Categoria: malware

Tenha cuidado com as versões maliciosas do MSI Afterburner

Os utilizadores do Windows que usam o programa MSI Afterburner estão a ser o mais recente alvo de uma nova campanha de malware, que tenta aproveitar este programa para enganar as vítimas.

O MSI Afterburner é um reconhecido programa de configuração das placas gráficas e de overclock. Este é bastante usado dentro da comunidade gamer e por entusiastas que pretendam tirar o máximo de proveito do hardware.

Apesar de ser criado pela MSI, o programa pode ser usado em praticamente qualquer gráfica no mercado, incluindo de diferentes fabricantes.

No entanto, esta ferramenta encontra-se agora a ser o alvo de uma nova campanha que pretende levar ao engano os utilizadores que pesquisam pela mesma. De acordo com a empresa de segurança Cyble, foi recentemente descoberta uma campanha com mais de 50 websites que tentam imitar o site oficial do MSI Afterburner, mas fornecem uma versão modificada e maliciosa do programa.

Segundo os investigadores, estas versões encontram-se modificadas para conterem software de mineração, que usa os recursos do sistema para minerar criptomoedas, enviando as mesmas para as carteiras dos atacantes. Além disso, integra-se ainda malware que pretende roubar dados de login presentes no sistema.

A campanha já terá estado ativa faz mais de três meses, e atualmente distribui-se sobretudo sobre publicidade maliciosa do Google, usando campanhas especificas para termos quando os utilizadores procuram pelo nome do software.

Apesar das atividades maliciosas, os investigadores alertam que o índice de deteção dos ficheiros de instalação modificados é relativamente baixo. Na plataforma do VirusTotal, os programas de instalação maliciosos são detetados por menos de três programas dos 56 existentes.

De relembrar que o único site oficial onde o programa se encontra disponível é o site oficial da MSI.

24/11/2022
Aplicações com malware Sharkbot descobertas na Google Play Store

De tempos a tempos surgem na Google Play Store variantes maliciosas das mais variadas aplicações, e uma das mais exploradas são os Gestores de ficheiros para Android. Recentemente foi descoberta mais uma campanha, que usa este género de aplicações para levar à infeção com o malware Sharkbot.

De acordo com os investigadores da empresa de segurança Bitdefender, foi recentemente descoberta uma nova campanha na Play Store que estaria a ser usada para distribuir o malware Sharkbot.

Este malware é bem conhecido por ser usado para roubar dados de login associados com entidades bancárias, apresentando uma falsa página de login quando os utilizadores tentam aceder às suas contas do banco online.

A campanha estaria a ser propagada sobre diferentes aplicações, a sua maioria falsos gestores de ficheiros para Android. Uma das aplicações mais populares era conhecida como “X-File Manager”, tendo sido desenvolvida pelo programador Victor Soft Ice LLC (com.victorsoftice.llc), e teria mais de 10.000 downloads na plataforma.

Os atacantes conseguem contornar as medidas de segurança da Google uma vez que, invés de enviarem o malware diretamente para a plataforma, apenas o descarregam depois de um período de tempo. As versões iniciais na plataforma são consideradas “seguras”, sendo que o malware apenas é descarregado depois de a app ser instalada no sistema – e uns dias mais tarde.

O malware aplica ainda várias técnicas para evitar a deteção, além de se ativar apenas para utilizadores com cartões SIM no Reino Unido e Itália – embora as apps maliciosas possam ser usadas para outros fins em mais países.

Outra aplicação descoberta sobre o mesmo formato passava-se pelo nome de “FileVoyager”, e terá sido descarregada mais de 5.000 vezes da Play Store antes de ser removida – depois de identificada pelos investigadores.

É importante relembrar que os utilizadores devem ter atenção aos downloads que realizam para os seus dispositivos, incluindo de apps que podem aparentar vir de fontes fidedignas como a Play Store.

23/11/2022
Extensão maliciosa do Chrome roubava dados e criptomoedas dos utilizadores

As extensões do Google Chrome são uma funcionalidade poderosa para ser usada como adição ao navegador, mas ao mesmo tempo também podem ser a porta de entrada para os mais variados ataques. E recentemente, foi descoberta uma nova extensão que estaria a realizar exatamente isso.

Os investigadores da empresa de segurança Avast revelaram ter descoberto uma nova extensão para Chrome, apelidada de “VenomSoftX”, que quando instalada pode deixar o sistema das vítimas sobre risco.

A extensão teria como objetivo levar ao roubo de dados das vítimas, nomeadamente de dados de login e de carteiras de criptomoedas que pudessem ser acedidas pelo navegador.

A empresa de segurança afirma ter identificado a instalação da extensão em mais de 93.000 sistemas, a grande maioria nos EUA, Brasil e Índia. No entanto, o mapa de infeções também indica uma quantidade considerável para utilizadores em Portugal.

O ViperSoftX era distribuído sobretudo por conteúdos maliciosos na internet, como ativadores de jogos e cracks de programas online. Uma vez instalado no sistema, este era ativado como uma extensão no navegador do Chrome, procedendo ao roubo de dados.

Os investigadores afirmam que o malware terá roubado mais de 130.000 dólares em criptomoedas das carteiras digitais das vitimas, tendo em conta as carteiras que se encontravam referidas no código do malware para envio dos fundos.

Para evitar a deteção, o malware instalava-se como uma extensão sobre o nome de “Google Sheets 2.1”, onde a maioria dos utilizadores iria pensar que se tratava de uma atualização para a versão legitima da Google.

Quando a extensão identificava que os utilizadores estavam a enviar criptomoedas para uma carteira, esta alterava o conteúdo do formulário de envio ou da área de transferência para integrar uma carteira em controlo dos atacantes. A extensão tinha ainda a capacidade de modificar alguns websites para apresentarem incorretamente a carteira dos atacantes, invés de carteiras legitimas que os utilizadores poderiam estar a enviar pagamentos.

Como sempre, é recomendado que os utilizadores verifiquem as definições do navegador, para identificar qualquer potencial extensão que seja desconhecida e esteja instalada no mesmo.

23/11/2022
Google identifica 34 versões maliciosas do Cobalt Strike

Os investigadores da Google Cloud confirmaram, durante a semana passada, ter identificado mais de 34 variantes diferentes da ferramenta Cobalt Strike modificada maliciosamente, a qual estaria a ser aproveitada para os mais variados ataques. A mais antiga teria sido desenvolvida e Novembro de 2012, e ainda se mantém ativa nos dias de hoje.

Segundo a Google Cloud Threat Intelligence (GCTI), as versões do malware estão distribuídas entre a 1.44 e a 4.7, sendo que a mais recente atualmente disponível é a 4.7.2. De relembrar que a Cobalt Strike é uma ferramenta desenvolvida pela empresa Fortra, e usada como forma de simular ataques contra diferentes plataformas – como forma de testar a segurança.

No entanto, de acordo com os investigadores, existem pela internet versões modificadas desta ferramenta, as quais integram malware para os mais variados fins. Segundo os investigadores da Google, apesar de a ferramenta ter certamente um ponto positivo para análise de segurança de redes, os criminosos começaram a usar a mesma também para distribuir os seus próprios ataques, usando a simulação como pretexto para tal.

A equipa da Google lançou ainda um conjunto de regras de segurança open-source YARA, que podem ajudar os administradores de redes a identificar possíveis ataques usando estas ferramentas.

21/11/2022
Novo ransomware foca-se em utilizadores com contas do Discord

Os utilizadores do Discord devem ficar atentos a um novo malware que tem vindo a propagar-se em força sobre a plataforma. Apelidado de “AXLocker”, este novo malware é capaz não apenas de encriptar os ficheiros do sistema onde seja instalado (ransomware), mas também de roubar os dados do Discord no processo.

Os utilizadores que tenham o Discord instalado nos seus sistemas usam uma versão do cliente que apenas guarda o token de acesso à conta. Ou seja, os dados de acesso apenas são usados no primeiro pedido feito no login do Discord, sendo que depois disso, a informação guardada é um token – que permite realizar os pedidos para a conta dos utilizadores invés de se enviar a senha.

De acordo com os investigadores da empresa de segurança Cyble, foi recentemente descoberto um novo malware que, além de agir como ransomware para o sistema dos utilizadores, acaba também por se focar em roubar dados de login no Discord, mais concretamente o token usado para o acesso.

Na parte do ransomware, não existe muita diferença para qualquer outro ransomware similar: o programa avalia as extensões de ficheiros e bloqueia os mesmos, exigindo aos utilizadores o pagamento para reaverem o acesso aos mesmos. No entanto, é nas particularidades deste ransomware que existe a diferença.

Durante a encriptação dos ficheiros, o mesmo tenta recuperar o token do Discord em particular – caso a aplicação esteja instalada no sistema – enviando os dados para os sistemas dos criminosos. O ransomware é capaz de procurar este token sobre diferentes locais, seja nos tradicionais usados pela aplicação oficial do Discord ou também nos dados guardados por navegadores como o Chrome, Brave, Opera e Yandex.

O ransomware foca-se sobretudo para utilizadores individuais, e não propriamente empresas, e sobretudo para utilizadores que façam uso do Discord em algum formato. Uma vez com acesso às contas do Discord, os criminosos podem proceder ao envio de spam ou de links maliciosos para os amigos na conta.

20/11/2022
Novo malware explora falha zero-day sobre o Windows

Uma nova campanha de phishing encontra-se a usar uma vulnerabilidade zero-day sobre o Windows para levar a cabo as suas atividades maliciosas. A campanha leva a que os utilizadores possam instalar o malware Qbot nos seus sistemas.

Por norma, quando os utilizadores descarregam um conteúdo desconhecido da internet, o Windows marca esse ficheiro com uma configuração conhecida como “Mark of the Web (MoTW)”. Este pequeno atributo indica ao Windows que o ficheiro foi descarregado de uma fonte externa, e portanto, deve ser considerado como “desconhecido”.

Isto é o que permite ao sistema apresentar uma pequena janela para os utilizadores, a questionar se os mesmos pretendem que o ficheiro seja realmente aberto – juntamente com uma indicação de que o mesmo foi originário de fontes desconhecidas e pode conter malware.

No entanto, investigadores de segurança da empresa ANALYGENCE revelaram recentemente terem descoberto uma nova campanha de malware, onde os atacantes conseguem contornar este sistema explorando uma falha zero-day do Windows. Quando explorada, os ficheiros descarregados da Internet podem contornar a proteção MoTW, o que basicamente permite que os mesmos sejam executados sem qualquer género de alerta, e contornando proteções como o Microsoft SmartScreen.

Com isto, o Windows permite que os ficheiros sejam diretamente executados, levando à instalação do malware.

A campanha usa ficheiros javascript para distribuir o conteúdo malicioso, sendo estes ficheiros executados diretamente no sistema pelo Windows Script Host (wscript.exe). No entanto, estes ficheiros eram normalmente distribuídos por ficheiros de imagem .ISO, os quais ignoravam os atributos do MoTW quando extraídos para o sistema.

