Categoria: malware

Grupo de ransomware 8Base desmantelado em operação internacional

Foi recentemente realizada uma grande operação por várias entidades internacionais, com o objetivo de deter suspeitos de pertencerem ao grupo de ransomware 8Base. Este grupo tem sido um dos mais ativos nos últimos anos em ataques de ransomware, e um dos que mais evoluiu.

As autoridades confirmaram ter detido, na Tailândia, suspeitos de serem os gestores do grupo, e ainda conseguiram obter os dados associados ao site do mesmo na rede Tor, que foi entretanto desativado.

Os detidos encontravam-se na cidade de Phuket, e encontram-se suspeitos de terem realizado mais de mil ataques informáticos a diferentes entidades em todo o mundo. Estima-se que o grupo tenha faturado mais de 16 milhões de dólares com as suas campanhas de ransomware, dos vários ataques realizados – tanto dos dados roubados como do dinheiro extorquido das vítimas.

O grupo 8Base começou as suas atividades em 2022, tendo começado por pequenas empresas antes de avançar para grandes entidades. O grupo manteve o mesmo formato de ransomware, onde encriptava sistemas e bases de dados das entidades, e depois pedia um resgate para evitar a divulgação dos dados roubados.

Os dados das empresas que não pagavam eram depois fornecidos publicamente no site da rede Tor do grupo. Nos ataques mais recentes o grupo usava uma variante modificada do malware Phobos, que se foca para entidades de diferentes mercados.

Esta detenção surge numa altura em que os ataques de ransomware estão a ser cada vez menos eficazes, não apenas pelas medidas de segurança mais avançadas contra este formato de ataques, mas também por os pagamentos realizados dos mesmos estarem também em queda. As empresas enfrentam cada vez mais penalizações caso cedam ao pagamento dos resgates de ransomware.

O site do grupo na rede Tor apresenta atualmente uma mensagem de se encontrar em controlo das autoridades, sendo que os dados obtidos do mesmo devem ser analisados para ajudar as potenciais vítimas.

11/02/2025
Falha grave afeta vários processadores da AMD

A AMD encontra-se a lançar uma atualização bastante importante para os seus processadores, que pretende corrigir uma falha que poderia permitir aos atacantes enviarem código potencialmente malicioso para o sistema, e de contornarem algumas das medidas de proteção do mesmo.

A falha, CVE-2024-56161, encontra-se associada com a assinatura de código enviada para a ROM dos processadores da AMD. Derivado da falha, os atacantes podem enviar código incorretamente assinado, que é passado como válido, e desta forma pode afetar os sistemas – mesmo que tenha conteúdo malicioso integrado no mesmo.

Para realizar o ataque com sucesso, os atacantes necessitam de ter acesso físicos aos sistemas, portanto não será algo à partida simples de se executar diretamente de um malware no sistema operativo.

Esta falha afeta um vasto conjunto de processadores, dentro da família de processadores AMD EPYC 7000 e 9000. A falha foi inicialmente descoberta pelos investigadores de segurança da Google, que reportaram a mesma à AMD, com a correção tendo sido lançada faz apenas algumas horas.

Embora a falha apenas possa ser explorada de forma local, tendo em conta que pode permitir ataques de elevada sofisticação ao sistema, e a execução de código potencialmente malicioso, a instalação do patch é certamente recomendada.

Os utilizadores com sistemas que tenham os processadores afetados devem proceder com a atualização o mais rapidamente possível. O patch pode ser descarregado diretamente do site da AMD relativo a atualizações da mesma.

06/02/2025
Apps roubam carteiras de criptomoedas na Google Play e App Store

Embora a Google Play Store e App Store da Apple ainda sejam os métodos mais seguros para descarregar aplicações, de tempos a tempos existem alguns métodos que conseguem contornar as regras e enviar conteúdos maliciosos para as plataformas.

Recentemente foi descoberta uma nova campanha de malware, que foi propagada através das plataformas oficiais de apps da Google e da Apple. Apelidada de SparkCat, esta campanha usou componentes SDK em diferentes aplicações, sendo que os programadores das mesmas podem ter sido afetados sem sequer se aperceberem.

De acordo com os investigadores da empresa de segurança Kaspersky, acredita-se que o malware pode ter chegado a aplicações que foram descarregadas mais de 242.000 vezes, isto apenas na Play Store da Google.

O objetivo do malware seria roubar carteiras de criptomoedas dos dispositivos das vítimas. Os atacantes usaram uma atualização para o SDK usado em determinadas apps, e anteriormente com intenções legítimas, para eventualmente levar ao roubo dos dados dos sistemas.

O foco seria carteiras de criptomoedas e contas de plataformas de criptomoedas, que eram depois usadas para esvaziar as mesmas e enviar os fundos para contas em controlo dos atacantes.

Os investigadores apontam que este foi o primeiro caso reportado de um malware deste formato a surgir na App Store da Apple, mesmo que tenha sido de forma indireta. Muitas das apps que estariam infetadas poderiam ter os programadores a desconhecer a existência de tal prática, já que o ataque partiu de um SDK usado pelas mesmas.

Tanto nas aplicações para Android como para iOS, o SDK mantinha uma linha de comunicação com servidores remotos, de onde recebia os comandos para os roubos, e ainda para onde era enviada informação dos mesmos.

O mesmo usava ainda o Google ML Kit OCR, um módulo para aplicações do iOS e Android que permite analisar o texto de imagens no ecrã. Este era usado para recolher informação direta dos dispositivos, como dados de login, enviando depois os mesmos para os atacantes.

Segundo a empresa de segurança, foram identificadas 18 aplicações com o SDK malicioso na Play Store, e dez na App Store da Apple. Em ambos os casos os investigadores entraram em contacto com a Google e Apple, que removeram as apps afetadas.

Embora as lojas de aplicações oficiais da Apple e da Google ainda sejam o lugar mais recomendado para se instalar aplicações, deve-se sempre ter atenção à origem das mesmas, e evitar usar aplicações que tenham um baixo feedback da comunidade, ou que não tenham sido atualizadas faz bastante tempo – o que, por norma, é algo importante a ter em conta.

04/02/2025
Falha no 7-Zip explorada em ataques contra a Ucrânia

Uma falha existente no software 7Zip encontra-se a ser ativamente explorada desde Setembro de 2024, tendo como alvo sobretudo utilizadores na Ucrânia.

A falha encontra-se associada com o Mark of the Web (MotW), uma funcionalidade do Windows que marca os ficheiros descarregados da internet, e aplica restrições aos mesmos em certas atividades. A ideia será fornecer uma camada adicional de proteção contra ficheiros potencialmente desconhecidos descarregados da internet.

O Mark of the Web não previne que malware seja executado, mas pode ajudar a prevenir que executáveis sejam diretamente iniciados no sistema, obrigando a uma confirmação dos utilizadores primeiro para tal.

No entanto, de acordo com investigadores da empresa de segurança Trend Micro, grupos de hackers encontram-se a explorar uma falha no 7Zip para remover esta marcação dos ficheiros, e desta forma evitar que as limitações sejam aplicadas no mesmo.

A falha foi descoberta a 25 de Setembro de 2024, e acredita-se que tenha sido usada por grupos na Rússia tendo como alvo entidades na Ucrânia. Esta falha foi explorada para prevenir a aplicação da medida de proteção, e tentar levar a ataques com taxas de sucesso mais elevadas.

Os ficheiros criados para explorarem a falha do 7 zip eram normalmente enviados como anexos de mensagens suspeitas ou de phishing, fazendo-se passar como ficheiros de documentos do Word ou PDFs.

A correção desta falha foi implementada no 7 Zip na sua versão 24.09, lançada a 30 de Novembro. Embora a falha tenha sido confirmada com ataques bastante específicos, ainda assim será recomendado para os utilizadores atualizarem o 7 Zip o mais rapidamente possível – ainda mais tendo em conta que o programa não possui um sistema de atualização automático.

04/02/2025
Cuidado com o malware: DeepSeek AI é usado para roubar dados no PyPI

Não demorou muito tempo para que o nome da DeepSeek começar a ser usado de forma maliciosa, com alguns criminosos a aproveitarem a popularidade do nome para desenvolverem malware focado para diversos sistemas.

Recentemente foram descobertos dois pacotes maliciosos no Python Package Index (PyPI), que usam o nome da DeepSeek como forma de enganar os programadores. Os pacotes fazem-se passar por ferramentas focadas para integrar as funcionalidades do modelo R1 da DeepSeek nas aplicações, mas em segundo plano integram malware nos sistemas que pretendem roubar dados de login e outros dados sensíveis.

Com os nomes de deepseeek e deepseekai, estes pacotes tentam tirar proveito do nome da DeepSeek para obterem mais visibilidade junto da comunidade. Ambos os pacotes foram enviados por uma conta com o nome de “aged”, embora a mesma tenha sido criada em Junho de 2023 e não teria qualquer atividade anterior.

Os investigadores da empresa de segurança Positive Technologies, que revelaram a descoberta dos pacotes, indicam que os mesmos fazem-se passar por clientes em Python que permitem aceder ao modelo da DeepSeek.

Quando instalados, os pacotes procedem com a instalação de malware nos sistemas, de onde tentam roubar dados sensíveis dos mesmos, entre dados de login, chaves API e outras informações sensíveis. Os dados são depois enviados para um servidor em controlo dos atacantes.

Ambos os pacotes foram enviados no dia 29 de Janeiro de 2025 para o site, com apenas alguns minutos de diferença. Desde então, acredita-se que tenham sido usados por 222 programadores, a maioria nos EUA, China, Rússia, Alemanha, Hong Kong e Canadá.

03/02/2025
Hackers exploram IA Gemini do Google para ataques

Não é segredo que existem cada vez mais grupos de hackers que usam sistemas de IA para criarem as suas plataformas de ataques, e até mesmo código para malware diverso. E agora, a Google confirmou que a sua plataforma do Gemini pode ter sido usada para estes fins.

De acordo com a Threat Intelligence Group (GTIG) da Google, foram descobertos indícios de que grupos patrocinados por governos estão a usar o Gemini para criarem padrões de ataque ou identificarem falhas em software.

Os grupos encontram-se distribuídos por mais de 20 países diferentes, mas a maior atividade surge de grupos localizados no Irão e China.

Por entre os usos mais vulgares encontra-se usar o Gemini para ajudar a desenvolver código malicioso, scripts ou para identificar falhas em software existente. Este é ainda usado como forma de obter mais informações sobre diferentes sistemas e programas, com o objetivo de explorar as suas vulnerabilidades.

Foram ainda identificados casos onde os grupos tentaram explorar os pedidos feitos ao Gemini, de forma a tentarem contornar algumas das limitações colocadas no mesmo – e que foram criadas exatamente para prevenir o uso abusivo da plataforma. Em vários casos foram realizados pedidos para tentar contornar as limitações e bloqueios – desconhece-se os casos em que os atacantes realmente conseguiram realizar tal procedimento.

A Google afirma que foram aplicadas medidas para garantir mais segurança nos seus modelos, mas ainda existem vários outros que podem ser usados. O recentemente apresentado DeepSeek R1 tem vindo a ser alvo de várias críticas, mas entre elas encontram-se a falta de limites e proteções para prevenir o uso abusivo do mesmo.

01/02/2025
WordPress sob ataque: Hackers usam sites para espalhar malware em Windows e Mac

Uma nova campanha de ataques encontra-se focada em sites baseados em WordPress que tenham instalações ou plugins desatualizados, levando os mesmos a apresentar mensagens que redirecionam os visitantes para esquemas e malware.

A campanha foi descoberta pelos investigadores da empresa de segurança c/side, que acreditam estar bastante ativa pela internet. O ataque foca-se em instalações do WordPress que tenham versões bastante desatualizadas, ou com falhas, bem como plugins conhecidos por terem problemas de segurança.

Quando um site nestas características é descoberto, os atacantes tentam obter acesso ao mesmo e aos seus conteúdos, de forma a modificarem o código deste para redirecionar os visitantes do site para malware. A campanha apresenta depois redireccionamentos aleatórios dos visitantes, para sites que indicam a necessidade de atualizar o Chrome ou de descarregar alguma atualização do sistema.

Nesses sites, o malware foca-se em utilizadores do Windows e macOS, e pretende levar ao roubo de dados sensíveis dos mesmos, como senhas e dados bancários. Segundo os investigadores, foram descobertos sites bastante populares que se encontram afetados por esta campanha e ataques.

Quando um site é afetado, este até pode aparentar carregar corretamente para certas visitas, ou para o administrador do mesmo. No entanto, de forma aleatória para os visitantes, pode apresentar ou redirecionar para uma falsa página sobre a necessidade de atualização do Chrome ou do sistema operativo.

