Categoria: malware

Microsoft confirma ter corrigido falha zero-day grave no Windows

A Microsoft lançou uma nova correção para uma falha zero-day, que afeta praticamente toda as versões do Windows atualmente existentes, e que se acredita que esteja a ser usada para ataques em larga escala.

De acordo com o comunicado da Microsoft sobre a vulnerabilidade, esta afeta uma das drivers usadas pelo Windows para realizar o registo de eventos e dados no mesmo. Se explorada, a falha permite aos atacantes obterem acesso administrativo ao sistema, potencialmente com capacidade para realizar ações nocivas no mesmo.

Malware pode explorar também a falha para elevar privilégios dentro do sistema, conseguindo assim realizar ações maliciosas no mesmo com permissões de utilizador SYSTEM.

A Microsoft afirma que a falha afeta praticamente todas as versões do Windows que são atualmente suportadas, o que inclui todas as versões do Windows 11, Windows 10, Windows Server 2008 e 2012, bem como o Windows 7.

A empresa sublinha que, para a falha ser explorada, o atacante necessita de possuir acesso ao sistema ou a capacidade de correr código sobre o mesmo. Ainda assim, a falha pode ser considerada grave, dando a possibilidade de realizar ações maliciosas no sistema.

A Microsoft afirma que a falha foi descoberta pelas empresas de segurança CrowdStrike, DBAPPSecurity, Mandiant, e Zscaler. Não foram revelados detalhes concretos sobre a vulnerabilidade, mas a empresa acredita que a mesma está a ser usada para ataques no mundo real, pelo que os utilizadores são aconselhados a atualizarem os seus sistemas o mais rapidamente possível.

A empresa confirmou que a falha foi corrigida com a recentemente lançada Patch Tuesday, incluindo também para o Windows 7.

14/09/2022
Seis falhas graves em computadores da HP estão faz um ano sem correção

Os utilizadores de dispositivos da HP Enterprise estão mais de um ano a aguardar uma correção para um bug de firmware, que afeta vários modelos da empresa. Apesar de as falhas terem sido originalmente confirmadas em Julho de 2021, até agora a HP ainda não disponibilizou a correção das mesmas.

As falhas de firmware são uma das mais graves que se pode encontrar, uma vez que afetam a parte mais básica de qualquer sistema, e podem permitir que malware seja instalado de forma silenciosa no sistema e que se mantenha até mesmo com a reinstalação do sistema.

De acordo com a empresa de segurança Binarly, apesar de as falhas terem sido reveladas publicamente durante o evento Black Hat 2022, e de a empresa ter sido informada das mesmas em 2021, até ao momento ainda não foram lançadas as correções necessárias para as mesmas.

No total são seis as falhas descobertas, sendo que três foram confirmadas pelos investigadores em Julho de 2021, e mais três em Abril de 2022. Todas as falhas continuam por ser resolvidas, apesar de a HP ter conhecimento das mesmas.

Até ao momento a HP não confirmou qualquer detalhe sobre as falhas. De notar que as vulnerabilidades encontram-se classificadas com uma gravidade entre 7.5 e 8.2 – consideradas de gravidade elevada.

11/09/2022
Minecraft é o jogo mais usado para distribuir malware

O Minecraft é um dos videojogos mais reconhecidos de todos os tempos. Afinal de contas, o jogo ainda é usado todos os dias por milhares de jogadores em todo o mundo. No entanto, esta popularidade também atrai quem tenta aproveitar-se do nome para alguns esquemas.

De acordo com um recente relatório da empresa de segurança Kaspersky, o Minecraft é um dos jogos mais vezes usados com o seu nome associado aos mais variados esquemas ou utilizado para distribuir malware.

Segundo os dados da empresa, analisados entre Julho de 2021 e Julho de 2022, cerca de 25% dos ficheiros maliciosos distribuídos por conteúdos associados a videojogos diziam respeito ao Minecraft. Estes incluem conteúdos como mods, cheats ou outros itens para o jogo que integram malware.

Da lista faz ainda parte o FIFA, com 11%, seguindo-se Roblox (9.5%), Far Cry (9.4%), e Call of Duty (9%). Outros títulos que também fazem parte desta lista, e será importante ter em conta, será Need for Speed, Grand Theft Auto, Valorant, The Sims e GS:GO.

A nível de malware focado para dispositivos móveis, a distribuição de malware neste espaço é relativamente mais pequena em comparação com computadores. No entanto, Minecraft continua a liderar também esta tabela, com 40%. Segue-se ainda GTA (15%), PUBG (10%), Roblox (10%), e FIFA (5%).

Curiosamente, durante este período registou-se uma queda tanto na distribuição de malware como nos utilizadores efetivamente afetados em esquemas associados com este género de malware.

Em parte, a distribuição de malware por estes grupos de utilizadores foca-se em quem procura conteúdos que são normalmente adições para os jogos regulares. Aqui inclui-se conteúdos como mods, programas de modificação para os títulos, de cheats ou de outros temas relacionados aos mesmos. Na procura por estes conteúdos, os utilizadores são enganados a instalarem nos seus sistemas algo que, no final, se revela não ser verdadeiro.

Em alguns casos, os esquemas acontecem também em plataformas online, como é o caso de falsos websites para a venda de skins – sobretudo para CS:GO, onde esta prática é mais realizada – e onde o objetivo acaba por ser roubar as contas da Steam associadas.

06/09/2022
Não se assuste: Microsoft Defender causa falso-positivo de malware Win32/Hive.ZY

Os utilizadores do Microsoft Defender podem ter sido surpreendidos com um alerta de virus nos seus sistemas durante o dia de hoje, sobretudo se usam o Chrome, Edge, Discord ou aplicações baseadas em Electron.

Derivado de uma assinatura de vírus com falhas, o Microsoft Defender começou a marcar várias aplicações nos sistemas dos utilizadores como sendo malware, mais concretamente um malware conhecido como “Win32/Hive.ZY”.

O problema começou a ocorrer quando a Microsoft lançou a atualização das suas assinaturas de vírus 1.373.1508.0, o que ocorreu durante o início do dia de hoje. De acordo com o portal BornCity, vários utilizadores começaram a reportar a falha durante o dia de hoje, sendo que a Microsoft parece ter cancelado a disponibilização das assinaturas, mas não sem antes esta ter sido descarregada para muitos sistemas.

É importante reforçar que o alerta do Microsoft Defender é um falso positivo, ou seja, o sistema dos utilizadores não se encontra efetivamente infetado com o vírus indicado. Por alguma razão, as assinaturas mais recentes estão a levar a que determinadas aplicações sejam marcadas como tal.

A recomendação para os utilizadores que estejam a verificar problemas será de verificarem, a partir do Windows Update, se existe uma nova versão das assinaturas disponíveis para instalação, e como sempre, reiniciem os seus sistemas para garantir que as mais recentes versões estão efetivamente aplicadas.

04/09/2022
Apple melhora anti-malware no Mac que possivelmente não sabia que existia

A ideia de que os Macs não possuem vírus faz muitos anos que está como um “mito”, e visivelmente, estes sistemas não contam com uma solução de segurança contra malware. Pelo menos não da mesma forma que existe em soluções como o Windows, com o seu Defender.

No entanto, a Apple possui praticamente desde o Mac Snow Leopard, lançado em 2009, uma ferramenta de segurança conhecida como “XProtect”. Esta ferramenta trabalha silenciosamente em segundo plano, e pode ser considerado como o software de segurança do sistema e criado especificamente pela Apple para tal.

No entanto, este software é algo rudimentar. Isto porque apenas serve para bloquear ameaças reconhecidas pela Apple, e não como algo de proteção ativa para o sistema. Dai que existem alternativas, até mesmo comerciais, de antivírus para macOS.

No entanto, parece que a Apple tem vindo a dar cada vez mais destaque para esta solução de segurança. Howard Oakley, programador da Eclectic Light Company, dedica uma parte do seu tempo a analisar as alterações que a Apple realiza ao programa, praticamente desde as versões iniciais do mesmo.

Segundo Oakley, a Apple tem vindo a melhorar consideravelmente o XProtect, ao ponto que o mesmo agora analisa agressivamente o sistema por malware conhecido da empresa, além de contar com atualizações de forma mais frequente. Na realidade, o programador afirma que o XProtect encontra-se agora a par com muitas soluções comercialmente disponíveis, fazendo praticamente a mesma atividade de analisar o sistema por malware reconhecido.

Curiosamente, estas melhorias nas análises não se ficam apenas pelas versões recentes do macOS, já que a Apple continua a disponibilizar as atualizações até mesmo para versões do sistema que estão atualmente descontinuadas. E como tal, estas versões também estão a receber as análises mais agressivas por malware no sistema.

Para os utilizadores, no final, isto serão boas noticias, pois demonstra que a empresa está a apostar mais na segurança ativa dos seus sistemas – mesmo que o Mac ainda tenha um vasto conjunto de outras funcionalidades que protegem o sistema de ataques, muito antes do XProtect identificar os mesmos.

31/08/2022
Malware esconde-se em imagens do telescópio James Webb

Existem formas criativas por onde malware se pode propagar, mas esconder o mesmo em imagens é talvez uma das mais obscuras. Recentemente foi identificada uma nova campanha de malware, que esconde os conteúdos maliciosos sobre imagens do telescópio James Webb.

Apelidada de “GO#WEBBFUSCATOR”, esta campanha foi descoberta por investigadores da empresa de segurança Securonix, e basicamente esconde o malware em imagens que, supostamente, foram retiradas do telescópio.

O malware encontra-se desenvolvido em linguagem de programação Golang, e como tal adapta-se a diferentes sistemas Windows, Linux e Mac.

O ataque começa quando as vítimas recebem uma mensagem de email de phishing, normalmente com um ficheiro do Word anexado. No entanto, este ficheiro contém uma macro que, ao ser executada, acaba por descarregar para o sistema um ficheiro de imagem JPG.

O curioso será que a imagem é onde o malware verdadeiramente se encontra. Inicialmente, a imagem nada mais parece que uma foto capturada pelo telescópio James Webb, mas quando descodificada no sistema acaba por se transformar num ficheiro EXE, que é depois usado para instalar o malware no sistema.

Se aberta num visualizador de imagens, esta apresenta a foto da galáxia SMACS 0723, que foi publicada pela NASA em Julho de 2022. No entanto, o código da imagem demonstra que existe mais conteúdo dentro da mesma do que apenas a imagem, mais concretamente o malware que acaba por ser instalado no sistema.

A técnica não é certamente nova, mas demonstra que ainda existem formas de tentar inovar para ocultar as atividades maliciosas. Para a maioria dos utilizadores, o conteúdo final acaba por ser uma simples imagem, quando na verdade existe algo por detrás disso que pode afetar seriamente o sistema.

31/08/2022
Malware para Windows pode demorar um mês a instalar-se no sistema

Existe malware que tenta realizar as suas atividades o mais rapidamente possível, para garantir que os utilizadores não possuem tempo para detetar as atividades suspeitas ou removerem as mesmas. No entanto, também existe aqueles que não se importam de demorar algum tempo para essa tarefa.

Recentemente, investigadores da empresa de segurança Check Point revelaram um novo esquema de malware que se encontra em forte propagação, e que pode afetar os sistemas dos utilizadores durante um mês antes de serem realizadas as atividades maliciosas.

De acordo com os investigadores, o malware distribui-se sobretudo por falsas aplicações do Google Tradutor e de download de MP3s. Este malware encontra-se ainda a ser distribuído sobre vários sites legítimos de partilha de software, o que faz com que possa obter algum destaque antes de ser identificado.

