Todos os posts tagados malware

Fraude UPS – Delivery problem # Error ID9287

Fraude UPS - Delivery problem # Error ID9287

Tenho recebido imensos emails deste género e cujo ficheiros malware apresentam um baixo rácio de deteção por parte dos antivirus.

O ficheiro compactado em zip é detetado apenas por 2 em 44 antivirus no VT e descompactado, o ficheiro Copy_of_UPS_Label.exe não é detetado por nenhum antivirus no VT. Algo fora de vulgar neste tipo de spam com conteúdo malicioso.
O mesmo ficheiro executável foi submetido por mim nas sandboxes públicas Malwr e Anubis.

O email em si, tem o seguinte cabeçalho:

Return-Path: personal-information@upss.com
Received: from upss.com (OSHWON95-2925431600.sdsl.bell.ca. [174.94.139.48])
by mx.google.com with SMTP id uh5si1598234vec.13.2012.10.19.06.55.56;
Fri, 19 Oct 2012 06:55:57 -0700 (PDT)
Received-SPF: neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of personal-information@upss.com) client-ip=174.94.139.48;
Authentication-Results: mx.google.com; spf=neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of personal-information@upss.com) smtp.mail=personal-information@upss.com
Message-ID: 001201cdae01$7640b991$6502a8c0@upstairsback2
From: “UPS Express” personal-information@upss.com
To: xxxxxx
Subject: Delivery problem # Error ID9287
Date: Fri, 19 Oct 2012 A.D. 09:55:56 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_000C_01CDADDF.EF2E3EB0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

O malware efetua as seguintes operações num sistema operativo infetado:

  • Executa novos processos na memória
  • Destrói ficheiros do sistema
  • Modifica definições de segurança do Internet Explorer
  • Cria entrada no registo do sistema

A própria empresa UPS atualizou a sua página de combate a emails fraudulentos com este novo spam que está a circular por toda a web.

Você foi marcado em nossos videos!

Você foi marcado em nossos videos!

Uma nova campanha de SPAM está a utilizar o Youtube para propagar malware.
O email, escrito em português, informa que o email do utilizador foi identificado num vídeo do Youtube.

Corpo do email:

Temos a satisfação de comunica-lo que seu email (xxxxxxxx@xxxxxxx.pt) foi marcado em um
dos videos mais acessados de nossa rede.

Um link presente no corpo do email, encaminha para uma página web comprometido que aloja conteudo malicioso, mais propriamente um ficheiro www_youtube_com.jar (detetado por maioria dos antívirus atualizados) que posteriormente descarrega um ficheiro executável – BeTray.exe (VirusTotalMalwr) que torna o sistema operativo da vítima (apenas Microsoft Windows) vítima de C&C (Command and Control).

Clicou no link que acompanha este email?

Deve instalar ou correr um antivirus atualizado para remover qualquer conteúdo malicioso instalado.

Se por acaso necessitar de ajuda, comente este artigo ou contate-me.

Vídeo íntimo da Denise Rocha leva a malware

Vídeo íntimo da Denise Rocha leva a malware

Denise Rocha é uma advogada com 29 anos e é também assessora do senador brasileiro Ciro Nogueira, do Partido Popular no Brasil.

Um vídeo pessoal gravado em 2006 pelo ex-namorado, onde a advogada é vista de uma forma comprometedora, foi divulgado e espalhado rapidamente pela Internet. A notícia corre em todos os jornais brasileiros e também em Portugal.

O fato é que este tema também é, nos últimos 7 dias, o termo com o crescimento mais significativo em Portugal segundo o Google Insights.
Muitos utilizadores maliciosos tiram partido desta ferramenta do Google para criar páginas com malware usufruindo dos termos de pesquisa mais populares.
Spyware, adware, trojans, etc… tudo é encontrado em páginas falsas com supostos vídeos porno da Denise Rocha. Estas páginas conseguem, com técnicas de blackhat SEO, os primeiros resultados no Google, tentando alimentar a curiosidade dos utilizadores que pesquisam pela Denise Rocha.