Os criminosos estariam a aproveitar isso para levar à execução dos ficheiros sem o alerta tradicional do Windows. A Microsoft terá corrigido entretanto este problema com a recente atualização do Patch Tuesday, embora a principal recomendação ainda seja que os utilizadores tenham cuidado sobre onde descarregam os ficheiros e a origem dos mesmos.

20/11/2022
Pesquisas da Google adulteradas com ferramenta da própria empresa

Foi recentemente descoberta uma nova forma como grupos de atacantes encontram-se a explorar um serviço da Google, para infetarem os resultados de pesquisas com conteúdos maliciosos.

Usando a ferramenta Looker Studio (anteriormente conhecida como Google Data Studio), os atacantes podem garantir resultados em boas posições na pesquisa da Google, suando o domínio da própria ferramenta – datastudio.google.com. Estes resultados reencaminham os utilizadores para sites de spam e malware em domínios maliciosos de terceiros.

De acordo com o portal BleepingComputer, os atacantes encontram-se a usar a ferramenta para distribuir falsos “sites” criados sobre a mesma, que surgem como plataformas para downloads de torrents, mas que acabam por redirecionar os utilizadores para diversos sites com conteúdo de spam.

Os links estão a alojar diretamente conteúdo potencialmente malicioso ou ilegal, mas como se encontram sobre um domínio da Google – datastudio.google.com – acabam por surgir nas pesquisas com boas posições nos resultados.

Uma vez que fazem parte de uma ferramenta aparentemente legitima, a Google também não poderá simplesmente remover este domínio da pesquisa, visto que teria impacto para outros utilizadores que fazem uso da mesma para fins legítimos.

Até ao momento a Google não confirmou detalhes sobre como espera resolver este problema. No entanto, se estiver à procura de algo pela internet e acabe por aceder a um site aparentemente da Google, talvez seja melhor ter atenção ao que está realmente a aceder.

18/11/2022
Ransomware ARCrypter expande operações para todo o mundo

Um ransomware até agora relativamente pouco conhecido encontra-se a alargar as suas operações a nível global. Conhecido como “ARCrypter”, este novo ransomware tinha mantido uma operação bastante pequena, focada sobretudo em empresas na América Latina.

No entanto, parece que os gestores do mesmo estão agora a começar a alargar as suas operações, com o objetivo de se focaram em empresas a nível global. Este ransomware é conhecido por afetar tanto sistemas Linux como Windows, sendo que encripta os ficheiros sobre a extensão .crypt.

Investigadores da empresa BlackBerry confirmaram que o grupo do ARCrypter encontra-se agora a expandir as suas operações para fora da América Latina, com o objetivo de afetar entidades noutros países – e recentemente já terão realizado alguns ataques a empresas no Canadá.

A maioria dos pedidos deste ransomware são de valores relativamente pequenos, em torno dos 5000 dólares – que comparativamente a outro ransomware no mercado pode ser considerado um valor “pequeno”.

Os primeiros sinais da existência deste ransomware começaram a surgir em Agosto de 2022, pelo que é um malware relativamente recente. A maioria distribui-se sobre ataques de phishing e sites com conteúdos maliciosos para download.

18/11/2022
Aplicação na Google Play Store estava a roubar dados bancários das vítimas

De tempos a tempos surgem algumas aplicações na Google Play Store que conseguem contornar as medidas de proteção da empresa, começando a distribuir malware para quem instale as mesmas.

Foi exatamente esse o caso para uma nova aplicação, descoberta pelos investigadores da empresa de segurança Zscaler ThreatLabz. De acordo com os mesmos, foram recentemente descobertas mais de 50 aplicações na Play Store que continham um malware conhecido como “Xenomorph”.

As aplicações mascaravam-se de apps úteis para o dia a dia dos utilizadores, como gestores de tarefas diárias ou blocos de notas, mas em segundo plano continham o malware, que tinha como foco roubar dados associados às contas bancárias das vítimas.

Segundo os investigadores, o malware foca-se em apps bancárias de diversos países, e tenta recolher os dados de login nas mesmas, ou dados que possam permitir aos atacantes aceder aos fundos.

Além disso, o malware pode ainda ver e obter os conteúdos de notificações e mensagens SMS, possivelmente para obter dados de autenticação que possam ser necessários para as tarefas bancárias – e que muitas vezes são enviados via SMS.

Uma das aplicações que foi descoberta tinha o nome de “Todo: Day Manager”, e aparentava tratar-se de uma simples app de gestão de tarefas do dia. A mesma até funcionava como seria de esperar, mas em segundo plano realizava o roubo dos dados. As vitimas podem nem se aperceber que foram afetadas até ser demasiado tarde.

Apesar de a Play Store ainda continuar a ser um dos locais mais seguros para instalar aplicações no Android, ao mesmo tempo os utilizadores devem ter atenção a qualquer aplicação nova ou pouco usada, bem como dos comentários de outros utilizadores deixados no serviço.

16/11/2022
Descoberto novo malware com foco para ataques a servidores de jogos online

Vários investigadores de segurança encontram-se a alertar para um novo malware, que nos últimos tempos tem vindo a propagar-se em força pela internet. Apelidado de RapperBot, este malware pretende criar uma rede botnet com foco em atacar servidores de jogos online.

De acordo com a empresa de segurança Fortinet, o RapperBot trata-se de um malware que possui como objetivo tentar criar uma rede botnet, usada para depois realizar ataques a sistemas de jogos online, através de tentativas de login brute-force em SSH.

O malware, uma vez instalado no sistema, pode receber comando de fontes externas para realizar os mais variados ataques, mas o foco para já parece ser enviar comandos de login para servidores de jogos online, via SSH, na tentativa de entrar e tomar controlo dos mesmos.

Este malware começou a propagar-se pela internet em Agosto deste ano, sendo que o seu código encontra-se associado com o botnet Mirai, que teve o seu código fonte revelado em Outubro de 2016. Desde então, variantes do mesmo foram sendo descobertas, e o RapperBot parece ser um desses casos.

De notar que, apesar do RapperBot focar-se em ataques de brute-force, o mesmo possui também a capacidade de usar a rede botnet para lançar ataques DDoS contra os sistemas afetados usando um protocolo conhecido como Generic Routing Encapsulation (GRE), que é consideravelmente mais difícil de bloquear pelos sistemas de proteção DDoS tradicionais.

Nos casos em que um ataque de brute-force seja bem-sucedido, os dados de login são depois enviados para um servidor em controlo dos atacantes.

16/11/2022
VLC volta a ficar disponível na Índia depois de bloqueio durante nove meses

Depois de meses, o governo indiano encontra-se finalmente a levantar o bloqueio aplicado sobre o VLC. De relembrar que faz quase nove meses que o programa de conteúdos multimédia foi subitamente bloqueado na internet do pais, impedindo os utilizadores de descarregarem o mesmo.

O mês passado, a VideoLAN, entidade responsável pela aplicação, levou a questão para junto dos tribunais, exigindo informações sobre o motivo pelo qual o download do programa estaria bloqueado em várias das operadoras locais.

De acordo com a entidade Internet Freedom Foundation, citada pelo portal TechCrunch, este bloqueio terá agora sido levantado, com os utilizadores na China a serem novamente capazes de descarregarem a aplicação e de acederem ao site oficial da mesma. No entanto, a explicação exata sobre o motivo que levou ao bloqueio ainda não terá sido fornecida.

De relembrar que os bloqueios começaram a ser aplicados por parte de várias operadoras locais em Fevereiro deste ano, onde subitamente o site e os links de download da aplicação deixaram de se encontrar acessíveis a partir da Índia. Praticamente do dia para a noite, a VideoLAN confirmou uma queda de 80% no tráfego originário da Índia.

Apesar de não ter sido deixada nenhuma indicação sobre o motivo pelo qual a aplicação terá sido bloqueada, algumas fontes apontam que poderia estar relacionado com um ataque de um grupo de hackers, que estariam a usar o VLC como meio para distribuir malware nos sistemas – mesmo que a aplicação não fosse diretamente responsável pelo malware, e estivesse apenas a ser usada como pretexto para levar à instalação do mesmo nos sistemas.

14/11/2022
Mais de 15.000 sites WordPress comprometidos em recente campanha

Foi recentemente descoberta uma nova campanha de malware, focada para sites baseados em WordPress, e que se acredita poder ter afetado mais de 15.000 websites baseados neste script ao longo dos meses.

O objetivo do malware aparenta ser redirecionar as visitas dos sites infetados para outro género de plataformas, com o objetivo de levar a um aumento de SEO nas mesmas. O site para o qual os utilizadores são redirecionados fornece um conjunto de questões e respostas rápidas, sendo que em todos os casos o alvo final aparenta ser uma prática de black SEO.

De acordo com a empresa de segurança Sucuri, um detalhe particular desta campanha encontra-se no facto que o atacante, tendo acesso ao site das vitimas, procede com a modificação de centenas de ficheiros dentro do mesmo, para evitar que seja simples de remover o conteúdo malicioso. Vários ficheiros fundamentais do WordPress são modificados para conterem código malicioso que vai levar aos redirecionamentos. Isto inclui ficheiros como o wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php, e wp-blog-header.php.

De notar que o código do malware verifica se os visitantes possuem o cookie de autenticação do site, e não realizam o redirecionamento nesse caso, de forma a evitar a deteção. Além disso, o redirecionamento apenas ocorre em alguns momento e para alguns visitantes, sobre condições especificas, pelo que um site pode permanecer infetado sem que os seus administradores se apercebam de tal.

De momento ainda se desconhece como os sites estão a ser comprometidos, mas acredita-se que os atacantes encontram-se a explorar variadas vulnerabilidades nos mesmos para tentarem obter acesso aos conteúdos. Uma vez realizado o acesso, são modificados os ficheiros.

14/11/2022
Novo malware esconde-se dentro de ficheiros de imagem PNG

Existe uma nova tendência na forma como malware se tem vindo a distribuir, passando dos tradicionais formatos para começar a ser integrado em ficheiros aparentemente benignos.

De acordo com as empresas de segurança ESET e Avast, desde Setembro de 2022 que uma nova campanha de malware tem vindo a propagar-se em força pela Internet. O malware, conhecido como “Worok”, tem vindo a esconder-se sobre ficheiros de imagens PNG regulares, e aparentemente inofensivas.

O malware é capaz de se esconder em ficheiros de imagem PNG, tendo como alvo vitimas de perfil de relevo no mercado, sobretudo nos continentes da África e Ásia. O ataque ocorre em duas etapas, onde na primeira os sistemas são infetados com um DLL malicioso ou programas capazes de abrirem ficheiros de imagem, decifrando o código escondido nas mesmas. Uma vez instalado, o malware procede com o download de aparentes imagens PNG, mas que no código interno possuem a segunda parte do ataque – o malware propriamente dito.

