Falha no Chrome possibilita o roubo de senhas

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:Esta falha depende de dois fatores, que aparentemente podem facilmente ser encontrados. Por um lado, a facilidade nos downloads oferecida pelo Chrome e por outro, a falta de controle sobre os arquivos SCF e suas ações.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: R7 e  pplware

Descoberta base de dados com 560 milhões de senhas roubadas

Publicação descoberta pela MacKeeper reúne logins vazados de ataques variados contra serviços como LinkedIn, Dropbox, Tumblr e LastFM.

Hora de trocar as senhas. Isso porque a empresa de segurança MacKeeper descobriu nesta semana uma base de dados anônima com centenas de milhões de senhas roubadas.

A base reúne mais de 560 milhões informações de login, com e-mails e senhas de acesso, que teriam origem em vazamentos separados, de datas variadas, de serviços como LinkedIn, Dropbox, Tumblr e LastFM.

O site Have I Been Pwned possui uma ferramenta para você verificar se o seu endereço de e-mail aparece em alguma das base de dados que foi comprometida pelos criminosos.

Além de habilitar a autenticação de dois fatores sempre que possível, também é recomendado utilizar programas de gerenciamento de senhas – apesar de que nem mesmo esses softwares são 100% seguros como provado pelo recente hack contra o LastPass.

Agradecemos ao Domingos, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDGNow!

Phishing que rouba credenciais do Gmail

Phishing é um método de ataque simples, que é baseado no desconhecimento da vítima — você pode saber mais sobre ele aqui. Acontece, muitos de vocês provavelmente sabem como identificar esses golpes e estão ilesos. Porém, um novo método está sendo espalhado pelo Gmail, e ele tem uma aparência que pode lhe enganar.

Como outros métodos de “pescaria”, ele começa de maneira simples: a vítima recebe um e-mail com um arquivo Word ou PDF como anexo. O arquivo é apresentado de maneira legítima pelo Gmail e, assim que a vítima clica no arquivo, ela é redirecionada para uma página de login da Google — como se você tivesse sido desconectado.

Acontece que essa página é falsa e ela que rouba as suas informações. Se a vítima não notar que a página não é legítima, ela vai escrever o endereço de e-mail e a senha para realizar o login.

Agora, como esse phishing engana o Gmail ao apresentar o arquivo Word ou PDF de maneira legítima? Na verdade, não é um arquivo dos formatos citados, mas uma imagem de como eles ficariam caso estivessem anexos.

Incrivelmente, quem notou o golpe não foi uma empresa de segurança, mas o youtuber Tom Scott — clique aqui para ver. De acordo com um tweet, ele comenta que percebeu o golpe porque a resolução de seu monitor é alta, e a página falsa havia ficado um pouco distorcida. Além disso, a URL da página não havia o padrão de segurança “https://”.

Fonte: Tecmundo

Ataque remoto: nova modalidade de roubo de bancos

Imagina se você é funcionário de um banco e vai fazer a reposição na máquina de autoatendimento. Quando vai realizar o trabalho, a encontra vazia, sem nenhuma cédula ou registros de transações bancárias. Não há também vestígios de interação física com a máquina nem malware — não aparentemente.

Em fevereiro deste ano, a Kaspersky, empresa de segurança digital, publicou em seu blog resultados de uma investigação sobre ataques misteriosos contra bancos, os quais incluíam casos no Brasil, usando um malware que não deixa vestígios. O caso foi chamado de “ATMitch”.

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque: não foi possível localizar os executáveis maliciosos porque, após o roubo, os cibercriminosos tinham removido o malware.

Analisando os arquivos de log – que funcionam como um histórico de operações da máquina – os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas e estabeleceram conexões entre elas com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Depois de um dia de espera, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. Foi vista duas vezes: uma no Cazaquistão, e outra na Rússia.

Esse malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando.

Depois de retirar dinheiro, os criminosos o pegam e vão embora. Uma vez que um banco é roubado, o malware exclui seus traços.

Responsáveis pelo ataque

Ainda não se sabe quem está por trás dos ataques, já que o uso de ferramentas de exploração de código aberto, utilitários comuns do Windows e domínios desconhecidos torna quase impossível determinar o grupo responsável.

Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, e os grupos conhecidos que poderiam caber nesse perfil são GCMAN e Carbanak.
Para saber mais informações sobre a investigação, bem como os detalhes da análise, você pode acessar o site da Secure List [em inglês].

