Todos os posts tagados malware

Trojan Cossta aumenta presença em Portugal

por David Sopas em 18 de Janeiro de 2012 em Artigos com 0 comentários
Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Fraude – AVISO! Policia de Seguranca Publica

por David Sopas em 17 de Dezembro de 2011 em Artigos com 18 Comentários
AVISO! Policia de Seguranca Publica

Este email fraudulento já anda a circular pelas caixas correio algum tempo e como o número de contactos sobre este assunto é muito, fica aqui no WebSegura.net o alerta.

O remetente ragabesh@terra.com.br, como devem saber (ou deviam saber) não é nenhuma entidade representativa da PSP.

Se o utilizador clicar no link que acompanha este email, vai abrir a página e-sopoong.com, provavelmente comprometida para o efeito, e ser apresentado com uma nova janela para fazer o download de… malware (Processo_1769.exe). Se o utilizador não clicar, a página maliciosa automaticamente requisita o pedido de download.

Submeti a amostra para as sandboxes públicas, que podem consultar:

O malware é detectado, segundo o VirusTotal, numa taxa de 53,5% de sucesso pelos antivírus.

Se por algum motivo instalou este software malicioso, é altamente recomendando instalar software de remoção de malware, como por exemplo o Malwarebytes.

Privacy Alert! – evento no Facebook

por David Sopas em 15 de Dezembro de 2011 em Alerta FB, Artigos com 0 comentários
Privacy Alert! - evento do Facebook a não participar

O evento que circula pelo Facebook, no qual já atingiu números consideráveis em termos de convites e participações, é um scam (esquema).
Basicamente, o autor do evento propõe a instalação de uma aplicação Add Profile Image Protector para proteger a imagem do perfil dos utilizadores da rede social do Mark Zuckerberg. Se um utilizador clicar no link apresentado – profile-security.info, é apresentado com um site com dois botões que requisitam a autorização para uma aplicação. Qualquer que seja a escolha do utilizador, ambas as acções são encaminhadas para o site gamez4funs.info/sonic. Neste último site, o utilizador é convidado a jogar o jogo Sonic.

Surpresa!… o utilizador não joga nenhum jogo, apenas é apresentado com uma janela com questionários e SPAM. Objectivo? Com o preenchimento dos questionários, o autor deste scam ganha possivelmente uns trocados. Ter em conta que alguns desses links poderão conter malware.

Analisei com o ScanPW os ficheiros JavaScript utilizados nas páginas (profile-security.info e gamez4funs.info/sonic) e, até à data deste artigo, não contem conteúdo malicioso.

Fica o agradecimento ao Tito de Morais pela indicação desta situação.

A influência dos LulzSec Portugal nos jovens

por David Sopas em 6 de Dezembro de 2011 em Artigos com 4 Comentários
A influência dos LulzSec Portugal nos jovens

É o tema do momento nos média e no meio da segurança de informação. Jovens que conseguem aceder a informação confidencial e promovê-la nos órgãos de comunicação social como forma de manifesto, tendo como ferramenta a grande rede.

Quantos informáticos não foram já questionados por amigos e familiares sobre estes ataques?

Grupos como os LulzSec Portugal ou AntiSecPT podem desaparecer de um dia para o outro. No entanto já marcaram a sua posição principalmente porque já começaram a criar os alicerces para outros jovens seguirem actividades ilícitas e com base em apenas exemplos práticos. A razão teórica e o real significado das coisas são deixados de parte.
Os tutoriais que estes grupos promovem nos canais de IRC, servem apenas para ajudar o mesmo nos objectivos fundados e não para formar jovens na área da segurança informática. É isso que os seguidores do grupo devem ter em atenção.
Para aprender nesta área é necessário muitos anos de dedicação e muito trabalho. É uma formação contínua. Não é só saber mexer nos programas hacker e carregar em botões.

Num caso concreto, que me foi reportado por um colega, um utilizador/seguidor que acompanhava estes grupos no IRC, requisitou algumas ferramentas para utilizar em negações de serviço (DoS). Vários utilizadores contribuíram com diversos links, onde mais tarde foi divulgado que maioria destas aplicações estavam infectadas com malware. De referir que muitos destes jovens utilizam VPNs sem realmente saberem o seu significado. Não tendo o conhecimento suficiente podem levar a alguns membros do grupo deslizarem no que consideravam ser o anonimato na web.

Pessoalmente, acho que irão surgir mais grupos deste género. Guiados pelo mediatismo e adrenalina de poderem obter informação confidencial. A questão é que na maioria vão ser jovens com pouco conhecimentos técnicos e com objectivos incertos, por vezes, de pura destruição ou divertimento (lulz).

Bons ou maus da fita, os LulzSec Portugal ou AntiSecPT, estão certamente a dar muitas dores de cabeça a muita gente. Talvez com isso passamos para uma era onde a segurança de informação comece a ser uma etapa de caminho obrigatório.

A contratação de pessoal especializado é um investimento com retorno positivo. Vejam o exemplo de uma simples loja online. Se for comprometida por uma simples falha de SQL Injection, além da possível indisponibilidade do serviço, poderá ter dados dos clientes comprometidos e ter prejuízos de milhares de euros. Algo que podia ser evitado, e facilmente detectado/corrigido, por um especialista.
Acho que declarações, como as da directora do Departamento Central de Investigação e Acção Penal (DCIAP), são contrárias a esta minha opinião. Dizer que:

… os sistemas violados são seguros e que até a NASA já foi comprometida por miúdos…

Este tipo de mentalidade só prejudica quem realmente tenta promover a segurança em Portugal.

Resta salientar que existem bons profissionais e empresas em Portugal aptas a responder às necessidades de qualquer empresa ou organização.

…e consegui concluir este artigo contendo-me em relação à utilização incorrecta da palavra hacker pela comunicação social.

Tsunami, um novo backdoor para Mac OS X

por David Sopas em 28 de Outubro de 2011 em Curtas, Notícias com 0 comentários

Segundo o blogue da ESET, programadores de malware alteraram um  código antigo de um backdoor , desenvolvido para Linux, e modificaram-no para funcionar e infectar utilizadores do Mac OS X.

O Tsunami é controlado via IRC e contem uma lista de servidores e canais de IRC onde a vítima se vai conectar automaticamente.

 

← Mais antigos