Categoria: avast

Avast disponibiliza ferramenta para desbloquear ficheiros do ransomware DoNex

Os investigadores da empresa de segurança Avast estariam a distribuir ferramentas para desencriptar os conteúdos que tenham sido bloqueados pelo ransomware “DoNex”, pelo menos desde Março deste ano.

A empresa confirmou agora ter descoberto uma falha na encriptação dos conteúdos por este ransomware, que terá permitido criar uma ferramenta para desencriptar os conteúdos. Esta medida teria sido descoberta quando o grupo ainda se encontrava ativo no mercado, sendo que as vítimas do mesmo estariam a receber a ferramenta por parte da empresa de segurança em segundo plano.

Tendo em conta que o grupo deixou de se encontrar ativo, a empresa veio agora disponibilizar a ferramenta para todos, de forma a que qualquer pessoa que tenha sido alvo do ransomware possa desbloquear os conteúdos.

Embora os investigadores da empresa não tenham deixado detalhes sobre a falha que permitiu criar esta ferramenta, os mesmos indicam que o ransomware usa um sistema algo complexo, mas que uma simples falha teria permitido obter as chaves de desbloqueio dos conteúdos. O ransomware encontrava-se também configurado para encriptar apenas certas extensões de ficheiros, que poderiam ser personalizadas dependendo das vítimas em questão.

O grupo DoNex não é um dos mais conhecidos no meio do ransomware ativo no mercado, embora tenha começado as suas atividades em Abril de 2022. Desde então, terá realizado algumas vítimas, a maioria empresas que foram alvo especificas do grupo. O grupo passou por algumas mudanças durante os meses seguintes, sendo que as suas atividades duraram até Março deste ano, quando a última alteração do mesmo teria sido feita.

Desde então, não voltaram a surgir casos de vítimas do grupo, o que também pode ter motivado a empresa a agora ter disponibilizado a ferramenta para desencriptar os conteúdos bloqueados.

08/07/2024
Microsoft corrigiu falha grave no kernel do Windows usada em ataques

A Microsoft confirmou ter corrigido um bug de elevada gravidade no kernel do Windows, quase seis meses depois deste ter sido reportado inicialmente como estando a ser ativamente usado para ataques.

A falha foi inicialmente descoberta por um investigador de segurança da empresa Avast, sendo que dizia respeito a um driver do sistema. Quando explorada, a falha poderia permitir aos atacantes obterem permissões administrativas no sistema, e consequentemente, obter acesso alargado ao mesmo.

Esta falha estaria presente em todas as versões do Windows 10 e Windows 11, incluindo as mais recentes, mas também para o Windows Server 2019 e 2022. A falha foi considerada como grave tendo em conta que poderia ser facilmente explorada, mesmo sem interação dos utilizadores.

Segundo a Microsoft, o atacante apenas necessitaria de obter acesso ao sistema operativo, e dentro de uma conta do mesmo, executar uma aplicação maliciosamente criada para explorar a falha, obtendo assim permissões administrativas.

A Microsoft confirmou que a falha foi corrigida a 13 de Fevereiro, embora apenas tenha informado a comunidade de tal no dia 28 de Fevereiro – indicando também que a falha era conhecida por estar a ser ativamente explorada para ataques, mas não foram divulgados detalhes sobre o impacto final.

Segundo os investigadores da Avast responsáveis pela descoberta, esta falha já estaria a ser ativamente explorada desde meados de Agosto de 2023, e terá sido usada sobretudo para campanhas de espionagem, com o objetivo de recolher dados sensíveis de alvos específicos.

Os investigadores acreditam que a falha poderia estar a ser ativamente explorada pelo grupo Lazarus, que é reconhecido por ter ligações ao governo da Coreia do Norte.

02/03/2024
Avast multada nos EUA por recolher dados dos utilizadores desde 2014

As autoridades dos EUA aplicaram uma multa à Avast, empresa de segurança, por vender os dados dos utilizadores dos programas da empresa para fins publicitários. A empresa encontra-se ainda banida de usar os mesmos no futuro para venda ou para fins de publicidade.

De acordo com a FTC, a Avast terá violado os direitos de milhares de consumidores, ao recolher, armazenar e vender os seus dados de navegação, sem o conhecimento dos mesmos, para fins de publicidade. Esta recolha era realizada enquanto os mesmos estariam a usar softwares da empresa que, teoricamente, prometiam bloquear essa recolha de informação.

A FTC acusa a Avast das suas práticas, sobretudo porque o software que a empresa fornecia aos consumidores era apresentado como sendo usado para bloquear exatamente essa recolha de informações.

Ao mesmo tempo, as autoridades alegam ainda que a quantidade de dados recolhidos dos utilizadores é surpreendente, com mais de oito petabytes de informação armazenada pela empresa datada de 2014.

A FTC alega ainda que a Avast terá começado a recolher os dados desde 2014, e não informou os consumidores de tais práticas, ao mesmo tempo que não fornecia formas simples de impedir essa recolha ou dos utilizadores removerem os dados que foram recolhidos.

Por entre a informação recolhida encontram-se dados dos sites visitados, a hora em que tal ocorreu, e em alguns casos, informação potencialmente sensível que poderia encontrar-se nos sites. A empresa alega que todos os dados foram recolhidos de forma anónima, embora as autoridades tenham confirmado que existe a possibilidade de associar a informação recolhida com utilizadores específicos.

A FTC acusa ainda a Jumpshot, empresa subsidiária da Avast que realizava a recolha dos dados, de armazenar os mesmo de forma indefinida, além de ter vendido esses dados para mais de 100 empresas entre 2014 e 2020.

A empresa encontra-se assim com uma multa de 16.5 milhões de dólares, derivado das atividades realizadas com o seu software. Além disso, a empresa terá ainda de eliminar todos os dados recolhidos durante estes anos, e encontra-se proibida de recolher dados sem autorização dos seus clientes.

22/02/2024
Avast confirma que esteve a marcar app da Google como malware

Recentemente alguns smartphones das marcas Huawei, Vivo e Honor começaram subitamente a marcar a app da Google como sendo maliciosa, através do sistema de segurança integrado nos dispositivos. Agora conhecem-se mais detalhes sobre a origem do problema.

Aparentemente este problema terá ocorrido devido a uma falha nas bases de dados da empresa de segurança Avast, que são usadas pelo sistema de segurança nestes dispositivos. Derivado de um problema com as bases de dados da empresa, a aplicação da Google começou subitamente a ser marcada como “trojan”, sendo recomendado aos utilizadores que removessem a mesma dos dispositivos.

Na altura que os problemas começaram a surgir, acreditava-se que poderia ser derivado do Google Play Protect, mas a Google veio rapidamente confirmar que tal não estaria a acontecer. A app encontrava-se a ser marcada como malware no sistema de segurança que estes dispositivos usam – o qual é baseado em bases de dados e de assinaturas de malware externas, neste caso, da Avast.

Segundo o comunicado da empresa, esta confirma que uma falha na base de dados fornecida para o sistema de segurança destes dispositivos terá causado o problema, levando a que a app da Google fosse considerada “malware” como um falso positivo. A identificação como tal estaria a ser feita pela aplicação Huawei Optimizer, que é usado para otimizar o sistema, e onde se integra também uma ferramenta de verificação de apps por malware.

A empresa sublinha ainda que o problema foi rapidamente resolvido, e apenas afetou utilizadores fora da China.

31/10/2023
Avast e AVG brilham em teste de proteção contra malware no mundo real

Existem muitas soluções de segurança para proteger os utilizadores do Windows, mas nem todas são iguais. E a própria segurança que as mesmas garantem pode mudar consideravelmente com o tempo.

Empresas como a AV-Comparatives tentam analisar essas mudanças, para ajudar os consumidores a encontrarem as melhores soluções para proteger os seus sistemas. E recentemente, a entidade avaliou algumas das soluções no mercado, no que esta classifica como teste de proteção no “mundo real”.

Este teste foi realizado entre Julho e Agosto de 2023, e avaliar o nível de proteção das diferentes soluções contra possíveis ameaças que se distribuem pela internet.

Dos vários testes realizados, as soluções de segurança que se destacam são as da Avast e AVG, que conseguiram bloquear 100% das amostras apresentadas – num total de 254 exemplos de amostras maliciosas.

O Trend Micro também obteve uma boa proteção, mas que foi prejudicada pelo elevado volume de falsos positivos. O F-Secure obteve igualmente uma boa proteção, mas com uma taxa elevada de falsos positivos.

Curiosamente, a proteção da Microsoft obteve valores abaixo do esperado, com uma taxa de proteção de 99.2%. A pior solução foi a da Panda, protegendo apenas 98.4% das amostras testadas.

De notar que a Avast e a AVG usam o mesmo motor de base, tendo em conta que fazem parte da mesma empresa, o que justifica o facto de terem valores similares.

