Venda de ferramentas na rede para criação de RAR malware

O WinRAR, uma unanimidade no Brasil, tem algumas vulnerabilidades críticas que foram encontradas nos últimos meses — entre elas, a possibilidade de instalar malwares, ransomwares e backdoors em computadores. Agora, segundo a empresa de segurança ESET, cibercriminosos estão vendendo ferramentas que permitem a criação de arquivos maliciosos em formato “.rar” para enganar a vítima.

A investigação mostra que os cibercriminosos vendem a ferramenta — chamadas de ‘builders’ — em diversos fóruns de hacking. O tipo de venda também mostra uma capacidade de ‘negócio’ para os hackers mal-intencionados: uma builder custa US$ 199, porém, é possível comprar licenças de uso por US$ 99 mensais.

Para se proteger destes golpes, é preciso atualizar o WinRAR presente em seu computador para a versão 5.70

“Esse builder só precisa que o usuário escolha o arquivo com o executável malicioso e o nome para o arquivo .rar que conterá o malware. Uma vez extraído o conteúdo do arquivo compactado com o WinRAR, o código malicioso será dropeado e executado na pasta principal assim que o computador seja reiniciado”, explica a ESET.

Mesmo assim, a empresa afirma que ainda aparecem cibercriminosos oferecendo os builders de maneira gratuita, o que é um perigo. “Em outro fórum de hacking, um usuário publicou recentemente que, ao saber que alguns membros começaram a criar “builders” que se aproveitam da vulnerabilidade CVE-2018-20250 e os comercializam para pessoas que não sabem como desenvolver um exploit para essa vulnerabilidade por conta própria, decidiu criar um site que permite que um arquivo RAR malicioso seja gerado gratuitamente para evitar que novatos, conhecidos em inglês como “script kiddies”, obtenham dinheiro para criar uma ferramenta que permita explorar a vulnerabilidade que afeta as versões do WinRAR. anteriores a 5.70”.

Para se proteger destes golpes, é preciso atualizar o WinRAR presente em seu computador para a versão 5.70. Mesmo assim, independentemente de atualização ao não, simplesmente evite abrir arquivos recebidos que não foram solicitados — a curiosidade é um dos maiores vetores de golpes na internet, vide a relação phishing x Brasil, praticamente um caso de amor.

Fonte: Tecmundo

Fóruns na dark web negociam dados de usuários

security_riskFuncionários que possuem acesso privilegiado a informações confidenciais estão encontrando compradores para essas informações no submundo da web, segundo um relatório elaborado pelas empresas de segurança RedOwl e IntSights.

Atraídos pela promessa de dinheiro fácil e pela facilidade de execução do golpe, funcionários de bancos e instituições financeiras são recrutados por donos de sites na Dark Web para disponibilizarem dados sensíveis, tais como informações financeiras e meios de acesso a servidores de bancos ou outros ambientes corporativos.

A Dark Web, ou “web obscura”, refere-se a sites que precisam de softwares e autorizações específicas para serem acessados. Seus endereços, ou URLs, normalmente não se encontram em sites de busca e o método de acesso costuma ter proteções para garantir o anonimato dos usuários.

Segundo o relatório, há páginas nesses espaços que se dedicam à monetização da informação privilegiada, mediando o contato entre comprador e vendedor. Os vendedores são funcionários de instituições financeiras ou grandes corporações, e nesses fóruns são chamados de “Insiders”. Criadores de vírus fornecem as ferramentas necessárias para realizar ataques mais sofisticados, sem que seja necessário muito conhecimento do insider. A adesão a esses sites só é permitida àqueles que têm conhecimentos valiosos para oferecer.

O fórum Kick Ass Marketplace, por exemplo, cobra uma taxa de adesão de US$ 820 e o seu proprietário afirma que existem membros do clube que ganham mais de US$ 5.000 por mês negociando dados vazados, tais como números de cartões de crédito roubados. A atividade dos insiders neste fórum movimenta aproximadamente US$ 35.800 por semana.

As transações financeiras normalmente ocorrem por meio de moedas virtuais, como o Bitcoin.

Ainda segundo o relatório, recentemente surgiram sites voltados exclusivamente a informações sensíveis para manipulação do mercado de ações e outros dedicados à venda de acesso a sistemas corporativos e seus recursos,. Outros serviços comercializados incluem acesso ao mercado de câmbio, venda de commodities e até técnicas do tipo “saber antes dos outros o que vai acontecer”.

O fórum “The Stock Insiders”, que é dedicado somente ao comércio de “Insiders”, exibe anúncios solicitando funcionários de empresas conforme o perfil desejado. Em um anúncio, o solicitante buscava por um operador de caixa que trabalhasse em lojas com estoques de iPhones; em outro anúncio, um criminoso solicitava algum funcionário de banco que tivesse acesso ao computador do banco operando em mais alto nível para poder implantar um vírus na rede interna da instituição.

