TugaTech

Categoria: malware

  • Malware engana vítimas ao fazer-se passar por suporte de entidades bancárias

    Malware engana vítimas ao fazer-se passar por suporte de entidades bancárias

    Quando ligamos para uma linha de suporte, contamos ser atendidos pela empresa que é responsável por essa linha. Isto será ainda mais verdade quando a ligação é feita para um contacto associado com uma entidade bancária.

    No entanto, se o seu dispositivo estiver infetado com um novo malware conhecido como “Fakecalls”, isso pode não ser bem o que acontece.

    Este malware, descoberto pela empresa de segurança Kaspersky, tenta mascarar-se como uma app de suporte para diversas entidades bancárias, que permite ainda realizar a ligação direta com a suposta linha de telefone dessa entidade. No entanto, os utilizadores estão na realidade a telefone para uma linha usada por criminosos para enganar as suas vítimas.

    Quando o utilizador tenta realizar uma chamada para uma linha de suporte das entidades bancárias associadas, a app começa por cortar a ligação e apresentar uma falsa janela de conversa. No entanto, em segundo plano é feita a ligação para o número usado pelos atacantes, a partir do qual começa o esquema.

    exemplo de app maliciosa

    Enquanto que a vítima se encontra a ver no seu telefone o número real do seu banco, na realidade a ligação está a ser feita para um completamente diferente e em controlo dos atacantes. A partir daqui é possível proceder-se ao roubo de diversa informação sensível, ou até mesmo acesso às contas bancárias das vítimas.

    O malware parece ter começado a ser distribuído sobre a Coreia do Sul, com foco para utilizadores das entidades bancárias KakaoBank e Kookmin Bank, mas tem vindo a evoluir para mais países.

    Ale de mascarar as chamadas de saída, o malware também é capaz de enganar as vitimas ao apresentar um telefone falso para as mesmas nas chamadas recebidas. Desta forma os utilizadores podem pensar estar a receber uma chamada da linha de suporte do seu banco, quando na verdade é de um scammer.

    Como sempre, o principal meio de defesa passa por evitar que sejam partilhados dados sensíveis por meio telefónico. Mesmo as entidades bancárias normalmente não colocam questões privadas via telefone, reencaminhando os utilizadores para outros meios mais seguros.

  • Novo malware para Android pode roubar dados bancários e permitir acesso remoto

    Novo malware para Android pode roubar dados bancários e permitir acesso remoto

    Se utiliza dispositivos Android, deve sempre ter atenção aos locais onde descarrega os conteúdos para o mesmo, sobretudo ficheiros APK desconhecidos em sites pela Internet. Existe uma infinidade de malware para este sistema, mas um nome tem vindo a ganhar destaque nos últimos tempos.

    Investigadores de segurança da Threat Fabric afirmam ter descoberto um novo malware para Android, focado em roubar informações bancárias dos utilizadores e em usar os dispositivos para os mais variados esquemas. O malware, apelidado de “Octo”, é capaz de aceder remotamente aos dispositivos e, além de roubar os dados, utiliza os mesmos também para realizar outro género de esquemas contra terceiros.

    O malware começa por tentar ocultar as suas atividades ao reduzir o brilho do ecrã para zero, além de desligar todas as notificações e toques. Desta forma o atacante pode obter o acesso remoto sem alertar as vítimas.

    Tirando proveito do sistema de transmissão multimédia do Android, o malware enviar a informação do ecrã do dispositivo para os atacantes, que permite assim obter dados e usar o mesmo para os mais variados fins.

    Além do acesso remoto, este malware permite ainda que os atacantes possam roubar informação que seja introduzida no mesmo. Aqui encontram-se senhas, dados de contas de email, código PIN, entre outros. O acesso a todos os conteúdos do dispositivo também é possível, o que inclui fotos, vídeos e mensagens SMS.

