Categoria: malware

Ransomware LockBit agora esconde-se sobre falsas reivindicações de copyright

Existem várias formas sobre como malware pode chegar a instalar-se num sistema, mas um dos mais propagados nos últimos tempos tem vindo a ser o ransomware. Sobretudo devido aos elevados ganhos que podem trazer para quem distribui o mesmo.

E agora, foi descoberto que afiliados do ransomware Lockbit podem estar a distribuir o mesmo de uma forma algo diferente do vulgar: usando reivindicações de direitos de autor (copyright).

De acordo com os investigadores da empresa de segurança AhnLab, o ataque começa quando as vítimas recebem mensagens de email, supostamente sobre violações de direitos de autor em algum conteúdo – como é o caso de um website ou vídeo do YouTube.

A mensagem vem mascarada como uma possível violação de direitos de autor, contendo em anexo os ficheiros com mais informações sobre o caso. No entanto, estes ficheiros são na realidade o ransomware, que uma vez executado no sistema, começa o processo de encriptação dos conteúdos.

O foco deste ataque passa por entidades que tenham uma vertente online, como é o caso de um website, e onde as vítimas podem acabar por receber um email com teor de urgência – elevando também o pânico para essas entidades.

Isso pode levar a que algumas vítimas acabem por executar o malware nos seus sistemas sem as devidas precauções previamente.

27/06/2022
Dicas para manter o seu smartphone longe de malware

Para muitos, o smartphone trata-se de um objeto indispensável para o dia a dia. Seja para trabalho, diversão ou para se manter em contacto com o mundo, os smartphones vieram certamente trazer uma nova dimensão de possibilidades para os utilizadores.

Mas ao mesmo tempo, a acompanhar essa tendência, também o malware tem vindo a propagar-se cada vez mais sobre este meio. Não é difícil encontrar nos dias de hoje malware focado tanto para Android como iOS, com o objetivo de levar às mais variadas atividades maliciosas.

No entanto, uma grande parte da segurança parte dos próprios utilizadores e das suas atividades. Se tiver atenção a alguns pontos chave, pode manter toda a sua vida digital e do seu smartphone segura.

Neste artigo vamos ver alguns pontos a ter em conta para garantir a segurança do seu smartphone, e para evitar ser apanhado na rede do malware.

1- Instale aplicações apenas de fontes conhecidas e credíveis.

Uma das formas mais simples de ser infetado passa por instalar diretamente o malware no sistema. E muitas vezes isso acontece porque os utilizadores acabam por instalar apps de fontes pouco aconselhadas.

Como tal, uma das primeiras dicas, e também a mais importante, será evitar instalar aplicações de fontes desconhecidas. Tanto a App Store da Apple como a Google Play Store não estão livres de poderem ter malware, mas existe um maior controlo sobre o que é publicado nas mesmas, e portanto este ainda é o método mais seguro para instalar aplicações.

Evite instalar ficheiros APK no Android de fontes que não conhecem ou que sejam descarregados diretamente de sites externos – a menos que realmente conheça a plataforma de onde está a descarregar o ficheiro.

2- Atualize sempre as aplicações e o sistema operativo

Os atacantes estão constantemente a tentar encontrar falhas no software no mercado para tentar infetar os dispositivos. Como tal, é importante manter todo o software atualizado para as versões mais recentes, de forma a garantir que essas falhas não são exploradas.

Este ponto aplica-se tanto a nível das aplicações instaladas no sistema, como ao próprio sistema operativo do dispositivo. Seja Android ou iOS, manter o sistema operativo atualizado garante que possui todas as correções para falhas recentes descobertas no mesmo.

3- Não abra ficheiros ou aplicações desconhecidas

Muito malware propaga-se a partir de fontes como o email, ou em sites que são enviados por mensagens de spam. Como tal, deve sempre evitar aceder a links que desconhece de fontes não credíveis, além de evitar descarregar ficheiros desconhecidos para o seu sistema.

Se receber uma mensagem da qual não conheça o remetente, verifique atentamente o que a mesma está a indicar, e tenha cuidado com qualquer conteúdo que peça para aceder a sites externos desconhecidos ou para descarregar aplicações.

4- Evite redes sem fios abertas e públicas

Esta regra é talvez uma das mais conhecidas, não apenas para smartphones, mas também para qualquer dispositivo portátil. Redes abertas e publicas podem ser acedidas por qualquer pessoa, o que inclui também atacantes que apenas pretendem roubar informações da mesma.

Ao aceder numa destas redes, todos os dados que enviar para a Internet vão ter de passar pela mesma, o que deixa aberta a possibilidade de outros utilizadores na mesma recolherem esses dados – sobretudo se não tiverem qualquer género de encriptação ou segurança.

A maioria das redes sem fios públicas oferecem muita pouca segurança para os utilizadores. Se realmente necessita de aceder a uma destas redes, evite aceder a conteúdos sensíveis ou utilize uma VPN.

5- Realize frequentemente pesquisas por malware

A maioria das empresas de segurança possuem aplicações que podem ser usadas para verificar por malware nos sistemas. Recomenda-se que, de tempos a tempos, realize uma pesquisa para verificar se existe qualquer malware instalado no sistema e que lhe possa ter escapado anteriormente.

Recomenda-se que utilize um programa de segurança que seja de uma empresa credível no mercado, e tenha cuidado com os programas que instala – existe muita aplicação de antivírus que, apesar de parecerem legítimas, acabam por não ser as mais recomendadas para manter a proteção do sistema ou colocam as suas funcionalidades base atrás de planos pagos.

26/06/2022
Google alerta para novo spyware italiano com foco no Android e iOS

A Google deixou o alerta para um novo spyware, que se acredita ter origem em Itália, e que pode ter sido usado para espiar centenas de dispositivos Android e iOS em diferentes países.

De acordo com o alerta da empresa, este malware terá sido criado pela entidade conhecida como RCS Lab, que é conhecida no setor da espionagem e já terá trabalhado com várias forças de segurança em diversos países pela Europa.

Segundo cita a agência Reuters, a RCS Lab afirma que todos os seus produtos e serviços são fornecidos tendo em conta as leis europeias, e que não são apoiados para atividades ilegais. O spyware da empresa pode ser usado para recolher informações sensíveis dos dispositivos das vítimas, na sua maioria com foco a personalidades específicas.

Segundo o investigador de segurança Bill Marczak, da empresa Citizen Lab, o spyware não possui a mesma capacidade de espionagem que outros mais conhecidos, como é o caso do Pegasus, mas ainda assim pode ser bastante perigoso para quem seja infetado pelo mesmo.

O mais interessante será que este spyware infeta tanto dispositivos Android como iOS, tendo a capacidade de recolher mensagens e contactos, bem como notificações enviadas para os dispositivos. Acredita-se que as vítimas deste spyware estariam focadas em Itália.

25/06/2022
BRATA: uma nova variante de malware para Android que esvazia contas bancárias

Foi no início de 2021 que ficamos a conhecer o BRATA, um malware para Android que se focava em infetar os dispositivos para roubar dados pessoais. No entanto, este malware ainda se encontra bem presente junto dos utilizadores, e tem vindo mesmo a evoluir.

Recentemente foi descoberto que o BRATA possui agora um novo alvo, focando-se no roubo de dados bancários das aplicações no dispositivo dos utilizadores afetados pelo mesmo.

O malware encontra-se agora criado para focar em apps de entidades bancárias, tentando levar ao roubo das credenciais de acesso ou de informações que possam ser úteis para os atacantes.

Obtendo estes dados, as vítimas acabam por saber que foram infetadas quando todo o dinheiro é retirado das suas contas.

Como sempre, o BRATA propaga-se sobretudo em esquemas de phishing, enviados por email ou até SMS, para as potenciais vítimas. Se estas acederem aos links, e instalarem o malware, acabam por poder ter os seus dados bancários comprometidos.

Atualmente existem relatos de infeções do BRATA no Reino Unido, Itália, Espanha e também em Portugal. O malware encontra-se adaptado para tentar roubar os dados bancários de centenas de aplicações oficiais dos bancos, mas o modo de operação para tal vai alterando com cada nova geração que surge do malware – e existem já várias dezenas do mesmo.

O malware pode ainda obter acesso às mensagens SMS que o utilizador receba, o que será usado sobretudo como forma de tentar obter códigos de autenticação que as entidades bancárias possam enviar na realização de pagamentos – que neste caso será usado para os roubos.

Como sempre, é importante que os utilizadores tenham cuidado sobre os conteúdos que acedem na Internet, e sobretudo quando estes são recebidos de fontes desconhecidas ou estranhas.

21/06/2022
Windows 11 agora regista as aplicações que acederam às permissões

A Microsoft adicionou recentemente uma nova funcionalidade no Windows, que vai ajudar os utilizadores a controlarem melhor a sua privacidade no sistema, e mais concretamente os conteúdos que cada app acede.

A empresa começou a testar uma nova funcionalidade para o Windows 11 junto dos utilizadores no programa Insider, que permite aos mesmos terem acesso a uma lista das aplicações mais recentes que acederam a informações sensíveis, como a localização ou microfone.

O Windows 11 já permite que os utilizadores possam controlar quais as aplicações que possuem acesso a dados como os contactos, microfone, webcam, localização, entre outros. Mas a empresa espera melhorar ainda mais este sistema, ao fornecer uma lista das apps que realizaram recentemente o acesso a essas informações.

Na secção de Privacidade do Windows, os utilizadores podem agora ver, sobre cada uma das permissões, a lista de programas que recentemente realizaram o acesso. Por exemplo, sobre a categoria de “Microfone”, surgem agora todas as aplicações que acederam recentemente ao mesmo.

Este novo registo pode revelar-se útil caso os utilizadores suspeitem que uma aplicação pode estar a realizar o acesso indevido a certas permissões, ou até para identificar possível malware. Infelizmente o registo não é muito detalhado, dando apenas a indicação sobre a última vez que o pedido de acesso foi feito.

Ainda assim, será certamente uma boa opção para quem pretenda ter mais controlo sobre a sua privacidade dentro do sistema.

17/06/2022
Microsoft Defender está agora disponível para individuais no Microsoft 365

Depois de ter ficado disponível para empresas, a Microsoft decidiu lançar a nova versão do Microsoft Defender também para individuais. As novas licenças do Microsoft Defender encontram-se agora disponíveis para os utilizadores dos planos Microsoft 365 Personal e Microsoft 365 Family – os atuais subscritores destes planos podem usar o mesmo de imediato.

De acordo com a empresa, o Microsoft Defender agora é capaz de proteger dispositivos Windows, macOS, iOS e Android. Uma subscrição do Microsoft 365 permite o acesso ao sistema em até 5 dispositivos diferentes.

De notar que o Microsoft Defender será ligeiramente diferente da oferta do Windows Defender, que continua a integrar-se gratuitamente com o Windows 10 e 11. Esta novas solução pretende ser uma plataforma de segurança para quem tenha diferentes sistemas e dispositivos, e pretenda um meio central de controlar os mesmos.

O Microsoft Defender encontra-se diretamente interligado com as contas Microsoft dos utilizadores, sendo que os administradores das contas podem ter acesso ao estado de segurança de todos os dispositivos, bem como serem notificados de qualquer atividade maliciosa nos mesmos.

A empresa garante que o Microsoft Defender deve fornecer ainda mais proteção contra malware, phishing, vírus e outras ameaças digitais. Espera-se que durante os próximos meses sejam integradas ainda mais funcionalidades no programa.

16/06/2022
Interpol realiza detenção de 2000 suspeitos de fraude e 50 milhões de dólares

A Interpol confirmou ter realizado uma das maiores operações de combate aos esquemas digitais, apelidado de “First Light 2022”. Esta operação resultou na detenção de quase 2000 suspeitos e mais de 50 milhões de dólares, juntamente com vários itens e objetos usados nos esquemas a nível mundial.

A operação foi liderada pela Interpol em conjunto com as forças de segurança de 76 países, com o objetivo de identificar os envolvidos em esquemas dos mais variados formatos – via telefone, esquemas de romance, phishing via email, entre outros. A operação contou, em Portugal, com a colaboração da Polícia Judiciária.

O foco terá sido em esquemas de engenharia social, que normalmente tentam enganar as vítimas através de meios diretos – como emails, chamadas telefónicas ou até presencialmente. Este género de esquemas difere de outros mais focados no digital, como é o caso da utilização de malware para roubo de credenciais de login e contas bancárias.