Fonte: Tecmundo

Crackers usam nova técnica para roubar caixas eletrônicos

Um caixa eletrônico vazio: sem sinal de dinheiro, nem vírus, com ausência também de vestígios de intervenção física bruta (como a quebra do gabinete ou até mesmo as já tradicionais explosões que obrigaram bancos a usar uma tinta especial para manchar as notas). O mistério sobre como as notas desapareceram torna o roubo um sucesso e também uma dor de cabeça para especialistas em segurança.

Segundo a Kaspersky Lab, foram necessárias cinco semanas de trabalho em laboratório com engenharia reversa para entender as ferramentas usadas pelos criminosos e reproduzir o ataque que resultou na descoberta de uma violação de segurança em caixas eletrônicos usados pela instituição bancária — que pediu sigilo de alguns detalhes, como os fabricantes das máquinas de autoatendimento (ATM) ou o nome do banco que sofreu o roubo.

Durante o Security Analyst Summit (SAS), evento que acontece nos dias 3 e 4 de abril, na Ilha de São Martinho (Caribe), especialistas da Kaspersky aprofundaram os resultados da análise e mostraram que os criminosos se conectam com computadores das empresas bancárias para acionar funções dos caixas remotamente. A conexão com a máquina é feita via hardware — ao todo, o valor de um kit com uma pequena placa matriz, um teclado sem fio com um dongle USB/Bluetooth e uma bateria custa menos que US$ 15.

Para tudo dar certo, é necessário fazer um furo simples e pequeno suficiente para introduzir o acessório dentro do gabinete, sem causar muitos danos aparentes ou ativar alertas de violação comuns em golpes mais tradicionais que usam malwares. Para disfarçar a intervenção, criminosos podem cobrir os buracos com adesivos ou mesmo deixar fios expostos, já que muitas das máquinas são antigas e estão em uso desde 1990.

Os caixas eletrônicos têm sido alvo de todos os tipos de golpes. Desprotegidos à noite, viram presa fácil de quem domina intervenções de hardware. Tal crime foi visto apenas duas vezes: uma no Cazaquistão e outra na Rússia.

Como funciona?

O acesso remoto é feito a partir de um teclado de notebook ou via Bluetooth, e executado com ajuda da placa dentro do caixa eletrônico. O pacote sem cabos e conexões externas permite aos invasores digitar uma lista de comandos que começa com a coleta de informações sobre o número de notas disponíveis para o saque. Com esse dado em mãos, o golpe ainda permite aos criminosos sacar o dinheiro a qualquer momento desde que o kit não seja descoberto e desfeito pelo banco alvo.

“Você pode fazer qualquer coisa com um computador, um cabo [ou Bluetooth] e um buraco no gabinete do caixa eletrônico. O caixa eletrônico vai aceitar todos os comandos e dispensar dinheiro de forma simples, usando apenas um microcomputador”, explica o analista de segurança Sergey Golovanov. Neste caso, a solução é desfazer a gambiarra do ladrão, já que não é possível, via software, bloquear as ordens enviadas pelo computador do invasor.

Golovalov e o também pesquisador Igor Soumenkov mostraram em um vídeo como é rápido liberar as notas após a instalação do kit e executando os comandos necessários. A rapidez do processo deixou os participantes do evento alarmados. Foi mais veloz que uma operação tradicional feita por um cliente comum.

A lição é de que, ainda que a proteção via software seja mais complexa, fica evidente a necessidade de uma segurança maior para os caixas eletrônicos a fim de evitar intervenções físicas que dispensam vírus. A prisão desse tipo de cibercriminoso que trabalha com hardware, sem rastreio da ação — já que não há transação bancária online — só ocorre com acompanhamento das câmeras de vigilância local e trabalho policial.

Fonte: Techtudo

Golpe financeiro via smartphone: relato de um caso impressionante

Um jornalista foi alvo de um golpe bancário no fim da tarde de quinta-feira (9) em Aracaju (SE). O chip do celular dele queimou e ele foi imediatamente a uma loja da operadora para trocar por um novo. O que ele não desconfiava era que, até então, isso poderia ser indício de um crime mais complexo.

No período em que o telefone dele ficou sem final devido ao problema no chip, acessaram os dados bancários dele e sacaram R$ 3 mil, agendaram uma transferência de R$ 3 mil para a conta de um suspeito e utilizaram quase R$ 5 mil em comprar pelo cartão de crédito. A vítima possuía um aplicativo no celular por onde acessava a conta no banco.