O mesmo terá sido criado por um programador conhecido apenas por “Nitrokod”. Apesar de ser malware focado para roubar informação sensível dos sistemas das vítimas, e instalar sistemas de mineração de criptomoedas nos mesmos, a forma como tais atividades são realizadas é o ponto chave aqui.

O malware pode permanecer inativo no sistema durante mais de um mês, de forma a evitar a deteção. Para os utilizadores, estes podem acabar por instalar um programa que até funciona como se espera, mas ao mesmo tempo o malware também é instalado em segundo plano e permanece escondido durante esse período.

Os programas desenvolvidos por este programador, à primeira vista, parecem funcionar como esperado. O adiar a instalação do malware nos sistemas possui também como principal propósito dificultar a tarefa dos utilizadores identificarem a origem do ataque.

Quando um malware se instala num sistema, normalmente isso ocorre por algo que tenha sido feito de forma recente. No entanto, com a ativação passado apenas um mês, durante este período os utilizadores certamente que realizaram várias atividades no sistema, e torna-se mais difícil identificar a sua origem.

Durante este período de um mês, o programa legitimo inicialmente descarregado vai também executando as suas atividades, nomeadamente descarregando ficheiros encriptados do site do fabricante, em períodos regulares de 15 dias, e que vão assim instalando os componentes maliciosos no sistema.

Para além disso, o malware procede ainda com a tentativa de desativar o software de segurança do sistema, ou de adicionar o mesmo como uma exclusão das pesquisas.

Como sempre, a principal forma de evitar a instalação do malware passa por os utilizadores terem atenção aos locais de onde se encontram a descarregar os seus conteúdos, sobretudo de plataformas não reconhecidas ou para apps com funcionalidades suspeitas.

29/08/2022
Hackers exploram falha no sistema anti-cheat de Genshin Impact

Se costuma jogar o título Genshin Impact, talvez seja melhor ter atenção aos conteúdos que acede pela internet. Isto porque foi descoberto que existe diverso malware e ransomware que se encontra ativamente a usar uma falha no sistema de anticheat deste jogo para desativar os softwares de segurança do sistema.

A falha encontra-se sobre o módulo “mhypro2.sys”, que se encontra integrada no sistema de proteção do jogo, mas ao mesmo tempo pode também ser explorada de forma independente – até mesmo em sistemas que não tenham o título instalado.

Explorando falhas sobre este ficheiro, e a forma como o mesmo é executado no Windows, os atacantes podem conseguir realizar a desativação de software de segurança no sistema, o que abre as portas para a instalação do mais variado malware no sistema.

A driver possui um elevado acesso ao kernel do sistema, e basicamente permite que qualquer processo no mesmo seja terminado. As falhas no mesmo existem desde 2020, e apesar de terem sido reportadas ao longo dos anos, nunca foram corrigidas.

A gravidade é agora maior, tendo em conta que começaram a ser descobertas as primeiras campanhas de malware que estão a tirar proveito da mesma para infetar os sistemas.

De acordo com os investigadores da empresa de segurança Trend Micro, existem malware que está a tirar proveito destas falhas desde Julho de 2022, usando as mesmas para desativar as soluções de segurança do sistema das vítimas, e procedendo depois com a instalação do malware.

Infelizmente, existe pouco que os utilizadores possam fazer para evitar este caso, uma vez que a correção do problema necessita de ser feita pelos criadores do módulo. Apenas estes possuem a capacidade de revogar o certificado do DLL, que permite a instalação no Windows, evitando assim que o sistema considere as drivers como “seguras”.

26/08/2022
Falsa extensão do “Internet Download Manager” afetou 200.000 utilizadores do Chrome

Cada vez que instala uma extensão no navegador, deve ter atenção ao que realmente se encontra a instalar. Afinal de contas, estes “extras” para o navegador podem trazer consigo grandes funcionalidades, mas também verdadeiras dores de cabeça.

As extensões possuem uma grande integração com o navegador, e tendo em conta que a maioria dos utilizadores usam o mesmo para as mais variadas tarefas, esta é também uma das principais formas de ataques realizada sobre o mesmo.

E recentemente foi descoberta uma extensão que estaria disponível na plataforma da Google desde 2019, mas no processo pode ter roubado dados de quase 200 mil utilizadores. De acordo com o portal BleepingComputer, a extensão tentava tirar proveito dos utilizadores que pesquisavam pelo “Internet Download Manager” na loja de extensões da Google.

O IDM é um software legitimo, usado para gerir downloads da internet. No entanto, a extensão estaria a tentar tirar proveito do nome para enganar os utilizadores, sobre a promessa de acelerar o download ao mesmo tempo que acabava por realizar práticas maliciosas.

A extensão começava por alterar o sistema de pesquisa padrão do navegador para um em controlo dos atacantes. Além disso, esta ainda abrir diversos links para sites de spam, bem como popups associados a publicidade maliciosa, e que reencaminhavam o utilizador para programas com malware.

No processo, os dados dos utilizadores também poderiam ser recolhidos para os mais variados fins. Caso tenha esta extensão no navegador, recomenda-se que proceda imediatamente com a sua remoção. De notar que, na data de escrita deste artigo, a extensão ainda se encontra disponível na plataforma da Google, apesar das suas atividades maliciosas.

De notar que o IDM conta com uma extensão legitima, desenvolvida pela empresa Tonec, e que é associada diretamente com o programa sobre o mesmo nome. Esta será a única extensão na Chrome Web Store oficial para o programa, sendo que qualquer outra que alicie para tal será falsa.

25/08/2022
Nova campanha de malware distribui-se por programas piratas
A pirataria é um dos principais meios por onde malware se distribui, em parte porque os utilizadores que procuram este género de conteúdo tendem a baixar as suas defesas em prol de obterem acesso a algo “gratuitamente”.

No entanto, foi recentemente descoberta uma nova campanha de malware que se foca sobretudo em utilizadores que procuram versões pirateadas de software popular, e que se encontra a usar os próprios resultados de pesquisa da Google para se distribuir em peso.

Este género de campanha distribui-se normalmente em sites desconhecidos da internet, que prometem acesso a conteúdos de software pirateado com relativa facilidade, juntamente com os ativadores necessários.

De acordo com os investigadores da empresa de segurança Zscaler, a campanha foca-se sobretudo em utilizadores que estejam à procura de versões pirateadas dos seguintes programas:
- Adobe Acrobat Pro
- 3DMark
- 3DVista Virtual Tour Pro
- 7-Data Recovery Suite
- MAGIX Sound Force Pro
- Wondershare Dr. Fone
Os sites que prometem distribuir os ativadores ou cracks para estes programas levam os utilizadores para falsos sites de download, onde os mesmos são levados primeiro para um conjunto de redirecionamentos falsos – focados em apresentar publicidade aos mesmos.

Quando se chega efetivamente ao download, o que promete ser um ativador ou crack para o programa, é na realidade um malware que acaba por infetar o sistema das vítimas, focando-se no roubo de dados pessoais.

Os arquivos que são descarregados encontram-se protegidos por senha, para evitar serem identificados por software de segurança. Na maioria dos casos, os utilizadores são aconselhados também a desativarem os seus programas de segurança no pretexto de ativarem o software.

Caso o programa seja executado no sistema, este começa a realizar o download de malware de diversos locais pela internet, além de realizar uma verificação do sistema por dados sensíveis que possam ser roubados – como senhas e dados de login em ficheiros importantes.

Como sempre, a melhor proteção parte dos próprios utilizadores, que devem evitar procurar software pirateado e usar programas de ativação sobre o mesmo, tendo em conta que continua a ser um dos principais métodos pelos quais malware se distribui.
24/08/2022
Malware descoberto em milhares de réplicas de smartphones falsos da China

Os dispositivos Android estão especialmente vulneráveis para malware, uma vez que o ecossistema em si é aberto e permite que – infelizmente – esses géneros de conteúdos cheguem junto dos utilizadores.

E recentemente foi descoberto um novo malware que afeta sobretudo quem use a plataforma do WhatsApp, e para quem tenha a tendência a comprar smartphones falsificados. Como se sabe, existe um grande mercado de dispositivos falsos no mercado, que tentam aproveitar-se das grandes marcas para criar dispositivos falsos e consideravelmente inferiores em qualidade e desempenho.

Recentemente foi descoberto que alguns destes dispositivos possuem um malware instalado de fábrica, que pode afetar os utilizadores do WhatsApp e WhatsApp Business. O malware encontra-se sobre os dispositivos P48pro, radmi note 8, Note30u e Mate40 – todas versões falsas de dispositivos reais da Xiaomi, Samsung e Huawei.

O malware encontra-se escondido no próprio sistema operativo, através de ficheiros modificados maliciosamente. Quando os mesmos identificam que o utilizador instalou o WhatsApp, será quando estes entram em ação, roubando as conversas dos mesmos e usando o acesso para enviar malware e spam para potenciais vítimas – os contactos do utilizador.

De acordo com os investigadores da empresa de segurança Dr.Web, responsáveis pela descoberta, o malware encontra-se instalado de fábrica nestes dispositivos. Portanto não será algo que o utilizador acabe por descarregar ou instalar, mas sim algo que vêm de fábrica nos mesmos.

O malware possui ainda a capacidade de descarregar outro género de malware para o sistema, o que pode levar a ainda mais roubo de dados e ataques para as vítimas. Uma vez que o mesmo se encontra na base do sistema operativo, será consideravelmente difícil de remover sem uma alteração completa do mesmo.

Como sempre, ainda será recomendado que a principal forma de proteção seja dos próprios utilizadores, evitando dispositivos que sejam vendidos em mercados paralelos como réplicas.

23/08/2022
Nova campanha de malware afeta sites desatualizados de WordPress

Se possui um website baseado em WordPress, manter todos os conteúdos do mesmo atualizados é uma das práticas mais apropriadas para garantir também a sua segurança. E recentemente uma campanha tem tirado proveito de sites que não realizam esta tarefa regularmente.

De acordo com a empresa de segurança Securi, existe uma nova campanha ativa contra sites WordPress desatualizados, que tenta enganar as vítimas com falsos alertas de proteção DDoS da Cloudflare.

O ataque começa quando os visitantes do site recebem um alerta alegando ser da Cloudflare e do seu sistema de proteção DDoS. Este alerta leva os utilizadores a descarregar um ficheiro para os seus sistemas, concretamente um ficheiro de imagem de um disco. Este ficheiro é fornecido sobre o pretexto que o utilizador necessita de instalar um programa de segurança adicional no seu sistema para garantir a segurança do acesso.

O ficheiro, que se encontra sobre o nome de “security_install.iso”, nada mais é do que um ficheiro de imagem que contem malware, e que se o utilizador abrir no seu sistema, irá montar sobre uma drive virtual os conteúdos, abrindo portas para o ataque.

Se as vítimas instalarem o conteúdo requerido, ou abrirem o ficheiro de imagem, estarão a infetar o seu sistema com malware focado para roubar dados de acesso guardados nos navegadores e outras informações financeiras do sistema.

Todo o ataque começa a partir do momento que as vítimas acedem a um site infetado, que será sites baseados em WordPress que não foram atualizados ou que possuem falhas de segurança ativas.

Como tal, a recomendação será que os gestores de sites verifiquem se todos os seus ficheiros de temas e plugins se encontram atualizados e sem código malicioso integrado nos mesmos – ou que tenham sido modificados recentemente sem razão aparente.

21/08/2022
Novas aplicações maliciosas descobertas na Google Play Store com 2 milhões de downloads
De tempos a tempos surgem algumas aplicações que conseguem contornar as medidas de segurança da Google, chegando até à Google Play Store. Isto acarreta vários problemas, já que a maioria dos utilizadores consideram as apps nesta plataforma como sendo seguras.