Os investigadores indicam que o malware tira proveito da plataforma de alojamento cloud do Dropbox para enviar ficheiros e outras informações, bem como para descarregar a imagem aparentemente legitima. Como se trata apenas de uma imagem, a maioria dos serviços não irá considerar a mesma como maliciosa, e muitos programas de segurança também podem ignorar o conteúdo.

Uma vez no sistema, o malware procede com as suas atividades maliciosas, roubando informações sensíveis do mesmo, como senhas e carteiras virtuais de criptomoedas.

13/11/2022
Videos do YouTube estão a ser usados em novas campanhas de malware

Muito malware propaga-se sobretudo por sites maliciosos criados especificamente para a tarefa na internet, ou por downloads em diversas plataformas. No entanto, uma nova tendência tem vindo a surgir recentemente.

Nos últimos tempos, várias campanhas de malware têm vindo a propagar-se com origem diretamente no YouTube. Estas surgem em vídeos que, supostamente, seriam usados para os mais diversos tutoriais, e que apontam para ficheiros em plataformas externas que os utilizadores poderiam necessitar para realizar o que estaria a ser descrito no vídeo.

Um dos exemplos encontra-se sobre como ativar diferente software pago de forma gratuita, onde a descrição dos vídeos surge com links para plataformas externas onde se encontram os supostos “ativadores”, mas que nada mais são do que malware.

As campanhas dos últimos tempos tendem a ser focadas para malware de roubo de informações pessoais. Este género de malware será o que se instala nos sistemas com o objetivo de roubar o máximo de informação possível, seja contas bancárias, dados dos utilizadores ou senhas de acesso a diferentes serviços.

Estes géneros de campanhas não são propriamente novas, mas nos últimos tempos parecem ter vindo a propagar-se em força sobre diferentes famílias de malware. Muitos dos vídeos podem permanecer durante bastante tempo na plataforma, além de que contam ainda com atividade para tentarem atrair mais utilizadores – como exemplo, através de valores de visualizações falsas ou comentários de bots.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção ao que se encontram realmente a descarregar ou a aceder. Ainda mais quando estes géneros de conteúdos serão para atividades longe de serem consideradas “regulares”.

12/11/2022
Dispositivos da Samsung na mira de atacantes com novas falhas

A Samsung sempre se focou fortemente na segurança dos seus dispositivos, mas parece que existem algumas vulnerabilidades que estão agora a ser exploradas em determinados modelos da empresa para ataques zero-day.

Segundo revela a investigadora Maddie Stone, da equipa do Google Project Zero, pelo menos três dispositivos bastante populares da Samsung encontram-se a ser ativamente explorados para ataques através de falhas zero-day no software dos mesmos.

Em questão encontram-se os modelos Galaxy A50, Galaxy A51 e Galaxy S10, os quais a investigadora afirma que possuem falhas de segurança no software que estão já a ser ativamente exploradas para ataques.

Segundo a mesma, as falhas apenas se encontram nos dispositivos que possuem o chip Exynos, mas é grave o suficiente para levar ao potencial compromisso de dados dos utilizadores no equipamento ou instalação de malware no mesmo.

As falhas encontram-se a ser exploradas neste momento para a instalação de spyware, o que aponta que pode tratar-se de um ataque direcionado para certos grupos ou personalidades. No entanto, as falhas existentes no software da Samsung facilitam esta tarefa – e a investigadora afirma que estão a ser ativamente exploradas.

Acredita-se que as falhas ainda estão ativas no sistema, sendo que a Samsung não terá lançado uma atualização para a mesma, e que o kit de exploração usado pelos atacantes encontra-se a circular sobre alguns meios – mas como ainda não foi completamente identificado, isto também dificulta a tarefa de encontrar a resolução completa do problema.

Por enquanto, os utilizadores são aconselhados a terem atenção às apps que instalam nos seus dispositivos, sobretudo quando originárias de fontes desconhecidas.

11/11/2022
Novas aplicações maliciosas descobertas na Google Play Store

De tempos a tempos surgem algumas campanhas de malware que conseguem chegar junto da plataforma da Google Play Store, e hoje foi revelada mais um exemplo disso. A empresa de segurança Malwarebytes confirmou ter descoberto várias aplicações na Play Store que estiveram durante meses a infetar dispositivos.

De acordo com os investigadores, as aplicações contavam com mais de um milhão de downloads, e eram usadas para campanhas de adware, onde as vitimas poderiam ter os seus dispositivos constantemente a apresentar publicidade, sendo as receitas fornecidas para os criadores do mesmo.

A Google terá confirmado que as aplicações estavam na sua plataforma, e depois de terem sido identificadas pelos investigadores, foram prontamente removidas. No entanto, durante este período, terão sido descarregadas para milhares de dispositivos. Ao mesmo tempo, as aplicações podem manter-se instaladas nos dispositivos mesmo que tenham sido removidas da Play Store.

No final foram identificadas quatro aplicações dentro desta campanha: ‘Bluetooth Auto Connect’, ‘Bluetooth App Sender’, ‘Mobile transfer: smart switch’ e ‘Driver: Bluetooth, Wi-Fi, USB’.

Apenas a “Bluetooth Auto Connect” teria no total mais de um milhão de downloads, pelo que o número de utilizadores afetados pode ser elevado.

Depois de instaladas, as aplicações parecem funcionar normalmente, sendo que apenas alguns dias mais tarde começam as atividades maliciosas. Estas passam por apresentar publicidade de forma abusiva para os utilizadores, tentando também criar toques nas mesmas.

As vitimas podem notar que algo não se encontra bem ao notarem várias páginas de publicidade a começarem a surgir do nada durante o uso do sistema. O atraso no início da campanha será focado exatamente para tornar mais difícil a identificação do que levou ao problema.

Caso tenha instalado algumas das aplicações anteriormente indicadas no seu dispositivo, recomenda-se que sejam imediatamente removidas – caso ainda não o tenha sido feito.

11/11/2022
Extensão maliciosa para Chrome permite controlar navegador remotamente

Um grupo de investigadores revelou recentemente ter descoberto uma nova campanha de malware, que se foca em infetar sistemas com o Google Chrome como navegador principal, usando o mesmo para criar uma rede botnet.

A rede, apelidada de Cloud9, foi descoberta pelos investigadores da empresa de segurança Zimperium como estando a ser partilhada através de extensões maliciosas pela internet. Estas instalam-se no Google Chrome para começarem a recolher o máximo de dados possíveis das vítimas, bem como dados que as mesmas possam usar em diferentes plataformas online – o que inclui senhas, dados pessoais, entre outros.

Uma vez instalado no navegador, a extensão passa a ter controlo do mesmo, e pode também recolher comandos que sejam enviados de servidores remotos em controlo dos atacantes. Estes comandos podem realizar as mais diversas atividades dentro do sistema dos utilizadores.

Felizmente, a extensão não se encontra disponível sobre a Chrome Web Store, mas é distribuída sobre sites maliciosos, na grande maioria dos casos como falsas atualizações do Adobe Flash Player.

No entanto, uma vez instalada no navegador, a extensão passa a ter controlo praticamente total sobre o mesmo, bem como a capacidade de enviar alguns comandos para este e para o sistema onde o navegador se encontra, potenciando ainda a instalação de mais malware.

Como sempre, os utilizadores devem ter atenção aos locais de onde instalam as extensões, ou até mesmo qual a utilidade das mesmas. Por vezes, por muito boa que uma extensão possa parecer, talvez não compense o risco adicional.

10/11/2022
Sites de notícias nos EUA usados para distribuir malware

Vários portais de noticias nos EUA foram recentemente alvo de um ataque generalizado, o qual pode ter propagado malware para os visitantes dos mesmos durante um certo período de tempo.

De acordo com a empresa de segurança Proofpoint, o ataque terá afetado vários sites focados na distribuição de noticias, a grande maioria de zonas como Nova Iorque, Boston, Chicago e Miami. No total, acredita-se que 250 instituições tenham sido afetadas, onde os sites das mesmas terão sido usados para distribuir malware sobre as infraestruturas.

O malware encontra-se a ser apelidado de “SocGholish”, e acredita-se que tenha sido desenvolvido por grupos sediados na Rússia. O malware propaga-se diretamente nos sites, via ficheiros de javascript que levam os utilizadores a descarregarem malware para os seus sistemas. Este malware pode ser apresentado de forma direta no site, através da adulteração de links, ou os utilizadores são reencaminhados para sites de terceiros contendo o mesmo.

O malware tenta ocultar as suas atividades nos sites, sendo bastante difícil de identificar em muitos dos casos. Este integra-se como um ficheiro javascript regular, que pode existir em grandes quantidades sobre os sites pela internet, e não afeta todos os utilizadores que visitam o site – o mesmo apenas atua em certas ocasiões, momentos do dia ou depois de determinadas ações serem realizadas.

Neste momento acredita-se que o ataque tenha sido direcionado para 250 instituições diferentes, mas o valor pode ser consideravelmente superior se tivermos em conta o volume de sites afetados.

06/11/2022
Emotet volta ao ataque depois de cinco meses em pausa

Houve um tempo em que o nome “Emotet” era bem reconhecido por entre a indústria da cibersegurança. No entanto, as atividades do mesmo deixaram subitamente de acontecer – mas parece que terá sido apenas uma curta pausa.

Depois de quase cinco meses sem atividades, a operação do Emotet parece ter voltado ao ativo. O Emotet é uma campanha de malware, que se distribuir sobretudo por ficheiros do Office maliciosos, que possuem macros para realizarem atividades maliciosas no sistema.

Uma vez instalado no sistema, o Emotet tenta roubar contas de emails que podem ser usadas para difundir ainda mais o malware, bem como procede com a instalação de malware no sistema – que eventualmente leva a casos de ransomware.

Apesar de uma forte atividade desde o início do ano, a 13 de Junho de 2022, subitamente a sua atividade parou. Este processo manteve-se durante cinco meses, até que de forma recente se confirmou a reativação as campanhas de malware em massa.

De acordo com os investigadores do grupo “Cryptolaemus“, que monitorizam as atividades do Emotet, as campanhas de spam do mesmo começaram novamente em força durante o dia 2 de Novembro.

O formato de distribuição do malware continua idêntico, com emails de spam a serem enviados contendo anexos maliciosos – nomeadamente ficheiros do Excel com macros. A nova variante dos ficheiros possuem ainda uma pequena mensagem que alerta os utilizadores para contornarem o alerta de segurança de macros do Office – que é usado para evitar a execução automática dos mesmos.

Como sempre, é importante que os utilizadores tenham cuidado sobre qualquer ficheiro que seja descarregado da internet, sobretudo de fontes desconhecidas.

02/11/2022
Quatro aplicações maliciosas descobertas com milhares de downloads na Play Store
De tempos a tempos surgem aplicações que conseguem escapar aos filtros da Google, contendo malware e sendo distribuídos como apps legitimas pela Play Store. Mas não são todas que atingem um valor elevado de downloads antes de serem oficialmente identificadas.

