Todos os posts tagados malware

Mahdi infeta sistemas informáticos no Irão

por David Sopas em 17 de Julho de 2012 em Artigos com 0 comentários
Mahdi infeta sistemas informáticos no Irão

Depois do Duqu, Stuxnet, Flame, aparece um novo spyware, que tem como principal alvo o Irão, está a ser trabalho de investigação por parte da Kaspersky e da Seculert (empresa de segurança em Israel).

Mahdi, nome baseado no título de alguns ficheiros encontrados neste malware, faz também referência ao profeta Messias mas na realidade o malware tem como objectivo apenas sacar ficheiros PDF, Excel e documentos Word das máquinas comprometidas. Estes formatos geralmente utilizados para informações confidenciais como por exemplo: mapas, planos, relatórios, etc.).

Este malware, que segundo os especialista não é muito sofisticado, é atualizado via servidores C&C (Command & Control) tanto para inserir novos métodos de invasão como para monitorizar teclas pressionadas e gravar audio.

O grande alvo parece ser o Irão mas já foram encontrados servidores em Israel com o mesmo problema.

O procedimento do Mahdi é muito simples. O utilizador clica num documento ou PDF malicioso, um executável é carregado na máquina deste que posteriormente cria um backdoor. Esse backdoor estabelece uma ligação com um servidor C&C para descarregar outros componentes.

Os temas escolhidos nos documentos/PDFs maliciosos são relacionados com o Islão em forma de vídeos, imagens, screensavers, etc. O objetivo é que o utilizador não perceba que está a ter a máquina comprometida e posteriomente a ser utilizada como máquina zombie para futuras tarefas por parte do Mahdi.

A primeira variante encontrada do Mahdi foi encontrada em dezembro de 2011, mas a data de compilação de alguns ficheiros do malware apontam para uma data de criação de setembro de 2011.

Ainda não existe qualquer referência se este malware foi patrocinado por algum governo. Algumas pistas levam a pensar num vasto investimento e um suporte financeiro considerável.
Será o Mahdi mais uma ferramenta de um governo cujo objetivo é roubar informação confidencial e causar dano em infra-estruturas sensíveis?

Podem acompanhar o desenvolvimento do Mahdi no blogue da Seculert e no blogue da Kaspersky.

Cristiano Ronaldo é o futebolista mais perigoso online

por David Sopas em 28 de Junho de 2012 em Artigos com 0 comentários
Cristiano Ronaldo é o futebolista mais perigoso online

Já é sabido e conhecido pelos especialistas de segurança que os utilizadores maliciosos exploram diversas vezes o nome de diversas celebridades e estrelas do mundo desportivo para propagar software malicioso.
Segundo um estudo realizado pela empresa McAfee, mais especificante resultado do sistema SiteAdvisor, o jogador de futebol português e estrela do Real Madrid – Cristiano Ronaldo é considerado o mais perigoso. Isto porque o seu nome é o mais utilizado para propagar sites com conteúdos perigosos.

Pesquisas como:

“Cristiano Ronaldo downloads”
“Cristiano Ronaldo and videos”
“Cristiano Ronaldo screensavers”
“Cristiano Ronaldo photos”

… podem indicar sites, preparados com técnicas de blackhat SEO para aparecerem nos primeiros resultados nos motores de busca, com código malicioso especificante criado para infetar o máximo de utlizadores possíveis. Muitos destes sites conseguem mesmo não serem detetados por maioria dos antivirus.

Na tabela dos jogadores de futebol mais influentes nos esquemas e fraudes online estão:

Cristiano Ronaldo – 6.2%
Zlatan Ibrahimovic – 5.0%
Steven Gerrard – 4.5%
Buffon – 3.8%
Chiellini – 3.7%

Na minha opinião, o utilizador deverá sempre, em qualquer das suas pesquisas, ter sempre cuidado e consciência que está a visitar um site minimamente credível. Claro que não existem sites 100% seguros, mas tendo em atenção os riscos básicos, o utilizador poderá reduzir o risco de ser alvo de um ataque.

Ajuda também manter o sistema operativo e restante software atualizado mas isto é algo que presumo que todos os leitores do WebSegura.net já devem saber :-)

Como remover o Flame do seu computador?

por David Sopas em 29 de Maio de 2012 em Artigos com 2 Comentários
Como remover o Flame do seu computador?