19/09/2023
MIUI bloqueia o Telegram na China

Os utilizadores de dispositivos da Xiaomi na China, podem agora ter alguns problemas para instalar o Telegram nos seus dispositivos. Isto porque a MIUI encontra-se a classificar a aplicação como sendo maliciosa para esta região.

A MIUI conta, por entre as suas funcionalidades, com um verificador de malware, que analisa todas as apps instaladas no dispositivo. Esta é uma linha de proteção básica que se encontra no sistema, e que normalmente usa assinaturas de base de dados de outras empresas – no caso do mercado europeu, usa a base de dados da Avast.

No entanto, esta funcionalidade também tem sido alvo de críticas, em parte porque, no passado, foi usada para bloquear a instalação de algumas apps que não eram a favor da empresa ou do governo da China.

E agora, parece que se encontra a ser aplicada uma nova medida similar, tendo em conta que o Telegram está a ser considerado como “malicioso” pela funcionalidade para os utilizadores na China.

Quando os utilizadores tentem instalar o Telegram em dispositivos da Xiaomi na China, agora estes recebem uma notificação a informar que a app é maliciosa, bloqueando o processo. A mensagem informa os utilizadores que a app não passou nos parâmetros de segurança da Xiaomi, e como tal, a sua instalação é bloqueada.

De notar que o Telegram é considerado uma das plataformas usadas para contornar algumas das medidas de censura e monitorização pelo governo da China, e portanto, encontra-se fortemente limitado no pais. Ao mesmo tempo, várias plataformas sociais na China encontram-se também limitadas, como é o caso do Instagram, Facebook, X, entre outras.

As únicas apps que operam na região serão as que se encontram com algum controlo por parte das autoridades, normalmente sobre fortes medidas de censura ou monitorização.

De momento ainda não existe unam confirmação oficial da Xiaomi na China para a indicação, nem por quanto tempo será mantida.

11/08/2023
Extensões do Chrome com milhares de downloads removidas por conterem conteúdo malicioso

Uma das características mais usadas do Chrome encontra-se no facto de permitir usar extensões, que basicamente aumentam as capacidades do navegador e ajudam os utilizadores no dia a dia.

No entanto, este género de “extras” podem também ser a porta de entrada para possíveis ataques. Foi exatamente isso o descoberto recentemente, onde um conjunto de 32 extensões maliciosas foram identificadas na Chrome Web Store, com mais de 75 milhões de downloads, estariam a realizar atividades maliciosas nos sistemas das vítimas.

A Chrome Web Store e as extensões do Chrome têm vindo a ser cada vez mais o foco de malware, sendo que temos vindo a verificar um aumento considerável no número de extensões maliciosas disponíveis na plataforma.

Em meados de Maio, o investigador Wladimir Palant revelou ter descoberto que a extensão PDF Toolbox, com mais de 2 milhões de downloads, estaria a esconder atividades maliciosas na mesma, que poderia injetar código javascript em todos os sites visitados pelos utilizadores.

Na altura, o investigador afirmava que o foco era, sobretudo, em injetar ou adulterar a publicidade existente nos sites. No entanto, o caso alastrou-se recentemente para um valor ainda mais elevado.

Palant afirma ter descoberto outras 18 extensões na Chrome Web Store, faz apenas alguns dias, que também continham o mesmo género de atividades. Estas extensões terão sido descarregadas mais de 55 milhões de vezes.

Apesar de uma parte das extensões terem sido removidas da plataforma da Google, ainda existem algumas que se encontram ativas, e podem manter as suas atividades nos sistemas das vítimas.

No entanto, como se a situação não fosse grave o suficiente, durante o dia de hoje, a empresa de segurança Avast revelou ter descoberto um novo conjunto de extensões igualmente maliciosas, elevando o número total para 32. No total, estas extensões contam com mais de 75 milhões de downloads.

Estas também teriam a capacidade de injetar código nos sites visitados pelos utilizadores, sendo que o foco seria adulterar a publicidade dos mesmos para proveito dos criadores. As extensões realizavam as funcionalidades a que se prometiam apesar das segundas intenções.

A ter em conta que as extensões maliciosas removidas da Chrome Web Store não são automaticamente removidas dos navegadores dos utilizadores, portanto ainda existe a necessidade de os mesmos eliminarem qualquer extensão que considerem não ser benéfica para o uso no dia a dia.

Como prática de segurança, também se deve evitar usar extensões desnecessárias no navegador, mantendo apenas as que sejam consideradas importantes e tenham uma boa reputação dentro da comunidade.

02/06/2023
“Terminator” é um malware capaz de parar qualquer software de segurança

Recentemente começou a surgir na internet, sobretudo na dark web, um novo malware, conhecido apenas como “Terminator”, mas que possui capacidades alegadamente devastadoras. Este é um programa capaz de terminar praticamente todas as soluções de segurança que se encontram atualmente no mercado.

Isto poderia ter graves consequências, já que, conjugado com um malware, o Terminator pode terminar processos de segurança usados para identificar as atividades maliciosas. A ferramenta encontra-se a ser promovida por um grupo conhecido como “Spyboy”.

De acordo com o criador, este malware é capaz de terminar silenciosamente as tarefas de segurança de 23 softwares de segurança, incluindo de nomes como a Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, McAfee, Bitdefender, Malwarebytes e muitos mais. O software encontra-se atualmente à venda por cerca de 300 dólares para uma aplicação especifica, ou 3000 dólares para todas as variantes de proteção.

De acordo com Andrew Harris, investigador da empresa de segurança CrowdStrike, o malware aparenta ser legitimo, sendo que é atualmente identificado por apenas um pequeno conjunto de softwares. O mesmo gera um driver aparentemente legitimo do Zemana Anti-Malware, instalando o mesmo no sistema e ganhando, desta forma, permissões para terminar qualquer processo no mesmo de forma invisível.

A analise do malware aponta que o mesmo é legitimo e possui capacidades que promete, mas possivelmente vai começar também a ser rapidamente identificado pela maioria dos softwares de proteção, limitando a sua capacidade de atuação.

Os utilizadores interessados podem verificar mais informações no post criado pelo investigador no Reddit, onde se encontram os detalhes do caso e sobre o malware em particular.

01/06/2023
Microsoft Defender com uma das piores classificações a nível de desempenho

A Microsoft tem realizado melhorias para o seu sistema de proteção integrado no Windows 11 e 10, o Microsoft Defender. No entanto, parece que ainda existe algum trabalho a ser feito pela empresa, sobretudo a nível dos recursos usados pelo programa.

A empresa de análise de antivírus AV-TEST lançou o seu mais recente relatório sobre os antivírus mais populares no mercado, e desta vez a solução da Microsoft não surge nos melhores critérios a nível de um ponto: o desempenho.

De acordo com a AV-TEST, apesar de o Microsoft Defender ter boas classificações a nível da proteção e usabilidade, sobretudo porque se integra diretamente com o Windows, ao mesmo tempo é uma das soluções que possui das piores classificações a nível do desempenho.

Soluções como o Avast, Avira, Bitdefender, G DATA, K7 Computing, Kaspersky, Malwarebytes, PC Matic, Protected.net e Trend Micro praticamente não necessita de recursos consideráveis do sistema para realizarem as suas tarefas do dia a dia, com vista a manterem os utilizadores protegidos. Em contrapartida, o Microsoft Defender recebeu uma classificação de 5 em 6 pontos, o que lhe aponta alguns problemas.

Esta queixa não é nova. Na realidade, faz algum tempo que a solução da Microsoft tende a obter maus resultados a nível do desempenho, mesmo estando integrada diretamente no Windows. A sua proteção é boa, mas para atingir esse ponto usa demasiado processador e memoria nas tarefas regulares.

A Microsoft tem realizado algumas melhorias neste aspeto, mas ainda se encontram longe de solucionar todos os problemas.

09/05/2023
Esquemas de phishing estão a aumentar consideravelmente

Durante os primeiros meses de 2023, o número de ataques de phishing aumentou consideravelmente, sobretudo focado contra empresas.

Os dados mais recentes da empresa de segurança Avast indicam que, nos primeiros três meses do ano, registou-se um aumento de 40% no número de ataques de phishing. Um dos métodos mais comuns passa por enganar as vítimas fazendo passar supostas campanhas de reembolso de grandes marcas no mercado.

Na maioria dos casos, o esquema começa com conteúdos em anexo a emails de phishing, que direcionam os utilizadores para sites externos ou para conteúdos onde estes podem ser enganados. Em alguns casos, estes conteúdos também instalam malware nos sistemas, levando a ainda mais roubos de dados, entre os quais contas de redes sociais e diferentes plataformas na Internet.

Os investigadores indicam que, na grande maioria dos casos, o objetivo passa por levar ao roubo do máximo de informação pessoal possível, que poderá depois ser vendida em mercados da dark web ou usada para outros esquemas.

