Spyware disfarçado no mercado de propostas de emprego

Utilizados por milhões de profissionais autônomos em todo o mundo, os sites Fiverr e Freelancer estão sendo usados para distribuir arquivos infectados disfarçados de propostas de emprego. Esses documentos maliciosos contêm keyloggers, programas que registram tudo o que é digitado na máquina com o objetivo de descobrir senhas de banco ou dados de cartões de crédito do usuário.

De acordo com o Malware Hunter Team, o ataque consiste em enviar uma mensagem com uma suposta oferta de trabalho, que estaria detalhada em um documento anexado. Infectadas no momento em que abrem o arquivo, algumas vítimas chegam a perguntar o motivo de não conseguirem ler o conteúdo do documento.

Esses casos mostram como o ataque é elaborado, com o responsável por espalhar o keylogger tirando dúvidas e até mesmo pedindo para que as pessoas abram o documento em um notebook ou desktop para garantir a infecção.

Para diminuir as chances de que algo do tipo aconteça com você, é importante lembrar sempre de usar o antivírus para analisar arquivos recebidos de fontes suspeitas ou de pessoas que você não conhece.

Fonte: Tecmundo

Spyware Pegasus em atividade no Brasil

O spyware Pegasus, que virou notícia em 2017 porque foi descoberto espionando jornalistas, defensores dos direitos humanos e ativistas anticorrupção, continua ativo em mais de 44 países — e o Brasil é um deles. Segundo a ESET, o Pegasus foi desenvolvido para empresa NOS Group, de Israel, para ser usado inicialmente no México.

O propósito do Pegasus foi desviado

A ESET afirma que os cibercriminosos por trás do Pegasus operam o spyware da Ásia e tem como nome Ganges. “O mesmo operador [que atua no Brasil] também atua em países como Bangladesh, Índia, Paquistão e Hong Kong, usando domínios cujos nomes tinham alguma relação com as questões políticas para infectar os seus alvos”. Acredita-se que os alvos sejam escolhidos por motivações políticas.

Um relatório do CitizenLab comenta que o Pegasus foi desenvolvido de maneira legítima: a ideia era utilizar o software como ferramenta governamental para combater o terrorismo e o crime. Porém, seu propósito foi desviado.

O spyware aparece em países com registros duvidosos sobre histórias de comportamentos abusivos em matéria de direitos humanos

O operador do Pegasus, após sucesso da infecção, pude acessar tudo de um smartphone. Ou seja: mensagens de texto, informações de calendário, mensagens de WhatsApp e outros aplicativos, localização, microfone e câmera do dispositivo — e tudo sem que a vítima possa perceber.

O Pegasus estar presente no Brasil também corrobora com outra informação do relatório Citizen Lab: o spyware aparece em dispositivos localizados em países com registros duvidosos relacionados com histórias de comportamentos abusivos em matéria de direitos humanos pelos serviços de segurança desses países, e onde foram descobertas possíveis tentativas de utilização do Pegasus para discutir questões políticas suspeitas que não estão relacionados com os propósitos para os quais a ferramenta foi criada.

A ESET nota que o NSO Group informou que não comercializou a ferramenta em vários dos países mencionados no relatório do Citizen Lab.

Fonte: Tecmundo

Spyware antigo do iOS é encontrado em versão para Android

De acordo com recentes investigações da Lookout Mobile Security em parceria com a Google, um dos mais sofisticados softwares de espionagem já desenvolvidos para iOS está de volta em uma versão para Android. Conhecido popularmente como Pegasus, a ferramenta criada pelo NSO Group foi descoberta em 2015 e visa invadir a privacidade de representantes governamentais.

Batizada como Chrysaor pela própria Google, a descoberta é capaz de capturar conversas, dados da agenda de contatos, histórico de navegação do navegador, imagens presentes na galeria e até mesmo coletar qualquer conteúdo digitado no teclado do aparelho – tudo isso sem despertar qualquer suspeita. O desenvolvimento do Spyware foi tão meticuloso que ele é capaz de destruir todos os seus traços caso ‘sinta-se em risco’.

