Dharma: o ransomware que se disfarça de antivírus

Um novo tipo de ransomware foi descoberto pela Trend Micro: chamado de Dharma, ele utiliza instalações do antivírus ESET AV Remover falsas para distrair vítimas enquanto infecta a máquina e criptografa todos os arquivos.

De acordo com o Bleeping Computer, o ransomware é enviado via email para os computadores por meio de uma campanha de spam. Como um phishing, o ransomware fica como anexo. É interessante notar que o email lista uma senha para abrir o arquivo malicioso: a vítima, curiosa com a senha no corpo de email, assim que abre o arquivo acaba liberando a infecção.

A mensagem no email diz o seguinte: “Seu Windows está temporariamente em risco! Nosso sistema detectou vários dados incomuns do seu PC. Está corrompido pelo DISPLAY SYSTEM 37.2%. Todas as suas informações estão em risco, isso pode danificar os arquivos do sistema, dados, aplicativos ou até mesmo causar vazamentos de dados, etc. Atualize e verifique seu antivírus abaixo. Senha: http://www.microsoft.com”.

É interessante notar o uso do instalador ESET AV Remover enquanto o ransomware age por baixo dos panos. A vítima acaba pensando que está atualizando seu próprio antivírus, enquanto isso, seus arquivos vão sendo criptografados.

A ESET, dona do software AV Remover — que é legítimo —, comentou o seguinte sobre o caso:

“O artigo descreve a prática bem conhecida de um malware ser empacotado com aplicativos legítimos. No caso específico que a Trend Micro está documentando, foi utilizado um ESET AV Remover oficial e não modificado. No entanto, qualquer outro aplicativo poderia ser usado dessa maneira. A principal razão é para distrair o usuário; este aplicativo é usado como um aplicativo chamariz. Os engenheiros de detecção de ameaças da ESET viram vários casos de ransomware em pacote de extração automática junto com alguns arquivos limpos ou hack/keygen/crack recentemente. Então isso não é novidade.

No caso específico descrito pela Trend Micro, o ransomware é executado logo após o nosso aplicativo removedor, mas o removedor tem um diálogo e aguarda a interação do usuário, portanto não há nenhuma chance de remover qualquer solução AV antes que o ransomware seja totalmente executado”.

A lição é a mesma de sempre: não abra emails de desconhecidos.

Fonte: Tecmundo

Trend Micro enfrenta problemas com o Chrome

trend_microA popularidade do Chrome o torna foco de interesse não apenas para os hackers mas também para as empresas de antivírus. Por ser modular e por permitir a integração simples de extensões, quase todas têm soluções para o proteger e aos dados dos usuários.

Mas os últimos tempos não têm sido fáceis para estas empresas, com vários problemas que têm surgido. Depois da AVG ter tido um problema de segurança, é agora a Trend Micro e o seu gerenciador de senhas a apresentarem vulnerabilidades.

Tal com ocorreu com a AVG esta falha de segurança está presente na extensão para o Chrome que a Trend Micro desenvolveu. O Trend Micro Password Manager foi avaliado por um pesquisador de segurança da Google, o mesmo que descobriu o problema da AVG, e detectou que esta extensão apresenta vulnerabilidade a ataques de qualquer hacker mal intencionado.

A função do Password Manager é proteger as senhas dos usuários, mas qualquer hacker mal intencionado pode criar uma página web que consegue executar um código arbitrário ou mesmo aplicações se valendo dessa falha.
O problema está na forma como o Password Manager foi implementado, recorrendo a APIs do browser que são ultrapassadas e que não devem ser usadas. Ao fazê-lo a extensão da Trend Micro quebra a segurança do Chrome e deixa de usar a Sandbox que o protege.

Para além deste grave problema, o pesquisador da Google descobriu ainda que esta extensão deixa acessíveis as senhas dos usuários, sendo também simples obter esta informação, que deveria proteger.

Apesar de ser um problema muito grave, apenas afeta os usuários das soluções de antivírus da Trend Micro. Esta extensão não está disponível na loja de extensões do Chrome.

A Trend Micro informa já ter resolvido este problema, com a ajuda de quem fez a sua descoberta, e os usuários desta solução de segurança devem atualizar seus programas o quanto antes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Trend Micro detecta ataques direcionados por meio do Google Drive

fakegdriveA Trend Micro alerta que tem visto malware que se aproveita destes sites, como o DropBox, o Sendspace e o Evernote. Agora, também inclui o Google Drive na lista dos sites “abusados”. Recentemente, a empresa se deparou com um malware, detectado como TSPY_DRIGO.A, que usa o Google Drive como uma forma de obter informações sobre suas vítimas.

Acesso ao Google Drive

Uma vez executado, o malware irá verificar os seguintes tipos de arquivos em determinados locais para carregá-los no Google Drive:

XLSX
XLS
DOC
DOCX
PDF
TXT
PPT
PPTX

Os locais nos quais o malware verifica e busca por estes arquivos incluem a lixeira e a pasta Documentos do usuário.

Com o objetivo de fazer o upload dos arquivos para o Google Drive, foram incluídos no malware o “client_id” e o “client_secret”, junto a um token de atualização. Tokens de atualização são necessários como parte do protocolo OAuth 2.0, que é usado pelo Google Drive. Este protocolo é utilizado pelo Twitter, Facebook e outros sites para permitir que as contas nestes sites sejam usadas para efetuar login em sites diferentes. Os tokens de acesso são utilizados para ter acesso a uma conta do Google Drive. No entanto, tokens de acesso expiram, então tokens de atualização são necessários para obter novos tokens de acesso.

A Trend Micro descriptografou a comunicação da atividade do malware e notou atividades como os pedidos de novos tokens e upload de arquivos.

Os especialistas da empresa usaram essa mesma abordagem para verificar os arquivos que foram carregados na conta do Google Drive. Enquanto elaboravam a postagem dessa mesma notícia no blog, alguns dos arquivos ainda estavam “ativos” ou presentes na conta. Também descobriram que os nomes dos arquivos revelam quem são as entidades visadas, na sua maioria, agências governamentais.

A outra conexão com o Google

O uso do Google Drive não é a única coisa que conecta este malware com o Google. O malware foi, na verdade, criado usando a linguagem de programação Go, vulgarmente conhecido como “golang”. Esta é uma linguagem de programação de código aberto que foi inicialmente desenvolvido pelo Google. Segundo o Google, “os objetivos do projeto Go eram eliminar a lentidão e outras questões no desenvolvimento de software no Google, e, assim, tornar o processo mais produtivo e escalável.”

Embora interessante, a utilização da linguagem golang não é nova; pesquisadores de segurança já viram a golang sendo usada para criar malwares desde 2012. Seria difícil identificar as razões exatas para o uso da golang mas alguns têm atribuído o seu apelo à sua suposta falta de perfil dominante ou de massa.

A coleta de informações

A análise mostra que este malware só pode fazer o upload de arquivos do tipo “documento” para o Google Drive. Este tipo de rotina de malware é perfeito para a fase do reconhecimento – uma das etapas iniciais de ataques direcionados. Afinal, um dos principais aspectos de um ataque bem sucedido é ter informações suficientes sobre um determinado alvo. Quanto mais informações eles puderem reunir, maior vetor de ataque podem usar em seus alvos.

Os seguintes “hashes” estão relacionados a este ataque:

2C32674B334F10000CB63ED4BA4EE543A16D8572
2D98DDF8F5128853DD33523BCBBD472B8D362705

Segundo a Trend Micro o Google já foi notificado sobre o incidente.

Agradecemos ao Paulo Sollo, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: ti inside e Trend Micro blog