A equipa da empresa de segurança Malwarebytes confirmou ter recentemente descoberto um novo malware, associado com uma aplicação na Google Play Store que continha mais de um milhão de downloads.

De acordo com os investigadores, a aplicação teria como objetivo infetar os dispositivos das vítimas, levando-os a apresentarem publicidade de forma consistente a abusiva. A publicidade era tanto aberta no navegador de forma aleatória, como apresentada de forma “oculta” para o utilizador, onde o dispositivo carregava automaticamente na mesma para levar a receitas para os criminosos.

No total foram encontradas quatro aplicações na Play Store contendo o malware:
- Bluetooth Auto Connect
- Bluetooth App Sender
- Driver: Bluetooth, Wi-Fi, USB
- Mobile transfer: smart switch
No total, estas aplicações continham mais de um milhão de downloads combinados.

Apesar disso, as mesmas também continham indícios de serem maliciosas, em parte derivado da vasta quantidade de comentários de utilizadores a reportarem um aumento súbito de publicidade nos seus dispositivos depois de instalarem estas aplicações.

Segundo os investigadores, para tentar evitar a identificação imediata, as aplicações apenas iniciavam as suas atividades maliciosas depois de 72 horas instaladas nos dispositivos das vitimas. E, durante este período, as mesmas aparentavam funcionar como esperado, com as tarefas que tinham sido prometidas de realizar.

Depois do período terminar, começavam então as tarefas maliciosas de apresentação da publicidade no sistema.

Como sempre, os utilizadores devem ficar atentos a qualquer atividade suspeita que ocorra nos seus dispositivos, sobretudo depois de serem instaladas novas aplicações no mesmo – até se as mesmas forem de fontes aparentemente credíveis, como a Play Store.
02/11/2022
Se pesquisar por GIMP no Google, tenha cuidado aos resultados que acede

Os utilizadores que tenham recentemente pesquisado por “Gimp” no Google, o reconhecido editor gratuito de imagens, talvez queiram verificar se acederem ao local correto.

Isto porque, de acordo com o portal BleepingComputer, foi descoberta uma nova campanha focada para os utilizadores do GIMP, que se encontra a propagar pelo sistema de publicidade da Google. O engano começa quando os utilizadores pesquisam pelo nome do editor no Google, onde uma publicidade surge no topo alegadamente para o site oficial do GIMP.org.

O problema encontra-se no facto que este link não é oficial. Invés disso, é uma publicidade cuidadosamente criada para enganar os utilizadores mais desatentos, levando-os a descarregar malware para os seus sistemas.

O site para o qual os utilizadores eram redirecionados era em tudo idêntico ao oficial, exceto que os pacotes de instalação disponíveis no mesmo possuem malware. Obviamente, o foco do mesmo aparenta ser utilizadores do Windows.

A campanha parece estar a surgir sobre diferentes domínios, conforme os mesmos vão sendo identificados como maliciosos, novos surgem para os repor. No entanto, o esquema em si é basicamente idêntico: usar a publicidade da Google como forma de enganar os utilizadores.

Este género de campanhas aproveitam uma medida bastante criticada do sistema da Google, que basicamente permite aos anunciantes terem um endereço na publicidade diferente do que será realmente acedido. Aproveitando esta função, os criminosos podem criar a publicidade alegando ser um link do site oficial do GIMP, mas que redireciona na verdade para a versão maliciosa.

Apesar de a técnica ser bastante vulgar para campanhas de publicidade, ao mesmo tempo abre também a possibilidade de ser abusada para malware e para quem pretenda enganar os outros.

Como sempre, deve-se ter cuidado aos locais onde determinados conteúdos são descarregados. Quando se realiza pesquisas na Google, uma boa prática será verificar se, efetivamente, o local de onde se encontra a carregar não é uma publicidade – o que tem vindo a ser também mais difícil de realizar, já que a Google cada vez mais coloca links de publicidade similares aos restantes links das pesquisas.

02/11/2022
GitHub corrige vulnerabilidade que podia levar a falhas catastróficas

O GitHub confirmou ter corrigido uma vulnerabilidade sobre a sua plataforma que, quando explorada, poderia permitir a terceiros alterarem o conteúdo de qualquer repertório sobre a plataforma – potencialmente abrindo a possibilidade de introduzir malware nos mesmos.

Os investigadores de segurança da empresa Checkmarx confirmaram ter revelado a falha à plataforma no dia 13 de Junho, sendo que o GitHub classificou a mesma como sendo de gravidade elevada.

A falha, se explorada, poderia permitir que utilizadores mal intencionados tivessem a capacidade de usar algumas funcionalidades da plataforma para obterem controlo de repertórios na plataforma, incluindo de alguns que são consideravelmente importantes em centenas ou milhares de projetos pela internet.

Se explorada, a falha poderia permitir que conteúdo adulterado fosse colocado sobre estes repertórios, e potencialmente replicado para qualquer aplicação que estivesse a fazer uso dos mesmos.

Os investigadores afirmam que, caso a falha fosse explorada, poderia ter consequências consideravelmente elevadas, ao ponto de afetar grandes empresas por todo o mundo, numa escala superior ao que foi verificado com o incidente da SolarWinds.

Tudo o que os atacantes necessitariam de fazer seria alterar o nome do reportório e usar um dos que estaria disponível para serem abusados. Tendo em conta o elevado número de projetos que esta poderia afetar, sobretudo projetos que usam repertórios entretanto alterados, o impacto poderia ser significativo.

Como referido, a falha foi notificada para o GitHub a 13 de Junho de 2022, sendo que a plataforma terá corrigido a mesma alguns dias depois e atribuído os ganhos de bug bounty para a entidade.

26/10/2022
Extensões maliciosas do Chrome descobertas com um milhão de instalações

Os investigadores de segurança da empresa Guardio Labs revelaram recentemente ter descoberto uma nova campanha de malware, que se propaga sobretudo por extensões do Chrome, e que teria mesmo chegado à Chrome Web Store.

De acordo com a descoberta dos investigadores, as extensões estariam a usar os navegadores dos utilizadores para redirecionar links nos mesmos para conteúdos de afiliado, onde os ganhos eram direcionados diretamente para os responsáveis pela extensão. No total foram descobertas mais de 30 extensões, a sua maioria variações idênticas entre si, que estariam a ser usadas para esta prática. As extensões estariam a ser distribuídas pela Chrome Web Store e no Edge, contando com milhares de instalações.

As extensões, uma vez instaladas, poderiam realizar várias atividades dentro dos navegadores, entre redirecionar os utilizadores para sites de publicidade aleatoriamente, ou alterar os links associados com os sites para incluir sistemas de afiliados, onde os ganhos iriam diretamente para os responsáveis destas extensões.

No entanto, os investigadores afirmam que o código das extensões tinha potencial para realizar atividades ainda piores, como o redirecionamento para sites falsos de login, com o potencial de roubar dados de login das vítimas. As extensões teriam uma parte do código ainda por utilizar, mas que iria permitir aos atacantes controlarem para onde determinados sites apontariam, que basicamente permitia redirecionar as vítimas para falsos sites de login.

Este sistema iria aplicar-se a vários domínios específicos, como é o caso de logins para várias entidades bancárias e serviços de email, bem como redes sociais. Felizmente não se acredita que o código tenha sido usado, mas estava presente nas extensões para uso futuro.

Apesar de as extensões em causa terem sido removidas de ambas as plataformas – da Google e da Microsoft – os investigadores alertam que é possível que extensões similares venham a surgir no futuro.

25/10/2022
Nova campanha de Typosquatting tenta enganar vítimas no Android e Windows

Se vai descarregar um novo programa pela Internet, talvez seja melhor ter atenção ao domínio que se encontra verdadeiramente a aceder. De forma recente, uma nova campanha de Typosquatting tem vindo a afetar milhares de utilizadores, tendo como alvo os utilizadores de sistemas Windows e Android.

Typosquatting consiste num ataque em que as vítimas pensam estar a aceder ao site correto de uma determinada empresa ou produto, quando na verdade estão a aceder a um domínio similar, mas controlado por atacantes – e onde normalmente se leva ao roubo de dados pessoais ou download de malware para os sistemas.

De acordo com o portal BleepingComputer, recentemente uma nova campanha deste género tem vindo a propagar-se, com foco para os utilizadores do Windows e Android, levando os mesmos a falsos sites que se assemelham aos verdadeiros, mas onde o objetivo será levar ao download de malware para o sistema.

No caso do Android, os sites tendem a ser cópias de plataformas como o Google Play, APKCombo e APKPure, onde os sites são alterados para integrarem malware que os utilizadores são incentivados a descarregar – com o pretexto de ser uma atualização de software necessária. Existem ainda sites dedicados para determinadas aplicações, como é o caso de nomes do PayPal, Snapchat, VidMate e TikTok, onde os sites indicam o download direto das APK para as diferentes plataformas – mas que são, na verdade, malware para o sistema.

No caso de sistemas Windows, a campanha parece focar-se em mais de 90 domínios diferentes, os quais abrangem vários softwares usados dentro do sistema. Se os utilizadores realmente descarregarem o malware para o sistema, acabam por ter os seus dados comprometidos.

Um dos exemplos encontra-se sobre o “Visual Studio Code”, um software legitimo da Microsoft e focado para programadores, mas que se encontra a ser distribuído sobre vários domínios similares para tentar enganar as vítimas e levar à instalação de versões modificadas com malware.

Uma das formas dos utilizadores se prevenirem deste género de ataques passa por validarem sempre o local de onde os conteúdos estão a ser descarregados, verificando se o site corresponde ao verdadeiro da entidade que se pretende.

24/10/2022
Milhares de PoC no GitHub são na verdade distribuidoras de malware

O GitHub é considerada uma das maiores plataformas de alojamento de código na Internet, usada por programadores em todo o mundo. Isto inclui também investigadores de segurança, que muitas vezes usam a plataforma para partilhar provas de conceito sobre os mais variados ataques e vulnerabilidades.

No entanto, é necessário cuidado com o que se acede dentro da plataforma. Pelo menos esta é a indicação que um recente estudo da Centro de ciências avançadas de Leiden, que aponta para a existência sobre o GitHub de centenas de PoC com malware integrado.

De acordo com os investigadores, por entre os utilizadores que descarreguem conteúdos de PoC para testar uma certa vulnerabilidade ou a sua correção, possuem a probabilidade de 10.3% em descarregar um arquivo com malware integrado. Esta parece ser a última tendência dos criminosos para distribuir malware, integrando os mesmos diretamente em PoC pelo GitHub.

Os utilizadores que descarreguem estas PoC, seja para validação ou para testar se as correções foram corretamente implementadas, podem acabar por instalar malware nos seus sistemas. Muitas das PoC disponíveis foram analisadas e possuem malware por entre o seu código.

No total, os investigadores analisaram 47.300 PoC dentro do GitHub, sendo que estas diziam respeito a vulnerabilidades conhecidas entre 2017 e 2021.