    Acredita-se que o malware estivesse a ser vendido em vários portais da dark web, como uma variante personalizada para os compradores. O mesmo não parece ter nenhum alvo em especifico, sendo que o objetivo passa por recolher o máximo de informação possível dos equipamentos infetados.

    O mais curioso será que este malware não se propaga apenas por apps fora da Play Store. Os investigadores revelaram ter descoberto uma app maliciosa na Google Play Store, apelidada de “Fast Cleaner”, que continha o malware e teria sido descarregada mais de 50 mil vezes.

    O malware também se propaga em sites que prometem os mais variados géneros de aplicações premium em formato gratuito, ou nos mais tradicionais, como páginas de phishing que alertam o utilizador para a necessidade de atualizar o seu navegador – e direcionam o mesmo para o malware.

  • Aplicações Android com 45 milhões de instalações usadas para malware

    Aplicações Android com 45 milhões de instalações usadas para malware

    Por vezes não é necessário que uma aplicação seja diretamente comprometida para que possa ser usada como forma de recolher dados dos utilizadores por intermédio de malware. Uma aplicação é também composta por vários SDKs, pequenos conjuntos de código externos usados para adicionar algumas funcionalidades extra.

    E recentemente foi descoberto que uma SDK usada em dezenas de aplicações com milhares de downloads pode ter estado a recolher dados sensíveis dos utilizadores durante meses. De acordo com um relatório da empresa de segurança AppCensus, o SDK da empresa Measurement Systems aparenta ter sido infetado com malware, levando a que apps com mais de 45 milhões de instalações fossem afetadas.

    De acordo com os investigadores, o SDK malicioso poderia recolher dados privados dos utilizadores, como a localização do GPS, dados da Área de Transferência, emails, números de telefone e até o MAC Adress do router em que o utilizador se encontrava ligado.

    A empresa responsável por esta SDK promovia o mesmo como uma forma dos programadores poderem monetizar as suas aplicações. No entanto, em segundo plano, o código malicioso estaria também a recolher dados dos utilizadores que acabavam por instalar a aplicação no sistema. Pior ainda, este código encontrava-se encriptado e mal otimizado, levando a atrasos no carregamento das próprias apps e a um consumo mais elevado de recursos do dispositivo e da bateria.

    código malicioso nas apps

    No total estima-se que o SDK malicioso estivesse em dezenas de aplicações de elevado perfil na Google Play Store, entre todas totalizando mais de 45 milhões de instalações. Algumas das apps foram removidas pela Google em Outubro de 2021, mas entretanto voltaram para a plataforma sem o SDK malicioso associado.

    A lista de aplicações afetadas pode ser verificada em seguida:

    aplicações alteradas por SDK

    De notar que os programadores não teriam propriamente conhecimento da atividade maliciosa do SDK. As aplicações seriam legitimas e criadas por programadores para tal, mas o SDK integrado nas mesmas terá sido o ponto de falha.

    Obviamente, isto não resolve o potencial roubo de dados que possa ter ocorrido no passado, quando as apps estariam disponíveis ainda com o SDK malicioso.

  • Malware volta a conseguir infiltrar-se na Google Play Store

    Malware volta a conseguir infiltrar-se na Google Play Store

    Se recentemente descarregou algum género de aplicação de antivírus pela Play Store, será melhor verificar se não foi desta lista de seis novas apps descobertas contendo malware.

    A Google Play Store continua a registar uma crescente lista de apps maliciosas que conseguem contornar as medidas de segurança da empresa para se instalarem na plataforma. E recentemente, segundo a empresa de segurança Check Point, foram descobertas seis apps que se faziam passar por aplicações de antivírus, mas em segundo plano recolhiam dados dos utilizadores.

    De acordo com a empresa, estas aplicações terão sido descarregadas mais de 15.000 vezes, antes de terem sido removidas pela Google. Enquanto que os utilizadores acreditavam estar a descarregar uma proteção antivírus, na verdade estariam a instalar o malware Sharkbot nos seus dispositivos.