Recentemente foi descoberto mais um conjunto de aplicações que conseguiram contornar estas proteções, chegando a ser instaladas nos dispositivos de mais de 2 milhões de vítimas.

De acordo com a empresa de segurança Bitdefender, que revelou esta descoberta, as aplicações alegam realizar o mais variado leque de funcionalidades. No entanto, depois de instaladas no sistema, estas ocultam as suas atividades, ao ponto de ocultarem também os Ícones das mesmas para ser mais difícil de as remover.

Feito isto, a app começa a apresentar publicidade de forma agressiva durante o uso do sistema. Além disso, tendo em conta que as aplicações usam a sua própria aplicação no sistema para distribuir este conteúdo, é possível que a mesma seja também usada para distribuir outro género de malware.

As aplicações tentam ainda ocultar-se sobre o sistema, na maioria das vezes alterando o ícone das mesmas e o nome para algo como “Definições”, que tornam complicado para os utilizadores regular de as diferenciarem de outras apps do sistema operativo.

No total foram descobertas 35 aplicações maliciosas na Play Store a realizarem estas atividades, contendo entre 10.000 e 100.000 downloads, com um total combinado de 2 milhões de instalações.
- Walls light – Wallpapers Pack (gb.packlivewalls.fournatewren)
- Big Emoji – Keyboard 5.0 (gb.blindthirty.funkeyfour)
- Grand Wallpapers – 3D Backdrops 2.0 (gb.convenientsoftfiftyreal.threeborder)
- Engine Wallpapers (gb.helectronsoftforty.comlivefour)
- Stock Wallpapers (gb.fiftysubstantiated.wallsfour)
- EffectMania – Photo Editor 2.0 (gb.actualfifty.sevenelegantvideo)
- Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincingeight)
- Fast Emoji Keyboard APK (de.eightylamocenko.editioneights)
- Create Sticker for Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
- Math Solver – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
- Photopix Effects – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
- Led Theme – Colorful Keyboard 2.0 (gb.theme.twentythreetheme)
- Animated Sticker Master 1.0 (am.asm.master)
- Sleep Sounds 1.0 (com.voice.sleep.sounds)
- Personality Charging Show 1.0 (com.charging.show)
- Image Warp Camera
- GPS Location Finder (smart.ggps.lockakt)
De notar que algumas das aplicações citadas ainda se encontram na Play Store, embora se acredite que a Google as venha a remover em breve. No entanto, caso tenha instalado alguma destas aplicações no seu dispositivo, recomenda-se que as remova imediatamente.
18/08/2022
Grupos de criação de malware já contornam proteções do Android 13

O Android 13 pode ter apenas alguns dias na sua versão final, mas os criadores de malware para o mesmo já encontraram formas de contornar algumas das medidas de proteção que também se encontram sobre o sistema.

Durante esta semana a Google disponibilizou oficialmente a versão estável do Android 13, o que inclui todo o código da versão AOSP. Com esta nova versão, a empresa tentou integrar novas medidas de proteção para o sistema, garantindo mais privacidade e segurança para os utilizadores, nomeadamente de apps maliciosas ou de permissões mais sensíveis para recolha de dados e tarefas no mesmo.

No entanto, de acordo com os investigadores de segurança da empresa Threat Fabric, existem grupos de malware que já se encontram a adaptar as suas criações para contornarem as medidas de proteção que a empresa integrou no sistema.

Enquanto que muitos programadores apressam-se para atualizarem as suas aplicações para a nova versão do Android, os criadores de malware para o sistema seguem os mesmos passo, mas com a ideia de como contornar as proteções que a Google impõe.

Em versões antigas do Android, uma das principais formas de malware afetar os utilizadores seria através do uso dos Serviços de Acessibilidade. Esta função nativa do Android tinha sido criada para ajudar os utilizadores, mas ao mesmo tempo começou a ser explorada também para atividades menos positivas, tendo em conta que permite um acesso bastante mais extenso ao sistema – com a possibilidade de realizar ações em nome do utilizador ou recolher dados do mesmo.

Com o Android 13, a Google começou a limitar consideravelmente esta funcionalidade, sendo que agora existem restrições sobre as tarefas que o mesmo pode realizar no sistema – para garantir que o utilizador se encontra seguro e evitar a sua exploração.

No entanto, os investigadores da ThreatFabric foram capazes de criar uma prova de conceito de um malware, adaptado para o Android 13, que é capaz de contornar estas restrições. O mais grave será que os investigadores afirmam ter conhecimento que a mesma ideia que estes implementaram na prova de conceito, está já a ser aplicada sobre malware por grupos especializados em tal.

Um dos primeiros grupos que se acredita estar a adaptar o seu malware para contornar as proteções do Android 13 será conhecido como “Hakoden”, que foram também responsáveis por criarem os trojans Gymdrop e Xenomorph, ambos focados para roubar dados financeiros.

O mais grave desta situação será que, quando o Android 13 começar a surgir em mais dispositivos no mercado – tendo em conta que atualmente ainda está limitado para a linha de dispositivos Pixel – existe uma forte possibilidade que também venham a começar em peso as campanhas de malware focado para o mesmo.

17/08/2022
Windows 10 KB5016688 disponível para o programa Insider

A Microsoft encontra-se a disponibilizar uma nova atualização para os utilizadores do Windows 10, que se encontrem dentro do programa Insider. A nova Build 19044.1947 (KB5016688) para Insiders encontra-se agora disponível, trazendo consigo algumas novidades interessantes.

Esta atualização ainda é considerada a 21H2, sendo que por agora ainda se desconhece quando a Microsoft vai fornecer a 22H2 para o Windows 10. Por entre as novidades desta build encontra-se a capacidade dos administradores de redes locais terem a capacidade de, remotamente, adicionarem novos idiomas para o sistema.

O Microsoft Defender for Endpoint foi também melhorado para ajudar a identificar ataques mais avançados de malware e ransomware, o que deve fornecer mais proteção para o sistema.

Foram ainda corrigidos alguns problemas com o Edge, que poderiam levar ao bloqueio do mesmo com a ativação do modo IE, juntamente com alguns erros que poderiam ser gerados sobre o encerramento do sistema.

A atualização encontra-se disponível desde já para todos os utilizadores do Windows 10 no programa Insider, a partir do Windows Update.

16/08/2022
Malware bancário para Android agora age como ransomware

De tempos a tempos surgem novas variantes de malware, focadas em roubar dados financeiros dos utilizadores para os mais variados fins. Um dos mais conhecidos até agora era o “Sova”, uma variante de malware que começou a aparecer no mercado em Setembro do ano passado.

No entanto, desde então, parece que este malware também tem vindo a evoluir, passando de um simples malware de roubo de dados, para literalmente ransomware.

De acordo com os investigadores de segurança da empresa Cleafy, o Sova tem vindo a ser atualizado de forma consistente, não apenas para suportar ainda mais aplicações bancárias de onde roubar dados, mas também para agir como ransomware no sistema.

As mais recentes variantes do Sova, para além de roubarem os dados bancários das vítimas, depois da tarefa procedem também ao bloqueio dos ficheiros no sistema operativo. A funcionalidade ainda parece estar a ser implementada pelos criadores do malware, mas encontra-se já ativa sobre as mais recentes versões do malware.

Ou seja, para além de roubar os dados bancários, e potencialmente outros dados financeiros guardados no sistema, o malware agora encripta os conteúdos pessoais como fotos, vídeos e ficheiros no smartphone, requerendo ao utilizador um pagamento para aceder aos mesmos.

A inclusão da vertente de ransomware neste género de malware não é vulgar, mas demonstra que o mesmo está a evoluir consideravelmente e que os autores do mesmo ainda estão em constante atualização do mesmo.

De relembrar que o Sova distribui-se sobretudo por aplicações maliciosas que podem ser encontradas, na maioria das vezes, sobre sites que fornecem apps gratuitamente – fora dos canais oficiais.

15/08/2022
Zoom para macOS possui vulnerabilidade sobre o instalador

O instalador do Zoom no macOS pode conter uma falha que, se explorada, permite obter recursos administrativos do sistema. Esta descoberta foi feita por um investigador de segurança, que revelou os detalhes da mesma depois de tentar contactar a empresa para resolver o problema.

De acordo com o investigador Patrick Wardle, a falha foi revelada durante o evento Def Con, que ocorreu em Las Vegas. Durante o evento, o investigador revelou que teria descoberto uma falha no instalador do Zoom sobre o macOS, a qual poderia permitir obter permissões administrativas dentro do sistema, sendo que esta falha ainda se encontra sobre as versões mais recentes do cliente.

Para explorar a falha, Wardle terá usado um sistema de auto atualização do zoom, que permanece em processo de segundo plano, e o qual pode ser mantido ativo para dar permissões elevadas de acesso. Com isto, um atacante pode correr praticamente qualquer género de software dentro do sistema, com permissões elevadas – sobretudo útil para malware.

A falha foi revelada para a Zoom em Dezembro de 2021, sendo que Wardle terá mesmo oferecido a sua ajuda para corrigir a mesma. No entanto, a empresa apenas corrigiu a falha algumas semanas antes do evento onde esta iria ser revelada. De notar ainda que, apesar da correção, Wardle afirma que a falha ainda pode ser explorada de alguma forma, o que indica que a medida não terá sido corretamente aplicada.

13/08/2022
Patch Tuesday da Microsoft corrige falha importante no GRUB

A Microsoft recentemente disponibilizou a nova atualização do Patch Tuesday, que chega para as mais recentes versões do Windows, e também para o Windows 7/8.

No entanto, existem agora mais motivos para instalar esta atualização, nem que seja pelas correções que a mesma aplica. Hoje sabe-se que a atualização foca-se também em corrigir uma falha importante relacionada com o Secure Boot DBX.

O Secure Boot Forbidden Signature Database é considerada uma lista de ficheiros que são marcados como maliciosos para execução nesta área do sistema. Esta lista normalmente engloba ficheiros que exploram falhas para executarem rootkits ou outros conteúdos maliciosos sobre o sistema dos utilizadores – nomeadamente no GRUB.

A atualização recente da Microsoft atualiza este conteúdo, tendo uma lista atualizada de ficheiros que serão considerados como maliciosos e que a empresa revelou ter descoberto como estando a ser usados para campanhas ativas de malware.

Como sempre, a atualização pode ser instalada sobre o Windows Update, onde a atualização se encontra disponível para todos os utilizadores.

12/08/2022
Revelados mais detalhes sobre como spyware Dracarys se propaga

Se costuma instalar aplicações fora da Google Play Store, talvez seja melhor ter cuidado com uma nova variante de malware que se encontra a propagar em força. Conhecida como “Dracarys”, este novo spyware tem vindo a ganhar força no mercado, e agora sabem-se mais detalhes sobre como é feita a sua propagação.

De acordo com os investigadores da empresa Cyble, este spyware propaga-se sobretudo sobre aplicações modificadas maliciosamente, nomeadamente aplicações falsas do Signal. Ao ser instalada no sistema, estas aplicações procedem também com a instalação do malware, realizando as suas atividades de espionagem.

A campanha parece focada para alvos específicos de momento, mas já foram confirmados ataques a utilizadores em vários países. O malware foi inicialmente reportado pela Meta, durante a revelação dos seus resultados financeiros respeitantes ao passado trimestre.

O malware foca-se sobretudo em obter detalhes sensíveis dos utilizadores, o que inclui as suas mensagens e conversas em diversas plataformas sociais. Também pode ativar a câmara e microfone para capturar ainda mais conteúdos.

