Todos os posts tagados trojan

Trojan Cossta aumenta presença em Portugal

Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários  e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP – Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Grupo de hackers acusa Alemanha de utilizar software de espionagem

No Sol:

Um grupo de hackers alemães está a acusar o Governo da Alemanha e as autoridades policiais de utilizarem um vírus Trojan, que pode ser utilizado para monitorizar as comunicações ou executar programas nos computadores onde está instalado.

A acusação é feita pelo grupo de hackers Chaos Computer Club (CCC), que acusa o Governo da Alemanha de estar a recorrer a um Trojan denominado de Quellen-TKÜ para espiar computadores.

De acordo com o CCC a utilização do software em causa, que além de poder monitorizar as comunicações feitas através do computador, permite controlar o PC de forma remota ou executar outros programas, é ilegal à luz da legislação do país, que apenas permite a monitorização das comunicações.

(…)

Piratas informáticos atacam crianças para roubar dados dos pais

No PT Jornal:

Os burlões e piratas informáticos são cada vez mais propensos a atacar crianças, muitos deles demasiado jovens para saberem ler, com uma série de jogos online que os enganam para que instalem software mal-intencionado nos seus computadores.

Jogos que convidam as crianças para cuidarem de gatinhos virtuais, ou permitem pintar abóboras e bolhinhas, ou encontrar as diferenças entre duas imagens semelhantes, estão a infetados com trojans, que poderão dar acesso aos burlões a dados financeiros dos pais ou permitir-lhes tomar o controlo do equipamento.

“Algumas fraudes poderiam levantar suspeitas nos adultos, especialmente quando se trata de instalar software no computador ou redirigir os utilizadores informáticos a páginas online suspeitas”, assinala Catalin Cosoi, chefe de Laboratório de Ameaças Online da BitDefender.

(…)

Phishing ao Banco Santander

Recentemente, recebi duas amostras de campanhas que têm como objectivo efectuar phishing às contas dos clientes do Banco Santander.

Segundo os endereços IP’s dos remetentes, do português utilizado, dos endereços de alojamento e dos nomes de variáveis utilizadas, tudo aponta ser um ataque de origem brasileira.

Cabeçalho da 1ª amostra:

Received: from mx-ccr.cristorei.com.br ([200.162.160.111]) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from emerson@jmarques.com.br) id 1QrMjl-000vfq-90 for XXXXX@XXXXXXXXXXXXX.XXX; Thu, 11 Aug 2011 05:19:18 +0100
Received: from [192.168.1.4] (unknown [187.59.59.80]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id 611C81E9408; Thu, 11 Aug 2011 01:07:30 -0300 (BRT)
Return-Path: emerson@jmarques.com.br
From: “Santander S.A.” emerson@jmarques.com.br
To: emerson@jmarques.com.br
Subject: Comunicado!

Cabeçalho da 2ª amostra:

Received: from [200.162.160.111] (helo=mx-ccr.cristorei.com.br) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from naturalspa@naturalspa.com.br) id 1QqzSO-001mLE-U7 for XXXXX@XXXXXXXXXXXXX.XXXm; Wed, 10 Aug 2011 04:27:49 +0100
Received: from [192.168.0.166] (189.114.195.73.dynamic.adsl.gvt.net.br [189.114.195.73]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id C0AAA1E98C1; Wed, 10 Aug 2011 00:26:58 -0300 (BRT)
Return-Path: naturalspa@naturalspa.com.br
From: “Sanatander S.A.” naturalspa@naturalspa.com.br
To: naturalspa@naturalspa.com.br
Subject: Comunicado!

Após o utilizador efectuar o download e executar a aplicação, este vai requisitar informação bancária, que posteriormente, é enviado via método POST para um ficheiro PHP alojado num servidor web comprometido. Este processo é muito habitual nestes casos.

No caso da primeira amostra, este descarrega também um trojan via web para um possível futuro acesso (C&C – Command and Control).

De referir que ambas as amostras foram detectados pelos antivírus mais comuns.

Para uma análise mais técnica e mais aprofundada das amostras, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software, é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Esta informação já foi enviada para o banco visado.

Trojan propaga-se utilizando a morte da Amy Winehouse

Utilizadores maliciosos estão a utilizar diversas técnicas de engenharia social para propagar um endereço que reencaminha para um trojan103684policia-inglesa-divulga-fotos-do-corpo-da-cantora-amy-winehouse-WVA.exe.
Quem o diz é o PandaLabs.

Verifiquem sempre a fonte, podem utilizar o ScanPW, e tenham sempre em conta notícias escandalosas com objectivos de cativar atenção de um utilizador mais desatento.
Fica a dica…