Worm ataca firmware de Macs e preocupa

Apple_Mac“Não se preocupe”, disse um colega seu quando você estava pesquisando para comprar um novo computador. “Os Macs são virtualmente à prova de vírus.” Seu amigo estava errado.

Uma equipe de hackers white hat anunciou o desenvolvimento do primeiro worm que é perigoso o suficiente para vencer a segurança do sistema da Apple. O chamado ataque Thunderstrike 2 pode ser feito através de um email de phishing ou um dispositivo periférico como um stick USB ou um adaptador Ethernet.

O worm tem como alvo a option ROM da máquina, ou então passa a viver na option ROM de periféricos para que até mesmo computadores não conectados à internet possam ser infectados. O worm não pode ser removido do firmware do Mac a não ser que você abra a máquina e faça o re-flash do chip manualmente . Ah sim: o worm não é detectado por nenhum software de segurança existente, então boa sorte.

“Vamos dizer que você está rodando uma centrífuga de refinamento de urânio e ela não está conectada a nenhuma rede, mas pessoas que vão até ela com um laptop compartilham adaptadores Ethernet e SSDs externos para transferir dados,” explicou Xeno Kovah, um dos consultores de segurança de firmware que desenvolveu o worm à Wired. “Esses SSDs têm option ROMs que podem carregar esse tipo de infecção. Talvez por ser um ambiente seguro eles não usem Wi-Fi, e sim adaptadores Ethernet. Esses adaptadores também contam com option ROMs que podem carregar esses códigos maliciosos.”

Kovah comparou o Thunderstrike 2 ao infame worm Stuxnet que infectou usinas de enriquecimento de urânio no Irã há alguns anos.

Mas não se desespere ainda. O Thunderstrike 2 aparentemente recebeu esse nome como uma homenagem ao vírus Thunderstrike original, que foi mostrado no Chaos Computer Congress na Alemanha no começo do ano. E, assim como seu sucessor espiritual, o Thunderstrike tinha como alvo o firmware do Mac e não podia ser detectado. No entanto, o vírus original exige um acesso físico à máquina via periféricos Thunderbolt, enquanto o Thunderstrike pode ser transmitido remotamente. A Apple reconheceu a existência do Thunderstrike há mais de seis meses e corrigiu suas vulnerabilidades, então há esperança de que um patch seja liberado para acabar com as falhas que levam ao Thunderstrike 2.

Dito isso, a parte realmente assustadora não é imaginar que seu computador pode ser vítima de um worm indetectável chamado Thunderstrike 2. Essa ameaça já é conhecida e provavelmente será consertada. A parte preocupante é imaginar quais outros tipos de worms estão sendo desenvolvidos pelo mundo – o Stuxnet precisava de apenas do aperto de uma tecla para iniciar o fim do mundo. Sabemos que a NSA trabalha duro em hacks de firmware também, e que a China tem um exército de hackers interessados nisso — o que eles serão capazes de fazer é o que realmente é preocupante.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Gizmodo  e Wired

Worms se multiplicam no mundo corporativo

wormAs tentativas de ataques a redes corporativas aumentaram 339% no primeiro trimestre de 2015, se comparado com o mesmo período de 2014. Em números absolutos, foram 259.421 ameaças entre janeiro e março de 2015 contra 76.533 no mesmo período do ano passado, revela levantamento feito pela Arcon, empresa especializada em segurança de TI.

Entre as principais ameaças estão as tentativas de entrada não autorizada a um computador ou rede (39%) e os Worms (48%) – programa semelhante a um vírus com a diferença de ser auto-replicante, ou seja, ele cria cópias funcionais de si mesmo e infecta outros computadores. Essa infecção pode ocorrer por meio de conexões de redes locais, Internet ou anexos de e-mails.

“Se no início de 2014, a maior preocupação das equipes de segurança da informação era manter as empresas livres de vírus e outros tipos de malwares (códigos maliciosos), o cenário em 2015 é muito mais preocupante e requer ainda mais atenção para que as tentativas de ataques não obtenham sucesso e se tornem uma invasão efetiva, resultando em violações com danos, como a perda de credibilidade ou financeira”, diz Wander Menezes, especialista em Segurança da Informação do Arcon Labs. Para o especialista, a espionagem virtual, os ataques internos, vírus e phishing são os tipos de ameaças que demandam grande atenção este ano.