Como sempre, parte dos próprios utilizadores terem atenção ao que se encontram a descarregar, sendo sempre necessário validarem se partem de fontes credíveis ou se os ficheiros não podem ter sido modificados por terceiros.

24/10/2022
Avast causa problemas na atualização do Thunderbird

Os utilizadores do software de segurança da Avast e da AVG podem verificar alguns problemas caso tentem instalar as atualizações mais recentes do cliente de email do Thunderbird.

Ao que parece, de acordo com os relatos de vários utilizadores, a Avast encontra-se a bloquear a instalação das versões mais recentes do Thunderbird. Esta falha encontra-se a ocorrer tanto no software da Avast como também da AVG – que faz parte da empresa, e como tal, usa a mesma base de dados.

A empresa já terá confirmado o problema, indicando que se encontra a trabalhar para resolver o mesmo o mais rapidamente possível. Ao que parece, a falha encontra-se relacionada com o módulo de proteção de email, que se encontra disponível tanto no Avast como AVG. Este módulo é usado para garantir uma camada extra de segurança em clientes de email locais – verificando as mensagens por malware, spam ou phishing.

No entanto, parece que as recentes versões do Thunderbird encontram-se a causar problemas com o mesmo. Quando os utilizadores tentam atualizar as suas instalações do cliente de email, esta simplesmente falha no processo.

Apesar de a Avast estar a trabalhar numa versão beta do seu programa para resolver o problema, esta atualização ainda não é considerada como “estável”, e, portanto, não vai chegar a uma grande parte dos utilizadores da suíte de segurança.

Os utilizadores que sejam afetados por este problema podem, entretanto, desativar temporariamente o Avast ou AVG, o que deverá permitir concluir a instalação das atualizações no Thunderbird.

18/10/2022
Nova campanha de phishing tenta roubar contas do Facebook pelo LinkedIn

Todos os dias surgem novas campanhas de phishing, focadas em tentar roubar dados dos utilizadores nos mais variados formatos. No entanto, existe um que foi recentemente descoberto e conta com algumas particularidades interessantes a ter em conta.

Esta nova campanha de phishing começou a circular pela internet em Julho de 2022, sendo que se acredita estar relacionada com grupos de hackers no Vietname. A mesma faz uso de ficheiros PHP e com foco em sistemas Windows para tentar enganar as vítimas.

O ataque propaga-se sobretudo sobre o LinkedIn, e foca-se em utilizadores que possam ter relações com grandes contas em plataformas como o Facebook. O objetivo final passa por roubar acesso ao Facebook Business, que será onde os gestores de páginas gerem os seus conteúdos na rede social.

O ataque começa quando as vítimas recebem um suposto ficheiro de PDF, com estratégias de marketing. Caso o ficheiro seja aberto num sistema Windows, este faz uso de código PHP para levar ao roubo de dados do navegador que o utilizador esteja a usar, nomeadamente para roubar dados de acesso a plataformas sociais.

O malware pode roubar diversa informação dos navegadores, entre senhas, cookies e até carteiras de criptomoedas que possam encontrar-se instaladas no mesmo. Feito isso, os dados são enviados para os servidores em controlo dos atacantes, e usados para propagar ainda mais o esquema.

Como indicado anteriormente, o ataque parece focado sobretudo para gestores de marketing, que podem ter acesso a contas do Facebook ou algum género de gestão para tal. Como sempre, os utilizadores são a principal linha de defesa, sendo que devem ter particular cuidado com conteúdos desconhecidos que sejam fornecidos pela internet – seja em que formato for.

18/10/2022
Defender Control vai ser descontinuado por causar problemas nos sistemas

Para quem pretendia desativar o Microsoft Defender nos seus sistemas Windows 11, até agora existia uma aplicação que facilitava essa tarefa, conhecida como “Defender Control”.

Esta aplicação, desenvolvida pela empresa Sordum, permitia controlar o Microsoft Defender no sistema, para rapidamente ativar ou desativar o mesmo. No entanto, a empresa responsável pela aplicação veio agora confirmar que vai descontinuar a mesma, visto que esta encontra-se a causar problemas nas recentes versões do Windows.

De acordo com a Sordum, a aplicação encontra-se agora a causar problemas para alguns utilizadores, que depois de desativarem o Microsoft Defender, podem verificar os mais variados erros no sistema ou na reativação futura do mesmo.

A Sordum afirma que a culpa disto será da própria Microsoft. A empresa tem vindo a atualizar o Defender para que seja bastante integrado com o Windows 11, e quando este verifica que o mesmo está desativado por algum motivo, começa a tentar reparar o sistema de ficheiros do mesmo. No entanto, isso pode levar a erros e falhas, causando inesperados problemas para os utilizadores.

A Sordum acredita que isso apenas irá piorar para o futuro, e que o Defender irá passar a ser um programa base do Windows, onde os utilizadores não o podem simplesmente remover de forma segura – algo similar ao que acontece com o Edge.

No entanto, esta aplicação também foi alvo de críticas no passado, em parte porque tem vindo a ser cada vez mais usada por malware para desativar o Microsoft Defender. Existem variantes de diferente malware que usam este programa – o qual a empresa garante ser legitimo – para desativar as proteções do sistema antes do ataque, face à sua funcionalidade.

Seja como for, a aplicação deverá agora ser descontinuada, portanto não irá receber mais suporte para novas versões do Windows – e eventualmente deixará de funcionar por completo.

17/10/2022
Windows esteve três anos com falha de segurança em drivers maliciosas

O Windows é um dos sistemas mais atacados, em parte porque é também um dos sistemas mais populares no mercado. No entanto, nem mesmo sendo o sistema mais popular evita que a própria Microsoft falhe em algumas questões em nível de segurança.

Para garantir a segurança dos utilizadores, o Windows conta com uma lista padrão de drivers consideradas como maliciosas, que são bloqueadas de instalação no sistema. Esta lista inclui drivers que foram conhecidas como sendo usadas em ataques em larga escala ou que possuem graves vulnerabilidades para afetar o sistema.

Apesar de a medida ser focada em garantir a segurança dos utilizadores, um novo relatório do portal Ars Technica afirma que esta lista de drivers não possuí impacto real no sistema, e que as mesmas ainda podem continuar a ser carregadas no Windows apesar de estarem, teoricamente, bloqueadas.

As drivers são o que liga o hardware com o software, e muitas vezes são pontos centrais de acesso para permitir que o sistema funcione corretamente. É a partir das drivers que componentes como as placas gráficas, de som, entre outros conseguem comunicar com o Windows. Uma vez que as drivers, para o seu funcionamento, exigem a comunicação direta com a raiz do sistema (kernel), a Microsoft estabelece que todas as drivers necessitam de ser assinadas e verificadas pela empresa.

No entanto, se uma driver que foi assinada possui uma vulnerabilidade, esta pode ser explorada para ataques. Para evitar este género de falhas, a Microsoft usa uma tecnologia conhecida como HVCI, que basicamente protege o sistema de drivers que são consideradas como maliciosas através de uma lista desenvolvida pela Microsoft. Esta funcionalidade encontra-se ativa em todos os sistemas Windows por padrão.

No entanto, de acordo com o investigador de segurança Will Dormann, da empresa Analygence, este confirmou que o mesmo não funciona como esperado, ainda permitindo que drivers maliciosas e que, supostamente, deveriam ser bloqueadas ainda podem ser instaladas no Windows.

Na verdade, analisando este problema, o investigador descobriu que a lista de drivers maliciosas que o Windows usa não é atualizada pela Microsoft desde 2019, deixando quase três anos de possíveis drivers criadas por malware aptas de serem instaladas no sistema.

A falha foi, entretanto, confirmada pela empresa, que indica também estar a atualizar a sua linha de atualização do Windows para integrar todas as correções necessárias para que o sistema funcione como esperado. No entanto, os utilizadores também podem instalar manualmente a lista de drivers para bloqueio nos seus sistemas, caso considerem necessário.

Durante estes três anos, a lista continuou a ser atualizada pela Microsoft, no entanto, as atualizações não chegaram a todos os sistemas. Com isto, muitos computadores podem ter mantido listas desatualizadas e estariam vulneráveis a ataques.

16/10/2022
Microsoft Defender falha em teste de proteção offline

A Microsoft lançou o Microsoft Defender como a base de proteção para todos os sistemas Windows. No entanto, se o mesmo tem vindo a receber melhorias nos últimos anos, ainda se encontra longe de fornecer verdadeiramente total proteção para o sistema em comparação com algumas alternativas.

E isso é demonstrado no mais recente teste da empresa AV-Comparatives, relativo a Setembro de 2022. Por entre todos os softwares de segurança testados, a solução da Microsoft é uma das que se demonstra pior na identificação de malware e ataques quando se encontra sobre sistemas offline.

Embora a maioria dos computadores estejam atualmente ligados quase de forma permanente à internet, ainda existem situações onde tal pode não ser possível. A maioria dos softwares de segurança fazem uso desta ligação permanente à internet para manterem as suas bases de dados atualizadas, mas também para validarem rapidamente se um ficheiro ou ação é maliciosa ou não.

Qualquer bom software de segurança deve, quando ligado à internet, manter uma boa taxa de proteção – e o Microsoft Defender também o verifica. No entanto, as situações de ataque offline são igualmente importantes de ter em conta, e aqui a solução da Microsoft é uma das piores.

Por entre todas as soluções, a da Microsoft encontra-se quase na lista do fundo com uma taxa de deteção offline de apenas 69.8%. Em comparação, o melhor programa neste aspeto terá sido o G DATA, com uma taxa de deteção de 96%.

Quando se coloca online, o software da Microsoft garante uma proteção de 99.99%.

Outro ponto importante a ter em consideração são os falsos positivos. E neste aspeto a solução da Microsoft volta a ter problemas, com 19 ficheiros incorretamente identificados como malware.

Quanto ao nível de proteção, sobre 10.019 amostras de malware, a solução da Microsoft demonstrou-se igualmente eficaz, com uma taxa de deteção onde apenas um malware conseguiu escapar da mesma.

A Microsoft tem vindo a melhorar consideravelmente a segurança dos seus sistemas desde que começou a integrar o Defender como uma solução padrão no Windows. No entanto, ainda existem alguns aspetos a ter em consideração para quem vá fazer uso do mesmo – e neste caso, a deteção em situações offline é um ponto importante a ter em conta, sobretudo para utilizadores de portáteis.

14/10/2022
Ransomware Magniber distribui-se sobre ficheiros javascript para Windows

O ransomware ainda continua a ser um dos ataques mais lucrativos para quem realiza este género de atividades, e que muitas vezes pode levar à perda de dados para as vítimas. E agora, uma nova campanha foi descoberta que faz uso de um novo ransomware, que pode ser distribuído sobre javascript.

De acordo com um relatório da HP, o ransomware é conhecido como “Magniber”, e distribui-se sobretudo via javascript, embora o foco seja para sistemas Windows. As vítimas eram atraídas para falsos websites que prometiam atualizações de segurança para o Windows 10, onde era descarregado um ficheiro ZIP contendo o ficheiro JS no interior.

