Asus e o trojan escondido em sua ferramenta de atualização

Graças a uma nova tecnologia da Kaspersky capaz de detectar ataques na cadeia de suprimento, seus especialistas descobriram o que parece ser um dos maiores incidentes deste tipo (o CCleaner foi maior). Um grupo cibercriminoso modificou o ASUS Live Update Utility, que fornece BIOS, UEFI e atualizações de software para laptops e desktops ASUS, adicionou uma backdoor ao utilitário e distribuiu-o aos usuários por meio de canais oficiais.

O utilitário “trojanizado” foi assinado com um certificado legítimo e hospedado no servidor oficial da ASUS dedicado a atualizações. Isso permitiu que permanecesse sem ser detectado por um longo tempo. Os criminosos até se certificaram de que o tamanho do arquivo do utilitário malicioso permanecesse igual ao do original.
De acordo com nossas estatísticas, mais de 57 mil usuários dos produtos da Kaspersky Lab instalaram o utilitário modificado, mas estimamos que foi distribuído para cerca de 1 milhão de pessoas. Os criminosos cibernéticos não estavam interessados ​​em todas – eles visavam apenas 600 endereços MAC específicos, para os quais os hashes eram codificados em diferentes versões do utilitário.

Ao investigar esse ataque, descobrimos que as mesmas técnicas foram usadas contra softwares de outros três fornecedores. Claro, nós notificamos a ASUS e outras empresas sobre o ataque. A partir de agora, todas as soluções da Kaspersky Lab detectam e bloqueiam os utilitários trojanizados, mas ainda assim sugerimos que você atualize o ASUS Live Update Utility, se você usá-lo. Nossa investigação ainda está em andamento.

Se você quiser saber mais sobre um dos maiores ataques da cadeia de suprimentos, mergulhar em detalhes técnicos, entender quem eram os alvos e receber conselhos sobre como se proteger contra ataques da cadeia de suprimentos, sugerimos visitar o SAS 2019 – nossa conferência de segurança que começa 8 de abril em Cingapura. Teremos uma palestra dedicada ao ShadowHammer APT com muitos detalhes interessantes. Os ingressos estão quase esgotados, então é melhor você se apressar.

Fonte: Kaspersky https://www.kaspersky.com.br/blog/shadowhammer-asus-malware-update/11552/

Trojan manipula extensões dos navegadores para roubar criptomoedas

O Trojan Razy tem como alvo as extensões legítimas do navegador e está falsificando os resultados da pesquisa na tentativa de invadir as carteiras de criptomoedas e roubar moedas virtuais das vítimas.

De acordo com uma nova pesquisa publicada pela Kaspersky Lab, o malware, conhecido como Razy, é um Trojan que usa algumas das técnicas mais incomuns no registro quando infecta sistemas.

Detectado pela Kaspersky como Trojan.Win32.Razy.gen, o Razy é um arquivo executável que se espalha através de malvertising em sites e também é empacotado e distribuído em serviços de hospedagem de arquivos enquanto se disfarça de software legítimo.

O principal aspecto do malware é sua capacidade de roubar a criptomoeda. Razy se concentra em comprometer navegadores, incluindo o Google Chrome, o Mozilla Firefox e o Yandex. Existem vetores de infecção diferentes, dependendo do tipo de navegador encontrado em um sistema infectado.

O Razy é capaz de instalar extensões de navegador maliciosas, o que não é novidade. No entanto, o cavalo de Tróia também é capaz de infectar extensões legítimas já instaladas, desabilitando as verificações de integridade para extensões e atualizações automáticas para navegadores.

No caso do Google Chrome, o Razy edita o arquivo chrome.dll para desabilitar as verificações de integridade de extensão e renomeia esse arquivo para quebrar o caminho padrão. As chaves do registro são criadas para desativar as atualizações do navegador.

“Encontramos casos em que diferentes extensões do Chrome foram infectadas”, dizem os pesquisadores. “Uma extensão, em especial, vale a pena mencionar: o Chrome Media Router é um componente do serviço com o mesmo nome em navegadores baseados no Chromium. Ele está presente em todos os dispositivos em que o navegador Chrome está instalado, embora não seja exibido no lista de extensões instaladas. ”

Para comprometer o Firefox, uma extensão maliciosa chamada “Proteção do Firefox” está instalada. Quando se trata do Yandex, o Trojan também desativa as verificações de integridade, renomeia o arquivo browser.dll e cria chaves de registro para evitar atualizações do navegador. Uma extensão maliciosa chamada Yandex Protect é então baixada e instalada.

A maioria das funções do malware é servida através de um único script .js que permite ao malware procurar endereços de carteira criptografada, substituir esses endereços por outros controlados por agentes de ameaça, falsificar imagens e códigos QR que apontam para carteiras, bem como modificar o código. páginas web de trocas de criptomoedas.