Também como acontece no Pegasus, o software para Android foi desenvolvido visando alvos muito específicos, o que levanta a suspeita de que ambas as aplicações foram financiadas por algum governo a fim de espionar autoridades. Ainda de acordo com as informações da Lookout, ao menos 36 pessoas tiveram seus aparelhos infectados com sucesso, sendo todos eles figuras importantes dos Emirados Árabes, México, Geórgia, Turquia e predominantemente Israel.
A cautela é a única forma de evitar os ataques

Em meio a tantas similaridades, a maior diferença entre os dois espiões é a forma como cada um se instala nos smartphones. Enquanto o Pegasus se aproveitava de vulnerabilidades no kernel do iOS 9.3.5, o Chrysaor realiza o rooting (desbloqueio) dos aparelhos de forma remota e então invade os arquivos de sistema do aparelho para roubar os dados.

Por se tratar de um recurso nativo do Android, o acesso root não é algo que pode ser corrigido pelo Google, como o que foi feito pela Apple em relação às falhas do iOS 9. No entanto, a gigante das buscas se comprometeu a dar suporte às vítimas da invasão e promete continuar as investigações.

Ambas as companhias recomendaram que os usuários da plataforma tomem cuidado com o conteúdo que instalam em seus smartphones.

Apesar de funcionarem silenciosamente, tanto o Chrysaor quanto o Pegasus exigem instalações manuais para funcionar, atraindo todas as pessoas atacadas com anúncios e mensagens direcionadas.

Fonte: Tecmundo

GData descobre nova variante de spyware

malware-globalOs especialistas da G Data, representada no Brasil pela FirstSecurity, descobriram uma variante de spyware digital altamente complexa, batizada de Carbon System e considerada a porta de saída do Projeto Cobra, que reúne um grupo de malwares que ataca grandes redes em várias partes do mundo com objetivos de realizar espionagem cibernética.

O Carbon System possui semelhanças com outros spywares, o Uroburos e Agent.BTZ, e provavelmente foi criado pelos mesmos desenvolvedores. Ao estudar esta variante os especialistas da G Data puderam notar que ele foi projetado para funcionar em grandes redes pertencentes a empresas, autoridades, organizações e institutos de pesquisa.

Mesmo que possa ser uma versão evoluída do Uroburos, o Carbon System não ataca o kernel do sistema e se mantém no nível do usuário. Possui estrutura modular, o que lhe permite que os criminosos cibernéticos ataquem partes especificas de um sistema e pode ter versões sob medida para cada tipo de sistema que se pretende atacar e até mesmo modifica-lo.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: TI Inside Online

Novo spyware para iOS rouba dados do usuário

iphonePesquisadores da Trend Micro encontraram um spyware projetado especificamente para espionar dispositivos iOS. Conhecido como Operation Pawn Storm, o ataque tem como alvo governos, meios de comunicação, instituições militares e outras entidades do tipo. O objetivo é roubar dados, gravar áudio e fazer screenshots para fins de espionagem econômica e política.

Os agentes da Pawn Storm primeiro infectam vários perfis próximos a seus alvos reais. Quando finalmente atingem com sucesso um alto perfil, o malware usado abre as portas para uma versão mais danosa.
Os malwares encontrados no iOS pela Trend Micro pertencem ao grupo dos avançados. Um deles é chamado XAgent (detectado como IOS_XAGENT.A) e o outro usa o nome de um jogo legítimo, MadCap (detectado como IOS_ XAGENT.B).

Acredita-se que o spyware para iOS é instalado em sistemas já comprometidos. Ele se comporta de forma muito semelhante aos SEDNIT, encontrados em sistemas Windows. Uma vez instalado no sistema, a transmissão de informações acontece em tempo real.

No iOS 7, o XAgent é executado em segundo plano e o app fica oculto. Ao tentar finalizar sua execução, ele reinicia imediatamente. Já no iOS 8, o ícone fica visível e o programa não reinicia sozinho, o que indica que o malware foi projetado antes do lançamento desta versão do sistema, em setembro de 2014.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Spyware usa MS Office para atacar empresas

cibercriminososUma campanha de spyware, batizada de Operação TooHash, realizada para atacar empresas de várias partes do mundo, foi detectada por especialistas da G Data, representada no Brasil pela FirstSecurity. O objetivo é o de roubar informações confidenciais das companhias usando uma abordagem de “spear-phishing”, um tipo refinado de ameaça usando um motivo pessoal que contém anexo documentos Microsoft Office infectados com os malwares Win32.Trojan.Cohhoc.A e Win32.Trojan.DirectsX.A.

