Todos os posts tagados sandbox

A sandbox do Google Chrome foi ‘crackada’

A empresa de segurança francesa VUPEN anunciou hoje que os seus analistas conseguiram explorar um falha que permitia ultrapassar a sandbox do browser Google Chrome.

Definitivamente uma leitura/vídeo que recomendo. Onde? Aqui.

Actualização: Segundo o ZDNet, o Google já comunicou que o problema é no Flash e não do browser. Parece-me que a discussão vai continuar…

Phishing Banif – comprovante de transferência ACTUALIZADO

Gostaria de alertar a um email de phishing que anda a circular pela web, que tenta convencer um utilizador a clicar no link que demonstra um suposto comprovativo de transferência.

Nada de novo até aqui.

No entanto, este email fraudulento utiliza nomes de empresas portuguesas reais, possivelmente capturando base de dados públicas na web. Deste modo, um utilizador menos experiente, pode ser iludido por este novo elemento.
Pessoalmente nunca tinha reparado num email com este tipo de informação.

Remetente: comprovante01@banif.pt

Ao clicar no link (220.110.186.58/main/css/install_flash_player.asp) que acompanha o email, este vai abrir uma página web que recomenda a instalação do Flash Player para visualizar correctamente a página.

De salientar a falta de qualidade das imagens, o idioma em português brasileiro utilizado nesta página fraudulenta e a semelhança propositada de uma instalação real desta aplicação.

Após o clique no Instalar agora, solicita ao utilizador o download do ficheiro install_flash.exe.

Submeti este ficheiro no VirusTotal onde obteve uma taxa de detecção, dos antivírus, de 35.7%.
O ficheiro é identificado por Gen.Variant.Kazy.

Este malware, numa análise resumida e directa, descarrega ficheiros da Internet; adiciona e modifica informação no registo do Windows; envia tráfego com informação confidencial para um local na web controlado pelo utilizador malicioso e modifica as definições de segurança do browser da MicrosoftInternet Explorer.

Em www.servicoweb.dominiotemporario.com deve estar instalada uma aplicação web que controla os utilizadores infectados, porque existem várias ligações de envio e recepção de informação com este domínio.

Para uma análise mais técnica e mais aprofundada, podem acompanhar o desenvolvimento nas sandboxes:

Se por algum motivo instalou este software é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Este artigo foi encaminhado para a equipa técnica do Banif, que já tinha conhecimento do email em questão como podem ver no site oficial da entidade bancária.

UPDATE:

Ter atenção que o mesmo ataque está a ser efectuado utilizando o nome do banco BPI.

O malware é o mesmo, apenas existem diferenças em algum texto.

Até agora, baseado nos emails que recebi, verifiquei o seguinte:

IPs associados ao remetente:

– 213.13.158.93 – fe18.tasp.pt
– 213.13.158.4 – fe27.tasp.pt
– 213.4.134.165 – ZE3SMTPIN020.e.telefonica.net

Links onde está alojado o malware:

– plastline.com.br/gerenciador/fm_includes/gerenciador/install_flash_player.htm
– 220.110.186.58/main/css/install_flash_player.asp
– petromaster.net/main/js/flash_player.asp
– 220.229.232.69/flash_player.html

Entrevista com… Peleus Uhley

Quem é Peleus Uhley? É a pergunta que lhe deve estar a passar pela cabeça.

Peleus é um dos analistas de segurança da equipa de engenharia de software de segurança da AdobeASSET e conta com constantes presenças nos maiores eventos de segurança do planeta (ex: Defcon, AppSec, etc.).

A sua principal área de actividade na Adobe, passa por assegurar que os produtos da empresa sejam desenhados, programados e validados segundo as melhores práticas de segurança.

Antes de entrar para a Adobe em 2007, Peleus começou na indústria de segurança como programador para a Anonymizer, Inc., e mais tarde, passou a ser um consultor de segurança para empresas como a @stake e a Symantec.

Apesar de ser uma pessoa bastante ocupada, o Peleus teve a disponibilidade de responder algumas das minhas questões com bastante clareza, promovendo q.b. a segurança da Adobe.

Saliento dois aspectos. A explicação em detalhe do processo de resolução e tratamento de uma falha num produto da Adobe, e o novo projecto da empresa para combater falhas nos documentos PDF utilizando técnicas de sandboxing.

Podem consultar a entrevista aqui. (em inglês)

Gostaria de agradecer ao Peleus Uhley pela participação no projecto WebSegura.net e à Wiebke Lips  pela extrema rapidez e simpatia que demonstrou neste processo.