Mais de 2 milhões de cartões de crédito tem seus dados roubados

Um ataque malware massivo comprometeu mais de 2,3 milhões de dados de cartões de crédito e débito em estabelecimentos comerciais no Brasil, segundo um levantamento da equipe de Threat Intelligence da Tempest. Segundo descoberta da empresa de cibersegurança, uma campanha de malware atingiu, pelo menos, 2.600 sistemas no País e tinha como objetivo capturar dados de cartões de pagamento transacionados em sistemas de ponto de venda (PDV).

Ricardo Ulisses, Head de Threat Intelligence da Tempest, diz que foi possível identificar oito servidores que serviam de repositório das informações capturadas pelo malware. “Analisando estes servidores, entendemos que esta operação era controlada por, ao menos, 10 operadores diferentes que capturaram mais de 2,3 milhões de informações de cartões de crédito e débito”, explica.

Até o momento, não há indícios de que os cartões roubados foram usados em fraudes ou que vazaram em outros canais, segundo a Tempest. Assim que identificou a ameaça, a companhia a reportou aos bancos, entidades de classe e outros membros da comunidade de segurança de modo que essas instituições pudessem tomar as medidas cabíveis em relação aos cartões e mitigar fraudes antes da divulgação do relatório.

“Nenhum dos malwares identificados nesta campanha utiliza técnicas que dificultem sua análise ou detecção por software antivírus, e já são detectados. Apesar disso, a Tempest está colaborando e compartilhando informações com parceiros de empresas de antivírus”, afirma Ulisses.

A Tempest ainda não sabe ao certo como o malware instalado em cada máquina, mas sabe-se que, conceitualmente, o golpe é simples e de baixa complexidade. “O estágio inicial de infecção é feito a partir de um arquivo executável com a função de descarregar e copiar outros três artefatos para o diretório TEMP. A partir deste ponto, se inicia a execução dos arquivos e o monitoramento dos processos de interesse”, explica a empresa.

O malware dispõe pelo menos de três funções genéricas principais, que consistem em criar persistência na inicialização do Sistema Operacional, acompanhar os registros realizados pela vítima por meio do teclado do computador infectado e monitorar processos de interesse, em sua maioria relacionados a software PDV.

De acordo com a leitura do código-fonte da aplicação, constatou-se que a memória desses processos é monitorada em busca de vestígios de informações relacionadas a números de cartões de pagamento. Durante a análise, também foi localizado um registro de sistemas infectados pelo malware onde constam informações do computador da vítima, como ‘Nome do computador’ e ‘Nome do usuário’ logado na máquina no momento da infecção.

Dados de cartões transacionados nos computadores dos estabelecimentos infectados foram identificados e interceptados pelos cibercriminosos que operam a engenharia do malware, porém, as senhas desses cartões não foram capturadas, segundo a Tempest.

Fonte: itmidia

Método russo à serviço dos cibercriminosos brasileiros

cibercrimeNão é novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usuários – mas não é sempre que criam novas técnicas. A Kaspersky Lab identificou uma campanha de malware bancário utilizando o método BOM para confundir scanners de e-mail e infectar as vítimas – esta é a primeira vez que a técnica é utilizada no País e tem como alvo correntistas brasileiros e chilenos. Os usuários dos produtos da companhia estão protegidos deste ataque.

Técnica de 2013

Criados por criminosos russos para distribuir malware de sistemas Windows, essa técnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detecção. Campanhas de malware bancários dependem das famosas mensagens de phishing para aumentar o número de vítimas. O desafio dos criminosos russos era confundir os scanners de e-mail, então criaram um arquivo .ZIP com cabeçalho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usuários.malware zipadoAo tentar abrir o arquivo compactado utilizando o visualizador padrão do Windows Explorer, o usuário vê uma mensagem de erro, dizendo que está corrompido. Ao analisá-lo, os especialistas da Kaspersky perceberam que o cabeçalho do ZIP contém três bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura “PK” (0x504B), que é o padrão do ZIP. Já o BOM é encontrado normalmente em arquivos de texto com codificação UTF-8. O ponto é que algumas ferramentas não irão reconhecer este arquivo como um ZIP -elas o lerão como um arquivo de texto e não conseguirão abri-lo.

Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e irão extrair seu conteúdo corretamente. Uma vez que o usuário faça isso, será infectado. Quando isso acontece, o malware atuará como ponte para baixar o malware principal.malwareApós uma sequência de processos que visam evitar a detecção das ações maliciosas, é baixado o malware principal: variantes do malware Banking RAT que fica inoperante na máquina da vítima até que esta tente acessar seu Internet banking. Neste momento, ele começa a capturar tokens, código de acesso, data de aniversário, senha de acesso, entre outras formas de autenticação bancária.
“Identificamos atividades da campanha maliciosas usando o método BOM contra correntistas brasileiros e chilenos. Tecnicamente, é engenhosa e, por isso, é ingênuo esperar que com seis anos desde seu descobrimento não será efetiva. Usuários que contam com uma solução de segurança não correm muitos riscos, porém quem não tem nenhuma proteção está vulnerável”, afirma Thiago Marques, analista de segurança da Kaspersky Lab.

Todos os produtos da companhia estão aptos a extrair e analisar arquivos comprimidos contendo Byte Order Mark, além de já identificarem e bloquearem o malware usado neste golpe.

Mais informações sobre a ataque estão disponíveis no Securelist.com.

Fonte: Kaspersky

App da Google Play roubava criptomoedas

De acordo com a ESET, um aplicativo malicioso chamado MetaMask estava disponível para download na loja oficial de aplicativos Google Play Store. Quando instalado, o app substituia endereços de carteiras copiadas no clipboard do Android por uma falsa, que distribuía criptomoedas para os cibercriminosos.

Entre os principais alvos do MetaMask, estavam usuários das criptomoedas Ethereum e Bitcoin

O que isso significa? Quando um usuário tentava transferir dinheiro para a própria conta, ele acabava transferindo para a conta propagada pelo aplicativo malicioso. A ESET afirma que esse tipo de malware mira usuários Windows desde 2017.

Entre os principais alvos do MetaMask, estavam usuários das criptomoedas Ethereum e Bitcoin. Felizmente, a Google retirou o aplicativo do ar poucos dias depois de sua entrada, no dia 1 de fevereiro deste ano.

Fonte: Tecmundo

Trojan manipula extensões dos navegadores para roubar criptomoedas

O Trojan Razy tem como alvo as extensões legítimas do navegador e está falsificando os resultados da pesquisa na tentativa de invadir as carteiras de criptomoedas e roubar moedas virtuais das vítimas.

De acordo com uma nova pesquisa publicada pela Kaspersky Lab, o malware, conhecido como Razy, é um Trojan que usa algumas das técnicas mais incomuns no registro quando infecta sistemas.

Detectado pela Kaspersky como Trojan.Win32.Razy.gen, o Razy é um arquivo executável que se espalha através de malvertising em sites e também é empacotado e distribuído em serviços de hospedagem de arquivos enquanto se disfarça de software legítimo.

O principal aspecto do malware é sua capacidade de roubar a criptomoeda. Razy se concentra em comprometer navegadores, incluindo o Google Chrome, o Mozilla Firefox e o Yandex. Existem vetores de infecção diferentes, dependendo do tipo de navegador encontrado em um sistema infectado.

O Razy é capaz de instalar extensões de navegador maliciosas, o que não é novidade. No entanto, o cavalo de Tróia também é capaz de infectar extensões legítimas já instaladas, desabilitando as verificações de integridade para extensões e atualizações automáticas para navegadores.

No caso do Google Chrome, o Razy edita o arquivo chrome.dll para desabilitar as verificações de integridade de extensão e renomeia esse arquivo para quebrar o caminho padrão. As chaves do registro são criadas para desativar as atualizações do navegador.

“Encontramos casos em que diferentes extensões do Chrome foram infectadas”, dizem os pesquisadores. “Uma extensão, em especial, vale a pena mencionar: o Chrome Media Router é um componente do serviço com o mesmo nome em navegadores baseados no Chromium. Ele está presente em todos os dispositivos em que o navegador Chrome está instalado, embora não seja exibido no lista de extensões instaladas. ”

Para comprometer o Firefox, uma extensão maliciosa chamada “Proteção do Firefox” está instalada. Quando se trata do Yandex, o Trojan também desativa as verificações de integridade, renomeia o arquivo browser.dll e cria chaves de registro para evitar atualizações do navegador. Uma extensão maliciosa chamada Yandex Protect é então baixada e instalada.

A maioria das funções do malware é servida através de um único script .js que permite ao malware procurar endereços de carteira criptografada, substituir esses endereços por outros controlados por agentes de ameaça, falsificar imagens e códigos QR que apontam para carteiras, bem como modificar o código. páginas web de trocas de criptomoedas.