A Automattic, entidade responsável pelo desenvolvimento e distribuição do WordPress, terá sido informada de uma lista de domínios usados pela campanha, e embora tenha confirmado a notificação e leitura da mesma, desconhece-se o que foi realizado posteriormente.

A C/side afirma ter identificado mais de 10.000 websites afetados por este ataque, mas o número pode ser bastante mais elevado. O ataque tenta ocultar as suas atividades ao não apresentar a mensagem ou redireccionamento para todas as visitas, e a não realizar o mesmo para contas de administradores ativas. Apenas utilizadores visitantes de forma aleatória podem ser afetados.

Para os administradores de sites WordPress, a recomendação será certificar se os mesmos estão atualizados com as versões mais recentes, e se possuem todas as atualizações nos plugins instalados – mesmo que desativados.

30/01/2025
FBI desmantela fóruns de hacking Cracked e Nulled

O FBI terá alegadamente apreendido os domínios de vários portais da dark web, bastante usados para distribuir conteúdos roubados ou para realizar a venda dos mesmos. Em causa encontram-se os sites Cracked e Nulled, dois dos maiores portais de hacking atualmente existentes.

Embora os dois sites tivessem zonas de discussão para conteúdos éticos de hacking, na sua grande maioria eram usados para atividades de cibercrimes, com vendas e compras de conteúdos roubados.

Eram ainda bastante usados para partilhar técnicas, programas e configurações para realizar ataques, que eram depois usados para os mais variados fins – como esquemas de phishing, criação de malware. Tinham ainda zonas de vendas de informação pessoal roubada, que era dos pontos fortes dos mesmos.

Os sites encontram-se atualmente a apresentar mensagens de erro, sendo que o DNS dos domínios foram alterados para os sistemas normalmente usados pelo FBI na apreensão dos servidores.

As equipas do portal Cracked usaram o Telegram para confirmar que o site encontra-se inacessível, mas atribuíram os problemas a falhas no datacenter. A mensagem indicava ainda que seriam fornecidos mais detalhes em breve.

Além destes dois portais mais conhecidos, as autoridades indicaram ainda ter apreendido mais três domínios, que eram também associados com plataformas que forneciam atividades de cibercrime.

29/01/2025
Facebook considera Linux como “ameaça à cibersegurança”

O Facebook encontra-se a impedir vários utilizadores de publicarem conteúdos que tenham menção a “Linux”, seja em mensagens diretas, links para sites ou outros conteúdos.

Vários utilizadores do Facebook começaram a reparar que, ao publicarem conteúdos relacionados com o Linux, as suas mensagens estariam a ser filtradas, levando a bloqueios de publicação ou da conta. Uma das plataformas que notou o impacto deste bloqueio foi o site DistroWatch, que é uma fonte popular de notícias sobre distribuições do Linux.

Segundo a entidade, o Facebook decidiu começar a considerar o termo “Linux” como algo que viola os termos de serviço da empresa, associado a malware. Em vários grupos, publicações com o termo começaram a ser identificadas como uma ameaça de cibersegurança.

No caso do DistroWatch, a entidade encontra-se bloqueada de usar o Facebook devido a publicar temas associados com o tópico. O bloqueio terá começado no dia 19 de Janeiro, e tem vindo a agravar-se consideravelmente nos últimos dias.

No entanto, o problema não será apenas com a publicação de conteúdos do DistroWatch, mas de qualquer fonte que faça referência a Linux. Vários grupos dentro da rede social foram encerrados ou suspensos, e publicações foram removidas, apenas por referenciarem o sistema.

Nem todas as publicações são bloqueadas de imediato, sendo que existem algumas que acabam por permanecer durante algumas horas, antes de serem eventualmente removidas.

O TugaTech tem vindo a notar uma tendência do Facebook bloquear certos termos igualmente “seguros” sem razão aparente, e sem possibilidade de desbloqueio. Temos registado que publicações que fazem referência a links do Youtube e do Windows também são bloqueados, mas quando se tenta apelar para reverter a decisão, nada é feito.

O caso do Linux será apenas um dos mais recentes e visíveis. Curiosamente, a maioria da infraestrutura do Facebook encontra-se a usar sistemas Linux, e a própria Meta procura várias vezes engenheiros que saibam trabalhar em Linux.

28/01/2025
Não faça o teste CAPTCHA: Novo esquema afeta utilizadores no Windows

Os atacantes encontram-se sempre a explorar novas formas de atacarem os utilizadores, e com novos formatos de ataque. Quando o roubo direto de dados, através de sites comprometidos ou falsos logins, não é suficiente, uma nova técnica surge para tentar roubar informação dos mesmos.

Recentemente, uma nova técnica para enganar os utilizadores de sistemas Windows tem vindo a ser bastante usada, explorando o desconhecimento de alguns do sistema. A técnica consiste num falso sistema de CAPTCHA, normalmente usado para validar o acesso a alguma plataforma, que pode levar a que os utilizadores sejam comprometidos e tenham os seus sistemas atacados.

Os sistemas de CAPTCHA normalmente são usados em plataformas web, ou acessíveis publicamente, como forma de prevenir o acesso de bots e ferramentas automáticas. Os mesmos consistem em pequenos testes que apenas os humanos conseguiriam – na teoria – realizar, mas seriam difíceis para um sistema automático.

Porém, certamente que quem usa a internet já deve ter encontrado um captcha ao aceder a alguma plataforma ou a realizar alguma ação. E é neste ponto que os atacantes encontram-se agora a tentar explorar.

A nova técnica de ataque consiste em levar os utilizadores a iniciarem o comando “Executar” do Windows, através do atalho WIN+R, e de os levar a copiar e colar um comando no mesmo. Este comando é alegadamente usado para verificação CAPTCHA. Mas na realidade, o que os utilizadores se encontram a colocar é um comando para o sistema, que vai descarregar e executar o malware.

O comando surge normalmente num site, com as indicações dos passos necessários a ser feitos – e que envolve o copiar e colar o comando na caixa de Executar do sistema. Se for realizado, os utilizadores estarão a copiar um comando do Terminal, que vai descarregar um script BAT de diferentes sites na internet, e é executado diretamente no mesmo.

Este script pode depois instalar malware no sistema, ou roubar dados existentes no mesmo, como os cookies do navegador.

O ataque explora o desconhecimento de alguns utilizadores, pensando que estão simplesmente a completar mais um captcha na internet, quando a realidade não é bem assim. Como sempre, é importante ter atenção a qualquer site que peça para ser executado comandos desconhecidos no sistema.

28/01/2025
Dicas para otimizar o Windows 11 e torná-lo mais rápido

A Microsoft tem vindo a trabalhar para otimizar, cada vez mais, os seus sistemas. No entanto, com o tempo e o uso, os sistemas tendem a ficar lentos e pesados, o que se deve não apenas ao “lixo” que vai sendo acumulado, mas também ao uso natural pelo utilizador.

Em parte, o Windows não perde desempenho por si só, mas as aplicações que o utilizador acaba por instalar no mesmo podem e vão afetar o mesmo. Com o tempo, isso acaba por prejudicar a experiência dos utilizadores.

Neste artigo iremos ver algumas dicas do que pode ser feito para otimizar o desempenho do Windows, tanto o 10 como o 11, para o deixar um pouco melhor para as tarefas do dia a dia. No final, vai notar certamente a diferença.

1- Em caso de lentidão… reinicie.

A dica pode parecer simples, mas a verdade é que funciona. Reiniciar o sistema é um dos primeiros passos que deve ser feito para tentar otimizar o desempenho.

Se nota alguma lentidão nas tarefas, ou um uso elevado de recursos, reiniciar o sistema pode ajudar a libertar os processos pendentes, e a otimizar o desempenho em geral. Isto será particularmente importante caso tenha a tendência de apenas suspender o computador ou colocar em hibernação.

Além disso, o reiniciar pode também ser a altura em que muitos serviços e processos do Windows fazem a sua “limpeza” interna. Por exemplo, muitas atualizações apenas são efetivamente aplicadas depois de reiniciar.

2- Windows Update sempre em foco

E por falar em atualizações… quando foi a última vez que atualizou o sistema?

As constantes janelas a pedir para reiniciar o sistema para instalar uma atualização podem ser intrusivas, e certamente que muitos não gostam delas, o que faz com que também se adie a instalação de atualizações.

Isto pode afetar não apenas o desempenho do sistema, visto que as mesmas podem conter correções de bugs e otimizações em geral, mas também a segurança e estabilidade. Muitas atualizações contam com correções de problemas conhecidos e aumentam a estabilidade geral do sistema.

Portanto, aproveite para ir às Definições do Windows > Windows Update > Procurar atualizações. Caso existam, estas devem ser instaladas.

3- Altere o plano de energia do sistema

O Windows conta com algumas definições focadas para otimizar o uso de energia. Enquanto que estas podem ser úteis para sistemas portáteis ou com bateria, quem usa um PC fixo provavelmente não terá tanta necessidade de uma poupança séria de energia.

O problema encontra-se que algumas das definições podem reduzir o desempenho do sistema – recursos limitados equivale a menos uso de energia. Portanto, um sistema configurado para poupar energia pode ter um desempenho mais baixo, por limitações dos recursos, mesmo que o hardware suporte “mais”.

Felizmente, corrigir o problema é simples e apenas necessita de alguns passos para alterar o Esquema de energia do Windows:

3.1 – No menu inicial, pesquise por “Esquema de energia” e selecione a opção “Escolher esquema de energia”.

3.2 – Na janela que irá ser aberta, escolha a opção de “Elevado desempenho” ou “Desempenho máximo”, conforme o que se encontre disponível.

3.3 – Atenção que o esquema pode estar oculto, devendo carregar na secção “Ocultar esquemas adicionais” para apresentar a lista completa.

4- Desative o que não necessita do arranque

Embora se pretenda que, ao iniciar o computador, os programas mais usados estejam ali preparados para ser usados, isso pode acabar por causar problemas a longo prazo. Quantos mais programas estiverem configurados para iniciar automaticamente no arranque do Windows, mais lento a tarefa vai ser, e mais pesado o sistema se torna.

Muitos programas em segundo plano podem também afetar o desempenho geral do sistema, portanto recomenda-se que sejam desativados todos os programas não necessários durante o arranque.

Para tal, siga os passos:

1- Na barra de tarefas, carregue em qualquer zona com o botão direito do rato e escolha “Gestor de Tarefas”.

2- Dentro do Gestor de tarefas, aceda à aba “Aplicações de arranque”

3- Nesta aba, esteja atento às aplicações que possuem o Estado de “Ativado”. Nas que não sejam necessárias durante o arranque, clique com o botão direito do rato na mesma e escolha “Desativar”.

Atenção que é recomendado ter cautela no que desativa. Por norma, não se recomenda desativar aplicações fundamentais do sistema, como as do Microsoft Defender ou de programas associados com o hardware, como os de placas de som e gráficas.

5 – Ainda em disco rígido mecânico? Está na altura de mudar para SSD!

Um dos formatos mais simples, e baratos, para otimizar o desempenho de qualquer sistema – sobretudo dos mais antigos – passa por deixar de usar discos mecânicos, e passar a usar apenas discos SSD.

Os discos mecânicos possuem cabeças de leitura em discos físicos, que pela forma como estão estruturados, são mais lentos na leitura e escrita de dados. Em contrapartida, os discos SSD usam células de memória flash, que podem ser lidos de forma eletrónica – e portanto, as velocidades serão consideravelmente superiores.

Claro, isso afeta o desempenho em geral. Muitos sistemas, sobretudo os mais antigos, ainda possuem discos mecânicos, ou o Windows encontra-se instalado no mesmo, afetando o desempenho em geral.

Para verificar se possui um disco mecânico ou SSD, aceda ao “Gestor de Tarefas”, e na barra lateral, escolha “Desempenho”. Ai deve surgir a lista dos discos no sistema, com a indicação de ser um SSD ou um HDD (disco mecânico).

Os discos SSD estão relativamente baratos, e até mesmo mais baratos que discos mecânicos, portanto não fará muito sentido ainda usar um disco antigo e pouco otimizado.

6- Vírus ou malware? Faça a verificação!

Em muitos casos, o sistema pode ficar lento se estiver com alguns processos em segundo plano que não deveria ter. Nomeadamente se tiver sido infetado por algum malware – mesmo que o utilizador nem se tenha apercebido.

De tempos a tempos, será recomendado correr uma análise completa do sistema para verificar a existência de vírus e outras ameaças. Não será necessário dizer que usar um antivírus é algo fundamental – e no Windows 10 e 11, o Microsoft Defender até se encontra instalado de origem. Mas mesmo com este, ainda é recomendado usar a função de Pesquisar por vírus para analisar, de forma completa, o sistema.