Se as vítimas executarem o mesmo, estão diretamente a iniciar o ataque, permitindo que o ransomware seja descarregado para o sistema através do código. No caso de utilizadores domésticos, os investigadores afirmam que o ransomware exigia o pagamento de 2500 dólares para a desencriptação dos ficheiros dos sistemas afetados.

Ao longo dos meses, o malware tem vindo também a evoluir, distribuindo-se também sobre extensões maliciosas para o navegador e até websites pela Internet. Para tentar evitar a deteção por software de segurança, os ficheiros encontram-se fortemente encriptados.

Apesar de o Magniber estar focado para encriptar um conjunto especifico de ficheiros, os investigadores revelam que o código do mesmo encontra-se com falhas, que podem permitir que mais conteúdo que o esperado seja realmente encriptado – e isso pode trazer ainda mais problemas para as vítimas, com ficheiros do sistema a poderem ser igualmente afetados.

Obviamente, a prevenção continua a ser um dos melhores mecanismos de segurança, sendo recomendado usar um software de segurança atualizado e manter backups dos dados importantes fora do sistema usado regularmente.

13/10/2022
Alchimist é um novo malware que afeta Windows, Linux e macOS

Um grupo de investigadores revelou ter descoberto um novo ataque, conhecido como “Alchimist”, que parece focar-se em utilizadores do Windows, macOS e Linux.

Segundo os investigadores da Cisco, este malware encontra-se escrito sobre a linguagem GoLang, em 64 bits, o que o torna compatível com praticamente todos os sistemas operativos que existem. Os atacantes podem rapidamente criar camadas de compatibilidade para os diferentes sistemas, levando a um maior número de vítimas potencialmente afetadas.

O Alchimist é fornecido como uma plataforma, que os atacantes podem usar para controlar, criar e gerir o malware conforme este se encontra colocado nos sistemas infetados. Os atacantes possuem controlo para conseguir realizar a captura de ecrã, correr comandos e realizar o envio de códigos de forma totalmente remota.

A maioria das vítimas acabam por instalar o malware através do download de ficheiros infetados da internet ou em campanhas de spam. Tendo em conta que o malware pode ser adaptado para diferentes sistemas, não importa onde os mesmos se encontrem – existe o potencial deste ser afetado se for efetivamente instalado.

13/10/2022
Autoridade Tributária alerta para novo esquema de phishing

A autoridade tributária encontra-se novamente a alertar os contribuintes para um aumento no número de emails associados com esquemas, que pretendem levar as vítimas a descarregar conteúdos maliciosos para os seus sistemas e que estão a ser divulgados sobre o nome da autoridade.

Em causa encontra-se um email, supostamente enviado pelas Finanças, a requerer que o contribuinte realize algumas correções na sua declaração do IRS. Este email é acompanhado de um link, que na maioria dos casos redireciona as vítimas para o conteúdo malicioso.

No comunicado da Autoridade Tributária, esta alerta para o facto que estes emails “são falsos e devem ser ignorados”. Se as vítimas descarregarem o conteúdo que é pedido, estarão a instalar malware sobre os seus sistemas para os mais variados fins.

De notar que os ficheiros descarregados podem fazer-se passar como documentos do Office, PDFs ou outros conteúdos legítimos, na tentativa de levar os utilizadores a descarregar os mesmos.

Como sempre, é importante que os utilizadores tenham conhecimento de não descarregarem conteúdos de fontes desconhecidas, ainda mais quando estas surgem por meios que não são habitualmente usados para tal.

13/10/2022
Falsas airdrops de Solana usadas para roubar dados sensíveis

Para os fãs de criptomoedas, uma airdrop é algo que pode ser bem-vindo, ainda mais quando esta surge com a promessa de trazer também melhorias em nível de segurança. No entanto, deve-se ter cuidado sobre o que realmente se está a aceder.

Recentemente foi descoberta uma nova campanha de malware, que se distribui sobre NFTs da rede de criptomoedas Solana, e que promete ser uma nova atualização de segurança “Phantom”, mas que acaba por roubar dados dos dispositivos dos utilizadores.

A campanha começou faz cerca de duas semanas, onde as potenciais vítimas são contactadas sobre uma atualização supostamente lançada pelos programadores da rede Phantom. Este alerta é enviado como uma airdrop de NFT na Solana. Quando os utilizadores abrem a mesma, são indicados para um link, onde seria necessário instalar uma atualização de segurança para a rede. Juntamente com isso encontra-se o link de onde a “atualização” deveria ser descarregada.

Caso os utilizadores realmente acedam ao conteúdo, acabam por descarregar um ficheiro BAT ou EXE, que será onde começa o ataque. Se executado no sistema, este ficheiro vai instalar o malware, que procede com o roubo de informação sensível do mesmo.

Entre os conteúdos que o malware tenta roubar encontram-se senhas do navegador, dados do histórico, cookies, chaves SSH entre outras que possam ter utilidade para os atacantes. Os dados são depois enviados para sistemas em controlo dos atacantes.

O objetivo da campanha parece ser obter os dados para acesso às carteiras virtuais das vítimas, procedendo depois com o roubo dos fundos nas mesmas. Como sempre, é extremamente importante que os utilizadores tenham cuidado sobre os conteúdos que recebem, sobretudo de fontes desconhecidas ou que tenham ações suspeitas.

11/10/2022
Meta processa programador por roubar 1 milhão de contas do WhatsApp

A Meta confirmou que vai avançar com um processo nos tribunais contra várias entidades chinesas, responsáveis pela criação de apps que tinham como objetivo roubar contas do WhatsApp dos utilizadores.

As empresas, sobre o nome de HeyMods, Highlight Mobi e HeyWhatsApp, eram responsáveis por desenvolver uma versão “não oficial” do WhatsApp, que prometia mais funcionalidades para a plataforma, mas ao mesmo tempo roubava as contas dos utilizadores. Estima-se que a app terá sido usada para roubar mais de um milhão de contas desde Maio de 2022.

Segundo a Meta, as aplicações estavam disponíveis para download sobre os sites destas empresas chinesas, bem como pela própria Google Play Store e várias lojas alternativas, como a APK Pure, APKSFree, iDescargar e Malavida.

Uma vez instaladas, as aplicações procediam com a instalação de malware nos dispositivos, que teriam como objetivo recolher informação pessoal das vítimas, incluindo dados de login das contas do WhatsApp. Estas apps podiam mesmo pedir para as vítimas introduzirem os seus dados de login em janelas não oficiais, na promessa de levarem os utilizadores para as versões modificadas da plataforma.

As contas roubadas eram depois usadas para os mais variados fins, mas na maioria dos casos seria para levar ao envio de spam a sites de casinos online e de outras plataformas similares.

Face a esta situação, a Meta confirmou que vai avançar para os tribunais, alegadamente por estas entidades terem violado os termos do WhatsApp e os termos dedicados para programadores da Meta.

06/10/2022
OneDrive possui falha grave a ser ativamente explorada

Se utiliza o OneDrive sobre o Windows, talvez seja uma boa altura para atualizar o mesmo para a versão mais recente, tendo em conta a recente descoberta dos investigadores da empresa de segurança Bitdefender.

Segundo os investigadores, foi recentemente descoberta uma nova falha sobre o cliente do OneDrive para Windows, a qual pode permitir aos atacantes introduzirem DLLs maliciosamente modificados para atacantes os sistemas.

Tendo em conta que o OneDrive encontra-se instalado de forma nativa no Windows 11, esta falha pode ter o potencial de afetar um largo número de utilizadores.

Este género de ataque é conhecido como DLL hijacking, onde o objetivo passa por levar os programas do sistema a correrem ficheiros DLL maliciosos, substituindo as versões originais e legitimas dos mesmos. Uma vez feita a substituição, o código malicioso nos ficheiros pode ser executado para as mais variadas tarefas.

De acordo com os investigadores, isso é o que se encontra a acontecer no OneDrive, onde uma falha na forma como o programa valida os ficheiros DLL permite que o ataque seja realizado. O ataque explora a forma como o OneDrive realiza a atualização do mesmo, e usando o programa dedicado para essa tarefa, os atacantes podem substituir o DLL usado no processo por uma versão maliciosa.

O mais grave será que esta falha já se encontra a ser explorada para ataques. Se o sistema for comprometido de alguma forma, a falha pode ser explorada para instalar mais malware no mesmo ou manter o controlo ativo.

De momento os investigadores afirmam que o ataque encontra-se a ser explorado apenas para a instalação de software de mineração nos sistemas, mas eventualmente a falha pode ser explorada para qualquer género de ataque.

A recomendação será que os utilizadores instalem o OneDrive como uma aplicação por “máquina”, invés de usarem a opção “por utilizado”. Isto deverá ser suficiente para corrigir a falha.

06/10/2022
Novo malware para Android rouba dados e regista áudio

Foi recentemente descoberto um novo malware, que pode afetar os utilizadores do sistema Android, e que possui como foco roubar dados pessoais dos sistemas das vítimas, bem como registar conversas através do microfone dos dispositivos.

Apelidado de RatMilad, este malware foi descoberto inicialmente pela empresa de segurança Zimperium, que alerta para a existência do mesmo com foco em espionagem. O malware, que possui traços de spyware, foi criado para roubar informações sensíveis dos utilizadores e dados que podem ser usados para variados fins. O objetivo parece ser focar os ataques do malware contra diferentes entidades e executivos das mesmas.

Os dados que são recolhidos do malware, segundo os investigadores, são depois usados para aceder aos sistemas internos das empresas, e eventualmente recolher ainda mais informações ou criar chantagem para tal.

O malware distribui-se sobretudo sobre uma falsa aplicação, que promete aos utilizadores criarem números de telefone virtuais. Esta aplicação, uma vez instalada, acaba por levar à instalação do malware no sistema. Os utilizadores podem nem verificar que se trata de malware, já que o funcionamento da mesma aparenta ser regular – embora a ativação dos números de telefone virtuais nunca aconteça.

Os criadores do malware parecem mesmo ter criado um site focado para a aplicação, com o intuito de dar mais legitimidade ao esquema. O ficheiro de instalação da aplicação distribui-se sobretudo sobre o Telegram, ou sobre plataformas de comunicação direta.

Uma vez instalado, o malware possui acesso a praticamente todos os dados pessoais no smartphone, incluindo mensagens, emails, contactos, entre outros. É também capaz de ativar o microfone, para começar a gravar áudio em qualquer momento.

Os dados, uma vez recolhidos, são enviados para servidores remotos em controlo dos atacantes.

Como sempre, os utilizadores são a primeira linha de defesa, e devem sempre ter atenção aos locais de onde descarregam as suas aplicações. Mesmo que a Google Play Store não seja o local 100% seguro, ainda é o mais credível para se descarregar aplicações no sistema Android.

