolvedor e hacker finlandês, descobriu que diversos navegadores, entre eles o Chrome, o Safari e o Opera (e até mesmo plugins como o LastPass), podem estar passando informações pessoais por conta do sistema de autopreenchimento. E de uma maneira bem simples: quando o usuário coloca algumas informações como nome e endereço de email em formulários, esse recurso acaba entregando dados que podem aparecer em outras caixas, ainda que essas não estejam visíveis.

O Chrome, por exemplo, é capaz de guardar informações como endereço de email, números de telefone e até mesmo dados de cartão de crédito. Aparentemente, o Firefox acaba ficando imune a esse problema, já que ele ainda não possui um sistema que acaba usando a ideia de preenchimento automático de uma maneira programada.

Se você ficou preocupado com essa possibilidade de ataque, há uma maneira bem simples de se proteger deles: basta desabilitar o sistema de autopreenchimento do navegador ou das configurações de extensões.

Fonte: Tecmundo