Todos os posts tagados malware

Google Code aloja malware

Google Code aloja malware - Foto cortesia da BlueCoat

Recentemente foi noticia na BlueCoat que o Google Code estava alojar malware numa das suas contas. De fato parece lamentável que os atuais proprietários do VirusTotal não utilizem o próprio API de um serviço interno para analisar ficheiros enviados por utilizadores. No exemplo demonstrado pela BlueCoat, ambos os ficheiros apresentavam uma taxa de deteção de 15/46 e 26/46.

Na minha opinião parece-me relativamente fácil bloquear o upload de malware ou outro conteúdo malicioso por parte do Google. Para tal, basta validar o upload do ficheiro no VirusTotal ou noutro sistema de análise de ficheiros. Pelo menos os malware mais comuns ficavam imediatamente barrados. Posteriormente, poderia haver algum tipo de moderação ou análise heurística desses mesmos ficheiros.

O Google Docs (agora Drive) também já teve relacionado com mesmo problema, quando utilizadores maliciosos utilizam o serviço para alojar PHP shells para RFIs (Remote File Inclusion). Algo que foi aparentemente corrigido.

Este tipo de alojamento no Google aumenta a suposta credibilidade do ficheiro e muitos utilizadores poderão ser afetados.

Estejam atentos e verifiquem sempre os ficheiros que descarregam, mesmo quando alojados em serviços do Google.

Malware propaga-se via aplicação de Facebook

Malware propaga-se via aplicação de Facebook

Um evento com o título Garota de 15 anos vítima de Bullying comete suicídio após mostrar os seios no Facebook… está a circular no Facebook e a infetar milhões de utilizadores desta rede social.
Já tinha feito a partilha deste esquema na página de Facebook via MiudosSegurosNa.Net mas achei interessante aprofundar um pouco mais este esquema fraudulento.
O objectivo principal é propagar malware e infetar o máximo de utilizadores possíveis.

A aplicação maliciosa deteta o sistema operativo do utilizador e, caso se confirme o sistema Windows, tenta o download de um ficheiro executável – fbinst13.4_pt.exe. No sistema Linux e Mac OSX não faz qualquer tipo de interação apenas mostra o vídeo da Amanda Todd no Youtube.

Este ficheiro .exe tem uma taxa de deteção no VirusTotal de 14/46.

Após executar este ficheiro, o malware executa (ou tenta) as seguintes operações no sistema operativo:

  • Executa novos processos na memória
  • Muda as definições de segurança do browser Internet Explorer
  • Cria uma nova extensão para o browser Google Chrome intitulada de hacnainihjioklmpbekefnmgolokjlfp
  • Em alguns casos crashar o sistema operativo
  • Insere e modifica registos no Windows
  • Envia informação confidencial para o website fbupdates.us.to (https) – envia um dump de palavras passes guardadas no sistema
  • Comunica com servidor de IRC (para posterior Command & Control)

O malware utiliza o serviço do site http://freegeoip.net/json/ para obter dados de geo-localização. Provavelmente para submeter operações especificas para cada país.

Nome do arquivo: fbinst13.4_pt.exe
Taxa de deteção: 14 / 46
SHA256: 89383123881ac07b791ae70e62008166f1d51b45851c6ac9e66db4b3037cc8b2

Se por acaso executou este malware, recomendo a instalação do Malwarebytes. Também deve trocar as passwords porque já devem ter sido comprometidas.

Nota: Enquanto escrevia este artigo, o evento foi removido do Facebook mas o endereço do ficheiro malicioso ainda continua ativo. Deve ser uma questão de tempo para ser criado outro evento com a referência ao mesmo ficheiro.

Fraude UPS – Delivery problem # Error ID9287

Fraude UPS - Delivery problem # Error ID9287

Tenho recebido imensos emails deste género e cujo ficheiros malware apresentam um baixo rácio de deteção por parte dos antivirus.