Se mesmo depois destas dicas ainda possui um sistema lento, tente deixar a sua questão no fórum do TugaTech, onde certamente toda a comunidade poderá ajudar.

26/01/2025
Ferramenta para “criação de malware” infeta mais de 18 mil sistemas

Pela internet poderemos encontrar de tudo um pouco, e quem se esteja a aventurar por novas formas de criar malware, existem certamente muitos meios para tal. Não é complicado de encontrar plataformas que fornecem ferramentas para desenvolver malware, normalmente usadas por “hackers novatos”, que estão a dar os primeiros passos a desenvolverem novos malwares.

No entanto, de acordo com investigadores da empresa de segurança CloudSEK, foi recentemente descoberta uma campanha que tenta enganar estes novatos. Os investigadores descobriram mais de 18000 dispositivos que foram infetados por um malware, que por sua vez tinha sido criado com o intuito de ajudar os novatos a criarem as suas próprias variantes de malware.

As vítimas recebiam o que parecia ser um criador de malware, que os ajudava a criarem as suas próprias versões de malware para distribuir por diferentes formatos. No entanto, ao usarem a ferramenta, os mesmos estariam a colocar os seus próprios sistemas em risco, já que esta ferramenta também instalava secretamente malware nos seus sistemas.

A ferramenta parece ter sido criada com foco a “script kiddies”, que se encontram a dar os primeiros passos no mundo da cibersegurança ou na criação de malware. Os mesmos eram normalmente direcionados para sites de download ou de scripts, que eram usados para ativar a ferramenta.

No entanto, em segundo plano, esta silenciosamente instalava um malware no próprio sistema, procedendo ao roubo de dados. Segundo a CloudSEK, o malware tinha um “kill switch”, que era suposto de desativar em certas condições, mas em muitos sistemas este não terá funcionado corretamente – mesmo depois de ativado. Estima-se que 18,459 sistemas tenham sido infetados desta forma.

O “criador de malware” era normalmente distribuído por plataformas como o Telegram, GitHub e vários sites atacados para armazenar o conteúdo. O malware instalado no sistema dos novatos integrava a capacidade de roubar dados de login do navegador, cookies e outros dados que fossem considerados importantes.

A grande maioria dos sistemas afetados encontram-se na Rússia, EUA, Índia, Ucrânia e Turquia. Depois de descoberta a campanha, os investigadores enviaram os comandos para “remover” o malware dos sistemas, através do kill switch, mas pode não ter chegado a todos os sistemas, sobretudo se os mesmos estiverem offline ou não estiverem a receber corretamente as mensagens.

24/01/2025
Milhares de falsos sites do Reddit surgem em campanha de malware

Não existe como negar que o Reddit é uma das maiores plataformas colaborativas da Internet, trazendo consigo várias formas dos utilizadores interagirem entre si e nos mais variados temas. No entanto, a sua popularidade também faz com que a plataforma seja rapidamente reconhecida apenas pelo design tradicional da mesma.

Recentemente foi descoberta uma campanha de malware, em que as vítimas são enganadas por meio de falsos sites que tentam imitar uma conversa dentro do Reddit. Os sites apresentam um design similar ao Reddit, com um tópico para uma questão específica.

Porém, nas respostas, os atacantes alteram as mesmas para apresentar a suposta solução como um link de download para um ficheiro – que se encontra por ele mesmo a imitar a plataforma de downloads WeTransfer. Este ficheiro é, na verdade, malware, que se foca em instalar o malware Lumma Stealer nos sistemas.

A ideia será enganar os utilizadores, a pensarem que estão a descarregar uma ferramenta para resolver um erro em particular, quando, na verdade podem estar a descarregar malware para os seus sistemas. Neste caso em particular, o Lumma Stealer é um infostealer, que rouba sobretudo dados de logins, cookies e outras informações privadas do sistema.

De acordo com o investigador que descobriu esta campanha, a mesma parece encontrar-se focada para enganar utilizadores que realizam pesquisas por certos termos, através da alteração de resultados no SEO ou publicidade maliciosa, ou até mesmo via sistemas de mensagens diretas em diferentes plataformas.

Tendo em conta que a campanha tenta imitar o Reddit e o WeTransfer, pode dar mais credibilidade para as potenciais vítimas, que pensam estar a aceder a um conteúdo legítimo. Como sempre, é recomendado olhar para o endereço dos sites, e verificar se o mesmo está correto antes de realizar qualquer download dos mesmos.

24/01/2025
Homebrew usado para campanha de publicidade maliciosa no Google

A publicidade da Google encontra-se, mais uma vez, a ser usada para campanhas para sites com conteúdos enganadores. Desta vez os alvos são utilizadores do popular Homebrew, um popular programa open source para gestão de pacotes no macOS e Linux.

Foi recentemente descoberto que existe uma nova campanha de publicidade maliciosa na Google, que usa o sistema da empresa para propagar falsos sites sobre o Homebrew, em pesquisas relacionadas com o mesmo. Quando os utilizadores pesquisam pelos termos associados ao Homebrew, nos primeiros resultados podem surgir anúncios para sites que possuem versões modificadas do programa, contendo malware.

Segundo o investigador Ryan Chenkie, a campanha começou a usar o sistema de publicidade da Google de forma recente, mas tem vindo a continuar ativa nas últimas semanas. A versão modificada do programa integra o infostealer AmosStealer, focado para sistemas macOS, e que pode roubar dados de login e outra informação sensível dos sistemas das vítimas.

A campanha usa a publicidade da Google para surgir nos primeiros resultados de certos termos de pesquisa, como até o próprio nome do programa. Desta forma, os utilizadores podem ter a tendência de acederem imediatamente ao primeiro resultado, sem validarem se é realmente o link legítimo.

A publicidade apresenta mesmo o URL correto para o site brew.sh, mas quando os utilizadores carregam no mesmo, são direcionados para um site completamente diferente, onde se encontra a versão maliciosa. Isto deve-se ao facto da publicidade da Google permitir colocar qualquer endereço no campo de URL.

O site malicioso tenta imitar o design e estrutura do site oficial do Homebrew, incluindo o comando que os utilizadores devem usar para instalar a aplicação. Mas invés de usar o link direto para descarregar o script de instalação, encontra-se um domínio diferente desconhecido, onde se encontra o malware.

Se instalado, o infostealer Amos passa a tentar roubar o máximo de informação possível do sistema das vítimas, incluindo dados de carteiras de criptomoedas, dados de login guardados nos navegadores e outros conteúdos como cookies.

Mike McQuaid, criador do Homebrew, afirma ter conhecimento desta situação, mas ao mesmo tempo indica que existe pouco que possa ser feito, uma vez que a campanha usa o sistema de publicidade da Google – embora se possa reportar a publicidade maliciosa, nem sempre isso previne que a campanha desapareça por completo.

22/01/2025
7-Zip atualizado para corrigir falha grave

Uma falha grave de segurança foi recentemente descoberta no 7-Zip, que pode afetar a segurança dos sistemas onde a aplicação seja usada. Esta falha pode permitir aos atacantes contornarem a Mark of the Web (MotW) do Windows, uma funcionalidade usada pelo sistema da Microsoft para identificar conteúdos descarregados da internet, e aplicar algumas restrições.

O 7-Zip começou a suportar MotW em Junho de 2022, com a versão 22.00. Com isto, os conteúdos extraídos de ficheiros pelo mesmo permanecem com o MotW nos mesmos, garantindo uma pequena segurança quando são depois abertos no sistema.

No entanto, foi recentemente descoberto que existem formas de contornar esta funcionalidade, para que os conteúdos extraídos não tenham o sinal de MotW, e portanto, não tenham restrições mais apertadas dentro do Windows. Com isto, os utilizadores podem acabar por descarregar ficheiros maliciosos e executar os mesmos mais facilmente no sistema.

A falha foi inicialmente descoberta pelos investigadores da empresa Trend Micro, e reportada aos criadores do 7-Zip. Os investigadores demonstraram ser possível usar a falha para executar mais facilmente malware no sistema das potenciais vítimas.

Felizmente, a falha foi corrigida rapidamente, a 30 de Novembro de 2024, com a versão 7-Zip 24.09. No entanto, apenas agora foram confirmados os detalhes da falha, e como o 7-Zip não possui um sistema de atualização automática, podem existir muitos utilizadores que não estão a usar a versão mais recente.

É recomendado que, para quem use o 7-Zip, verifique se o mesmo está na sua versão mais recente, para garantir que não pode ser afetado pela falha. A versão mais recente pode ser descarregada diretamente do site do projeto.

21/01/2025
Falso pacote PyPi tenta roubar dados do Discord a programadores

Um novo malware encontra-se agora à solta, com o objetivo de atacar diretamente as contas do Discord de programadores em Python. O pacote pycord-self foi recentemente descoberto, sendo que contém código malicioso focado em roubar as credenciais de login do Discord das vítimas – que possivelmente serão, na maioria, programadores.

Este pacote tenta imitar o nome do “discord.py-self”, bem mais conhecido, com 28 milhões de downloads, mas completamente legítimo. O pacote agora descoberto fornece funcionalidades similares, mas integra partes de código focado em infetar o sistema dos programadores.

O mesmo tenta roubar as credenciais de login no Discord, possivelmente usando os mesmos para envio de spam e outros esquemas, mas procede ainda com a instalação de um backdoor nos sistemas infetados, que permite aos atacantes terem controlo remoto dos sistemas.

Segundo a empresa de segurança Socket, o pacote foi enviado para a internet em Junho do ano passado, e terá sido descarregado 885 vezes até agora. Embora os investigadores tenham alertado a plataforma PyPI, o pacote ainda se encontra disponível para download.

Como sempre, os programadores são aconselhados a terem atenção aos pacotes que instalam nos seus sistemas, e se os mesmos partem de origens fidedignas. Recomenda-se ainda cautela no uso de pacotes de baixa reputação ou desconhecidos, bem como do uso de ferramentas de segurança para prevenir possíveis ataques.

17/01/2025
Sites WordPress alvo de uma nova campanha de malware

Foi recentemente descoberta uma nova campanha de malware, focada em infetar sites baseados em WordPress. A campanha pode já ter comprometido mais de 5000 websites.

De acordo com a empresa de segurança c/side, foi descoberta uma nova campanha de malware, que tenta atacar sites baseados em WordPress. Esta usa um vetor inicial de ataque ainda desconhecido, para levar à criação de uma conta de administrador, que depois é usada para instalar o plugin malicioso, que será usado para roubar dados dos sites.

O nome dado ao malware, wp3, é adaptado do domínio que é usado para realizar a ligação, e que os sites infetados usam para descarregar o código necessário para criar a conta de administrador. O malware procede ainda à instalação de um plugin malicioso, da mesma origem, que é usado para realizar atividades mais alargadas no site e roubar dados ao mesmo.

Segundo os investigadores, a finalidade deste malware passa por recolher dados sensíveis, como credenciais de login de administrador e registos de erros, bem como dados de utilizadores que se encontrem registados no site.

Para evitar a deteção, o malware tenta ocultar as suas atividades como sendo um simples pedido de imagem, que estaria a ser feito dos servidores para os sistemas em controlo dos atacantes. Nos registos, o WordPress apenas parece ter realizado um pedido para uma simples imagem, mas onde estaria, na realidade, a descarregar o malware.

Para prevenir o ataque, e tendo em conta que a origem do mesmo é desconhecida por agora, é recomendado que os administradores de sites WordPress atualizem todas as suas instalações, e apliquem medidas de segurança nas mesmas, como a rotatividade das chaves de encriptação das contas, e uso de senhas seguras, bem como de autenticação em duas etapas sempre que possível.

14/01/2025
Autoridades dos EUA removeram malware de 4500 sistemas infetados

O Departamento de Justiça dos EUA confirmou ter desmantelado uma rede de malware, originária da China. O malware, conhecido como PlugX, encontrava-se instalado em mais de 4200 computadores apenas nos EUA.

O malware estaria em controlo do grupo conhecido como Mustang Panda, um grupo com ligações ao governo da China e usado para campanhas de espionagem para o mesmo. O PlugX terá sido propagado através de Pens USB infetadas, que eram usadas em diferentes sistemas. Uma vez instalado no sistema, o malware procedia com o acesso aos dados sensíveis dos sistemas, e recolha de dados dos mesmos.

Segundo os documentos das autoridades, as vítimas incluem tanto empresas nos EUA como também entidades sediadas na Europa, a grande maioria focada para transportes e de envio de encomendas.

Depois de ser instalado, o PlugX mantinha-se no sistema até mesmo depois de ser removido pro software de segurança. Isto porque o mesmo aplicava comandos especiais no sistema para reinstalar o malware, caso o programa principal do mesmo fosse removido por algum motivo. A maioria dos utilizadores que usaram sistemas infetados pelo PlugX podem nem ter percebido de tal, tendo em conta que as operações deste eram ocultadas sobre tráfego normal do sistema.