05/10/2022
Falsos navegadores Tor distribuídos em campanha de malware na China

Se utiliza regularmente o navegador Tor, talvez seja melhor ter cuidado de onde o descarrega. Os investigadores da empresa Kaspersky revelaram recentemente uma nova campanha, que se encontra a usar o Tor Browser como isco para levar os utilizadores a instalarem malware nos sistemas.

A campanha parece estar a ser focada sobretudo para utilizadores na China, onde estes são levados a instalar o navegador Tor, mas que foi modificado maliciosamente para conter spyware no processo.

A maioria dos utilizadores que usam o navegador Tor fazem-no exatamente pela privacidade e segurança adicional que o mesmo fornece, portanto ter uma versão maliciosa com o intuito de roubar informações privadas dos utilizadores é certamente algo a ter em conta.

Esta campanha, segundo os investigadores, aproveita o facto que o domínio principal onde o navegador Tor se encontra está bloqueado na China. Com isto, muitos utilizadores acedem a plataformas de terceiros para descarregarem o mesmo.

Aproveitando este facto, vários vídeos no YouTube e em resultados dos motores de pesquisa locais estão a direcionar os utilizadores para sites criados especificamente para distribuir versões modificadas do programa.

Quando instalado no sistema, esta versão do navegador aparenta ser totalmente normal, e funciona como se esperava. Mas em segundo plano encontra-se a guardar os dados que o utilizador use no mesmo, bem como a enviar os mesmos para servidores remotos.

Além disso, esta versão modificada do navegador Tor tenta ainda descarregar outro género de malware de sistemas remotos, levando as vítimas a ficarem mais expostas a possíveis ataques. Os investigadores afirmam que todos os pedidos foram feitos para servidores localizados na China, possivelmente para evitar possíveis bloqueios.

Curiosamente, este malware parece criado para identificar os utilizadores e recolher detalhes sobre os mesmos, e não tanto para roubar dados como senhas ou afins. O malware parece ter sido criado sobre uma campanha de spyware, como forma de tentar infetar sistemas de vítimas que tentam usar o navegador Tor para ocultar as suas atividades.

04/10/2022
Malware escondido sobre imagem era usado para ataques

Existem cada vez mais formas sobre como malware pode propagar-se nos sistemas, e uma das técnicas que parece ter vindo a ser cada vez mais usada encontra-se na capacidade de esconder conteúdo malicioso em algo tão simples como uma imagem.

Parece ter sido isso exatamente o que um grupo de espionagem aparenta ter feito. De acordo com os investigadores da empresa de segurança Symantec, um grupo conhecido como Witchetty terá usado imagens de fundo do Windows, com o logótipo do sistema, para distribuir malware em vários sistemas.

Segundo os investigadores, as atividades do grupo aumentaram entre Fevereiro e Setembro de 2022, sendo que os ataques eram na sua maioria direcionados a empresas especificas. Os mais recentes foram contra duas empresas do Médio-oriente e uma empresa de stocks em África, que foram atacadas por um malware conhecido como “Stegmap”.

Para realizar este ataque, foi usada uma técnica conhecida como Esteganografia, uma técnica em que se esconde mensagens em documentos aparentemente vulgares. Neste caso, a técnica foi aplicada para implementar malware em algo tão vulgar como uma foto.

O malware encontrava-se numa simples foto de fundo do Windows, que estava até alojada no GitHub, mas que aparentemente nada mais era do que uma simples imagem. No entanto, sobre o código da mesma, encontrava-se o malware que teria como objetivo infetar os sistemas onde o conteúdo era executado.

Os investigadores acreditam que os atacantes terão usado o GitHub para distribuir o conteúdo visto que isso elimina a necessidade de ter uma fonte externa para descarregar o conteúdo, ao mesmo tempo que também dá mais legitimidade ao ataque – uma vez que o domínio da plataforma é algo que pode ser acedido normalmente em várias situações.

Uma vez tendo os alvos em mira, os atacantes procediam com as tentativas de envio da imagem para os sistemas internos, e caso fosse realizado com sucesso, os atacantes passariam a ter controlo dos sistemas internos da empresa.

Acredita-se que, em algumas das entidades atacadas, os mesmos terão permanecido nos sistemas internos por mais de seis meses, antes das atividades terem sido identificadas e neutralizadas. Durante este período foram recolhidas várias informações internas.

30/09/2022
Malware “Chaos” agora infeta sistemas Windows e Linux para ataques DDoS

As redes de botnet são responsáveis por alguns dos maiores ataques que se registaram nos últimos meses, e existe uma rede em particular que tem vindo a ganhar bastante popularidade, conhecida simplesmente como “Chaos”.

Esta botnet encontra-se a expandir as suas atividades, e agora possui um novo alvo, tendo em conta que se encontra a usar malware focado para sistemas Windows e Linux, no sentido de usar os recursos dos sistemas associados para ataques DDoS e para mineração de criptomoedas.

Segundo os investigadores da empresa Lumen, o malware encontra-se focado para ser usado em virtualmente qualquer sistema, desde pequenos dispositivos da Internet das Coisas para grandes servidores. Tendo sido criado em linguagem de programação Go, este pode ser usado em arquiteturas x86, x86-64, AMD64, MIPS, MIPS64, ARMv5-ARMv8, AArch64, e PowerPC.

O malware propaga-se, sobretudo, pela exploração de vulnerabilidades nos sistemas e pela tentativa de acesso via SSH, usando também tokens e senhas roubadas em ataques anteriores para realizar o acesso.

Uma vez instalado no sistema, o malware começa por criar uma backdoor que será usada pelos atacantes para realizar o acesso aos sistemas infetados, bem como para envio de comandos sobre no que esses sistemas serão usados.

Os investigadores afirmam que a grande maioria da infraestrutura da botnet encontra-se localizada na China, com a origem dos servidores de controlo a ser também deste local.

Uma vez instalado, o malware pode então ser usado para a mineração de criptomoedas, usando o poder de processamento dos sistemas infetados, bem como para usar os mesmos em ataques DDoS. Tendo em conta que o malware encontra-se adaptado para um vasto conjunto de dispositivos, existe o potencial da rede botnet ser bastante larga.

Existe uma lista de domínios e IPs conhecidos por serem usados para o controlo dos sistemas infetados, mas este encontra-se em constante atualização. O foco do malware, no entanto, aparenta ser entidades localizadas na Europa, onde os sistemas são usados para ataques DDoS em larga escala.

28/09/2022
WhatsApp corrige vulnerabilidade grave em versões antigas da app

O WhatsApp confirmou a existência de um bug nas suas versões mais antigas da app, que quando explorado, poderia permitir aos atacantes executarem código malicioso nos sistemas dos utilizadores de forma relativamente simples.

A falha foi confirmada pela empresa a 23 de Setembro, e afeta algumas das versões mais antigas da app da plataforma. De acordo com a mesma, os atacantes poderiam realizar uma chamada de vídeo especificamente criada para explorar a falha, sendo o suficiente para enviar comandos remotos para os dispositivos.

A execução remota de código é bastante grave, e teoricamente, os atacantes poderiam explorar a falha para instalar malware nos dispositivos ou realizar praticamente uma vasta quantidade de ataques diretos.

A falha foi classificada pela empresa como sendo “Critica”, e afeta tanto a app do WhatsApp como do WhatsApp Business, para iOS e Android. No entanto, a boa noticia é que a falha foi corrigida com as recentes versões, e tudo o que os utilizadores necessitam de fazer é certificarem-se que se encontram na versão 2.22.16.12 ou mais recente.

Obviamente, a atualização das apps é algo que deve sempre ser realizado assim que possível, e recomendado como prática de segurança. Além disso, manter as apps atualizadas permite ter acesso a todas as novidades das mesmas – e no caso do WhatsApp, esta conta com várias novidades interessantes que necessitam das versões mais recentes.

27/09/2022
Cloudflare revela o Zero Trust SIM para proteger smartphones e dispositivos da IoT

A Cloudflare confirmou o lançamento do novo Zero Trust SIM, um serviço focado para melhorar a segurança em redes móveis e para dispositivos da Internet das Coisas.

Segundo a empresa, configurar políticas de Zero Trust sobre uma entidade pode ser um processo algo complicado e dispendioso de tempo, ainda mais em dispositivos como smartphones e tablets. É nesta ideia que o serviço poderá ajudar as entidades a terem uma forma de mais simplesmente ligarem os eSIM ao serviço, protegendo os seus utilizadores e os próprios equipamentos – além de manterem a privacidade de dados.

Com esta novidade, as empresas poderão beneficiar de um sistema de filtragem DNS, que garante proteção contra ataques de phishing e malware, bem como obterem proteção contra os ataques contra cartões SIM mais comuns, como a clonagem.

As empresa terão a capacidade de controlar todas as configurações dos seus dispositivos através da plataforma do Cloudflare One. O Zero Trust SIM vai ser focado, para já, para cartões eSIM, pelo que pode ser rapidamente configurado a partir de códigos QR ou de uma simples app.

De momento a empresa ainda se encontra a finalizar os testes a esta nova plataforma, mas espera-se que venha a revelar a mesma para os utilizadores durante os próximos tempos.

27/09/2022
Novas aplicações maliciosas na Google Play Store descarregadas 5 milhões de vezes

Para muitos utilizadores, a Google Play Store é vista como um dos locais mais seguros para descarregar aplicações. E apesar de isso até poder ser verdade, isso não quer dizer que a plataforma esteja inteiramente livre dos seus problemas de vez em quando.

De tempos a tempos existem aplicações maliciosas que conseguem contornar as medidas de segurança da Google, chegando junto dos utilizadores diretamente pela Play Store. É esse o exemplo que a empresa de segurança Kaspersky recentemente revelou ter descoberto.

A empresa confirmou ter descoberto um novo trojan, sobre o nome de “Harly”, que se distribui a partir da Play Store. Na verdade, as aplicações descobertas com o mesmo continham mais de 4.8 milhões de downloads, tendo o potencial de afetar um elevado número de utilizadores.

Segundo a empresa, o malware encontra-se na plataforma desde 2020, em mais de 190 aplicações diferentes. Apesar de os números indicarem que, no total, estas podem ter sido descarregadas 4.8 milhões de vezes, os valores reais podem ser consideravelmente superiores.

Para os utilizadores finais, as aplicações funcionam como esperado, tendo as funcionalidades que eram indicadas na plataforma. Mas em segundo plano, o trojan era instalado nos dispositivos, levando ao potencial roubo de informações sensíveis. Muitos utilizadores reportam que as apps subscrevem os mesmos em serviços de valor acrescentado, com cobranças elevadas.

A maioria das apps teriam nas reviews comentários de utilizadores a informarem do esquema, mas nem todos acabam por ler esta secção antes de a instalarem nos seus dispositivos.

Este género de malware que surge sobre a Play Store possui sempre a tendência de afetar um vasto número de utilizadores, tendo em conta que a maioria considera a plataforma como sendo segura, e acabam por instalar apps que, em muitas ocasiões, podem não ser as mais adequadas.