    O Sharkbot é conhecido por levar as vitimas a introduzirem dados de login em falsas janelas para diferentes plataformas, como o Facebook, Twitter ou Instagram. Além disso, pode ainda recolher dados que o utilizador introduza no sistema, contactos, mensagens e outros conteúdos potencialmente sensíveis.

    aplicações maliciosas descobertas

    Assim que estes dados são recolhidos, passam a ser enviados depois para servidores em controlo dos atacantes, onde são usados mais tarde para os mais variados esquemas.

    As aplicações terão conseguido evitar as medidas de segurança da Play Store visto que apenas ativavam o malware depois de serem instaladas nos dispositivos, alguns dias mais tarde. Portanto o utilizador podia receber uma falsa aplicação que até funcionava como esperado, mas dias mais tarde o malware entrava em ação.

    É importante notar que, nos últimos tempos, têm vindo a surgir cada vez mais aplicações maliciosas que conseguem contornar as proteções da Play Store para se distribuírem para os utilizadores finais. Este género de aplicações tende a ter um valor relativamente pequeno de downloads, ou até mesmo reviews que denunciam as suas atividades.

    Como tal, os utilizadores devem sempre ter atenção aos conteúdos que estão a descarregar, mesmo que sejam de fontes como a Play Store.

  • Malware FFDroider foca-se em roubar as redes sociais das vítimas

    Malware FFDroider foca-se em roubar as redes sociais das vítimas

    A Internet está cheia de esquemas prontos a atacar os mais desatentos, e se costuma descarregar programas de sites “suspeitos”, talvez seja melhor ter atenção a uma nova variante que tem vindo a surgir em força: o FFDroider.

    Este novo malware foi descoberto por investigadores da empresa de segurança Zscaler, e foca-se em roubar dados de autenticação em perfis sociais das vítimas, nomeadamente do Facebook, Instagram, Twitter, entre outros. Apesar do nome reverter para o Android, na realidade o malware distribui-se mais com foco a sistemas Windows.

    O mesmo é distribuído sobre programas de crack para software pago, jogos e outro género de aplicações disponíveis em plataformas de torrents pela Internet. Uma vez instalado, o malware faz-se passar como uma aplicação do Telegram no sistema, para ocultar a sua atividade.

    Além disso, cria ainda uma chave de registo com o nome “FFDroider”, onde se encontram as informações do mesmo para atuar no sistema infetado – e dai o nome dado pelos investigadores.

    O FFDroider foca-se em roubar dados de credenciais a partir do navegador. Este tenta roubar os cookies de diversos sites, como o Facebook, Instagram e Twitter, e sobre diferentes navegadores – Chrome, Edge, Brave, Opera, entre outros.

    Se o utilizador tiver a sua conta ativa no navegador, os dados roubados permitem que terceiros possam aceder à mesma até mesmo sem que os atacantes tenham de saber a senha.

    Depois de roubados, estes dados são enviados para um sistema em controlo dos atacantes, e usados para aceder às contas das vítimas. O mais grave será mesmo que o malware não necessita de roubar a senha das contas – basta os cookies do navegador. Como a maioria dos utilizadores mantêm as suas contas ligadas, estes cookies podem depois ser usados noutros sistemas remotamente.

    ataque a computador

    Curiosamente, os criadores do FFDroider não parecem ter interesse em outras senhas ou contas do utilizador, apenas de plataformas especificas como o Facebook, Instagram, Amazon, eBay, Etsy, Twitter e um portal sobre o nome de WAX Cloud.

    Com este acesso, o malware procede depois com o roubo de informação das vítimas. Caso estas tenham acesso ao Facebook Ads ou a outras plataformas de publicidade, são ainda usadas as mesmas para realizar campanhas de forma a propagar o mesmo a outras potenciais vítimas – usando os dados bancários das vitimas para o pagamento.

