Todos os posts tagados malware

Mensagem importante - Phishing da CGD

por David Sopas em 4 de Fevereiro de 2014 em Artigos com 0 comentários Tweet

Anda a circular pelas caixas de email dos portugueses um novo email de phishing do banco Caixa Geral de Depósitos. O remetente desta nova campanha fraudulenta é o email [email protected]. De salientar a semelhança com o endereço do banco - cgd.pt.
O ccgd.pt está registado desde 2006 na DNS.PT por um Centro de Contabilidade, Gestão e Desenvolvimento e poderá estar a ser vítima desta situação.
Os utilizadores maliciosos utilizam esta semelhança com o domínio do banco para ganhar alguma credibilidade e desta forma aumentar o número de vítimas.

O assunto da mensagem é Mensagem importante e informa o destinatário que houve diversas tentativas falhadas de autenticação na conta online e a mesma foi bloqueada como precaução. Para desbloquear terá de entrar num endereço fraudulento (detectado como endereço de phishing pelo VirusTotal e como distribuidor de malware pelo Sucuri). Este endereço apresentava uma cópia do site da Caixa Geral de Depósitos que tinha como objectivo gravar a informação da vítima. No decorrer da escrita deste artigo, o site apresenta uma loja de comercialização de produtos relacionados com sexo.
Certamente irão surgir outros emails com outros links comprometidos e com páginas de phishing.

Como evitar este tipo de ataques:

Verificar sempre o endereço da barra de navegação do browser
As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
As entidades bancárias nunca lhe vão solicitar informação por email
Fazer pesquisas nos motores de busca sobre o email

Para concluir, baseado no número de emails que tenho recebido pessoalmente e de utilizadores do WebSegura.net, circulam com grande actividade os emails de phishing da Apple, da Caixa Geral de Depósitos e do Montepio.

Gostaria de agradecer à Linxisp pelo contributo à elaboração este artigo.

Malware em anúncios do Facebook

por David Sopas em 13 de Agosto de 2013 em Alerta FB com 0 comentários Tweet

Alguns anúncios pagos no Facebook estão a propagar malware perante os utilizadores que clicam no mesmo.

Os temas são bastante variados mas salientam-se os anúncios de:

Produtos para aumentar desempenho desportivo
Redes sociais para adultos
Jogos sociais

Pelo que tenho conhecimento, o Facebook na altura da moderação do anúncio verifica automaticamente (ou manualmente) pela veracidade e reputação do site. Claro que após validação do anúncio, muito provavelmente, o malware não é detetado pelo Facebook. Utilizando técnicas mais avançadas de ofuscar código, também é possível esconder e passar por alguns filtros desta rede social e dos antivirus.
Um dos ataques que obtive acesso aproveitava-se de uma falha XSS de um site bastante popular para dar maior credibilidade. O vector XSS inseria um formulário HTML com a informação a ser enviada para um site russo ao invés do site original.

Fica aqui o alerta para não clicarem em anúncios duvidosos e manter sempre o vosso software atualizado.

Google Code aloja malware

por David Sopas em 21 de Maio de 2013 em Notícias com 0 comentários Tweet

Recentemente foi noticia na BlueCoat que o Google Code estava alojar malware numa das suas contas. De fato parece lamentável que os atuais proprietários do VirusTotal não utilizem o próprio API de um serviço interno para analisar ficheiros enviados por utilizadores. No exemplo demonstrado pela BlueCoat, ambos os ficheiros apresentavam uma taxa de deteção de 15/46 e 26/46.

Na minha opinião parece-me relativamente fácil bloquear o upload de malware ou outro conteúdo malicioso por parte do Google. Para tal, basta validar o upload do ficheiro no VirusTotal ou noutro sistema de análise de ficheiros. Pelo menos os malware mais comuns ficavam imediatamente barrados. Posteriormente, poderia haver algum tipo de moderação ou análise heurística desses mesmos ficheiros.

O Google Docs (agora Drive) também já teve relacionado com mesmo problema, quando utilizadores maliciosos utilizam o serviço para alojar PHP shells para RFIs (Remote File Inclusion). Algo que foi aparentemente corrigido.

