Categoria: malware

Malware faz-se passar pelo Cortana para infetar sistemas Windows

Existe um novo malware que se encontra a propagar em força sobre campanhas de phishing, focado em infetar sistemas Windows. Apelidado de PY#RATION, este malware faz-se passar pelo assistente virtual da Cortana, de forma a motivar os utilizadores a instalarem o mesmo no sistema.

O ataque começa quando as vítimas recebem um email de phishing, a requerer que algo seja instalado no sistema. Se os utilizadores instalarem o programa, que se diz ser uma atualização para a Cortana, acabam por colocar malware nos seus sistemas, com ficheiros que permitem aos atacantes acederem remotamente ao mesmo e enviarem comandos para roubo de dados pessoais.

Para dificultar a identificação, o malware distribui-se sobre várias pastas do sistema operativo e surge como ficheiros escondidos no sistema. Este tenta também esconder-se de possíveis verificações de malware que sejam feitas no sistema, colocando os ficheiros nas listas de exclusão de vários softwares antivírus.

De acordo com os investigadores da empresa de segurança Securonix, este malware encontra-se desenvolvido em Python, o que lhe permite ser bastante flexível. Apesar de ser focado para sistemas Windows, o mesmo pode também ser adaptado rapidamente para macOS e Linux.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que descarregam da internet, sobretudo quando estes surgem em mensagens de email desconhecidas.

27/01/2023
Novo ransomware Mimic adota curioso sistema para encriptar conteúdos

Existe um novo ransomware que tem vindo a ganhar algum destaque nos últimos dias, e que tira proveito de uma popular ferramenta de pesquisa do Windows para essa tarefa.

Apelidado de Mimic, este novo ransomware foi descoberto por investigadores da empresa de segurança Trend Micro, sendo que parece focado sobretudo para utilizadores com o Windows em Inglês e Russo.

Este malware possui alguns traços similares a outro bastante conhecido, o Conti, mas neste caso o mesmo encontra-se adaptado para usar as APIs que são fornecidas pelo programa de pesquisa do Windows “Everything”. Este programa é conhecido por ajudar os utilizadores a encontrarem conteúdos dentro do sistema, e uma alternativa ao sistema de pesquisa do Windows – mas está a ser usado para levar as potencialidades do ransomware neste caso.

O Mimic conta ainda com várias barreiras de proteção, para impedir que possa ser terminado depois de se instalar no sistema. Este é capaz de desativar a proteção do Microsoft Defender, juntamente com contornar as medidas de segurança nativas do Windows. É também capaz de identificar quando os utilizadores ou programas estejam a tentar terminar os seus processos.

Durante a fase de infeção de um sistema, o Mimic coloca no mesmo os DLLs essenciais do Everything, tirando proveito do mesmo para realizar as suas atividades, identificando ficheiros que possam ser interessantes para os atacantes ou para serem encriptados.

Ao mesmo tempo, o ransomware tenta ainda evitar ficheiros do sistema operativo, que se encriptados poderiam levar ao utilizador ficar impossibilidade de arrancar o sistema.

De notar que este ransomware é relativamente novo no mercado, portanto ainda não possui muita atividade direta, mas tem vindo a ganhar destaque por usar um código sofisticado para infetar os sistemas.

26/01/2023
Excel vai começar a bloquear complementos XLL para aumentar segurança

A Microsoft vai aplicar uma nova medida de segurança para o seu software, focada em garantir mais segurança para os utilizadores no uso da suíte de produtividade da empresa.

De acordo com o portal BleepingComputer, a Microsoft vai começar a bloquear o carregamento de addons do Excel via XLL a partir de Março, numa tentativa de bloquear ataques que são realizados a partir desta fonte.

Nos últimos meses verificou-se um crescente aumento no número de ataques usando complementos do Excel, que exploram falhas dos mesmos para infetar os sistemas e levar ao roubo de dados, ou à instalação de malware nos sistemas.

Os dados da empresa HP Wolf Security Threat Insights, publicados o ano passado, indicam que ocorreu um aumento de quase seis vezes no número de ataques que usam complementos do Excel XLL para infetar os sistemas, e a tendência será de aumentar para o futuro.

Para se precaver, a Microsoft parece ter decidido optar por bloquear este género de addons de se instalarem no sistema, medida que também bloqueia um dos pontos de falha que poderia levar a ataques.

Os ficheiros XLL são basicamente pequenos ficheiros usados para criar complementos para o Excel, e muitos utilizadores podem acabar por confundir os mesmos como ficheiros do Excel tradicionais, visto que usam ícones similares e podem ser rapidamente instalados em sistemas que também tenham o Excel instalado.

Para os utilizadores, a melhor medida continua a ser ter atenção aos locais de onde são descarregados conteúdos, evitando usar arquivos desconhecidos que tenham sido obtidos de fontes pouco confiáveis, como é o caso de anexos em mensagens de email.

25/01/2023
Motorola lança nova aplicação focada para segurança e privacidade

Os utilizadores de dispositivos da Motorola poderão em breve contar com uma nova aplicação da empresa, focada em melhorar a segurança dos seus dispositivos.

A nova aplicação Moto Secure usa a plataforma Thinkshield da empresa, focada em evitar que os utilizadores sejam vítimas de ataques de malware, phishing e outras ameaças. A aplicação integra-se diretamente com o sistema operativo, oferecendo uma camada adicional de segurança no dia a dia.

A partir da app os utilizadores podem rapidamente alterar algumas das configurações de segurança do Android, focadas em garantir mais segurança de forma nativa. No entanto, a app permite ainda algumas funções extra de segurança, focadas em evitar que os utilizadores possam ser alvo de ataques, enquanto também adiciona uma camada de segurança na privacidade.

A app conta com uma funcionalidade de “Pasta Segura”, que permite colocar determinadas aplicações sobre uma funcionalidade de bloqueio, onde os utilizadores necessitem de validar a identidade para acederem. É ainda possível alterar o nome e ícone das aplicações no sistema, para que quem consiga aceder ao mesmo tenha dificuldade em encontrar a app que pretende.

A empresa recomenda que sejam colocadas nesta pasta aplicações financeiras ou com conteúdos sensíveis.

Ao mesmo tempo, o Moto Secure conta ainda com um sistema de proteção de rede, que alerta o utilizador quando este se encontrar sobre uma rede sem fios insegura ou existam problemas sobre a mesma que podem comprometer a segurança.

Focando na privacidade, a aplicação conta ainda com um painel de rápido acesso para verificar quais as apps que acederam à localização, contactos ou outras permissões do sistema, o que pode ser útil para verificar as apps que acedem a determinados conteúdos e quando.

A empresa espera que o Moto Secure venha a ficar disponível para todos os equipamentos com o Android 13 ou mais recente, dentro dos próximos meses.

24/01/2023
Novo malware desenvolvido em Golang tenta contornar software de proteção

Um grupo de hackers com origem na china, sobre o nome de “DragonSpark”, encontram-se a propagar um novo género de malware que utiliza a linguagem de programação Golang, para tentar evitar as tradicionais ferramentas de proteção nos sistemas.

De acordo com os investigadores da empresa de segurança SentinelLabs, o grupo tem vindo a desenvolver um novo malware, com base numa ferramenta conhecida como “SparkRAT”, e que se foca em roubar conteúdos potencialmente sensíveis dos sistemas das vítimas.

Esta ferramenta tem vindo a ser identificada em vários ataques pelos investigadores, com foco para servidores de MySQL que se encontram inseguros pela internet.

Com acesso ao sistema, os atacantes podem colocar nos mesmos os mais variados géneros de ficheiros, que lhes permitem acesso remoto, e com potencial de roubarem ainda mais informação ou enviarem comandos de forma remota. O malware do SparkRAT encontra-se criado sobre a Golang, e pode ser usado em sistemas Windows, macOS e Linux, tendo suporte para um vasto conjunto de funcionalidades.

O malware comunica de forma segura com um servidor de controlo remoto, usado pelos atacantes, e de onde são enviados os comandos que sejam necessários. Será também para estes servidores que os conteúdos roubados são depois enviados.

Este malware aparenta focar-se sobretudo em ataques direcionados para empresas ou pessoas de interesse para o grupo de atacantes.

24/01/2023
OneNote usado para distribuir malware em campanhas de phishing

Durante bastante tempo, os ficheiros do Office foram usados para propagar malware, através do uso das funcionalidades macro do mesmo. No entanto, a Microsoft tem vindo também a tornar consideravelmente mais difícil a tarefa de se executar este género de conteúdos – o que dificulta a tarefa dos atacantes em infetar sistemas.

Com isto, os criminosos agora voltam-se para outra aplicação da empresa, que não conta com as mesmas medidas de segurança: o OneNote. De acordo com o portal BleepingComputer, existem cada vez mais campanhas de malware a serem distribuídas via ficheiros do OneNote, que levam os utilizadores a abrirem conteúdos maliciosos nos seus sistemas.

Ao contrário dos ficheiros do Office, o OneNote não suporta macros. No entanto, permite que conteúdos do mesmo tenham outros ficheiros anexados aos documentos, que será o ponto de partida para o ataque.

Os criminosos anexam o malware diretamente nestes documentos, que depois de abertos no OneNote, podem ser usados para prosseguir com o ataque. A maioria dos ficheiros são no formato VBS, executando um variado número de tarefas para descarregar malware no sistema de forma direta.

Para tentar tornar a tarefa o mais legitima possível, os atacantes colocam botões de ação sobre os documentos, incentivando a que os utilizadores executem o script. Apesar de o OneNote alertar que os utilizadores vão abrir um anexo do documento, muitos podem simplesmente ignorar a mensagem.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que descarregam da internet e dos emails que recebem.

23/01/2023
Novo malware para Android permite controlo remoto dos dispositivos

Existe um novo malware para Android à solta, conhecido sobre o nome de “Hook”, e que nos últimos dias tem vindo a ganhar bastante popularidade por entre os grupos de hackers. Este malware permite obter acesso remoto aos dispositivos afetados, com o potencial de roubo de dados.

De acordo com o portal BleepingComputer, o malware encontra-se a ser distribuído em vários marketplaces da dark web, com valores de aproximadamente 5000 dólares por mês. O mesmo, uma vez instalado nos dispositivos Android, abre uma ligação VNC para os dispositivos das vítimas, e que permite aos atacantes terem controlo praticamente total do mesmo.

Ao mesmo tempo, o malware tenta ainda recolher dados de login de mais de 467 aplicações, a maioria de entidades bancárias, enviando os dados para servidores em controlo dos atacantes. Apesar de o criador do malware afirmar que este foi construído de raiz, os investigadores da empresa de segurança ThreatFabric afirmam que o mesmo é uma conjugação de diferentes malwares que foram conhecidos no passado.

O destaque deste malware encontra-se na adição do modulo de acesso VNC, que basicamente permite aos atacantes terem acesso em tempo real aos dispositivos, e podem usar esse acesso para terem qualquer controlo sobre o mesmo.

Com isto, o malware pode usar esta ligação para permitir aos atacantes realizarem transações bancárias, diretamente dos dispositivos das vítimas.

O malware, como referido anteriormente, encontra-se focado ainda em roubar dados de acesso de várias entidades bancárias, onde se inclui na lista pelo menos 30 apps relacionadas com bancos em Portugal.

O malware distribui-se sobre diferentes nomes, a maioria sobre o pretexto de atualizações para o Google Chrome e localizadas em sites com conteúdos pirateados ou apps “premium” fornecidas a custo zero.

