Google Code aloja malware

por David Sopas em 21 de Maio de 2013 em Notícias com 0 comentários
Google Code aloja malware - Foto cortesia da BlueCoat

Recentemente foi noticia na BlueCoat que o Google Code estava alojar malware numa das suas contas. De fato parece lamentável que os atuais proprietários do VirusTotal não utilizem o próprio API de um serviço interno para analisar ficheiros enviados por utilizadores. No exemplo demonstrado pela BlueCoat, ambos os ficheiros apresentavam uma taxa de deteção de 15/46 e 26/46.

Na minha opinião parece-me relativamente fácil bloquear o upload de malware ou outro conteúdo malicioso por parte do Google. Para tal, basta validar o upload do ficheiro no VirusTotal ou noutro sistema de análise de ficheiros. Pelo menos os malware mais comuns ficavam imediatamente barrados. Posteriormente, poderia haver algum tipo de moderação ou análise heurística desses mesmos ficheiros.

O Google Docs (agora Drive) também já teve relacionado com mesmo problema, quando utilizadores maliciosos utilizam o serviço para alojar PHP shells para RFIs (Remote File Inclusion). Algo que foi aparentemente corrigido.

Este tipo de alojamento no Google aumenta a suposta credibilidade do ficheiro e muitos utilizadores poderão ser afetados.

Estejam atentos e verifiquem sempre os ficheiros que descarregam, mesmo quando alojados em serviços do Google.

Phishing – Prezado Cliente Caixa Geral de Depositos

por David Sopas em 18 de Maio de 2013 em Artigos com 1 Comentário
Phishing - Prezado Cliente Caixa Geral de Depositos

Gostava de alertar que anda a circular um email de phishing que utiliza o nome da Caixa Geral de Depósitos para propagar-se.

Assunto: Prezado Cliente Caixa Geral de Depositos, Aviso Importante
Remetente: jogobom@www1.fitserver.info

O email fraudulento alerta o utilizador que existe um problema no registo do cartão matriz e deverá clicar num botão para corrigir essa situação. A imagem apresentada no email está com um link para um blogue WordPress alojado no Brasil que poderá ter sido comprometido (algum plugin desatualizado ou algo semelhante).

Nessa página foi efetuada uma cópia do site original da CGD para que desta forma os utilizadores fossem enganados a colocar os dados confidenciais.

Esta página de phishing não contém até à data deste artigo malware (apenas um alerta da Sophos por página suspeita – resultado do VirusTotal), no entanto convém referir que os utilizadores maliciosos autores desta página, realizaram código especifico para diversas versões de browser, desativaram alguns links da CGD, programaram um keylogger no cartão matriz e tudo com mensagens em português (no novo acordo ortográfico).

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

A CGD já alertou situações semelhantes no inicio do mês e este parece ser mais uma variante deste ataques.
Alertei o responsável pela página que está alojar o phishing. Até à data não recebi feedback sobre este alerta de segurança.

Site Empregar do Governo da Madeira comprometido

por David Sopas em 24 de Abril de 2013 em Artigos com 1 Comentário
Site Empregar do Governo da Madeira comprometido

Este site governamental – http://empregar.ire.gov.pt aloja, segundo a informação presente no site, cerca 9090 currículos que podem ter sido adquiridos por utilizadores maliciosos. Esta informação pode ser utilizada em roubos de identidade ou para outros esquemas relacionados com falsas ofertas de emprego.

Não sabendo qual foi a porta de entrada posso especular, baseado nos últimos ataques deste defacer de origem turca, que foi provavelmente uma falha no servidor web ou SQL Injection.

Em janeiro deste ano, este grupo esteve envolvido em ataques massivos a sites governamentais de Israel. Foram ataques politico-sociais pro-palestina.

O defacer 3xroot criou e deixou no site empregar.ire.gov.pt a seguinte mensagem num ficheiro texto (3xroot.txt):

0wn3r by 3xroot T.C.A Group

O site está alojado na PT Prime, corre o Windows Server 2003 com o Apache 2.2.2 e PHP 5.1.4. Informação esta disponibilizada pela toolbar do Netcraft.

Espelho do deface pode ser consultado aqui.

Tentei contatar os responsáveis pelo site via email mas sem sucesso.