Depois de conseguir um chip novo na operadora de telefone, o jornalista voltou para casa e horas depois consultou a movimentação bancária pelo computador. Foi nesse momento que ele percebeu que tinha caído em um golpe financeiro.

“Uma coisa me deixou atento, acesso a minha conta pelo celular. Cerca de 40 minutos antes da movimentação fraudulenta do dinheiro, meu chip do telefone simplesmente queimou e precisei trocar na operadora. Só depois liguei os pontos e percebi que o golpista deve ter feito isso acontecer justamente para eu não notar a retirada do dinheiro, já que todo movimento na conta chega uma mensagem e seu eu percebesse teria bloqueado na hora. Acredito que o estrago não foi maior porque meu limite de retirada diária é de R$ 3 mil e eu acessei a conta a noite em casa”, relatou a vítima, que preferiu não ter a identidade revelada por questões de segurança.

O caso foi registrado na Delegacia Plantonista da capital sergipana e será investigado. Dados da conta suspeita para a qual o dinheiro foi transferido já foram entregues à polícia. “Fico preocupado e também vou cobrar do banco explicações sobre essa vulnerabilidade no sistema. A gente acha que é seguro usar o aplicativo do próprio banco ou acessar nossa conta pelo site da instituição bancária, mas pelo visto isso precisa ser melhorado para coibir movimentações não autorizadas”, finalizou a vítima que espera recuperar a quantia perdida.

Fonte: G1

App Meitu rouba dados dos smartphones

meituComo todo app que vira modinha, o Meitu deve cair no esquecimento dentro de algumas semanas. Mas, quando isso acontecer, os usuários já terão “vendido a alma” aos responsáveis pelo aplicativo: uma investigação aponta que o Meitu coleta discretamente diversos dados críticos do smartphone.

Para quem não sabe do que eu estou falando, o Meitu é uma app chinês com filtros e ferramentas que deixam as pessoas nas fotos com visual “fofinho”, cheio de brilho, maquiagem e olhos grandes. É uma brincadeira para selfies que atende, basicamente, a um público mais jovem. Deve servir também para quem quer sacanear os amigos, é claro.

Apesar de existir há algum tempo, o Meitu se tornou, nos últimos dias, um dos apps mais baixados do Google Play e da App Store. Você já deve ter notado isso: as redes sociais estão cheias de imagens modificadas por esse app.

Tamanha popularidade fez o Meitu cair no conhecimento de especialistas em segurança que, por alguma razão, decidiram analisá-lo minuciosamente. Foi aí que eles descobriram que o aplicativo está bem longe de ser inofensivo.

Segundo as análises, o Meitu coleta diversos dados do aparelho. Isso acontece com a maioria dos aplicativos, mas aqui a coisa atinge proporções muito grandes, começando pelo monte de permissões que o app pede no momento de sua instalação — não está claro o porquê de tantas permissões serem solicitadas.

A versão para Android se mostrou a mais intrusiva, mas a versão para iOS pode obter mais informações em aparelhos com jailbreak. De modo geral, o Meitu consegue coletar e enviar para servidores na China dados como IMEI do celular, modelo do aparelho, resolução de tela, versão do sistema operacional, IP, endereço MAC, lista de contato, mensagens SMS, entre outros.

São coletados dados suficientes para que um usuário seja identificado e localizado. E olha que a empresa responsável (também de nome Meitu) comemora em seu site o fato de ter 456 milhões de usuários no mundo todo (considerando todos os seus apps), embora a maioria deva estar na China — os aplicativos da Meitu já eram populares por lá.

O que a empresa faz com dados de tantas pessoas? Uma possibilidade forte é a venda de informações para companhias que elaboram estratégias de publicidade altamente segmentada e, portanto, potencialmente intrusiva.

À CNET, a Meitu se defendeu dizendo que, como a empresa está baseada na China, precisa incluir recursos de coleta de dados nos aplicativos para contornar os bloqueios que os serviços de rastreamento do Google Play e da App Store sofrem no país. A companhia também assegurou que os dados são enviados aos seus servidores de forma criptografada e com proteção contra ataques. Ata.

Não há planos para o lançamento de uma versão do app sem os recursos de captura de dados, pois, segundo a Meitu, ela teria que atuar fora da China para poder oferecer isso. Sair da China também não está nos planos.

Fonte: Tecnoblog