As autoridades afirmam ainda que, dentro da fase de desmantelamento do malware, foi obtido acesso aos sistemas usados para o controlo remoto do mesmo. A partir dai, as autoridades terão enviado comandos para que o malware fosse “auto destruido”. Ou seja, os sistemas que anteriormente estariam infetados com o PlugX foram automaticamente “limpos” pelos comandos enviados pelas autoridades.

Algumas das entidades que foram afetadas pelo PlugX encontram-se agora a receber notificações de tal, por parte das autoridades, a informar das atividades realizadas e do ataque. As autoridades apontam que, os sistemas de controlo do malware, receberam mais de 100 mil pedidos de comandos em apenas seis meses, e que terão sido feitas mais de 2.500.000 ligações a 170 países diferentes.

O PlugX permitia um acesso remoto sofisticado aos sistemas infetados, tanto para analisar os dados existentes nos mesmos, como enviar comandos, recolher dados e teclas pressionadas, entre outras atividades maliciosas.

14/01/2025
FireScam é um novo malware para Android que engana quem procura o Telegram Premium

De tempos a tempos surgem novas campanhas focadas para utilizadores do Android, e recentemente foi descoberta uma que tenta tirar proveito de quem procura obter gratuitamente contas do Telegram Premium.

A campanha agora descoberta foi apelidada de “FireScam”, e usa uma falsa loja de aplicações para distribuir supostas versões “pagas” de determinadas apps, sendo que, neste caso, o foco encontra-se sobre o Telegram Premium.

O malware tira proveito de uma loja de aplicações russa conhecida como “RuStore”, imitando o design da mesma para distribuir a aplicação maliciosa do Telegram Premium. A RuStore foi uma alternativa da Google Play Store e App Store da Apple, criada depois da Rússia ter sofrido várias sanções.

O malware, segundo os investigadores, distribui-se sobre uma falsa loja que imita a RuStore, e depois de instalada nos dispositivos, tenta obter o máximo de permissões possíveis para realizar as suas atividades maliciosas. Tendo o acesso necessário, esta app acaba por roubar dados pessoais das vítimas, e passa a poder controlar mensagens, ver o conteúdo de qualquer ficheiro no dispositivo e monitorizar as notificações, obtendo também os conteúdos das mesmas.

Todos os dados são enviados para sistemas em controlo dos atacantes, em tempo real. Estes sistemas colocam os dados numa base de dados, acessível pelos atacantes, onde permanece por tempo limitado – possivelmente para que não seja guardada muita informação desnecessária.

Segundo os investigadores da empresa de segurança Cyfirma, o malware tenta ocultar as suas atividades. Por agora ainda se desconhece qual a origem do mesmo, embora este tenha um padrão bastante sofisticado, o que leva a crer que seja desenvolvido por atacantes com conhecimentos avançados.

Como sempre, recomenda-se cautela no download de ficheiros desconhecidos da internet, sobretudo de fontes não oficiais.

04/01/2025
Estrelas do GitHub usadas para campanhas maliciosas

Uma das formas de verificar a popularidade de um projeto no Github parte por analisar as estrelas que o mesmo possui, que normalmente são dadas por utilizadores que consideram o projeto interessante.

No entanto, a plataforma mais usada por programadores tem vindo a verificar um problema sobre este sistema, que está também a causar algumas dores de cabeça para programadores e interessados.

As estrelas são o equivalente a um “gosto”, e normalmente demonstram a popularidade de um projeto dentro da plataforma. Ao mesmo tempo podem ajudar os utilizadores a receberem recomendações personalizadas para outros projetos que podem ser do seu interesse.

No entanto, este sistema possui as suas falhas, e recentemente foi documentado a forma como as estrelas dos projetos no GitHub podem ser usadas para enganar os utilizadores, levando-os para recomendações potencialmente maliciosas.

Um recente estudo realizado por investigadores da Socket, Carnegie Mellon University, e North Carolina State University aponta que existem quase 4.5 milhões de estrelas de projetos no GitHub que foram obtidas de forma inorgânica, através de redes de botnet e contas falsas.

Os investigadores realizaram a sua análise através da plataforma GHArchive, que conta com mais de 6 mil milhões de interações feitas no GitHub entre Julho de 2019 e Outubro de 2024, o que inclui mais de 60.5 milhões de ações dos utilizadores em 310 milhões de repositórios, com 610 milhões de estrelas.

Usando um sistema para analisar contas potencialmente falsas dentro da plataforma, os investigadores chegaram à conclusão que quase 4.5 milhões de estrelas em projetos dentro do GitHub foram adquiridas com fins pouco convencionais, como para dar mais destaque a projetos contendo malware.

Foram ainda descobertas mais de 1,320,000 contas que estavam a ser usadas para esta campanha de falsas estrelas em quase 23 mil repositórios. No período usado para o estudo, mais de 62% das contas inicialmente identificadas como sendo falsas foram removidas da plataforma e 91% dos repositórios visados foram igualmente removidos, seja pelos próprios autores dos mesmos ou por ações diretas do GitHub, devido a violações dos termos da plataforma.

Este formato de campanhas maliciosas através do uso de estrelas no GitHub tem vindo a alargar-se consideravelmente, e pode causar possíveis impactos de segurança, com projetos maliciosos ou enganadores a serem recomendados como fidedignos, e poderem mesmo chegar a ser adotados em larga escala antes de se descobrir as atividades maliciosas.

A Microsoft, dona do GitHub, tem vindo a implementar medidas para combater este formato de falsas avaliações dentro da plataforma, mas ainda existe bastante trabalho a ser feito, tendo em conta os dados agora revelados. De momento não existe uma forma clara de como o GitHub aplica medidas para prevenir este formato de exploração das funcionalidades da sua plataforma.

01/01/2025
Japan Airlines teve de suspender voos devido a ataque informático

A Japan Airlines (JAL) confirmou ter sido recentemente alvo de um ataque informático, o qual terá prejudicado alguns dos voos previstos para a entidade. O ataque terá ainda afetado alguns dos sistemas internos da empresa, causando problemas e cancelamentos.

Em comunicado, a empresa confirmou ter sido originada uma falha em vários sistemas de rede da mesma, que afetaram as comunicações de sistemas internos e externos, levando a atrasos ou cancelamentos.

O ataque obrigou a entidade a ter de realizar a desativação dos seus dispositivos de rede, levando aos problemas registados. A empresa não confirmou exatamente os detalhes do ataque, sendo que o comunicado apenas indica que foram recebidas elevadas quantidades de dados externos, causando problemas aos sistemas.

Tendo em conta a indicação aparenta ter sido um ataque associado a DDoS, que causou a sobrecarga dos sistemas usados pela transportadora. A empresa sublinhou ainda que os dados dos clientes não foram afetados, e que não foi usado qualquer malware como parte do ataque.

Cerca de uma hora depois do ataque ter sido identificado, a transportadora confirmava ter resolvido o problema.

Durante esta semana, a American Airlines também foi obrigada a cancelar ou adiar alguns dos voos previstos para o Natal, devido ao que a empresa indicou ser uma falha de rede – embora se desconheça se terá sido um ataque.

26/12/2024
Edge vai usar IA para identificar sites de esquemas scareware

A Microsoft tem vindo a integrar algumas melhorias de segurança para o Edge, que pretendem ajudar os utilizadores a ficarem seguros contra sites potencialmente maliciosos ou de downloads de malware. E recentemente, parece que a empresa encontra-se também a focar num novo sistema capaz de detetar esquemas além do simples malware.

A Microsoft encontra-se a testar no Edge uma nova funcionalidade de segurança, que vai usar IA para identificar sites de esquemas que se realizem via telefone ou por meios de interação social. Este sistema analisa os sites para identificar quando existe uma forte possibilidade de se tratar de um esquema deste formato.

Por exemplo, o sistema irá alertar os utilizadores quando acederem a um falso site de suporte da Microsoft, que leve os mesmos a telefonar para um número de forma a manterem o sistema ativo ou a proteção do mesmo. Este formato de esquemas, embora seja mais vulgar em países como os EUA, ainda pode afetar utilizadores noutras regiões – e tem vindo a aumentar consideravelmente nos últimos anos.

O sistema pode ainda proteger os utilizadores de scareware, uma técnica bastante usada para esquemas, que apresentam alguma ação de emergência para certas atividades, como a indicação via um banner ou notificação de que o sistema se encontra comprometido por malware, e que para garantir a segurança é necessário realizar o pagamento de uma quantia para os atacantes.

Este sistema do Edge usa a IA da Microsoft para analisar o conteúdo do site, e com base nisso, identificar os que sejam potencialmente um esquema. Por agora ainda se desconhecem detalhes de como este sistema irá funcionar exatamente, mas parece que a Microsoft pretende integrar o mesmo como mais uma camada de segurança para os utilizadores finais.

Por agora a novidade apenas se encontra disponível para o Edge Dev, sendo que se espera que venha a ficar disponível para mais canais do Edge em breve.

22/12/2024
Spyware descoberto dentro da loja de aplicações da Amazon

Tendo em conta que o Android é um sistema consideravelmente aberto, este permite que as aplicações possam ser instaladas de várias fontes, seja pela Google Play Store ou por outras lojas. Uma das existentes é a Amazon App Store, que embora seja menos conhecida, ainda conta com um vasto conjunto de apps e utilizadores ativos.

Recentemente foi descoberto que, durante anos, uma falsa aplicação de saúde esteve disponível na Amazon App Store contendo malware na mesma. Segundo os investigadores da McAfee Labs, a aplicação BMI CalculationVsn esteve durante várias semanas mascarada como uma app de saúde relativamente simples na Amazon App Store. No entanto, em segundo plano a mesma instalava também malware nos sistemas, levando a possíveis dados comprometidos.

A aplicação afirma ser uma simples calculadora do Índice de Massa Corporal, e realmente realiza essa tarefa quando se abre a mesma. Porém, além disso, esta também começa por requerer permissões para gravar conteúdos do ecrã, que usa para recolher dados sensíveis dos utilizadores usados dentro do sistema.

Os ficheiros MP4 gravados do ecrã eram guardados apenas de forma local, provavelmente porque a aplicação ainda estaria em desenvolvimento. Mas em futuras atualizações esta poderia proceder com o envio das gravações para um sistema remoto.

Os primeiros indícios da app na Amazon App Store começaram a surgir em 8 de Outubro de 2024, mas inicialmente esta não aparentava conter intenções maliciosas. Apenas em futuras atualizações foram integradas variantes de malware na mesma, com o objetivo de recolher dados dos sistemas.

Ao contrário da Google Play Store, a Amazon App Store conta com padrões de segurança mais reduzidos, o que pode permitir que este formato de apps possam ser mais facilmente distribuídas. Depois de identificada, a Amazon terá sido notificada e a aplicação foi removida.

19/12/2024
Hackers usam rede de sistemas RDP para ataques MiTM

Um grupo de hackers russos, conhecido como Midnight Blizzard, encontra-se a usar uma rede com 193 sistemas de acesso remoto de ambiente de trabalho, para criar um sistema de proxy para ataques man-in-the-middle (MiTM), com o objetivo de roubar dados sensíveis e credenciais de malware distribuído pela internet.

Os atacantes usam estes sistemas para ativar a ferramenta PyRDP , que pode depois analisar os ficheiros nos sistemas de eventuais vítimas, descobrir quais os dados pertinentes a obter e descarregar os mesmos, bem como executar malware diverso nos sistemas infetados.

De acordo com a empresa de segurança Trend Micro, o grupo foca-se sobretudo para entidades governamentais e militares, com o objetivo de roubar informação sensível de sistemas internos das mesmas. Embora muitas entidades focadas para ataque encontrem-se nos EUA, Alemanha, França, entre outros, Portugal faz parte da lista onde existem também alguns alvos.

O Remote Desktop Protocol (RDP) é um protocolo criado pela Microsoft para permitir o rápido acesso a sistemas remotamente, tal como se os utilizadores estivessem em frente do mesmo. Porém, se usado maliciosamente, este pode ser usado para controlar sistemas comprometidos, e lançar a partir dos mesmos o mais variado cenário de ataques.

A empresa de segurança Trend Micro afirma ter descoberto uma rede de 193 servidores RDP comprometidos, que estariam a ser usados como fachada para ataques mais alargados. Estes sistemas eram depois usados para roubar informações de forma escondida em outros sistemas, e nomeadamente, obter dados sensíveis que poderiam ser usados contra governos ou agências militares.

Uma das linhas de defesa parte por controlar de forma restrita quais os acessos que podem ser feitos a sistemas onde o RDP esteja ativo. Este protocolo é sobretudo usado para servidores remotos e grandes empresas, sendo raramente necessário para utilizadores domésticos.