Este tipo de alojamento no Google aumenta a suposta credibilidade do ficheiro e muitos utilizadores poderão ser afetados.

Estejam atentos e verifiquem sempre os ficheiros que descarregam, mesmo quando alojados em serviços do Google.

Malware propaga-se via aplicação de Facebook

por David Sopas em 20 de Fevereiro de 2013 em Alerta FB com 1 Comentário Tweet

Um evento com o título Garota de 15 anos vítima de Bullying comete suicídio após mostrar os seios no Facebook… está a circular no Facebook e a infetar milhões de utilizadores desta rede social.
Já tinha feito a partilha deste esquema na página de Facebook via MiudosSegurosNa.Net mas achei interessante aprofundar um pouco mais este esquema fraudulento.
O objectivo principal é propagar malware e infetar o máximo de utilizadores possíveis.

A aplicação maliciosa deteta o sistema operativo do utilizador e, caso se confirme o sistema Windows, tenta o download de um ficheiro executável - fbinst13.4_pt.exe. No sistema Linux e Mac OSX não faz qualquer tipo de interação apenas mostra o vídeo da Amanda Todd no Youtube.

Este ficheiro .exe tem uma taxa de deteção no VirusTotal de 14/46.

Após executar este ficheiro, o malware executa (ou tenta) as seguintes operações no sistema operativo:

Executa novos processos na memória
Muda as definições de segurança do browser Internet Explorer
Cria uma nova extensão para o browser Google Chrome intitulada de hacnainihjioklmpbekefnmgolokjlfp
Em alguns casos crashar o sistema operativo
Insere e modifica registos no Windows
Envia informação confidencial para o website fbupdates.us.to (https) - envia um dump de palavras passes guardadas no sistema
Comunica com servidor de IRC (para posterior Command & Control)

O malware utiliza o serviço do site http://freegeoip.net/json/ para obter dados de geo-localização. Provavelmente para submeter operações especificas para cada país.

Nome do arquivo: fbinst13.4_pt.exe
Taxa de deteção: 14 / 46
SHA256: 89383123881ac07b791ae70e62008166f1d51b45851c6ac9e66db4b3037cc8b2

Se por acaso executou este malware, recomendo a instalação do Malwarebytes. Também deve trocar as passwords porque já devem ter sido comprometidas.

Nota: Enquanto escrevia este artigo, o evento foi removido do Facebook mas o endereço do ficheiro malicioso ainda continua ativo. Deve ser uma questão de tempo para ser criado outro evento com a referência ao mesmo ficheiro.

Fraude UPS - Delivery problem # Error ID9287

por David Sopas em 19 de Outubro de 2012 em Artigos com 2 Comentários Tweet

Tenho recebido imensos emails deste género e cujo ficheiros malware apresentam um baixo rácio de deteção por parte dos antivirus.

O ficheiro compactado em zip é detetado apenas por 2 em 44 antivirus no VT e descompactado, o ficheiro Copy_of_UPS_Label.exe não é detetado por nenhum antivirus no VT. Algo fora de vulgar neste tipo de spam com conteúdo malicioso.
O mesmo ficheiro executável foi submetido por mim nas sandboxes públicas Malwr e Anubis.

O email em si, tem o seguinte cabeçalho:

Return-Path: [email protected]
Received: from upss.com (OSHWON95-2925431600.sdsl.bell.ca. [174.94.139.48])
by mx.google.com with SMTP id uh5si1598234vec.13.2012.10.19.06.55.56;
Fri, 19 Oct 2012 06:55:57 -0700 (PDT)
Received-SPF: neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=174.94.139.48;
Authentication-Results: mx.google.com; spf=neutral (google.com: 174.94.139.48 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Message-ID: [email protected]
From: “UPS Express” [email protected]
To: xxxxxx
Subject: Delivery problem # Error ID9287
Date: Fri, 19 Oct 2012 A.D. 09:55:56 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_000C_01CDADDF.EF2E3EB0″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180