Malware usa vídeos do Youtube para financiar piratas

Tubrosa 1

A Symantec publicou um alerta sobre um novo malware intitulado de Tubrosa, que envia computadores infetados para determinados vídeos Youtube.
Objetivo? Os utilizadores maliciosos donos desses vídeos ganharem dinheiro com as visitas ao vídeo [Youtube Partner Program].

O processo é um muito simples:

  1. Os utilizadores maliciosos enviam link malicioso por email, ou rede social, à vítima
  2. A vítima é infetada e, sem este dê conta, começa a fazer abrir páginas de a vídeos específicos do Youtube
  3. Os utilizadores maliciosos começam a ganhar dinheiro com as visitas e com os anúncios inseridos nos mesmos

Click-fraud-malware-campaign-tubrosa

O Tubrosa tem sido propagado nos últimos meses, iniciou em agosto de 2014, e a Symantec acredita que já devem ter ganho milhares de dólares [poderá ser mais porque a Symantec acredita em mais campanhas do género] com o programa do Youtube.
O malware recebe uma lista de cerca de 1000 links Youtube de um servidor de comando e controlo [C&C] e abre em background nos sistemas das vítimas. O Tubrosa tem mesmo uma funcionalidade de baixar o volume enquanto os vídeos estão a correr e a capacidade de instalar o Adobe Flash caso a vítima não o tenha instalado.

Segundo a Symantec, o Youtube Partner Program usa um processo de validação de conta de utilizador. No entanto, o malware Tubrosa ultrapassou estas proteções criando um ficheiro dinâmico com vários referals e useragents utilizando dois scripts em PHP. Este processo fez com que o Google assumisse que sempre que havia um pedido ao vídeo, seria um novo visitante.

Os países mais afetados [ou seja, com mais vítimas] são a Coreia do Sul, Índia, Mexico e Estados Unidos.

Tubrosa-Click-fraud-malware

A Symantec em conjunto com o Google estão a desenvolver um proteção para evitar este tipo de situações.

Fica a dica: Estejam atentos aos links que vos enviam e não cliquem em tudo o que aparece no email ou redes sociais.

É melhor desativar o Adobe Flash

flash_update

A Adobe lançou um update de segurança crítico para o Adobe Flash cuja falha está a ser explorada por utilizadores maliciosos.

Esta vulnerabilidade no Flash [CVE-2015-0310] pode ser utilizada para memory randomization mitigations no Microsoft Windows.
Tome nota, fazer a atualização do Adobe Flash.

O interessante [ou não] é que a Adobe anunciou que está a circular outra falha de segurança que ainda não tem correção. Esta falha, já publicada no blogue Malware don’t need Coffee, foi inserida no Exploit Kit Angler com o objetivo de infetar mais computadores para botnets.

2015-01-21_13h52_22

Esta vulnerabilidade [0day – CVE-2015-0311] está presente nas versões 16.0.0.287 e anteriores para os sistemas operativos Windows, Mac e Linux. Esta falha pode fornecer acesso remoto a um sistema vulnerável a um utilizador malicioso.
A Adobe já divulgou que já tem conhecimento desta falha a atualmente explorada em sites preparados para infetar máquinas vulneráveis contra o Internet Explorer e Firefox nos sistemas Windows [via drive-by download].

As versões vulneráveis a este exploit são:

Adobe Flash Player 16.0.0.287 e versões anteriores para Windows e Mac
Adobe Flash Player 13.0.0.262 e versões anteriores à 13.x
Adobe Flash Player 11.2.202.438 e versões anteriores para Linux

A Adobe recomenda desativar o Flash até que a correção não seja disponibilizada [deverá ser durante a próxima semana].
Se tiver dúvidas em saber qual a versão instalada do Flash, visite esta página.

Portugueses no leak do Lizardstresser.su

stresser01

O grupo Lizard Squad, responsável por colocar offline as redes da Sony Playstation e da Microsoft Xbox no Natal, teve o seu site de venda de serviço de DDoS comprometido.
A base de dados completa foi divulgada e é possível verificar alguns dados críticos.