De acordo com os dados das autoridades, foram realizadas 1770 rusgas a nível mundial, com 3000 suspeitos identificados, 2000 detidos, 4000 contas bancárias congeladas e identificadas, num total de 50 milhões de dólares em dinheiros obtidos ilicitamente.

15/06/2022
Cuidado: Apps maliciosas descobertas na Play Store com dois milhões de downloads
A Google Play Store continua a ser uma das formas mais seguras de instalar aplicações no Android, mas isso não quer dizer que a plataforma esteja livre de esquemas.

E recentemente foi descoberto que várias aplicações, totalizando mais de dois milhões de downloads, estiveram ativas na plataforma da Google e a distribuir malware sobre os utilizadores.

De acordo com a empresa de segurança Dr.Web, foi descoberto em maio que nove aplicações maliciosas estiveram a ser disponibilizadas na Google Play Store, contendo no seu código malware. Estas aplicações foram descarregadas no seu total mais de dois milhões de vezes.

Das nove aplicações descobertas, cinco ainda se encontravam ativas quando o relatório da empresa de segurança foi divulgado publicamente, sendo que as restantes foram removidas pela Google.

As aplicações faziam-se passar por editores de fotos ou de wallpapers. Um dos casos mais graves seria o da aplicação PIP Pic Camera Photo Editor, que ainda se encontra disponível na plataforma e, quando instalada, procede com o roubo dos dados de login do Facebook dos utilizadores.

Apenas esta aplicação teve mais de um milhão de downloads desde a sua chegada na plataforma da Google. Outra aplicação similar será a ZodiHoroscope, que apresenta falsas páginas de login em plataformas sociais como o Facebook, roubando os dados introduzidos nas mesmas.

A lista completa de aplicações maliciosas descobertas na Play Store pode ser vista em seguida:
- PIP Pic Camera Photo Editor;
- PIP Camera 2022;
- Camera Photo Editor;
- Light Exposure Photo Editor;
- ZodiHoroscope – Fortune Finder;
- Magnifier Flashlight;
- Wild & Exotic Animal Wallpaper;
- SIM Tool Kit;
- Driving Real Race;
- Only Fans App OnlyFans Android.
Caso tenha instalado algumas destas aplicações nos últimos meses, o recomendado será que as remova dos seus dispositivos e verifique todos os dados de login das suas contas em plataformas sociais.
15/06/2022
Symbiote: um malware para Linux que infeta todo o sistema

Malware existe para praticamente todos os sistemas operativos. Apesar de se ouvir mais sobre o Windows, uma vez que é também o sistema operativo mais usado no mercado, também o Linux conta com a sua variedade de malware. E algum bastante perigoso.

É o caso do “Symbiote”, um malware que está a ser considerado como um dos mais perigosos dos últimos tempos para Linux. Este malware é capaz de infetar praticamente todo o sistema, sendo impossível de remover pelos meios tradicionais.

Os investigadores de segurança acreditam que o malware tem vindo a propagar-se em massa desde Novembro de 2021, sendo focado sobretudo para sistemas em instituições financeiras. O mais grave do malware encontra-se no seu poder de destruição, e no facto que é praticamente impossível de o remover sem uma reinstalação total do sistema.

O Symbiote é capaz de verificar quais os processos ativos no sistema, injetando nos mesmos código malicioso. Ou seja, invés de se focar em usar apenas um processo para as suas atividades maliciosas, o Symbiote é capaz de modificar outros programas no sistema operativo, tornando os mesmos igualmente maliciosos.

Tendo em conta que o malware injeta-se em praticamente todos os serviços ativos, isto dificulta também consideravelmente a tarefa de o remover pelos meios convencionais. Não existe um ficheiro especifico a ser usado para as atividades maliciosas, mas sim todos os programas que o utilizador execute.

Além disso, esses mesmos programas replicam as atividades maliciosas a outros que sejam abertos. Portanto, mesmo que se remova um processo malicioso, os novos que sejam arrancados vão ser igualmente modificados.

O Symbiote também é capaz de ocultar as suas atividades, tornando difícil a sua identificação. Este é capaz de remover as ligações que são feitas pelo sistema e tenta esconder as suas atividades a partir de processos legítimos do sistema operativo.

Como sempre, é importante que os utilizadores tenham atenção aos conteúdos que executam nos seus sistemas, além de manterem sempre um plano de contingência para casos mais graves.

10/06/2022
Ransomware usa Roblox para vender a desencriptação de ficheiros

No passado já vimos diferentes formatos de ransomware a usarem abordagens diferentes para levarem a cabo as suas atividades. Mas usar a loja online do popular jogo Roblox é, possivelmente, algo novo.

Para quem desconhece, o Roblox é um popular jogo infantil, onde os mais pequenos podem criar os seus próprios mundos virtuais e diferentes jogos. Os mesmos podem ainda criar e monetizar itens através da Game Pass, através do “dinheiro virtual” dentro do jogo – que pode ser convertido em dinheiro real mais tarde.

No entanto, os investigadores do grupo MalwareHunterTeam revelaram recentemente ter descoberto um ransomware que usa uma técnica algo invulgar para com as vítimas. O ransomware é conhecido como “WannaFriendMe”, sendo basicamente uma variante que tenta imitar o mais reconhecido Ryuk, embora seja mais concretamente o Chaos Ransomware.

Desde Junho de 2021 que existem plataformas na dark web que permite criar versões personalizadas do ransomware Chaos, onde uma parte dos lucros obtidos pelos criminosos são distribuídos pelos criadores do ransomware.

O “WannaFriendMe” é uma variante desenvolvida desta forma. No entanto, a forma como encripta os conteúdos e, mais concretamente, como depois se pode proceder à desencriptação dos mesmos será a parte invulgar de todo o caso.

As vítimas do ransomware, invés de pagarem o resgate via criptomoedas, necessitam de comprar o desencriptador de ficheiros através da plataforma da Roblox Game Pass, usando o dinheiro virtual Robux.

O mesmo encontra-se disponível na plataforma por 1,499 Robux, tendo sido enviado por um utilizador sobre o nome de “iRazormind” a 5 de Junho.

No entanto, para quem seja vítima deste malware, existe alguns pontos a ter em consideração. Isto porque o ransomware Chaos é conhecido por não simplesmente encriptar os ficheiros das vítimas, mas destruir os mesmos. O ransomware encontra-se criado para apenas encriptar os ficheiros com menos de 2 MB, sendo que qualquer ficheiro com um tamanho superior é permanente danificado.

Ou seja, mesmo que as vítimas comprem o programa para desencriptar os ficheiros, apenas irão conseguir recuperar conteúdos com menos de 2 MB de tamanho total.

09/06/2022
Microsoft Defender agora pode colocar sistemas em quarentena

Os utilizadores que usem o Microsoft Defender for Endpoint (MDE) vão agora contar com uma nova funcionalidade de segurança, focada em permitir o isolamento de um sistema suspeito da restante rede onde o mesmo se encontre.

De acordo com a empresa, esta nova funcionalidade vai permitir que os administradores de uma rede de computadores Windows possam, através do Microsoft Defender for Endpoint (MDE), isolar um sistema que tenha sido infetado ou esteja com atividades suspeitas.

Este novo sistema vai permitir bloquear todas as ligações desse sistema para a rede local, além de evitar que outros sistemas na rede possam também comunicar com o mesmo. Isto pode ser útil para limitar a propagação de malware dentro de uma rede interna.

Segundo a Microsoft, esta funcionalidade garante que sistemas suspeitos numa rede possam ser isolados de forma segura, evitando a propagação de malware ou de ataques. Apesar de não evitar todos os géneros de ataques, será uma adição importante para rapidamente se bloquear tentativas para tal.

A empresa garante que, quando um sistema se encontre em quarentena, poderá demorar até 5 minutos a bloquear todas as ligações para o mesmo. Além disso, caso o sistema altere o seu endereço IP local, o MDE vai bloquear igualmente as ligações para outros sistemas na rede.

De notar, no entanto, que esta novidade apenas se encontra disponível para sistemas que estejam com o Windows 10, Windows Server 2019 ou mais recentes versões. Da mesma forma, a funcionalidade não protege que sejam realizadas ligações a dispositivos que não estejam diretamente configurados sobre a rede local e o MDE.

09/06/2022
Tenha cuidado ao pesquisar pelo CCleaner no Google

O CCleaner é uma popular ferramenta de otimização do Windows, que apesar de todas as controvérsias no passado, ainda continua a ser usada por milhares de utilizadores. Para muitos, quando se pretende descarregar o programa, uma das formas de o realizar será aceder a um motor de pesquisa como o Google e pesquisar pelo nome do programa.

No entanto, se costuma realizar esta tarefa, talvez seja melhor ter cuidado sobre onde exatamente acede. Isto porque foi recentemente identificada uma nova campanha focada em enganar os utilizadores que procurem pelo CCleaner no Google.

De acordo com a empresa de segurança Avast, foi descoberta uma nova campanha de malware sobre o nome de “FakeCrack”, que usa os resultados de pesquisa do Google para tentar enganar os utilizadores a descarregarem versões maliciosas do CCleaner.

A campanha usa a publicidade do Google para surgir nos primeiros resultados da pesquisa, que será onde existe a maior possibilidade de os utilizadores carregarem primeiro. Além disso, o ataque afeta também quem procura versões pirateadas do CCleaner Pro, onde o mesmo sistema de publicidade é usado para apresentar sites onde, supostamente, se poderia descarregar a versão.

Os investigadores afirmam que nem sempre a campanha usa a publicidade da Google para tentar enganar os utilizadores. Muitas vezes são criados sites específicos para fornecerem versões modificadas do programa, que se focam em quem ativamente procura por este género de software pirateado.

As vitimas são muitas vezes levadas para sites que fornecem ficheiros ZIP, onde supostamente se encontra o programa pirata. Estes ficheiros estão protegidos por senha para evitar a deteção por softwares de antivírus, e encontram-se armazenados em várias plataformas de alojamento cloud.

Se os utilizadores instalarem os programas nos seus sistemas, acabam por estar a instalar malware focado em roubar dados de login a partir de navegadores como o Google Chrome, carteiras de criptomoedas e outras informações sensíveis.

O malware também é capaz de instalar um programa de monitorização da Área de Transferência do Windows, que identifica quando o utilizador copia uma carteira de criptomoedas para o mesmo, e altera o código da mesma para carteiras em controlo dos atacantes.

Os investigadores acreditam que mais de 10.000 utilizadores são infetados todos os dias com este género de malware, tendo em conta também que a campanha encontra-se ativa e a ser bastante explorada.

08/06/2022
Utilizador anónimo promete expor vários influencers de criptomoedas

A comunidade de influencers em criptomoedas encontra-se algo agitada nos últimos dias, depois de uma mensagem anónima ter sido deixada com o alerta para a revelação de vários dados e segredos.

Um utilizador do Twitter, conhecido como “adyingnobody”, revelou que terá explorado uma falha de segurança no Telegram, a qual terá permitir silenciosamente recolher dados e mensagens enviadas em centenas de grupos de influencers no ramo das criptomoedas.

No total, este afirma ter em sua posse 137.21 GB de dados, entre mensagens, vídeos, imagens e outros conteúdos que estariam a ser partilhados nestes grupos. Entre os temas encontram-se ainda conversas sobre esquemas de criptomoedas, fraude financeira, racismo e vários crimes de natureza sexual.

Apesar de a mensagem ter chamado rapidamente à atenção, ainda existem algumas questões relativamente à sua origem, em parte porque a conta associada com a partilha não possui qualquer histórico de atividade no passado e é inteiramente anónima. Também não foram deixados detalhes sobre qual a falha explorada para a recolha desta informação.

O utilizador apenas indica que a falha usada para recolher estes dados foi descoberta inicialmente em 2019, e permite a qualquer utilizador aceder a mensagens antigas num determinado grupo, mesmo que não tenham permissões para tal.

Entre Outubro de 2019 e Maio de 2022, o utilizador afirma ter-se mantido a recolher os dados de vários grupos, expondo um vasto conjunto de esquemas. O mesmo afirma ainda que existem várias entidades que se encontram envolvidas nestas comunicações, e que quando os dados forem revelados, irão causar uma vasta onda de danos para quem dessa comunidade faça parte.

Em resposta a esta situação, o Telegram já veio confirmar não existir qualquer indicio que falhas na plataforma tenham sido exploradas, acrescentando ainda que existe uma forte possibilidade que a informação seja falsa e focada em levar os utilizadores a descarregar malware.

Seja como for, o utilizador anónimo deixou claro que pretende, durante os próximos dias, divulgar os dados que foram recolhidos.