As vítimas são na maioria das vezes atacadas ao acederem a páginas de phishing do Signal, que podem surgir quando estes tentam pesquisar pela aplicação em plataformas como o Google – e onde os resultados iniciais são apresentados por publicidade maliciosa que leva para o malware, invés do site real.

Uma vez que os utilizadores se encontram a instalar uma aplicação que, por si só, pede bastantes permissões do sistema, muitos podem não achar estranho que sejam realizados vários pedidos a informação sensível do sistema. No entanto, estes pedidos são feitos por parte do malware, de forma a obter o acesso necessário para as suas atividades.

Como sempre, é importante ter atenção aos locais de onde as aplicações são descarregadas, ainda mais se forem de fontes não oficiais, como é o caso da Google Play Store ou o site dos autores das aplicações – no caso de apps que não estejam disponíveis na plataforma da Google.

11/08/2022
Backdoor escassamente detetado visa governos e ONGs de todo o mundo

Especialistas da Kaspersky chamam à atenção para backdoor por detetar configurado como módulo malicioso dentro dos Serviços de Informação da Internet (IIS), um conhecido servidor web editado pela Microsoft.

Assim que disseminado, o SessionManager permite a realização de uma série de atividades maliciosas, desde a recolha de e-mails ao total controlo da infraestrutura da vítima. Utilizado pela primeira vez no final de maio de 2021, o backdoor recém-descoberto visou instituições governamentais e ONGs em África, Sul Asiático, Europa e Médio Oriente. A maior parte das organizações visadas têm até à data a sua segurança comprometida.

Em dezembro de 2021, a Kaspersky descobriu o “Owowa”, um até então desconhecido módulo IIS que rouba as credenciais inseridas por um utilizador ao entrar no Outlook Web Access (OWA). Desde então, os especialistas de cibersegurança têm estado atentos às novas oportunidades para a atividade cibercriminosa – tornou-se claro que implementar um backdoor no IIS é uma tendência de ataque para os cibercriminosos, que anteriormente se aproveitaram de uma das vulnerabilidades “ProxyLogon-type” existentes nos servidores do Microsoft Exchange. Numa investigação recente, os especialistas Kaspersky deram conta de um novo backdoor malicioso, apelidado SessionManager.

O backdoor SessionManager permite aos atacantes manterem um acesso persistente, furtivo e resistente a atualizações. Uma vez dentro do sistema da vítima, os cibercriminosos por detrás da ameaça podem aceder a e-mails da empresa, instalar outros tipos de malware ou gerir clandestinamente servidores comprometidos, que podem ser utilizados como infraestrutura maliciosa.

Uma característica distintiva do SessionManager é a sua reduzida taxa de deteção. Identificadas primeiramente pelos investigadores da Kaspersky no início de 2022, algumas das amostras do backdoor não foram categorizadas como maliciosas pela maior parte dos serviços mais conhecidos de scanning de ficheiros online.

Até à data, o SessionManager está ainda implementado em mais de 90% das organizações visadas, de acordo com o scan de Internet realizado pelos investigadores da Kaspersky.

De forma geral, 34 servidores de 24 organizações da Europa, Médio Oriente, Sul asiático e África foram comprometidos pelo SessionManager. O atacante que opera a ameaça mostra especial interesse em ONGs e entidades governamentais, contudo, entre os visados, constam também organizações médicas, empresas petrolíferas, empresas de transporte, entre outros.

Devido à vitimologia semelhante e ao uso da variante comum “OwlProxy”, os peritos da Kaspersky acreditam que o módulo malicioso IIS pode ter sido alavancado pelo atacante GELSEMIUM, como parte das suas operações de espionagem.

“A exploração das vulnerabilidades do servidor exchange está entre as favoritas dos cibercriminosos que estão desde o primeiro trimestre de 2021 a tentar aceder a infraestruturas-alvo. Foram mote para uma série de campanhas de ciberespionagem que durante muito tempo passaram despercebidas. O recém-descoberto SessionManager ficou um ano por detetar e continua ativo. Face à exploração maciça e sem precedentes das vulnerabilidades do lado dos servidores, a maioria profissionais de cibersegurança estavam ocupados a investigar e a responder às primeiras infrações identificadas. Em resultado, ainda é possível, meses ou anos depois, encontrar atividades maliciosas relacionadas, e é provável que seja assim por muito tempo,” comenta Pierre Delcher, Senior Security Researcher na Global Research and Analysis Team da Kaspersky.

“Ganhar visibilidade para ciberameaças reais e recentes é essencial para as empresas protegerem os seus bens. Ataques como este podem resultar em perdas financeiras ou reputacionais significativas e podem perturbar as operações de um alvo. A informação sobre ameaças é a única componente que pode permitir uma antecipação fiável e atempada de tais ameaças. No caso dos servidores Exchange, nunca é demais salientar: as vulnerabilidades do ano passado tornaram-nos alvos perfeitos, qualquer que seja a intenção maliciosa, pelo que devem ser cuidadosamente auditados e monitorizados para implantes ocultos, se ainda não o foram,” acrescenta Pierre.

10/08/2022
Microsoft Edge vai receber nova funcionalidade de segurança ativa por padrão

A Microsoft encontra-se a disponibilizar a nova versão do Edge 104 para todos, depois de ter estado disponível no canal beta desde o mês passado. Esta nova versão chega com algumas melhorias, sendo que uma das principais será focada para a segurança dos utilizadores durante a navegação.

Esta nova versão do Edge chega com a funcionalidade de “Enhanced Security” ativada para todos os utilizadores por padrão. Esta permite obter mais proteção contra potenciais ataques em sites que sejam menos visitados pelos utilizadores, enquanto mantém também a experiência de uso dos mesmos.

Por padrão, a funcionalidade vai encontrar-se configurada para a opção “Básica”, mas os utilizadores podem alterar esta configuração a partir das Definições, em edge://settings/privacy.

Esta funcionalidade também desativa o Just-in-time compiler (JIT) nos sites menos visitados ou desconhecidos, o que a Microsoft afirma que melhora drasticamente a segurança sem comprometer o desempenho, tornando mais complicado para os websites injetarem malware no sistema ou aproveitarem falhas para tal.

A Microsoft espera lançar a versão 104 do Edge para todos os utilizadores no canal estável durante os próximos dias, sendo que a atualização deve ser automaticamente instalada nos sistemas.

04/08/2022
Milhares de repositórios clonados usados para distribuir malware

Milhares de repositórios do GitHub foram recentemente copiados e clonados para incluírem malware, numa recente onda de ataques sobre a plataforma com o objetivo de tentar enganar programadores que façam uso desses mesmos conteúdos.

De acordo com o engenheiro de software Stephen Lacy, mais de 35.000 repositórios do GitHub foram recentemente clonados, de forma a introduzir alterações maliciosas sobre o código original existente na plataforma.

Apesar de o fork de conteúdos na plataforma ser algo comum, neste caso as cópias terão sido criadas com o objetivo de tentar enganar os utilizadores que venham a fazer uso dos mesmos, ao mesmo tempo que são usadas para distribuir malware. Estes forks estavam ainda assinados com chaves GPG dos autores originais, de forma a tentar passar uma imagem de maior validade para as potenciais vítimas.

O GitHub já confirmou que recebeu a indicação do engenheiro de software sobre estes clones, e terá removido a maioria, no entanto o problema ainda pode ter afetado um largo conjunto de utilizadores que tenham feito uso dos mesmos.

Segundo o engenheiro, este terá identificado a campanha maliciosa depois de descobrir algumas ligações a sites externos em vários projetos que tinham sido copiados dentro da plataforma, a partir do qual se descarregava os conteúdos maliciosos para os sistemas finais.

Pouco depois, foi também descoberto que estes repositórios clonados teriam ainda um backdoor, a partir do qual os atacantes poderiam aceder a informações sensíveis dos projetos onde seriam usados, o que inclui chaves de APIs, tokens e outros dados considerados sensíveis.

A campanha terá começado faz cerca de um mês, sendo que a melhor forma de garantir que os seus conteúdos estão seguros será certificar-se que estão a ser usadas fontes originais legitimas.

04/08/2022
Microsoft Defender pode ser usado para instalar ransomware no sistema

Os responsáveis pelo ransomware LockBit 3.0 estão a explorar uma falha existente sobre o Windows Defender para infetarem sistemas Windows, mais concretamente para levarem à instalação de programas que poderão permitir a encriptação de conteúdos com o ransomware, contornando também as principais medidas de segurança e softwares de segurança.

Para este fim, os atacantes encontram-se a usar o Cobalt Strike, uma suíte de programas genuína e usada para testes de segurança a sistemas. No entanto, apesar de o programa ser genuíno, a forma como os atacantes se encontram a usar o mesmo certamente que não será para esse fim.

De acordo com os investigadores da empresa de segurança Sentinel Labs, os atacantes encontram-se a explorar a linha de comandos do Microsoft Defender para levarem à infeção dos sistema, através da injeção de ficheiros DLL modificados para atividades maliciosas.

Estas tarefas são feitas através do programa MpCmdRun.exe, que será o usado pelo Microsoft Defender para a linha de comandos, sendo possível realizar várias ações pelo mesmo tal como se fossem feitas pela interface gráfica.

Através do uso da aplicação, e aproveitando o uso de DLLs que a mesma faz do sistema, os atacantes podem explorar a falha para instalar malware no sistema ou executar código malicioso no mesmo, que abre as portas para tal.

Tendo em contra que o Microsoft Defender é a suíte de proteção existente em vários sistemas Windows mais recentes, esta falha pode levar a que os utilizadores sejam infetados mesmo que tenham o programa a funcionar corretamente.

Uma vez que o malware pode executar praticamente qualquer comando no sistema, também pode desativar as proteções ou adicionar ficheiros específicos na lista para serem ignorados pelo Microsoft Defender.

29/07/2022
Cuidado com novo malware que se distribui pelo Discord

O Discord é uma plataforma bastante usada hoje em dia, que permite aos utilizadores comunicarem rapidamente – e apesar de o foco ser sobretudo para os gamers, a plataforma tem vindo a ser usada também como forma de comunicação em geral.

Com isto, a mesma torna-se também atrativa para atacantes, que tentam aliciar as suas vítimas pelo serviço. E recentemente o número de campanhas de malware que se têm vindo a propagar pelo Discord aumentou drasticamente, sendo que os utilizadores devem ficar atentos.

De acordo com os investigadores de segurança Igor Kuznetsov e Leonid Bezvershenko, foi registado um aumento nas campanhas de malware a distribuir-se pelo Discord, nomeadamente de um malware conhecido como “Volt Stealer” e “Lofy Stealer”.

Estes dois malwares, se infetarem o sistema das vítimas, acabam por roubar dados pessoais das mesmas e sobretudo os seus dados bancários e de pagamento.

Na grande maioria dos casos o ataque começa com as vítimas a serem contactadas por contas falsas para os mais variados pretextos. No entanto, a grande maioria é redirecionada para sites externos ou são enviados anexos que são indicados para serem abertos, e onde começa então a ser executado o ataque.

Se os conteúdos forem executados no sistema, acabam por instalar o malware no mesmo, permanecendo em segundo plano a recolher a informação necessária. Os dados são recolhidos de plataformas como o navegador ou até sites que estejam guardados no mesmo.

Como sempre, recomenda-se extremo cuidado com mensagens que sejam recebidas de contactos desconhecidos, sobretudo quando estes requerem o acesso a sites externos para as mais variadas tarefas ou enviem documentos para download.