Jakub Kroustek, diretor da divisão de malware da Avast, afirma que os dados dos utilizadores são cada vez mais valiosos, e não importa se os utilizadores os consideram como tal ou não. Para os atacantes, esta informação pode valor bastante e será, quase sempre, usada para ainda mais esquemas.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem sempre ter atenção à origem de conteúdos que recebam nos seus dispositivos, e sobretudo quando estes partem de fontes desconhecidas ou, usando a expressão popular, “são demasiado bons para ser verdade”.

04/05/2023
Plataforma de assinatura de documentos da Adobe usada para distribuir malware

O Adobe Acrobat Sign é uma funcionalidade útil para os utilizadores que pretendam assinar documentos digitais, facilitando a tarefa. No entanto, esta ferramenta tem vindo, recentemente, a ser usada também como forma de distribuição de malware.

Foi recentemente descoberto que a aplicação da Adobe encontra-se a ser usada para vários esquemas de malware, nomeadamente para campanhas de propagação de malware focado em roubar dados de login e dados pessoais das vítimas.

De acordo com os investigadores da Avast, responsáveis pela descoberta da campanha, a mesma pode contornar algumas medidas de proteção que os utilizadores tenham implementado nos seus sistemas.

O Adobe Acrobat Sign, na sua base, trata-se de uma plataforma de teste que permite aos utilizadores assinarem documentos virtuais, como PDFs, bem como enviarem e autenticarem os mesmos para terceiros.

Nesta campanha, os criminosos tiram proveito do serviço para enviarem os conteúdos maliciosos a possíveis vítimas, nomeadamente ficheiros DOC e HTML, que se encontram armazenados diretamente nos servidores da Adobe. Uma vez que os documentos são assinados na plataforma da Adobe, os mesmos parecem ter origem nos sistemas da empresa – embora tenham sido criados pelos criminosos para enganar as vítimas.

Estando sob o nome da Adobe, alguns utilizadores podem considerar os conteúdos seguros, acabando por aceder aos mesmos e, no processo, podem acabar por instalar malware nos seus sistemas.

Esta campanha foca-se, sobretudo, para criadores de conteúdos online, onde são enviados documentos que alegam ser conteúdos de violação de direitos de autor ou similares, onde os utilizadores necessitam de aceder à plataforma da Adobe para verem os mesmos. Tendo em conta que os conteúdos estão diretamente nos servidores da Adobe, existe quem possa considerar os mesmos como seguros.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção a qualquer conteúdo que recebam de terceiros, e devem, sempre que possível, tentar validar a autenticidade dos mesmos.

16/03/2023
Mods de DOTA 2 descobertos como contendo malware

Um grupo de investigadores de segurança revelaram ter descoberto um conjunto de malwares que se propagam como mods para o popular jogo DOTA 2.

De acordo com os investigadores da Avast Threat Labs, uma entidade ainda desconhecida tem vindo a partilhar pela internet quatro mods para DOTA 2, sendo que os mesmos possuem alterações maliciosas que podem permitir o acesso remoto aos sistemas onde estes se encontrem.

Os mods encontravam-se a ser fornecidos via a Steam, sobre os nomes Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794), e Overthrow RTZ Edition X10 XP (id 2780559339).

Por entre os ficheiros dos mods encontram-se um que permite aos atacantes realizarem vários comandos sobre o sistema, desde o envio de comandos remotos, acesso a ficheiros e o controlo remoto do sistema. Este poderia ainda permitir ao atacante instalar mais malware sobre os sistemas afetados.

Ao mesmo tempo, estes mods também estariam a explorar uma falha sobre o motor base do Chrome, que é usado dentro do DOTA 2 para o carregamento de conteúdos web. A exploração desta falha poderia permitir ataques diretos contra outros jogadores do título.

A Avast afirma ter reportado as falhas à Valve e aos estúdios da DOTA 2, sendo que a correção foi entretanto lançada.

A Valve também confirmou ter removido da sua plataforma os mods criados de forma maliciosa, embora os utilizadores que os tenham descarregado ainda os possam ter instalados no sistema – e devem proceder com a remoção o mais rapidamente possível.

09/02/2023
Softonic acusada de roubar conteúdos e colocar os mesmos sobre publicidade

A plataforma Itch.io é conhecida por permitir a programadores independentes lançarem os seus títulos para a comunidade, e uma excelente forma de criadores de jogos indie poderem começar a ganhar alguma popularidade com os seus títulos.

No entanto, a plataforma encontra-se agora a deixar duras acusações contra outra plataforma igualmente reconhecida na internet: a Softonic.

A Softonic é uma plataforma conhecida por oferecer um portefólio de downloads para os utilizadores, onde estes podem encontrar programas guardados nos servidores da entidade, e disponíveis como alternativa para quando as fontes originais não estão disponíveis.

No entanto, este programas encontram-se normalmente associados com páginas cheias de publicidade e com software extra associado para instalação nos sistemas dos utilizadores. E será aqui que começam os problemas coma Itch.io.

A plataforma de jogos deixou recentemente uma mensagem contra a Softonic, afirmando que esta se encontrava a distribuir os conteúdos de programadores da Itch.io, colocando mesmo publicidade nos resultados de pesquisa do Google para os seus portais, invés do site focado do criador dos títulos.

A plataforma afirma mesmo que a Softonic se encontra a “roubar” os títulos que são fornecidos na Itch.io, colocando os mesmos disponíveis sobre publicidade e adware, até mesmo depois desses títulos serem removidos pelos autores originais.

A piorar a situação, a Softonic é ainda acusada de fornecer primeiro downloads para conteúdos de publicidade e patrocinados, antes de fornecer o que os utilizadores realmente pretendem. Num dos exemplos, os criadores do jogo “Californication” afirmam que o site terá colocado o jogo disponível para download na sua plataforma, apenas para redirecionar os utilizadores que acedem ao mesmo para um site de parceiros, que descarrega primeiro o instalador do Avast e apenas depois o ficheiro real.

A Itch.io afirma que este género de práticas prejudica os criadores dos conteúdos originais, uma vez que deixa de permitir o controlo do que se pretende que seja disponibilizado, ao mesmo tempo que dá pouco relevo para a fonte original dos conteúdos.

20/01/2023
Avast lança ferramenta de desbloqueio do ransomware BianLian

As vítimas do ransomware BianLian possuem agora uma pequena esperança de recuperar os seus ficheiros encriptados, tendo em conta que a empresa de segurança Avast revelou ter disponibilizado uma nova ferramenta de desbloqueio deste ransomware.

De acordo com a empresa, o programa agora fornecido pretende ajudar as vitimas do ransomware BianLian a recuperarem os seus ficheiros sem terem de pagar por isso. Este programa surge também cerca de meio ano depois das atividades do grupo do ransomware terem começado a aumentar.

O BianLian começou a tornar-se mais popular durante o Verão de 2022, tendo afetado algumas empresas de renome no mercado. No entanto, a ferramenta agora disponível apenas pode ajudar as vítimas de versões conhecidas do ransomware BianLian – algumas mais recentes não podem ser desbloqueadas com este programa.

De relembrar que o ransomware BianLian é conhecido por atacar sobretudo empresas, sendo focado em sistemas Windows. O mesmo usa uma encriptação de algoritmo AES-256, e pode encriptar ficheiros em mais de 1013 extensões diferentes. Os ficheiros encriptados ficam bloqueados sobre a extensão .bianlian.

A ferramenta da Avast permite o desbloqueio dos ficheiros, sendo que os utilizadores devem fornecer um ficheiro encriptado para se recolher do mesmo a senha, e proceder em seguida ao desbloqueio de mais conteúdos no sistema.

Mais informações sobre a ferramenta podem ser encontradas no site da Avast.

16/01/2023
Antivírus podem ser enganados para removerem dados do sistema

Quando se instala um antivírus num sistema, espera-se que o mesmo seja usado para proteger o mesmo de ataques externos. No entanto, estes programas tendem a manter um nível de acesso bastante elevado dentro do sistema operativo – e com potencial de causar danos se usado para as tarefas contrárias ao desejado.

Recentemente um investigador revelou ter descoberto uma forma de “enganar” alguns dos mais populares softwares de segurança no mercado, tornando-os em programas de eliminação de dados do sistema.

O investigador afirma que foi capaz de realizar esta tarefa nos programas de segurança da Microsoft, SentinelOne, TrendMicro, Avast e AVG, basicamente tornando-os em “malware”.

O investigador Or Yair teve esta ideia aproveitando a base de acesso que os antivírus normalmente possuem para o sistema operativo. O mesmo terá descoberto que, usando alguns truques, é possível levar os programas de segurança a eliminarem conteúdos do sistema considerados como fundamentais – como pastas dos utilizadores ou até mesmo pastas do próprio sistema operativo – basicamente tornando o antivírus numa espécie de “malware”.

A maioria dos softwares de segurança contam com uma monitorização ativa e permanente, e quando identificam ficheiros maliciosos, procedem com a quarentena dos ficheiros ou até mesmo a eliminação dos mesmos. Aproveitando essa ideia, o investigador terá conseguido fazer com que os programas considerem pastas do sistema como “malware”, levando à sua eliminação.