08/06/2022
SMSFactory: um malware para Android que pode levar a perdas consideráveis

Um novo malware focado para o sistema Android tem vindo a chamar à atenção dos investigadores de segurança, estando a alastrar-se para um volume crescente de vítimas.

Apelidado de “SMSFactory”, este novo malware para Android possui como objetivo infetar os dispositivos das vítimas, e subscrever os mesmos a serviços premium de subscrição sem que as mesmas notem. Este malware é capaz de realizar todas as atividades em segundo plano e de forma silenciosa, sendo que as vitimas apenas iriam notar que algo estaria mal ao analisarem o saldo dos seus cartões ou a fatura no final do mês.

Até ao momento ainda se desconhece o número exato de dispositivos infetados no mercado, mas os investigadores afirmam que o malware tem vindo a propagar-se em peso nas últimas semanas. Em parte, esta propagação pode ter vindo a aumentar visto que o malware tenta ocultar ao máximo as suas atividades, sendo bastante complicado de identificar as mesmas – além de que existe a possibilidade que a maioria do software de segurança não identificar as aplicações como maliciosas devido à ofuscação dos conteúdos e atividades.

De acordo com a empresa de segurança Avast, o malware já foi identificado em vários países, entre os quais a Turquia, Rússia, Ucrânia e Brasil. No entanto, a lista de países com dispositivos afetados pode ser consideravelmente mais extensa.

O malware propaga-se sobretudo por esquemas de downloads maliciosos a prometerem acesso a contas pagas em vários serviços online e em hacks de jogos para Android.

Como sempre, a melhor forma de proteção será ter-se atenção aos locais de onde são descarregadas aplicações, sendo sempre recomendado o uso da Google Play Store para esta tarefa.

07/06/2022
Existe cada vez mais malware para Android focado em diferentes apps

Os cibercriminosos encontram-se sempre à procura de novas formas de tentar afetar o máximo de utilizadores possíveis, e uma tendência que tem vindo a aumentar consideravelmente nos últimos tempos encontra-se sobre malware criado para aplicações especificas.

De acordo com os investigadores da empresa Zimperium, existe cada vez mais malware para Android que se foca em apps especificas, na sua grande maioria apps de entidades bancárias e pagamentos online, com o objetivo de roubar dados das mesmas.

Este género de malware é consideravelmente mais perigoso, uma vez que não se foca em tentar obter o máximo de dados possíveis de forma aleatória, mas sim focado em apps em particular, e com código criado especificamente para roubar dados das mesmas.

Segundo o relatório, existe malware focado para 26 das mais usadas aplicações de pagamento em Portugal, que quando instalado em dispositivos Android, tenta roubar dados das mesmas. Entre as aplicações encontram-se as associadas com algumas das principais entidades bancárias em Portugal.

Um dos exemplos encontra-se sobre o malware Octo e ExobotCombatD, que apesar de terem sido criados em 2017, ainda se encontram a ser usados ativamente nos dias de hoje para os mais variados géneros de ataques.

Como sempre, os utilizadores devem ter extremo cuidado sobre o local por onde descarregam as suas aplicações para Android, evitando sempre fontes desconhecidas ou pouco confiáveis. Apesar de a Play Store da Google não ser perfeita em nível de segurança, ainda assim será consideravelmente mais segura para instalar novas aplicações que outras fontes.

06/06/2022
Um dos melhores DNS com proteção contra ameaças. O Preço? Zero

A internet está cheia de perigos escondidos a cada canto, e não importa quanto cuidado se tenha, se usa a mesma eventualmente vai cair em algum site que acaba por não ser dos melhores para a sua segurança ou privacidade.

Usar um bom software de segurança no sistema é essencial, mas se pode ter uma camada adicional de segurança a custo zero, e que ainda melhora a velocidade da sua ligação, porque não? É exatamente aqui que entra o Quad9 DNS.

O Quad9 é um serviço de DNS que se foca em ajudar os utilizadores a garantir uma boa camada adicional de segurança contra sites de phishing, malware e outros esquemas. Este serviço complementa-se à proteção que pode ser fornecida por sistemas de antivírus, aplicando uma filtragem de sites maliciosos em nível de DNS.

Quando o utilizador tenta aceder a um domínio que é considerado como potencialmente malicioso, é aplicado um bloqueio de DNS que impede o carregamento do mesmo. Isto aplica-se a sites que o utilizador possa aceder durante a navegação, mas também a sites que, na eventualidade de o seu sistema ser comprometido, possam tentar aceder para obter comandos de controlo remoto – portanto será uma adição importante para mais segurança em geral.

Existem várias vantagens para aplicar uma proteção deste género. A primeira será que pode funcionar até mesmo quando o utilizador não tenha nenhum outro género de proteção no sistema. E se aplicado a nível do router, pode até garantir a proteção para todos os dispositivos na rede local.

Como bónus, a infraestrutura da Quad9 encontra-se distribuída por milhares de servidores em todo o mundo, portanto os utilizadores vão ter o melhor desempenho possível ao usarem esta plataforma – sendo que, a partir de Portugal e dependendo da ligação, os testes comprovam que o Quad9 DNS é capaz de ultrapassar a velocidade do Google DNS e até mesmo do Cloudflare DNS 1.1.1.1.

Tudo o que necessita de fazer é alterar os DNS do seu sistema, ou do router, para os da Quad9, e estará automaticamente protegido a custo zero de todas as ameaças.

03/06/2022
Chrome vai combater ainda mais as notificações abusivas

Ao longo dos últimos tempos, a Google tem vindo a realizar mudanças na forma como as notificações são apresentadas sobre o Chrome, e sobretudo focadas para reduzir o número de notificações de spam enviadas por websites na internet.

No entanto, ainda existe muito trabalho a fazer, e parece que a empresa pretende reduzir ainda mais este género de notificações em breve, com algumas mudanças sobre o Chrome.

A Google já possui algumas melhorias no Chrome focadas em evitar as notificações abusivas, algo que foi implementado como forma de evitar que sites maliciosos possam usar esse sistema para o envio de spam ou direcionar os utilizadores para esquemas e malware.

No entanto, a empresa parece que vai combater com ainda mais força esse género de notificações. Recentes alterações no código fonte do Chrome apontam que o navegador vai ter brevemente a capacidade de automaticamente revogar a permissão de um website enviar notificações, caso seja verificado que o mesmo esteja a realizar essa tarefa de forma abusiva.

Com isto, os utilizadores não necessitam de manualmente remover as notificações de um site, sendo que o Chrome vai identificar e realizar essa tarefa ele mesmo. O sistema espera-se que funcione sobretudo sobre sites que usam as notificações para o envio massivo de spam e constante.

Esta medida será ligeiramente diferente das proteções atualmente existentes: que na sua maioria se baseiam em tornar as notificações mais difíceis de serem ativadas, mas não previnem que tal ocorra se o utilizador confirmar o envio.

A Google espera que este novo sistema seja uma proteção mais extensa e ativa contra o problema. A empresa também afirma que a medida não deverá afetar a maioria dos websites que usam o sistema de notificações, mas sim aqueles que sejam considerados abusivos. No geral, será uma boa medida que se espera ajudar ainda mais os utilizadores a evitarem as notificações abusivas no navegador.

02/06/2022
Nova grave vulnerabilidade descoberta sobre a pesquisa do Windows

Uma nova grave vulnerabilidade foi agora descoberta sobre o Windows, afetando desta vez o protocolo de pesquisa do sistema. Esta nova vulnerabilidade pode ser usada para automaticamente abrir uma janela de pesquisa contendo malware, bastando para tal usar um documento do Word modificado.

Esta falha ocorre porque o Windows permite que seja usado um protocolo conhecido como “search-ms”, o qual permite abrir diretamente pesquisas do sistema a partir de várias aplicações diferentes, ou documentos.

Apesar de a maioria das pesquisas do Windows serem realizadas de forma local, é também possível forçar o sistema a usar a pesquisa na web a partir de recursos alojados remotamente, como é o caso de drives remotas.

No entanto, atacantes podem explorar esta falha para permitir que as vitimas sejam direcionadas para ficheiros remotamente alojados, e possam assim descarregar os mesmos para os seus sistemas, apenas com a abertura de um simples documento do Word.

Esta vulnerabilidade torna-se ainda mais grave porque pode ser conjugada com outra falha, que também foi descoberta esta semana, e afeta o Microsoft Windows Support Diagnostic Tool (MSDT). Se tal ocorrer, os conteúdos podem ser diretamente descarregados para o sistema e executados, levando aos mais variados géneros de possíveis ataques.

Infelizmente, até ao momento ainda não existe uma correção da Microsoft para esta vulnerabilidade. Como tal, a melhor recomendação será para os utilizadores terem extremo cuidado sobre os conteúdos que abrem nos seus sistemas, sobretudo de fontes desconhecidas.

02/06/2022
Europol confirma ter encerrado atividades do malware FluBot

A Europol confirmou ter encerrado as operações do malware para Android conhecido como “FluBot”. Este era um dos malwares que, nos últimos tempos, tinha vindo a crescer consideravelmente no mercado e a aumentar as suas operações.

No entanto, as autoridades confirmaram agora ter encerrado as atividades do malware, ao tomarem controlo dos principais sistemas que eram usados para o controlo e distribuição do malware.

As operações foram realizadas com uma atividade conjunta das autoridades na Austrália, Bélgica, Finlândia, Hungria, Irlanda, Espanha, Suécia, Suíça e com os EUA. O FluBot era conhecido por se distribuir sobretudo por campanhas de SMS maliciosas, onde as vítimas recebiam textos contendo links para onde era descarregado o malware.

Uma vez instalado no sistema, o FluBot procedia com o roubo de vária informação pessoal, desde cartões de créditos, senhas e outras informações uteis para os criminosos. Além disso, os dispositivos infetados eram depois usados para o reencaminhamento de mais mensagens para outras potenciais vítimas, tornando os mesmos parte de uma rede de botnet.

As autoridades afirmam que terão conseguido tomar controlo dos sistemas que eram responsáveis por esta gestão de controlo. De relembrar que, em Março de 2021, as autoridades Espanholas já tinham confirmado a detenção de quatro suspeitos que eram considerados serem os gestores principais da operação.

Apesar de essas detenções terem causado algumas reduções nas atividades do malware, não foram suficientes para terminar efetivamente o mesmo. No entanto, a Europol afirma ter agora tomado controlo de todas as infraestruturas, impedindo também que o malware possa voltar ao ativo na mesma versão.

01/06/2022
Roblox usado para esquemas de roubo de informação pessoal

O Roblox é, possivelmente, um dos jogos mais conhecidos e usados a nível mundial, contando atualmente com mais de 50 milhões de utilizadores em todo o mundo. Com tal popularidade, não será de estranhar que existam criminosos online que tentam tirar proveito de tal.

Existe uma crescente onda de utilizadores que tentam, nos mais variados formatos, tentar obter vantagens injustamente dentro do jogo, mas ao realizar esse processo pode-se também abrir portas para possíveis ataques de malware e roubo de dados pessoais.

De acordo com a empresa de segurança Avanan, foi recentemente descoberto que os criminosos encontram-se a distribuir um novo malware, conhecido como “Synpase X”, por quem procura formas de contornar as regras do jogo.

Segundo os investigadores, o malware propaga-se como um ficheiro de plugin para o jogo, que supostamente realiza diversas atividades para tentar obter vantagens injustas dentro do titulo. No entanto, em segundo plano, o mesmo foca-se é em roubar o máximo de informação pessoal dos utilizadores, enviando os dados para sistemas em controlo dos atacantes.

O mais grave deste caso encontra-se no facto que o principal alvo do malware aparenta ser menores, já que é também o grupo mais focado para o jogo e que normalmente realiza a procura por este género de ferramentas. Além de os menores terem menos consideração pela segurança digital, ao mesmo tempo também possuem tendência a não usarem programas de segurança adequados nos seus dispositivos.

Este género de casos não é de todo novo, mas nos últimos tempos têm vindo a registar-se um aumento considerável de ataques onde o mesmo é focado no roubo de dados sensíveis, o que pode incluir informação dos menores e as suas contas digitais – seja do jogo ou de plataformas sociais, entre outras.

31/05/2022
Subsistema de Linux para Windows cada vez mais usado para ataques de malware

A Microsoft começou finalmente a integrar partes do Linux dentro do Windows para os utilizadores interessados em usar o mesmo, que culminaram no Windows Subsystem for Linux (WSL). No entanto, se este sistema pode ser benéfico para os utilizadores que pretendem ter acesso ao Linux sem saírem do ambiente do Windows, ao mesmo tempo também é benéfico para quem realiza ataques.