19/12/2024
Criador do malware Raccoon Stealer condenado a cinco anos de prisão

Mark Sokolovsky, o cidadão ucraniano acusado de criar e gerir as operações da rede de malware Raccoon Stealer, acaba de ser condenado a cinco anos de prisão pelas suas atividades.

De acordo com os documentos agora revelados sobre o caso, Sokolovsky encontra-se acusado de usar o malware como um MaaS (malware-as-a-service), distribuindo o mesmo para potenciais atacantes que o usavam para roubar dados dos sistemas infetados. Sokolovsky ganharia com este modelo entre 75 dólares por semana, por cada uso do malware.

O Raccoon Stealer é conhecido por roubar diversa informação dos sistemas depois de ser instalado nos mesmos, entre os quais dados de login em diferentes plataformas online, redes sociais, dados bancários, documentos pessoais, entre outras informações consideradas relevantes para os atacantes.

Em Março de 2022, as autoridades detiveram Sokolovsky nos Países Baixos, e com a ajuda do FBI, a rede do malware foi completamente desativada, numa ação que envolveu também as autoridades de Itália.

Na altura, as operações do Raccoon Stealer foram igualmente suspensas no mesmo período da detenção, embora os responsáveis pelo malware afirmassem que o líder do grupo de cibercrime teria sido morto durante a guerra entre a Ucrânia e Rússia. Depois disso, o malware voltou a surgir em diferentes variantes, com ainda mais capacidades de roubar dados pessoais e sensíveis.

Sokolovsky foi extraditado para os EUA em Fevereiro de 2024, sobre várias acusações. Em 2023 o mesmo teria confirmado a autoria dos crimes junto das autoridades. A par com a detenção do criador do malware, o FBI criou ainda um website onde as vítimas do mesmo podem analisar se os seus dados foram afetados ou vendidos a terceiros.

19/12/2024
Novo malware propaga-se em falsas páginas de CAPTCHA

Uma nova campanha de malware encontra-se a usar falsas páginas de CAPTCHA para levar os utilizadores a infetarem os seus sistemas. Esta campanha de malware usa uma nova técnica para tentar enganar os utilizadores, fazendo-se passar como uma etapa para validação da autenticidade dos mesmos.

Apelidada de “DeceptionAds”, a campanha foi descoberta pela empresa Guardio Labs e Infoblox, e acredita-se que terá sido originária de uma entidade conhecida como “Vane Viper”. Nesta campanha, os utilizadores podem chegar, via publicidade maliciosa, a sites de verificação de identidade, que apresentam um suposto captcha no mesmo.

Para avançar, os utilizadores devem executar uns comandos no seu sistema, que basicamente serão comandos do Terminal PowerShell, que acabam por infetar os sistemas com malware descarregado de forma remota. Se executado, este comando instala no sistema o malware e procede com a sua execução.

O malware em questão procede depois com o roubo de cookies do navegador e de dados de login armazenados no mesmo, que podem ser usados para roubar contas em plataformas sociais, entidade bancárias e outras.

No final, as vítimas acabam por ser elas próprias a instalarem o malware, na ideia de que estão a realizar uma verificação de identidade. De acordo com os investigadores, a campanha propaga-se sobretudo por publicidade enganadora em diferentes websites, bem como via sistemas de redireccionamento em sites maliciosos.

Como sempre, os utilizadores devem ter atenção aos sites de ondem acedem, ainda mais quando estes requerem passos considerados desnecessários ou onde se tenha de usar linha de comando diretamente para a tarefa.

18/12/2024
FBI alerta para novo malware focado em dispositivos da Internet das Coisas

As autoridades dos EUA encontram-se a alertar para um novo malware, que se encontra ativamente a infetar dispositivos vulneráveis de web cams e DVRs. Este novo malware foca-se em sistemas que estão expostos para a internet, e vulneráveis a falhas ou abertos com credenciais de login fracas.

Apelidado de HiatusRAT, este malware foca-se sobretudo em dispositivos da China, que possuem falhas de segurança ativas ou outros problemas de segurança por corrigir, e que já estarão em fim de vida.

Segundo o comunicado do FBI, a alertar para a ameaça, o malware foca-se sobretudo em equipamentos da internet das coisas, e terá já infetado milhares de dispositivos em países como os EUA, Canadá, Nova Zelândia e Reino Unido.

Os atacantes procuram pela internet por dispositivos conhecidos como tendo vulnerabilidades, e que se encontram ativamente expostos e possíveis de ser atacados. Dispositivos das marcas Hikvision e Xiongmai parecem ser os principais focos.

Para prevenir ataques, o FBI recomenda que os administradores destes sistemas apliquem medidas de segurança para prevenir os mesmos de serem acedidos externamente. E que limitem os acessos remotos que podem ser feitos aos mesmos.

Como a maioria dos dispositivos afetados encontram-se em fim de vida, e portanto, já não recebem suporte oficial dos fabricantes, as falhas que se encontram a ser ativamente exploradas não deverão ser corrigidas. Isto abre portas para que os ataques venham a ser alargados no futuro.

Este formato de malwares tende a ser usado para ataques onde se pretenda aceder a sistemas internos de algumas entidades, ou obter acesso a imagens e possivelmente dados sensíveis dentro de redes de empresas e organizações, que podem depois ser usados para os mais variados fins.

17/12/2024
Recall do Windows vai chegar a sistemas AMD e Intel

A Microsoft encontra-se a expandir o Windows Recall, a sua funcionalidade de “linha de tempo” para o sistema, a ainda mais utilizadores. A funcionalidade vai chegar, em breve, a sistemas com processadores AMD e Intel que tenham sido aprovados para o programa Copilot+.

Inicialmente, o Recall foi lançado apenas para sistemas Copilot+ com os processadores da Qualcomm, mas a ideia da empresa seria lançar o mesmo para o máximo de utilizadores possíveis. De relembrar que o Recall é uma funcionalidade que regista tudo o que o utilizador faz no sistema.

Quando foi apresentado, o Recall foi alvo de duras críticas, tanto a nível de privacidade como de segurança. A Microsoft foi forçada a adiar o seu lançamento inicial de forma a corrigir os problemas pendentes -garantindo no processo que toda a informação recolhida pelo Recall está segura e é usada apenas de forma local.

Entre as mudanças encontra-se o uso de IA para localmente remover do Recall informação potencialmente sensível, como dados bancários, senhas e outras informações consideradas importantes. Foram ainda adicionados mecanismos para prevenir o acesso a dados do Recall por terceiros, mesmo que o sistema esteja infetado com malware.

Hoje a empresa revelou que pretende colocar o Recall em ainda mais sistemas Copilot+, chegando a mais computadores com processadores Intel e AMD, através do Windows Insider. Por agora, a atualização deve chegar apenas para quem esteja ativo neste programa, mas eventualmente deve começar a surgir para todos na versão estável do Windows 11.

As novidades devem começar a surgir no Windows 11 Insider Preview Build 26120.2510 (KB5048780), que vai chegar hoje aos utilizadores do canal Dev do programa Insider.

06/12/2024
Android pode ter novas regras de segurança para usar certas apps

A Google confirmou que vai lançar algumas mudanças de segurança para o Android, e que será destinada aos programadores terem mais formas de garantir a segurança dos dados nas suas aplicações.

De acordo com as mudanças, em breve o Android pode vir a forçar a que sejam atingidos certos requisitos de segurança para se poder usar uma determinada app dentro do sistema. Por exemplo, com este novo sistema, antes de uma app ser aberta, os utilizadores podem ter de garantir que certas atualizações do sistema são instaladas, ou que outras apps potencialmente maliciosas não se encontram instaladas.

Estas novidades fazem parte da API Play Integrity, que atualmente é já usada dentro do Android, com foco em garantir a segurança e proteção dos dados. Este sistema encontra-se disponível para todas as versões do Android acima do Android 13, e garante uma camada adicional de segurança.

Por exemplo, a Play Integrity pode ser usada para que apps bancárias tenham uma maior segurança dentro do sistema, evitando que malware e outras apps possam aceder maliciosamente aos dados das mesmas.

Com a recente atualização, porém, a Play Integrity recebe algumas melhorias, que devem fomentar níveis mais elevados de segurança. Os programadores terão mais possibilidades para poderem adaptar as suas apps, de forma a apenas serem executadas em sistemas que atinjam certos níveis de segurança.

Com as novas APIs, será possível até controlar se uma app pode ou não ser executada quando certas atualizações do Android não se encontram instaladas – ou quando a versão mais recente não é usada.

O sistema pretende melhorar a segurança dos utilizadores, das apps e dos dados guardados nas mesmas, e no final, estas mudanças não devem causar impacto no uso dos dispositivos para os utilizadores finais. Porém, para quem goste de modificar o seu sistema, podem existir certos requisitos que agora necessitam de ser adaptados para que se possa usar certas apps.

05/12/2024
Novo malware bancário para Android infeta utilizadores em Portugal

De tempos a tempos surgem algumas novas campanhas de malware para Android, e uma recente foi descoberta, afetando vários utilizadores, incluindo em Portugal.

De acordo com a descoberta dos investigadores da empresa de segurança Cleafy, um novo malware bancário para Android encontra-se a propagar em massa pelo sistema, focando-se em vítimas no Reino Unido, Itália, França, Espanha e Portugal.

Apelidado de “DroidBot”, este malware encontra-se ativo desde meados de Junho de 2024, como uma ferramenta malware-as-a-service (MaaS). Este é fornecido como uma ferramenta por 3000 dólares mensais, para os potenciais atacantes usarem nas suas campanhas de malware.

Pelo menos 17 grupos de malware foram identificados como estando a usar este para as suas campanhas, sobretudo com vítimas especificamente escolhidas para tal. Embora o malware em si não seja propriamente sofisticado, este encontra-se a ser ativamente usado, tendo sido registadas pelo menos 776 vítimas até ao momento.

Os criadores do DroidBot aparentam encontrar-se sediados na Turquia, tendo em conta os comentários identificados no malware e parte do código. Quando os atacantes compram o malware, possuem igualmente acesso a um sistema que permite gerir o mesmo, e analisar os dados das vítimas. O malware pode ainda ser personalizado ao gosto de cada grupo, e ajustado para enviar os dados roubados para canais do Telegram específicos.

O malware possui ainda capacidade de aceder aos serviços de acessibilidade do Android, para realizar diretamente ações no sistema operativo, e permitir o controlo remoto do mesmo por parte dos atacantes. Uma vez instalado, o malware procede com o roubo de dados bancários, que serão usados para os mais variados fins.

O DroidBot é muitas vezes distribuído fazendo-se passar por outras apps, como o Google Chrome, ou como atualização para o Android. De momento, todos os casos identificados foram através de apps instaladas fora da Play Store, tendo em conta que as proteções da Google rapidamente identificam este malware.

Como sempre, uma das formas de proteção passa por os utilizadores terem cuidado com apps descarregadas fora da Play Store, e garantirem que os seus dispositivos possuem medidas de proteção adequadas.

05/12/2024
Ficheiros corrompidos do Word são usados em novo esquema

Uma nova campanha de phishing tem vindo a propagar-se, usando documentos do Word corrompidos para enganar as vítimas.

Normalmente, um ficheiro corrompido do Word não abre corretamente, mas o programa ainda tenta realizar o carregamento de algum conteúdo. Quando se abre um ficheiro neste formato, o Word alerta para o erro, mas ainda tenta abrir o mesmo, recuperando parte do conteúdo.

Recentemente foi descoberta uma nova campanha que explora exatamente esta funcionalidade. A maioria dos filtros de spam e sistemas de segurança encontram-se configurados para identificar o conteúdo de ficheiros do Word, mas caso os ficheiros estejam corrompidos, isso não é possível.

Na campanha agora descoberta, os criminosos enviam para as potenciais vítimas ficheiros ligeiramente modificados, que surgem como corrompidos, mas que ainda podem ser facilmente recuperados pelo Word quando abertos, permitindo aceder aos conteúdos do mesmo.

Desta forma, para os sistemas de segurança, os ficheiros não são analisados corretamente, embora para os utilizadores finais ainda sejam abertos depois de feita a recuperação.

Nos exemplos descobertos, se os ficheiros forem realmente abertos, normalmente direcionam as potenciais vítimas para falsos sites de login em diferentes plataformas, com o objetivo de roubar dados de login ou levar à instalação de malware nos sistemas.

Embora o phishing propriamente dito não seja algo novo, o uso de ficheiros corrompidos do Word para enganar os sistemas de segurança é certamente algo interessante, e que não se tinha visto em ataques anteriores.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem sempre ter atenção aos conteúdos descarregados de fontes desconhecidas.