    No caso do Instagram, o mesmo tenta ainda alterar vários dados das contas dos utilizadores, como os emails, números de telefone, entre outros. Este aspeto também será interessante, porque o malware não se foca apenas em roubar os dados, mas usar esse acesso para levar a roubos ainda mais exaustivos.

    Como sempre, é recomendado que se tenha extremo cuidado ao descarregar conteúdos de sites desconhecidos, sobretudo quando associados a cracks ou programas pagos a serem distribuídos de forma gratuita.

  • FBI terá bloqueado rede botnet com ligações à Rússia

    FBI terá bloqueado rede botnet com ligações à Rússia

    Rede hacker

    O FBI revelou ter recentemente realizado uma operação para desativar uma massiva rede de botnet ativa e em controlo por agências Russas.

    De acordo com as autoridades, a operação terá sido realizada em Março, e tinha como objetivo desativar a rede botnet conhecida como Cyclops Blink. Esta era mantida por vários sistemas e servidores de controlo, também conhecidos como C2, que estariam a enviar os comandos para sistemas infetados.

    Estes sistemas eram os responsáveis por realizar o envio dos comandos que depois eram usados sobre os dispositivos infetados para realizar o mais variado género de ataques. O FBI afirma que terá apreendido os servidores usados para a operação, mas que as vitimas ainda necessitam de rever se os seus dispositivos permanecem infetados – tendo em conta que o malware ainda poderá encontrar-se no mesmo, juntamente com outro género de malware.

    Quando à botnet, acredita-se que o Cyclops Blink seja um sucessor do VPNFilter, outra botnet que foi inicialmente descredibilizada pelas autoridades, até ter sido usada para fortes ataques contra agências governamentais nos EUA.

    Ambas as redes botnet possuem relação com o grupo conhecido como “Sandworm”, o qual é associado com agências russas. Segundo o FBI, este terá impedido o controlo que estaria a ser feito dos servidores da botnet por parte da Sandworm, bloqueando assim a capacidade do grupo em gerir a rede botnet.

  • Grupos na China usam VLC para distribuir malware em nova campanha

    Grupos na China usam VLC para distribuir malware em nova campanha

    Foi recentemente descoberto que um grupo de hackers com ligações ao governo chinês encontra-se a usar uma falha no leitor multimédia da VLC para infetar sistemas. Este ataque parece ser focado para campanhas de espionagem e contra entidades não governamentais em pelo menos três continentes diferentes.

    De acordo com os investigadores da empresa de segurança Symantec, os atacantes encontram-se relacionados com um grupo conhecido como “Cicada”, o qual se encontra em atividade faz mais de 15 anos – pelo menos desde 2006, tendo já alterado de nome várias vezes.

    Os investigadores afirmam que esta campanha em específico terá começado em meados de 2021, mas ainda se encontrava ativa em Fevereiro de 2022 e, possivelmente, nos dias de hoje.

    Acredita-se que o grupo esteja a usar o VLC para infetar os sistemas e ativar o malware nos mesmos, que depois são usados para distribuir outro género de malware – como spyware, ransomware, etc.

    O grupo cria versões modificadas do VLC, focadas para serem distribuídas sobre as entidades em foco para o ataque. Estas versões contam com ficheiros modificados especificamente para ativar o malware nos sistemas, enquanto que o programa continua a funcionar na normalidade.

    Uma grande parte das vitimas desta campanha parecem ser entidades relacionadas com governos de vários países, bem como entidades não governamentais no setor da educação e religioso.

  • Cuidado: CCleaner pode remover programas do utilizador sem permissão

    Cuidado: CCleaner pode remover programas do utilizador sem permissão

    O CCleaner tem vindo a passar por algumas controvérsias ao longo dos últimos anos, desde que a Piriform foi adquirida pela Avast em 2017. Desde recolha de dados não autorizada a malware, o programa tem vindo a ser fortemente criticado nos últimos anos.