29/07/2022
Malware com quatro anos continua a fazer vítimas nos dias de hoje

Cada vez que descarrega um novo programa para o seu computador deve ter em atenção o local de onde o mesmo se encontra a ser descarregado. Isto será importante para evitar possíveis casos de infeção de malware – e sobretudo quando existem campanhas de malware que possuem anos de existência, mas ainda estão a ser propagadas em força nos dias de hoje.

Um grupo de investigadores da empresa de segurança AhnLab revelou ter descoberto uma nova campanha do malware “Amadey Bot”, o qual possui quase quatro anos de existência, mas ainda se encontra bastante ativo.

Este malware propaga-se, sobretudo, por software fornecido em plataformas desconhecidas pela internet, e uma vez instalado nos sistemas, acaba por tentar roubar informação pessoal das vítimas, incluindo dados guardados nos navegadores.

O Amadey Bot distribui-se, sobretudo, por programas de crack ou pirataria que muitas vezes se encontram em sites desconhecidos. Mas também podem ser colocados em software aparentemente legitimo, mas de fontes terceiras.

Obviamente, manter um sistema de segurança ativo no seu computador pode ajudar a prevenir estes casos de infeção, mas ao mesmo tempo necessita-se de ter cuidado sobre os conteúdos que são descarregados e executados no sistema – algo que parte diretamente dos próprios utilizadores.

28/07/2022
Tenha cuidado com este esquema caso use o Facebook Business

Se possui uma conta do Facebook Business, talvez seja melhor ficar atento aos conteúdos que recebem pelo email ou mensagens diretas. Isto porque, ao longo das últimas semanas, têm vindo a aumentar consideravelmente os esquemas focados para gestores de contas do Facebook Business.

De acordo com o portal TechCrunch, encontra-se em ativo uma nova campanha que se foca nos gestores de contas do Facebook Business, e que possui motivações financeiras. O esquema começa através da instalação de malware nos sistemas desses gestores, que caso acedam às contas do Facebook Business, podem encontrar-se a comprometer os dados das mesma e todas as contas e páginas que estejam associadas à mesma.

O malware foi originalmente descoberto pela empresa de segurança WithSecure, tendo sido apelidado de “Ducktail”. O mesmo foca-se em infetar os sistemas das vítimas que sejam gestoras de contas do Facebook Business. O esquema foca-se em utilizadores que tenham permissões elevadas dentro destas contas, e normalmente distribui-se sobre emails de phishing ou através de mensagens diretas nas plataformas para os mais variados fins.

Os investigadores acreditam que os criadores do Ducktail escolhem as suas vítimas de forma seletiva. Ou seja, este malware não será focado para os utilizadores em geral, mas sim para contas especificas que foram alvo da atenção dos criadores da campanha.

Acredita-se que o malware tenha estado em propagação pela internet desde o início de 2021, tendo sido criado por um grupo sediado no Vietname. No entanto, as vítimas encontram-se em vários países distribuídos pela Europa, América do Norte e Sul, bem como no mercado asiático.

A maioria dos conteúdos maliciosos encontram-se armazenados em plataformas publicas como o Dropbox e iCloud, sendo que são muitas vezes enviados para os alvos como documentos externos que necessitam de ser verificados.

Caso obtenham acesso, os atacantes procedem com o roubo da conta do Facebook Business, alterando os dados das páginas e de outras informações na mesma, além de recolherem dados dos visitantes e usarem as páginas para a distribuição de outros esquemas diversos.

27/07/2022
Maioria dos ataques de malware possui origem no Microsoft Office

O Microsoft Office é, certamente, uma das suítes de produtividade mais usadas no mercado, estando presente num elevado número de sistemas. No entanto, derivado do seu largo alcance, é também um dos principais meios por onde malware pode acabar por infetar o sistema operativo.

De acordo com um recente estudo realizado pela empresa Atlas VPN, cerca de 80% dos ataques de malware do primeiro trimestre de 2022 foram realizados tendo como base a exploração de falhas no Office. O mais importante a reter, no entanto, será que este género de ataques tem vindo a aumentar consideravelmente ao longo dos últimos tempos.

Para comparação, no final do último trimestre de 2021, o número de sistemas explorados por malware através do Office encontrava-se em cerca de 60%. Ou seja, em menos de três meses este valor aumentou consideravelmente, para se tornar mesmo uma das principais formas de infeção dos sistemas atualmente.

Curiosamente, a exploração de falhas associadas com os navegadores caiu drasticamente, representando apenas 7.64% dos ataques de malware atualmente (anteriormente nos 25.57%). Encontra-se ainda a exploração de falhas sobre o Android, Adobe Flash, Java e ficheiros PDF, que embora bastante reduzidos, ainda somam alguns números.

A Microsoft tem vindo a tomar algumas medidas para tentar evitar ataques com origem nos seus programas, como é o caso do recente bloqueio por padrão de macros em documentos descarregados da Internet. No entanto ainda existe um longo caminho a percorrer para que estas medidas tenham reais alterações no mercado.

26/07/2022
Rootkit UEFI infeta motherboards da Gigabyte e Asus

Um grupo de hackers sediado na China pode ter estado desde 2016 a instalar malware na UEFI de várias motherboards no mercado, mais conhecido como um rootkit. A descoberta foi feita pelos investigadores da empresa de segurança Kaspersky, tendo o rootkit sido apelidado de CosmicStrand.

Apesar de apenas agora ter sido conhecido, acredita-se que uma versão inicial do CosmicStrand tinha sido descoberta pela empresa de segurança Qihoo360, com o nome de “Spy Shadow Trojan”. Independentemente disso, o rootkit é uma das formas de infeção mais graves que podem ser verificadas, tendo em conta que é consideravelmente difícil de o remover do sistema e identificar.

Este género de malware instala-se diretamente na UEFI, que faz parte do software inicial que o sistema usa para arranque – ainda antes do sistema operativo ter carregado. Teoricamente, um malware que se encontra neste ponto do arranque pode ter um vasto acesso ao sistema, e não será diretamente identificado pela maioria do software de segurança – uma vez que carrega ainda antes do sistema operativo.

Além disso, não importa se o sistema é formatado ou até qual o sistema que se encontra instalado, uma vez que o malware permanece entre esse processo. O CosmicStrand mantém-se na linha de arranque do sistema, alterando os comandos enviados para o sistema operativo, e tendo como objetivo levar à instalação de malware no mesmo para espiar os utilizadores e roubar dados sensíveis.

Apesar de a variante agora descoberta ser mais recente, acredita-se que as primeiras versões deste malware tenham sido descobertas em 2017, com a campanha do mesmo a iniciar-se em 2016. Ou seja, durante este período, o mesmo esteve a evoluir e a propagar-se para diferentes sistemas.

Os investigadores não conseguiram identificar a origem exata do mesmo. O malware foi descoberto apenas em motherboards da Gigabyte e Asus até ao momento, mas não se sabe como estes sistemas foram infetados.

Do que se sabe será que o foco parecem ser placas antigas, possivelmente com firmware modificado indevidamente – as placas descobertas com o rootkit tinham sido lançadas entre 2013 e 2015.

Acredita-se que o malware tenha sido propagado por um grupo de hackers sediado na China, embora a origem exata não possa ser clarificada.

26/07/2022
Este malware agora pode infetar o Windows através da Calculadora

O malware QBot não é novo no mercado, e na realidade faz alguns meses que os investigadores de segurança o analisam extensivamente. No entanto, de forma recente este começou a propagar-se com um formato diferente.

As mais recentes variantes do malware agora são capazes de se instalar em sistemas Windows usando apenas… a calculadora. Este ataque pode ser realizado devido ao que é conhecido como um ataque lateral de injeção de DLL, onde ficheiros DLL do Windows são substituídos por versões maliciosas.

De acordo com o investigador de segurança ProxyLife, o malware encontra-se a tirar proveito desta forma de ataque para infetar sistemas Windows 7 desde, pelo menos, 11 de Julho. Felizmente a falha apenas pode ser explorada em versões antigas do Windows, sendo que a partir do Windows 10 em diante não é possível explorar a falha.

Este é, no entanto, mais um alerta sobre a importância de manter o sistema operativo atualizado. O Windows 7, apesar de se encontrar em fim de vida, ainda é bastante usado no mercado, o que abre portas para possíveis explorações por malware para falhas que não vão ser mais corrigidas.

25/07/2022
Cuidado com novo esquema a usar resultados das pesquisas do Google

De tempos a tempos surgem alguns esquemas que podem ser considerados bastante trabalhosos na medida de tentar enganar os utilizadores finais. E o exemplo de hoje é um desses, que usa a própria publicidade da Google para tentar chegar às vítimas.

A empresa de segurança Malwarebytes revelou ter descoberto um novo esquema, que tira proveito da publicidade do Google para tentar chegar às vitimas, neste caso as que tentem procurara pelo YouTube.

A publicidade surge sobre alguns termos associados ao portal de vídeos, e como será um link de publicidade surge logo no primeiro resultado da mesma. Os utilizadores podem estar a pensar aceder ao link do YouTube original, quando na verdade estão a aceder a um link de publicidade, reencaminhando os mesmos para sites maliciosos.

Quando o utilizador acede ao link, é apresentada uma falsa mensagem de malware no sistema, criada para se assemelhar aos avisos do Windows e do Microsoft Defender, e onde o utilizador é aconselhado a ligar para um número de “suporte” da Microsoft – a partir de onde será então realizado a tentativa de roubo das vítimas.

Curiosamente, este esquema parece estar a detetar quando os utilizadores acedem a partir de uma VPN aos links maliciosos, redirecionando os mesmos para o YouTube real. Ou talvez numa tentativa de ocultar as atividades dos investigadores de segurança e da própria Google.

Este género de esquemas não é particularmente novo, mas pode ser bastante prejudicial para os utilizadores que acabem por cair no mesmo – e podem ser direcionados para as mais variadas vertentes.

20/07/2022
ESET confirma falso positivo a marcar Spotify como Trojan

Se utiliza o Spotify como app padrão de streaming no seu Android, e ao mesmo tempo também possui instalado o software de segurança da ESET, existe uma ligeira possibilidade que o mesmo o tenha alertado para a existência de malware… na plataforma de streaming.

Vários utilizadores confirmaram, no fórum de suporte da ESET, que a aplicação para Android da empresa encontra-se a marcar a app do Spotify como sendo maliciosa, classificando-a como um Trojan.

Mas se recebeu este alerta não necessita de se preocupar, porque a aplicação não é – obviamente – maliciosa. Trata-se mesmo de um falso positivo que aparenta ter começado a surgir com recentes atualizações feitas à base de dados da ESET.

A empresa já confirmou que se trata de um problema, e que se encontra a lançar uma nova versão da base de dados, corrigindo a mesma. Os utilizadores apenas necessitam de manter o seu software atualizado para garantir que a situação é resolvida – e claro, pode continuar a usar o Spotify na normalidade, ignorando o alerta.

20/07/2022
Novo malware possui como alvo os utilizadores do macOS

Um grupo de investigadores de segurança revelou ter descoberto um novo malware focado para os sistemas da Apple, e capaz de recolher diversa informação sensível dos mesmos.

Os investigadores da empresa ESET apelidaram a este novo malware de “CloudMensis”, tendo em conta que o mesmo usa os serviços de armazenamento cloud para realizar algumas das suas operações.

O malware, que era até agora desconhecido, comunica com os atacantes através de plataformas publicas de alojamento cloud, onde o mesmo envia não apenas os dados que recolhe dos sistemas Mac infetados, mas também vai buscar comandos para usar no sistema remoto.