O mais grave desta situação é que o “truque” nem necessita que os utilizadores tenham propriamente grande acesso ao sistema. Um utilizador com privilégios regulares pode levar à ativação do mesmo, levando o antivírus a remover componentes essenciais do sistema e a tornar o mesmo inacessível.

O investigador afirma que a falha pode ser explorada no Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus, e AVG Antivírus.

Ao mesmo tempo, foram também feitos testes sem sucesso sobre os softwares da Palo Alto, Cylance, CrowdStrike, McAfee, e BitDefender. Nestes casos, os programas não realizaram as atividades de remoção dos conteúdos – e portanto estão seguros.

A recomendação para os utilizadores dos programas afetados será que mantenham os mesmos atualizados para as versões mais recentes, uma vez que as empresas em questão terão sido notificadas do problema e encontram-se a fornecer a correção para a mesma.

09/12/2022
Extensão maliciosa do Chrome roubava dados e criptomoedas dos utilizadores

As extensões do Google Chrome são uma funcionalidade poderosa para ser usada como adição ao navegador, mas ao mesmo tempo também podem ser a porta de entrada para os mais variados ataques. E recentemente, foi descoberta uma nova extensão que estaria a realizar exatamente isso.

Os investigadores da empresa de segurança Avast revelaram ter descoberto uma nova extensão para Chrome, apelidada de “VenomSoftX”, que quando instalada pode deixar o sistema das vítimas sobre risco.

A extensão teria como objetivo levar ao roubo de dados das vítimas, nomeadamente de dados de login e de carteiras de criptomoedas que pudessem ser acedidas pelo navegador.

A empresa de segurança afirma ter identificado a instalação da extensão em mais de 93.000 sistemas, a grande maioria nos EUA, Brasil e Índia. No entanto, o mapa de infeções também indica uma quantidade considerável para utilizadores em Portugal.

O ViperSoftX era distribuído sobretudo por conteúdos maliciosos na internet, como ativadores de jogos e cracks de programas online. Uma vez instalado no sistema, este era ativado como uma extensão no navegador do Chrome, procedendo ao roubo de dados.

Os investigadores afirmam que o malware terá roubado mais de 130.000 dólares em criptomoedas das carteiras digitais das vitimas, tendo em conta as carteiras que se encontravam referidas no código do malware para envio dos fundos.

Para evitar a deteção, o malware instalava-se como uma extensão sobre o nome de “Google Sheets 2.1”, onde a maioria dos utilizadores iria pensar que se tratava de uma atualização para a versão legitima da Google.

Quando a extensão identificava que os utilizadores estavam a enviar criptomoedas para uma carteira, esta alterava o conteúdo do formulário de envio ou da área de transferência para integrar uma carteira em controlo dos atacantes. A extensão tinha ainda a capacidade de modificar alguns websites para apresentarem incorretamente a carteira dos atacantes, invés de carteiras legitimas que os utilizadores poderiam estar a enviar pagamentos.

Como sempre, é recomendado que os utilizadores verifiquem as definições do navegador, para identificar qualquer potencial extensão que seja desconhecida e esteja instalada no mesmo.

23/11/2022
Novo malware esconde-se dentro de ficheiros de imagem PNG

Existe uma nova tendência na forma como malware se tem vindo a distribuir, passando dos tradicionais formatos para começar a ser integrado em ficheiros aparentemente benignos.

De acordo com as empresas de segurança ESET e Avast, desde Setembro de 2022 que uma nova campanha de malware tem vindo a propagar-se em força pela Internet. O malware, conhecido como “Worok”, tem vindo a esconder-se sobre ficheiros de imagens PNG regulares, e aparentemente inofensivas.

O malware é capaz de se esconder em ficheiros de imagem PNG, tendo como alvo vitimas de perfil de relevo no mercado, sobretudo nos continentes da África e Ásia. O ataque ocorre em duas etapas, onde na primeira os sistemas são infetados com um DLL malicioso ou programas capazes de abrirem ficheiros de imagem, decifrando o código escondido nas mesmas. Uma vez instalado, o malware procede com o download de aparentes imagens PNG, mas que no código interno possuem a segunda parte do ataque – o malware propriamente dito.

Os investigadores indicam que o malware tira proveito da plataforma de alojamento cloud do Dropbox para enviar ficheiros e outras informações, bem como para descarregar a imagem aparentemente legitima. Como se trata apenas de uma imagem, a maioria dos serviços não irá considerar a mesma como maliciosa, e muitos programas de segurança também podem ignorar o conteúdo.

Uma vez no sistema, o malware procede com as suas atividades maliciosas, roubando informações sensíveis do mesmo, como senhas e carteiras virtuais de criptomoedas.

13/11/2022
Chrome recebe nova correção para falha zero-day

A Google tem vindo a estar atarefada na correção de falhas sobre o seu navegador, e recentemente a empresa revelou que uma das suas recentes atualizações para o Chrome pretende também corrigir uma falha zero-day no mesmo.

De acordo com a empresa, as recentes atualizações fornecidas para o Google Chrome corrigem uma falha zero-day no mesmo, a CVE-2022-3723, que se encontra classificada como sendo de elevada gravidade e afeta o motor de javascript do navegador. A falha terá sido identificada pela empresa de segurança da Avast.

Apesar de não terem sido revelados, para já, detalhes sobre a falha, a empresa recomenda que os utilizadores verifiquem se os seus navegadores estão atualizados para a versão 107.0.5304.87/88 ou mais recente. A empresa espera revelar mais detalhes da falha quando uma quantidade elevada de utilizadores tiverem atualizado os seus sistemas para as versões mais recentes do Chrome.

Por norma, este género de falhas ocorrem quando existe o potencial de sites maliciosos explorarem a falha para executarem código malicioso no navegador. No entanto, sem informação concreta do que a falha dirá respeito torna-se complicado de indicar.

Para já, os utilizadores do Chrome são aconselhados a manterem o navegador atualizado para a versão mais recente, de forma a evitarem a exploração.

28/10/2022
Avast causa problemas na atualização do Thunderbird

Os utilizadores do software de segurança da Avast e da AVG podem verificar alguns problemas caso tentem instalar as atualizações mais recentes do cliente de email do Thunderbird.

Ao que parece, de acordo com os relatos de vários utilizadores, a Avast encontra-se a bloquear a instalação das versões mais recentes do Thunderbird. Esta falha encontra-se a ocorrer tanto no software da Avast como também da AVG – que faz parte da empresa, e como tal, usa a mesma base de dados.

A empresa já terá confirmado o problema, indicando que se encontra a trabalhar para resolver o mesmo o mais rapidamente possível. Ao que parece, a falha encontra-se relacionada com o módulo de proteção de email, que se encontra disponível tanto no Avast como AVG. Este módulo é usado para garantir uma camada extra de segurança em clientes de email locais – verificando as mensagens por malware, spam ou phishing.

No entanto, parece que as recentes versões do Thunderbird encontram-se a causar problemas com o mesmo. Quando os utilizadores tentam atualizar as suas instalações do cliente de email, esta simplesmente falha no processo.

Apesar de a Avast estar a trabalhar numa versão beta do seu programa para resolver o problema, esta atualização ainda não é considerada como “estável”, e, portanto, não vai chegar a uma grande parte dos utilizadores da suíte de segurança.

Os utilizadores que sejam afetados por este problema podem, entretanto, desativar temporariamente o Avast ou AVG, o que deverá permitir concluir a instalação das atualizações no Thunderbird.

18/10/2022
Avast causa problemas no navegador Firefox em recente atualização

Os utilizadores do Firefox sobre o Windows podem, nas recentes atualizações, terem verificado alguns problemas com o navegador, nomeadamente na altura de o iniciar. Segundo os relatos, os utilizadores verificavam que o navegador não estava a iniciar corretamente depois da última atualização.

Após a investigação da Mozilla, agora conhecem-se mais detalhes sobre os motivos. Ao que parece, a mais recente atualização fornecida para o Firefox estaria a causar alguns problemas em sistemas onde o antivírus da Avast estaria também instalado.

Nestes sistemas, ao tentar iniciar-se o navegador da raposa, este apenas falhava. Em causa encontrava-se uma aparente incompatibilidade entre a versão recente do Firefox e o Avast, que estaria a levar à falha.

Segundo um dos programadores da Mozilla, a solução da Avast encontrava-se a marcar alguns dos componentes do Firefox como sendo literalmente ransomware, tratando-se claramente de um falso positivo. No entanto, este seria o suficiente para causar os problemas, e em muitos casos o próprio Avast nem alertava do facto de se tratar de ransomware.

De notar que as falhas também eram verificadas em sistemas que tinham o antivírus da AVG, empresa que foi adquirida pela Avast em 2016 e usa o mesmo motor de base, com funcionamento similar ao existente no programa principal. Como tal, este também poderia levar às falhas sobre o navegador.

