Todos os posts tagados portugal

Trojan Cossta aumenta presença em Portugal

por David Sopas em 18 de Janeiro de 2012 em Artigos com 0 comentários Tweet
Trojan tem como alvo Portugal e Angola

O trojan, conhecido por Trojan.Win32.Cossta.ree*, é conhecido e detectado pelos antivirus com uma taxa de sucesso que ronda os 40% (VirusTotal). É altamente prejudicial, dado que tem como objectivo tornar o computador do utilizador afectado num estado C&C (Command and Control). Acrescento também que rouba dados bancários e outras contas de utilizador.
Em Dezembro de 2011 já tinha mencionado outra variante deste trojan (Trojan.Win32.Cossta.quj) neste artigo.

Com ajuda de algumas amostras enviadas por amigos do projecto WebSegura, consegui analisar um pouco mais sobre este software malicioso de origem brasileira.

O Cossta é actualmente propagado via emails fraudulentos de avisos da PSP - Policia de Segurança Publica, que pelo avaliar da pouca variância do tema, está a ter algum sucesso.
Nas amostras que recebi, o remetente tem quase sempre o dominio @terra.com.br no email com IP’s de origem no Brasil e Rússia. Muito provavelmente são máquinas comprometidas e que estão a fazer o envio destes emails fraudulentos.

Alguns dos scripts internos presentes neste software malicioso estão direccionados para ataques ao:

  • Banif
  • BPINET
  • CGD
  • Facebook
  • Gmail
  • Hotmail
  • Live
  • Montepio

Estes devem ser os principais alvos do Cossta.
De uma forma resumida e com base numa análise do comportamento do trojan concluí o seguinte:

  • Cria uma entrada na firewall do Windows como programa autorizado pelo sistema operativo
  • Eliminação e modificação de ficheiros do Windows
  • Pesquisa por cookies existentes com base nos scripts acima referidos
  • Modifica as configurações de segurança do Internet Explorer
  • Modifica o registo do Windows (inclui execução do programa no autorun)

Num estudo levado a cabo por Fabio Assolini, especialista de segurança da Kaspersky, podemos consultar o mapa dos países mais afectados por uma das variantes deste trojan.
Portugal e Angola são os países com mais máquinas comprometidas, muito provavelmente pela presença dos bancos alvo nestes países.

Submeti a amostra para as sandboxes públicas, que podem consultar:

  • ThreatExpert
  • Anubis

Para evitar que seja infectado pelo Cossta, é conveniente ter o seu antivirus actualizado e se pretender um pouco mais de segurança, instalar software de remoção de malware, como por exemplo o Malwarebytes.

* Nome identificativo pela empresa de segurança Kaspersky.

Portugal sobe ao 20º país mais infectado

por David Sopas em 10 de Novembro de 2011 em Curtas, Notícias com 0 comentários Tweet

Hoje numa press note da Panda Security:

O recentemente publicado Relatório Trimestral do PandaLabs referente ao terceiro trimestre de 2011, deu a conhecer o ranking dos países mais infectados, cujos dados agora actualizados mostram um ligeiro aumento mas voltam a confirmar a liderança da China (62,6%), seguindo-se Taiwan (53,75%) e Turquia (50,6%), todos acima da média de 43,10% dos PCs infectados conforme mencionado. O seguinte gráfico demonstra os 20 países com maiores níveis de infecção nos últimos nove meses do ano, com Portugal precisamente em 20º lugar (34,92%), subindo da 24ª posição verificada no final de Setembro (30,26%).

(…)

Na minha opinião, não me surpreende esta posição. Pouco ou nada se faz para informar das boas práticas de segurança em Portugal.

inia.gov.pt comprometido por LulzSec Portugal

por David Sopas em 3 de Novembro de 2011 em Artigos com 3 Comentários Tweet

O site governamental da Iniciativa para a Infância e Adolescência (inia.gov.pt) - foi comprometido por um representante do grupo português LulzSec Portugal.


O grupo criou uma nova página no alojamento, intitulada de hacked.html, com o logótipo do movimento LulzSec e com a frase:

Sigam-nos, não sigam a corrupção…

Até à data deste artigo, a página comprometida ainda está on-line.

O servidor onde está alojada o site, corre o sistema operativo Windows 2003 e utiliza o servidor web IIS 6.0. Ambas são versões com várias vulnerabilidades públicas e disponíveis a qualquer utilizador (se não forem aplicadas as devidas correcções).

Contactei por email os responsáveis do site mas ainda não obtive qualquer feedback.

Na conta Twitter dos @LulzSecPortugal é possível ver outros ataques realizados pelo grupo, entre os quais Câmara Municipal de Lagos e a Escola Superior de Saúde de Viseu.

Se entretanto o site for corrigido, podem consultar o mirror no Zone-H.

Delegação portuguesa do LulzSec ataca sites nacionais

por David Sopas em 12 de Setembro de 2011 em Curtas, Notícias com 6 Comentários Tweet

No TeK:

Vários sites portugueses estão a ser alvo de ataques de uma “delegação” portuguesa do grupo hacktivista LulzSec. O site da bolsa da SIC, do CSD, do PSD, do Parlamento ou do SIS são alguns dos endereços que já terão sido alvo de tentativas bem-sucedidas de ataque, embora a esta hora já nem todos estejam offline.

Animado, o grupo acompanha numa página no Twitter os resultados da ação com diversos posts, que vão dando conta dos alvos definidos, do sucesso das ações e dos relatos que vão surgindo na imprensa.

(…)

Já era de esperar que em Portugal também surgisse a extensão do grupo LulzSec. Era uma questão de tempo…

20 Mil clientes da banca vítimas de ataques informáticos este ano

por David Sopas em 9 de Julho de 2011 em Curtas, Notícias com 0 comentários Tweet

No TeK:

Desde o início do ano a Polícia Judiciária já terá detectado 40 esquemas de fraude dirigidos aos clientes das várias instituições bancárias presentes em Portugal.

De acordo com uma notícia publicada pelo Correio da Manhã, terão sido afectados pelas burlas identificadas pela polícia 20 mil clientes e destas acções resulta um desvio anual de cerca de 7,5 milhões de euros.

Os métodos mais usados serão o envio de emails que escondem programas desenhados para recolher informação confidencial, bem como o recurso à criação de sites que supostamente estão a contratar serviços, nos quais a inscrição requer o fornecimento de alguns dados pessoais, nomeadamente o NIB.

(…)

Acrescento que os artigos mais procurados no Google e que dão entrada no WebSegura estão relacionados com o phishing na banca em Portugal.

← Mais antigos
Mais recentes →