Como em outro tipos de ataques do género, o utilizador deve ter sempre cuidado com os sites que visita. Observar sempre o conteúdo via snippet (resumo) ou preview do Google ou, para os mais experientes, utilizando ferramentas (ScanPW) para verificarem o código fonte antes de executá-lo.

Manter todo o software atualizado também é uma mais valia para uma navegação mais segura.

Site da Câmara Municipal do Funchal comprometido

Site da Câmara Municipal do Funchal comprometido

Ainda o arquipélago está lutar contra os diversos incêndios que têm assombrado o povo da Madeira, um grupo árabe intitulado de CrAzY HaCkEr comprometeu o site oficial da Câmara Municipal do Funchal – cm-funchal.pt.
O defacement* não parece ter sido um ataque direto ou qualquer tipo de ataque político. Alguns destes grupos dispõe de ferramentas de popularidade de temas utilizando o Google como fonte, para desta forma atacarem sites que estão nas últimas noticias e assim terem mais impacto nos seus ataques. Em alguns casos para propagar malware. Até à data deste artigo, não foi encontrado qualquer malware na página principal do site.

Embora não sabendo qual foi a falha aproveitada pelo(s) CrAzY HaCkEr, o site corre a plataforma Joomla! e, segundos os últimos ataques deste grupo, é um dos alvos preferenciais para estes comprometerem sites. Basta um plugin ou o próprio Joomla! desatualizado para ser fatal e ter informação confidencial comprometida.

Uma cópia do ataque pode ser visto aqui. O site foi rapidamente restabelecido à normalidade passado poucas horas. Esperemos que tenham executado uma auditoria de segurança ao site e servidor de alojamento para resolver e prevenir futuros ataques.

* Defacement – Na segurança de informação, é o ato de modificar e danificar uma página de internet por parte de utilizadores maliciosos. Os objectivos podem ir a temas políticos ou apenas aumentar rank em tabelas de defacers.

Mahdi infeta sistemas informáticos no Irão

Mahdi infeta sistemas informáticos no Irão

Depois do Duqu, Stuxnet, Flame, aparece um novo spyware, que tem como principal alvo o Irão, está a ser trabalho de investigação por parte da Kaspersky e da Seculert (empresa de segurança em Israel).

Mahdi, nome baseado no título de alguns ficheiros encontrados neste malware, faz também referência ao profeta Messias mas na realidade o malware tem como objectivo apenas sacar ficheiros PDF, Excel e documentos Word das máquinas comprometidas. Estes formatos geralmente utilizados para informações confidenciais como por exemplo: mapas, planos, relatórios, etc.).

Este malware, que segundo os especialista não é muito sofisticado, é atualizado via servidores C&C (Command & Control) tanto para inserir novos métodos de invasão como para monitorizar teclas pressionadas e gravar audio.

O grande alvo parece ser o Irão mas já foram encontrados servidores em Israel com o mesmo problema.

O procedimento do Mahdi é muito simples. O utilizador clica num documento ou PDF malicioso, um executável é carregado na máquina deste que posteriormente cria um backdoor. Esse backdoor estabelece uma ligação com um servidor C&C para descarregar outros componentes.

Os temas escolhidos nos documentos/PDFs maliciosos são relacionados com o Islão em forma de vídeos, imagens, screensavers, etc. O objetivo é que o utilizador não perceba que está a ter a máquina comprometida e posteriomente a ser utilizada como máquina zombie para futuras tarefas por parte do Mahdi.

A primeira variante encontrada do Mahdi foi encontrada em dezembro de 2011, mas a data de compilação de alguns ficheiros do malware apontam para uma data de criação de setembro de 2011.

Ainda não existe qualquer referência se este malware foi patrocinado por algum governo. Algumas pistas levam a pensar num vasto investimento e um suporte financeiro considerável.
Será o Mahdi mais uma ferramenta de um governo cujo objetivo é roubar informação confidencial e causar dano em infra-estruturas sensíveis?

Podem acompanhar o desenvolvimento do Mahdi no blogue da Seculert e no blogue da Kaspersky.