02/12/2024
15 aplicações de financiamento maliciosas descobertas na Google Play Store

De tempos a tempos a Google Play Store é alvo de campanhas, onde aplicações maliciosas acabam por conseguir contornar as medidas de segurança da Google, para serem distribuídas na plataforma. E recentemente, uma nova campanha foi descoberta, com mais de 15 apps maliciosas e 8 milhões de instalações.

O malware, apelidado de “SpyLoan”, foca-se sobretudo a utilizadores na América do Sul e África, tendo sido descoberto em várias apps focadas ao financiamento. De acordo com os investigadores da McAfee, as aplicações estariam disponíveis na Play Store – embora tenham sido entretanto removidas.

As aplicações “SpyLoan” são normalmente associadas com apps que tentam fornecer financiamentos aos utilizadores, mas sobre termos abusivos. Estas apps usam técnicas agressivas para levar as vítimas a usarem os esquemas de financiamento, e caso não sejam feitos os pagamentos, são aplicadas chantagens com os conteúdos roubados dos dispositivos das mesmas.

As apps teriam permissões de acesso alargadas aos dispositivos Android, entre os quais para recolher imagens, contactos, mensagens e outros dados, que poderiam depois ser usados para extorquir as vítimas em caso de falhas de pagamento. Os financiamentos fornecidos encontram-se, em muitos casos, sobre termos bastante exigentes e apertados.

As aplicações possuíam ainda a capacidade de recolher a localização GPS das vítimas em tempo real, enviando os dados para sistemas em controlo dos atacantes.

No total foram descobertas 15 apps deste formato, com um total de 8 milhões de instalações na Play Store. Embora todas as apps tenham sido removidas da plataforma da Google, estas ainda podem encontrar-se em plataformas de terceiros, ou em sites que as distribuam diretamente.

Estas apps tentam ocultar as suas atividades, de forma a tentar contornar as medidas de proteção existentes na Play Store, levando a que algumas possam permanecer durante meses ou até mesmo anos na plataforma, sem serem identificadas.

30/11/2024
Descoberto primeiro bootkit a afetar sistemas Linux

O que pode ser considerado o primeiro rootkit para Linux a afetar a UEFI do sistema foi recentemente descoberto por um grupo de investigadores. Este bootkit pode ter o potencial de causar grandes estragos nos sistemas onde seja instalado, abrindo portas para um roubo alargado e silencioso de dados.

Apelidado de “Bootkitty”, este bootkit é uma prova de conceito, criada para Linux, e que pode afetar diretamente a UEFI do sistema. Embora existam variantes focadas para Windows, esta é a primeira vez que um malware deste formato afeta sistemas Linux.

Os bootkits são um formato de malware criado para se colocarem no arranque do sistema, ainda antes do sistema operativo ser carregado. Desta forma, podem permanecer ocultos no sistema, sem que software tradicional de segurança seja capaz de identificar as suas atividades, e ainda podem permanecer até mesmo depois de reinstalações do sistema operativo.

Segundo os investigadores da ESET, responsáveis pela descoberta, este bootkit é um exemplo de como estão a ser feitos avanços consideráveis no desenvolvimento de malware, focado em tornar o mesmo o mais impercetível possível.

O Bootkitty coloca ficheiros de drivers durante o arranque do sistema, ainda antes do sistema operativo carregar, dando a possibilidade de ativar as mais variadas tarefas e comandos, abrindo portas para que possam ser recolhidos e enviados dados remotamente.

O Bootkitty possui ainda a capacidade de adicionar outros módulos maliciosos no sistema, caso considere necessário, e de remover certas etapas de segurança para permitir que os mesmos corram sem serem identificados.

Segundo os investigadores, o malware ainda parece encontrar-se em desenvolvimento, portanto esta pode tratar-se apenas de uma variante que foi desenvolvida como teste, e é bastante provável que venha a ser refinada para ataques em larga escala no futuro.

28/11/2024
Aplicação para alterar fundo do ambiente de trabalho da Microsoft apelidada de “malware”

Esta semana, a Microsoft lançou uma nova aplicação original na Microsoft Store, a “Bing Wallpaper”. Esta aplicação parece relativamente simples, tendo como objetivo atualizar o wallpaper do sistema dos utilizadores, todos os dias, com a imagem de fundo no Bing.

No entanto, rapidamente começaram a surgir críticas à mesma, em parte porque foi descoberto que esta pode apresentar funcionalidades que seriam de esperar de um malware, e não de uma app legitima.

Embora a função base da app seja alterar o fundo do ambiente de trabalho, em segundo plano a mesma aplica algumas medidas que podem ser consideradas como sendo de “malware”, em parte para levar os utilizadores a usarem o Microsoft Edge e o Bing.

O programador Rafael Rivera revelou a descoberta na sua conta pessoal da X, indicando algumas das atividades que a aplicação faz para além de mudar o fundo do ambiente de trabalho.

Primeiro, em sistemas Windows 10 e 11, esta instala automaticamente o Bing Visual Search, um pequeno programa que permite usar o Bing para pesquisa de imagens. Esta aplicação é instalada sem autorização por parte do utilizador, nem forma de evitar que tal seja realmente instalada.

Além disso, da primeira vez que a app é executada, esta tenta levar os utilizadores a mudarem a página inicial dos seus navegadores para o Bing, e a adotarem o Bing como motor de pesquisa – tanto no Chrome, Firefox, Edge ou qualquer outro navegador que os utilizadores tenham.

O código fonte da app conta ainda com partes que podem analisar os cookies dos principais navegadores que existem, e analisar os dados do mesmo, o que é também algo desnecessário para a funcionalidade da app, e que muitos apelidam como sendo a parte mais grave de todo o caso. Isto permitiria, teoricamente à Microsoft analisar qualquer cookie nos navegadores dos utilizadores.

A app conta ainda com uma API integrada de geolocalização, que pode recolher a localização em tempo real dos utilizadores, bem como tenta várias vezes colocar o Edge como navegador padrão do sistema.

Por fim, a app abre ainda uma página automaticamente onde tenta levar os utilizadores a instalarem a extensão de pesquisa do Bing. Todas estas medidas, em parte, servem para tentar levar os utilizadores aos serviços da Microsoft ou a usarem o Bing.

O que poderia ser uma simples aplicação para alterar o fundo do ambiente de trabalho, tendo em conta as atividades que realiza, muitos consideram tratar-se de malware, e mais uma vez, de uma forma da Microsoft incentivar ao uso do Edge e do Bing até mesmo em navegadores diferentes.

24/11/2024
Windows Recall vai começar a chegar aos sistemas Copilot+

Depois de uma longa lista de críticas e controvérsia, a Microsoft confirmou que vai começar a disponibilizar a funcionalidade Recall para os utilizadores do Windows 11, em sistemas Copilot+.

Esta novidade vai começar a chegar aos utilizadores dentro do Windows Insider, que estejam no canal Dev, durante os próximos dias. De relembrar que o Recall foi anunciado pela Microsoft em Junho, e basicamente, será um sistema que se lembra de todas as atividades feitas pelo utilizador dentro do Windows.

Isto permite que os utilizadores tenham acesso a uma linha de tempo, onde IA é usada para indicar pontos chave e analisar as atividades feitas no computador. Esta novidade vai chegar apenas para sistemas Copilot+, que possuem os mais recentes processadores Snapdragon da Qualcomm.

Como seria de esperar, quando foi oficialmente revelada, a funcionalidade levantou várias questões relativamente à privacidade de dados e segurança dos mesmos, tanto que a Microsoft foi obrigada a adiar o seu lançamento – para tentar resolver alguns dos problemas. A empresa garante que todos os dados recolhidos pelo Recall permanecem apenas guardados de forma local, e nunca são enviados para sistemas externos.

Ainda assim, este foi alvo de duras críticas na forma como pode ser recolhida informação potencialmente sensível do sistema e dos utilizadores. Ao mesmo tempo, a Microsoft indica ainda que o Recall conta com sistemas que, em caso do sistema ser comprometido, bloqueia o acesso ao mesmo por malware. Desta forma, se for identificado tentativas de acesso aos dados do Recall, mesmo que de forma local, a informação encontra-se protegida – pelo menos segundo a empresa garante.

Depois de ter feito alguns ajustes, incluindo torna a funcionalidade inteiramente opcional e que pode ser removida por completo, esta chega agora no Windows 11, primeiro para quem esteja no canal Dev do programa Insider do Windows.

Depois de instalarem a atualização, os utilizadores serão obrigados a responder se pretendem ativar a funcionalidade, e caso aceitem, necessitam de validar que o Windows Hello encontra-se a funcionar corretamente.

23/11/2024
Spotify está a ser usado para promover conteúdo pirata e malware

O Spotify seria uma das poucas plataformas onde se pensaria incluir conteúdos piratas, tendo em conta que é sobretudo usada para streaming de conteúdos de música e podcasts. No entanto, foi descoberto que as playlists da plataforma e o sistema de podcasts encontram-se a ser usados para promover software pirata, cheats para jogos e links de spam para sites de conteúdo ilegal.

Usando descrições e títulos de playlists, é possível usar o Spotify para promover sites que oferecem estes conteúdos ilegais, ao mesmo tempo que este conteúdo é ainda promovido dentro dos motores de pesquisa.

Como as playlists do Spotify podem surgir em formato público, os motores de pesquisa são capazes de indexar as mesmas através do web player da plataforma. Com isto, os sites de conteúdos ilegais beneficiam de SEO gratuito diretamente pelo Spotify.

Estas playlists surgem normalmente com imagens e títulos associados ao software que se pretende piratear, juntamente com o link do site onde o mesmo se encontra – ou um link reduzido.

A ideia será que os utilizadores, ao usarem a pesquisa da Google para procurarem cracks e ativadores para diferentes programas, possam ser direcionados para estas playlists do Spotify, e eventualmente tenham a intenção de aceder aos sites indicados. Como os links das playlists são públicos, estes surgem nos resultados de pesquisa da Google, via o leitor web do Spotify, dando ainda mais visibilidade aos mesmos.

Embora o Spotify tenha medidas para remover este formato de conteúdos da sua plataforma, os links podem permanecer ativos durante bastante tempo antes de serem identificados e removidos.

Além das playlists, também o sistema de podcasts encontra-se a ser usado para o mesmo formato, mas neste caso usam-se sistemas de leitura de voz digital, que convertem texto em voz, para indicar os sites onde os utilizadores devem aceder.

Por norma, os nomes dos podcasts possuem termos associados com o que os utilizadores possam procurar para ativar diferentes programas. Muitos dos podcasts possuem menos de 10 segundos de duração, e o objetivo é apenas indicar o link direto para o site malicioso ou com os programas ilegais.

Tendo em conta o ambiente aberto do Spotify para este formato de conteúdos, parece que agora encontra-se a ser uma forma de os donos destes websites terem uma forma de promover os conteúdos ilegais, sem terem de recorrer a outras técnicas para tal.

19/11/2024
Versão maliciosa do Bitwarden distribui-se em publicidade do Facebook

O Bitwarden é um conhecido gestor de senhas para diferentes sistemas e navegadores. No entanto, uma nova campanha maliciosa encontra-se a propagar usando o nome da mesma, para levar os utilizadores a fornecerem dados de acesso às suas contas.

De acordo com os investigadores da Bitdefender Labs, foi descoberta uma nova campanha de malware, onde o Bitwarden é usado para propagar versões maliciosas do Gestor de Senhas. Estas campanhas são propagadas, sobretudo via publicidade nas redes sociais em contas comprometidas – como o Facebook e Instagram.

A publicidade começa por indicar que os utilizadores estão a usar uma versão desatualizada do Bitwarden, e que devem descarregar a mais recente via um site específico – que quando acedido, aparenta ser a Chrome Web Store. No entanto, o site em questão está no controlo dos atacantes, e pretende levar as vítimas a descarregarem um ficheiro ZIP para o sistema, de onde se parte a instalação do malware.

A página indica ainda como os utilizadores podem instalar a extensão. Quem tenha conhecimento de como funciona a Chrome Web Store rapidamente deve identificar o esquema, mas os utilizadores com poucos conhecimentos podem acabar por seguir as indicações no site.

As instruções indicam os passos para instalar manualmente a extensão no navegador, ativando o modo de programador do mesmo. Feito isto, e caso a extensão maliciosa seja instalada, esta procede com o roubo de dados sensíveis do navegador, incluindo dos cookies de vários sites e redes sociais, dados de login guardados no sistema, IP e dados de localização entre outras informações sensíveis.

Os utilizadores são aconselhados a manterem-se atentos aos locais de onde instalam as suas extensões, sendo que no caso do Chrome e dos navegadores baseados em Chromium, a instalação é quase sempre feita apenas via a Chrome Web Store, sem passos adicionais pelo modo de programador.