Os investigadores acreditam que este malware pode ser um dos motivos que terá levado a Apple a introduzir recentemente o novo modo “Lockdown”, que bloqueia praticamente todas as funções do sistema em caso de suspeita de espionagem.

O malware foi inicialmente descoberto em Abril de 2022, sendo que faz uso de plataformas como o pCloud, Yandex Disk e Dropbox para realizar o envio e recolha de ficheiros, e como forma de comunicação central.

Até ao momento os investigadores não conseguiram descobrir como os sistemas terão sido originalmente infetados com o malware. No entanto, os investigadores foram capazes de verificar que o mesmo é realizado em duas fases: a primeira será quando o malware se instala no sistema, através da exploração de falhas ou por ação direta, e a segunda fase será quando este começa a comunicar com os serviços de armazenamento cloud.

Tendo em conta que os dados são enviados para aparentes serviços cloud, nem mesmo a filtragem de dados poderá ajudar a identificar o ataque – afinal de contas, o tráfego gerado será para essas plataformas, que são legitimas.

Os investigadores acreditam que o malware terá começado a ser propagado em Fevereiro de 2022, mas ainda se encontra focado apenas para algumas vitimas especificas, que possivelmente são escolhidas pelos atacantes.

19/07/2022
Atenção: Mais uma dezena de aplicações maliciosas descobertas na Google Play Store

De tempos a tempos surgem casos de aplicações com malware que acabam por ser distribuídas na Google Play Store. E desta vez foram descobertas mais de uma dezena de apps que estariam a distribuir malware bastante perigoso pelos utilizadores.

De acordo com a empresa de segurança Zscaler ThreatLabz, os investigadores notificaram a Google para a remoção de mais de uma dezena de apps na Play Store, as quais estariam a distribuir malware como o Joker, FaceStealer e Coper.

Os investigadores sublinham sobretudo o facto que o malware Joker estava entre os distribuídos por estas aplicações. Apesar de não ser um malware recente, o Joker consegue encontrar formas de se distribuir pela Play Store de forma bastante regular, contornando as principais medidas de segurança da Google.

De relembrar que o Joker é uma espécie de malware que se foca em roubar o máximo de informação pessoal dos dispositivos, incluindo mensagens SMS, emails, senhas, dados bancários e outras informações. O mesmo pode ainda usar o número de telefone dos utilizadores para subscrever a serviços de valor acrescentado.

No caso do malware FaceStealer, o mesmo foca-se sobretudo em roubar dados das contas sociais dos utilizadores, em plataformas como o Facebook e Twitter, usando depois as mesmas para a propagação de esquemas e spam. Também foram descobertas algumas apps contendo o malware Coper, conhecido por roubar dados bancários de vários bancos na Europa.

No total, mais de 50 aplicações foram descobertas na Play Store contendo os mais variados malwares. A maioria das aplicações encontravam-se a ser distribuídas como ferramentas para o sistema operativo ou como meio de comunicação – por exemplo, apps de SMS, possivelmente para ocultar as atividades maliciosas em segundo plano.

No total, as aplicações descobertas tinham mais de 300.000 downloads, mas as vítimas podem ser consideravelmente superiores. Os investigadores aconselham a quem tenha instalado alguma das aplicações a realizar uma verificação dos dados pessoais e se alguma conta em plataformas externas pode ter sido comprometida.

A lista completa de aplicações descobertas pode ser verificada neste link.

19/07/2022
Existe uma nova ameaça grave para os principais navegadores na internet

Desde pelo menos Janeiro de 2022 que uma campanha de adware tem vindo a distribuir-se pela internet em massa, afetando praticamente todos os navegadores, e que pode levar ao roubo de informação pessoal dos utilizadores.

De acordo com os investigadores de segurança da empresa Palo Alto, o adware foi apelidado de ChromeLoader, tendo em conta que se injeta no navegador para levar ao roubo de informação pessoal e apresentação de publicidade agressiva. Este género de malware encontra-se normalmente em extensões, que modificam as configurações do navegador para fazerem o mesmo redirecionar os utilizadores para sites maliciosos, apresentar publicidade ou outro género de atividades que podem comprometer a segurança dos mesmos.

O malware foca-se também em redirecionar todos os pedidos de pesquisa que sejam feitos pelo navegador, analisando as queries usadas e enviando as mesmas para os servidores em controlo dos atacantes. Estes dados podem, mais tarde, ser usados para os mais variados esquemas.

O mais interessante do ChromeLoader encontra-se no facto que este tem vindo a ser constantemente atualizado, sobretudo para tentar ocultar ao máximo as suas atividades maliciosas. Os criadores do adware têm vindo a lançar diferentes versões do mesmo, focadas em tentar ocultar ao máximo as atividades do mesmo em segundo plano – portanto os utilizadores podem ser afetados sem sequer se aperceberem, a menos que tenham uma vigilância apertada para este tema.

Como referido, o malware instala-se como uma extensão nos principais navegadores, mas a vertente inicial de ataque começa pela descarga de ficheiros potencialmente maliciosos para o sistema, que acabam por instalar o malware no mesmo.

Como sempre, será aconselhado que os utilizadores tenham uma suíte de segurança instalada nos seus sistemas e contem com medidas de proteção acrescidas, o que se aplica também a empresas.

17/07/2022
Malware descoberto na Google Play Store com milhares de downloads
Foi recentemente descoberto um novo malware que conseguiu infiltrar-se sobre a Google Play Store, e o qual terá sido instalado mais de 3.000.000 vezes em diferentes dispositivos.

De acordo com o investigador de segurança Maxime Ingrao, o malware seria apelidado de “Autolycos”, e focava-se em inscrever os utilizadores em serviços de subscrição com valores elevados, sem que os mesmos tivessem conhecimento de tal. O processo era feito diretamente dos dispositivos, e muitas vezes os utilizadores apenas tinham conhecimento da atividade ilícita depois de notarem pagamentos irregulares no saldo ou fatura ao final do mês.

O malware estaria a distribuir-se sobre diversas aplicações na Google Play Store, contornando as medidas de proteção da plataforma. Uma das aplicações onde o mesmo se encontrava seria a “Funny Camera” da KellyTech, aplicação que contava com mais de 500.000 instalações. Também estaria a ser distribuída sobre aplicações de teclado como a “Razer Keyboard & Theme” da rxcheldiolola, com 50.000 instalações.

Da lista fazem ainda parte as seguintes aplicações – entretanto removidas da Google Play Store:
- Vlog Star Video Editor (com.vlog.star.video.editor)
- Creative 3D Launcher (app.launcher.creative3d)
- Wow Beauty Camera (com.wowbeauty.camera)
- Gif Emoji Keyboard (com.gif.emoji.keyboard)
- Freeglow Camera 1.0.0 (com.glow.camera.open)
- Coco Camera v1.1 (com.toomore.cool.camera)
O investigador revelou ter descoberto o malware sobre estas aplicações em junho de 2021, tendo notificado a Google na altura para o caso. Apesar de a Google ter confirmado receber o alerta, apenas seis meses mais tarde as aplicações foram efetivamente removidas da plataforma.

Durante este período, as mesmas estiveram totalmente acessíveis para utilizadores do Android, e possíveis novas vítimas. Além disso, duas das aplicações usadas para distribuir o malware ainda se encontram na plataforma nos dias de hoje, mesmo depois da notificação pública do investigador.

De notar que as aplicações requeriam, muitas vezes, acesso a permissões que iriam longe das necessidades para o funcionamento da app, como era o caso de leitura de mensagens SMS e envio das mesmas. Apesar de existirem algumas com reviews negativas dos utilizadores, que davam indicações do malware, ao mesmo tempo existia também um conjunto elevado de avaliações positivas realizadas por bots.

Caso tenha alguma das aplicações citadas instalada no seu dispositivo, recomenda-se que remova imediatamente a mesma.
13/07/2022
Nova vulnerabilidade afeta processadores antigos da AMD e Intel

Mais uma vulnerabilidade foi descoberta que pode afetar alguns processadores mais antigos da AMD e Intel, e onde a correção pode ter impactos a nível do desempenho dos mesmos.

Johannes Wikner e Kaveh Razavi, dois investigadores da empresa ETH Zurich, revelaram recentemente mais uma vulnerabilidade, conhecida como “Retbleed”. Esta será similar aos ataques Spectre, sendo que quando explorada pode permitir acesso a alguns dados sensíveis dos utilizadores.

Teoricamente, software integrado nos sistemas que possam estar vulneráveis podem usar esta falha para acederem a locais da memórias que não teriam normalmente acesso, potencialmente roubando informação sensível.

Apesar de existirem formas mais simples de malware roubar dados dos utilizadores, esta falha é mais uma das que pode ter impacto para determinados utilizadores, embora apenas possa ser explorada de forma local.

[embedded content]

A falha afeta sobretudo processadores mais antigos da AMD e da Intel, tendo em conta que as gerações mais recentes contam já com as proteções necessárias para evitar a exploração da falha. É possível aos fabricantes lançarem atualizações para as falhas, mas ao mesmo tempo acredita-se eu as mesmas podem vir a ter impacto no desempenho final dos sistemas.

Estima-se que as correções possam levar a perdas de desempenho dos chips entre os 13 e 39%, dependendo dos mesmos. Os investigadores apontam que a equipa de desenvolvimento do kernel de Linux será uma das primeiras a lançar a correção para os sistemas afetados.

12/07/2022
WhatsApp volta a alertar para falsas aplicações da plataforma

Os utilizadores do WhatsApp que pretendem tirar um pouco mais de partido da plataforma, muitas vezes optam por instalar versões modificadas da aplicação. Estas aplicações focam-se em fornecer alguns extras que não se encontram na app tradicional, ou a remover algumas limitações.

No entanto, para a plataforma, será certamente uma má ideia de o fazer. O CEO do WhatsApp veio recentemente deixar críticas ao uso destas apps, alegando que o uso das mesmas é uma “má ideia”. Will Cathcart afirmou recentemente que apps como WhatsApp GB e outras similares contornam as proteções de segurança e privacidade que se encontram implementadas no WhatsApp regular.

Além disso, estas apps são muitas vezes distribuídas com malware, que pode comprometer de forma séria a privacidade e segurança dos utilizadores. Estas focam-se ainda em recolher informações dos utilizadores para os mais variados fins, mas longe de serem fidedignas.

A Google encontra-se atualmente a considerar este género de aplicações como sendo maliciosas, a partir do Google Play Protect. Esta medida terá começado a ser aplicada recentemente, mas mesmo os utilizadores que tenham usado estas apps modificadas no passado irão receber os alertas nos seus dispositivos Android.

É também importante relembrar que, para quem usa este género de aplicações, existe o risco do seu número de telefone ser bloqueado do WhatsApp, impedindo o acesso total à plataforma.

12/07/2022
Microsoft afirma que macros no Office será algo temporário

Recentemente a Microsoft ficou em alvo de críticas, depois de ter decidido voltar a permitir por padrão os macros em documentos do Office descarregados da Internet. A empresa tinha prometido que iriam bloquear estes conteúdos, focando-se na segurança dos utilizadores.

No entanto, numa medida inesperada, a empresa decidiu recentemente voltar atrás na decisão, mantendo as macro VBA ativas sobre documentos do Office descarregados da internet.

As macros têm vindo a ser, faz anos, um dos principais meios de ataques de malware, sobretudo para empresas. A sua utilização é muitas vezes abusada para este fim, motivo pelo qual a maioria dos especialistas em segurança digital recomendam a desativação completa das mesmas.

Acreditava-se que a Microsoft poderia finalmente resolver este problema, ao desativar por padrão os macros dos ficheiros do Office, mas a empresa decidiu à última da hora voltar atrás nessa decisão.