Face aos problemas, e ao facto que o Avast é uma solução de segurança bastante utilizada no mercado, a Mozilla já disponibilizou a nova versão do Firefox 105.0.3, sendo que esta apenas conta com uma correção – focada exatamente neste problema.

Os utilizadores afetados podem descarregar a versão mais recente a partir do site da entidade, ou deixar o sistema atualizar automaticamente o navegador. É também recomendado que se verifique se o software da Avast ou da AVG se encontram nas versões mais recentes, para evitar também problemas.

08/10/2022
Avast lança ferramenta de desbloqueio do ransomware Hades
A empresa de segurança Avast revelou ter lançado um novo desencriptador para as variantes do ransomware Hades, conhecidas como ‘MafiaWare666’, ‘Jcrypt’, ‘RIP Lmao’ e ‘BrutusptCrypt’.

Esta nova ferramenta pode permitir que as vítimas deste ransomware consigam recuperar os ficheiros encriptados, sem terem de pagar o resgate de tal. Segundo a empresa de segurança, a ferramenta de desencriptação terá sido possível de ser criada devido a uma falha descoberta na encriptação do ransomware, que permite ao mesmo ser desbloqueado.

No entanto, é importante sublinhar que esta ferramenta pode não funcionar com variantes mais recentes ou que ainda estejam desconhecidas, onde a falha explorada para o desbloqueio pode já ter sido corrigida. Em todo o caso, será certamente uma ajuda para as vítimas deste ransomware.

A ferramenta suporta ficheiros que tenham sido encriptados sobre as extensões:
- .MafiaWare666
- .jcrypt
- .brutusptCrypt
- .bmcrypt
- .cyberone
- .l33ch
O download da ferramenta pode ser feito a partir deste site, sendo que os utilizadores podem selecionar o disco onde estão os conteúdos encriptados para realizar o desbloqueio. É também necessário conter um exemplo de um dos ficheiros originalmente encriptados e a sua versão antes do processo.

De notar que o processo de desbloqueio dos ficheiros pode demorar várias horas a ser concluído, sendo bastante lento. Mas no final, as vítimas devem ter os ficheiros recuperados nas localizações originais.
05/10/2022
Utilizadores criticam compra da extensão de controlo de cookies pela Avast

Independentemente dos sites que aceda na internet, certamente já deve ter visto os banners de aviso dos cookies em muitos. Esta “necessidade” pode ser bastante incomodativa, e é exatamente por isso que existem extensões como a “I don’t care about cookies”, que permitem remover automaticamente estes banners – ao mesmo tempo que fornecem a privacidade de não aceitar os mesmos.

No entanto, apesar de o feedback da extensão ter sido positivo até agora, recentemente surgiram algumas mudanças que parecem ter mudado um pouco essa ideia. A extensão era até agora gratuita, sendo que a única fonte de receita seriam as doações de alguns utilizadores.

No entanto, o programador da mesma veio recentemente deixar uma nova mensagem que abalou a comunidade da extensão, tendo sido confirmada a venda da mesma para a empresa Avast, reconhecida pelo seu software de segurança, sobre um preço não revelado.

Daniel Kladnik, o criador original da extensão, afirmou na mensagem a anunciar a venda que se encontra entusiasmado por a sua criação ter chegado à atenção de uma empresa como a Avast. No entanto, a ideia não parece ter sido sobre o agrado de muitos.

Tanto nos comentários da publicação como por várias redes sociais, os utilizadores demonstram-se insatisfeitos sobre a compra, em parte porque Avast também é reconhecida por muitos como não tendo as melhores práticas em nível de privacidade.

No passado, a empresa foi acusada de vender dados dos utilizadores associados com o seu software de segurança para diversas empresas, através da sua afiliada Jumpshot – que encerrou as atividades em 2020 depois da investigação que revelou esta partilha de dados.

Em 2019, o criador do Adblock Plus também confirmou que a extensão da empresa, a Avast Online Security, estaria a recolher dados dos utilizadores durante a navegação, incluindo dados potencialmente sensíveis, enviando os mesmos para os sistemas da empresa.

Existem ainda as questões associadas com o CCleaner, que faz parte dos produtos da Avast, e desde a sua aquisição tem vindo a surgir com algumas questões sobre a privacidade, nomeadamente pela recolha de dados que realiza.

Existem algumas alternativas, como é o caso da “Consent-O-Matic”, no entanto estas não contam com a mesma popularidade e destaque que se encontra sobre a extensão “I don’t care about cookies”.

17/09/2022
Microsoft Defender perde em segurança para os rivais em teste do mundo real

A Microsoft tem vindo a melhorar consideravelmente a sua solução de segurança do Defender, e isso notou-se nos últimos testes independentes que foram feitos sobre a solução. Com estes, a suíte de segurança atingiu bons valores, protegendo a maioria dos ataques e tendo até melhorado consideravelmente alguns pontos de falhas do passado.

No entanto, este género de testes possui uma falha: eles são realizados em laboratório, e muitas vezes sobre regras bastante especificas que, para a maioria dos softwares de segurança, são consideradas básicas.

Quando o software é colocado à prova no “mundo real”, o resultado pode ser consideravelmente diferente. E o recente teste da AV-Comparatives demonstra exatamente isso.

Depois de uma onda de vitórias em vários testes, o Microsoft Defender Agora atinge uma baixa reputação de segurança sobre o teste no mundo real. O teste de proteção no mundo real tenta simular o melhor possível o uso de um sistema em ambiente online – com navegação pela internet, downloads esporádicos, etc. Em base, o mais aproximado possível do que os utilizadores podem realizar no dia a dia.

Neste teste, o Defender fica atrás de algumas soluções existentes no mercado. Ainda possui uma taxa de 99% de bloqueio contra ataques, mas ao mesmo tempo o número de falsos positivos aumentou face ao teste anterior, e a própria proteção caiu.

Para comparação, soluções como a Avast, AVG ou Avira tiveram uma pontuação máxima e sem falsos positivos.

Isto não quer dizer que o Defender seja inteiramente mau. De todo o nível de proteção ainda é consideravelmente elevado, e certamente uma opção a usar para quem pretenda algo diretamente integrado no sistema. Mas ao mesmo tempo, tendo em conta que existem soluções até gratuitas que realizam melhor tarefa, isso pode revelar-se problemático para a empresa.

De notar ainda que o Microsoft Defender continua a ser fortemente criticado devido ao impacto que possui para o sistema, muitas vezes associado com baixo desempenho ou uso elevado de recursos.

16/09/2022
Microsoft Defender demonstra-se capaz de proteção elevada em empresas

A Microsoft continua a tentar melhorar cada vez mais o Microsoft Defender, não apenas para a vertente dos consumidores domésticos, mas também para uso em ambientes empresariais.

Sobre os testes independentes da empresa AV-Comparatives, o Microsoft Defender costuma obter uma boa classificação de desempenho e segurança. E agora chegou a vez de se realizar o teste a nível da segurança empresarial, sobre o que é conhecido como testes de proteção contra ataques LSASS.

O Local Security Authority Subsystem Service (LSASS) é um processo do Windows responsável por autenticar os utilizadores no sistema, e muitas vezes usado para ataques elaborados contra sistemas em meios de empresas.

A proteção deste processo é essencial para garantir a boa segurança do sistema em si, e portanto as soluções de segurança devem garantir uma segurança apropriada para tal.

O teste foi feito sobre os seguintes produtos: Avast Ultimate Business Security, Bitdefender GravityZone Business Security Enterprise, Kaspersky Endpoint Detection/Response Expert e Microsoft Defender for Endpoint.

No caso do Microsoft Defender for Endpoint, este voltou a demonstrar-se uma solução capaz de garantir a segurança mesmo nestes ambientes mais exigentes. Em parte, esta proteção é possível graças a todas as melhorias que a Microsoft tem vindo a realizar sobre o programa.

11/09/2022
Avast disponibiliza Ransomware Shield para soluções de empresa

Focado sobretudo para os utilizadores empresariais, a Avast confirmou que vai começar a integrar o seu sistema de proteção contra ataques ransomware sobre os clientes que tenham a aplicação Avast Essential, Premium, e Ultimate para empresas.

O Ransomware Shield, uma solução da Avast focada em proteger contra ataques de ransomware, vai ser integrada gratuitamente em todas as soluções de segurança da empresa focadas para empresas. Segundo a empresa, o número de ataques de ransomware tem vindo a registar um aumento considerável, com foco sobretudo para pequenas e médias empresas.

Como tal, adicionar o Ransomware Shield nestas soluções poderá ajudar a proteger ficheiros e documentos importantes de ataques considerados maliciosos. Os administradores do sistema terão total controlo sobre quais as aplicações que podem aceder aos documentos e em que formato.