18/11/2024
Inteligência Artificial impulsiona nova vaga de ciberataques no setor financeiro em 2024

O panorama de cibersegurança no setor financeiro continua a evoluir rapidamente, devido ao aparecimento de ameaças cada vez mais sofisticadas e direcionadas. Durante 2024, verificou-se um aumento significativo da atividade de Trojans bancários, um tipo de malware que utiliza técnicas avançadas para roubar credenciais e dados financeiros, colocando em risco a economia do utilizador, da empresa ou até mesmo do próprio país. É o que afirma a S21sec, uma das principais fornecedoras de serviços de cibersegurança na Europa, adquirida pelo Thales Group em 2022, na última versão do seu relatório Threat Landscape Report, no qual analisa a evolução do cibercrime a nível global.

A chegada da IA está a transformar o cenário do cibercrime, especialmente nas técnicas de engenharia social utilizadas para tentar enganar as vítimas, com o objetivo de obter informações sensíveis como números de cartões de crédito, ou credenciais de acesso a contas bancárias, entre outros. Tradicionalmente, este método exigia conhecimento técnico avançado e tempo considerável para criar, por exemplo, websites falsos e emails convincentes. No entanto, a IA simplificou este processo, permitindo que os cibercriminosos realizem estes ataques maliciosos com maior facilidade e com poucos conhecimentos técnicos.

O crescimento deste tipo de fraudes, como o roubo de identidade, o phishing através de mensagens de texto (smishing), o phishing de voz (vishing) ou a utilização de vídeos manipulados (deepfakes), representam um desafio crescente para esta indústria, que à medida que a sua digitalização avança parece cada vez mais exposta.

Como consequência direta destes avanços, nasceu o fenómeno do Phishing-as-a-Service (PaaS), semelhante ao modelo Software-as-a-Service (SaaS). O PaaS permite aos cibercriminosos alugar ou comprar kits de phishing, completos e personalizáveis, reduzindo significativamente as barreiras de entrada para a realização deste tipo de ataques. Esses kits geralmente incluem modelos de e-mail, websites clonados e ferramentas automatizadas para recolha de credenciais. Como resultado, tem havido um aumento significativo de fraudes que se fazem passar por entidades bancárias, uma vez que os atacantes podem lançar campanhas de phishing de forma mais rápida e eficiente.

Hugo Nunes, responsável pela equipa de Threat Intelligence da S21Sec, destaca a ampla diversidade de tipos de ciberataques existentes atualmente: “os agentes maliciosos encontraram várias formas de atingir os seus objetivos graças à IA. Entre estas formas está o ‘vishing’, que implica o uso de chamadas telefónicas para enganar a vítima, e no qual a IA melhorou a capacidade de simular vozes reais e automatizar chamadas em grande escala, aumentando a eficácia do ciberataque; e o ‘QRishing’, que se baseia na utilização de códigos QR para direcionar as vítimas para sites maliciosos. Com a ajuda da IA, os atacantes podem gerar e distribuir estes códigos QR falsos que parecem seguros, facilitando assim o roubo de credenciais ou outras informações sensíveis”, explica o especialista.

As criptomoedas, na mira dos cibercriminosos

O mundo das criptomoedas também tem sido um alvo proeminente de fraudes informáticas em 2024, com inúmeros ataques direcionados especificamente a este setor e com o surgimento de agentes maliciosos que desenvolveram novas formas de comprometer as carteiras virtuais de criptomoedas e cripto exchanges, ou seja, os próprios mercados de transação deste tipo de moeda. Estes ataques a plataformas de criptomoedas são cada vez mais comuns e exigem, cada vez mais, medidas de segurança robustas.

Um exemplo claro desta especificidade é o kit de phishing ‘CryptoChameleon’, que tem como principais alvos utilizadores de plataformas de criptomoedas e funcionários da Comissão Federal de Comunicações (FCC). Este kit tem capacidades de clonar páginas de início de sessão e utiliza e-mails, SMS e chamadas telefónicas para roubar as credenciais das vítimas. Este kit também está desenhado para contornar medidas de segurança como a autenticação multifator (MFA) e permite uma elevada personalização dos ataques.

Resumindo, o setor financeiro enfrenta uma onda de ciberameaças cada vez mais sofisticadas, pelo que é fundamental que as instituições deste setor continuem a investir em estratégias de cibersegurança proativas e atualizadas para proteger tanto os seus próprios ativos como a informação dos seus clientes.

13/11/2024
Hackers da Coreia do Norte criam malware indetectável para macOS

Um grupo de hackers da Coreia do Norte terá criado um malware que é capaz de contornar as proteções de segurança da Apple e dos seus sistemas. De acordo com os investigadores da empresa Jamf Threat Labs, a app maliciosa aparenta ter sido criada como uma experiência, mas certamente que pode ser usada para ataques.

Segundo os investigadores, é a primeira vez que a tecnologia presente nesta app é usada para contornar as proteções do macOS, e tenta explorar sobretudo sistemas que estejam desatualizados.

A aplicação maliciosa, na altura da investigação, não estaria a ser identificada como tal pelos mecanismos de segurança existentes. Esta encontra-se desenvolvida em linguagem Go e Python, usando o Google Flutter.

Quando instalada nos sistemas, a aplicação tenta infetar o mesmo, abrindo uma porta de comunicações externa, de onde são recebidos os comandos. Por agora, os investigadores desconhecem se este malware estaria focado para grupos específicos ou se pretendia ser uma forma de levar a uma infeção mais generalizada de sistemas macOS.

Analisando o código do malware, os investigadores encontraram referências a algumas plataformas de criptomoedas, e a termos associados a este mercado, o que pode indicar as motivações finais dos atacantes. O grupo poderia ter como objetivo levar a ataques direto contra instituições de criptomoedas, ou simplesmente levar ao roubo de fundos das carteiras das vítimas.

Acredita-se que o grupo que desenvolveu este malware teria origem na Coreia do Norte, e estaria associado diretamente com o governo, portanto o objetivo poderia passar também pela recolha de informação sensível.

12/11/2024
iPhone pode reiniciar automaticamente para prevenir ataques

A Apple confirmou ter adicionado no iPhone uma nova funcionalidade de segurança, mais concretamente com a atualização do iOS 18.1, que foi lançada o mês passado. Esta nova funcionalidade vai permitir que os iPhones reiniciem de forma automática depois de estarem bastante tempo inativos, como forma de reencriptar os conteúdos e tornar mais complicado o acesso aos mesmos.

De acordo com o portal 404 Media, foi descoberto que a mais recente atualização do iOS conta com uma funcionalidade de segurança adicional. Esta função foi descoberta pelas autoridades, depois de terem surgido casos onde os iPhones apreendidos estariam a reiniciar de forma inesperada.

Esta função faz parte da tecnologia Find My da Apple, e pode funcionar mesmo quando não existe ligação à internet ativa, mas estejam outros dispositivos no raio de ação que possam comunicar com os sistemas da Apple. A ideia será que, ao reiniciar o dispositivo, fica consideravelmente mais difícil de se obter acesso aos dados internos no mesmo, visto que a encriptação é realizada novamente neste processo.

Desta forma, caso se esteja a tentar aceder aos dados usando ferramentas e técnicas específicas para tal, será consideravelmente mais complicado para tal, visto que toda a encriptação é recriada com o reinício do sistema.

Com o iOS 18.1, quando o sistema deteta que existem tentativas não autorizadas de acesso aos dados, ou que o sistema se encontra inativo durante bastante tempo, ao entrar em contacto com outros dispositivos da Apple via a rede do Find My, pode iniciar um processo de reinicio de segurança.

É importante notar que este sistema é inteiramente independente do resto do sistema, e analisa não apenas a última altura em que o dispositivo esteve ligado a uma rede, mas também quando foi efetivamente desbloqueado pelo utilizador. Se demasiado tempo passou desde o último desbloqueio, um reinício será aplicado.

Ao reiniciar, uma nova chave de encriptação é aplicada, e consequentemente, torna-se mais complicado de adivinhar a forma de aceder aos conteúdos, já que o processo necessita de recomeçar de origem.

O iOS coloca a chave de encriptação na memória RAM do sistema, para em futuros desbloqueios, rapidamente aceder ao mesmo. No entanto, esta chave é também perdida quando o dispositivo reinicia. Desta forma, o reinicio “limpa” a RAM e evita que fontes externas possam tentar aceder à chave de encriptação que é armazenada na mesma.

De notar que o reinicio de qualquer dispositivo é uma técnica recomendada até mesmo pelas autoridades, de forma regular, tendo em conta que pode ajudar a prevenir possíveis ataques contra equipamentos ou até a prevenir malware de ser executado.

12/11/2024
Hackers usam nova técnica com ficheiros ZIP para esconder malware

Uma nova técnica encontra-se a ser usada contra utilizadores de sistemas Windows, para levar os mesmos a instalarem malware nos seus sistemas. Esta nova técnica usa ficheiros comprimidos de forma especial em ZIP, para evitar a deteção de malware nos mesmos.

A técnica consiste em colocar diferentes arquivos ZIP uns dentro dos outros, para criar um sistema compactado em diferentes formatos. Esta técnica evitar que o software de segurança possa analisar o conteúdo dos ficheiros, e eventualmente analisar os arquivos que são, efetivamente, maliciosos.

De acordo com a empresa de segurança Perception Point, que foi uma das responsáveis pela descoberta, o malware encontra-se a propagar sobretudo em mensagens de phishing que são enviadas para diferentes entidades.

A técnica consiste em usar vários arquivos compactados uns dentro dos outros, mas com dados modificados para ocultar as secções do conteúdo malicioso. Dependendo do programa que seja usado para abrir o ficheiro, os resultados podem ser diferentes.

No caso do 7-zip, o programa apresenta um alerta a informar que podem existir dados ocultos, mas os utilizadores podem facilmente ignorar essa mensagem. O WinRAR permite extrair os conteúdos sem qualquer alerta, e no caso do Explorador do Windows, os ficheiros podem falhar a abrir.

Uma das formas que os investigadores de segurança apontam para prevenir este formato de ataques passa por usar sistemas de proteção que tenham a capacidade de analisar o conteúdo dos arquivos, o que vai depender do programa e das configurações do mesmo.

No entanto, esta técnica pode ser usada para contornar alguns dos filtros de spam que existem, permitindo que as mensagens potencialmente maliciosas cheguem diretamente na caixa de entrada dos utilizadores.

11/11/2024
Pacote de Phyton malicioso esteve durante anos no PyPT

Um pacote malicioso de Python foi recentemente descoberto na Python Package Index (PyPI), sendo que o mesmo estaria alojado na plataforma desde 2021, e terá sido usado para roubar dados sensíveis de projetos onde estaria a ser importando.

Este pacote teria como objetivo roubar dados de login e chaves secretas da Amazon Web Services, de programadores que possam ter adicionado incorretamente o pacote nos seus projetos.

Apelidado de “fabrice”, este pacote encontrava-se a aproveitar possíveis erros na escrita e procura por outro pacote, o “fabric”, um que é legítimo e usado como servidor remoto de SSH. Este pacote oficial conta com mais de 200 mil downloads, enquanto que a versão falsa do mesmo possui cerca de 37 mil.

De acordo com os investigadores da empresa de segurança Socket, o pacote manteve-se indetetável por tanto tempo devido a algumas medidas aplicadas para evitar a sua deteção. De forma inicial, o pacote não realiza qualquer atividade maliciosa, e quando foi enviado para a plataforma, o mesmo encontrava-se perfeitamente legítimo em sem conteúdos maliciosos.

No entanto, este foi eventualmente atualizado para realizar as atividades maliciosas de forma oculta, tentando evitar a deteção. As novas versões que foram sendo lançadas integraram código que era capaz de descarregar os scripts maliciosos, com o objetivo de roubar credenciais de acesso dos programadores.

Dependendo do sistema onde era executado, o pacote adaptava-se para descarregar o malware de sistemas externos, e executar o mesmo para roubar os dados que pretendia. Quando eram obtidos, os dados seriam novamente enviados para os sistemas remotos, e usados para ataques a contas da AWS.

Tendo em conta que o pacote aproveitava-se de possíveis erros na escrita do nome, uma das formas de proteção que os utilizadores devem implementar será analisar se todos os pacotes importados do PyPI estão com os nomes corretos. Esta tendência é algo que tem vindo a verificar-se cada vez mais dentro da PyPI.

10/11/2024
Hackers da Coreia do Norte atacam sistemas macOS de empresas de criptomoedas

Um grupo de hackers na Coreia do Norte encontra-se a usar um novo malware, focado para sistemas macOS, com o objetivo de levar ao roubo de informações privadas das empresas.