O WSL permite que seja possível correr código binário do Linux diretamente do Windows, emulando o kernel do sistema. No entanto, com a crescente adoção do WSL, também começaram a surgir malwares que tentam explorar este sistema para realizar ataques.

Os primeiros casos de malware a explorar o WSL foram detetados em Setembro de 2021, mas desde então parece que os números aumentaram consideravelmente. De acordo com os investigadores da empresa de segurança Black Lotus Labs, existem cada vez mais malwares que são focados em explorar as funcionalidades do WSL para tentarem infetar o sistema, ao mesmo tempo que ocultam ao máximo as suas atividades.

Um dos mais recentes que parece ter vindo a propagar-se em força foca-se em roubar dados de autenticação dos navegadores dos utilizadores, além de que pode receber comandos de controlo diretamente do Telegram.

Segundo os investigadores, uma das amostras descobertas recentemente trata-se de um malware-bot, que é capaz de receber comandos diretamente de canais específicos do Telegram, em controlo dos atacantes, e roubar credenciais de login de navegadores como o Chrome e Opera no sistema. Os dados roubados são depois enviados diretamente para esses canais do Telegram, sendo guardados pelos atacantes.

Para realizar este ataque, o malware explora o WSL no Windows, executando o código python necessário para tal neste ambiente. Além de recolher os dados de login, o malware pode ainda obter outras informações das vítimas, como os dados do sistema, identificação e dados pessoais.

Curiosamente, quando analisado pelo software do VirusTotal, apenas duas soluções de segurança das mais de 57 analisadas confirmavam o malware como tendo atividades maliciosas.

Conforme o WSL venha a tornar-se mais popular, também se espera que mais malware venha a tentar tirar proveito do mesmo para infetar os sistemas, ou até explorado vulnerabilidades desse sistema para tal.

30/05/2022
“Alien” é o novo spyware descoberto para Android

Os utilizadores do Android devem ter atenção a um novo spyware que se encontra a ser distribuído para o sistema, conhecido como “ALIEN”, e o qual é distribuído sobre outro malware, conhecido como “PREDATOR”.

De acordo com a Threat Analysis Group (TAG) da Google, este spyware é usado para campanhas focadas em determinados utilizadores, e existem atualmente pelo menos três confirmações de campanhas ativas.

Acredita-se que o spyware tenha sido desenvolvido pela empresa Cytrox, da Macedónia, e que é vendido como um software comercial de espionagem para terceiros – sejam ou não a entidades associadas com governos.

O “Alien” em particular usa diversas falhas zero-day para tentar infetar os sistemas, e caso consiga, começa a recolher o máximo de informação possível sobre as vítimas. Parece que os criminosos encontram-se a tentar explorar o máximo de falhas possíveis antes destas serem corrigidas, com o objetivo de levar a uma mais elevada taxa de sucesso na instalação sobre os sistemas da vítimas.

A maioria das vítimas começam por ser infetadas através de campanhas de phishing via email, onde são contactadas para acederem a determinados links a partir do qual se inicia o ataque. Entre as tarefas que o spyware pode realizar encontra-se a recolha de mensagens SMS, emails, contas ativas nos dispositivos, apps instaladas, além de recolher fotos, vídeos e som diretamente do sistema.

23/05/2022
Nvidia recomenda atualização das drivers gráficas devido a vulnerabilidades

A Nvidia encontra-se a disponibilizar um novo conjunto de atualizações de segurança para as suas drivers das placas gráficas, focadas em corrigir várias vulnerabilidades descobertas nos últimos meses.

De acordo com a empresa, as atualizações pretendem corrigir vulnerabilidades que, quando exploradas, podem permitir a utilizadores maliciosos realizarem ataques sobre os sistemas, desde roubo de informações ao envio de código malicioso.

As atualizações foram fornecidas para as drivers das placas Tesla, RTX/Quadro, NVS, Studio, e ainda para o software da GeForce, integrando as versões R450, R470 e R510. Esta atualização cobre ainda as placas GTX 600 e GTX 700, que apesar de não terem suporte oficial da empresa, ainda estão a ser mantidas com as recentes atualizações de segurança.

As vulnerabilidades podem ser exploradas de forma relativamente simples, e integradas em outro malware para realizar as mais variadas atividades. As mesmas não requererem interação dos utilizadores para serem exploradas.

A Nvidia recomenda que os utilizadores atualizem para as versões mais recentes das drivers disponíveis no site da empresa.

18/05/2022
Leitor de cartões de identidade pode levar a malware no sistema

Atualmente é necessário usar cartões eletrónicos para várias tarefas, e o Cartão de cidadão possui funcionalidades que permitem facilitar a vida dos utilizadores que tenham os leitores deste género de cartões.

Não é difícil de encontrar em sites como a Amazon leitores de cartões de identificação, que permitem aproveitar estas funcionalidades em qualquer sistema. Mas ao mesmo tempo, também não é difícil encontrar situações onde um dispositivo aparentemente inocente pode também ser usado para atividades maliciosas.

Foi exatamente isso que o portal de segurança KrebsOnSecurity revelou, num recente incidente que ocorreu sobre o investigador Brian Krebs. Nos EUA é vulgar encontrar-se este género de leitores de cartões para as mais variadas tarefas, e muitos utilizadores podem necessitar dos mesmos também para as suas atividades do dia a dia.

Na Amazon é possível encontrar estes leitores por menos de 20 dólares, mas também é necessário ter cuidado com a origem dos mesmos. O investigador revelou ter adquirido um leitor da marca Saicoo, apenas para verificar que as drivers do mesmo acabavam por instalar malware nos sistemas.

O problema começava quando se tentava instalar o leitor num sistema com o Windows 10, sendo que o mesmo indicava que as drivers não estavam a funcionar corretamente, e seria necessário aceder ao site da fabricante para descarregar as versões mais recentes.

No entanto, quando o investigador descarregou as versões mais recentes no site da mesma, e passou o conteúdo pelo portal VirusTotal, rapidamente se apercebeu que as drivers vinham infetadas com um malware conhecido como “Ramnit”, que é responsável por roubar informação pessoal dos sistemas.

A piorar a situação, o próprio suporte da marca Saicoo, em resposta às mensagens do investigador de segurança, referiu que os alertas dos antivírus eram “normais” e que o utilizador poderia ignorar os mesmos, instalando o software nos sistemas – e consequentemente o malware.

Se tivermos em conta que as drivers maliciosas dizem respeito a um leitor de cartões eletrónico, esta situação torna-se ainda mais grave, uma vez que os conteúdos que podem ser recolhidos por malware neste meio podem ser consideravelmente sensíveis, e podem ser usados para os mais variados géneros de ataques.

18/05/2022
Falha permite instalar malware até em iPhones desligados

Nem mesmo se tiver o seu smartphone desligado encontra-se livre de malware. Pelo menos é esta a ideia de alguns investigadores da Universidade de Darmstadtm, na Alemanha, que recentemente revelaram que até mesmo com um iPhone desligado é possível instalar malware no mesmo.

Os investigadores revelaram ter descoberto uma falha em praticamente todas as versões mais recentes do iOS, que pode ser explorada para permitir a instalação de malware no sistema. Em causa encontra-se uma funcionalidade usada pelo sistema com o “Find My”.

Quando este sistema se encontra ativo nos dispositivos, mesmo que os utilizadores desliguem o equipamento, estes ainda mantêm algumas das suas funcionalidades ativas em modo de poupança de energia, nomeadamente o Bluetooth, NFC e UWB.

Este modo é diferente do tradicional da poupança de energia do iOS. Apelidado de low-power mode (LPM), este modo funciona mesmo com o dispositivo desligado, mantendo algumas das suas funcionalidades ativas num modo de poupança de energia extremo – ou seja, o chip continua ativo, mas não inteiramente ligado ao sistema operativo. Isto é o que permite ao dispositivo continuar a ser localizado mesmo se for desligado.

No entanto, os investigadores revelaram ter descoberto uma falha sobre o firmware do Bluetooth LPM, que quando explorada nas condições certas, pode permitir que malware seja instalado no sistema. Isto mesmo que o dispositivo esteja completamente desligado.

Felizmente, existem alguns pontos a ter em consideração. Os investigadores afirmam que a falha apenas pode ser explorada sobre condições especificas, e uma dessas condições passa pelo dispositivo ter o jailbreak aplicado – algo que nem todos os utilizadores aplicam, e os que realizam conhecem bem os possíveis efeitos negativos na segurança.

Os investigadores afirmam ter alertado a Apple para a falha, mas até ao momento a empresa não deixou qualquer comentário relativamente a este caso. De notar que, tendo em conta que a falha apenas pode ser explorada em condições muito especificas, os investigadores acreditam que não existem casos onde a mesma tenha sido explorada para fins maliciosos.

Ainda assim os investigadores acreditam que esta falha pode ser explorada para outras atividades maliciosas, ou até como porta de entrada para possíveis ataques direcionados.

16/05/2022
Malware de roubo de contas do Facebook descoberto em apps na Google Play Store

Apesar de a Google Play Store ainda ser um dos locais mais seguros para se instalar apps do Android, ao mesmo tempo isso não quer dizer que esteja imune de aplicações maliciosas. Os utilizadores devem sempre ter cuidado sobre o que instalam, e este artigo demonstra exatamente um exemplo disso mesmo.

Investigadores da empresa de segurança Trend Micro revelaram ter descoberto um novo malware que se encontra a propagar em força pela Play Store, focado em roubar os dados de acesso das contas do Facebook das vítimas. Apelidado de “Facestealer”, o malware possui como intuito levar os utilizadores a introduzirem dados de login das suas contas do Facebook, que são enviados para servidores em controlo dos atacantes.

Os investigadores afirmam ter descoberto quase 200 variantes do malware em várias apps da Play Store, que a Google entretanto removeu da plataforma. Segundo os investigadores, algumas das apps teriam centenas de instalações antes de serem removidas, e os comentários davam conta de utilizadores que tinham sido alvo do malware.

As aplicações podem surgir nos mais variados formatos, desde editores de fotos a apps de exercício, entre outras. Um dos exemplos apontados pelos investigadores encontra-se na app “Daily Fitness OL”, que apesar de funcionar – à primeira vista – como uma app regular de exercícios, em segundo plano tinha como objetivo roubar os dados de login do Facebook das vítimas.

É importante notar que esta não será a primeira vez que aplicações com o malware Facestealer são descobertas pela Play Store. Em Junho de 2021 também terão sido identificadas várias apps similares pela plataforma.

16/05/2022
HP lança atualização importante de segurança para BIOS de 200 sistemas

A HP revelou ter disponibilizado um conjunto de atualizações para a BIOS de vários dos seus produtos, que são aconselhadas de todos os utilizadores instalarem o quanto antes. Estas novas atualizações focam-se em corrigir falhas que poderiam permitir a atacantes executar código com permissões de kernel no sistema.

As permissões de Kernel são uma das mais elevadas dentro do Windows, e permitem, se exploradas, ter praticamente acesso sem limites ao sistema operativo, incluindo modificar drivers e outras configurações. Isto também permite que o malware possa ser explorado sem ser identificado pelo software de segurança tradicional.

Na lista de dispositivos afetados pela falha encontram-se os portáteis para empresas Zbook Studio, ZHAN Pro, EliteBook, ProBook, e Elite Dragonfly, computadores fixos para empresas como o EliteDesk e ProDesk, sistemas PoS como o Engage e workstations Z1 e Z2.

As listas completas de dispositivos afetados podem ser verificados no site da HP associado com a falha, sendo aconselhado que, caso tenha um sistema da empresa, verifique se o seu modelo não se encontra na lista.

Caso o sistema esteja na lista, será recomendado que verifique se existem atualizações mais recentes da BIOS para o mesmo, através do site da HP ou dos programas de atualização da empresa. De notar que nem todos os modelos afetados receberam a correção, portanto ainda pode demorar alguns dias para todos os modelos.

Nicholas Starke, o investigador de segurança que, em Novembro de 2021, reportou a falha à HP, revelou também recentemente mais detalhes sobre as falhas e como estas são exploradas. Segundo o mesmo, os atacantes que explorem esta falha podem ter acesso praticamente ilimitado ao sistema, incluindo a capacidade de modificar a própria BIOS ou até apagar os seus conteúdos.