O Razy também é capaz de falsificar os resultados de busca do Google e do Yandex em navegadores infectados, o que pode resultar em vítimas visitar inadvertidamente páginas da web maliciosas. O cavalo de tróia irá frequentemente interferir nos resultados relacionados à criptomoeda, na tentativa de induzir os usuários a entregar suas credenciais – por exemplo, promovendo novos serviços ou negociando vendas de moedas que exijam que o usuário faça o login se desejar participar.

Nos três casos de navegadores, vários scripts adicionais são baixados. Dois dos scripts, firebase-app.js e firebase-messaging.js, são coletores de estatísticas legítimos, enquanto outros dois, bgs.js e extab.js, são scripts maliciosos e ofuscados que modificam páginas da web e permitem que anúncios mal-intencionados sejam inseridos .

Fonte: ZDNet

Trojan para Android escondido na Google Play

Já removido pelo Google da sua loja, malware foi baixado mais de 50 mil vezes, segundo a empresa de segurança Kaspersky Lab.

Um novo Cavalo de Troia para aparelhos Android chamou a atenção dos pesquisadores de segurança da Kaspersky Lab na última semana. Distribuído como um jogo pela loja oficial da plataforma, a Google Play Store, o malware consegue obter direito de acesso à raiz do smartphone, segundo a companhia de segurança.

Além disso, a ameaça também pode assumir o controle do aparelho Android ao injetar código malicioso na biblioteca do sistema. Ao conseguir isso, o trojan pode excluir o acesso à raiz, em uma tentativa de evitar a sua detecção.

Segundo a Kaspersky, o Cavalo de Troia em questão já foi baixado mais de 50 mil vezes pela Google Play Store desde o último mês de março. Depois de ficar sabendo da ameaça pela Kaspersky, o Google retirou a ameaça da Play Store.

“Acreditamos ter descoberto esse malware em um estágio bastante precoce. Nossa análise mostra que os módulos maliciosos informam cada movimento aos invasores, e existem técnicas capazes de violar os dispositivos infectados. A rapidez é essencial para evitar um ataque massivo e perigoso”, explica o analista sênior de malware da Kaspersky Lab, Roman Unuchek.

O que fazer

Os usuários que suspeitam ter sido infectados pelo Dvmap devem fazer backup de todos os seus dados e executar uma restauração dos dados de fábrica, conforme a empresa.

Fonte: PCWorld

Cuidado com este malware usado em ataques bancários

malware_macroEmbora os ataques de criminosos digitais que afetam diretamente os internautas sejam bastante comuns – gerando todo tipo de perigo para os usuários mais despreparados –, não é raro que esses malfeitores acabem mirando também os grandes players do mercado. Desde janeiro deste ano, por exemplo, organizações financeiras de todo o mundo vêm sofrendo com o malware Trojan.Odinaff. O software malicioso é discreto e parece afetar também prestadores de serviços que trabalham junto dessas companhias.

De acordo com um comunicado feito pela Symantec, o Odinaff funciona como uma espécie de primeiro estágio da investida dos cibercriminosos. Isso porque, ao invadir os servidores-alvo e se marcar uma posição na rede, o programa instala ferramentas adicionais no sistema para garantir que ele consiga se espalhar ainda mais. O processo é bastante sofisticado e busca a implementação de uma série de backdoors – brechas na segurança – para facilitar o acesso dos invasores.

Para a segurança digital, esse tipo de ataque indica que os crackers por trás do projeto investiram de forma pesada no desenvolvimento do malware, uma vez que toda a operação é customizada e os recursos de invasão são pensados especificamente para viabilizarem comunicações furtivas (Backdoor.Batel), descoberta de rede, roubo de credenciais e monitoração das atividades de funcionários. Apesar do trabalho pesado, esse tipo de ataque a bancos pode ser altamente lucrativo, podendo render centenas de milhões de dólares.

Ameaça de escala global

Os primeiros ataques envolvendo o Trojan datam de janeiro deste ano, com casos simultâneos em diversos países. Embora organizações sediadas nos Estados Unidos tenham sido o foco principal de muitos dos invasores, Hong Kong, Austrália, Reino Unido e Ucrânia também fizeram parte da leva inicial de infecções. Dos casos conhecidos envolvendo o Odinaff, a maioria deles (34%) foi contra instituições financeiras. Apesar disso, algumas organizações de valores mobiliários e serviços de saúde, jurídicos e governamentais constaram nessa listagem.