    E agora surgem novamente problemas para quem ainda o use. Um utilizador no Reddit afirma que a versão do CCleaner 5.91, quando começou a ser desinstalada, procedeu também com a remoção de outras aplicações instaladas no sistema.

    De acordo com o relato do utilizador, quando este tentou remover a aplicação do CCleaner pelo Painel de Controlo, o programa começou a desinstalar também outro software que se encontrava no sistema – como a Steam, Discord, entre outros.

    Ao que parece, o programa encontrava-se instalado numa pasta fora do caminho regular do Windows (D:\Applications), segundo o utilizador também confirma.

    Um dos administradores no fórum de suporte do CCleaner respondeu ao problema, afirmando que o mesmo pode acontecer quando os utilizadores instalam o CCleaner numa localização personalizada e incorreta.

    Por exemplo, invés de instalar na pasta “C:\Programas\CCleaner” instalam diretamente em “C:\Programas\”, ficando o CCleaner assim instalado na raiz dessa pasta. Mesmo que seja uma situação acidental, o programa ainda assim não deveria remover ficheiros que dizem respeito a outros programas.

    O TugaTech decidiu experimentar esta situação, tendo sido confirmado que o programa de desinstalação do CCleaner realiza realmente a remoção de ficheiros associados com outros programas, caso seja instalado numa diretoria raiz não padrão.

    No nosso exemplo, testamos instalar o programa em “C:\Program Files” (de notar que não foi instalada em nenhuma pasta especifica, mas sim dentro da pasta principal de programas do Windows).

    CCleaner instalação

    Como se pode verificar em seguida, o programa foi efetivamente instalado na raiz dessa pasta.

    Disco com o CCleaner instalado na raiz

    Se tentarmos remover o programa, este acaba por remover todos os conteúdos dentro dessa pasta.

    ccleaner remover pastas de terceiros

    Existem situações onde os utilizadores podem, por lapso, introduzir o local errado de instalação, levando a situações como as reportadas. Mesmo que não seja na pasta de Programas do Windows, para quem tente instalar o CCleaner numa pasta personalizada, por exemplo, pode acabar por remover todos os conteúdos dentro dessa pasta.

    Mesmo que esta situação ocorra apenas em situações especificas, é importante notar que outros programas não possuem a mesma ação. Como exemplo, se tentarmos instalar o Filezilla na mesma forma, e removermos o mesmo posteriormente, apenas os ficheiros associados com o programa são efetivamente removidos.

    Com isto em conta, parece que o programa de desinstalação do CCleaner encontra-se incorretamente criado para remover todos os conteúdos da pasta onde o programa se encontra, invés de apenas os associados com o mesmo como seria de esperar.

  • Malware “Borat” usado para distribuir ransomware, espionagem e ataques DDoS

    Malware “Borat” usado para distribuir ransomware, espionagem e ataques DDoS

    O termo “Borat” é mais associado ao filme com a personagem do mesmo nome, interpretado pelo ator Sacha Baron Cohen. No entanto, parece que recentemente o termo começou a ser usado também por um malware, que ao contrário dos filmes, não possui muita piada.

    O malware Borat foi descoberto pela empresa de segurança Cyble, sendo que se foca em realizar várias atividades maliciosas, desde ataques de ransomware, DDoS e espionagem. Este malware é desenvolvido para venda a terceiros, e adaptado para o que os compradores finais pretendam realizar nas vítimas.