20/01/2023
Malware propaga-se em resultados de pesquisa do Google

A maioria dos utilizadores, quando pretendem descarregar um programa, tendem a ir ao seu motor de pesquisa favorito realizar a procura do mesmo, e acedem ao site que surge no topo dos resultados. O Google, sendo um dos motores de pesquisa mais usados, é também onde a maioria irá realizar essa tarefa.

No entanto, temos ultimamente visto um crescente aumento nos esquemas que usam a publicidade da Google para tentar enganar os utilizadores. E é um esquema que até mesmo os utilizadores mais atentos podem cair.

Um dos exemplos foi recentemente verificado pelo TugaTech. O Rufus é um programa bastante popular para a criação de pens USB de arranque, e na sua versão regular, é perfeitamente legitimo e seguro.

No entanto, se procurar pelo nome do programa no Google, existe uma forte possibilidade que os primeiros resultados que apareçam sejam associados com a publicidade da empresa. Porém, uma vista desatenta pode acreditar que se trata de um resultado normal da Google, e carrega no link – que se encontra mascarado como sendo o link oficial do programa.

Ao aceder ao site, os utilizadores verificam uma página que é, em tudo, idêntico ao que se encontra no site oficial do Rufus. Quem tenha acedido no passado ao site do Rufus pode nem verificar qualquer diferença.

Vejamos o exemplo dos dois sites, lado a lado, com a versão maliciosa e a oficial:

No entanto, se aceder aos links de download, poderá verificar que o download é feito a partir de um link do Dropbox – novamente, algo que nem toda a gente verifica. O download começa de forma imediata quando se carrega no link, e a maioria dos utilizadores podem não verificar que se trata efetivamente de um link do Dropbox – e não do site em questão.

Com isto, se acabar por executar o programa que foi descarregado, encontra-se a instalar um malware no seu sistema, focado em roubar credenciais de login do mesmo.

O malware irá começar a analisar o seu navegador, recolhendo senhas, cookies e outros dados que serão posteriormente usados para roubar as contas que tenha. O malware procede ainda com a verificação de carteiras de criptomoedas, transferindo os fundos das mesmas para outras carteiras em controlo dos atacantes.

Este género de campanha de malware propaga-se sobre variados formatos. Apesar de este exemplo ter sido relativo ao Rufus, verificamos a existência do mesmo também para outros programas bastante populares, como é o caso do OBS, Notepad++, CCleaner, VLC e vários outros programas utilitários.

Para os olhares desatentos, e até mesmo para os mais atentos, os resultados de pesquisa do Google parecem totalmente legítimos. E ainda mais quando se entra no site e a estrutura do mesmo é perfeitamente normal do que seria esperado.

Como sempre, é importante que os utilizadores tenham atenção aos conteúdos que descarregam de qualquer lugar online. A utilização de um bom antivírus pode ajudar na tarefa, mas acima de tudo, deve ter atenção a qualquer atividade que seja suspeita ou que não corresponda ao que esperava.

18/01/2023
Firefox 110 vai contar com novidade para melhorar a segurança

A Mozilla encontra-se a preparar para lançar o Firefox 110 em breve, sendo que este deve contar com várias melhorias e novidades interessantes. Uma delas será a nova capacidade de Sandbox para o GPU, que deve fornecer mais desempenho e estabilidade para o navegador em geral.

Esta nova funcionalidade vai permitir que o processo associado ao GPU possa ser separado e isolado dos restantes processos do navegador, sendo algo que a Mozilla tem vindo a trabalhar nos últimos seis anos. Esta tecnologia garante que, em caso de problemas com o funcionamento do processo, este se encontre isolado dos restantes processos do navegador – evitando falhas e garantindo mais desempenho em geral.

Ao mesmo tempo, esta funcionalidade deve ainda garantir mais segurança para os dispositivos. Como o processo se encontra isolado, em caso de ataque direto para o mesmo, o malware necessita de descobrir uma forma de escapar do ambiente isolado onde se encontra – o que pode ser consideravelmente mais complicado.

Apesar de a funcionalidade já se encontrar nas versões de teste do Firefox, a versão 110 será a primeira onde a mesma vai chegar ativa por padrão – ou pelo menos assim se espera. Ainda existe trabalho a ser feito para garantir que o sistema funciona como esperado. No entanto, a funcionalidade apenas vai encontrar-se disponível para sistemas Windows.

O Firefox 110 encontra-se previsto de ser lançado no dia 14 de Fevereiro de 2023.

A Mozilla encontra-se a preparar para lançar o Firefox 110 em breve, sendo que este deve contar com várias melhorias e novidades interessantes. Uma delas será a nova capacidade de Sandbox para o GPU, que deve fornecer mais desempenho e estabilidade para o navegador em geral.

Esta nova funcionalidade vai permitir que o processo associado ao GPU possa ser separado e isolado dos restantes processos do navegador, sendo algo que a Mozilla tem vindo a trabalhar nos últimos seis anos. Esta tecnologia garante que, em caso de problemas com o funcionamento do processo, este se encontre isolado dos restantes processos do navegador – evitando falhas e garantindo mais desempenho em geral.

Ao mesmo tempo, esta funcionalidade deve ainda garantir mais segurança para os dispositivos. Como o processo se encontra isolado, em caso de ataque direto para o mesmo, o malware necessita de descobrir uma forma de escapar do ambiente isolado onde se encontra – o que pode ser consideravelmente mais complicado.

Apesar de a funcionalidade já se encontrar nas versões de teste do Firefox, a versão 110 será a primeira onde a mesma vai chegar ativa por padrão – ou pelo menos assim se espera. Ainda existe trabalho a ser feito para garantir que o sistema funciona como esperado. No entanto, a funcionalidade apenas vai encontrar-se disponível para sistemas Windows.

O Firefox 110 encontra-se previsto de ser lançado no dia 14 de Fevereiro de 2023.

17/01/2023
OneDrive é a principal origem de malware em plataformas cloud

O serviço de OneDrive da Microsoft tem bastante uso dentro do setor pessoal e de trabalho, sendo usado para armazenar de forma segura os conteúdos dos utilizadores. No entanto, esta parece ser também uma das plataformas mais usadas para distribuir conteúdos maliciosos na rede.

Um recente estudo realizado pela empresa Netskope aponta que, ao longo de 2022, um vasto conjunto de programas de malware distribuídos em campanhas de phishing e websites pela internet foram distribuídos por links do OneDrive.

De acordo com o estudo, que analisou a origem de malware distribuído por populares plataformas de cloud, o OneDrive lidera a lista, com 30% do malware a ser distribuído pelo mesmo. Da lista faz ainda parte conteúdos da plataforma Weebly, do GitHub, Sharepoint e Amazon S3.

Usar armazenamento cloud encontra-se consideravelmente mais simples nos dias de hoje, o que pode ser benéfico para os utilizadores, mas ao mesmo tempo permite que também os criminosos usem essas plataformas para distribuir os conteúdos maliciosos. Felizmente a grande maioria tem vindo a implementar técnicas para ajudar a remover estes conteúdos de forma relativamente rápida – por vezes até mesmo antes deles chegarem a qualquer utilizador final.

Ainda assim, a principal linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que acedem e descarregam a partir da internet, sobretudo quando os mesmos são provenientes de plataformas desconhecidas.

16/01/2023
Malware Raccoon e Vidar espalha-se por sites de cracks para programas piratas

Se usa software pirateado, talvez seja melhor ter atenção aos locais de onde se encontra a descarregar o mesmo, tendo em conta que recentemente foi verificado um aumento considerável de ransomware a ser distribuir sobre este género de programas.

De acordo com a empresa de segurança SEKOIA, nos últimos meses tem vindo a ser verificado um aumento considerável de sites de cracks para programas piratas que distribuem versões modificadas dos mesmos, contendo o malware Raccoon e Vidar.

O mais grave será que a campanha de distribuição deste malware por este género de programas não é algo recente, e tem vindo a ocorrer desde meados de 2020. De acordo com os investigadores, os sites fornecem o mais variado conjunto de cracks para programas legítimos, que por sua vez descarregam o malware de fontes aparentemente legitimas – como o GitHub.

Os principais alvos destas campanhas são utilizadores que usam software pirata, ou que procuram nos motores de pesquisa por sites que fornecem este género de programas. Ao mesmo tempo, para tentar obter as primeiras posições das pesquisas, os sites que distribuem este género de malware aplicam também técnicas de SEO para surgirem nos topos dos resultados.

De notar que o malware Raccoon e Vidar são conhecidos como sendo focados no roubo de informações pessoais e dados de login, vasculhando o sistema e recolhendo o máximo de dados de login possíveis do mesmo.

Como sempre, na linha da frente para evitar estas infeções encontra-se o próprio utilizador, que deve evitar sempre que possível o uso de software pirata ou com recurso a software desconhecido de ativação.

16/01/2023
Cuidado com as pesquisas: malware distribui-se sobre links de publicidade no Google

Um novo malware tem vindo a propagar-se em massa, com foco para empresas, e que se propaga a partir de falsa publicidade no Google – a maioria em pesquisas feitas sobre termos de software popular no mercado.

O esquema começa quando os utilizadores procuram no Google por algum programa popular, como o Zoom ou Anydesk. Nos resultados, a publicidade surge nos primeiros lugares da pesquisa, misturando-se um pouco com o que se encontra nos restantes conteúdos da página.

A maioria dos utilizadores tende a carregar nos primeiros links da pesquisa, mas ao faze-lo neste caso, pode também estar a infetar o seu dispositivo com malware. Uma nova campanha foi descoberta a usar o Google Ads para partilhar sites falsos de software popular, sobretudo do Zoom, onde são distribuídos ficheiros maliciosamente modificados para conterem malware.

Como os links surgem nos primeiros resultados do Google para a pesquisa dos mais variados termos, a maioria dos utilizadores tende a carregar nos mesmos sem ver exatamente a localização final.

Se tal acontecer, os utilizadores podem acabar por instalar o malware “Rhadamanthys Stealer”, que é conhecido por ser um “malware-as-a-service” vendido na dark web, e com foco em roubo de credenciais de login. Os principais alvos desta campanha aparentam ser empresas e funcionários que estejam à procura de software aparentemente legitimo.

De acordo com os investigadores da empresa de segurança Cyble, responsáveis pela descoberta, o malware tanta ocultar as suas atividades através do uso de domínios similares aos reais. A situação prejudica-se ainda mais tendo em conta que, na publicidade que surge no Google, os criminosos podem alterar o endereço que surge para o resultado da pesquisa – colocando os domínios das entidades reais, enquanto que o link redireciona para um site completamente diferente.

Apesar de o esquema ter vindo a propagar-se, sobretudo, na publicidade do Google, os investigadores alertam que pode ser distribuída também via mensagens de phishing, sendo que cabe aos utilizadores terem atenção aos links que estão a aceder.

15/01/2023
Microsoft pretende descontinuar ferramenta MSDT do Windows 11

A Microsoft lançou durante o dia de hoje uma nova build do Windows 11 para os utilizadores no programa insider, a qual chega com algumas novidades interessantes para quem goste de testar as novidades da empresa em primeira mão.

No entanto, também surge a confirmação que uma ferramenta de suporte existente no mesmo vai deixar de se encontrar disponível em breve. Ao que parece, a Microsoft possui planos de descontinuar a ferramenta Microsoft Support Diagnostic Tool (MSDT), tendo confirmado o fim de suporte da mesma em 2025.

De acordo com o utilizador do Twitter Rafael Rivera, a nova build da Microsoft agora apresenta uma mensagem a informar os utilizadores que a MSDT vai ser descontinuada em 2025 quando estes tentam executar a mesma.