11/05/2022
Malware esconde-se em resultados de pesquisa do Google como PDFs

Da próxima vez que for realizar uma pesquisa da Google, sobretudo em resultados mais “escondidos”, talvez seja melhor ter atenção aos conteúdos que descarrega.

Isto porque foi recentemente descoberto que existe uma nova campanha de distribuição de ficheiros malicioso, que se encontra a aproveitar o SEO da Google para distribuir os conteúdos pelos resultados de pesquisa.

De acordo com a empresa de segurança Netskope, foi descoberta uma nova campanha de malware e esquemas online que aproveita o SEO da Google para distribuir os conteúdos. Segundo os investigadores, verificou-se nos últimos 12 meses um aumento de 450% nas atividades de ficheiros PDF de phishing que se encontram a ser distribuídos por pesquisas da Google.

Os atacantes tentam explorar o SEO de determinados conteúdos para que os ficheiros maliciosos sejam apresentados nos resultados de pesquisa, muitas vezes levando os utilizadores a enviarem dados privados ou a descarregarem conteúdo malicioso de outros locais.

Como exemplo, podem ser PDFs de faturas ou de páginas falsas de login, que reencaminham as potenciais vítimas para sites efetivamente maliciosos. O mais grave desta campanha encontra-se no facto que as vítimas são “angariadas” dos próprios resultados de pesquisa, através de termos onde os atacantes tenham ganhar alguma visibilidade.

Obviamente, este género de ataque vai muito além de apenas o Google, e pode afetar também outros motores de pesquisa como o Brave Search ou o Bing. A maioria dos resultados não surgem logo nas primeiras páginas, mas sim nas mais avançadas, mas ainda assim pode ser o suficiente para levar aos ataques.

11/05/2022
9% das empresas portuguesas impactadas pelo trojan Emotet em abril

A Check Point Research acaba de publicar o mais recente Índice Global de Ameaças de abril de 2022. Os investigadores reportam que o Emotet, um trojan avançado, auto propagador e modular, continua a ser o malware mais impactante, afetando 6% das organizações em todo o mundo. Em Portugal, também o Emotet foi líder, impactando 9% das organizações portuguesas. Seguiram-se o Lokibot e o Formbook, dois infostealers que este mês subiram na lista.

A classificação alta do Emotet em março a nível global (10%) deveu-se principalmente aos esquemas temáticos associados à Páscoa. Por outro lado, o decréscimo em relação ao mês passado pode ser explicado pela decisão da Microsoft de desativar os macros específicos associados a ficheiros Office, afetando a forma como o Emotet é implementado normalmente. Aliás, há investigações que indicam que o Emotet tem um novo método de implementação, utilizando e-mails de phishing que contêm um URL de OneDrive.

O Emotet tem muitas utilizações depois de conseguir contornar as proteções de um dispositivo. Devido às suas sofisticadas técnicas de propagação e assimilação, o Emotet também proporciona outros malwares a cibercriminosos em fóruns da dark web, incluindo trojans bancários, ransomwares, botnets, etc. Desta forma, assim que o Emotet encontra uma falha de segurança, as consequências podem variar dependendo de qual malware foi instalado depois de a falha ter sido comprometida.

Mais abaixo no índice, o Lokibot, um infostealer, voltou a entrar na lista em sexto lugar após uma campanha de spam de alto impacto, implementando um malware através de ficheiros xlsx feitos para parecerem faturas legítimas. Isto, e a ascensão de Formbook, alterou significativamente a posição de outros malwares no índice com o Trojan avançado de acesso remoto (RAT) AgentTesla, por exemplo, caindo de segundo para terceiro lugar.

No final de Março, foram encontradas vulnerabilidades na Framework Java Spring, conhecido como Spring4Shell, e desde então, muito atacantes têm aproveitado a ameaça para espalhar Mirai, o nono malware mais predominante deste mês.

“Com a paisagem de ciberameaças em constante evolução e com grandes corporações como a Microsoft a influenciar os parâmetros em que os cibercriminosos podem operar, os atacantes têm de se tornar mais criativos na forma como distribuem malware, como é evidente no novo método de implementação agora utilizado pelo Emotet”, afirma Maya Horowitz, VP Research da Check Point. “Além disso, este mês vimos a vulnerabilidade da Spring4Shell a entrar nas manchetes. Embora ainda não esteja no top dez da lista de vulnerabilidades, é de notar que mais de 35% das organizações em todo o mundo já foram afetadas por esta ameaça só no seu primeiro mês, pelo que esperamos vê-la subir na lista nos próximos meses”.

A CPR revela também que este mês em Portugal a área da Educação é a área mais afetada por ataques, substituindo a Saúde que ocupa agora 0o segundo lugar, seguido da área das Utilities como as mais afetadas em Portugal. Já na Europa as áreas mais afetadas são a da Educação, a Administração Pública/Setor Militar e as Utilities. Globalmente, a Educação/Investigação continua a ser a indústria mais afetada pelos cibercriminosos.

A vulnerabilidade “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, com um impacto em 46% das organizações por todo o mundo, seguida de perto pelo “Apache Log4j Remote Code Execution”. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” sobe vários lugares, estando agora em terceiro lugar, com um impacto global de 45%.

Famílias de malware mais prevalentes em abril

Este mês, o Emotet continua a ser o malware mais popular com impacto de 6% das organizações a nível mundial, seguido de perto pelo Formbook, responsável por impactar 3% das organizações e pela AgentTesla com um impacto global de 2%.

Em Portugal, também o Emotet é o malware mais impactante, afetando cerca de 9% das organizações portuguesas. Com o mesmo nível impacto, seguiu-se o Lokibot, com 9%. Em segundo lugar, esteve o Formbook, com um impacto de 4,45%.

1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.

2. Lokibot – Identificado pela primeira vez em Fevereiro de 2016, o LokiBot é um infostealer de mercadorias com versões tanto para o SO Windows como para o Android. Recolhe credenciais de uma variedade de aplicações, navegadores web, clientes de correio electrónico, ferramentas de administração de TI como o PuTTY e muito mais.

3. Formbook – O Formbook é um Infostealer que tem como alvo o SO Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking na dark web pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe capturas de ecrã, monitoriza e regista toques nas teclas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C.

Indústrias mais atacadas em Portugal:

Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

1. Educação\Investigação

2. Saúde

3. Utilities

Indústrias mais atacadas na Europa:

Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, as Utilities.

1. Educação/Investigação

2. Administração Pública/Indústria Militar

3. Utilities

Indústrias mais atacadas no mundo:

Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

1. Educação/Investigação

2. Administração Pública/Indústria Militar

3. ISP/MSP

Vulnerabilidades Mais Exploradas

Este mês “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, com um impacto global de 46% nas organizações, seguido de perto pelo “Apache Log4j Remote Code Execution” com um impacto global de 46%. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” está agora em terceiro lugar na lista das vulnerabilidades mais exploradas, com um impacto global de 45%.

1. Web Server Exposed Git Repository Information Disclosure- Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.

2. Apache Log4j Remote Code Execution (CVE-2021-44228)- Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.

3. Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114)- Existe uma vulnerabilidade de segurança em Apache Struts. A vulnerabilidade deve-se a uma validação inadequada dos dados processados pelo ParametersInterceptor, permitindo a manipulação do ClassLoader. Um atacante remoto poderia explorar esta vulnerabilidade, fornecendo um parâmetro de classe num pedido.

Principais malwares móveis

Este mês, o AlienBot fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo FluBot e pelo xHelper.

1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.

2. FluBot- Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

3. xHelper Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.

11/05/2022
Malware é capaz de ocultar atividades pelo Registo de Eventos no Windows

Quem cria malware também tenta sempre adaptar o mesmo para ser o mais “invisível” possível para o sistema e utilizadores, mas uma recente campanha focada para o Windows coloca esta fasquia bastante elevada.

Um grupo de investigadores de segurança revelou recentemente uma nova campanha de malware que esconde as suas atividades através do Registo de Eventos do Windows.

De acordo com a empresa de segurança Kaspersky, esta afirma ter descoberto um conjunto de malwares que parecem – para já – ser bastante focados nas vítimas, e não um ataque generalizado para a plataforma. No entanto, a investigação revelou que este malware usa uma técnica algo inédita para ocultar as suas atividades.

O malware processa os comandos do ataque através do próprio registo de eventos do sistema (os logs do Windows), além de usar um ficheiro DLL modificado para que possa “ler” os comandos pelo registo, e executar os mesmos no sistema. O processo do Registo de Eventos do Windows é colocado como uma tarefa agendada no sistema, sendo que analisa os registos pelos comandos de forma recorrente.

Quando os encontra, os mesmos são processadores pelo ficheiro DLL modificado para “ler” os mesmos, e que então executa o ataque. O mais curioso será que o ficheiro DLL modificado é totalmente inofensivo quando usado sozinho – apenas quando os comandos enviados para o Registo do Windows são lidos pelo mesmo, é que então o código é executado de forma maliciosa.

De notar que esta não é a primeira vez que se explora a possibilidade de usar o Registo do Windows para realizar ataques, no entanto é a primeira vez que se confirma um malware a usar o mesmo para este género de atividades.

De momento o malware parece ser consideravelmente focado em alvos específicos, e não algo que se destine a tentar infetar o máximo de dispositivos possíveis.

09/05/2022
Nvidia LHR é totalmente contornado com software da NiceHash

Faz pouco mais de um ano que a Nvidia lançou a Lite Hash Rate (LHR) para a maioria das suas gráficas da linha RTX 3000. O objetivo destas placas seria limitar a forma como as mesmas eram usadas para mineração, reduzindo consideravelmente o desempenho das mesmas para essa tarefa quando era detetado que estavam a ser usadas para tal.

A ideia era evitar que os mineradores saturassem o mercado na compra destas placas, e deixassem as mesmas para gamers, o que iria permitir reduzir os custos da placa à venda. No entanto, parece que os planos da Nvidia ainda se encontram longe de ser perfeitos.

Recentemente o software de mineração NiceHash confirmou que conseguiu contornar as limitações impostas pelo LHR em praticamente toda a linha de placas Ampere.

Apesar de, no passado, terem sido reveladas ferramentas que prometiam realizar esta tarefa, as mesmas ou não eram simples de usar ou eram diretamente malware. No entanto, a aplicação da NiceHash consegue agora realizar esta medida de forma consideravelmente mais simples em praticamente todas as placas.

Algumas fontes já confirmaram que o software se encontra a funcionar corretamente, onde uma RTX 3080 Ti, que anteriormente estaria limitada a mineração de 80 MH/s, agora é capaz de atingir todo o seu potencial com 110 MH/s.

No entanto, ainda existem algumas considerações a ter em conta. Para já, esta aplicação apenas funciona em sistemas Windows, e apenas é possível de ser usada com o algoritmo de mineração DaggerHashimoto.

Também não é compatível com as placas GeForce RTX 3050 e GeForce RTX 3080 de 12GB no mercado, tendo em conta que estas parecem usar um novo algoritmo de LHR que ainda não é capaz de ser contornado.

08/05/2022
Investigadores revelam campanha de espionagem com anos de existência

Um grupo de investigadores revelou recentemente uma nova campanha de espionagem que pode, durante anos, ter afetado algumas das maiores empresas a nível mundial.

De acordo com a descoberta dos investigadores da empresa de segurança Cybereason, uma nova campanha de espionagem, apelidada de “CuckooBees”, e alegadamente suportada por entidades com ligações ao governo chinês, terá durante anos analisado informações de várias empresas e fabricantes dos EUA e vários países nos mais variados setores.

Apesar de o relatório da empresa de segurança não citar nomes concretos, as empresas encontram-se localizadas nos EUA, Europa e Ásia. A espionagem acredita-se ter sido levada a cabo por um grupo conhecido como APT 41.

Os investigadores apontam que o “CuckooBees” tinha como objetivo roubar informações privilegiadas de grandes empresas, além de tentar ocultar todas as suas atividades o melhor possível dentro das infraestruturas das empresas. Quando uma empresa era visada para ataque, o mesmo apenas terminava quando os sistemas eram efetivamente comprometidos.

A investigação dos ataques terá durado mais de 12 meses, com milhares de documentos e informações sensíveis a terem sido roubadas durante este período. O mais preocupante terá sido que, em muitos casos, as empresas nem sabiam que estavam a ser espiadas e que as informações estariam a ser recolhidas.

Os primeiros casos do ataque dentro desta campanha começaram em 2010, sendo que o volume de entidades afetadas tem vindo a aumentar desde então. Os investigadores afirmam ainda que o malware era instalado nos sistemas sobre a forma de um rootkit, consideravelmente difícil de identificar por software de segurança tradicional.