Em outras palavras, o invasor suborna um funcionário do banco para burlar todos mecanismos técnicos de segurança utilizados pela instituição.

A RedOwl acredita que as equipes de gerenciamento de risco precisam criar ativamente programas que lidem com ameaças internas — ou seja, dos próprios funcionários — e não apenas se concentrar em ameaças externas. Segundo a empresa, embora 80% das iniciativas de segurança se concentrem na defesa do perímetro — acessos de fora para dentro –, menos de metade das organizações investem na proteção contra ameaças internas.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Linha Defensiva

Cibercriminosos usam o Telegram para venda de contas roubadas da Netflix

TelegramCriminosos utilizam o aplicativo Telegram, concorrente do WhatsApp, para vender dados pessoais roubados, como credenciais da Netflix. Segundo a empresa de segurança digital Trend Micro, os integrantes de um dos grupos, que tem 5 mil membros, também compartilharam uma versão falsificada de um site de uma loja brasileira e anúncios publicitários que levam a páginas falsas.

O Telegram oferece a criação de grupos maiores do que os do WhatsApp e tem mensagens com criptografia, o que dificulta a interceptação de conversas por parte de autoridades policiais, ao mesmo tempo que garante a segurança dos dados pessoais dos usuários. Ele também chegou a ser usado pelo grupo jihadista Estado Islâmico para coordenar os atentados em Paris, no ano passado.

Para a Trend Micro, a gradual substituição do WhatsApp para o Telegram aconteceu devido à facilidade de acesso do aplicativo em múltiplos dispositivos, às conversas secretas e à possibilidade de compartilhar arquivos com tamanho máximo de 1,5 GB. Fora isso, há também um recurso de canais, uma seção do aplicativo em que os usuários podem esconder seus números de telefone.

“O fato dos servidores do Telegram estarem localizados na Rússia, é outro desafio para a investigação policial possível ação judicial”, informa a empresa.

O perfil dos cibercriminosos

Durante a pesquisa, foram encontrados dois grupos com 5 mil usuários em cada um. A idade média dos participantes é abaixo dos 20 anos e os conhecimentos para promover roubos e outras atividades virtuais maliciosas foram obtidos por meio de fóruns online voltados ao cibercrime.

“O ganho monetário rápido e a oportunidade de adquirir habilidades com novas ferramentas, são provavelmente as principais razões pelas quais cada vez mais pessoas se envolvem em atividades cibercriminosas”, informou a Trend Micro.

Credenciais da Netflix e de outros sites podem ser roubadas com uma técnica maliciosa chamada phishing, que consiste em levar a vítima a uma página ou e-mail falsos para que ela informe seus dados de cadastro, que vão direto para o hacker mal-intencionado.

Quem teve a conta roubada na Netflix pode cancelar o acesso redefinindo a senha e solicitando que a nova senha seja exigida mesmo para os aparelhos já conectados.

Fonte: Exame

32 milhões de contas do Twitter são colocadas à venda na Deep Web

twitter_hackersPoucos dias depois de Mark Zuckerberg e Katy Perry – com mais de 89 milhões de seguidores – terem sido invadidos no Twitter, a rede social pode ter que lidar com um novo vazamento massivo de dados dos usuários. Isso porque um hacker anda oferecendo na Deep Web um pacote gigantesco de contas roubadas da plataforma. O criminoso digital afirma ter em sua posse logins e senhas equivalentes a 32 milhões de perfis do site, pedindo cerca de 10 bitcoins por todo o material – um valor que pode chegar a R$ 19,6 mil.

O russo, conhecido no submundo da internet pelo apelido de Tessa88, aparentemente também é o responsável pela divulgação recente de invasões aos bancos de dados de MySpace, Tumblr e LinkedIn. O LeakedSource, portal especializado nesses tipos de ações, conferiu o material – distribuído em um arquivo de texto simples – e confirmou sua autenticidade, comentando que a maior parte dos afetados são internautas russos. Eles também compilaram algumas das senhas mais frequentes utilizadas pelos hackeados; confira:

1) 123456, usada 120.417 vezes
2) 123456789, usada 32.775 vezes
3) qwerty, usada 22.770 vezes
4) password, usada 17.471 vezes
5) 1234567, usada 14.401 vezes
6) 1234567890, usada 13.799 vezes
7) 12345678, usada 13.380 vezes
8) 123321, usada 13.161 vezes
9) 111111, usada 12.138 vezes
10) 12345, usada 11.239 vezes

Além desse “Top 10”, a lista mostra uma infinidade de sequências e combinações simples de números ou letras nesses mesmos moldes, indicando a falta de comprometimento das pessoas com a segurança de seus dados na web. Se o internauta usar esse mesmo tipo de password para outros serviços online, por exemplo, diversas das suas atividades e de suas informações reais podem ficar comprometidas, já que os hackers costumam testar esses logins e essas senhas em emails, contas de banco e outros sites.