É importante notar que, apesar de ter alguma utilidade para o sistema, a ferramenta MSDT também tem vindo a ser usada nos últimos anos para a instalação de malware no Windows. Como tal, não será de estranhar que a empresa esteja agora a ponderar a sua descontinuação, optando por ferramentas mais úteis para esta tarefa.

Ao mesmo tempo, a descontinuação surge na mesma altura em que os rumores apontam que a empresa teria nos planos lançar o Windows 12, portanto pode também ser um indicativo de algo para esse ano.

13/01/2023
Box de Android TV “T95” infetada com malware de fábrica

O mercado das boxes de Android TV encontra-se inundado com centenas de adaptações baratas, e muitas vezes de marcas desconhecidas, para todos os gostos e carteiras. No entanto, optar por soluções desconhecidas pode também colocar em risco a segurança das suas redes e dos dados.

Foi exatamente isso que um administrador de sistemas no Canada descobriu, depois de ter comprado uma box de Android TV sobre a marca T95. Daniel Milisic afirma que comprou esta box exatamente por ser relativamente simples e barata, e de se encontrar disponível em várias plataformas online com bom feedback.

Esta box usa uma versão modificada do Android 10, com uma ROM que foi fortemente personalizada pela empresa que a desenvolveu. Entre as mudanças encontra-se o facto que a ROM usa chaves de encriptação de teste, juntamente com a ativação do ADB sobre a porta Ethernet e wi-fi por padrão.

Segundo Milisic, este começou a suspeitar das atividade maliciosas da box depois de ter recebido vários alertas do seu sistema de DNS caseiro, informando para acesso a domínios potencialmente maliciosos. A Box, depois de ligada à internet, estaria a tentar realizar a ligação para centenas de domínios diferentes e vários IPs, supostamente de sistemas de controlo remoto.

Analisando a ROM e os seus conteúdos, o administrador acredita que o dispositivo encontra-se infetado com uma versão modificada do CopyCat, um malware de Android descoberto em 2017, e que tem vindo a infetar mais de 14 milhões de dispositivos Android no mercado desde que surgiu – sendo usado sobretudo para campanhas de adware.

Ao mesmo tempo, isto não terá sido um lapso apenas para a unidade que Milisic adquiriu, isto porque a ROM usada no dispositivo encontra-se fortemente modificada, e possivelmente é a mesma usada em todos os modelos vendidos sobre esta marca. Ou seja, a modificação para fins malicioso foi feita pelo próprio fabricante na ROM.

O mais grave desta situação será que esta ROM ainda se encontra à venda em várias plataformas online, entre as quais a Amazon. Numa rápida pesquisa pela Amazon de Espanha é possível verificar centenas de modelos diferentes da mesma box, e uma grande parte das mesmas com valores positivos de reputação – e usadas em Portugal.

Os utilizadores que tenham este modelo em particular são aconselhados a removerem o mesmo das suas redes locais, derivado do potencial de roubo de dados. Caso tenha configurado algum género de conta sobre o dispositivo, é igualmente recomendado que o remova e altere a senha de imediato.

12/01/2023
Nova campanha de malware descoberta para enganar utilizadores do Anydesk

O AnyDesk é um popular software de controlo remoto, que permite aos utilizadores terem ajuda de terceiros para as mais variadas tarefas. No entanto, se usa este software, talvez seja melhor ter atenção ao local de onde o descarregou de forma recente.

Isto porque foi recentemente descoberta uma nova campanha de malware, contendo mais de 1300 domínios, focada em enganar os utilizadores do Anydesk. A campanha possui como objetivo levar os utilizadores a descarregarem um malware conhecido como Vidar, que recolhe dados de login dos sistemas.

De acordo com os investigadores da empresa de segurança SEKOIA, os domínios estão a ser usados em sites que são uma cópia quase perfeita do site oficial do Anydesk, mas que redirecionam os utilizadores para pastas do Dropbox onde se encontra a versão modificada do Anydesk para instalação. Esta versão será a que possui o malware, que se instala juntamente ao programa no sistema.

A maioria dos domínios que foram identificados ainda se encontram, de momento, ativos e a fornecer o malware. Os investigadores acreditam que os mesmos estão a ser usados em campanhas de publicidade da Google, sobretudo para a publicidade de pesquisa, enganando os utilizadores que estão a procurar descarregar o software legitimo.

No entanto, o link do Dropbox não se encontra em funcionamento, tendo em conta que foi reportado pelos investigadores à empresa e prontamente removido – mas pode ser atualizado a qualquer momento.

O Vidar não é um malware propriamente recente, sendo que as suas primeiras atividades foram realizadas em 2018. No entanto, uma vez instalado num sistema, o mesmo foca-se em roubar o máximo de dados pessoais e de login do mesmo, enviando os mesmos para sistemas remotos em controlo dos atacantes.

Este malware é bastante usado para roubo de dados em utilizadores que procuram versões modificadas de software e jogos, ou cracks para os mesmos.

Nos últimos tempos temos vindo a verificar a uma crescente onda de sites usados para distribuir versões maliciosas de programas legítimos, o que parece ser uma tendência cada vez maior devido à taxa de sucesso que possui. Os atacantes podem rapidamente criar uma publicidade falsa no Google, enganando quem esteja a procurar pelas versões legitimas dos mesmos.

Como sempre, a melhor forma de proteção será garantir que está a aceder ao site correto do programa que pretende descarregar, e evitar carregar nos resultados de publicidade do Google – quando estes surgem nas pesquisas.

11/01/2023
Windows 8.1 chega oficialmente ao fim de suporte

Depois de quase dez anos, o Windows 8.1 chega hoje oficialmente ao seu fim de vida, com o encerramento do suporte oficial da Microsoft.

Tal como estava previsto faz já algum tempo, a partir de 10 de Janeiro de 2023 o Windows 8 e 8.1 deixam de ser sistemas suportados pela Microsoft, o que quer dizer que vão deixar de receber qualquer futura atualização e suporte técnico. Isto aplica-se também a atualizações de segurança, portanto quem ainda se encontre sobre o sistema pode agora começar a ficar consideravelmente em risco de ataques.

De forma imediata os utilizadores não devem verificar qualquer mudança. O sistema ainda irá funcionar na normalidade, e possivelmente a maioria das aplicações também não devem ter problemas. No entanto, daqui em diante vai ser cada vez mais difícil de usar o mesmo.

Sem atualizações de segurança isso indica que as falhas não serão corrigidas, e podem ser rapidamente exploradas por atacantes para os mais variados fins – deixando os sistemas consideravelmente inseguros e vulneráveis a malware, vírus e ransomware.

Além disso, espera-se que muitos dos programas deixem de suportar o sistema, como é o caso de navegadores como o Chrome e Edge. Isto também abre novas portas para problemas, já que as versões suportadas serão antigas, e não contam com as mais recentes correções de segurança.

De notar também que, ao contrário do que aconteceu com o Windows 7, esta versão não vai receber os pacotes de atualizações estendidas ESU, portanto nem mesmo as empresas que pretendam podem pagar para ter o sistema atualizado durante mais algum tempo.

De acordo com os dados mais recentes da Statcounter, cerca de 2.59% dos sistemas no mercado global ainda usam o Windows 8.1, o que será um volume ainda elevado. No entanto, de relembrar que os utilizadores podem realizar o upgrade gratuito para o Windows 10 – caso tenham uma licença válida do Windows 8. Este será o processo mais aconselhado para quem esteja ainda no sistema.

10/01/2023
ChatGPT usado por hackers para criar código de malware

Não existe como negar que o ChatGPT tem vindo a ser considerada uma das maiores inovações dos últimos anos, e uma grande evolução a nível da Inteligência Artificial. No entanto, se existem usos para os quais a tecnologia pode ajudar os utilizadores, também existe aqueles que acabam por usar a mesma para fins menos próprios.

Recentemente, investigadores da empresa de segurança Check Point Research, revelaram ter descoberto que a IA da OpenAI encontra-se a ser usada por criminosos na dark web para criar código malicioso.

Segundo os investigadores, a ChatGPT encontra-se a ser usada para melhorar o código de malware atualmente existente, com o objetivo de o tornar mais eficaz ou menos identificável junto dos programas de segurança, ou até para criar código completamente novo.

No exemplo dos investigadores encontram-se vários relatos em fóruns da dark web, onde utilizadores afirmam ter usado o ChatGPT para criarem malware. Mais preocupante será o facto que alguns destes utilizadores afirmam terem criado este código sem terem qualquer experiência de programação – o que pode vir a permitir que “novatos” criem as suas próprias versões de malware no mercado com poucos conhecimentos necessários para tal.

Isto pode abrir portas para que mais criminosos possam usar a ferramenta da OpenAI para desenvolverem ou melhorarem as suas ferramentas e malwares, tornando-as mais eficazes nos ataques a realizar, e com um esforço praticamente mínimo.

09/01/2023
Cuidado com um novo malware que se propaga como jogo NFT do Pokémon

Os fãs de conteúdos NFT estão sempre à procura de novos conteúdos para aumentarem o seu portefólio, mas se encontrar um jogo associado com o Pokémon que também promete ganhar NFTs no processo, talvez seja melhor ter algum cuidado.

De forma recente, os investigadores da empresa de segurança ASEC revelaram ter descoberto um novo esquema de malware, que se encontra a propagar através de falsos jogos de NFT baseados no Pokémon. O esquema começa com os utilizadores a serem aliciados para um novo jogo, onde os prémios serão várias cartas de NFT relacionados com o jogo da Nintendo.

No entanto, o jogo encontra-se longe de ter qualquer relação com a empresa original, já que, quando os utilizadores o descarregam para o sistema, estão na realidade a descarregar um malware de controlo remoto, que irá permitir aos atacantes enviarem comandos remotos e controlarem o sistema.

O malware também se configura para arranque automático com o sistema, permitindo que os atacantes tenham sempre uma porta de entrada para o sistema infetado. A partir dai, os atacantes podem realizar os mais variados géneros de ataques, desde roubo de informações sensíveis que se encontrem no sistema à instalação de mais malware no mesmo sem que o utilizador se aperceba.

Apesar de o esquema propagar-se sobretudo através de falsos sites criados para o mesmo, também pode surgir como mensagens de email ou via as redes sociais, sendo que cabe aos utilizadores terem atenção aos conteúdos que estão realmente a descarregar para os seus sistemas.

09/01/2023
Novo malware foca-se em entidades financeiras em Portugal e Espanha

Um novo relatório aponta que diversas entidades financeiras e de seguros em Portugal e Espanha podem estar a ser alvo de ataques de um novo malware, conhecido como Raspberry Robin.

De acordo com um recente relatório da empresa de segurança Security Joes, uma nova variante do worm encontra-se a ter como alvo entidades financeiras e de seguro em Portugal, no sentido de se obter acesso a dados internos e sensíveis dessas entidades.

Este worm possui como objetivo infetar os sistemas, abrindo as portas para que outro género de malware possa ser instalado nos sistemas. Por norma, o mesmo distribui-se via dispositivos portáteis que se encontrem comprometidos, e instalam-se silenciosamente no sistema – bem como são partilhados para a rede interna da entidade.

Os investigadores não revelaram quais as entidades afetadas pelo Raspberry Robin, mas tudo indica que o worm já se encontre ativo nas mesmas. Nestes casos, os atacantes começam por tentar enganar as vitimas, levando-as a descarregarem ficheiros maliciosos para os seus sistemas – nomeadamente arquivos compactados – que possuem no seu interior ficheiros maliciosos usados para proceder com a infeção do sistema.