O grupo conhecido como BlueNoroff encontra-se a usar um novo malware criado para macOS, que pretende levar ao roubo de dados sensíveis de empresas relacionadas com criptomoedas. Este parece ser o principal alvo do grupo, sendo que o ataque começa muitas vezes em mensagens de email de spam e campanhas direcionadas para empresas no setor dos ativos digitais.

O malware explora algumas funcionalidades do macOS, e as interações dos utilizadores, para infetar o sistema. O objetivo passa por levar à instalação de programas maliciosos que podem permitir aos atacantes obterem acesso a redes internas e até a carteiras de criptomoedas, de onde podem depois realizar o roubo dos fundos associados.

Os investigadores encontraram indícios de que o grupo BlueNoroff encontra-se a usar contas da Apple de programadores que foram comprometidas para levar a cabo as atividades, alterando funcionalidades do sistema para explorar os mesmos.

O malware tem ainda a capacidade de se ligar diretamente a um sistema remoto de controlo, de onde são recebidos os comandos para o ataque, e para onde são enviados conteúdos e dados que tenham sido roubados dos sistemas.

08/11/2024
Novo malware para Windows esconde-se entre ativadores de programas pirata

De tempos a tempos surgem novas variantes de malware no mercado, focadas para os diferentes sistemas e que aproveitam falhas até agora desconhecidas. Um desses casos encontra-se no recentemente descoberto malware “SteelFox”.

Este malware foca-se em sistemas Windows, e pretende injetar processos maliciosos no mesmo, que podem ser usados para minerar criptomoedas e para roubar dados de cartões bancários do mesmo, de forma silenciosa.

O SteelFox aproveita os drivers do Windows para injetar um driver malicioso, que pode passar despercebido à maioria dos softwares de segurança, uma vez que atua numa área base do Windows.

O malware tem vindo a propagar-se em várias campanhas, mas sobretudo sobre sites de conteúdos piratas, como ativadores para diferentes softwares – como o Foxit PDF Editor e AutoCAD.

De acordo com os investigadores da empresa de segurança Kaspersky, o malware foi inicialmente descoberto com atividades em Agosto deste ano, mas é possível que tenha vindo a infetar sistemas desde meados de Fevereiro de 2023.

A maioria dos pontos de distribuição do malware partem de programas de ativação para diferentes softwares, que com a desculpa de serem usados para ativar os programas, acabam por instalar também o malware nos sistemas.

Quando os utilizadores abrem o programa, este acaba por instalar o driver malicioso no Windows, que permite aos atacantes obterem as permissões necessárias para realizar as suas atividades maliciosas. De forma a evitar a deteção, os ativadores usados para instalar o malware podem realmente ativar o software pirata no sistema.

O malware procede com uma ligação remota a servidores em controlo dos atacantes, de onde são enviados e recebidos os comandos necessários para os ataques. Estes comandos podem ser enviados pelos atacantes para realizar o mais variado número de atividades no sistema, mas nomeadamente para instalar mineradores de criptomoedas e levar ao roubo de cartões bancários e dados de login.

Este malware encontra-se particularmente ativo no Brasil, China, Rússia, México e India, mas pode infetar virtualmente qualquer sistema onde os utilizadores tenham usado fontes piratas para descarregar software popular.

06/11/2024
LastPass alerta para novo esquema que pode levar a roubo de contas

Os utilizadores do gestor de senhas LastPass devem ficar atentos a uma nova campanha, focada nos mesmos, com o objetivo de enganar as potenciais vítimas para instalarem malware nos seus sistemas.

A empresa encontra-se a alertar para uma onda de esquemas, onde os atacantes fazem-se passar por representantes da LastPass, levando as vítimas a fornecerem acesso às suas senhas e contas. Esta campanha usa alegados números de telefone que as vítimas podem usar para contacto.

Quando os utilizadores contactam estes telefones, são direcionados para passos que podem levar a que os atacantes obtenham acesso às contas da LastPass, e consequentemente, a todos os dados guardados nas mesmas.

As vítimas podem ainda ser direcionadas para falsos sites de suporte, onde necessitam de introduzir um “PIN” para descarregar o programa que ajudaria a realizar o suporte, e que na realidade é apenas um programa de controlo remoto do sistema.

Caso as vítimas instalem o mesmo, os atacantes passam a obter acesso aos sistemas e conseguem controlar remotamente o mesmo.

A campanha propaga-se por diferentes meios, desde mensagens de spam a publicidade maliciosa em certos termos de pesquisa. Surge ainda como falsas avaliações para a extensão na Chrome Web Store, onde utilizadores com problemas pode ver essa informação e pensarem tratar-se de uma linha de suporte direta.

02/11/2024
Samsung alerta para vulnerabilidade em chips Exynos

A Samsung encontra-se a alertar para uma nova vulnerabilidade, recentemente descoberta, e que pode afetar vários processadores da linha Exynos no mercado. Estes chips encontram-se em alguns dos dispositivos da empresa ainda à venda.

Se explorada, a falha pode permitir que os atacantes obtenham acesso administrativo aos dispositivos, tendo a capacidade de realizar ações maliciosas no mesmo. A falha encontra-se em investigação faz algumas semanas, mas apenas agora a empresa começou a notificar publicamente a mesma.

Através da exploração da falha, os atacantes podem executar comandos maliciosos no sistema, e potencialmente obterem acesso a informações sensíveis e dados privados.

Para já, a Samsung recomenda que os utilizadores mantenham os seus dispositivos atualizados, sendo que a correção deve ter sido lançada nos mais recentes pacotes de segurança da empresa.

Por entre os processadores afetados pela falha encontra-se o Exynos 9820, Exynos 9825, Exynos 980, Exynos 990, Exynos 850, e Exynos W920. Estes encontram-se em dispositivos como o Galaxy S20, Galaxy Note 20, Galaxy S10 e Galaxy Note 10, além dos modelos Galaxy A21, Galaxy A51 e Galaxy A71.

Alguns dos smartwatches da empresa também foram afetados, entre os quais o Galaxy Watch 4, Galaxy Watch 5 e Galaxy Watch FE.

Além de recomendar que o patch de segurança mais recente do Android seja instalado nos dispositivos, a empresa aconselha ainda os utilizadores a não instalarem apps de fontes desconhecidas ou externas à Play Store e Galaxy Store, como forma de evitar que malware possa acabar por explorar a falha.

31/10/2024
Malware FakeCall para Android pode enganar as vítimas nas chamadas

Uma nova variante do malware FakeCall foi descoberto, afetando sistemas Android no mercado, e tendo o potencial de intercetar chamadas dos utilizadores feitas pelos seus dispositivos. Este malware pode ser usado para direcionar as chamadas dos utilizadores para certas entidades, de forma a irem diretamente para os atacantes.

Um dos exemplos encontra-se em chamadas feitas para contactos de entidades bancárias, onde estas podem ser redirecionadas para telefones diretamente respeitantes aos atacantes, e de onde se pode proceder à recolha de dados sensíveis.

O malware foi inicialmente descoberto pela Kaspersky em Abril de 2022, mas as suas atividades foram sendo alargadas durante os meses seguintes. O malware tenta enganar as vítimas, fazendo-as pensar que estão a ligar para uma parte, quando na realidade estão a ligar para os atacantes.

A versão original o malware enganava as vítimas ao reencaminhar as chamadas, e colocando uma imagem sob o número de telefone, dando a impressão que os mesmos estavam a ligar para o telefone correto. Além disso, o malware tinha ainda a capacidade de recolher dados de som e vídeo dos dispositivos, que poderiam ser usados para ainda mais roubos.

No entanto, com as variantes mais recentes, descobertas pela empresa de segurança Zimperium, o malware encontra-se bastante mais evoluído, tendo a capacidade de se fazer passar como a app de gestão de chamadas do sistema, e tendo assim mais controlo das mesmas, sem necessitar de truques para enganar as vítimas.

O ataque começa assim que as vítimas instalam o malware nos seus dispositivos, e onde este tenta obter permissões para controlar as chamadas do dispositivo. Nesse momento, este passa a ter controlo para manipular tanto as chamadas recebidas como as realizadas, fazendo-as passar por diferentes filtros, reencaminhamentos ou alterações silenciosas.

O que torna este malware tão perigoso encontra-se exatamente no fato de este ser totalmente transparente para as vítimas. Estas pensam estar a ligar para um lugar, e isso é visível diretamente no próprio número de telefone, mas não é realmente o que acontece.

A nova variante do malware possui ainda a capacidade de roubar dados dos dispositivos, e de recolher as imagens do ecrã, bem como o áudio do mesmo. Este pode ainda ter acesso aos dados das mensagens, das apps e dos ficheiros no sistema.

Como sempre, uma das formas de garantir a segurança passa por evitar a instalação de apps de fontes inseguras ou desconhecidas. Este malware propaga-se sobretudo por fontes de terceiros, como sites que fornecem acesso a apps pagas de forma gratuita.

30/10/2024
Grupo de hackers na Coreia do Norte relacionado com ataques ransomware do grupo Play

Foi descoberto que um grupo de hackers da Coreia do Norte, conhecido como “Andariel”, encontra-se associado com a onda de ataques de ransomware “Play”, um RaaS que tem vindo a trabalhar para contornar algumas das proteções aplicadas contra este formato de malware.

De acordo com os investigadores da Palo Alto Networks, o grupo Andariel tem vindo a trabalhar diretamente ou de forma afiliada com os criadores do ransomware Play, facilitando a distribuição do mesmo.

O Andariel é um grupo conhecido por ter ligações com as autoridades da Coreia do Norte, e usado sobretudo para ataques de estado contra instituições que sejam do interesse do regime norte-coreano. O grupo tem vindo a surgir em vários casos de ataques de ransomware desde 2022, sendo um dos primeiros relatados os do ransomware Maui.

Acredita-se que o grupo esteja diretamente associado com os ataques, usando Ransomware-as-a-Service como forma de infetar as redes internas das empresas e obter dados potencialmente importantes para o governo da Coreia do Norte.

Desconhece-se como a “parceria” entre as duas partes encontra-se a ser feita. Os investigadores não conseguiram obter provas de que o grupo Andariel estariam como afiliado do Ransomware, ou apenas estaria a fornecer os acessos diretos para os atacantes em redes já comprometidas, de forma a estes ativarem o malware nas mesmas.

30/10/2024
Novo sistema de proteção para cookies do Chrome ainda pode ser contornado

A Google tem vindo a reforçar a segurança do Chrome, com novas funcionalidades focadas em prevenir que seja possível de realizar o roubo de cookies, uma das técnicas cada vez mais usadas para roubar credenciais em sistemas comprometidos.

O Chrome conta com uma funcionalidade conhecida como “App-Bound”, que protege diretamente os cookies ao integrar os mesmos com o sistema operativo. Desta forma, mesmo que estes sejam roubados, não podem ser diretamente usados em outro sistema. Os cookies ficam protegidos a nível dos processos mais elevados do sistema operativo, e dessa forma, seria difícil de roubar os mesmos sem alertar outros sistemas de segurança.

No entanto, se existe um lado que pretende evitar os roubos, do outro existem criminosos a tentar contornar as proteções. E recentemente, o investigador de segurança Alexander Hagenah revelou uma ferramenta que demonstra ser possível contornar silenciosamente a nova proteção do Chrome.

O investigador afirma que terá optado por disponibilizar esta ferramenta depois de ter verificado que a mesma técnica que esta explora encontra-se a ser ativamente usada por malware e criminosos para contornar as proteções existentes do Chrome.

Desde que a nova função de proteção foi revelada, foram surgindo várias formas de contornar a mesma. A Google apenas indica que esta corrida será um jogo do “gato e rato”, onde existe um lado que pretende aumentar a segurança do Chrome, introduzindo novas ferramentas para tal, e do outro existe quem as pretenda contornar.

A ferramenta agora disponibilizada demonstra claramente que é possível de obter dados que estejam protegidos por App-Bound Encryption (ABE). Isto inclui cookies que podem conter informação sensível como dados de login ou dados de pagamento.

A ferramenta ainda necessita que seja executada com permissões administrativas, mas isto não será um problema para sistemas que tenham sido comprometidos com malware, que pode rapidamente obter esse acesso.

A ferramenta demonstra uma forma como vários malwares atualmente encontram-se a contornar a proteção do Chrome para continuar a roubar dados. Embora a Google tenha implementado as novas medidas de proteção dos cookies nas versões recentes do mesmo, este método bastante simples de contornar as mesmas demonstra que o ataque ainda é possível.

Em resposta à ferramenta disponibilizada pelo investigador, a Google comenta que, para usar a mesma, ainda é necessário permissões de administrador no sistema, e que, portanto, não se pode considerar uma falha no sistema de proteção do Chrome. Isto porque a permissão administrativa permite o acesso praticamente ilimitado ao sistema.

29/10/2024