Não houve invasão

Por conta desses e de outros fatores, a equipe do LeakedSource não acredita que esse material tenha sido obtido em alguma invasão aos servidores do Twitter ou devido a brechas no sistema da companhia, mas sim através da tradicional infecção por malwares. Assim, os milhões de perfis comprometidos fariam parte de um montante muito maior de dados não criptografados transmitidos diretamente ao hacker – ou ao seu grupo – através de trojans instalados nas máquinas de usuários comuns.

O próprio comunicado oficial da rede social aponta nessa direção, já que a companhia afirma que não houve nenhum tipo de brecha em seu banco de dados. Apesar disso, eles não devem deixar de lado o apoio aos consumidores, uma vez que disseram estar “trabalhando para manter as contas seguras ao cruzar os dados internos com as passwords compartilhadas recentemente”. Seja como for, pode ser uma boa ideia alterar sua senha do Twitter – e de outras redes.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

AdBlock é vendido para comprador anônimo

adblock_anuncioA empresa responsável pelo AdBlock, extensão conhecida por bloquear anúncios em sites e tornar a navegação mais “limpa”, foi vendida nesta semana a um comprador desconhecido.

A novidade foi divulgada em um comunicado na última quinta-feira,1, que anuncia a adição de um recurso para o sistema que permite que empresas paguem para terem seus anúncios, mesmo quando a extensão estiver em ação.

Questionada pelo site TheNextWeb, a companhia se recusou e afirmou que o comprador prefere permanecer anônimo. A empresa revelou ainda que Michael Gundlach, criador do AdBlock, não terá qualquer relação com a extensão.

Opinião do seu micro seguro: recomendo a todos os usuários do AdBlock que pensem seriamente na mudança por outro bloqueador de anúncios. Já testei e recomendo o AdGuard e uBlock Origin, sendo esse último o meu preferido.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Olhar Digital e The Next Web

Site falso do Ponto Frio oferece iPhone 6 por apenas R$ 1 mil

anuncio_falsoSe você está pensando em comprar um iPhone 6, é bom tomar bastante cuidado com um site falso que está enganando alguns usuários aqui no Brasil. Imitando parcialmente a interface da loja Ponto Frio, a página oferece o último smartphone da Apple em sua versão de 16 GB por apenas R$ 1 mil.

A farsa fica evidente não apenas no preço, mas até na URL da página. O endereço mostrado, obviamente, não é o do Ponto Frio, e até a interface não é completamente exibida nesse site falso. Porém, os criminosos tomaram o cuidado de criar alguns links para a loja original, como aqueles que encontramos nas categorias de produtos da barra superior.

Se por acaso você der de cara com o site da imagem acima, fique esperto: a página é falsa e você provavelmente não vai conseguir comprar um iPhone por R$ 1 mil.

Agradecemos ao Davi e ao Marcelo Miranda, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Novo malware com foco em lojas online é comercializado na rede

LusyPOSChamada de LusyPOS, a ameaça virtual utiliza códigos e outras características de outros malware conhecidos, como Dexter e Chewbacca.

Um novo tipo de malware point-of-sale, parecido com o que atingiu a rede Target, está sendo vendido em mercados underground por 2 mil dólares.

Chamado de LusyPOS, o malware foi encontrado no VirusTotal, um site onde as pessoas podem submeter amostras de malware para ser se um ou mais aplicativos de segurança conseguem detectá-lo.

A ameaça também anunciada em um site underground de cartões, em que são comprados e vendidos dados de cartões de crédito roubados, afirmou Brian Minick, vice-presidente de segurança avançada para negócios da empresa de segurança CBTS.

“É o primeiro que vemos desse tipo. Parece bastante novo”, afirma Minick.

Varejistas dos EUA foram atacados por malware que escaneam a memória volátil dos computadores conectados a sistemas de pontos de vendas, que lidam com pagamentos de cartões de crédito. A Home Depot afirma ter perdido dados de 56 milhões de cartões para um ataque desse tipo em um período de seis meses neste ano, em um dos maiores vazamentos da história.

Nick Hoffman, um engenheiro da CBTS, escreveu em um post que o LusyPOS compartilha algumas das mesmas características de outras duas plataformas conhecidas de malware POS: Dexter e Chewbacca.

Em um relatório publicado em janeiro deste ano, a empresa de segurança RSA disse que o Chewbacca era um malware simples, mas que infectou os sistemas de pelo menos 35 lojas.

Minick disse que não é incomum que os criadores de malware emprestarem códigos de outros programas para criar uma nova aplicação maliciosa para lucrar.

“Penso que isso mostra a reutilização de códigos que estavam por aí. Então esses desenvolvedores agora estão pegando o melhor do que foi disponibilizado de forma pública e reutilizando para criar uma nova ferramenta…para tentar ganhar um dinheiro fácil”, explicou Minick.

De acordo com o especialista, o malware LucyPOS compartilha um pouco do mesmo código fonte do Dexter e outras características do Chewbacca.

Fonte: IDG Now!