De notar que esta novidade aplicar-se para os utilizadores que teriam uma subscrição de empresa para as soluções de segurança da Avast. Os utilizadores do Avast Free ou das soluções dedicadas para fins pessoais já teriam acesso ao Ransomware Shield por padrão.

24/08/2022
Falha zero-day do Chrome usada para infetar jornalistas com spyware

A empresa de segurança Avast encontra-se a alertar para um novo spyware, que se encontra a explorar uma falha de segurança no Google Chrome para espiar jornalistas em vários países. O spyware foi apelidado de “DevilsTongue”, tendo sido criado pela empresa “Candiru”.

O spyware faz uso de uma falha zero-day no Google Chrome, que quando explorada, pode permitir aos atacantes executarem código remoto no sistema. Com isto, é apenas uma questão de tempo até que o spyware seja instalado no sistema.

Os investigadores da Avast afirmam que o spyware terá sido criado com foco para espiar jornalistas, portanto não será propriamente focado para a comunidade em geral. No entanto, existe a possibilidade do spyware se instalar em sistemas que não sejam o alvo final.

A Google corrigiu a vulnerabilidade zero-day que estaria a ser explorada no passado dia 4 de Julho, altura em que foi lançado um patch para o navegador – na altura considerado importante de ser instalado, mas sem detalhes sobre exatamente o que corrigia.

Agora sabe-se que o objetivo seria corrigir a falha explorada por este spyware.

O ataque poderia ser ainda bastante intrusivo, em parte porque poderia ser executado sem qualquer ação dos utilizadores. Estes apenas necessitavam de aceder a um site maliciosamente comprometido para explorara a falha, e poderiam ficar em risco.

A falha afetava o sistema de WebRTC do navegador, e tendo em conta que esta tecnologia também se encontra sobre outros navegadores, nomeadamente o Safari da Apple, estes também poderiam encontrar-se vulneráveis a serem explorados.

21/07/2022
Apple ainda mantêm na App Store 84 aplicações de scam

A Apple pode considerar que todas as suas regras na App Store tornam a plataforma segura para os utilizadores, mas a realidade pode estar um pouco distante disso. Pelo menos esse foi o resultado de uma investigação da empresa de segurança Avast, que em 2021 publicou um estudo onde demonstrou a existência de 133 aplicações perigosas para iOS na App Store.

Quase um ano depois deste estudo ter sido revelado, quase 60% das aplicações inicialmente descobertas ainda se encontram disponíveis para todos. Na realidade, algumas das mesmas verificaram até uma tendência de crescimento de uso ao longo dos meses.

De acordo com um novo relatório publicado pela empresa VPNcheck, durante o mês de Maio deste ano foram registados mais de 7.2 milhões de downloads únicos de aplicações maliciosas, sobre 84 apps identificadas como tal. Os programadores das mesmas terão ganho mais de 8.6 milhões de dólares durante este mesmo período.

A maioria das aplicações que geram estes rendimentos são do formato fleeceware, que cobram valores consideravelmente elevados de subscrição para os utilizadores, e que muitas vezes tornam consideravelmente difícil a tarefa de terminar a subscrição – ao passo que inscrever é feito sobre o pretexto de testes gratuitos e é relativamente simples.

Apesar de este género de aplicações não atacar diretamente os dispositivos dos utilizadores, o objetivo das mesmas passa por gerarem dinheiro com subscrições, das quais os utilizadores muitas vezes não conseguem facilmente sair.

Algumas das apps cobram até para tarefas relativamente simples, sendo que nunca chegam a ver os fundos usados para a subscrição como melhorias futuras. Felizmente é relativamente simples de identificar este género de apps, uma vez que tendem a ter uma review consideravelmente negativa dentro da loja, e comentários de outros utilizadores.

Ainda assim, o facto que se encontram disponíveis para download em primeiro lugar não será uma boa ideia, ainda mais tendo em conta como a Apple apregoa para a segurança dos utilizadores dentro do seu ecossistema e da App Store em particular.

13/07/2022
Jovens estão a formar grupos de “hacking” a partir do Discord

Ransomware não é algo que deva ser tratado como uma brincadeira, mas tendo em conta que é relativamente simples de se encontrar amostras do mesmo, agora existem jovens que se encontram a trocar o mesmo como sendo uma “conversa de Discord”.

De acordo com uma investigação da empresa de segurança Avast, existem cada vez mais jovens que estão a passar ransomware para amigos “como brincadeira”. A empresa de segurança afirma ter descoberto um grupo no Discord focado em criar, partilhar e propagar ransomware como se fosse uma brincadeira de crianças – e com foco exatamente nas mesmas.

Este grupo usa software simples de construção de ransomware para criar as suas próprias adaptações. O mais curioso é que a maioria do público destes grupos são jovens, que propagam o malware como uma brincadeira para amigos ou conhecidos, ou em casos mais graves, como forma de ver se alguma entidade paga o resgate.

A maioria dos jovens entram nestes grupos por considerarem que os mesmos são “engraçados” e por se poderem apelidar de “hackers” no processo. Os construtores de ransomware dão a porta de entrada para essa tarefa, já que não exigem conhecimentos de programação e podem ser usados por praticamente qualquer pessoa de forma bastante simples.

A criação dos grupos no Discord também faz com que os jovens tenham uma espécie de “grupo” de conhecidos para as mesmas atividades.

Mesmo que o ransomware seja um género de malware consideravelmente perigoso, estes jovens não parecem importados com as consequências legais que podem sofrer dos ataques que realizam.

05/07/2022
Nova vulnerabilidade zero-day descoberta no Chrome e usada em ataques

A Google encontra-se a disponibilizar uma nova atualização para o Google Chrome, focada em corrigir uma nova vulnerabilidade zero-day descoberta sobre o navegador.

A nova versão 103.0.5060.114 encontra-se a ser fornecida para sistemas Windows, e foca-se em corrigir uma falha zero-day de elevada gravidade que foi recentemente descoberta, e que se acredita estar a ser usada para ataques.

Esta nova versão encontra-se agora a ser fornecida para os utilizadores na versão estável do navegador, em ambientes Windows. A mesma deve ser automaticamente instalada em todos os sistemas, tendo em conta o sistema de atualizações automáticas do navegador.

A falha não teve muitos detalhes revelados, sobretudo tendo em conta que se acredita estar a ser ativamente usada para ataques. Como tal, a empresa pretende que o máximo de utilizadores possíveis atualizem para a recente versão antes que sejam revelados mais detalhes da mesma.

No entanto, os dados da mesma indicam que se encontra associada com o componente WebRTC, tendo sido descoberta por investigadores da empresa Avast Threat Intelligence a 1 de Julho de 2022.

Se explorada, a falha pode permitir a execução remota de código sobre o sistema operativo, com o potencial de contornar algumas das medidas de segurança no navegador e no sistema.

04/07/2022
Adobe Acrobat Reader impede software antivírus de analisar ficheiros PDF

Uma das funcionalidades que existe na maioria dos programas de antivírus encontra-se sobre a proteção de ficheiros maliciosamente modificados em vários programas, como é o caso de ficheiros do Word, Excel ou PDF.

Para realizar estas atividades, os softwares de segurança necessitam de analisar antecipadamente os ficheiros para poderem validar a sua origem. No entanto, segundo a empresa de segurança Minerva Labs, a Adobe encontra-se a ativamente bloquear a capacidade de vários softwares antivírus analisarem os ficheiros PDF abertos pelo programa.

O Adobe Acrobat Reader encontra-se a bloquear mais de 30 programas de segurança diferentes de conseguirem analisar os ficheiros PDF antes de serem abertos no mesmo. Da lista inclui-se os programas da Trend Micro, BitDefender, AVAST, F-Secure, McAfee, 360 Security, Citrix, Symantec, Morphisec, Malwarebytes, Checkpoint, Ahnlab, Cylance, Sophos, CyberArk, Citrix, BullGuard, Panda Security, Fortinet, Emsisoft, ESET, K7 TotalSecurity, Kaspersky, AVG, CMC Internet Security, Samsung Smart Security ESCORT, Moon Secure, NOD32, PC Matic e SentryBay.

A única exceção encontra-se sobre o Microsoft Defender, a solução de segurança que se encontra nativa no Windows 11, e que curiosamente pode realizar a validação dos ficheiros PDF.

Com este bloqueio, os softwares de segurança ficam impedidos de identificar potencial código malicioso em ficheiros PDF maliciosamente modificados para tal, o que abre portas para que ataques sejam realizados através deste formato.

Segundo os investigadores, para os programas de segurança analisarem conteúdos dentro de aplicações no sistema, estes necessitam de injetar ficheiros DLL nos processos que são abertos. No entanto, no caso da Adobe, a empresa encontra-se a impedir que tal atividade seja realizada, consequentemente impedindo a capacidade de proteção dos sistemas de segurança.