Noutro dos ataques identificado pelos investigadores, o malware teria sido distribuído sobre campanhas de publicidade maliciosa, onde os utilizadores são levados a descarregarem conteúdos para os seus sistemas – infetando os mesmos.

Para evitar a deteção, os arquivos maliciosos encontram-se alojados em servidores do Discord, e possuem vários níveis de encriptação – para tornar mais complicada a tarefa de identificar e analisar os mesmos.

Em ambos os casos, o malware aparenta ter sido criado com o objetivo de ser bastante difícil não apenas de identificar, mas também de ser analisado, com várias camadas de encriptação e código ofuscado.

É importante notar que as empresas analisadas neste caso não foram divulgadas, mas o relatório aponta que são duas entidades bem reconhecidas tanto em Portugal como Espanha. O worm Raspberry Robin tem vindo a infetar vários sistemas em diversas entidades desde meados de Setembro de 2021, sendo partilhado sobretudo por dispositivos portáteis comprometidos – e desde então foram surgindo novas versões do mesmo, consideravelmente mais protegidas e difíceis de analisar.

04/01/2023
Windows 11 possui bug que pode abrir janelas aleatórias no sistema
O Windows tem vindo a receber algumas atualizações nos últimos meses, focadas em melhorar a experiência dos utilizadores dentro do sistema. No entanto, para alguns, desde as recentes atualizações que o sistema poderia abrir janelas do sistema sem que tivessem sido propriamente pedidas.

A Microsoft tem vindo a trabalhar para melhorar o sistema do Explorador de Ficheiros no Windows 11, tendo com o Windows 22H2 incluindo a possibilidade de se usar abas nas janelas abertas do sistema. Isto foi sem dúvida uma grande novidade, mas para alguns utilizadores veio também com um problema.

Ao que parece, o sistema pode aleatoriamente decidir abrir uma janela do explorador de ficheiros, sem que os utilizadores tenham realmente pedido tal tarefa. Esta tarefa levou muitos utilizadores a pensarem que poderia tratar-se de malware que estaria nos sistemas, mas na realidade nada mais é do que um bug.

A Microsoft veio agora confirmar que, sobre certos sistemas, o Explorador de Ficheiros pode, em certas condições, abrir automaticamente uma janela no Ambiente de Trabalho. A janela abria-se automaticamente na página de “Inicio” do sistema.

Para os utilizadores que estejam a verificar o problema, a empresa espera lançar a correção em futuras atualizações do sistema. No entanto, para quem pretenda uma correção mais rápida, é possível usar a ferramenta ViveTool para a tarefa, com os seguintes comandos:
- vivetool /disable /id:37634385
- vivetool /disable /id:36354489
No final basta reiniciar o sistema operativo para que o “bug” seja corrigido. Os utilizadores que não pretendam realizar estas mudanças devem aguardar que a Microsoft lance a correção oficial, que se espera para as próximas semanas.
04/01/2023
Malware explora falhas em plugins de sites WordPress desatualizados
Um malware foi recentemente descoberto para sistemas Linux, que explora falhas sobre diversos plugins do WordPress para obter acesso à instalação, e a partir dai redirecionar os visitantes dos sites para esquemas diversos.

De acordo com os investigadores da empresa de segurança Dr.Web, foi recentemente descoberto um malware que explora falhas em instalações desatualizadas de aproximadamente 30 plugins e temas do WordPress, com foco em obter acesso à instalação e ao sistema onde as mesmas se encontrem.

Depois de obter acesso às instalações do WordPress vulneráveis, o malware procede com a injeção de javascript sobre o site, que envia e recebe comandos de um sistema remoto. No final, o malware procede com o redirecionamento de utilizadores que acedem aos sites para locais aleatórios, onde são levados a novos esquemas.

Este género de ataques tende a afetar, sobretudo, sites que tenham sido abandonados ou usados para testes, mas também pode afetar sites onde os administradores não realizam a atualização dos seus plugins com regularidade.

Este malware tenta explorar falhas sobre instalações desatualizadas dos seguintes plugins:
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- WP GDPR Compliance Plugin
- Newspaper Theme on WordPress Access Control (CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Faceboor Live Chat by Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (CVE-2019-17232 and CVE-2019-17233)
- WP-Matomo Integration (WP-Piwik)
- WordPress ND Shortcodes For Visual Composer
- WP Live Chat
- Coming Soon Page and Maintenance Mode
- Hybrid
- Brizy WordPress Plugin
- FV Flowplayer Video Player
- WooCommerce
- WordPress Coming Soon Page
- WordPress theme OneTone
- Simple Fields WordPress Plugin
- WordPress Delucks SEO plugin
- Poll, Survey, Form & Quiz Maker by OpinionStage
- Social Metrics Tracker
- WPeMatico RSS Feed Fetcher
- Rich Reviews plugin
É importante notar que este malware tenta explorar as falhas sobre plugins desatualizados, pelo que os utilizadores são aconselhados a manterem as suas instalações atualizadas para evitarem a exploração.

No entanto, alguns dos plugins em questão não se encontram também a ser atualizados de forma regular, o que deixa em aberto a possibilidade de o ataque ser realizado sobre os mesmos.
30/12/2022
Malware propaga-se por resultados do Google sobre software legitimo

O sistema de publicidade da Google tem vindo a ser cada vez mais usado para distribuir campanhas de malware, e recentemente foi identificada uma nova forma de enganar os utilizadores que realizam pesquisas no mesmo.

De acordo com os investigadores da empresa de segurança Guardio Labs, uma nova campanha de malware encontra-se a propagar a partir da publicidade da Google, focando-se em software popular no mercado.

O esquema começa quando os utilizadores realizam a pesquisa na Google por um software – até agora entre os nomes afetados encontra-se a Grammarly, MSI Afterburner, Slack, Dashlane, Malwarebytes, Audacity, μTorrent, OBS, Ring, AnyDesk, Libre Office, Teamviewer, Thunderbird e Brave.

Quando se realiza a pesquisa no Google, sobre certos termos, o motor de pesquisa apresenta alguns resultados de publicidade no topo da página, como parte do Google Ads. Estes links surgem diretamente no topo dos resultados para todos os utilizadores.

Aproveitando este facto, o que os criminosos estão a realizar será a colocação de sites maliciosos, que fornecem versões adulteradas dos programas que os utilizadores estão a pesquisar, sobre sites falsos e replicados dos originais.

Desta forma, os utilizadores que realizem a pesquisa pelo software, podem estar a pensar que acederam ao link do site oficial do programa, quando na verdade estão a carregar num link de publicidade, direcionando os mesmos para um falso website com versões modificadas do programa.

Para evitar a deteção pelos sistemas de segurança da Google, os links podem direcionar primeiro para um site legitimo, que apresenta informações sobre o software, antes de direcionar as vítimas para o falso site onde a versão com malware do programa se encontra.

As versões modificadas dos programas são adulteradas para conterem malware focado em roubar dados sensíveis dos sistemas, e que podem abrir portas para outro género de ataques, como ransomware.

Como sempre, o recomendado será que os utilizadores tenham cuidado sobre os locais onde descarregam aplicações, validando sempre se os domínios são os oficiais das entidades responsáveis pelos mesmos.

28/12/2022
Nova técnica usada para distribuir malware via o Excel

A Microsoft recentemente decidiu bloquear os macros VBA de serem executados por padrão nos documentos do Office, com a ideia de garantir mais segurança para os utilizadores – tendo em conta que este é um dos métodos mais vulgarmente usados para ataques.

No entanto, os criminosos têm vindo a adaptar as suas formas de continuar a enganar os utilizadores. De acordo com os investigadores da empresa de segurança Cisco Talos, os criminosos agora têm vindo a voltar-se para os add-ins do Excel como forma de infetarem os sistemas dos utilizadores.

O Excel conta com uma funcionalidade conhecida como add-ins, que se trata de ficheiros XLL – que podem ser considerados como ficheiros DLL mas focados apenas para uso no Excel. Por norma, estes ficheiros tendem a ser usados para incluir funcionalidades extra no programa, mas neste caso estão a ser usados pelos atacantes para infetarem os sistemas com malware.

De acordo com os investigadores, os ficheiros XLL podem ser facilmente abertos pelos utilizadores no Excel, e ainda mais enviados via email. Como se tratam de ficheiros aparentemente legítimos, muitos utilizadores podem nem reparar na extensão – e estes tendem também a ser ignorados pela maioria dos softwares de segurança.

Uma vez instalado no Excel, o Add-in pode realizar várias ações dentro do mesmo e dentro do sistema, entre as quais se encontra a possibilidade de descarregar conteúdos da internet ou de reativar o sistema de macros, levando à execução dos mesmos no sistema.

Este novo método tem vindo a tornar-se cada vez mais popular como alternativa aos tradicionais ficheiros de malware distribuídos via macros em ficheiros do Office. Para os utilizadores, o recomendado será que estes se mantenham atentos aos ficheiros recebidos via mensagens de email suspeitas, ainda mais contendo anexos desconhecidos.

28/12/2022
Windows teve 5000 vezes mais malware do que o macOS em 2022

Agora que o ano se encontra a terminar, é também importante olhar para os meses anteriores e analisar o crescimento de malware no mercado e para os diferentes sistemas operativos.

A empresa AV-Test, que regularmente testa as soluções de segurança no mercado, realizou uma análise sobre o crescimento de malware no mercado durante todo o ano, e existem alguns dados interessantes a ter em conta.

Os dados apontam que, durante todo o ano, surgiram mais de 70 milhões de diferentes variantes de malware para Windows, que é um valor consideravelmente superior aos cerca de 12.000 que foram registados para macOS.

Se tivermos em conta estes dados, o valor de malware para Windows é quase 5000 vezes superior ao que existe no macOS. Isto não será de estranhar, tendo em conta que o sistema da Microsoft é também um dos mais usados no mercado.

Se os valores forem comparados ao Linux, no entanto, será mais razoável, sendo que este sistema verificou cerca de 2 milhões de novas variantes de malware ao longo do ano. Ainda assim, o valor do Windows é cerca de 60 vezes superior.

Curiosamente, apesar de o número de variantes de malware ser consideravelmente superior no Windows, este tem vindo a cair no número mensal desde meados de Setembro. No caso do macOS, por outro lado, as novas variantes de malware nos sistemas começaram a surgir mais em Novembro e Dezembro.

Por fim, o Linux é um dos casos de destaque, já que parece ter praticamente “eliminado” o malware e as novas variantes do mesmo desde meados de Junho. O número teve valores algo elevados no início do ano, mas praticamente desde então que os valores têm sido consideravelmente baixos.

Os interessados poderão verificar os gráficos completos do estudo no site da entidade.

27/12/2022
Malware propaga-se a partir de programas e sites piratas

Quando se descarrega conteúdo pirata da Internet, está também a colocar-se em risco os sistemas onde esses conteúdos vão ser utilizados. E de tempos a tempos surgem campanhas de malware que aproveitam-se de quem procura estes conteúdos para a distribuição.

Recentemente as empresas de segurança Flashpoint e Sekoia confirmaram ter identificado um novo malware, apelidado de RisePro, o qual se distribuir a partir de sites de conteúdos piratas. O malware propaga-se sobretudo sobre cracks para software diverso, e pode permitir a instalação nos sistemas infetados de malware focado em roubar dados de login do mesmo.

Quando o malware é instalado no sistema, este começa por procurar os navegadores mais usados no mercado, tentando recolher as senhas guardadas no mesmo. Este tenta ainda aceder aos dados de extensões que possam encontrar-se instaladas nesse navegador, como é o caso da Metamask e Authenticator.