O ataque era, em muitas ocasiões, usado através de falhas que existiam em outras aplicações sobre as infraestruturas das empresas. Estas falhas eram aproveitadas para integrar o malware nos sistemas de forma indetetável.

05/05/2022
Android 13 vai limitar acesso às APIs de acessibilidade

O Android 13 já se encontra disponível na sua primeira versão beta, e com esta surgem também algumas das primeiras novidades. Como se sabe, a Google vai apostar em força em melhorar a segurança do sistema, e uma das primeiras funcionalidades para tal será a limitação do acesso à API de acessibilidade do sistema.

A API de acessibilidade é muitas vezes explorada por apps maliciosas para tomarem controlo dos dispositivos, uma vez que a mesma permite obter permissões elevadas de controlo das ações do Android.

Estas permissões dão controlo praticamente de todas as funcionalidades do dispositivo, incluindo em segundo plano. Como tal, são o alvo perfeito para malware tentar explorar ao máximo.

No entanto, com o Android 13, a Google realizou algumas alterações sobre quais as apps permitidas para usar esta funcionalidade. Para começar, apenas as aplicações que tenham sido instaladas pela Play Store poderão usar a API de acessibilidade diretamente.

Desta forma, apps que podem ser consideradas maliciosas e instaladas fora da Play Store não vão poder usar a API, sendo rejeitada diretamente.

No entanto, os utilizadores ainda poderão manualmente permitir que apps populares da Play Store usem a API, embora ainda seja necessário manualmente confirmar que se pretende ativar o serviço de acessibilidade para as mesmas.

A mensagem de alerta ao ativar a funcionalidade também foi alterada, apresentando agora em mais destaque o facto que a mesma apenas deve ser ativada por apps seguras e reconhecidas, sendo que a API vai dar controlo de todo o sistema.

No final, a empresa espera que estas alterações possam evitar que os utilizadores ativem indevidamente apps maliciosas com o serviço de acessibilidade.

04/05/2022
Ataques de ransomware estão a aumentar e também os pagamentos feitos das vítimas

Os ataques de ransomware continuam a ser um grave problema de segurança tanto para utilizadores domésticos como empresas. E isso comprova-se com os recentes dados de um estudo da empresa Sophos, que terá analisado o estado do ransomware ao longo do ano.

De acordo com o relatório, as empresas encontram-se a ficar melhores na capacidade de restaurar os dados encriptados por ataques de ransomware, mas ao mesmo tempo o número de vítimas que realizam os pagamentos para tentar reaver os seus conteúdos também aumentou consideravelmente em comparação com 2020.

O estudo da Sophos teve como base mais de 5600 profissionais de TI em 31 países diferentes, entre Janeiro e Fevereiro de 2022, sendo os dados respeitantes ao ano anterior. Os dados demonstram que os ataques de ransomware aumentaram para os 66%, um crescimento de 29% face a 2020.

A maioria das empresas afetadas encontram-se na Áustria, Austrália, Malásia, Índia e República Checa, com menos empresas afetadas na África do Sul, Brasil, Reino Unido e EUA.

A maioria dos grupos de ransomware que realizam ataques pelo mercado estão agora a focar-se cada vez mais no “Ransomware as a service”, onde este género de malware é distribuído para afiliados dos grupos, que depois acabam por distribuir os mesmos por empresas para tentar infetar o máximo de sistemas possíveis – e onde os atacantes recebem uma parte, bem como os criadores do ransomware, de todos os ganhos obtidos.

Nos ataques realizados, os atacantes tiveram sucesso na encriptação de dados em 65% dos casos, um crescimento de 11% face a 2020. No entanto, a grande maioria das empresas verificaram um crescimento nas tentativas de ataques ou na complexidade dos mesmos.

No entanto, a Sophos afirma que a maioria das empresas encontram-se mais preparadas para este género de ataques, com 99% das mesmas a terem conseguido recuperar alguns dos dados encriptados, seja a partir de backups ou de software de desencriptação disponível para determinadas variantes de ransomware – ou obtidos a partir de pagamentos.

Dentro das entidades que realizaram os pagamentos aos atacantes, apenas 4% das mesmas tiveram todos os seus dados restaurados. Das entidades atacadas, 46% terão realizado este pagamento, com a maioria a recuperar 61% dos seus dados.

Caso tenha interesse em verificar o relatório completo, o mesmo encontra-se disponível a partir deste link.

02/05/2022
Governo Indiano aperta regras para reportar ataques digitais

O governo Indiano revelou novas regras relativamente à resposta das empresas sobre incidentes de segurança digital, sendo que agora vão começar a ser aplicadas medidas mais restritivas na forma como a resposta é fornecida.

De acordo com a nova legislação, as entidades alvo de ataques digitais onde possam ter sido comprometidos dados dos utilizadores devem comunicar os mesmos à CERT-IN no período de seis horas. Estes comunicados devem ser feitos até mesmo se os géneros de ataques forem scans de portas e vulnerabilidades aos sistemas internos das empresas.

Esta nova política, apesar de ser vista como um reforço para garantir a segurança digital, ao mesmo tempo também tem vindo a ser alvo de criticas, uma vez que envolve uma pesada carga de trabalho que muitos consideram ser impossível de gerir e comunicar.

A CERT-In deve ser comunicada de todos os incidentes que sejam no formato de exploração de ataques, nomeadamente com a exploração de portas vulneráveis e direcionados a sistemas críticos, ataques de malware, acesso indevido a dados internos das empresas ou roubos de informações pessoais.

Ataques focados para dispositivos da Internet das Coisas, sistemas de pagamentos e falsas aplicações para dispositivos móveis também devem ser reportadas dentro do mesmo período.

Existem ainda novas regras para as empresas que fornecem serviços de VPS e VPN aos consumidores, onde passa a ser necessário manter um registo dos clientes que usam estes géneros de serviços. Dentro dos dados que devem ser mantidos encontram-se os nomes dos clientes, moradas, endereços IP usados para a aquisição dos serviços, entre outros.

Estas novas regras têm, no entanto, levantado algumas questões tanto a nível da forma como os meios devem ser reportados, o que pode ser complicado para muitas entidades de realizar dentro do período estipulado, mas também sobre a possível recolha de dados pessoais que pode ser feita como fruto da mesma.

01/05/2022
Cuidado com os falsos programas de atualização do Windows

De tempos a tempos surgem novas formas de se propagar malware pela internet, e uma tendência ultimamente encontra-se sobre os falsos programas de atualização do Windows.

Ainda de forma recente foram descobertos programas que, prometendo o upgrade do Windows, acabam por instalar malware nos sistemas das vítimas. Este género de malware é normalmente distribuído por sites maliciosos, que surgem em campanhas de publicidade em termos populares do Google e afins, sobretudo focados para utilizadores com menos conhecimentos técnicos.

Os mesmos prometem fornecer as ferramentas para atualização do sistema, mas no final acabam por instalar malware nos sistemas. Este género de esquemas não é propriamente novo, mas os relatos pelas redes sociais demonstram que têm vindo a aumentar consideravelmente nos últimos tempos.

Existem cada vez mais casos identificados de malware que é distribuído por este formato.

O género de malware que se acaba por instalar no final depende da campanha. Na maioria das vezes são instalados programas de ransomware, que acabam por encriptar os conteúdos dos utilizadores. Noutros casos são instalados trojans focados em roubar informações sensíveis, como senhas e ficheiros pessoais.

Infelizmente este género de campanhas focam-se também em utilizadores que possuem poucos conhecimentos técnicos para compreender que se tratam de ficheiros maliciosos, e são motivados também pela crescente onda de utilizadores que procuram atualizar os seus sistemas para as versões mais recentes.

01/05/2022
Ransomware Onyx destrói ficheiros das vítimas invés de encriptar

Recentemente um novo grupo de ransomware entrou em cena, conhecido como “Onyx”. No entanto, a técnica usada por este grupo para bloquear os ficheiros das vítimas é ligeiramente diferente dos restantes.

Invés de encriptar os conteúdos, o ransomware usado pelo grupo pode mesmo destruir os ficheiros, tornando os mesmos inacessíveis até mesmo se as vítimas pagarem o resgate.

O grupo foi inicialmente descoberto pelos investigadores MalwareHunterTeam, sendo que inicialmente acreditava-se que este seria apenas mais um grupo de ransomware no mercado. No entanto, a forma como este ataca as vítimas é ligeiramente diferente.

Tal como muitos outros ransomwares, o conteúdo das vítimas é roubado antes de ser encriptado. No entanto, é neste processo que existem diferenças, já que o sistema de encriptação do grupo encontra-se criado para realmente encriptar ficheiros abaixo dos 2MB de tamanho, com outros ficheiros acima deste valor a serem permanentemente destruídos.

O malware usado foca-se em sobrescrever os dados dos ficheiros acima de 2MB com dados aleatórios, o que basicamente destrói os seus conteúdos – e fica impossível de recuperar os mesmos até se as vítimas realizarem o pagamento.

Os ficheiros abaixo deste tamanho encontram-se efetivamente encriptados, e podem ser desbloqueados com as ferramentas próprias. Mas acima disso serão permanentemente destruídos.

De notar que este formato de funcionamento foi especificamente criado pelo grupo para o ransomware, portanto não se trata de um bug no sistema de encriptação, mas algo implementado para prejudicar as vítimas mesmo que paguem o resgate.

28/04/2022
Microsoft alerta para centenas de ciberataques da Rússia contra Ucrânia

A guerra entre a Ucrânia e a Rússia não se trava apenas na frente de batalha física, sendo que o mundo virtual também possui um grande impacto para tal. E parece que os ataques neste meio têm vindo a aumentar consideravelmente.

Pelo menos é esta a indicação de um recente estudo da Microsoft, que aponta o facto que os ataques digitais da Rússia contra a Ucrânia estão a aumentar consideravelmente nos últimos tempos.

A Microsoft encontra-se a trabalhar diretamente com as autoridades da Ucrânia para analisar a vertente digital da guerra, e os dados demonstram que as forças digitais russas estão a lançar cada vez mais ataques contra o pais, e consideravelmente mais fortes.

De acordo com o relatório, já terão sido realizadas 237 operações de ataques contra a Ucrânia, com 40 dessas operações a terem sido focadas na destruição de dados de organizações do pais. Destes ataques, cerca de 40% foram focados a infraestruturas e entidades criticas para a Ucrânia que poderiam ter efeitos secundários contra várias plataformas militares e políticas do pais.

O relatório indica ainda que é esperado que os ataques venham a continuar a aumentar de intensidade e quantidade conforme os conflitos no mundo real também aumentam. As entidades russas focadas neste género de campanhas estão a aumentar consideravelmente os seus meios de ataque, o que pode ditar futuros ataques em larga escala.

Também se espera que novos géneros de malware focados para as entidades Ucranianas venham a ser verificadas durante os próximos tempos.

27/04/2022
Emotet agora pode instalar-se no Windows através de um simples atalho

O malware conhecido como Emotet não é propriamente novo, mas parece que tem vindo a ganhar nova força a nível mundial com foco para sistemas Windows, e desta vez está mais simples de se instalar do que nunca.

Foi recentemente descoberto que o malware tem vindo a usar uma nova estratégia para tentar infetar os sistemas, através do uso de atalhos do Windows. Normalmente este malware distribui-se por macros em ficheiros do Office infetados, mas a estratégia parece ter recentemente mudado, sendo que os responsáveis pelo mesmo estão agora a usar ficheiros LNL (atalhos no Windows) em combinação com código Visual Basic Script (VBS).

De acordo com o portal BleepingComputer, o esquema é bastante simples. Usando o sistema de atalhos do Windows, os criminosos podem criar um código simples em VBS que é responsável por realizar o download do software malicioso para o sistema, contornando a necessidade de usar ficheiros maliciosos do Office para tal. Os comandos são executados na PowerShell, e procedem com o download dos ficheiros do malware necessários para o sistema através de servidores comprometidos.

Os atalhos tentam ainda ocultar a sua atividade ao usar espaços em branco no comando, para evitar que os utilizadores possam ver a atividade na janela ou nas configurações do ficheiro. Os ficheiros descarregados são, na sua maioria, scripts do PowerShell que depois procedem com a infeção do sistema tal como aconteceria por outros formatos de distribuição.

Vários investigadores de segurança apontam que esta tem vindo a ser a nova prática do malware para se propagar nos últimos dias, e que parece estar a aumentar em campanhas de phishing.