    O mesmo pode ser adaptado para tornar o sistema das vítimas como parte de uma botnet, usando os recursos das mesmas para ataques DDoS, ou então para descarregar ransomware. Também pode ser usado para instalar keyloggers no sistema, que acabam por recolher toda a informação introduzida no mesmo.

    banner do malware

    De momento ainda não existe muita informação relativamente a este malware, em parte porque ainda se trata de uma ameaça relativamente nova. No entanto, é possível que se venham a verificar, no futuro, mais ataques pelo mesmo, tendo em conta que a sua distribuição e venda parece ter aumentado consideravelmente pela dark web.

    trojan funcionalidades

    Normalmente o malware disfarça as suas atividades sobre outro género de programas, como cracks para jogos ou de diferentes softwares.

  • Malware russo para Android usado em ciber espionagem

    Malware russo para Android usado em ciber espionagem

    Um malware para Android até agora desconhecido começou recentemente a propagar-se em massa por vários dispositivos, e em diferentes países, focado em realizar ações de espionagem. O malware acredita-se que esteja relacionado com grupos na Rússia.

    De acordo com os investigadores da empresa de segurança Lab52, acredita-se que o malware tenha sido desenvolvido pelo grupo Turla, que possui ligações ao governo russo. Este foca-se em infetar dispositivos Android com o objetivo de realizar espionagem pelos mesmos – nomeadamente através da gravação de imagens da câmara e de áudio, mas o malware pode realizar muito mais em segundo plano.

    A APK do malware propaga-se sobre o nome de “Process Manager”, fazendo-se passar por um gestor de serviços para Android. Uma vez instalado no sistema, o mesmo requer uma quantidade elevada de permissões para realizar as atividades maliciosas, desde recolher a localização do utilizador, as mensagens, ficheiros, histórico de chamadas, entre outros detalhes sensíveis.

    O mais grave será a capacidade do malware ativar o microfone e a câmara a qualquer momento, registando os conteúdos dos mesmos. Existe ainda a possibilidade de o malware enganar os utilizadores a ativarem o serviço de acessibilidade para o mesmo, o que permite a este obter as permissões necessárias sem que o utilizador tenha de realizar qualquer intervenção.

    permissões da app maliciosa

    A aplicação corre em segundo plano nos dispositivos, sendo que a única forma de identificar a mesma será através de uma notificação permanente na barra de notificações. O ícone para remover a app também é removido do ecrã inicial do sistema.

    Os investigadores também descobriram que, em segundo plano, a app maliciosa pode descarregar outras apps disponíveis na Play Store, e que curiosamente o realiza para uma app conhecida como “Roz Dhan: Earn Wallet cash” – a qual promete oferecer dinheiro a troco de algumas ações dos utilizadores.

    Ainda se desconhece qual o motivo pelo qual a aplicação faz download desta app em particular, mas acredita-se que possa ser de forma a obter ganhos extra através de afiliados para o download da mesma – o que será igualmente estranho, tendo em conta que a app se foca em ser usada para ciber-espionagem.

    Seja como for, a recomendação para os utilizadores continua a ser a de terem extremo cuidado com qualquer aplicação descarregada fora de fontes originais, bem como analisar atentamente todas as permissões das mesmas, evitando qualquer ativação do serviço de acessibilidade se possível.

  • Hoje é Dia Mundial do Backup: aproveite a promoção e obtenha um disco externo!

    Hoje é Dia Mundial do Backup: aproveite a promoção e obtenha um disco externo!

    Celebra-se hoje o dia mundial do Backup, e se existe algo importante é os dados que mantemos nos mais variados formatos digitais. Pense o que aconteceria se o seu sistema ficasse subitamente indisponível por um malware ou até mesmo uma falha do hardware?

    Manter backups dos seus dados é fundamental, e hoje é o dia perfeito para aproveitar a promoção da Seagate na Amazon, onde pode adquirir um disco externo de 2TB, perfeito para guardar os seus dados de forma segura.

    O disco externo de 2TB da Seagate encontra-se disponível hoje por um preço especial, sendo que permite obter espaço extra para salvaguardar os seus dados, além de ter a conveniência de manter os seus dados seguros num formato externo.