Os números ainda revelam que a onda mundial de aumento de ataques também tem afetado o Brasil. De acordo com Menezes, apesar da diminuição de incidentes de segurança conhecidos como health (relacionados à disponibilidade e performance) e de malware, as tentativas de ataques que antes representavam 19% dos incidentes, chegaram a 71% nos três primeiros meses do ano. “Somente em janeiro de 2015 foram registradas mais tentativas de ataques do que durante todo o primeiro trimestre de 2014”, lembra.

De acordo com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), o Brasil teve o triplo de ataques à segurança de redes em 2014. O Centro recebeu mais de um milhão de notificações de incidentes envolvendo computadores conectados à Internet, o que representa 197% a mais do que em 2013. Como destaque estão os ataques de negação de serviço (DoS – Denial of Service), que totalizaram 223.935 notificações, um número 217 vezes maior que o registrado em 2013.

“Enquanto o mundo corporativo investe altos valores em hardware e software, acreditando que a atitude seja suficiente para assegurar as informações, na verdade é preciso entender que este é um passo necessário à mitigação do risco”, alerta Menezes. O especialista explica que a segurança se faz em camadas e que as tecnologias são fundamentais como primeira linha de defesa.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

Novo worm para Android envia SMS para toda lista de contatos

Apesar de o Android permitir a instalação de apps que não provém da Google Play, é completamente desaconselhável instalar aplicativos a partir de outras lojas ou mesmo via arquivos APK compartilhados de qualquer forma. A mais nova ameaça que pode atingir você fora da loja da Google é o “Selfmite.b”, um worm para Android que força seu smartphone a mandar SMS loucamente para toda a sua lista de contatos.

Esse software é uma evolução do “Selfmite.a”, que forçava smartphones a mandarem mensagens de texto para os primeiros 20 contatos da agenda de pessoas com aparelhos infectados. A brecha que ele explorava foi corrigida, mas agora uma nova ameaça do tipo está se alastrando rapidamente por vários países no mundo inteiro.

Insistência

O Selfmite.b não para de mandar SMS para seus contatos até que você consiga removê-lo do smartphone. Para quem não tem planos de mensagens de texto ilimitadas, a conta de celular pode ficar absurdamente alta e seus contatos ficarão irritados com a insistência das suas mensagens.

Esses torpedos, aliás, sempre carregam um link encurtado oferecendo aos destinatários a instalação de uma loja de apps de terceiros, com a Mobogenie. Durante a instalação, certamente o worm acha um jeito de se embrenhar no seu celular e, depois disso, começa a enviar SMS sem limites para todo mundo.

De acordo com o AdaptiveMobile, já foi registrada a presença do worm em aparelhos de 16 países: Canadá, China, Costa Rica, Gana, EUA, Índia, Iraque, Jamaica, México, Marrocos, Porto Rico, Rússia, Sudão, Síria, Venezuela e Vietnã. Tudo isso em poucos dias, o que indica que, em breve, ele poderá estar circulando pelo Brasil e Portugal também. Portanto, fiquem de olho em links suspeitos e só instale apps a partir da Google Play.

Agradeço ao Davi, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Symantec descobre novo worm para Linux

linuxUm novo worm para Linux foi descoberto nos últimos dias pela empresa de segurança Symantec. A ameaça pode apresentar variantes para diferentes microarquiteturas de processadores, e tem como alvo roteadores, set-top boxes, câmeras de segurança IP e outros aparelhos que possam ser baseados no sistema operacional.

Ainda não foram registrados ataques do Linux.Darlloz – como foi batizado o worm – a esses dispositivos, mas a Symantec afirma que o malware tira proveito de uma vulnerabilidade PHP para se propagar. Ela foi corrigida em maio de 2012, e por isso a ameaça não deve afetar dispositivos devidamente atualizados.

Como explica Kaoru Hayashi, especialista que divulgou a descoberta do worm, “assim que é executada, a ameaça gera endereços IP aleatoriamente, acessa um caminho específico na máquina com IDs e senhas conhecidos e envia solicitações POST de HTTP, que exploram a brecha”. Dessa forma, caso o alvo esteja desprotegido, a ameaça “se instala” e repete o processo, infectando outros.

A grande preocupação do especialista está na falta de informação. Muitos dispositivos são baseados em Linux, mas não aparentam. Assim, os usuários “comuns” podem nem saber o que está acontecendo. Outro problema é que não são todas as empresas que disponibilizam atualizações de SO para seus equipamentos – que acabam nem aguentando novas versões de Linux –, o que dificulta a vida mesmo dos mais preocupados com a segurança.