Ao mesmo tempo, o RisePro é também capaz de identificar aplicações que se encontrem instaladas no sistema, nomeadamente o Discord e Authy, para tentar roubar dai informações que possam ser igualmente úteis para os criminosos – como códigos de autenticação em duas etapas.

Uma vez recolhida essa informação, a mesma é enviada para os atacantes, sobre servidores que se encontram em controlo dos mesmos. Como sempre, os utilizadores são a primeira linha de defesa contra este género de ataques, devendo ter atenção aos conteúdos que descarregam para os seus sistemas, sobretudo sobre fontes pouco confiáveis.

Acredita-se que os sites de conteúdo pirateado tendem a ser cada vez mais usados para distribuir conteúdos maliciosos, tendência que deve apenas aumentar daqui em diante.

27/12/2022
FBI recomenda usar bloqueador de publicidade para evitar esquemas

A publicidade é uma das principais fontes de receitas para uma grande parte da Internet, quer se queira ou não. No entanto, esta é também uma das portas de entrada para possíveis ataques.

De tempos a tempos existem casos de campanhas de malware ou phishing que são propagadas sobre o formato de publicidade. E para muitos, usar um navegador sem bloqueador de publicidade é algo impensável (e obrigado se o tiver desligado para o TugaTech).

No entanto, parece que agora até o FBI se encontra a recomendar que os utilizadores mantenham as suas proteções ativas, sobretudo durante a época natalícia. Segundo o comunicado do FBI, foi identificado que os ciber criminosos encontram-se a usar redes de publicidade em vários canais para distribuir falsos anúncios, a maioria fazendo-se passar como nomes legítimos de marcas no mercado.

A maioria desta publicidade surge sobre o formato de links nas pesquisas, onde os utilizadores podem ser enganados a acederem a um site malicioso de uma marca quando pretendiam aceder ao site legitimo da mesma. Tendo em conta que os links de publicidade nas pesquisas tendem a ser bastante similares aos dos resultados finais, os utilizadores podem aceder sem querer aos conteúdos.

Curiosamente, uma das recomendações do FBI para prevenir este género de ataque é exatamente instalar um bloqueador de publicidade no navegador. Como este género de extensões bloqueiam a publicidade que surge nos sites, a maioria tende também a bloquear os links para possíveis conteúdos maliciosos – e logo, a prevenir deste género de enganos.

Para quem não pretenda usar um bloqueador de publicidade, o recomendado será que se mantenha uma atenção redobrada nos links que são acedidos, sobretudo sobre pesquisas, onde os resultados iniciais tendem a ser de publicidade direta.

22/12/2022
Novo malware infeta sistemas para atacar servidores de Minecraft

Os jogadores de Minecraft estão sujeitos a uma nova campanha de malware, que se propaga sobre o nome de “MCCrash”, e foca-se sobretudo em quem usa versões pirateadas do jogo ou tenha servidores do título.

Este malware foi descoberto pelos investigadores da Microsoft Threat Intelligence, onde o mesmo, uma vez instalado nos sistemas das vitimas, tenta propagar-se para o máximo de dispositivos na rede através de ataques brute-force.

Ao mesmo tempo, o MCCrash permanece a aguardar ordens nos sistemas das vítimas, onde pode ser usado para realizar ataques DDoS. Segundo a Microsoft, o malware foca-se em realizar ataques DDoS contra servidores de Minecraft, pelo que se acredita que esta variante do malware tenha sido criada para criar uma rede botnet usada para serviços de ataques DDoS por encomenda.

A maioria dos dispositivos infetados pelo MCCrash encontram-se localizados na Rússia, mas também existem registos de sistemas em países como o México, Itália, Índia e Singapura. O MCCrash distribui-se sobretudo sobre ferramentas pirateadas, tanto do jogo como de outras pela internet. Entre estas encontram-se versões piratas de clientes do Minecraft ou de ferramentas de ativação do Windows.

O malware encontra-se focado para Windows, Linux e macOS, sendo que uma vez instalado num dispositivo, este começa por tentar infetar mais equipamentos na mesma rede, realizado ataques de brute-force via SSH – incluindo para dispositivos da Internet das Coisas.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos locais de onde descarregam os conteúdos pela Internet, sobretudo de fontes desconhecidas como sites de conteúdo pirata.

16/12/2022
Malware para Windows esconde-se em ficheiros de imagem SVG

Uma nova campanha de malware tem vindo a propagar-se em força nos últimos dias pela internet, enganando os utilizadores e levando-os a acederem a um site de phishing, que caso seja aberto, usa uma imagem SVG para descarregar malware para sistemas Windows.

A campanha foi descoberta por investigadores da empresa de segurança Cisco Talos, e encontra-se associada com o malware QBot. Esta campanha usa ficheiros de imagem SVG para esconder código javascript, que uma vez executado, leva os utilizadores a descarregarem um ficheiro de malware para o sistema.

O código javascript oculto sobre a imagem SVG, quando aberto pelo navegador, leva a que o código seja executado, e neste caso, usado para levar ao download de um ficheiro de malware para o sistema pelo navegador. Os utilizadores acabam por descarregar o ficheiro mesmo que tudo o que vejam no ecrã seja uma imagem.

Esta técnica permite contornar algumas medidas de segurança que possam ter sido implementadas, nomeadamente por softwares de segurança. Como os ficheiros SVG são tradicionalmente considerados benignos, a maioria dos programas de segurança não valida os mesmos por conteúdo malicioso.

Ao mesmo tempo, esta campanha tira proveito da forma como os ficheiros SVG funcionam. Ao contrario de ficheiros de imagem PNG ou JPG, os ficheiros SVG são baseados em XML, pelo que podem conter código HTML sobre o mesmo – o que é aproveitado para realizar este ataque.

Quando a imagem é carregada no navegador, além de surgir a imagem final, o conteúdo do HTML é igualmente carregado.

Neste caso, a imagem possui código que converte uma string de texto para um ficheiro binário – um arquivo ZIP – e depois leva ao download do mesmo pelo navegador. O malware é inteiramente criado pelo navegador, no próprio sistema dos utilizadores, portanto não existe nada descarregado pela Internet – o que reduz a possibilidade de deteção de conteúdos maliciosos.

O ficheiro ZIP criado encontra-se ainda protegido por senha, para evitar a deteção pelos softwares de segurança, mas o código para aceder é apresentado aos utilizadores pela página usada para o phishing.

Como sempre, os utilizadores devem ter atenção aos conteúdos que acedem online, e qualquer mensagem suspeita deve ser vista com cuidado. Ao mesmo tempo, não se deve aceder a links aleatórios que possam ser enviados em mensagens de desconhecidos.

14/12/2022
Microsoft terá assinado drivers maliciosas usadas em ransomware
O Windows possui diversas partes para funcionar corretamente, entre as quais se encontram as drivers. Estes pequenos ficheiros são essenciais para que o hardware possa comunicar corretamente com o software, e em parte, é o que permite uma grande parte do sistema funcionar sem problemas.

Tendo em conta a sua integração com o Windows, as drivers são também bastante importantes a nível de segurança. Todos os ficheiros de drivers necessitam de ser assinados e certificados pela Microsoft para poderem garantir que são aceites corretamente no Windows.

Isto previne que possíveis drivers maliciosas possam ser instaladas no sistema, obtendo permissões elevadas para as suas atividades maliciosas – e ainda mais escondidas de os tradicionais softwares de segurança.

A Microsoft conta com um programa de desenvolvimento para os fabricantes de hardware, onde estes podem certificar as suas drivers para poderem ser usadas no Windows. Este será um processo fundamental para quem pretenda usar componentes diversos dentro do Windows.

Todas as drivers necessitam de ser revistas manualmente pela Microsoft antes de serem certificadas. No entanto, é aqui que se encontra um recente problema.

A Microsoft confirmou ter conhecimento que algumas entidades dentro deste processo terão usado drivers certificadas pela Microsoft para distribuir malware em diversos sistemas Windows. As empresas de segurança SentinelOne, Mandiant e Sophos terão alertado a empresa para o facto que drivers certificadas pela mesma estariam a ser usadas para campanhas de ransomware.

Os criminosos terão conseguido obter a certificação direta da Microsoft para as drivers, colocando as mesmas em software diverso que, uma vez instalado no Windows, poderia levar a ataques de ransomware. Como as drivers possuem um acesso direto ao kernel do Windows, a maioria dos ataques não eram identificados pelos softwares de segurança tradicionais.

Ao mesmo tempo, como as drivers estariam também certificadas pela Microsoft, estas eram aceites no Windows sem problemas.

Segundo a investigação da empresa, as drivers assinadas para atividades maliciosas pertencem às empresas:
- Qi Lijun
- Luck Bigger Technology Co., Ltd
- XinSing Network Service Co., Ltd
- Hangzhou Shunwang Technology Co.,Ltd
- Fuzhou Superman
- Beijing Hongdao Changxing International Trade Co., Ltd.
- Fujian Altron Interactive Entertainment Technology Co., Ltd.
- Xiamen Hengxin Excellence Network Technology Co., Ltd.
- Dalian Zongmeng Network Technology Co., Ltd.
No entanto, a lista pode ser mais alargada, sendo que a investigação ao caso ainda se encontra a decorrer. Para já a Microsoft lançou uma atualização para o Windows que se fora em remover as drivers destas entidades do sistema, bem como colocar as mesmas sinalizadas como sendo maliciosas. O Microsoft Defender também foi atualizado para detetar estas drivers como malware.

Para já, os utilizadores apenas necessitam de garantir que os seus sistemas estão atualizados para as versões mais recentes do Windows. A Microsoft alerta igualmente para a necessidade dos utilizadores terem sempre cuidados redobrados na instalação de software de terceiros, sobretudo de fontes desconhecidas.
14/12/2022
Apple corrige vulnerabilidade zero-day a afetar o Webkit

A Apple encontra-se a disponibilizar uma nova atualização de segurança para os seus sistemas, focada em corrigir uma nova vulnerabilidade zero-day que a empresa acredita encontrar-se a ser ativamente explorada.

A falha afeta o motor Webkit, associado com o motor base de renderização de conteúdos do Safari. Esta falha foi identificada pelo investigador de segurança Clément Lecigne, da Google TAG, sendo que quando explorada permite aos atacantes enviarem código malicioso para os sistemas.

Este código pode permitir que sejam enviado malware para os sistemas ou recolhida informação dos mesmos. A falha afeta os modelos do iPhone 6, iPhone 7, iPhone SE de 1ª geração, iPAad Pro, iPad Air 2 e mais recentes, iPad de 5ª geração e mais recentes, iPad Mini 4 e mais recentes e, por fim, iPod touch de 7ª geração.

A empresa afirma acreditar que a falha estaria a ser explorada para ataques de forma ativa, no entanto não foram deixados detalhes sobre o procedimento da mesma – possivelmente para evitar uma exploração mais alargada.

As atualizações destas falhas foram lançadas hoje para iOS/iPadOS 15.7.2, Safari 16.2, tvOS 16.2, e macOS Ventura 13.1. Os utilizadores são aconselhados a atualizarem de imediato os seus sistemas para as versões mais recentes, de forma evitar a exploração da falha.

13/12/2022
Antivírus podem ser enganados para removerem dados do sistema

Quando se instala um antivírus num sistema, espera-se que o mesmo seja usado para proteger o mesmo de ataques externos. No entanto, estes programas tendem a manter um nível de acesso bastante elevado dentro do sistema operativo – e com potencial de causar danos se usado para as tarefas contrárias ao desejado.