Ontem publiquei o artigo que menciona o malware mais falado nos média e pelos especialistas de segurança – Flame (aka Skywiper aka Flamer).
Este malware rouba informação, copiar passwords, grava conversas de voz, captura screenshots e até consegue comunicar com outros computadores via bluetooth.

O Flame propaga-se via redes internas, por pens USB e existem rumores de utilização de falhas privadas do Windows para se propagar remotamente.

Como existem ainda poucas soluções para remover, a BitDefender já lançou um utilitário para salvaguardar os utilizadores infectados. Podem descarregar a versão 32bits aqui e a versão 64bits aqui.

Qualquer dúvida, é só comentar!

Será Flame o sucessor do DuQu e do Stuxnet?

por David Sopas em 28 de Maio de 2012 em Artigos com 0 comentários
Será Flame o sucessor do DuQu e do Stuxnet?

Foi detectado recentemente um novo malware intitulado por Flame (nome de um componente presente no malware) que está a ser referenciado como o sucessor do DuQu e do Stuxnet.

Embora a Kaspersky relate como um ciberataque directo ao Irão, um departamento da Universidade de Budapeste – CrySyS Lab – já tinha elaborado um relatório do Flame mas com o nome de sKyWIper. Neste relatório podemos ler que o Flame pode ter sido produzido por um governo com poder economico e conhecimento para realizar espionagem online.

O código do Flame é 20 vezes maior que o do Stuxnet o que significa que os analistas vão, provavelmente, demorar muito mais tempo a intepretá-lo.
De referir que as empresas antivirus já estão a lançar vacinas para o sistema operativo afectado – Microsoft Windows.

Penso que o Flame ou sKyWIper ainda vai dar muito que falar.

Podem ler a referência na Wired (crédito da foto).

4shared.com – mp3, filmes, virus e afins

por David Sopas em 27 de Maio de 2012 em Artigos com 0 comentários
4shared.com - mp3, filmes, virus e afins

O 4shared.com é um site de alojamento de ficheiros gratuito que está a ser bastante utilizado em todo o mundo.

Em Janeiro a empresa responsável pelo site, decidiu eliminar ficheiros e contas de piratas, com receio investigações, tal como aconteceu com o Megaupload.

No entanto, actualmente o site continua alojar conteúdo que infrige algumas leis em termos de pirataria mas, mais grave, é que nas últimas campanhas de email de SPAM, cerca de 80% do malware estava alojado no site 4shared.com.

Segundo o Safe Browsing do Google:

Das 446151 páginas que testámos no Web site nos últimos 90 dias, 21 resultaram na transferência e instalação de programas maliciosos sem o consentimento do utilizador. A última vez que a Google visitou este Web site foi no dia 2012-05-25 e a última vez que foi detetado conteúdo suspeito foi no dia 2012-05-24.
Os programas maliciosos incluem 141 trojan(s), 19 exploit(s), 3 scripting exploit(s). As infeções bem-sucedidas resultaram numa média de 1 novos processos no computador de destino.

Este Web site atuou como intermediário, resultando numa distribuição mais alargada de programas maliciosos?
Nos últimos 90 dias, 4shared.com funcionou aparentemente como intermediário para a infeção de 1 Web sites, incluindo msvecchioswebsite.weebly.com/.

Este Web site alojou programas maliciosos?
Sim, este Web site alojou programas maliciosos nos últimos 90 dias. Infetou 4 domínios, incluindo musicagospeldownload.com/, topdezfilmes.org/, clickangra.com.br/.

Também no Clean MX existe referência a vários ficheiros alojados no 4shared.com com conteúdo malicioso. Muitos destes ficheiros referenciados são campanhas de Phishing com destino a utilizadores com o idioma português.

Só acontece no 4shared.com?
Não, acontece em todos os outros projectos do género mas este actualmente é o mais activo. Provavelmente as aplicações que criam malware (exploit packs, hack toolkits, …) têm agora módulos automáticos para upload de ficheiros maliciosos no 4shared.com.
Claro que não devem associar este dominio à vossa blacklist mental. O projecto 4shared.com pode ser utilizado legalmente e sem qualquer problema.
Devem ter sempre em conta é os ficheiros que estão lá alojados.
Este artigo apenas funciona como lembrete aos menos atentos.

Fica a nota… Não cliquem em todos os links que vos aparece pela frente.

← Mais antigos
Mais recentes →