A Operation TooHash teve início em Taiwan e contém avisos para o departamento de RH das companhias, que tiveram seus servidores infectados em Hong Kong e também nos EUA. Disfarçados com anúncios publicitários, os documentos foram direcionados aos departamentos de RH e a maioria dos arquivos descobertos veio de Taiwan, China, porém, os especialistas em segurança da G Data acreditam que a ação visou também empresas de outros países, uma vez que a propagação via rede de computadores é uma das táticas dos criminosos.

“O malware no anexo de e-mail explora especificamente uma vulnerabilidade no Microsoft Office e faz o download de uma ferramenta de acesso remoto no computador comprometido”, revela Ralf Benzmüller, especialista chefe da G Data. “Nesta campanha os dois tipos diferentes de malware continham componentes de espionagem cibernética com a execução automática de código, listagem de arquivos, roubo de dados etc”, explica.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Suposto spyware russo ameça países ocidentais

TrojanUm tipo sofisticado de spyware vem infectando sigilosamente centenas de computadores de governos por toda a Europa e nos Estados Unidos, em um dos mais complexos programas de espionagem cibernética descobertos até hoje.

Vários pesquisadores em segurança e funcionários da área de inteligência ocidentais dizem acreditar que o malware, conhecido como Turla, é obra do governo russo e está ligado ao mesmo software usado para promover uma violação maciça de dados no Exército dos EUA, descoberto em 2008.

O programa espião também está sendo vinculado a uma enorme operação previamente conhecida de espionagem cibernética mundial, apelidada de Outubro Vermelho, e cujo alvo eram redes de pesquisa nuclear diplomática e militar.

Essas constatações se baseiam na análise das táticas empregadas pelos hackers, bem como indicadores técnicos e as vítimas que eram seu alvo.

“É um malware sofisticado, que está ligado a outras façanhas dos russos, usa criptografia e tem como alvo os governos ocidentais. Tem pegadas russas por toda parte”, disse Jim Lewis, um ex-funcionário do serviço externo dos EUA, agora membro sênior do Centro para Estudos Estratégicos e Internacionais, em Washington.

No entanto, especialistas em segurança alertam que embora a probabilidade de que o Turla seja russo pareça forte, é impossível confirmar essas suspeitas, a menos que Moscou assuma a responsabilidade. Isto porque os desenvolvedores desses programas geralmente usam técnicas para mascarar a sua identidade.

A ameaça veio à tona nesta semana, após uma empresa alemã antivírus pouco conhecida, a G Data, ter publicado um relatório sobre o vírus, que chamou de Uroburos, o nome codificado que pode ser uma referência ao símbolo grego da serpente que come o próprio rabo.

Especialistas em ataques cibernéticos patrocinados por Estados dizem que os hackers bancados pelo governo da Rússia são conhecidos por serem altamente disciplinados, hábeis em esconder seus rastros, extremamente eficazes em manter o controle de redes infectadas e mais seletivos na escolha de alvos do que os seus homólogos chineses.

“Eles sabem que a maioria das pessoas não quer ter o conhecimento técnico ou a coragem para vencer uma batalha com eles. Quando eles percebem que alguém está em seu encalço, eles ficam inativos”, disse um especialista que ajuda vítimas de pirataria patrocinada por Estados.

Um ex-funcionário do setor de inteligência ocidental comentou: “Eles podem recorrer a alguns programadores e engenheiros de grau muito elevado, incluindo os muitos que trabalham para grupos do crime organizado, mas que também agem como corsários”.

O Escritório Federal de Segurança da Rússia se recusou a comentar o assunto, como também autoridades do Pentágono do Departamento de Segurança Interna dos EUA.

Na sexta-feira, a BAE Systems Applied Intelligence, da Grã-Bretanha, publicou as conclusões de sua investigação sobre o spyware, que chamou de “cobra”.

A absoluta sofisticação do software, disse a empresa, estava muito além do que anteriormente foi encontrado — embora não tenha atribuído culpa pelo ataque.

“A ameaça … realmente dificulta as coisas em termos do que alvos potenciais, e a comunidade de segurança em geral, têm que fazer para se manter à frente dos ataques cibernéticos”, disse Martin Sutherland, diretor da BAE Systems.

Fonte: Info