Um novo esquema fraudulento de oferta de emprego

por David Sopas em 23 de Abril de 2013 em Artigos com 2 Comentários
Um novo esquema fraudulento de oferta de emprego

Ainda a receber ataques DDoS em relação ao artigo venho adicionar mais um esquema do género.
Tenho recebido imensos emails com este esquema fraudulento. Aparentemente os nomes e emails são gerados automaticamente e criados no outlook.com. Até à data deste artigo obtive os seguintes emails de remetente:

  • Arispe Nicolette (NioxcoleqittyreArispe@outlook.com)
  • Arellano Terisa (arellanotozeigriebsa@outlook.com)
  • Dearborn Lynette <LgeyudnetteDearbeqorn@outlook.com>

O assunto geralmente é o nome da pessoa (por exemplo: Santos António, Rita, Luís).

No corpo da mensagem tem o seguinte texto:

Boa tarde!
Nesta carta gostaria de apresentar a nossa empresa e o respetivo cargo que necessitamos.
Somos uma empresa de nova geração, forte, que desenvolve as suas fronteiras. Estamos atualmente à procura das pessoas de confiança para trabalhar numa equipa amigável com fortes especialistas ao lado.
A nossa empresa fornece uma ampla gama de produtos e serviços de alta tecnologia. Nossa Sociedade Gestora de Participações Social (SGPS) inclui muitas pequenas empresas, como também empresas gigantes como a Carrier Corporation, Pratt & Whitney, Otis, etc .Além disso, a empresa opera a organização central de pesquisa que busca a tecnologia para melhorar o desempenho e a eficiência energética.
Procuramos pessoas para cargo de investigador de mercado – Assistente de implementar, em todas as cidades em Portugal.

Perfil que procuramos :
- Sexo M/F
- Idade: 22-55
- Habilitações literárias mínima – 12º Ano
- Boa capacidade de comunicação
- Pró-ativo e com ambição
- Disponibilidade total e imediata
- Orientação para objetivos
- Capacidade de aprendizagem

Os Requisitos :
- Suporte de pequenas transações na região
- Controle de entrega do pedido ao cliente
- Controle de pagamento atempado
Pré-requisitos:
- Acesso à Internet,
- Conhecimentos de informática na óptica do utilizador (MS Office)
- Tempo livre das 9 até 15
- Sem convicção
- O direito ao emprego formal na sua região

Oferta:
- EUR 1.500 por mês + bónus pelos contratos
- 28 dias de férias anuais remuneradas (pode ser tomada depois de dois meses de trabalho)
- Free e-learning
- Formação especializada e contínua

Interessados é favor mandar o CV para e-mail.
Com os melhores cumprimentos,
Gerente de RH.

O email não fica por aqui relativamente ao conteúdo. Há texto oculto que pode ser visto apenas arrastando o cursor do rato.
De referir que é fácil perceber que não é uma proposta válida muito porque não existe qualquer referência à empresa contratante; texto com erros ortográficos e pouco cuidado; involve transações financeiras (provavelmente sendo intermediário em ações ilegais); entre outros aspetos.

É aconselhável a não enviar qualquer informação para o remetente e deve denunciar como mensagem Spam. A informação enviada poderá ser utilizada em futuros ataques, principalmente em roubo de identidade.
Divulgue!

Passatempo fraudulento oferece uma Canon EOS 60D

por David Sopas em 30 de Março de 2013 em Alerta FB com 13 Comentários
Passatempo fraudulento oferece uma Canon EOS 60D

Hoje deparei-me com imensas partilhas na minha rede de amigos no Facebook com um passatempo que oferece uma máquina fotografica Canon EOS 60D + EF-S 18-55mm f/3.5-5.6 IS II, de valor comercial a rondar os 1000 euros.

A Página Foto Mania – Portugal facebook.com/fotomaniaportugal - foi criada no dia 29 de março de 2013 e, logo nas primeiras entradas de artigos, tem logo o passatempo.

Tal como nos iPhones, a participação é muito simples e habitual nestas fraudes – partilhar e gostar da página. Um prémio desejável e uma foto apelativa muitas vezes é o suficiente para milhares de utilizadores gostarem e partilharem estas páginas.

A página, e respetivas imagens, são uma cópia de uma empresa mexicana – facebook.com/Fotomania.mx. Após um contato com os responsáveis desta empresa  informaram que não têm qualquer relação com esta página em Portugal.

Na altura deste artigo, a página facebook.com/fotomaniaportugal contava com 12.764 gostos e o artigo do passatempo mais de 31.000 partilhas e 4000 gostos. De fato está viral nas redes dos portugueses.

Se gostaram desta página é aconselhável “não gostar”.

Fica o alerta e a dica para partilharem este artigo aos vossos amigos.

Update:
O Miguel Fonseca enviou-me referência a um artigo do pplware que menciana as regras legais do Facebook para passatempos e ofertas.

← Mais antigos