Recentemente um investigador revelou ter descoberto uma forma de “enganar” alguns dos mais populares softwares de segurança no mercado, tornando-os em programas de eliminação de dados do sistema.

O investigador afirma que foi capaz de realizar esta tarefa nos programas de segurança da Microsoft, SentinelOne, TrendMicro, Avast e AVG, basicamente tornando-os em “malware”.

O investigador Or Yair teve esta ideia aproveitando a base de acesso que os antivírus normalmente possuem para o sistema operativo. O mesmo terá descoberto que, usando alguns truques, é possível levar os programas de segurança a eliminarem conteúdos do sistema considerados como fundamentais – como pastas dos utilizadores ou até mesmo pastas do próprio sistema operativo – basicamente tornando o antivírus numa espécie de “malware”.

A maioria dos softwares de segurança contam com uma monitorização ativa e permanente, e quando identificam ficheiros maliciosos, procedem com a quarentena dos ficheiros ou até mesmo a eliminação dos mesmos. Aproveitando essa ideia, o investigador terá conseguido fazer com que os programas considerem pastas do sistema como “malware”, levando à sua eliminação.

O mais grave desta situação é que o “truque” nem necessita que os utilizadores tenham propriamente grande acesso ao sistema. Um utilizador com privilégios regulares pode levar à ativação do mesmo, levando o antivírus a remover componentes essenciais do sistema e a tornar o mesmo inacessível.

O investigador afirma que a falha pode ser explorada no Microsoft Defender, Defender for Endpoint, SentinelOne EDR, TrendMicro Apex One, Avast Antivirus, e AVG Antivírus.

Ao mesmo tempo, foram também feitos testes sem sucesso sobre os softwares da Palo Alto, Cylance, CrowdStrike, McAfee, e BitDefender. Nestes casos, os programas não realizaram as atividades de remoção dos conteúdos – e portanto estão seguros.

A recomendação para os utilizadores dos programas afetados será que mantenham os mesmos atualizados para as versões mais recentes, uma vez que as empresas em questão terão sido notificadas do problema e encontram-se a fornecer a correção para a mesma.

09/12/2022
Descoberta falha zero-day no Internet Explorer que afeta até sistemas recentes

Por esta altura, o Internet Explorer não deveria ser um navegador que estivesse a ser usado, mas infelizmente ainda existem entidades que o usam ativamente para tarefas do dia a dia – seja por que motivo for.

Isto abre a possibilidade de ainda existirem sistemas que podem ser ativamente explorados para ataques, e recentemente foi descoberto um exemplo claro disso. Os investigadores da Threat Analysis Group (TAG) da Google revelaram ter descoberto uma nova falha zero-day no Internet Explorer, a qual se encontra a ser ativamente explorada por malware para infetar os sistemas.

De acordo com os investigadores, a falha estaria a ser ativamente explorada desde Outubro de 2022, por grupos de hackers na Coreia do norte. O Internet Explorer encontra-se oficialmente descontinuado desde Junho deste ano, mas ainda existem alguns componentes da Microsoft que fazem uso do mesmo – nomeadamente o Office.

Como tal, ainda existe o potencial de esta falha afetar utilizadores que nem sequer estejam a usar o Internet Explorer de todo. Os hackers estão a explorar uma falha existente no motor base do Internet Explorer para executar javascript, o qual pode conter comandos maliciosos para o sistema.

Os investigadores afirmam ter descoberto a falha a ser explorada a partir de ficheiros modificados maliciosamente do Office. Quando abertos, e ativadas as permissões, o ataque começa sobre o sistema, através do envio de comandos javascript para os ficheiros do motor base do Internet Explorer dentro do Office.

Acredita-se que esta falha terá sido explorada por grupos de hackers com ligações ao governo da Coreia do Norte, e tem vindo a ser propagada em ficheiros do Office – sobretudo documentos do Word.

A falha foi relatada à Microsoft e corrigida no passado dia 8 de Novembro. Os utilizadores devem, no entanto, garantir que o Windows e o Office se encontram atualizados para as versões mais recentes, as quais contam com a correção para esta falha.

07/12/2022
Novo malware criado diariamente aumenta em 2022

Os softwares antivírus são uma das melhores ferramentas para prevenir ataques a um sistema operativo. No entanto, para manter essa segurança, estes devem também manter-se atualizados – e a tarefa pode ser um pouco mais complicada do que se poderia pensar.

De acordo com um recente estudo feito pela empresa de segurança Kaspersky, todos os dias são criados mais de 400 mil novas variantes de malware no mercado. Este valor corresponde a um crescimento de quase 5% face ao verificado o ano passado, o que indica que existem mais variantes de malware a surgirem no mercado.

Por entre os principais malwares, o ransomware continua a ser a tendência, tendo verificado um aumento de 181% em apenas um ano, sendo seguido de perto pelos ataques de phishing.

Verificou-se também um aumento no número de ataques direcionados para o Microsoft Office, com malware integrado em macros ou documentos maliciosos para a suíte da Microsoft. O crescimento neste caso terá sido de 85% face ao ano anterior.

Entre os sistemas operativos, o Windows continua a ser o alvo favorito do malware, em parte porque também é um dos sistemas mais usados pelos utilizadores, e com mais probabilidade do malware infetar as vitimas.

06/12/2022
Ciberameaças contra macOS crescem em Portugal

A ESET divulgou novos dados do segundo quadrimestre de 2022 sobre a paisagem de ciberameaças em Portugal. Uma das observações mais destacáveis no mais recente relatório de ameaças da especialista europeia em cibersegurança é o crescimento das ciberameaças contra macOS em território nacional.

Globalmente, as deteções da ESET para os meses de maio, junho, julho e agosto deste ano mostram uma diminuição das ameaças contra macOS em relação com o quadrimestre anterior. Pelo contrário, em Portugal, foi registado um crescimento de 15% destas ameaças entre os dois quadrimestres.

Apesar de Portugal estar longe de ser o país onde a telemetria da ESET registou o maior número de deteções na categoria macOS (essa distinção vai para os Estados Unidos, Japão e França), o crescimento atípico no território nacional para o período em avaliação é simbólico das novas ameaças que os utilizadores desta plataforma enfrentam.

Recentemente, investigadores da ESET descobriram um novo malware que espia e rouba utilizadores de Mac comprometidos e usa exclusivamente serviços de armazenamento na nuvem pública para comunicar com o seus operadores. Designado CloudMensis pela ESET, as suas capacidades revelam a intenção clara dos seus operadores de reunir informação sobre Macs afetados, roubando documentos, teclas premidas, emails, anexos, ficheiros em armazenamento externo e capturas de ecrã.

Para mais informações sobre as deteções da ESET nesta e noutras categorias de ciberameaças, consulte o Threat Report T2 2022.

06/12/2022
“InTheBox” é um marketplace na Dark Web que ameaça utilizadores em todo o mundo

Um grupo de investigadores de segurança revelou ter descoberto o que pode ser considerado um dos maiores marketplace da dark web, associado com esquemas de phishing e malware.

Apelidado de InTheBox, o marketplace foca-se em fornecer sistemas personalizados para explorar falhas em várias plataformas, bem como kits de phishing para os mais variados bancos e aplicações bancárias a nível mundial.

Os investigadores da empresa Resecurity acreditam que esta plataforma encontra-se ativa desde Janeiro de 2020, e atualmente é considerada a maior do género – se não a única existente. A plataforma foca-se no que é conhecido como “web injectors”, um género de malware que apresenta falsos campos de login para plataformas web quando o utilizador acede a um site ou usa uma determinada aplicação.

O malware lança uma janela falsa de login a pedir os dados de acesso – ou outras informações pertinentes – de forma a roubar as vítimas. Estas páginas falsas tendem a manter o aspeto legítimo dos sites que os utilizadores estariam a tentar aceder, com a contrapartida que os dados de login são enviados diretamente para os criminosos.

O portal fornece pacotes para venda deste género de malwares, que podem depois ser usados em campanhas direcionadas.

O InTheBox encontra-se acessível apenas via a rede Tor, e a ativação de contas na plataforma é feita manualmente pelos administradores da mesma, possivelmente para impedir o acesso de pessoas desconhecidas ou das autoridades.

Existem diferentes “planos” a serem fornecidos na plataforma, desde kits básicos a começar nos 100 dólares, mas até aos 5888 dólares para planos “ilimitados”, que permitem a criação de um número ilimitado de falsos sites.

Em novembro de 2022, o gestor da plataforma e dos seus conteúdos terá atualizado uma vasta quantidade de páginas, de forma a parecerem mais legitimas para as potenciais vítimas. De notar que a lista de entidades que estão citadas neste marketplace incluem nomes em Portugal, como a CGD, BBVA, Millenniumbcp, entre outras.

06/12/2022
Cuidado com estas novas aplicações maliciosas na Google Play Store

Uma nova aplicação maliciosa foi descoberta sobre a Google Play Store, tendo já enganado mais de dois milhões de utilizadores em instalarem a mesma nos seus dispositivos.

De acordo com os investigadores da empresa de segurança Dr.Web, foi recentemente descoberta na Play Store um conjunto de aplicações, que prometem os mais variados fins, mas que acabam por levar os utilizadores para potencial malware nos seus dispositivos.

Uma dessas aplicações será conhecida como “TubeBox”, que ainda se encontra disponível na loja de aplicações da Google. Esta aplicação promete aos utilizadores terem acesso a ofertas e pagamentos por assistirem a conteúdos de publicidade ou instalarem apps nos seus dispositivos – mas no final, as ofertas nunca são realmente oferecidas.

Os investigadores afirmam que o objetivo da app não será oferecer recompensas, mas sim manter os utilizadores o máximo de tempo possível dentro da app, a verem publicidade que vai gerar receitas para os gestores da mesma – de forma ilícita.

Além desta, os investigadores afirmam terem descoberto mais de uma dezena de outras apps com funcionamento similar, que prometem ser apps de otimização do sistema ou de edição de imagens, e que recebem comandos remotos para abrir sites de publicidade, os quais geram receitas para os autores das apps finais

Num dos casos, os investigadores revelam ter descoberto uma app que pode usar o dispositivo como um potencial proxy, que pode ser usado para as mais variadas tarefas maliciosas. Ao usar o dispositivo como proxy, os atacantes podem usar o mesmo para realizar tarefas maliciosas sobre o mesmo.

Algumas das aplicações descobertas ainda se encontram sobre a Play Store, embora a Google já tenha sido notificado das mesmas. Será sempre importante para os utilizadores terem atenção no download de novas aplicações, verificando sempre o feedback de outros utilizadores, que em muitos casos poderão identificar os problemas.

05/12/2022
Quase 60 milhões de malwares em 2022 foram criados para Windows

O Windows é atualmente um dos sistemas operativos mais populares no mercado, e como tal, é também o principal foco de interesse para quem desenvolver malware. Como é o mais usado, existe mais possibilidade de ser um dos alvos de malware.

E de acordo com os dados mais recentes, o número de malware criado especificamente para o Windows tem vindo a aumentar consideravelmente, atingindo novos recordes em 2022.

De acordo com um estudo realizado pela Atlas VPN, durante o ano de 2022 foram descobertos cerca de 59.58 milhões de novos malwares para Windows, o que corresponde a cerca de 95.6% de todo o malware descoberto durante este período. Isto engloba os dados também de malwares descobertos para outros sistemas, como Linux, Android e macOS.

Na segunda posição da lista encontra-se o Linux, com cerca de 1.76 milhões de novas amostras de malware durante o mesmo período, o que corresponde a 2.8% de todas as nova ameaças deste ano. O Android surge em seguida, com 938.379 novas amostras de malware, terminando a lista com o macOS e 8329 amostras.