De acordo com os dados da empresa de segurança ESET, entre os países com maior atividade do malware encontra-se o México, Itália, Japão, Turquia e Canadá.

27/04/2022
“Fakecalls” engana utilizadores ao realizar chamadas para entidades bancárias
Os atacantes encontram-se sempre à procura de novas formas de poderem atacar as suas vítimas, e uma das mais recentes pode levar muitos utilizadores ao engano – até mesmo os mais atentos…

Os especialistas da Kaspersky identificaram o trojan bancário Fakecalls em Janeiro de 2021. Durante a sua investigação, descobriram que quando uma vítima telefona para a linha direta do banco, o Trojan abre a sua própria chamada falsa, em substituição da chamada autêntica para o banco. Há dois cenários possíveis após a interceção da chamada: no primeiro, o Fakecalls liga diretamente a vítima aos cibercriminosos que se fazem passar pelo serviço de apoio ao cliente do banco; no segundo, o trojan reproduz uma pré-gravação que imita uma conversa padrão utilizando um voice-mail automatizado.

Ocasionalmente, o Trojan insere pequenos clips de áudio em coreano. Por exemplo: “Olá, obrigado por ligar para o nosso banco. O nosso centro de chamadas está a receber um elevado volume de chamadas. Será atendido o mais rapidamente possível”.

Isto permite-lhes ganhar a confiança das suas vítimas, fazendo-as acreditar que a chamada é real. O principal objetivo deste tipo de chamada é extrair o máximo de informação crítica possível, incluindo detalhes de conta bancária.

No entanto, os cibercriminosos que implementaram este trojan não tiveram em conta que algumas das suas potenciais vítimas utilizam outros idiomas além do coreano, por exemplo, o inglês. O ecrã do Fakecall tem apenas uma versão coreana, o que significa que para os utilizadores que têm como predefinição o inglês é mais provável que se deem conta da ameaça.

A aplicação Fakecall, disfarçada de verdadeira aplicação bancária, pede uma série de permissões, tais como acesso a contactos, microfone, câmara, geolocalização e tratamento de chamadas. Estas permissões concedem ao trojan a possibilidade de descartar as chamadas recebidas e apagá-las do histórico do dispositivo, por exemplo, quando o banco real está a tentar contactar o seu cliente.

O trojan Fakecalls não só é capaz de monitorizar as chamadas recebidas, como também consegue falsificar as chamadas efetuadas. Se os cibercriminosos quiserem contactar a vítima, o trojan exibe o seu próprio ecrã de chamada no topo do ecrã do sistema. Desta forma, o utilizador não vê o número real utilizado pelos cibercriminosos, mas sim o número de telefone do serviço de apoio ao cliente do banco exibido pelo trojan.

O Fakecalls imita completamente as aplicações móveis dos conhecidos bancos sul-coreanos, inserido os logótipos reais dos bancos e os números verdadeiros de atendimento dos bancos tal como aparecem na página inicial dos seus sites oficiais.

“Os clientes do setor bancário são constantemente alertados para estarem atentos às chamadas recebidas que possam ser de cibercriminosos. No entanto, quando tentam contactar diretamente o serviço de apoio ao cliente do banco, não esperam qualquer perigo. Geralmente confiamos nos funcionários dos bancos: pedimos-lhes ajuda e podemos, portanto, dizer-lhes, ou aos seus imitadores, qualquer informação solicitada. Os cibercriminosos que criaram a Fakecalls combinaram duas tecnologias perigosas – os trojans bancários e a engenharia social – pelo que as suas vítimas são mais suscetíveis de perder dinheiro e dados pessoais. Ao descarregar uma nova aplicação bancária, esteja atento às permissões que que são requeridas e que concede. Se tentar obter um acesso suspeito e/ou excessivo, incluindo o acesso ao tratamento de chamadas, é provável que a aplicação seja, na verdade, um trojan bancário” comenta Igor Golovin, analista de cibersegurança da Kaspersky.

Existem algumas regras que devem ser tidas em conta para garantir a segurança dos utilizadores contra este género de ataques:
- Descarregar apenas aplicações a partir de lojas oficiais. Não permitir a instalação a partir de fontes desconhecidas. As lojas oficiais verificam todos os programas e, se o malware conseguir entrar sorrateiramente, por norma, é removido rapidamente.
- Preste atenção às permissões requeridas pelas aplicações e se são realmente necessárias. Não tenha medo de negar permissões, especialmente as potencialmente perigosas, como o acesso a chamadas, mensagens de texto, acessibilidade, etc.
- Nunca forneça informações confidenciais por telefone. Os verdadeiros funcionários do banco nunca irão pedir as suas credenciais de login, PIN, código de segurança do cartão ou códigos de confirmação de mensagens de texto. Em caso de dúvida, vá ao site oficial do banco e descubra o que os funcionários do banco podem ou não perguntar.
- Instale uma solução de segurança de confiança que proteja todos os seus dispositivos contra trojans bancários e outros malware.
26/04/2022
Microsoft Defender marca atualização do Google Chrome como suspeita

Se utiliza o Microsoft Defender, existe uma forte possibilidade que as mais recentes atualizações do Google Chrome possam ser marcadas como potencialmente suspeitas, devido a um bug recentemente descoberto.

Vários administradores de sistemas estão a reportar que o Microsoft Defender encontra-se a considerar uma atualização do navegador Google Chrome como sendo suspeita, impedindo a mesma de ser executada. A falha parece estar a ocorrer sobre sistemas que estejam protegidos com o Microsoft Defender for Endpoint – focado sobretudo a meios empresariais.

A Microsoft terá entretanto confirmado a falha, indicando que o programa de segurança terá indevidamente criado um falso positivo sobre a mais recente atualização do Google Chrome. No entanto, o ficheiro será totalmente legitimo e seguro. A correção do problema deve ter sido implementada na mais recente base de dados, embora ainda possa demorar algumas horas a chegar a todos os sistemas.

De notar que esta não é a primeira vez que os utilizadores do Defender for Endpoint passam por situações de falso positivos em programas consideravelmente conhecidos no mercado – como é o caso do Google Chrome. Apesar de falsos positivos serem perfeitamente normais de ocorrer, não deveria ser o caso em aplicações que são assinadas e reconhecidas por serem de entidades como a Google.

Ainda em Novembro do ano passado, os utilizadores do Defender for Endpoint verificaram que os seus ficheiros do Office não se encontravam a abrir, porque a suíte de segurança considerava os mesmos como parte de malware.

20/04/2022
LinkedIn foi a marca mais usadas para phishing desde o início do ano

Os ataques de phishing não param de aumentar, e de acordo com o mais recente relatório Brand Phishing Report da Check Point existem algumas marcas que se destacam por serem usadas para estes esquemas.

De acordo com o relatório, respeitante ao primeiro trimestre de 2022, cerca de 52% das tentativas de phishing usaram o nome do LinkedIn para tal. A maioria dos ataques começam a partir de mensagens de email maliciosas, que redirecionam os utilizadores para falsos websites de login na plataforma – com o objetivo de roubar os seus dados.

Na segunda posição entre as marcas mais usadas para estes esquemas encontra-se a empresa de encomendas DHL, com 14% dos ataques, seguindo-se a Google com 7%. Da lista fazem ainda parte a Microsoft (6%), a FedEx (6%), o WhastApp (4%), a Amazon (2%), a Maersk (1%), o AliExpress (0,8%) e a Apple (0,8%).

Omer Dembinsky, Data Research group manager da Check Point Software, afirma que “Estas tentativas de phishing são ataques pura e simplesmente oportunistas. Os grupos de cibercrime orquestram estas tentativas de phishing em grande escala, com vista a conseguir que o maior número possível de pessoas partilhe os seus dados pessoais. Alguns ataques tentarão ganhar vantagem sobre indivíduos ou roubar a sua informação, como os que estamos a ver com o LinkedIn. Outros serão tentativas de implementação de malware nas redes das empresas, tais como os falsos e-mails que contêm documentos maliciosos e que temos visto com a Maersk”.

19/04/2022
BlackCat é um dos grupos de ransomware em maior crescimento nos últimos meses

O novo relatório da Kaspersky, ‘A bad luck BlackCat‘, revela detalhes sobre dois ciberataques protagonizados pelo grupo de ransomware BlackCat. A complexidade do malware utilizado, combinada com a vasta experiência dos indivíduos responsáveis, fazem do grupo um dos principais intervenientes no panorama atual de ransomware. As ferramentas e técnicas que o grupo implementa durante os seus ataques confirmam a ligação entre o BlackCat e outros grupos de ransomware, tais como BlackMatter e REvil.

O grupo de ransomware BlackCat funciona pelo menos desde dezembro de 2021. Ao contrário de outros ataques de ransomware, o malware BlackCat utiliza a linguagem de programação Rust. Graças às capacidades avançadas de compilação cruzada do Rust, o BlackCat pode visar tanto sistemas Windows como Linux. Por outras palavras, o BlackCat introduziu grandes avanços e uma mudança nas tecnologias utilizadas para contornar os desafios do desenvolvimento ransomware.

Além disso, afirma ser sucessor de grupos muito conhecidos de ransomware, como o BlackMatter e o REvil. Dados sugerem que pelo menos alguns membros do novo grupo BlackCat têm ligações diretas com o BlackMatter, uma vez que utilizam ferramentas e técnicas que já foram amplamente utilizadas por este.

No novo relatório ‘A bad luck BlackCat’, investigadores da Kaspersky revelam novos detalhes sobre dois ataques de particular interesse. Um demonstra o risco que representam os recursos partilhados de hospedagem de cloud, o outro destaca a abordagem ágil do malware personalizado que é utilizado pelo grupo BlackMatter e reutilizado pelo BlackCat.

O primeiro caso diz respeito a um ataque contra um fornecedor vulnerável de ERP (planeamento de recursos empresariais) no Médio Oriente que albergava vários websites. Os atacantes implementaram simultaneamente dois executáveis diferentes no mesmo servidor físico, dirigidos a duas organizações diferentes que estavam virtualmente alojadas no mesmo. Embora o grupo tenha confundido o servidor infetado com dois sistemas físicos diferentes, os atacantes deixaram vestígios que foram importantes na determinação do estilo de funcionamento do BlackCat.

Os investigadores da Kaspersky descobriram que os cibercriminosos exploram o risco de ter ativos partilhados nos recursos da Cloud. Além disso, neste caso, o grupo implementou ainda um ficheiro Mimikatz em série juntamente com executáveis e utilitários de recuperação de senhas de rede Nirsoft. Um incidente semelhante teve lugar em 2019, quando o REvil, um grupo predecessor da atividade do grupo BlackMatter, pareceu penetrar um serviço cloud que dava apoio a um grande número de centros dentários dos EUA. É muito provável que o grupo BlackCat também tenha adotado algumas destas antigas táticas.

O segundo caso tem como visada uma empresa de petróleo, gás, mineração e construção na América do Sul e evidencia a ligação entre a atividade do ransomware BlackCat e do BlackMatter. O grupo por detrás deste ataque de ransomware (que parece ser diferente do caso anterior), não só tentou implementar o ransomware BlackCat na rede-alvo, como conseguiu conduzir esta tentativa através da instalação de um recurso de transferência de informação personalizado – o “Fendr”, de acordo com os especialistas, conhecido anteriormente por ExMatter e utilizado até então exclusivamente pelo grupo BlackMatter.

“Depois de os grupos REvil e BlackMatter terem cessado as operações, era apenas uma questão de tempo até que outro grupo de ransomware tomasse o seu lugar. O conhecimento para desenvolvimento de malware, a escrita de raiz numa linguagem de programação invulgar, e a experiência na manutenção de infraestruturas estão a tornar o grupo BlackCat num dos principais agentes de cibercrime no panorama do ransomware.

Analisando estes incidentes, destacamos as principais características, ferramentas e técnicas utilizadas pelo BlackCat ao penetrar nas redes das suas vítimas. Este conhecimento ajuda-nos a manter os nossos utilizadores seguros e protegidos de todas as ameaças, conhecidas e desconhecidas. Instamos a comunidade de cibersegurança a unir forças e trabalhar em conjunto contra novos grupos de cibercrime para um futuro mais seguro”, diz Dmitry Galov, investigador de cibersegurança da equipa global de Investigação e Análise da Kaspersky.