Para garantir a sua entrada nos sistemas financeiros, os idealizadores do malware utilizaram uma variedade bem grande de métodos. Mesmo com esse leque grande de opções de invasão, o meio mais comum para criar brechas é relativamente simples: documentos-isca. Geralmente enviados por email, esses arquivos contêm um macro malicioso que, ao ser ativado, instala o Odinaff no computador. Alguns deles trazem até mesmo um tutorial detalhado para que o funcionário incauto ative o recurso de macros no Microsoft Word.

Com o Trojan e o Backdoor.Batel devidamente alocados no terminal, a presença deles é quase que completamente escondida e abrem as portas do PC para uso dos criminosos – dando as condições ideais para que a dupla se espalhe pela rede até achar os servidores locais. Como esperado, evitar links e documentos maliciosos, assim como manter seus programas de proteção atualizados ajudam bastante na hora de prevenir ataques como esse.

Fonte: Tecmundo

Trojan na Google Play: centanas de apps contaminados

malware-androidAconselhamos com frequência que usuários Android baixem aplicativos apenas da loja oficial. É muito mais seguro procurar aplicativos na Google Play porque todos os apps passam por controle rigoroso com diversos critérios de segurança que somente se aprovados em todos, os aplicativos são publicados.

Contudo, aplicativos intrusos se infiltraram no Google Play algumas vezes. Recentemente, em um grande incidente, mais de 400 aplicativos na Google Play (e quase 3000 em outras app stores) portavam o Trojan DressCode.

O malware tem nome engraçado por conta de sua primeira aparição: o Trojan foi detectado em agosto por pesquisadores em aplicativos de dress-up – jogos voltados para garotas. Um desses jogos foi baixado entre 100.000 a 500.000 vezes da Play. Outros aplicativos com o Trojan foram encontrados -mais de 400, por volta de 40 na Google Play. Os pesquisadores avisaram o Google e a empresa deletou os apps da loja.

Contudo, outro grupo de pesquisadores se interessou pelo Trojan e decidiu investigar mais a fundo e em diversas app stores. Dois dias depois, a equipe encontrou quase 3000 apps infectados com o DressCode; mais de 400 na Google Play. A PSafe informa ter identificado ao menos 500 apps contaminados.

A maioria dos aplicativos infectados são jogos ou aplicativos relacionados – por exemplo, apps com dicas e modificações. Entre os maliciosos haviam diversos melhoradores de performance, otimizadores, e outras pseudo-utilidades.

O maior problema com o DressCode é que ele é difícil de detectar. O código do Trojan é muito pequeno comparado com o de seu programa carregador. Talvez seja por isso que muitos dos infectados passaram no processo de aprovação do Google Play.

O que o DressCode faz?

Em geral, o objetivo do DressCode é estabelecer conexão com um servidor de comando e controle, que envia comandos ao Trojan, deixando-o inativo e tornando sua detecção naquele momento impossível. Quando o criminoso decide usar o dispositivo infectado, pode despertar o Trojan, tornando o smartphone ou tablet em um servidor proxy, e usá-lo para redirecionar o tráfego da Internet.

Como os cibercriminosos lucram com isso?

Primeiro, os dispositivos infectados podem ser usados como parte de uma botnet como caminho para certos endereços de IP. Esse método permite que criminosos gerem tráfego, clicks em banners e URLs pagos, além de organizar ataques DDoS contra sites alvo.

Segundo, se um dispositivo (digamos, um smartphone corporativo) pode acessar algumas redes locais, os autores poderiam obter acesso a toda essa rede por meio daquele único smartphone, colocando suas garras em dados sensíveis.

Esse é o caso no qual nosso conselho usual – baixe aplicativos das lojas oficiais – não é suficiente. É verdade que a Google Play tem uma taxa muito menor de aplicativos maliciosos comparados com outras lojas Android, mas 400 aplicativos infectados de uma vez não é pouca coisa. Além do mais, eles incluem módulos de grandes sucessos como Minecraft e “GTA 5”, baixados mais de 500.000 vezes.

Pode-se diminuir a lista de recomendações usuais para apenas duas coisas:

  • Tenha cuidado ao clicar em “Baixar”. Antes de instalar um aplicativo desconhecido, verifique as avaliações deixadas por usuários de maneira crítica, analise a lista de permissões com cuidado. Infelizmente, você não pode confiar nas reviews da Google Play, mas pelo menos alguma ideia elas podem dar a respeito da confiabilidade de um aplicativo;
  • Instale uma boa solução de segurança em seus aplicativos mobile.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Kaspersky blog e PSafe

Nova ameaça pode atingir PCs desconectados da Internet

esquemaO roubo de dados e de informações de computadores de uma forma geral se utiliza de trojans, malware e em vírus, que lentamente vão coletando todas a base valiosa de informação.

Se julgávamos que máquinas desconectadas da Internet estariam 100% seguras, esse mito caiu por terra ao ser descoberto um novo malware que consegue atacar esse tipo de PCs.