Se tivermos em conta estes dados, todos os dias surgiram cerca de 228,164 novas variantes de malware no mercado. Isto demonstra também como os softwares de segurança necessitam de se adaptar constantemente a novas mudanças no mercado, para identificarem o melhor possível todas estas variantes de malware o quanto antes.

Obviamente, usar software de segurança ainda será uma das medidas mais eficazes para evitar muitas dores de cabeça, mas também é necessário ter alguns cuidados pessoais sobre a forma como se usar os sistemas e aplicações.

03/12/2022
ClamAV entra finalmente na versão 1.0, depois de 20 anos em desenvolvimento

O ClamAV pode não ser uma das suítes de segurança mais populares no mercado, sobretudo tendo em conta que é focado sobretudo para sistemas Linux e servidores. No entanto, o programa tem vindo a encontrar-se em desenvolvimento durante mais de vinte anos.

Encontra-se longe de ser um dos melhores antivírus no mercado, mas ao mesmo tempo também não o pretende ser, visto que se trata de uma solução leve e aberta para todos. E recentemente, este atingiu uma nova meta que se pode considerar histórica no seu desenvolvimento.

Depois de mais de 20 anos em desenvolvimento, o ClamAV atingiu agora a versão 1.0.0. Esta será apenas uma marca simbólica para o desenvolvimento do programa, mas sem duvida algo de relevo se tivermos em conta que demorou tanto tempo para ser atingido.

Tomasz Kojm, o criador original do ClamAV, lançou a primeira versão do programa a 8 de Maio de 2002, na altura na versão 0.10. Desde então, as versões tinham-se mantido dentro do 0.X, apenas agora passando finalmente para a versão “1”.

Apesar de o seu foco ser sobretudo para ambientes em Linux e como sistema de análise de conteúdos de emails, tendo em conta que se trata de uma plataforma aberta, o mesmo foi adaptado para praticamente todos os sistemas – incluindo para Windows. No entanto, este é bastante diferente dos softwares de segurança tradicionais, uma vez que apenas funciona sobre a linha de comandos e não possui componentes de verificação em tempo real.

O seu foco será sobretudo para ambientes Linux e de servidores, onde a sua utilização é consideravelmente superior. No entanto, mesmo não sendo o mais popular, este conta com ferramentas bastante avançadas de deteção de malware, algumas das quais nem se encontram em outras soluções voltadas para o ambiente Linux.

02/12/2022
Google acusa empresa espanhola de criar spyware para explorar falhas zero-day

A Google encontra-se a acusar uma empresa em Espanha de criar um spyware, focado em explorar falhas zero-day dos navegadores e sistemas maus usados atualmente no mercado.

A empresa Variston IT encontra-se a ser acusada pela Google de criar spyware focado para explorar falhas zero-day no Google Chrome, Mozilla Firefox e no Windows, sendo que as atividades da empresa neste sentido terão começado em Dezembro de 2018.

De acordo com os investigadores da Google Threat Analysis Group (TAG), a empresa usa as mais variadas técnicas para explorar falhas zero-day nos navegadores mais usados do mercado, juntamente com o Windows e Microsoft Defender, no sentido de instalar spyware que é depois usado para campanhas dedicadas para indivíduos específicos.

A Variston possui apenas um website básico na internet, que conta com algumas informações da empresa, e onde esta afirma fornecer serviços de informação e segurança para os seus clientes, bem como desenvolver patches de segurança específicos para software dos seus clientes.

Os investigadores acreditam que a empresa terá usado falhas zero-day, que foram corrigidas no final de 2021, para instalar malware nos dispositivos de várias vítimas focadas para espionagem. As vitimas apenas necessitavam, em muitos dos casos, de aceder a um site especialmente criado para atacar os seus dispositivos explorando estas falhas.

Os investigadores da Google afirmam que tiveram conhecimento das práticas da empresa espanhola depois de terem sido alertados por uma entidade anónima na plataforma da Google. Acredita-se que a ferramenta usada para a campanha de spyware terá sido descontinuada, tendo em conta que as falhas zero-day que as mesmas exploravam foram também corrigidas.

No entanto, os investigadores alertam que a empresa pode ter igualmente evoluído as suas ferramentas com o objetivo de explorar outro género de falhas zero-day nos sistemas.

02/12/2022
Certificados comprometidos de várias empresas usados para assinar aplicações maliciosas

Nos últimos dias, várias aplicações maliciosas contendo assinaturas de várias fabricantes OEM no ecossistema do Android foram descobertas. Estas aplicações foram assinadas digitalmente com certificados que eram pertencentes a entidades credíveis no mercado.

Todos os fabricantes de dispositivos Android usam certificados específicos para as imagens de ROM dos seus dispositivos. Isto aplica-se também às aplicações, que no caso de apps oficiais, algumas podem necessitar de ter acesso ao sistema para certas tarefas – e a assinatura dessas aplicações com o mesmo certificado que o existente na ROM permite o acesso.

No entanto, de acordo com o investigador de segurança da Google, Łukasz Siewierski, foram recentemente descobertas várias aplicações maliciosas que se encontram a usar os certificados de várias entidades OEM reconhecidas para as suas apps. Ou seja, se estas aplicações forem instaladas em dispositivos que tenham certificados válidos, podem obter acesso elevado dentro do sistema – com capacidade de aceder a dados e permissões dos mais elevados que existem dentro do Android.

Os certificados em questão dizem respeito às entidades Samsung Electronics, LG Electronics, Revoview e MediaTek. Se estas aplicações chegam a ser instaladas em sistemas onde os certificados sejam aceites e reconhecidos, estas podem obter acesso administrativo ao mesmo e proceder ao roubo de informações sensíveis.

De notar que estes certificados tendem a ser privados. Ou seja, apenas as empresas controlam os mesmos, e em nenhum momento deveriam ficar disponíveis publicamente – exatamente para prevenir casos como estes de abuso por malware. No entanto, por alguma razão, os certificados das entidades listadas acabaram por ser expostos publicamente.

As entidades afetadas foram recomendadas a criarem novos certificados para as suas imagens e aplicações, no entanto o processo de distribuir os mesmos ainda pode demorar bastante tempo, se é que chega a todos os dispositivos, tendo em conta que muitos smartphones onde os certificados se encontram já não são suportados.

Do lado da Google, a empresa afirma ter reforçado o sistema de validação de aplicações do Google Play Protect, para garantir que os certificados não são usados para fins maliciosos em dispositivos onde este sistema esteja ativo. O sistema de avaliação de imagens ROM do Build Test Suíte também foi atualizado para integrar a lista de certificados comprometidos.

De notar que, para já, não existem relatos de que as aplicações maliciosas ou os certificados tenham sido usados em apps que foram disponibilizadas pela Google Play Store. A maioria das apps foram distribuídas por sites de terceiros ou lojas externas da Google.

02/12/2022
Malware para Android roubava contas do Facebook desde 2018

A abertura do Android e do seu ecossistema permite também que o mesmo seja usado para algumas campanhas de malware em larga escala, algumas das quais podem durar anos antes de serem identificadas.

É o recente exemplo que foi descoberto pela empresa de segurança Zimperium, a qual recentemente descobriu uma campanha de malware para dispositivos Android que terá estado em operação desde 2018.

A campanha acredita-se que tenha infetado mais de 300.000 dispositivos em mais de 71 países, incluindo em Portugal.

A campanha distribuía-se sobre aplicações dos mais variados formatos, a grande maioria oferecida em sites externos da Play Store da Google. Uma vez instalada nos dispositivos, esta poderia roubar dados de login para diversas contas sociais, com foco para contas do Facebook.

O esquema começava quando a app questionava para os utilizadores realizarem o login usando as suas contas do Facebook, no que seria uma falsa janela que, caso os dados fossem introduzidos, enviada os mesmos para os servidores em controlo dos atacantes.

Os utilizadores poderiam nem se aperceber que as apps tinham roubado as contas, uma vez que o funcionamento das mesmas continuava na normalidade. No entanto, em segundo plano, os dados teriam sido enviados para os servidores dos atacantes e usados para os mais variados esquemas.

O malware responsável por roubar e enviar os dados remotamente estaria escondido sobre o código da aplicação, e oculto o melhor possível para evitar a deteção de softwares de segurança.

Tendo em conta os dados de telemetria do malware, acredita-se que o mesmo tenha sido instalado em mais de 300.000 dispositivos espalhados por quase todo o mundo, com foco sobretudo para dispositivos no Vietname. Foram ainda descobertas 37 apps diferentes contendo o malware, possivelmente para abranger um maior leque de possíveis utilizadores.

01/12/2022
Aplicações de empréstimos para iOS e Android abusam das vitimas para pagamentos

As principais lojas de aplicações para Android e iOS contam com regras especificas relativamente a apps consideradas como malware, mas ainda possuem algumas linhas ténues sobre determinados conteúdos que existem nas apps. Um deles será sobre aplicações que prometem empréstimos financeiros.

Este género de aplicações focam-se sobretudo a utilizadores em países em desenvolvimento, onde existe uma maior possibilidade de existirem interessados em realizar empréstimos pelos mesmos. No entanto, a grande maioria oferece empréstimos sobre termos consideravelmente apertados, e que podem mesmo ser considerados de extorsão.

De acordo com um estudo realizado pela empresa Lookout, cerca de 280 aplicações para Android e iOS, disponíveis nas respetivas lojas das duas plataformas, estão a usar esquemas de extorsão e assédio para quem realize empréstimos, usando para tal termos confusos ou enganadores.

As vitimas podem acreditar estar a realizar um empréstimo com bons termos, quando na realidade se encontram a realizar a aceitação de termos que podem ser considerados abusivos, escondidos sobre termos confusos.

Este género de aplicações estão na linha das regras das duas plataformas de distribuição de apps, mas a grande maioria viola estes termos. Felizmente, neste caso em particular, as apps identificadas foram removidas depois da Google e da Apple terem sido notificadas.

O mais grave será que as próprias aplicações podem ser usadas para extorsão, uma vez que requerem permissões invasivas – como a leitura de mensagens SMS ou de contactos – e caso as vítimas não cumpram os termos, a app recolhe dados sensíveis que são depois usados para extorsão das mesmas. As apps enviam mesmo fotos e vídeos que sejam gravados dos dispositivos para sistemas remotos, que depois serão usados pelas empresas de empréstimos para as tentativas de abuso.

Nos comentários de algumas das apps, os utilizardes afirmam que a extorsão pode começar ainda antes mesmo do final da data de pagamento. Num dos exemplos, um utilizador afirma ter recebido uma mensagem da entidade antes da data prevista para o pagamento, alertado que, caso o mesmo não realiza-se o pagamento em 30 minutos, conteúdos privados do mesmo iriam ser enviados para os seus familiares.

De notar que a Apple e a Google permitem aplicações que facilitem o acesso a empréstimos nas suas plataformas, mas estas contam com regras apertadas de controlo.

01/12/2022
Browserling: Uma forma segura de aceder a links desconhecidos

Quantas vezes já teve algum receio de abrir um link que desconhecia no navegador? É sem dúvida uma boa prática evitar carregar em todos os links que aparecem, sobretudo de fontes desconhecidas como mensagens de email.

Esse simples ato pode ser o suficiente para descarregar malware ou realizar atividades nefastas no sistema. Portanto, o melhor na dúvida será evitar carregar.

No entanto, se realmente pretende analisar o que existe por “detrás” de um link, existe uma alternativa mais simples: o BrowserLing.

