Todos os posts tagados portugal

6 Embaixadas portuguesas comprometidas

6 Embaixadas portuguesas comprometidas

Os sites das embaixadas portuguesas na Républica Checa, Irão, Reino Unido, Alemanha, Moçambique e Madrid foram alvo de ataques nos últimos dias.

Os responsáveis por estes ataques foram os grupos NeT-DeViL e SanFour25. O primeiro grupo, indicado como origem árabe, modificou as páginas principais dos sites das embaixadas da República Checa, Irão e Reino Unido com intuito de propagar a mensagem política anti-usa. O grupo SanFour25 por sua vez agiu modificando ficheiros existentes e quase invisiveis ao utilizador comum (robots.txt, LICENSES.php). Este último apenas deixou a assinatura do grupo.

Não é possivel afirmar se os atacantes obtiveram informação altamente confidencial e se obtiveram acesso a contas de email.
Relembro que muita informação presente no WikiLeaks é derivado de fontes das embaixadas de diversos países.

Como um dos alvos às embaixadas portuguesas foram o Irão, Reino Unido e a Alemanha, posso afirmar que poderá ter sido um destes países que despertou o interesse destes defaces.

Podem consultar cópias destes ataques neste endereço:
http://zone-h.org/archive/ip=213.58.168.246

Esperemos que tenham executado uma auditoria de segurança aos sites e respectivo servidor de alojamento para resolver e prevenir futuros ataques.
Apenas 3 dos sites modificados foram já restabelecidos. Os restantes continuam com a assinatura dos defacers.

Até à data deste artigo não foram detetados conteúdos maliciosos.

Atualização – 28 de agosto:

Também os sites governamentais do Portal para a Igualdade (mirror) e do Centro de Gestão da Rede Informática do Governo (mirror) foram alvo de ataque no dia 26 pelos NeT-DeViL. 

Phishing bancário perto do seu telemóvel

Phishing bancário perto do seu telemóvel

O blogue das Kaspersky alerta que os phishers brasileiros, também responsáveis por ataques em Portugal, estão a começar a criar páginas falsas de bancos com objectivo de angariar contas de clientes do mobile banking.

O esquema é bastante simples de implementar. Começa por espalhar mensagens de email com links maliciosos, cuja programação detecta automaticamente qual o sistema operativo do telemóvel (baseado no user-agent do browser).

Essas mensagens de email fraudulentes poderão conter mensagens muito semelhantes aos emails de bancos reais, tais como mensagens alusivas à versão mobile, como por exemplo:

O seu Banco na palma das suas mãos.

O seu Banco à distância do seu telemóvel.

Consulte o seu saldo bancário mobile.

Os links maliciosos que acompanham esses emails têm como finalidade obter dados confidenciais das contas bancárias dos utilizadores menos atentos. Esses links geralmente são sites com dominios recem-criados ou páginas com reputação que foram comprometidos. Na maioria dos casos, não deverá ver no browser o endereço real do seu banco.

Em Portugal deve estar para breve a utilização deste ataque, isto porque a maioria dos casos registados de phishing no nosso país são oriundos do Brasil. Os utilizadores deverão estar preparados e atentos a estes tipos de ataque.

A Kaspersky Brasil recomenda as seguintes medidas:

  • dê preferência aos aplicativos de mobile banking oficiais disponibilizados gratuitamente pelo seu Banco. Eles podem ser baixados na loja de aplicativos do seu smartphone;
  • evite o acesso através do navegador. Caso seja realmente necessário, dê preferência para os sites com endereço b.br, ou seja seubanco.b.br
  • nunca faça operações via mobile bank estando conectado em uma rede wireless pública, dê preferência para redes de dados 3G ou Edge da sua operadora;
  • nunca clique em links enviados por supostos e-mails do seu banco;
  • não use o Google para procurar a página do banco, pois criminosos usam links patrocinados que aparecem no topo da página;
  • instale um antivírus em seu smartphone ou tablet, alguns deles possuem recursos como navegação segura, capaz de bloquear o acesso a sites de phishing
  • o Kaspersky Mobile Security para usuários de Android também protege contra ataques de phishing e pode ser baixado gratuitamente aqui.

Site da Secretaria-Geral da Presidência do Conselho de Ministros comprometido

Site da Secretaria-Geral da Presidência do Conselho de Ministros comprometido

O site governamental da Secretaria-Geral da Presidência do Conselho de Ministros – www.sg.pcm.gov.pt – foi comprometido pelo grupo QLQ TABUK HacKeR.

O ataque não aparenta ser directo ao governo português porque o grupo modificou a página inicial colocando conteúdos pró-islâmicos.
Se formos investigar os últimos defaces deste grupo podemos concluir que a mensagem é quase sempre a mesma.
Claro que isto não implica que os QLQ TABUK HacKeR não coloquem alguma backdoor no sistema para posterior utilização em futuros ataques.

O site, alojado pela NOVIS Telecom, corre Joomla! e esta pode ter sido uma das possíveis origens do ataque (algo muito comum quando não são feitas as devidas actualizações do core e das extensões utilizadas).

Entretanto a situação já foi restabelecida. Só espero que o departamento técnico tenha efectuado as devidas investigações e análises de segurança para prevenir novos ataques.

Fica por saber se alguma informação confidencial possa ter ido parar as mãos erradas.

Trojan Cossta aumenta presença em Portugal

Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Portugal sobe ao 20º país mais infectado

Hoje numa press note da Panda Security:

O recentemente publicado Relatório Trimestral do PandaLabs referente ao terceiro trimestre de 2011, deu a conhecer o ranking dos países mais infectados, cujos dados agora actualizados mostram um ligeiro aumento mas voltam a confirmar a liderança da China (62,6%), seguindo-se Taiwan (53,75%) e Turquia (50,6%), todos acima da média de 43,10% dos PCs infectados conforme mencionado. O seguinte gráfico demonstra os 20 países com maiores níveis de infecção nos últimos nove meses do ano, com Portugal precisamente em 20º lugar (34,92%), subindo da 24ª posição verificada no final de Setembro (30,26%).

(…)

Na minha opinião, não me surpreende esta posição. Pouco ou nada se faz para informar das boas práticas de segurança em Portugal.