Para ajudar os usuários a se prevenir, a Symantec recomenda que todos os aparelhos conectados à rede sejam verificados e, se possível, devidamente atualizados. É importante também mantê-los protegidos com senhas fortes e bloquear as solicitações POST – elas pedem que um servidor online aceite os dados, como o Darlloz, “anexados” em uma mensagem. E em último caso, se os aparelhos não forem atualizáveis, é válido até mesmo trocá-los por novos.

Agradeço ao Lucas, amigo e colaborador do seu micro seguro, pela referência a essa notícia.

Fontes: Info e Symantec

A volta dos Worms Autorun

Worm

Nos últimos meses temos observado o ressurgimento de worms criados para se disseminarem em redes locais e unidades removíveis (como pen drives), porém numa roupagem diferente do que costumávamos ver até então. Esses worms são escritos em Java, JavaScript ou VBScript e se aproveitam da presença do Java Runtime ou dos interpretadores de linguagem script instalados nos sistemas operacionais para se disseminar com certa facilidade numa rede infectada.

Os worms possuem forte ofuscação de código para dificultar a detecção de antivírus, funcionalidades básicas de backdoor e método de distribuição de auto cópia para unidades removíveis e drives de rede. Ao acessarem o recurso compartilhado, os computadores numa rede são infectados e o worm é gravado no registro, iniciando suas funcionalidades de ataque.

De fato worms autorun não são novos. De acordo com a KSN (Kaspersky Security Network – tecnologia de proteção híbrida) sua detecção se manteve estável nos últimos meses, porém desde março de 2013 temos visto um aumento considerável de novas variantes do worm. Os novos Worm autorun são polimórficos, ou seja, modificam seu conteúdo a cada infecção, dificultando a detecção e o bloqueio de sua disseminação.

Novas detecções dos Worm.JS.AutoRun e Worm.Java.AutoRun , incluindo detecções heurísticas entre Agosto de 2011 a Maio de 2013:

graf1

Para se disseminar ele usa ainda servidores FTP, catálogos de acesso público e CDs/DVDs gravados nas máquinas infectadas. O worm se multiplica copiando-se para o diretório “Inicializar” e assim verificando o ambiente em que está instalado. Se o computador infectado é real, ou seja, não se trata de uma máquina virtual, o worm começa procurar por softwares de proteção instalados.

Por meio de uma conexão a C&C (central de Controle e Comando), o worm recebe comandos dos criminosos para, basicamente, coletar informações do sistema infectado, versão dos produtos de segurança instalados e dados do usuário.

A detecção do worm tem sido mais prevalente na Ásia, especialmente na Indonésia e Vietnã. Na América Latina foram registradas infecções em empresas no Brasil e na Guatemala. As detecções do worm tem ocorrido em quantidades inferiores se comparadas com outros worm, porém temos observado que sua detecção tem crescido rapidamente.

Número de usuários protegidos das infecções Worm.Java.Autorun nos meses de Abril e Maio de 2013:

graf2

De acordo com dados obtidos pela KSN, a infecção é mais comum em países onde o Windows XP é o sistema operacional mais popular, especialmente os que possuem o recurso Autorun ainda ativo. Nas novas versões do Windows o recurso é desativado por padrão, o que diminui bastante o risco de infecção. Manter os sistemas atualizados é o primeiro passo para proteção, instalando pelo menos as atualizações críticas, como a que desativa o Autorun. Sistemas não originais, onde geralmente as atualizações de segurança são desativadas são os que correm mais riscos.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Canaltech

Worm para Skype que entende Português

Malware-Skype

Os pesquisadores da Kaspersky Lab identificaram novos modelos de worms, que são programas replicantes muito parecidos com vírus, para Skype que visam atacar os computadores brasileiros e que possuem novas características, incluindo a habilidade de ‘falar’ português e de controlar os computadores infectados à distância. O Skype se tornou o principal alvo dos cibercriminosos após o fim do MSN Messenger.

Fabio Assolini, analista sênior de malware da Kaspersky Lab Brasil, afirmou em nota oficial que o novo modelo de worm está disseminando mensagens com um português não muito apurado e utilizando muitos recursos de engenharia social para se promover. “O tema da mensagem pode variar, mas sempre irá se referir a uma suposta foto. Para tornar as mensagens menos suspeitas, os links poderão ter no final o ID da conta do usuário no Skype, seguido de um emoticon. Outras mensagens podem ainda exibir no final do link uma falsa extensão de arquivo de imagem (jpeg, bmp, gif etc), com um texto provavelmente traduzido em serviços automatizados, o que prova que sua origem não é brasileira”, explicou.