O USB Thief é provavelmente um dos trojans mais complexos descobertos até hoje, ao usar criptografia e auto-protecção para infectar as suas vítimas e para se esconder de quem o tenta detectar.

Foi criado para ser propagado com recurso a dispositivos USB e assim atingir máquinas que não estão acessíveis pela Internet que na grande maioria das vezes contam com informações mais sensíveis e confidenciais.

Esse agente utiliza formas muito interessantes para se esconder, ao usar aplicativos portáteis como o Firefox, NotePad++ e TrueCrypt para atingir as máquinas das novas vítimas.

Uma vez no sistema que pretende atacar, o USB Thief vasculha e coleta os dados que pretende roubar, buscando uma forma de retirar a informação de dentro destes sistemas.

Mas por serem isolados, o USB Thief por norma volta a passar a informação para fora através do mesmo pen drive que os colocou nestes sistemas. Este processo é repetido sempre que este dispositivo USB é conectado ao sistema.

O USB Thief é um malware composto por várias fases, com 3 executáveis presentes. A cada é responsável por administrar um componente, interligando todos entre si. Dois desses componentes contêm dois arquivos codificados e um dedicado ao processo de infecção. Este último tem também a seu cargo a identificação das informações a serem roubadas, onde as guardar e como as vai criptografar, para que nada seja detectado.

A forma como foi criado e os métodos de criptografia que usa tornam extremamente difícil analisar o USB Thief e é também difícil e complicado identificar o ponto de origem pois ao retirar o dispositivo USB do PC todos os rastros do USB Thief são eliminados da máquina.

A descoberta deste novo malware prova que cada vez menos há máquinas invulneráveis e que os atacantes conseguem criar versões únicas de malware para roubar dados dos usuários.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: pplware

Cavalo de troia bancário tem foco em ataque a brasileiros

malware_alertNos últimos três meses, a Unit 42, unidade de pesquisas de ciberameaças da Palo Alto Networks, tem acompanhando a evolução de um Trojan (cavalo de Tróia) bancário que está fazendo vítimas no Brasil e nos Estados Unidos.

Conhecido como Escelar, o malware apareceu em janeiro deste ano e, desde então, já computa cerca de 100 mil casos de tentativas de infecções. A Unit 42 reuniu mais de 600 variantes do malware até o momento.

Segundo a Palo Alto, o uso do malware é planejado de forma sofisticada e os cibercriminosos por trás dos ataques usam estratégias para espalhar o malware usando e-mails de phishing em português mirando atualmente clientes de sete bancos brasileiros: Banco do Brasil, Bradesco, Caixa, HSBC, Itau, Santander e Sicredi. Um número muito grande de e-mails foi aberto em janeiro de 2015 e mais continuam chegando desde então, com intervalos um pouco mais lentos.

O malware oferece ao agente vários recursos, incluindo a habilidade de colher credenciais de e-mail e manipular sessões de transações bancárias. Além disso, devido à forma como é arquitetado, ele pode facilmente se atualizar sozinho, suportado pela infraestrutura. A descoberta mais recente dos pesquisadores refere-se a um um servidor Microsoft SQL que, utilizado como base de ataque do Escelar, continha registros de 1660 infecções, todas ativadas em um período de dois dias.

Ataque sofisticado

O Escelar é capaz de controlar transações bancárias realizadas no Internet Explorer e coletar credenciais de e-mail que, por sua vez, são utilizadas para espalhar ainda mais o malware. Esses e-mails são frequentemente rotulados com data atual e contém uma mensagem genérica para convencer o usuário a executar o anexo.

Um aspecto agressivo do malware é que, por funcionar apenas via Internet Explorer, se a vítima tentar abrir um dos sites bancários alvejados em um navegador diferente do Internet Explorer, o malware vai gerar um erro falso, fechar o navegador atual e voltar a abrir o link no Internet Explorer.

Se ativado por um usuário incauto, o Escelar passa por três fases de ativação, sendo que a última é a instalação definitiva do malware no computador. A partir daí, o Escelar monitora a atividade web da vítima e, quando ela tenta acessar o site de um banco brasileiro, entra em ação.

O agente malicioso pode enviar um número de diferentes comandos que permitem manipular a sessão no site do banco da vítima e realizar transações fraudulentas, entre outras funções. Eles também permitem que os agentes maliciosos consigam as chaves de autenticação do usuário apresentando uma imagem falsa na tela.

Usuários no Brasil e nos Estados Unidos que utilizam serviços bancários brasileiros devem estar cientes desta ameaça, tomar as precauções necessárias contra ela e garantir que e-mails suspeitos não sejam abertos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte; IDG Now!