A Minerva Labs afirma que esta medida da Adobe pode ser considerada bastante grave, já que abre as portas para que possíveis ficheiros infetados acabem por executar código malicioso no sistema, sem que os softwares de segurança tenham a capacidade de prevenir tal ataque – e de realizarem a tarefa para o qual foram criados.

Em resposta, a Adobe afirma que o bloqueio encontra-se a ser aplicado tendo em conta que existem incompatibilidades com alguns programas de segurança que podem impedir o correto carregamento de conteúdos do seu leitor de PDFs. No entanto, esta prática apenas acontece com software da Adobe, já que outros leitores de PDFs no mercado não possuem qualquer problema com softwares de segurança existentes.

22/06/2022
Tenha cuidado ao pesquisar pelo CCleaner no Google

O CCleaner é uma popular ferramenta de otimização do Windows, que apesar de todas as controvérsias no passado, ainda continua a ser usada por milhares de utilizadores. Para muitos, quando se pretende descarregar o programa, uma das formas de o realizar será aceder a um motor de pesquisa como o Google e pesquisar pelo nome do programa.

No entanto, se costuma realizar esta tarefa, talvez seja melhor ter cuidado sobre onde exatamente acede. Isto porque foi recentemente identificada uma nova campanha focada em enganar os utilizadores que procurem pelo CCleaner no Google.

De acordo com a empresa de segurança Avast, foi descoberta uma nova campanha de malware sobre o nome de “FakeCrack”, que usa os resultados de pesquisa do Google para tentar enganar os utilizadores a descarregarem versões maliciosas do CCleaner.

A campanha usa a publicidade do Google para surgir nos primeiros resultados da pesquisa, que será onde existe a maior possibilidade de os utilizadores carregarem primeiro. Além disso, o ataque afeta também quem procura versões pirateadas do CCleaner Pro, onde o mesmo sistema de publicidade é usado para apresentar sites onde, supostamente, se poderia descarregar a versão.

Os investigadores afirmam que nem sempre a campanha usa a publicidade da Google para tentar enganar os utilizadores. Muitas vezes são criados sites específicos para fornecerem versões modificadas do programa, que se focam em quem ativamente procura por este género de software pirateado.

As vitimas são muitas vezes levadas para sites que fornecem ficheiros ZIP, onde supostamente se encontra o programa pirata. Estes ficheiros estão protegidos por senha para evitar a deteção por softwares de antivírus, e encontram-se armazenados em várias plataformas de alojamento cloud.

Se os utilizadores instalarem os programas nos seus sistemas, acabam por estar a instalar malware focado em roubar dados de login a partir de navegadores como o Google Chrome, carteiras de criptomoedas e outras informações sensíveis.

O malware também é capaz de instalar um programa de monitorização da Área de Transferência do Windows, que identifica quando o utilizador copia uma carteira de criptomoedas para o mesmo, e altera o código da mesma para carteiras em controlo dos atacantes.

Os investigadores acreditam que mais de 10.000 utilizadores são infetados todos os dias com este género de malware, tendo em conta também que a campanha encontra-se ativa e a ser bastante explorada.

08/06/2022
SMSFactory: um malware para Android que pode levar a perdas consideráveis

Um novo malware focado para o sistema Android tem vindo a chamar à atenção dos investigadores de segurança, estando a alastrar-se para um volume crescente de vítimas.

Apelidado de “SMSFactory”, este novo malware para Android possui como objetivo infetar os dispositivos das vítimas, e subscrever os mesmos a serviços premium de subscrição sem que as mesmas notem. Este malware é capaz de realizar todas as atividades em segundo plano e de forma silenciosa, sendo que as vitimas apenas iriam notar que algo estaria mal ao analisarem o saldo dos seus cartões ou a fatura no final do mês.

Até ao momento ainda se desconhece o número exato de dispositivos infetados no mercado, mas os investigadores afirmam que o malware tem vindo a propagar-se em peso nas últimas semanas. Em parte, esta propagação pode ter vindo a aumentar visto que o malware tenta ocultar ao máximo as suas atividades, sendo bastante complicado de identificar as mesmas – além de que existe a possibilidade que a maioria do software de segurança não identificar as aplicações como maliciosas devido à ofuscação dos conteúdos e atividades.

De acordo com a empresa de segurança Avast, o malware já foi identificado em vários países, entre os quais a Turquia, Rússia, Ucrânia e Brasil. No entanto, a lista de países com dispositivos afetados pode ser consideravelmente mais extensa.

O malware propaga-se sobretudo por esquemas de downloads maliciosos a prometerem acesso a contas pagas em vários serviços online e em hacks de jogos para Android.

Como sempre, a melhor forma de proteção será ter-se atenção aos locais de onde são descarregadas aplicações, sendo sempre recomendado o uso da Google Play Store para esta tarefa.

07/06/2022
Avast e AVG corrigem vulnerabilidade com uma década nos seus antivírus

Se utiliza os programas de antivírus da Avast ou AVG, talvez seja melhor verificar se os mesmos estão atualizados para as versões mais recentes. Isto tendo em conta que foi, de forma recente, corrigida uma falha que esteve presente na suíte de segurança por mais de dez anos.

A empresa SentinelOne revelou recentemente ter descoberto duas falhas de segurança sobre os programas da Avast e AVG, que afetava a driver de Anti-rootkit dos mesmos.

A falha foi descoberta a 20 de Dezembro, sendo que segundo a SentinelOne, as falhas podem permitir a utilizadores maliciosos executarem código com permissões administrativas no sistema e de forma praticamente indetetável.

Segundo o comunicado da Avast, as falhas foram introduzidas com o Avast 12.1, e tendo em conta a duração pela qual as mesmas permaneceram nos programas da empresa, acredita-se que milhões de utilizadores poderiam estar afetados pelas mesmas. O Avast 12.1 foi lançado no início de 2012.

Apesar da gravidade da falha, e do período de tempo que a mesma esteve nos programas da empresa, não se conhecem casos onde as mesmas tenham sido exploradas ativamente para ataques. No entanto, tendo em conta que as falhas são agora conhecidas, existe o potencial para começarem a ser exploradas para os mais variados fins.

Segundo a empresa, a falha foi corrigida em Fevereiro deste ano, com o lançamento da versão 22.1. Os utilizadores do Avast e AVG devem ter recebido automaticamente a atualização caso tenham os seus programas configurados para instalarem automaticamente as mesmas.

06/05/2022
Microsoft Defender entre os piores antivírus para o desempenho do sistema

O Microsoft Defender não tem vindo a receber boas críticas de forma recente. O programa de segurança da Microsoft, integrado gratuitamente no Windows 10 e Windows 11, é uma opção para quem pretenda uma opção de segurança base – mas ao mesmo tempo pode não ser a melhor opção a ter em conta.

E os dados da AV-Comparatives voltam a confirmar isso mesmo, desta vez a nível de desempenho. O software de segurança da Microsoft encontra-se como um dos piores no que respeita ao impacto que realiza nos recursos do sistema.

No mais recente teste realizado pela entidade, respeitante ao impacto que cada software de segurança realiza a nível dos recursos do sistema, o Microsoft Defender esteve praticamente na margem para receber o título de desempenho “Standard”, o mais reduzido que pode ser atribuído.

Os testes da AV-Comparatives foram realizados sobre sistemas com o Windows 10 21H2, juntamente com um processador Intel Core-i3, 4GB de RAM e um disco SSD. O uso deste processador e quantidade de RAM será exatamente para simular o desempenho sobre as condições piores que se podem verificar, num sistema de entrada de gama.

Em praticamente todos os testes, o software da Microsoft possui um desempenho abaixo da média do mercado, sobretudo em comparação com outros programas até mesmo gratuitos.

Entre os softwares que apresentam o melhor desempenho para o sistema encontram-se o ESET, Avast, AVG, McAfee, entre outros.

03/05/2022
Cuidado: CCleaner pode remover programas do utilizador sem permissão

O CCleaner tem vindo a passar por algumas controvérsias ao longo dos últimos anos, desde que a Piriform foi adquirida pela Avast em 2017. Desde recolha de dados não autorizada a malware, o programa tem vindo a ser fortemente criticado nos últimos anos.

E agora surgem novamente problemas para quem ainda o use. Um utilizador no Reddit afirma que a versão do CCleaner 5.91, quando começou a ser desinstalada, procedeu também com a remoção de outras aplicações instaladas no sistema.

De acordo com o relato do utilizador, quando este tentou remover a aplicação do CCleaner pelo Painel de Controlo, o programa começou a desinstalar também outro software que se encontrava no sistema – como a Steam, Discord, entre outros.

Ao que parece, o programa encontrava-se instalado numa pasta fora do caminho regular do Windows (D:\Applications), segundo o utilizador também confirma.

Um dos administradores no fórum de suporte do CCleaner respondeu ao problema, afirmando que o mesmo pode acontecer quando os utilizadores instalam o CCleaner numa localização personalizada e incorreta.

