Nova campanha de SPAM via ACP

por David Sopas em 24 de Abril de 2012 em Artigos com 0 comentários
Nova campanha de SPAM via ACP

Alerto para uma campanha de SPAM, com objectivo de infectar os utilizadores com malware, que utiliza como remetente o email mecanicos.porto arroba acp.pt.
Este email, provavelmente, foi comprometido porque nos cabeçalhos o servidor de envio é o mesmo onde está alojado o website do Automovel Clube de Portugal.

O idioma da mensagem parece de origem brasileira e, um envio de Comprovante de transferência não é propriamente o tema mais utilizado pela ACP.

O malware propriamente dito, detectado pelo VT com uma taxa de 17/42, após execução apresenta uma mensagem “OK Falha!!! Arquivo Corrompido… ” de um programa intitulado de Acobbat Reader (será Acrobat?). O que pode o utilizador pensar que é uma mensagem inofensiva, o malware está a descarregar outros ficheiros (alojados no Dropbox e em maxinf001.dominiotemporario.com) e a executar novos processos maliciosos na memória do sistema operativo.

Submeti para análise nas seguintes sandboxes:

Nas amostras recebidas, o único sistema operativo afectado é o Microsoft Windows.

Contactei as entidades competentes para rápida resolução e prevenção desta campanha de SPAM.

Actualização:

Já obtive resposta por parte da ACP.  Já estão a resolver a situação.

A Segurança Web e os Developers

por David Sopas em 23 de Abril de 2012 em Artigos com 2 Comentários
A Segurança Web e os Developers

Li hoje no blogue do Dinis Cruz um artigo bastante interessante que demonstra a importância do conhecimento de segurança informática por parte dos developers na programação das aplicações.

Entre as principais vantagens do conhecimento desta área, o autor destaca:

  • Aumento do conhecimento
  • Aprendizagem de novas técnicas
  • Testes mais completos
  • Melhoramento na produtividade
  • Melhoramento na carreira profissional
  • Divertimento (porque não?)
  • Aprendizagem do nível de segurança nas aplicações
  • Código mais robusto
  • Código mais seguro

Pessoalmente, penso que qualquer developer, principalmente para web – sendo esta a área onde mais destaco, deve elaborar sempre testes de intrusão/segurança nas próprias aplicações. Desta forma, para além de estar a melhorar o nivel de segurança, está também a aumentar o nível de credibilidade da mesma. Não é só o nome da aplicação ou do developer que está em jogo, mas também a segurança dos seus utilizadores.

Citando algumas palavras do especialista de segurança, Jeremiah Grossman no TEDx, Hack Yourself First.

Fraude usa Envio de Fatura Eletrónica da EDP

por David Sopas em 26 de Março de 2012 em Artigos com 2 Comentários
Fraude usa Envio de Fatura Eletrónica da EDP

Foram vários os emails fraudulentos, que recebi hoje, que utilizam o tema da Fatura Eletrónica da empresa EDP.
A título de curiosidade, a proteção default anti-Spam das contas do Gmail e Hotmail foi ultrapassada, ou seja, considerou o email fidedigno. Sendo estes os maiores fornecedores de contas de email da actualidade, muito provavelmente a taxa de entrada nas caixas de correio dos utilizadores pode ter sido bastante elevada.

Quanto à analise do malware, descarregado ao clicar no link  (link esse modificado para visualmente ser semelhante a um ficheiro PDF e não um executável), é detectado no VT com uma taxa de sucesso de 13/43.

Submeti para análise nas seguintes sandboxes:

Tal como em casos semelhantes, este malware tem como objectivo roubar dados financeiros e passwords armazenadas no seu computador com sistemas operativos Windows. Se por algum motivo instalou este software malicioso, é altamente recomendando instalar software de remoção de malware, como por exemplo o Malwarebytes.

A utilização de filtros adequados na sua conta de email para combater este tipo de situações deve ser uma prioridade.

A EDP já lançou um comunicado oficial sobre estes emails.

Confira quem te visitou no Face

por David Sopas em 17 de Março de 2012 em Alerta FB, Artigos com 6 Comentários
Confira quem te visitou no Face

Parece que agora tudo o que é comentário tem referência a estas aplicações maliciosas. O número de vítimas são aos milhares and counting…

O grande alvo parecem ser páginas com muitos fãs para que a aplicação maliciosa possa propagar-se rapidamente.

Vejam o caso, de hoje, da edição da página do Record no Facebook.  60 dos primeiros 67 comentários eram referências ao C0NFIRA QUEM TE VISIT0U N0 FACE. Numa página que conta mais de 172.000 fãs é um alvo bastante aliciante para os autores destas aplicações maliciosas.

Na maioria dos casos, a aplicação tem origem no Brasil. Justifico esta afirmação pela referência no código de termos oriundos desse país e imagens com referências a nomes brasileiros.

Também já encontrei código malicioso especifico para quem usa o browser Internet Explorer, por isso, já sabem…

Estas novas aplicações, essencialmente para Windows e não aplicações de Facebook, permitem ao utilizador malicioso ter funções C&C (Command & Control) do sistema da vítima, tal como acesso à conta do Facebook. Correr um antivirus actualizado e manter um grau de segurança apertado nesta rede social é o indicado para prevenção deste tipo de ataques.

Actualização

Devido aos contactos por email que tenho recebido, fica aqui como podem remover esta aplicação maliociosa.
Esta aplicação, até à data deste artigo, apenas afectava computadores com o sitema operativo Windows. Dado que esta funciona como extensão/addon/extra para os diversos browsers, fica aqui a referência de como removê-la:

  • Chrome: Preferências – Extensões (procurar por Adobe Flash Player 12.1.102.55) – Remover
  • Firefox: Pressionar as teclas CTRL+SHIFT+A ou Ferramentas – Extensões (Procurar por Adobe Flash Player 12.1.102.55) - Remover
  • Internet Explorer: Pode ser removido via Painel de Controlo do Windows ou na janela de Add-ons.

Ter em conta que este aplicativo malicioso simula uma extensão do Adobe Flash para browser. Se por acaso remover a extensão original do Flash, sempre pode instalar novamente utilizando o site oficial da Adobe.

Todas as páginas de Facebook que encontrei até ao momento, somadas em fãs, chegam a 1 milhão. O malware está alojado no dominio publicidadesonline .com, registado pelo email kittyzinhaaaaa15@hotmail.com (por si só muito estranho).

Esta situação infeliz está a cancelar contas de milhares utilizadores desta rede social por estarem a fazer SPAM e muitos não sabem a razão deste cancelamento.

Partilhem este artigo e ajudem o próximo.

Just4meeting 3.0

por David Sopas em 20 de Fevereiro de 2012 em Eventos com 0 comentários
Just4Meeting 3.0

Portugal receberá nos dias 6 a 8 de Julho, a terceira edição do evento internacional Just4meeting, denominado Just4meeting 3.0. Para esta edição o evento contará com workshops técnicos de até 2 horas e intervenções.

O evento tem como objetivo dar a conhecer e partilhar conhecimento e experiência sobre a Segurança Informática aos profissionais de Informática e Tecnologia presentes.

Público alvo? 
Profissionais de Informática, Estudantes que desejam se especializar na área de Segurança em Informática e estar por dentro das principais falhas e correções nesta área, Administradores de Sistemas Informáticos.

Sem dúvida uma oportunidade fantástica para contactar com especialistas da área.
Mais informações no site oficial do evento, ou seja, aqui.

← Mais antigos