O Razy também é capaz de falsificar os resultados de busca do Google e do Yandex em navegadores infectados, o que pode resultar em vítimas visitar inadvertidamente páginas da web maliciosas. O cavalo de tróia irá frequentemente interferir nos resultados relacionados à criptomoeda, na tentativa de induzir os usuários a entregar suas credenciais – por exemplo, promovendo novos serviços ou negociando vendas de moedas que exijam que o usuário faça o login se desejar participar.

Nos três casos de navegadores, vários scripts adicionais são baixados. Dois dos scripts, firebase-app.js e firebase-messaging.js, são coletores de estatísticas legítimos, enquanto outros dois, bgs.js e extab.js, são scripts maliciosos e ofuscados que modificam páginas da web e permitem que anúncios mal-intencionados sejam inseridos .

Fonte: ZDNet

Cibercriminosos criam malware para roubo de criptomoedas

Os métodos de ataque que cibercriminosos de elite usam são muitas vezes tão sofisticados que até mesmo profissionais de cibersegurança têm grandes dificuldades em descobri-los. Há algum tempo, os especialistas da Kaspersky detectaram uma nova campanha de um grupo norte-coreano chamado Lazarus, reconhecido por seus ataques a Sony Pictures e várias instituições financeiras – um roubo de US$ 81 milhões de dólares do Banco Central da República Popular do Bangladesh, por exemplo.

Neste caso em particular, os invasores decidiram encher os bolsos com algumas criptomoedas. Para abrir as carteiras das vítimas, lançaram um malware nas redes corporativas de diversas exchanges de criptomoedas. Os criminosos confiaram no fator humano e foram recompensados.

Software de operações com uma atualização maliciosa

A penetração na rede começou com um e-mail. Pelo menos um dos funcionários da exchange recebeu uma oferta para instalar um aplicativo de operações financeiras, compra e venda de moedas virtuais chamado Celas Trade Pro, da Celas Limited. Um software como esse pode ser potencialmente útil para a empresa, considerando seu perfil corporativo.

A mensagem incluía um link para o site oficial do desenvolvedor, que parecia normal – tinha até um certificado SSL válido emitido pelo Comodo CA, um dos principais centros de certificação.

Fonte: Kaspersky

Botnets aumentam ataques com roubo de identidade

Pouco mais de um ano depois do devastador ataque DDOs da botnet Mirai, que usando uma rede zumbi de dispositivos de Internet das Coisas (incluindo câmeras de segurança) derrubou grandes serviços da internet como Twitter, Netflix e CNN, os bancos russos e toda a conexão IP da Libéria, o estado da segurança da internet global continua a exigir cuidado. Dados do estudo State of the Internet/Security Report, da Akamai Technologies, sobre o quarto trimestre de 2017, mostram que as botnets estão bem vivas e cada vez mais espertas e difíceis de combater.

O documento relata as descobertas da Akamai sobre as atividades cibercriminosas que circularam nas redes administradas por ela globalmente. Em linhas gerais, a companhia confirmou o aumento do número de ataques DDoS (negação de serviço) em 14% no último trimestre de 2017, comparado com o mesmo período de 2016. Além disso, identificou que a temida botnet Mirai não sumiu. No final de novembro, a botnet foi responsável por uma tentativa de ataque, bloqueada pela Akamai, de quase 1 milhão de endereços únicos de IP contra um cliente.

Uma das descobertas importantes aconteceu quase por acaso, por conta do uso de uma nova ferramenta da Akamai, a Bot Manager, que utiliza múltiplas heurísticas para identificar potenciais bots em tempo real e fazer análise comportamental de tráfego de bots em geral. Com a ferramenta, a Akamai analisou mais de 17 bilhões de logins em sites de seus clientes e, como resultado colateral, descobriu que 43% desse logins eram ataques maliciosos de credential stuffing, executados por bots “do mal’, digamos assim.

Roubo de identidade

Um ataque de credencial stuffing (preenchimento de credenciais) consiste de tentativas repetitivas de fazer login em diferentes sites, com credenciais (email e senha, por exemplo) roubadas, para tentar entrar com alguma delas. Esses ataques, nesse caso, foram empreendidos por botnets e esse dado, segundo a companhia, mostra uma novidade no comportamento das botnets que precisa ser monitorada. Os dados da Akamai mostram que os ataques de abuso de credenciais afetaram especialmente sites de varejo.