O ficheiro compactado em zip é detetado apenas por 2 em 44 antivirus no VT e descompactado, o ficheiro Copy_of_UPS_Label.exe não é detetado por nenhum antivirus no VT. Algo fora de vulgar neste tipo de spam com conteúdo malicioso.
O mesmo ficheiro executável foi submetido por mim nas sandboxes públicas Malwr e Anubis.

O email em si, tem o seguinte cabeçalho:

Return-Path: [email protected]
Received: from upss.com (OSHWON95-2925431600.sdsl.bell.ca. [174.94.139.48])
by mx.google.com with SMTP id uh5si1598234vec.13.2012.10.19.06.55.56;
Fri, 19 Oct 2012 06:55:57 -0700 (PDT)
Received-SPF: neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=174.94.139.48;
Authentication-Results: mx.google.com; spf=neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of [email protected]) smtp.mail=[email protected]
Message-ID: 001201cdae01$7640b991$6502a8c0@upstairsback2
From: “UPS Express” [email protected]
To: xxxxxx
Subject: Delivery problem # Error ID9287
Date: Fri, 19 Oct 2012 A.D. 09:55:56 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_000C_01CDADDF.EF2E3EB0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

O malware efetua as seguintes operações num sistema operativo infetado:

  • Executa novos processos na memória
  • Destrói ficheiros do sistema
  • Modifica definições de segurança do Internet Explorer
  • Cria entrada no registo do sistema

A própria empresa UPS atualizou a sua página de combate a emails fraudulentos com este novo spam que está a circular por toda a web.

Você foi marcado em nossos videos!

Você foi marcado em nossos videos!

Uma nova campanha de SPAM está a utilizar o Youtube para propagar malware.
O email, escrito em português, informa que o email do utilizador foi identificado num vídeo do Youtube.

Corpo do email:

Temos a satisfação de comunica-lo que seu email ([email protected]) foi marcado em um
dos videos mais acessados de nossa rede.

Um link presente no corpo do email, encaminha para uma página web comprometido que aloja conteudo malicioso, mais propriamente um ficheiro www_youtube_com.jar (detetado por maioria dos antívirus atualizados) que posteriormente descarrega um ficheiro executável – BeTray.exe (VirusTotalMalwr) que torna o sistema operativo da vítima (apenas Microsoft Windows) vítima de C&C (Command and Control).

Clicou no link que acompanha este email?

Deve instalar ou correr um antivirus atualizado para remover qualquer conteúdo malicioso instalado.

Se por acaso necessitar de ajuda, comente este artigo ou contate-me.

Vídeo íntimo da Denise Rocha leva a malware

Vídeo íntimo da Denise Rocha leva a malware

Denise Rocha é uma advogada com 29 anos e é também assessora do senador brasileiro Ciro Nogueira, do Partido Popular no Brasil.

Um vídeo pessoal gravado em 2006 pelo ex-namorado, onde a advogada é vista de uma forma comprometedora, foi divulgado e espalhado rapidamente pela Internet. A notícia corre em todos os jornais brasileiros e também em Portugal.

O fato é que este tema também é, nos últimos 7 dias, o termo com o crescimento mais significativo em Portugal segundo o Google Insights.
Muitos utilizadores maliciosos tiram partido desta ferramenta do Google para criar páginas com malware usufruindo dos termos de pesquisa mais populares.
Spyware, adware, trojans, etc… tudo é encontrado em páginas falsas com supostos vídeos porno da Denise Rocha. Estas páginas conseguem, com técnicas de blackhat SEO, os primeiros resultados no Google, tentando alimentar a curiosidade dos utilizadores que pesquisam pela Denise Rocha.

Como em outro tipos de ataques do género, o utilizador deve ter sempre cuidado com os sites que visita. Observar sempre o conteúdo via snippet (resumo) ou preview do Google ou, para os mais experientes, utilizando ferramentas (ScanPW) para verificarem o código fonte antes de executá-lo.

Manter todo o software atualizado também é uma mais valia para uma navegação mais segura.