Por exemplo, invés de instalar na pasta “C:\Programas\CCleaner” instalam diretamente em “C:\Programas\”, ficando o CCleaner assim instalado na raiz dessa pasta. Mesmo que seja uma situação acidental, o programa ainda assim não deveria remover ficheiros que dizem respeito a outros programas.

O TugaTech decidiu experimentar esta situação, tendo sido confirmado que o programa de desinstalação do CCleaner realiza realmente a remoção de ficheiros associados com outros programas, caso seja instalado numa diretoria raiz não padrão.

No nosso exemplo, testamos instalar o programa em “C:\Program Files” (de notar que não foi instalada em nenhuma pasta especifica, mas sim dentro da pasta principal de programas do Windows).

Como se pode verificar em seguida, o programa foi efetivamente instalado na raiz dessa pasta.

Se tentarmos remover o programa, este acaba por remover todos os conteúdos dentro dessa pasta.

Existem situações onde os utilizadores podem, por lapso, introduzir o local errado de instalação, levando a situações como as reportadas. Mesmo que não seja na pasta de Programas do Windows, para quem tente instalar o CCleaner numa pasta personalizada, por exemplo, pode acabar por remover todos os conteúdos dentro dessa pasta.

Mesmo que esta situação ocorra apenas em situações especificas, é importante notar que outros programas não possuem a mesma ação. Como exemplo, se tentarmos instalar o Filezilla na mesma forma, e removermos o mesmo posteriormente, apenas os ficheiros associados com o programa são efetivamente removidos.

Com isto em conta, parece que o programa de desinstalação do CCleaner encontra-se incorretamente criado para remover todos os conteúdos da pasta onde o programa se encontra, invés de apenas os associados com o mesmo como seria de esperar.

04/04/2022
Como realizar a limpeza de um sistema infetado por malware/vírus?

Qualquer pessoa pode estar sujeita a ter um vírus instalado no seu computador, mesmo que use uma proteção em tempo real – estas nunca são 100% eficazes. Se antigamente os vírus distribuíam-se sobretudo em disquetes e pens infetadas, hoje em dia basta aceder a um site ou descarregar um programa errado…

Ter um sistema infetado por um malware não é difícil, mas recuperar do mesmo pode ser uma verdadeira dor de cabeça – sobretudo se não souber por onde começar.

Neste artigo iremos tentar ajudar nisso mesmo, para o caso do ambiente Windows, com alguns passos que devem ser tomados não apenas para evitar que os seus conteúdos possam ser comprometidos, mas também para prevenir que o malware se alastre a outros sistemas e que possa realizar a “limpeza” de forma segura.

Vamos então começar!

1- Isole o sistema de imediato!

Se descobrir que um determinado sistema na sua rede se encontra infetado, a primeira coisa que deverá fazer será isolar o mesmo. Desligue todas as ligações à Internet, seja por cabo ou sem fios.

Isto previne não apenas que o malware possa propagar-se para outros sistemas na rede local, aproveitando falhas nos mesmos, mas também evita que informação possa ser enviada para os responsáveis pelo malware – ou que sejam recebidos comandos que poderiam infetar ainda mais o sistema ou causar perdas consideráveis de dados.

2- Comece a analisar os danos

Tendo o sistema isolado, é altura de começar a verificar os danos que foram causados. Use um bom programa de antivírus para realizar um scan completo do sistema, de forma a identificar o género de malware que o mesmo possui.

Isto pode ser um pouco complicado de fazer se realizou o passo anterior de isolar o sistema, já que praticamente todas as aplicações de segurança atualmente existentes necessitam de algum género de acesso à Internet, nem que seja para descarregar as assinaturas mais recentes de vírus.

Mas, felizmente, nem sempre tem de ser o caso. Se possui acesso a outro computador “limpo”, existem programas que pode instalar para realizar análises em formato “offline”. Um dos exemplos será o Kaspersky Rescue Disk, que pode usar para arrancar o seu sistema num ambiente seguro e onde pode realizar a análise por malware.

Para o uso destes ambientes seguros, apenas necessita de criar uma pen de arranque num sistema “limpo”, e depois arrancar o sistema infetado pelo mesmo.

Em alternativa, pode também usar programas de antivírus que forneçam a opção de instalação “offline”. Este género de instalação, normalmente, possui a base de dados por vírus mais recente da empresa, mas não exige que tenha uma ligação ativa à Internet para realizar o scan.

Um dos exemplos será o Avast Antivírus, que fornece as suas versões “offline”.

No entanto, tenha em conta que as soluções de antivírus offline apenas serão úteis caso o sistema esteja a funcionar corretamente. Dependendo do género de malware que tenha sido instalado, esta solução pode não ser totalmente eficaz, e como tal a criação de uma pen de arranque ainda será o processo recomendado.

3- Remova todo o malware que for encontrado

Independentemente da forma como tenha avaliado os estragos no ponto anterior, verifique e guarde qual o género de malware que foi infetado no sistema, e tente remover os conteúdos descobertos.

A análise deverá indicar todos os ficheiros que estarão associados com o malware, e deverá ser dada a possibilidade de remover os mesmos ou de tentar desinfetar os mesmos.

Se quiser ter realmente certeza que remove todo o género de malware do sistema, tente usar mais do que uma aplicação de segurança para realizar a análise por malware – NUNCA instale dois antivírus no sistema! Certifique-se que remove um antivírus antes de instalar outro – ou então use diferentes discos de arranque seguro.

4- Altura de passar para a recuperação

Depois de remover todo o malware/vírus que tenha sido detetado, chega a altura de começar a pensar na recuperação do sistema. A maioria dos utilizadores pode considerar que, estando o vírus removido, o sistema está limpo. E em parte isso pode ser possível.

No entanto, não existe nenhuma solução perfeita. E mesmo que o sistema esteja a ser marcado como livre de malware, o recomendado será que seja feita a instalação do mesmo de raiz e de forma limpa – sobretudo para garantir a total segurança dos dados.

Supondo que ainda possui acesso ao sistema operativo – e que o vírus não causou algum género de problema extra no mesmo – chega a altura de começar a pensar em reinstalar o mesmo.

Comece por realizar o backup de toda a informação que considere importante – como documentos, imagens e outros ficheiros que seja importantes para si. No entanto, tenha cuidado neste processo!

Mesmo que tenha aparentemente removido todo o malware do sistema, ainda deve ter atenção a possíveis restos do mesmo que ainda se podem encontrar ativos. Realize o backup para uma fonte externa, como um disco externo ou Pen USB, mas tenha sempre atenção aos conteúdos que copia – e sobretudo quando depois os for restaurar, certifique-se que apenas o faz depois de uma análise completa do armazenamento usado.

Evite guardar ficheiros que podem ser considerados maliciosos, como ficheiros executáveis ou scripts. Faça apenas o backup do que seja realmente importante.

Se necessário, nesta altura também deverá ser relativamente seguro de voltar a ligar o sistema à Internet, portanto poderá usar plataformas de armazenamento cloud para enviar os ficheiros.

5- Reinstale o sistema operativo de raiz

Feito o backup dos conteúdos, chega a altura de reinstalar o sistema operativo. No caso do Windows, realize o download da Ferramenta de criação do suporte de instalação, disponível no site da Microsoft, e use um computador “limpo” para criar a pen de arranque.

Feito isso, proceda na normalidade com a reinstalação do Windows. Garanta que remove todos os conteúdos do disco no processo, e que instala o sistema de raiz, não apenas como um upgrade.

Feito este passo, apenas necessita de voltar a instalar o antivírus da sua preferência – ou a usar o Windows Defender incluído com o Windows 10 – e poderá começar a restaurar os conteúdos de backup.

6- Não se esqueça da segurança também online!

Mesmo depois de ter realizado a recuperação do seu sistema local do vírus, existe ainda outra etapa importante a ter em conta. Deve ter atenção a todas as suas contas online.

O malware pode ter, no tempo que se encontrou instalado no sistema, acedido ou roubado dados de login que teria armazenado no seu sistema. Senhas de contas ou dados de acesso a várias plataformas online podem ter sido roubados, portanto, o processo adicional será alterar todas as senhas que tenha usado de forma recente – ou que poderiam estar armazenadas no seu sistema.

Fique também atento a qualquer atividade suspeita nas suas contas online, e caso use sistemas de home banking, a qualquer movimentação suspeita nas contas em questão.

É importante referir que, apesar destes passos serem um guia simples para remover o malware do sistema e evitar possíveis perdas de dados, existe um vasto conjunto de malware na Internet, cada um com as suas particularidades.

Por exemplo, se o ataque que tiver sofrido for de um ransomware, então o processo de limpeza e restauro será consideravelmente diferente, já que os conteúdos do seu sistema estão encriptados.

Este guia foca-se no processo de recuperação básico de malware.

Iremos criar um guia mais avançado no futuro, mas não hesite em deixar um comentário no fórum para tentarmos ajudar caso este guia não seja suficiente. A comunidade está aqui para isso mesmo!

18/07/2021