Segundo a companhia, as tentativas de login fraudulento por botnets foram mais intensas contra os sites de hospitalidade (hoteis, companhias aéreas, agências de viagem etc.). Do total de 1,2 bilhão de tentativas de login feitas nesses sites em novembro de 2017, 82% (ou 982 milhões) foram maliciosas. Ou seja, quase o dobro do percentual de 43% dos ataques contra todas as verticais analisadas. A segunda área mais atacada foi a de high tech, com 57% dos logins maliciosos, seguida do varejo, com 36% dos logins focados em abuso de credenciais roubadas.

Segundo o engenheiro da Akamai no Brasil, Thiago Marques, o mundo continua a ser um lugar muito perigoso para os cibercidadãos. “É impossível prever tudo. Ou você já foi atacado ou não sabe que foi atacado”, disse o engenheiro durante o webcast para apresentar o estudo no Brasil.

Fonte: IDG Now!

Crackers investem no roubo de dados via phishing

Estratégias de phishing também miram na iminente Copa do Mundo para lançar ciberataques, alerta Kaspersky Lab

O relatório “Spam e phishing em 2017”, produzido pela Kaspersky Lab, mostra que 29% dos usuários brasileiros foram afetados por campanhas de phishing no ano. Ao todo, a quantidade média de spam em 2017 diminuiu para 56,63%, o que representa 1,68% a menos do que em 2016. Ao mesmo tempo, o número de ataques de phishing aumentou. O sistema antiphishing da empresa russa de cibersegurança foi acionado 246 milhões vezes nos computadores de usuários da companhia – 59% mais do que no ano anterior.

Mas quais as principais estratégias dos crackers?

Segundo a Kaspersky Lab, os criminosos têm acompanhado os assuntos internacionais e usado temas em alta para enganar os usuários e roubar dinheiro ou informações pessoais. Os remetentes de spam se mostraram agentes atentos, monitorando instantaneamente questões globais com o objetivo principal de chamar e explorar a atenção das vítimas.

A Copa do Mundo de Futebol, que ocorre neste ano, foi um dos principais temas. Os remetentes de spam propagaram e-mails relacionados ao tema. Assim, enviaram às vítimas mensagens fraudulentas com logotipos oficiais do evento, incluindo informações dos organizadores e das marcas dos patrocinadores, que avisavam aos usuários sobre prêmios de sorteios e até prometendo ingressos gratuitos.

Outro tema em alta nos spams e golpes de phishing em 2017 são as criptomoedas, principalmente o bitcoin, que ganhou notoriedade com a disparada no seu preço. Os pesquisadores da Kaspersky Lab já tinham registrado um crescimento nos golpes com temas relacionados ao blockchain no terceiro trimestre de 2017. Até o final do ano, foi observado um amplo arsenal de ferramentas de envio de spam.

Estratégias

De acordo com as descobertas da empresa, os criminosos têm usado truques como sites disfarçados de bolsas de criptomoeda, serviços falsos oferecendo mineração na nuvem, ou seja, o uso de data centers especializados para locação. Mas, em todos os casos, os usuários se tornaram vítimas e perderam dinheiro.

Em esquemas de fraude mais tradicionais, como prêmios falsos de loterias, os criminosos também começaram a usar os bitcoins como isca. E, além dos bancos de dados de endereços visados anunciados por meio de spam, também foram oferecidos para compra bancos de dados com e-mails de usuários de criptomoedas, prometendo ótimas oportunidades.

Outras tendências e estatísticas importantes de 2017 destacadas pelos pesquisadores da Kaspersky Lab incluem:

– A fonte de spam mais popular foram os EUA (13,21%), seguidos da China (11,25%) e do Vietnã (9,85%). Outros dos dez países mais importantes incluem Índia, Alemanha, Rússia, Brasil, França e Itália.

– O país mais visado por envios de e-mails maliciosos foi a Alemanha (16,25%), com um leve aumento de 2,12 pontos percentuais em relação a 2016. Outros países dentre os dez principais incluem China, Rússia, Japão, Reino Unido, Itália, Brasil, Vietnã, França e Emirados Árabes Unidos.

– A maior porcentagem de usuários afetados por phishing ocorreu no Brasil (29,02%). No todo, 15,9% usuários exclusivos dos produtos da Kaspersky Lab no mundo todo foram atacados por golpes de phishing.

Fonte: IDGNow!