Todos os posts tagados flash

Magnet – um novo malware no Facebook

facebook

Um novo malware, descoberto por Mohammad Faghani e intitulado de Magnet, está a propagar-se pelo Facebook utilizando um suposto vídeo pornográfico e com mensagens apelativas. A ideia é que, os utilizadores desta rede social mais curiosos, cliquem no suposto vídeo.

Em apenas dois dias, este malware infetou mais de 100.000 utilizadores. Este número deverá aumentar nos próximos dias.

Ao clicar no link que acompanha o post de Facebook, assim que o utilizador começa a ver um vídeo, é reencaminhado para uma instalação de uma falsa atualização do Adobe Flash Player.
Já reparei que a imagem erótica que acompanha este conteúdo malicioso vai sendo modificada e por isso a minha recomendação é simplesmente não clicar nestes links.

Embora o Facebook tenha sistema automatizados para prevenir ligações maliciosos se propaguem pela rede, muitas conseguem ultrapassar este tipo de proteção e infetar milhares de utilizadores curiosos.

Instalei o malware num ambiente controlado e reparei que, após a instalação da suposta atualização do Flash [extensão para o browser], o Magnet partilha no Facebook o link malicioso e identifica 20 amigos na rede social. Também gosta de uma ligação duma página de Facebook e pelos vistos, já são bastantes os likes.

facebook_malware

O Magnet aparenta ter um um sistema keylogger [monitoriza rato e teclado] e aceita comandos C&C [command & control].

Faghani acrescenta que este malware atualiza-se automaticamente com novos padrões de ataque e bloqueia diversos tipos de proteção contra estas ameaças.

Uma nova variante deste malware, força a vítima também a seguir uma conta no Twitter.

Quem quiser acompanhar o desenvolvimento deste malware pode fazê-lo seguinte a sua assinatura MD5: https://malwr.com/analysis/ZDkyZWIwZGI4YjA2NGNiZjk4MDRlMmMzZmNjN2Y4YjA/.
Saliento que o pacote PT-pt está incluído neste malware, e como se pode ver no mapa, Portugal está entre os muito infetados com o Magnet.

fbmalheatmap

Relatório completo do Mohammad Faghani – http://www.faghani.info/report.txt

Malware usa vídeos do Youtube para financiar piratas

Tubrosa 1

A Symantec publicou um alerta sobre um novo malware intitulado de Tubrosa, que envia computadores infetados para determinados vídeos Youtube.
Objetivo? Os utilizadores maliciosos donos desses vídeos ganharem dinheiro com as visitas ao vídeo [Youtube Partner Program].

O processo é um muito simples:

  1. Os utilizadores maliciosos enviam link malicioso por email, ou rede social, à vítima
  2. A vítima é infetada e, sem este dê conta, começa a fazer abrir páginas de a vídeos específicos do Youtube
  3. Os utilizadores maliciosos começam a ganhar dinheiro com as visitas e com os anúncios inseridos nos mesmos

Click-fraud-malware-campaign-tubrosa

O Tubrosa tem sido propagado nos últimos meses, iniciou em agosto de 2014, e a Symantec acredita que já devem ter ganho milhares de dólares [poderá ser mais porque a Symantec acredita em mais campanhas do género] com o programa do Youtube.
O malware recebe uma lista de cerca de 1000 links Youtube de um servidor de comando e controlo [C&C] e abre em background nos sistemas das vítimas. O Tubrosa tem mesmo uma funcionalidade de baixar o volume enquanto os vídeos estão a correr e a capacidade de instalar o Adobe Flash caso a vítima não o tenha instalado.

Segundo a Symantec, o Youtube Partner Program usa um processo de validação de conta de utilizador. No entanto, o malware Tubrosa ultrapassou estas proteções criando um ficheiro dinâmico com vários referals e useragents utilizando dois scripts em PHP. Este processo fez com que o Google assumisse que sempre que havia um pedido ao vídeo, seria um novo visitante.

Os países mais afetados [ou seja, com mais vítimas] são a Coreia do Sul, Índia, Mexico e Estados Unidos.

Tubrosa-Click-fraud-malware

A Symantec em conjunto com o Google estão a desenvolver um proteção para evitar este tipo de situações.

Fica a dica: Estejam atentos aos links que vos enviam e não cliquem em tudo o que aparece no email ou redes sociais.

SWFScan disponibilizado pela HP

SWFScan disponibilizado pela HP

Hoje trago-vos mais uma ferramenta que pode ajudar bastante em analises de ficheiros, neste caso SWFs.

A pedido de vários utilizadores, Rafal Los (aka Wh1t3Rabbit) especialista de segurança na HP, partilhou o descompilador Flash SWFScan para utilização gratuita.
É um software interessante, que infelizmente corre apenas em sistemas Windows, que permite analisar código em ficheiros SWF e encontrar vulnerabilidades utilizando um scanner básico.

Se quiserem praticar e testar este tipo de ferramentas, vejam só código de muitos jogos SWF disponíveis na web e fiquem deslumbrados com códigos de tracking, spam, malware

Podem descarregar o SWFScan aqui e, se quiserem, deixar o vosso feedback.

Vulnerabilidade no Flash permitia acesso a webcam por terceiros

No TeK:

Um novo tipo de ataque, explicado num vídeo publicado online no YouTube (que reproduzimos abaixo), permite tirar partido de uma vulnerabilidade no Adobe Flash e aceder à câmara de vídeo do computador da vítima.

O processo descrito pelo estudante de informática Feross Aboukhadijeh constitui uma ameaça na medida em que poderá ser usado por sites para aceder e ligar a webcam e microfone de um visitante sem necessitar da sua autorização, alerta o jovem.

(…)

Análise de Phishing com páginas em Flash

Mais uma análise de malware bastante interessante… em páginas em Flash.

No Crimes Cibernéticos:

Atualmente para quem tem interesse em análise de malware não basta apenas conhecer os formatos de arquivos executáveis, como o PE do Windows e ELF do Linux, é necessário também conhecer outros tipos de arquivos como: PDF, Javascript, SWF, Doc, XLS, etc, pois eles também estão embutindo códigos maliciosos.
Nesse artigo será apresentada a análise de um phishing que utilizava arquivos Flash (swf), código Javascript ofuscado e páginas PHP, porém de forma geral a lógica do golpe sempre é a mesma.
(…)
Parabéns ao Ronaldo Lima pelo bom trabalho.