Este pequeno serviço online possui um funcionamento simples, mas útil, permitindo que os utilizadores possam abrir links num ambiente seguro, sem afetar o sistema onde se encontram. O mesmo permite que o conteúdo dos links seja aberto sobre uma máquina remota, e transmitido em tempo quase real para os utilizadores finais.

Basicamente, os utilizadores vão abrir o link sobre um sistema remoto, totalmente separado dos seus computadores, e onde podem assim testar a analisar o conteúdo do link de forma segura. Se, eventualmente, o mesmo levar a algum género de esquema ou malware, tudo fica na máquina remota do serviço e não no seu PC.

O melhor é que a sessão é totalmente interativa, portanto os utilizadores podem navegar pelos links do site e abrir outros, ou verificar melhor o que é realmente descarregado/usado.

A versão gratuita será algo limitada, mas é mais do que suficiente para testes rápidos (limitado apenas ao Windows 7 e algumas das funcionalidades encontram-se indisponíveis).

Se costuma aceder a links desconhecidos pela internet, esta será uma excelente ferramenta a incluir para garantir a sua segurança.

01/12/2022
Utilizadores estão a receber mais emails maliciosos do que nunca

Qualquer utilizador com uma conta de email certamente que já recebeu mensagens que não foram solicitadas. A maioria deve acabar no spam, mas existem muitas que conseguem escapar dos filtros, chegando à caixa de entrada.

E se tem vindo a notar um aumento neste género de mensagens, não será o único. Um recente estudo realizado pela empresa Hornet Security indica que existe cada vez mais conteúdo de spam em mensagens de email, enviado sem ser solicitado.

O estudo teve como base a análise de quase 25 mil milhões de emails, sendo que aproximadamente 40% dos mesmos estariam a ser considerados como “não solicitados”. Isto corresponde a mensagens que foram enviadas de forma automática, sem permissão, mas também a mensagens de phishing ou esquemas diversos.

O número de mensagens usadas para fraudes e ataques tem vindo também a aumentar. Cerca de 12.5% das mensagens não solicitadas continham links que direcionavam os utilizadores para sites de malware ou de esquemas online. No entanto, os anexos continuam a ser um dos métodos favoritos de iniciar este género de spam.

Dos emails analisados, e correspondentes ao spam, cerca de 28% usavam arquivos comprimidos em ZIP para distribuir conteúdo malicioso. 21% adotavam ficheiros HTML diretamente, e 12.7% ficheiros do Word – na maioria com macros maliciosas. Cerca de 12.4% encontravam-se em ficheiros PDF e 10.4% em ficheiros do Excel.

Como sempre, a principal linha de defesa parte dos próprios utilizadores. É necessário existir conhecimento sobre o que pode ser considerado um esquema ou conteúdo malicioso e uma mensagem potencialmente legitima. Isto continua a ser um dos principais problemas que, em muitos casos, leva ao roubo de dados ou a pagamentos fraudulentos em fraudes.

29/11/2022
Falsa aplicação de SMS na Google Play Store usada para criar contas falsas

De tempos a tempos surgem na Google Play Store apps que conseguem contornar as medidas de proteção da empresa, integrando malware que fica disponível para potenciais vitimas na plataforma.

É o recente exemplo de uma app que foi descoberta na plataforma. De acordo com a descoberta do investigador de segurança Maxime Ingrao, uma falsa aplicação de SMS na Play Store, sobre o nome de “Symoo” e com mais de 100.000 downloads, estaria a usar os dispositivos dos utilizadores para atividades maliciosas pela internet.

Segundo o investigador, a aplicação era usada para ajudar na criação de falsas contas online, nomeadamente como forma de validar as mesmas com números de telefone reais. A app usava o cartão SIM dos utilizadores como “números virtuais”, que eram depois usados para a criação de contas falsas em várias plataformas – Microsoft, Google, Facebook, Instagram e outras.

O número era usado como forma de validação, onde a app recebia a SMS de validação dessas plataformas, enviando o código para o gestor do esquema.

Apesar de a aplicação realmente funcionar como um leitor de mensagens SMS, vários utilizadores reportavam comportamentos estranhos da mesma. Uma das reviews deixadas na app indicava que o utilizador tinha começado a receber códigos de autenticação para serviços que nunca tinha usado.

Apesar da descoberta, e de a Google ter sido notificada, a app ainda se encontra atualmente disponível na Google Play Store, com o potencial de afetar novos utilizadores. Caso tenha esta aplicação instalada no seu dispositivo, o recomendado será que remova de imediato a mesma.

28/11/2022
Trend do TikTok usada para espalhar malware

Uma nova trend no TikTok está a ser agora aproveitada por criminosos para distribuírem malware para potenciais vítimas, com o objetivo de roubarem informações privadas.

A trend é conhecida no TikTok como “Invisible Challenge”, e leva as potenciais vitimas a descarregarem malware para os seus dispositivos, com o objetivo de roubar dados de login em diferentes plataformas – como o Discord e outras senhas guardadas – ou para roubar carteiras de criptomoedas.

A trend começa com a gravação do corpo em formato nu, mas usando o filtro “Invisible Body”, que substitui as áreas do corpo por outras do fundo onde o utilizador se encontre. Isto leva muitos criadores a enviarem vídeos onde se encontram a ser filmados aparentemente com o corpo exposto.

O esquema encontra-se em contas que, aproveitando a tendência, estão a oferecer serviços ou programas que prometem “remover” este filtro, e apresentar a gravação original sem o mesmo. Obviamente, a promessa não é verdadeira, já que o filtro não pode ser simplesmente removido, mas a ideia pode levar alguns utilizadores a serem enganados para descarregar malware para os seus dispositivos.

Como a procura é elevada, e a trend é feita por muitos utilizadores famosos na plataforma, a procura por meios de contornar o filtro é também elevada. Os criminosos aproveitam isso para espalharem o malware nos mais variados formatos.

Alguns dos vídeos a oferecerem estes “serviços” arrecadavam milhares de visualizações, e direcionavam as potenciais vitimas para sites onde o serviço era oferecido. No final, se o processo fosse realizado, as vitimas descarregavam malware para os seus sistemas que levava ao roubo de dados sensíveis e senhas.

Algum do malware estaria a ser distribuído em canais do Discord criados para a alegada oferta, com os ficheiros finais a estarem alojados em diferentes plataformas web. Apesar de algumas das contas que estariam a propagar o malware pelo TikTok terem sido, entretanto, removidas, isso não invalida que o esquema ainda possa estar a ser realizado sobre mais bots e contas falsas.

Como sempre, é importante ter em atenção qualquer mensagem suspeita que prometa remover filtros do TikTok – ou de qualquer outra plataforma. Muitas vezes essa promessa é usada para ações inofensivas – como levar os utilizadores a partilharem os vídeos – mas também o podem ser para ações prejudiciais e com consequências reais.

28/11/2022
Windows 11 possui um alerta de webcam escondido: veja como ativar

A maioria dos computadores portáteis atualmente contam com uma webcam integrada – e até mesmo muitos computadores fixos, sobretudo depois da pandemia e do trabalho remoto. Apesar de algumas destas webcams contarem com indicadores físicos de atividade – normalmente um LED – nem todas possuem essa capacidade.

Existe sempre o risco de que as câmaras podem ser ativadas, seja por malware ou ataques diretos. No entanto, existe agora uma funcionalidade escondida no Windows 11 que pode ajudar a garantir um pouco mais de privacidade.

As versões recentes do Windows 11 contam com uma nova funcionalidade de privacidade, que apresenta uma notificação sempre que a webcam é ativada.

A funcionalidade ainda não se encontra disponível por padrão, e parece estar em testes sobre as recentes versões do Windows, mas será certamente uma boa adição para quem pretenda mais privacidade sobre os seus sistemas.

Para ativar a mesma, tudo o que necessita de fazer é:

1- Aceder ao Editor de Registo do Windows, pesquisando no menu inicial por “regedit“.

2- Dentro do Editor de Registo, aceder a “HKEY_LOCAL_MACHINESOFTWAREMicrosoftOEMDeviceCapture“.

3- Localizar o valor “NoPhysicalCameraLED” e abrir o mesmo. Caso este não exista, deve ser criado como um valor DWORD.

4- Alterar o valor de 0 para 1.

5- Reiniciar o computador

Feito isso, o sistema deve agora apresentar uma pequena notificação sempre que a webcam for ativada.

28/11/2022
Macrium Reflect Free vai deixar de receber suporte no Windows

A empresa Macrium Software, criadores do popular programa de backup Macrium Reflect, revelou que vai deixar de suportar a versão gratuita do mesmo.

Numa mensagem enviada para os clientes da empresa, e posteriormente colocada sobre o seu site, é indicado que o programa vai entrar em modo de fim de vida, onde apenas serão lançadas atualizações para bugs graves de segurança.

A última versão do programa atualmente disponível será a v8, a qual a empresa afirma que vai ser também a última a receber suporte oficial. Patches de segurança vão continuar a ser lançados até, pelo menos, 1 de Janeiro de 2024, mas as futuras versões do Windows não vão ser oficialmente suportadas.

Ao mesmo tempo, também não se espera que novas funcionalidades venham a ser fornecidas com futuras atualizações. Basicamente, o programa vai entrar em formato de apenas receber atualizações de segurança.

De relembrar que o Reflect 8 Free permitia aos utilizadores realizarem rapidamente o backup dos seus sistemas, através de imagens do mesmo, bem como do restauro de conteúdos. Este era capaz de corrigir erros e problemas relacionados com bugs ou malware nos sistemas, através da criação de uma imagem exata do mesmo antes dos problemas.

28/11/2022
Dados de cartões de crédito estão cada vez mais na mira dos atacantes

De tempos a tempos surgem campanhas de malware focadas para os mais variados fins, mas uma recente que tem vindo a propagar-se em força foca-se em roubar dados de cartões de crédito.

Segundo os investigadores da empresa de segurança Group-IB, nos últimos tempos os grupos de hackers tendem a focar-se mais em obter dados de cartões de crédito, criando campanhas para tal que tentam afetar os utilizadores de grandes plataformas – com destaque para utilizadores da Amazon, PayPal, Roblox e Steam.

A grande maioria das campanhas propagam-se através de esquemas de phishing, diretamente enviados para potenciais vitimas, e onde estas são enganadas a fornecerem dados de pagamento em plataformas falsas das entidades visadas.

No entanto, o roubo pode também acontecer através de malware que esteja instalado nos dispositivos dos utilizadores – ou pelo simples e antiquado método de “tentativa e erro”, usando senhas reconhecidas para tentarem aceder a contas de potenciais vitimas.

Os investigadores apontam que, apesar de a maioria dos grupos de hackers focarem-se em usar apenas um esquema para obterem os dados, de forma a facilitar toda a operação, existem alguns que optam por diversificar os meios de ataque, de forma a tentarem chegar a ainda mais vitimas.

O mais grave deste género de campanhas será que as mesmas não se focam apenas para utilizadores específicos, mas sim para “toda” a internet em geral. Desde que as vítimas tenham potencial interesse para os atacantes – que neste caso será dinheiro na conta – poderão ser alvos.

A Amazon e o PayPal continuam a ser as principais plataformas de interesse para os atacantes. No entanto, tem vindo a ser verificado um aumento também sobre plataformas de comunidades gaming, como é o caso do Roblox, Steam, Epic Games Store, entre outras.

Como sempre, uma das primeiras linhas de defesa parte dos próprios utilizadores, que devem ter cuidado sobre os conteúdos que acedem online, além de terem práticas de segurança consideradas – nos dias de hoje – como essenciais.

27/11/2022