19/04/2022
Malware disfarça-se de ferramenta para upgrade do Windows

Muitos utilizadores do Windows 10 ainda se encontram para realizar o upgrade dos seus sistemas para o Windows 11, e felizmente a Microsoft fornece algumas ferramentas. No entanto, existe também quem tenha criativas ideias para distribuir malware que tenta enganar os utilizadores que apenas pretendem atualizar para a versão mais recente do Windows.

Foi o que recentemente terá sido descoberto, com investigadores da empresa de segurança CloudSEK a revelaram um novo esquema de distribuição de malware, que tenta enganar as vítimas através de falsos sites para download das ferramentas de upgrade do Windows 11.

O esquema começa quando as vítimas acedem a um site especificamente criado para parecer-se com o site oficial da Microsoft, e que fornece essas ferramentas. Este site é normalmente colocado como publicidade em pesquisas do Google, pelo que surge também nos primeiros resultados – tendo mais possibilidade de ser clicado pelos utilizadores.

Ao aceder, os utilizadores vão verificar uma cópia praticamente idêntica ao site da Microsoft, mas onde o download fornecido será para o malware, e não para a ferramenta de upgrade do Windows.

De acordo com os investigadores, o malware é conhecido como “Inno Stealer”. Este faz-se passar como um instalador de programas para Windows, que os utilizadores, ao instalarem nos sistemas, estão secretamente a instalar o malware também no mesmo.

Uma vez instalado, o malware procede com o roubo de informação sensível dos utilizadores, focando-se sobretudo nas senhas guardadas em vários navegadores e sobre carteiras de criptomoedas.

O malware realizar a procura por uma vasta lista de navegadores para tentar roubar informações do mesmo, entre os quais o Chrome, Edge, Brave, Vivaldi, Opera, Chromium, entre outros.

Quando a informação é recolhida, passa por um processo de encriptação no sistema local, antes de ser enviada para servidores em controlo dos atacantes. O malware possui ainda a capacidade de instalar outro malware no sistema e de receber comandos de forma remota, no entanto a maioria das tarefas são realizadas apenas durante o período noturno – possivelmente para evitar que as atividades sejam identificadas pelos utilizadores.

Como sempre, a primeira linha de defesa será que os utilizadores verifiquem atentamente de onde se encontram a descarregar o seus ficheiros, e que garantam que os mesmos são de fontes confiáveis.

18/04/2022
Proteção do Microsoft Defender cai consideravelmente quando desligada a Internet

A Microsoft tem vindo a melhorar consideravelmente o Microsoft Defender, ao ponto que o mesmo encontra-se atualmente entre a lista dos melhores antivírus a usar para o Windows. No entanto, este resultado não é obtido sobre todos os casos, e ainda continua a ser importante de ter em consideração alguns pontos.

De acordo com o portal de analise de antivírus no mercado AV-Comparatives, apesar de o Microsoft defender apresentar-se como um forte candidato para a segurança dos utilizadores, este registo apenas é obtido enquanto o mesmo se encontra com acesso à Internet.

Se cortarmos a ligação, a deteção de malware cai consideravelmente, ao ponto de o tornar um dos piores antivírus no mercado.

O Microsoft Defender baseia-se muito na verificação na cloud, para analisar ficheiros suspeitos. Um problema desta medida será que o antivírus necessita de uma ligação constante à internet para validar os ficheiros e verificar se realmente são malware ou não.

Se a ligação for cortada, o antivírus baseia-se apenas nas suas bases de dados locais ou identificação de atividades suspeitas no sistema – que o programa da Microsoft ainda peca.

Se a ligação à Internet for cortada, a proteção do Microsoft Defender encontra-se nos 60.3%. Em comparação, a maioria dos softwares de segurança mais conhecidos possuem uma marca acima dos 90%. Os testes revelam que o G Data é atualmente o melhor classificado nesta matéria, com uma proteção de 98.6%.

Quando a ligação à Internet é estabelecida, efetivamente a proteção do Microsoft Defender aumenta consideravelmente, para os 99.96%. Apesar de a ligação à Internet ser consideravelmente vulgar nos dias de hoje, ainda existem situações onde a mesma pode não se encontrar disponível – ou até em situações onde os utilizadores saibam que os seus sistemas estão infetados, mas desliguem os mesmos da rede para evitar a propagação do malware ou atividades adicionais.

A segurança “offline” é tão ou mais importante que a proteção baseada na Cloud, e deve ser um ponto a ter em consideração na altura de escolher o software de segurança para o seu sistema.

Ainda assim, o teste revela que o Microsoft Defender continua a ser uma boa opção de segurança para a grande maioria dos utilizadores, sobretudo tendo em conta que é fornecido gratuitamente com o Windows.

15/04/2022
Grupos de ransomware estão cada vez mais a voltar-se contra a Rússia

Em muitos casos de ataques de ransomware, normalmente os mesmos possuem como origem dos atacantes ou dos grupos responsáveis pelos mesmos a Rússia. No entanto, nas recentes semanas, o caso parece ter-se alterado ligeiramente.

Desde que a Rússia realizou a invasão da Ucrânia, os ataques parecem ter-se centrado cada vez mais contra entidades e o próprio governo Russo, contrariando o que vinha a acontecer até aqui.

De acordo com um relatório da empresa Group-IB, um recente grupo de ransomware, conhecido como “OldGremlin”, tem vindo a realizar cada vez mais ataques com foco em empresas na Rússia, através de campanhas de phishing e mascarando os contactos como representantes oficiais do governo Russo.

O grupo OldGremlin começa por enviar comunicações para as entidades que pretende infetar, alegando ser autoridades russas, e com informações associadas aos bloqueios de pagamentos da VISA e Mastercard no pais.

Outro grupo que também começou recentemente a focar-se em empresas russas terá sido o NB65, que confirmou também recentemente ter atacado uma estação de TV russa, a VGTRK, e de onde foram roubados cerca de 900.000 emails e 4000 ficheiros.

Também durante o início de Março foi revelado que outro grupo, conhecido como “RURansom”, estaria a distribuir malware sobre entidades na Rússia, não apenas com o objetivo de encriptar os conteúdos, mas também de os destruir completamente. Este ransomware, segundo a mensagem deixada pelo criador do mesmo, terá sido desenvolvido especificamente para afetar as entidades russas devido à invasão da Ucrânia.

Durante anos a Rússia tem vindo a ser um dos pontos centrais para a realização de vários ataques. No entanto, desde a invasão da Ucrânia que esta tendência tem vindo a alterar-se ligeiramente, e agora é o pais a principal vitima destes ataques e em volumes cada vez mais elevados.

15/04/2022
Ferramenta para instalar a Google Play Store no Windows 11 também instalava malware

A chegada do subsistema de Android ao Windows 11 veio permitir que os utilizadores possam finalmente correr apps do Android diretamente nos seus computadores. No entanto ainda existem algumas limitações – e uma delas passa por correr a Google Play Store.

Infelizmente a Microsoft usa a Amazon App Store para permitir que os utilizadores instalem facilmente as apps do Android. Mas rapidamente surgiram formas de se instalar a Google Play Store no sistema. Uma das ferramentas mais usadas para tal era conhecida como “Windows ToolBox”.

Esta ferramenta surgiu no Github como uma suíte “tudo em um”, onde os utilizadores poderiam ter acesso a vários scripts para as mais variadas tarefas no sistema – desde remover apps nativas, ativar o Windows e claro, instalar a Google Play Store para quem tenha o WSA.

No entanto, parece que esta ferramenta também acabava por instalar algo mais. Foi recentemente descoberto que os scripts usados por esta ferramenta também teriam outra finalidade: instalar malware nos sistemas.

Conforme terá sido descoberto por alguns utilizadores, o script realmente prometia fazer o que era anunciado. No entanto, em segundo plano, também descarregava malware para o sistema dos utilizadores cada vez que os scripts eram executados.

O programador terá alojado o script final no Cloudflare Workers, o que lhe permitia modificar rapidamente os conteúdos do mesmo para evitar a deteção quando fosse necessário, ou até modificar os pedidos para apenas distribuir o malware sobre um determinado conjunto de sistemas, países, IPs, entre outros.

O código encontrava-se escondido dentro dos scripts e ofuscado, para evitar a rápida deteção. Uma vez executado, outros scripts maliciosos eram descarregados de diferentes plataformas e instalados no sistema.

Além de instalar malware no sistema, este script também instalava uma extensão nos navegadores Edge, Chrome e Brave, que era depois usado para redirecionar os utilizadores para domínios de esquemas online e “fraudes” de afiliados.

Os utilizadores podem verificar se os seus sistemas foram infetados validando se existe uma pasta em C:\systemfile (oculta por padrão), bem como as pastas em C:\Windows\security\pywinvera, C:\Windows\security\pywinveraa e o ficheiro em C:\Windows\security\winver.png.

Se existirem, os utilizadores devem remover as mesmas, além de verificar a lista de tarefas agendadas do sistema – onde o malware se instalava para correr cada vez que o sistema era iniciado.

14/04/2022
Novo malware para Windows tira proveito de bug para esconder atividades

A Microsoft revelou ter descoberto um novo malware, com origens na China, que estaria a usar um bug no Windows até agora desconhecido para ocultar as suas atividades, e esconder tarefas agendadas no sistema.

O malware terá sido criado pelo grupo “Hafnium”, que é conhecido por ter atacado no passado várias instituições dos EUA, além de realizar campanhas de espionagem para o governo da China.

O malware descoberto pela Microsoft foi apelidado de “Tarrask”, sendo que este usava um bug desconhecido no Windows para ocultar as suas atividades, nomeadamente com a criação de tarefas agendadas no sistema para manter a infeção.

Mesmo que os utilizadores removessem os ficheiros associados com o malware, a tarefa agendada iria recriar os mesmos – e para os utilizadores, não iria encontrar-se visível nenhuma tarefa no final.

O malware ocultava as tarefas agendadas a partir do registo do Windows, portanto as mesmas não estariam visíveis nas ferramentas comuns do Windows. Invés disso, a única forma de identificar as tarefas seria manualmente acedendo ao registo do Windows.

Estas tarefas tinham como foco reinstalar o malware no sistema caso o mesmo fosse eliminado, mantendo uma ligação persistente com servidores em controlo dos atacantes para tal.

Tendo em conta que as tarefas agendadas ficariam ocultas no registo, seria consideravelmente mais difícil para os utilizadores identificar a origem da infeção do sistema. Para tal, o malware tira proveito de um bug no Windows que indevidamente oculta as tarefas das ferramentas tradicionais quando estas são adicionadas a partir do registo e alguns dos seus dados removidos do mesmo. As tarefas ainda irão correr normalmente, mas não vão surgir visíveis para os utilizadores.

Como sempre, a melhor forma de garantir a proteção contra este género de malwares passa por usar um software de segurança atualizado. Além disso, em atividades suspeitas do sistema, deve-se tentar identificar a origem dos problemas, sobretudo quando estes estão relacionados com ligações suspeitas ou ficheiros criados “sem autorização”.

12/04/2022
Qbot adapta-se para infetar sistemas Windows através de instaladores

Os gestores do malware conhecido como “Qbot” voltaram ao ataque, e desta vez parecem estar focados para sistemas que tenham o Windows instalado, aproveitando programas de instalação no mesmo.

De acordo com as descobertas mais recentes, este malware encontra-se agora a ser adaptado para tirar proveito do Windows, infetando ainda mais sistemas e roubando ainda mais dados.

O Qbot é um malware conhecido faz já alguns anos, sendo que a sua distribuição é normalmente por mensagens de email maliciosas. Estas mensagens possuem ficheiros do Office com macros que, quando ativadas, descarregam a versão final do malware para o sistema.

A Microsoft tem vindo, no entanto, a dificultar a vida para quem gere campanhas de malware por este formato, com a desativação por padrão de macros no Office – e tornando a sua ativação consideravelmente mais difícil. Por isso mesmo, os criadores do Qbot parecem agora estar a voltar-se para a distribuição do mesmo por ficheiros de instalação modificados.

Os ficheiros, na sua maioria .MSI, são fornecidos como anexos nas mensagens de email da campanha do mesmo, tentando levar os utilizadores a instalarem o programa no sistema sobre os mais variados pretextos.

De relembrar que o Qbot é conhecido desde, pelo menos, 2007. Este foca-se em roubar dados bancários das vitimas, bem como informações pessoais e o máximo de dados financeiros das mesmas, além de abrir as portas para instalação de outro género de malware.

Tendo em conta o seu histórico na Internet, o Qbot tem vindo a ser usado também por vários grupos de ransomware para infetar as redes internas das empresas, e levar a ainda mais roubos de dados.

12/04/2022