Felizmente parece que isso não vai ser de forma permanente. Isto porque a Microsoft veio agora esclarecer a situação, indicando que a medida de continuar a permitir as macros VBA em documentos do Office descarregados da Internet será algo temporário, e que ainda se encontra a ideia de bloquear estes conteúdos daqui em diante.

A empresa deverá fornecer mais informações durante as próximas semanas, mas poderemos esperar que, em futuras atualizações, as macros venham finalmente a ser desativadas por padrão.

12/07/2022
Fique mais seguro ao desativar as macros dos ficheiros do Office

Recentemente a Microsoft voltou a atrás na decisão de bloquear automaticamente os macros nos documentos do Office, uma medida que foi fortemente criticada pela comunidade de especialista de segurança na internet.

As macros certamente que podem ser usadas para atividades legitimas nos ficheiros do Office, mas ao mesmo tempo são também a porta de entrada para possíveis ataques de malware. Muitas campanhas de phishing e malware propagam-se através de ficheiros do Excel ou Word contendo macros para descarregar o malware no sistema.

Para prevenir isso mesmo, em Fevereiro deste ano, a Microsoft tinha revelado que o Office iria começar a bloquear as macros VBA por padrão, em documentos que seriam descarregados da internet. A medida foi prevista de ser implementada em Junho, mas infelizmente a empresa voltou atrás nessa decisão depois de críticas a possíveis problemas para utilizadores empresariais.

Existe, no entanto, uma forma sobre como os utilizadores ainda se podem proteger deste género de ataques, o que poderá ser especialmente útil para empresas que tenham vários sistemas e pretendam garantir uma certa proteção para os mesmos.

Usando pequenas alterações no registo do Windows, é possível bloquear a execução de macros em todos os documentos do Office que sejam descarregados da Internet. Esta medida irá garantir uma camada adicional de segurança para quem tenha ambientes onde as macro não seja necessárias – e até mesmo para utilizadores domésticos.

Para ativar a mesma, basta seguir as indicações:

1- Aceda ao Editor de Registo do Windows, através do menu inicial, pesquisando por “regedit”.

2- Navegue até à entrada HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\

3- Dentro desta chave, irá ter de selecionar a versão do Office que se encontra instalada no sistema. No nosso exemplo temos a versão do Microsoft 365, sendo que surge como “16” na chave final.

4- Dentro da chave com a versão, necessita agora de aceder ou criar uma nova chave com o nome da aplicação onde pretende desativar as macros com uma subchave sobre o nome de “security”. Por exemplo, se pretender desativar para o Word, necessita de criar a chave “word” e depois, dentro desta, a “security”.

5- Dentro da chave “security”, crie um novo valor DWORD com o nome “blockcontentexecutionfrominternet”, e coloque o valor de “1”.

Feito isto, sempre que tentar abrir um documento do Word – ou da aplicação escolhida – com macros e de um ficheiro descarregado da internet, o conteúdo não será carregado automaticamente.

Caso pretenda, pode desbloquear os ficheiros descarregados da internet nas propriedades do mesmo, o que deverá voltar a permitir que as macros sejam executadas – atenção que apenas deve realizar este passo se realmente confiar no documento e na sua origem.

No entanto, com esta opção, deverá encontrar-se agora com as macros desativadas por padrão para ficheiros de origem desconhecida.

Mas deixe nos comentários: costuma usar macros para os seus documentos do Office?

11/07/2022
Investigadores descobrem perigoso malware indetetável em 50 soluções antivírus

Muito malware acaba por ser identificado rapidamente pelas empresas de segurança, passando essa informação para os respetivos softwares de segurança. No entanto, é raro o caso em que um malware não seja, pelo menos, identificado por um desses softwares.

No entanto foi exatamente isso eu os investigadores da Unit 42 revelaram ter descoberto. A empresa, associada à firma Pala Alto, revelou ter descoberto um novo malware que, na altura da sua identificação, não estaria a ser identificado como malware por mais de 50 softwares de segurança.

Os investigadores acreditam que o malware estaria a usar uma ferramenta conhecida como Brute Ratel para levar a cabo as suas atividades maliciosas. Segundo os investigadores, o malware propaga-se normalmente sobre ficheiros de imagem, que quando montados num sistema, fazem os utilizadores levar a um documento do Word, contendo o verdadeiro payload para infetar o sistema.

Este malware propaga-se sobretudo sobre email, em campanhas que usam sistemas de recrutamento ou outros documentos importantes. Os investigadores acreditam que o malware terá o apoio de algum estado, tendo em conta a forma como se encontra desenvolvido, e que será focado para alvos específicos.

Existem indicações que o malware pode ter sido criado pelo grupo “APT29”, que é bem conhecido pelas suas ligações com o governo russo.

O malware encontra-se de tal forma ofuscado que todos os softwares de segurança que o analisaram inicialmente não detetaram qualquer atividade suspeita – e como tal, o grau de possível infeção do sistema é mais elevado, tendo em conta que nem mesmo sistemas protegidos com antivírus estariam totalmente a salvo.

08/07/2022
Emotet parece estar de volta com novas campanhas de malware

O nome “EMOTET” é já bem conhecido de um grande conjunto de investigadores de segurança, sendo um malware que se tem propagado em força sobre os mais variados sistemas, normalmente usando esquemas de phishing ou anexos maliciosos em emails.

No entanto, apesar de não ser propriamente recente, o malware parece estar novamente a voltar ao ativo. A CNCS alertou recentemente para um aumento considerável no caso de emails enviados contendo o emotet como anexo ou como meio de descarga.

Na maioria dos casos, o email é modificado para aparentar ter sido enviado de um endereço conhecido, ou até como resposta de conversas anteriores, tendo em conta que o malware tenta propagar-se também através de contas de email em sistemas afetados pelo mesmo.

Na maioria dos casos, o malware encontra-se como um ficheiro comprimido em anexo das mensagens de email, com uma senha especifica para evitar a deteção pelos programas de segurança.

A mensagem do email malicioso também tende a ter um texto de urgência, para levar os utilizadores a descarregar os anexos ou a aceder aos links externos.

Se o Emotet for instalado no sistema, pode acabar por roubar dados sensíveis dos utilizadores, enviando os mesmos para servidores remotos em controlo dos atacantes. Além disso o malware tenta também propagar-se por contas de email configuradas no sistema, e para os mais variados contactos.

A CNCS recomenda que os utilizadores reforcem as suas medidas de segurança contra este género de campanhas, evitando a abertura de anexos desconhecidos ou tendo atenção aos emails recebidos e os seus conteúdos.

Também se recomenda que sejam bloqueados os Ips associados com a campanha do malware, que podem ser encontrados nesta lista.

07/07/2022
ToddyCat: um novo grupo de cibercrime com foco em grandes empresas

Investigadores da Kaspersky alertam para campanha em curso levada a cabo por um grupo avançado de ameaça persistente (APT) chamado ToddyCat, cujo objetivo é comprometer múltiplos servidores Microsoft Exchange usando dois programas maliciosos: o backdoor Samurai e o Ninja Trojan. A campanha visava principalmente a administração pública e setor militar na Europa e na Ásia.

ToddyCat é um grupo APT relativamente novo e sofisticado, cuja atividade foi detetada pela primeira vez por investigadores da Kaspersky em Dezembro de 2020, quando levou a cabo uma série de ataques aos servidores-alvo da Microsoft Exchange. Entre fevereiro e março de 2021, a Kaspersky observou uma rápida escalada quando o ToddyCat começou a explorar a vulnerabilidade do ProxyLogon nos servidores Microsoft Exchange para comprometer múltiplas organizações em toda a Europa e Ásia.

A partir de Setembro de 2021, o grupo moveu a sua atenção para as máquinas desktop relacionadas com o governo e entidades diplomáticas na Ásia. O grupo atualiza constantemente o seu arsenal e continua a realizar ataques em 2022.

Embora não seja claro qual é o vetor inicial de infeção para as atividades mais recentes, os investigadores realizaram uma análise minuciosa do malware utilizado nas campanhas, concluindo que o ToddyCat utiliza o backdoor Samurai e o Ninja Trojan, duas sofisticadas ferramentas de ciberespionagem concebidas para penetrar profundamente em redes alvo, ao mesmo tempo que mantém persistentemente a sua furtividade.

O Samurai é um backdoor modular, utilizado na fase final do ataque que permite ao atacante administrar o sistema remoto e mover-se lateralmente dentro da rede comprometida. Este malware destaca-se porque utiliza múltiplos fluxos de controlo e declarações de casos para saltar entre instruções, o que torna difícil seguir a ordem das ações no código.

Além disso, é utilizado para lançar um novo malware denominado Ninja Trojan, uma ferramenta colaborativa complexa que permite que vários operadores trabalhem na mesma máquina em simultâneo.

O Ninja Trojan também fornece um grande conjunto de comandos, possibilitando aos atacantes controlar sistemas remotos, evitando ao mesmo tempo a deteção. É normalmente carregado na memória de um dispositivo e lançado por vários loaders.

O Ninja Trojan inicia a operação recuperando parâmetros de configuração do payload encriptado, e depois infiltra-se profundamente numa rede comprometida.

As capacidades do malware incluem a gestão de sistemas de ficheiros, o arranque de shells invertidas, o encaminhamento de pacotes TCP e até a tomada de controlo da rede em períodos de tempo específicos, que podem ser configurados dinamicamente usando um comando específico.

O malware assemelha-se também a outras estruturas pós-exploração bem conhecidas, tais como o CobaltStrike, com as características do Ninja que lhe permitem limitar o número de ligações diretas da rede visada aos sistemas de comando e controlo remoto sem acesso à Internet. Além disso, pode controlar indicadores HTTP e camuflar o tráfego malicioso nos pedidos HTTP, fazendo-os parecer legítimos através da modificação do cabeçalho HTTP e dos caminhos URL. Estas capacidades tornam o Trojan Ninja particularmente furtivo.

“O grupo ToddyCat é um sofisticado agente de ameaças com elevadas capacidades técnicas, capaz de voar sob o radar e de se tornar uma organização de alto nível. Apesar do número de loaders e ataques descobertos durante o último ano, ainda não temos uma visibilidade completa das suas operações e táticas. Outra característica notável do ToddyCat é o seu foco nas capacidades avançadas de malware – o Ninja Trojan recebeu o seu nome por uma razão. É difícil de detetar e, portanto, difícil de parar. A melhor maneira de enfrentar este tipo de ameaça é utilizar defesas multicamadas, que fornecem informações sobre bens internos e se mantêm atualizadas com as últimas informações sobre ameaças”, comenta Giampaolo Dedola, perito em segurança da Kaspersky.

Para saber mais sobre o ToddyCat, as suas técnicas e formas de proteger a sua rede de potenciais ataques, consulte o relatório em SecureList.

07/07/2022
Jovens estão a formar grupos de “hacking” a partir do Discord

Ransomware não é algo que deva ser tratado como uma brincadeira, mas tendo em conta que é relativamente simples de se encontrar amostras do mesmo, agora existem jovens que se encontram a trocar o mesmo como sendo uma “conversa de Discord”.

De acordo com uma investigação da empresa de segurança Avast, existem cada vez mais jovens que estão a passar ransomware para amigos “como brincadeira”. A empresa de segurança afirma ter descoberto um grupo no Discord focado em criar, partilhar e propagar ransomware como se fosse uma brincadeira de crianças – e com foco exatamente nas mesmas.

