Todos os posts tagados psp

Relatório de ameaças semestral da F-Secure

Relatório de ameaças semestral da F-Secure

Para os interessados deixo aqui –  http://www.f-secure.com/static/doc/labs_global/Research/Threat_Report_H1_2012.pdf – para consulta e referência o relatório da F-Secure para os primeiros 6 meses de 2012.

Chamo particular atenção para a secção dedicada ao Flame e ao DNS Changer. Estes foram, sem dúvida, as maiores ameaças conhecidas nos primeiros meses e que tiveram mais atenção pela comunicação social.

Também saliento a secção dedicada ao randomware. Este tipo de ameaça teve, e está a ter, bastante impacto em Portugal, principalmente com o malware que utiliza o nome da Polícia Segurança Pública para cobrar 100€ por remoção.

Se quiserem também podem consultar também o relatório para as ameaças mobile:
http://www.f-secure.com/static/doc/labs_global/Research/Mobile%20Threat%20Report%20Q2%202012.pdf

Trojan Cossta aumenta presença em Portugal

Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Fraude – AVISO! Policia de Seguranca Publica

AVISO! Policia de Seguranca Publica

Este email fraudulento já anda a circular pelas caixas correio algum tempo e como o número de contactos sobre este assunto é muito, fica aqui no WebSegura.net o alerta.

O remetente ragabesh@terra.com.br, como devem saber (ou deviam saber) não é nenhuma entidade representativa da PSP.

Se o utilizador clicar no link que acompanha este email, vai abrir a página e-sopoong.com, provavelmente comprometida para o efeito, e ser apresentado com uma nova janela para fazer o download de… malware (Processo_1769.exe). Se o utilizador não clicar, a página maliciosa automaticamente requisita o pedido de download.

Submeti a amostra para as sandboxes públicas, que podem consultar:

O malware é detectado, segundo o VirusTotal, numa taxa de 53,5% de sucesso pelos antivírus.

Se por algum motivo instalou este software malicioso, é altamente recomendando instalar software de remoção de malware, como por exemplo o Malwarebytes.

LulzSec Portugal divulga dados confidenciais de polícias

LulzSec Portugal comprometeu dados de polícias

O grupo LulzSec Portugal divulgou no Twitter, dados confidenciais de cerca de 100 polícias. Entre os dados, continham o estatuto, contacto telefónico, nome, email dos agentes da PSP.

Estes dados comprometidos aparentam ser fonte de um ataque SQL Injection no site do Sindicato Nacional da Carreira de Chefes da PSP.

O grupo LulzSec Portugal salienta que este tipo de ataque deve-se às recentes agressões de policias infiltrados na manifestação decorrida no passado dia 24 e que este tipo de divulgações não vão parar por aqui.

A grande questão é o tipo de informação divulgada. Deveria estar online?
No mínimo, esta informação deveria estar encriptada para ser, de alguma forma, protegida de utilizadores maliciosos.

Resta aos policiais envolvidos nesta situação, alterarem a informação comprometida o mais rápido possível.

É necessário investir na segurança antes que seja tarde de mais.

Notificação PSP – Email fraudulento

Mais um email fraudulento anda a circular pela web, com o objectivo de propagar malware entre os portugueses. Deste vez utiliza o nome da Polícia de Segurança Pública.

Como é habitual, predominam os erros ortográficos e a falta de credibilidade no conteúdo do email mas mesmo assim é sempre necessário alertar e elucidar estes tipos de emails para os utilizadores menos experientes.

O aspecto do email fraudulento é colocado abaixo:

Remetente falsificado: info@sspsp.pt (Serviços Sociais da Policia de Segurança Publica)

O link que acompanha o email é um link malicioso que submete o utilizador a fazer o download do ficheiro PSP_Lisboa.scr.

Este ficheiro, de baixa taxa de deteção por parte de maioria dos antivírus, é altamente malicioso devido ao seguinte:

  • Tem capacidade de autostart no sistema operativo
  • Altera as configurações de segurança do Internet Explorer
  • Modifica e remove ficheiros essenciais ao sistema operativo
  • Modifica o registo do Microsoft Windows

Gostaria de referir que o malware, depois de instalado no computador da vítima, envia informação via web com dados confidenciais para vários websites comprometidos.

Para uma interpretação mais técnica, submeti o malware no:

Devido a vários aspectos de língua, IP do servidor web utilizado e nome das variáveis utilizadas no método POST, este email fraudulento poderá ter origem no Brasil.

Contactei a PSP e os responsáveis pelo IP do link malicioso. Aguardo feedback.

Update:

  • O malware já é detetado pelos AV (Emsisoft, Ikarus, Kaspersky, Norman, Panda, PC Tools, Sunbelt e Symantec)
  • Press release da PSP