24/09/2022
2K Games foi alvo de ataque ao seu sistema de suporte

Durante as últimas semanas, cada vez mais empresas associadas com o mercado dos videojogos têm vindo a ser alvo de ataques. Depois do roubo de conteúdos relativos a GTA 6, agora surge a indicação que a 2K pode também ter sido afetada por um ataque.

A 2K games confirmou que um utilizador não autorizado terá acedido ao sistema de suporte da empresa, tendo enviado para alguns clientes conteúdos malicioso via o sistema de email do mesmo. Apesar de não existirem indícios que este ataque esteja relacionado com o recente roubo de conteúdos da Rockstar Games sobre GTA 6, ambas as empresas se encontram detidas pela Take-Two Interactive.

A 2K Games afirma que o atacante terá obtido acesso aos sistemas de suporte da empresa, tendo enviado para alguns clientes mensagens contendo links para sites com conteúdos maliciosos. Alguns utilizadores também podem ter recebido mensagens contendo ficheiros ZIP de anexo, os quais teriam um suposto launcher da empresa – mas que seria na verdade o malware RedLine.

A empresa recomenda que os utilizadores que possam ter recebido mensagens da mesma evitem aceder aos conteúdos, bem como para que estejam atentos a possíveis esquemas que possam ser enviados no futuro.

Até ao momento a 2K Games não revelou detalhes sobre o número de clientes afetados, embora a empresa afirme que tenha sido um ataque limitado. Também se desconhece se mais alguma informação poderá ter sido acedida no processo.

De momento, o sistema de suporte da empresa encontra-se desligado, enquanto se realizam as investigações do incidente, sem uma data prevista de quando voltará a ficar ativo.

21/09/2022
Gmail vai remover filtros de spam para emails de campanhas políticas

Historicamente, o Gmail tem vindo a manter um filtro de spam bastante consistente. Mas com a chegada das eleições nos EUA, existe a possibilidade que a firmeza desses filtros seja ligeiramente alterada, de forma a permitir alguns conteúdos que os utilizadores podem ainda continuar a considerar “spam”.

A Google confirmou que vai lançar um novo programa, nos EUA, focado em permitir que mensagens associadas com candidatos políticos e com as suas campanhas eleitorais possam “contornar” os filtros de spam do Gmail, surgindo diretamente nas caixas de entrada dos utilizadores.

Segundo a empresa, este sistema iria permitir que conteúdos validados como sendo respeitantes a campanhas políticas poderiam contornar os filtros de spam do Gmail, surgindo diretamente na caixa de entrada dos utilizadores invés de na caixa de spam.

A empresa afirma que se encontra a iniciar os testes a este sistema sobre um pequeno conjunto de campanhas e partidos. No entanto, a empresa também afirma que os utilizadores, para as campanhas enviadas neste formato, vão ter uma opção de removerem o seu email da lista de contacto mais facilmente.

De notar que a Google afirma que, apesar de reduzir a intensidade dos filtros de spam para as mensagens que sejam colocadas dentro deste programa de testes, ainda se aplica filtros de proteção contra malware e phishing. No entanto, a medida tem vindo a ser alvo de várias críticas pela comunidade, que alegam que esta vai permitir que sejam enviados mais conteúdos indesejados para as contas dos utilizadores.

20/09/2022
Microsoft alerta para nova campanha de fraude sobre extensões do navegador

A Microsoft encontra-se a alertar para uma nova campanha de fraude, que parece focada contra gamers, e que se distribui através de extensões maliciosas para navegadores.

De acordo com a Microsoft Security Intelligence, o ataque começa quando os utilizadores instalam a extensão maliciosa nos seus navegadores, por vezes atraídos por um conteúdo potencialmente benéfico para os mesmos, mas que acaba por levar a problemas mais em diante.

Os investigadores afirmam que as extensões, uma vez instaladas, começam a gerar cliques fraudulentos em publicidade, para gerar receitas para os atacantes. Os conteúdos de publicidade são carregados diretamente no navegador dos utilizadores, e as extensões simulam o clique sobre a publicidade, dando a receita para os respetivos atacantes.

A maioria dos utilizadores infetados são aliciados através de vídeos do YouTube ou publicidade maliciosa, levando ao download de ferramentas associadas a diferentes jogos. Tendo em conta o foco específico da campanha de malware, acredita-se que o objetivo será atingir, sobretudo, gamers.

No entanto, invés da ferramenta que se pretendia, os utilizadores acabam por descarregar os ficheiros maliciosos que procedem com a instalação das extensões maliciosas no navegador.

De notar que, de forma recente, foi descoberta também uma campanha similar de malware que se propaga através de vídeos do YouTube, podendo mesmo roubar as contas do YouTube das vítimas para enviar mais conteúdos para a plataforma em seu nome, com o objetivo de instalar mineradores de criptomoedas nos sistemas afetados.

19/09/2022
“Aviso de dívida importante”: tenha cuidado com este novo phishing

Os esquemas de phishing têm vindo a aumentar nos últimos tempos, e existe uma onda crescente de mensagens que dizem ter sido enviadas por várias entidades importantes, seja de bancos ou, como é o exemplo neste caso, da própria Autoridade Tributária e Aduaneira.

Uma nova onda de phishing parece estar a tentar enganar os utilizadores com um email aparentemente de alerta, e enviado pela entidade. A mensagem começa com o simples assunto de “Aviso de dívida importante”, de forma a tentar cativar os utilizadores para a importância do caso.

Se as potenciais vítimas acederem ao email, o conteúdo do mesmo alerta para uma suposta dívida fiscal que existe em nome do mesmo, e que é necessário proceder à sua regularização. As vítimas são reencaminhadas para um ficheiro HTML em anexo ao email, que caso seja aberto, apresenta uma mensagem a informar que é necessário descarregar o Adobe Reader para ler o conteúdo, e fornecendo um link que vai permitir tal ação – o qual é, na verdade, o malware.

Se este malware for instalado, procede com o roubo de dados das vítimas e com a encriptação de conteúdos a partir dos mais variados géneros de ransomware.

O mais grave deste caso encontra-se no facto que, caso as vítimas abram realmente o anexo, este surge como uma página web na maioria dos leitores de email web. O anexo trata-se de um simples ficheiro HTML, pelo que, na maioria dos casos, vai abrir diretamente no navegador dos utilizadores. No caso do Gmail, mesmo que a mensagem seja classificada como email, e apesar de indicar que o download de anexos encontra-se desativado, a abertura de ficheiros HTML ainda é possível de ser feita – dando espaço para que o ataque se concretize mesmo sem que seja necessário descarregar o ficheiro localmente.

Isto pode ser o suficiente para enganar as vítimas e levar as mesmas a descarregar o conteúdo malicioso, ainda mais tendo em conta a mensagem de aparente urgência sobre as supostas dívidas fiscais.

Como sempre, será recomendado que os utilizadores tenham extremo cuidado sobre os conteúdos que recebem nas suas caixas de entrada, validando sempre a informação que é apresentada – ainda mais com temas que podem ser sensíveis ou onde existam suspeitas de fraude.

16/09/2022
Novo malware pode propagar-se a partir de vídeos do YouTube

Existe uma nova ameaça para quem tenha contas do YouTube, e sobretudo para pequenos criadores que possam ser enganados no processo.

Um novo género de malware tem vindo a propagar-se em força através de vídeos do YouTube, focado para gamers que procuram cheats e truques para os mais variados jogos. O esquema começa com um vídeo sobre a plataforma que aconselha os utilizadores a descarregarem um conteúdo a partir de sites externos.

A maioria dos vídeos são sobre formas de ativar jogos como FIFA, Final Fantasy, Forza Horizon, Lego Star Wars, e Spider-Man. Na descrição dos vídeos é onde os utilizadores podem encontrar os links para os sites onde, supostamente, iriam descarregar os conteúdos.

De acordo com os investigadores da Kaspersky, no entanto, isso não é bem o que acontece. Quando as vítimas realmente acedem ao link, estão a descarregar para os seus sistemas um malware conhecido como RedLine, tendo como objetivo roubar o máximo de informação pessoal dos utilizadores no processo.

O RedLine é capaz de roubar dados de login, cookies e vários ficheiros e carteiras de criptomoedas dos sistemas, enviando esses conteúdos para os atacantes. Além disso, é ainda instalado um minerador de criptomoedas sobre o sistema, que aproveita a gráfica dedicada para o processo – tendo em conta que as vítimas estariam à procura de algo relacionado com videojogos, é bastante provável que tenham também uma gráfica nos seus sistemas.

No entanto, o esquema é ainda inteligente o suficiente para se propagar ainda mais a potenciais vítimas. Para além de infetar o sistema do utilizador, o malware é ainda capaz de roubar as contas do YouTube das mesmas, usando-as para proceder com o envio de vídeos igualmente maliciosos. Desta forma, o malware tenta chegar a mais utilizadores, levando a ainda mais infeções.

Uma vez que o sistema das vítimas já se encontra infetado, não é difícil de recolher os cookies de login do YouTube para roubar igualmente as contas dos mesmos. Feito isto, a conta deixa de estar em controlo dos utilizadores e passa a ser usada para distribuir o malware a potenciais vítimas novas.

Os vídeos que são publicados para o YouTube podem acabar por ser removidos pelo sistema de segurança da plataforma, ou por serem reportados, o que também pode ter impacto para a conta do YouTube das vítimas – que eventualmente, pode ser banida por violar os termos da plataforma.

No final, este género de esquema não apenas afeta a vítima que descarrega o conteúdo, mas é capaz de se replicar para tentar chegar a ainda mais utilizadores. É um método que, apesar de não ser novo, certamente possui um elevado impacto para os utilizadores que sejam afetados.

Como sempre, deve-se ter atenção aos links que são acedidos na internet, sobretudo quando estes se encontram sobre vídeos suspeitos ou de conteúdo duvidoso.

15/09/2022
Cuidado se receber uma convocatória da PJ por email!

Se receber uma mensagem aparentemente enviada pela PJ, tenha cuidado! Este novo esquema tem vindo a propagar-se em força nos últimos dias, e tenta enganar os utilizadores usando o nome da PJ e da Interpol no processo.

De acordo com o comunicado da PJ, encontra-se a circular pela Internet várias mensagens associadas com uma suposta convocação, onde o conteúdo do email surge com o logótipo da Interpol e da Policia Judiciária. Na mensagem, os utilizadores são informados que estariam a ser convocados pelas autoridades derivado de manterem práticas ilegais na internet sobre os mais variados fins.

A mensagem pode ainda levar as vítimas a acederem a links externos ou a entrarem em contacto com emails desconhecidos, com o objetivo de levar ao download de malware para os sistemas e à recolha de informação pessoal.

Como sempre, os utilizadores são aconselhados a não seguirem qualquer procedimento que se encontre indicado na mensagem, bem como em não acederem a links desconhecidos ou a comunicarem para o email indicado. Deve-se também ter cuidado com qualquer anexo que possa ter sido conjugado às mensagens, uma vez que podem conter malware para o sistema onde sejam executados.

15/09/2022