No ficheiro SQL é possível ver registos de mais de 14.000 utilizadores registados no Lizardstresser.su. Na base de dados é possível ver os pagamentos Bitcoin efetuados pelos utilizadores, os respetivos IPs de ligação de cada um deles, o email, a password em plaintext [ao não cifrarem as passwords dos utilizadores, os Lizard Squad talvez quisessem obter acesso a outras contas associadas?] e até pedidos no sistema de suporte de ajuda.
Os Lizard Squad por este serviço receberam em Bitcoins o equivalente a cerca de 8000 euros num curso espaço de tempo [até serem detidos].

Convém salientar que, na base de dados, apenas a pesquisar por endereços de email .pt, é possível ver mais de uma dezena de emails portugueses que se registaram no serviço dos Lizard Squad. No entanto, poderá haver mais portugueses utilizando emails com outro TLD. Apenas validando a gama de IPs nacionais poderia haver um número mais conclusivo.
Dos portugueses registados, apenas alguns efetivamente pagaram o serviço utilizando Bitcoins.

Um exemplo presente no sistema de suporte do Lizardstresser.su – um brasileiro pede para colocarem em baixo um site brasileiro:

I want to get thist server down: 179.XXX.XXX.XX | But I can’t, can you please help me? (MC server hoster, brazil, original server ip: xxxxxxxxxxx.com.br)

No Tripwire, o especialista de segurança Ken Westin realça que o crime mais grave nesta situação é o registo dos utilizadores neste tipo de serviço.
Esses utilizadores sabiam exatamente que iriam contratar um serviço ilegal, com máquinas comprometidas e que poderiam danificar máquinas ou serviços alheios.

Entretanto, grande parte do grupo Lizard Squad já foi detido e a lista divulgada dos utilizadores está a ser analisada pelas autoridades competentes.

Site da União Geral de Trabalhadores comprometido

hacked cover

Como já havia sido publicado no blogue, alguns sites portugueses são alvos de ataques informáticos por parte de um pirata, desta vez foi o site da União Geral de Trabalhadores (http://www.ugt.pt) que sofreu não um deface na pagina inicial mas uma assinatura na forma de imagem pelo hacker d3b~X.
Pode ser visto no mirror do zone-h (http://zone-h.org/mirror/id/23551669)

A imagem e a respectiva mensagem:

d3bx logo

Até a data deste artigo a imagem ainda permanece alojada no site, ainda não houve qualquer informação do sucedido nem a forma de como foi possível o upload por parte da gestão do site.

Relembro mais uma vez a importância de investir na segurança informática, de forma a preservar a integridade dos sistemas e dos dados que neles estão alojados.

2000+ contas do Minecraft poderão ter sido comprometidas

minecraft

De acordo com o site alemão Heise, 1800 contas (email:password) do Minecraft foram publicadas no Pastebin.
A mesma fonte refere que a origem destas contas ainda é incerta, mas numa pesquisa que fiz pela web, revelou-me que algumas das contas comprometidas já tinham sido divulgadas em 2013 e algumas em 2014. Inclusive a lista original não é de 1800 contas mas sim de mais de 2000+ [publicado num site no dia 9 deste mês].

No blogue da Sophos é possível ler:

… a primeira conta que pesquisei – um email gmail com uma password de 8 carateres, já foi divulgada há bastante tempo.
Encontrámos a primeira referência num fórum português com data de 10 de Julho de 2014…

Se os dados forem confirmados como originais, estas contas dão acesso a qualquer utilizador ao jogo Minecraft, inclusive descarregá-lo para os seus computadores.

A questão que se coloca sempre nestes casos, é se os dados de acesso são os mesmo para outras contas, como por exemplo, email, redes sociais, etc.

É óbvio que 2000 contas num universo de 100 milhões de contas registadas é uma gota de água num oceano, mas nunca se sabe se estas contas são uma amostra de algo maior.

Seja como for, se é utilizador do jogo, troque a sua password. A Mojang [os criadores do jogo] tem uma página dedicada para o efeito.