Este grupo usa software simples de construção de ransomware para criar as suas próprias adaptações. O mais curioso é que a maioria do público destes grupos são jovens, que propagam o malware como uma brincadeira para amigos ou conhecidos, ou em casos mais graves, como forma de ver se alguma entidade paga o resgate.

A maioria dos jovens entram nestes grupos por considerarem que os mesmos são “engraçados” e por se poderem apelidar de “hackers” no processo. Os construtores de ransomware dão a porta de entrada para essa tarefa, já que não exigem conhecimentos de programação e podem ser usados por praticamente qualquer pessoa de forma bastante simples.

A criação dos grupos no Discord também faz com que os jovens tenham uma espécie de “grupo” de conhecidos para as mesmas atividades.

Mesmo que o ransomware seja um género de malware consideravelmente perigoso, estes jovens não parecem importados com as consequências legais que podem sofrer dos ataques que realizam.

05/07/2022
Microsoft Defender surpreende em proteção contra ransomware
O Microsoft Defender tem vindo a ficar atrás da competição no que respeita ao desempenho e proteção, com várias das principais plataformas de teste de antivírus no mercado a darem notas abaixo da expectativa ao software.

No entanto, nem tudo parece mau para o software de segurança nativo do Windows 10 e Windows 11. Ao que parece, o Defender obteve um resultado positivo no que respeita à proteção contra ransomware do portal AV-TEST.

É importante notar que este género de testes não explora todo o género de malware que existe no mercado, mas é um bom ponto de partida para analisar a proteção que um determinado antivírus fornece sobre o sistema.

E no que respeita a proteção contra ransomware, os testes da AV-TEST demonstram que o Defender tem vindo a melhorar consideravelmente. O Microsoft Defender junta-se na lista de 12 outros programas de segurança que foram considerados bons em nível de proteção contra ransomware, tendo sido capazes de identificar e bloquear o mesmo.

Da lista fazem parte os nomes:
- Avast
- AVG
- Bitdefender
- F-Secure
- G DATA
- K7 Computing
- Kaspersky
- Microsoft
- Microworld
- NortonLifeLock
- PC Matic
- VIPRE Security
No caso específico do Defender, o software de segurança foi capaz de identificar os ataques de ransomware numa fase bastante inicial do ataque, o que permitiu também ao programa bloquear a exploração das falhas e encriptação de ficheiros numa fase bastante inicial.

Apesar de o Defender ainda não ser perfeito a nível da proteção que fornece sobre o sistema, os avanços que a Microsoft tem vindo a realizar no mesmo são certamente de louvar, e capazes de criar uma solução de segurança relativamente aceitável para os utilizadores dos sistemas mais recentes do Windows.
04/07/2022
Microsoft alerta para novo malware focado em utilizadores do Android

A Microsoft revelou recentemente ter descoberto um novo malware focado para o Android, que pode subscrever os utilizadores em assinaturas dispendiosas sem que os mesmos tenham conhecimento de tal.

De acordo com a mensagem publicada no blog de segurança da empresa, o novo malware para Android foca-se em usar os números de telefone dos utilizadores para subscrever os mesmos em diversos serviços online de valor acrescentado.

Este malware faz uso do que é conhecido como pagamentos WAP, onde o saldo dos utilizadores é usado para a cobrança de serviços premium online. Isto faz com que os utilizadores possam ser cobrados sem sequer se aperceberem, a menos que olhem para o saldo no final, ou quando a fatura chegar ao fim do mês.

O malware, depois de instalado no sistema, procede com a subscrição automática do número de telefone em diversos sites. Todo o processo é feito automaticamente, sem que o utilizador se aperceba de tal.

O malware encontra-se ainda programado para desativar a ligação Wi-fi do utilizador, garantindo que o mesmo está a aceder sobre dados móveis, e tendo assim mais sucesso na subscrição dos serviços de valor acrescentado.

Este malware propaga-se sobretudo por apps disponibilizadas fora da Google Play Store, em sites que prometem apps gratuitas ou com “cracks”. Como sempre, o recomendado será que os utilizadores tenham cuidado com as aplicações que instalam nos seus dispositivos, ao mesmo tempo que evitem instalar apps fora da Play Store.

04/07/2022
Raspberry Robin: Microsoft alerta para novo ataque a redes Windows

A Microsoft encontra-se a alertar para um novo malware que se encontra a propagar em força nos últimos tempos, e que afeta sobretudo redes que tenham computadores sobre sistemas Windows.

Apelidado de “Raspberry Robin”, este novo malware explora falhas no sistema e nas redes locais para propagar o seu ataque a vários sistemas diferentes. Este malware propaga-se sobretudo por redes internas, mas o ponto de origem tende a ser por uso de uma USB infetada com ficheiros LNK.

Quando os utilizadores carregam neste ficheiro de atalho, começam também o processos de infeção da rede local com o malware. O malware tenta ligar-se a vários servidores de controlo, de onde são descarregados conteúdos maliciosos para o sistema, tentando ainda ocultar as atividades através do uso de ligações pela rede TOR.

É importante notar que o “Raspberry Robin” não é um malware propriamente novo no mercado. Na verdade, várias empresas de segurança já o tinham reportado em inícios de 2021, e a Microsoft até confirmou que existiam indicações dos ataques terem datado de 2019. No entanto, ultimamente tem vindo a registar-se um aumento considerável no número de redes empresariais infetadas por este malware.

A empresa revela que terá descoberto o malware atualmente ativo sobre centenas de redes empresariais, e que o número continua a aumentar diariamente. O mais interessante deste malware encontra-se no facto que usa a rede TOR para comunicar com os diferentes servidores de controlo, o que oculta não apenas as atividades, mas também permite manter uma linha de comunicação para futuras instalações de mais malware nos sistemas ou até ataques de ransomware.

03/07/2022
Malware esteve durante 15 meses a infetar servidores Microsoft Exchange

Uma das melhores situações para qualquer malware ocorre quando este consegue manter-se oculto de olhares atentos dos investigadores por vários meses, sem que seja identificado. Isso permite que seja mantida a sua atividade maliciosa durante um longo período de tempo.

E foi exatamente isso que investigadores da Kaspersky revelaram ter descoberto: um malware que durante quase 15 meses esteve a infetar servidores baseados em Microsoft Exchange, sem que ninguém tivesse suspeitado.

De acordo com os investigadores, o malware, apelidado de “SessionManager”, focava-se em servidores baseados em IIS, com o Exchange, explorado falhas sobre o mesmo para tentar obter acesso aos dados existentes nestes sistemas.

Os investigadores acreditam que o malware era bastante especifico, infetando apenas sistemas direcionados para tal. Acredita-se que 34 servidores Exchange tenham sido infetados pelo SessionManager, em mais de 24 entidades diferentes, desde Março de 2021.

Em Junho deste ano, a empresa de segurança afirma que 20 das entidades ainda teriam sistemas infetados pelo malware.

O malware instalava-se como um backdoors para os sistemas, dando controlo aos atacantes de realizarem qualquer atividade que fosse necessária. Isto permitia também aos atacantes obterem dados dos sistemas, que poderiam ser considerados sensíveis.

Este malware manteve as suas atividades durante mais de 15 meses, sem que fosse identificada qualquer situação. Acredita-se que um grupo de hackers conhecidos como “Gelsemium” poderá estar por detrás da criação desta ameaça.

01/07/2022
Malware YTStealer foca-se para os criadores de conteúdos no YouTube

Existe um novo malware pela Internet que se foca para os criadores do YouTube, com o objetivo de roubar as contas dos mesmos para publicação de conteúdos enganadores ou envio de spam para a plataforma.

Apelidado de YTStealer, este novo malware foi descoberto pelos investigadores da empresa Intezer, sendo que se foca em roubar os dados de login sobre a plataforma de vídeos da Google.

Tendo em conta que o malware foca-se sobretudo para criadores, este é distribuído a partir de supostos programas de edição de vídeos, muitas vezes fornecidos em sites de pirataria. Este pode mascarar-se sobre programas como o OBS Studio, Adobe Premiere Pro, FL Studio, Ableton Live, Antares Auto-Tune Pro, e Filmora.

Por vezes este pode também ser encontrado em conteúdos que os criadores usam, sobretudo a comunidade gamer, como é o caso de jogos piratas do Grand Theft Auto V, programas de cheats para CS:GO ou para Valorant. Os investigadores também o descobriram sobre alguns programas que prometem gerar acesso do Discord Nitro e Spotify Premium.

Quando este é instalado num sistema, o mesmo começa por analisar os dados do navegador, de forma a identificar se existe o potencial de o utilizador ter uma conta no YouTube como criador. Depois disso, procede ao roubo e envio de dados como o nome do canal, subscritores ativos, estado da monetização, entre outros detalhes. Estes dados são enviados para servidores em controlo dos atacantes.

Todo este processo é realizado em segundo plano, muitas vezes sem as vítimas terem exatamente noção do que está a acontecer a menos que venham processos suspeitos nos seus sistemas. O malware recolhe os tokens e cookies de acesso diretamente do navegador, para garantir que as vitimas nem sequer sejam alertadas para o caso.

As contas que são recolhidas pelo malware podem ser usadas para vários fins. Em algumas situações as mesmas são usadas para o envio de conteúdos de spam para a plataforma, aproveitando os subscritos para propagar esquemas e mais malware. Em outras situações, as contas são guardadas pelos gestores do malware, sendo colocadas à venda na Dark Web – sobretudo contas de criadores com elevados valores de subscritos na plataforma.

O mais interessante deste malware encontra-se no facto de usar os tokens das contas para acesso, o que basicamente permite contornar medidas de proteção como a autenticação em duas etapas nos sistemas infetados. Uma das formas de se proteger contra este ataque passa por sair das contas periodicamente.

29/06/2022
Google poderá prevenir emails de campanhas políticas de irem para o spam

O Gmail possui um dos filtros mais avançados de spam que existe, e apesar de estar longe de ser perfeito, o mesmo faz a tarefa que se pretende relativamente bem. Mensagens indesejadas são enviadas para a pasta de spam, e as que realmente se pretendem chegam na caixa de entrada.

No entanto, a Google pode agora estar a ponderar criar um filtro, que iria permitir aos utilizadores receberem mensagens de campanhas políticas. Este novo sistema iria ser colocado em ação depois das críticas deixadas à empresa sobre as últimas eleições politicas nos EUA, onde vários candidatos acusaram a empresa de enviar as suas mensagens de campanha para as pastas de spam.

A Google já afirmou que não aplica qualquer género de tendência para as mensagens que são consideradas spam, e que os filtros em questão são baseados em vários fatores, usando em grande parte IA para mitigar os conteúdos suspeitos. Isso pode levar a que algumas mensagens legitimas acabem por ser enviadas para o spam por engano.

No entanto, a empresa admite que se encontra a estudar uma nova forma de permitir que os candidatos políticos possam enviar os seus emails de campanha, contornando os filtros de spam e sendo recebidos nas caixas de entrada dos utilizadores.

Este novo filtro iria criar uma lista de endereços válidos para o envio, evitando que as mensagens sejam enviadas para spam.

A empresa afirma que, apesar deste filtro, os utilizadores ainda poderão escolher se pretendem receber emails de campanhas políticas ou não, além de que poderão marcar as mensagens como Spam se assim o pretenderem. Outros filtros da empresa, como é o caso da identificação de malware ou phishing, ainda se manteriam ativos.

Na base, este filtro apenas iria permitir que os candidatos tivessem mais liberdade para enviar as suas campanhas por email, evitando que as mesmas sejam consideradas spam.

A empresa ainda recomenda que os administradores de sistemas de email usem as ferramentas de postmaster para avaliarem a qualidade dos seus servidores de envio de email.

28/06/2022