Para determinar em qual idioma a mensagem maliciosa deve ser escrita, o worm é capaz de identificar em qual região do globo o usuário está localizado e, com base em uma lista de países que inclui o Brasil, será definida em qual língua a mensagem será enviada. Os links, por sua vez, redirecionam os usuários para sites gratuitos de hospedagem como 4shared, Hotfile e outros sites legítimos que foram comprometidos para abrigar o instalador do worm, que sempre aparece como um arquivo no formato .zip.

Assim que o malware for instalado na máquina da vítima, ele solicita que o usuário forneça acesso à sua conta no Skype e, depois disso, o computador passa a ser controlado remotamente por cibercriminosos que irão utilizar o sistema e instalar bots que farão o envio de spams, realizar ataques de navegação ao sistema entre outras práticas.

Como o worm tem a capacidade de alterar o idioma para cada região, os pesquisadores da Kaspersky Lab afirmam que o seu alcance tem sido global e que seus principais alvos são Estados Unidos, Rússia e outros países da Europa. O Brasil encontra-se empatado no terceiro lugar entre os mais atingidos pelo malware com Polônia e Ucrânia, enquanto a Rússia e a Alemanha encontram-se, respectivamente, na primeira e segunda posições do ranking.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do Seu micro seguro, pela referência a esta notícia.

Fonte: Canaltech

Como de proteger do malware que ataca via Skype

Versão latina do malware que se espalhou pela Europa foi detectada pelo laboratório da Kaspersky

Analistas da Kaspersky Lab descobriram uma versão latina do worm Dorkbot, que infectou milhares de usuários do Skype na Europa nos últimos dias.

De acordo com Dmitry Bestuzhev, diretor do grupo de pesquisa e análise na região, o malware começou a se espalhar no último sábado, 6, através do serviço de mensagem instantânea (IM) e, logo nas primeiras duas horas, recebeu cerca de 500 mil cliques .

A variante também se espalha por meio da mensagem “¿es ésta tu foto de perfil nuevo?” (é esta sua nova foto do perfil?), que pode aparece em inglês, espanhol, português ou leto , dependendo da localidade do internauta.

Uma vez que o usuário clica no link, ele é redirecionado para fazer o download do arquivo malicioso e, caso seja infectado, a mensagem será espalhada para os contatos do Skype, MSN e para todas as redes sociais e IM que tiverem seus logins e senhas salvos na máquina infectada automaticamente. Além disso, o trojan também conta com a função para se disseminar por meio de dispositivos USB.

Do mesmo modo, uma vez instalado no computador, o malware irá roubar dados pessoais e financeiros do usuário e ele passará a fazer parte de uma rede zumbi (botnet), podendo ter arquivos sequestrados pelo cibercriminoso, que por sua vez, pedirá até US$ 200,00 de resgate no prazo de 24h a 48h para devolver a informação, foto ou vídeo.

Fabio Assolini, analista de malware da Kaspersky Lab no Brasil, afirmou que é questão de tempo para aparecer uma variante brasileira do worm Dorkbot. “Nossos cibercriminosos utilizam muito a engenharia social visando ganhos financeiros. Esse é o típico ataque que vemos por aqui regularmente”, afirma.

Kaspersky detecta essa ameaça como Trojan.Win32.Bublik.jdb e para evitar ser vítima desse golpe, os usuários podem seguir as seguintes recomendações:

– Evite clicar em links suspeitos e arquivos enviados por e-mail ou mensagem instantânea

– Atualizar o antivírus para ter a máxima segurança

– Instalar um bom antivírus em todos os dispositivos

“Me arrisco a dizer que a maioria das pessoas que clicaram no link malicioso foram infectadas porque o malware, de acordo com o Virus Total, foi inicialmente detectado por apenas 2 dos 44 antivírus. Atualmente, 27 dos 43 deles já bloqueiam o golpe e o total de acesso já ultrapassou os 1 milhão”, afirma Bestuzhev.

Agradeço ao Lucas, amigo e colaborador do Seu micro seguro, pela referência a esta notícia.

Fonte: Olhar Digital