    Além disso, pode ainda beneficiar de dois anos gratuitos de Data Recovery Plan da Seagate, que permite recuperar os dados perdidos do seu disco caso os mesmos sejam perdidos durante o período de garantia do disco.

    O disco externo da Seagate de 2TB encontra-se disponível na Amazon de Espanha por apenas 59.99 euros.

    Nota: Este artigo possui links de afiliado para a Amazon, onde acreditamos que possa ser considerado útil para os leitores. O TugaTech não foi, de nenhuma forma, pago para a publicação do mesmo, mas recebemos uma percentagem das encomendas feitas a partir do link.

  • YouTube Vanced agora é considerado “malware” pela Google

    YouTube Vanced agora é considerado “malware” pela Google

    No início do mês, a equipa do YouTube Vanced, popular aplicação alternativa ao YouTube, revelou que iria encerrar as suas atividades e deixar de atualizar a aplicação derivado de “questões legais”.

    Rapidamente se chegou à conclusão que a medida teria sido tomada pela Google, que lançou o ataque contra a aplicação. De relembrar que o YouTube Vanced era uma aplicação que usava a base do YouTube, mas adicionava alguns extras como o bloqueador de publicidade e a reprodução em segundo plano – similar ao que se encontra no YouTube Premium.

    Agora, os utilizadores que tenham o Google Play Protect ativo no Android, e ainda mantenham a aplicação instalada nos seus dispositivos, devem começar a receber uma notificação que a mesma é considerada como “malware”.

    Segundo o portal 9to5Google, a Google terá começado a usar o Google Play Protect para notificar os utilizadores com a app instalada, informando que a mesma é considerada como malware e deve ser removida.

    Google a marcar Vanced manager como malware

    De momento, o aviso parece focar-se sobre o “Vanced Manager”, que seria a aplicação necessária para instalar e atualizar o YouTube Vanced. No entanto, a empresa deve brevemente alargar o sistema para incluir também as versões modificadas do YouTube e YouTube Music criadas pelo mesmo.

    Não se conhece exatamente o motivo pelo qual a Google considera a aplicação como malware, tendo em conta que a mesma não aparenta possuir este género de atividade maliciosa. No entanto, a mesma permite descarregar a aplicação que a empresa claramente não pretende ver no mercado.

  • Microsoft Defender volta a revelar-se uma alternativa segura para o Windows

    Microsoft Defender volta a revelar-se uma alternativa segura para o Windows

    A Microsoft tem vindo a melhorar consideravelmente a segurança que o Microsoft Defender fornece aos utilizadores, e apesar de não ter recebido nenhum prémio de destaque, os dados da empresa AV-Test voltam a frisar as melhorias feitas no software.

    Segundo os dados mais recentes da AV-TEST, datados de Fevereiro de 2022, o Microsoft Defender volta a surgir com boas classificações a nível da proteção contra malware. Tendo em conta que este software se encontra pré-instalado em todos os sistemas Windows, e é gratuito, é certamente de relevo importante ter uma proteção logo à partida para todos.

    Segundo a AV-TEST, o Microsoft Defender obteve uma pontuação perfeita – juntamente com outros softwares de segurança no mercado. Este destaca-se pela proteção contra malware, bem como a nível do desempenho no sistema e a usabilidade.

    dados do teste da av-test

    É importante notar que nenhuma solução de antivírus é perfeita, e mesmo as melhores classificadas possuem as suas falhas – o que inclui o Microsoft Defender. No entanto, a solução da Microsoft tem vindo a melhorar de forma considerável para ser considerada uma alternativa segura a grandes softwares pagos de proteção contra malware.

  • Microsoft Defender pode receber sistema de proteção contra drivers maliciosas

    Microsoft Defender pode receber sistema de proteção contra drivers maliciosas

    A Microsoft encontra-se a testar uma nova funcionalidade para o Microsoft Defender, que pode vir a melhorar consideravelmente a segurança dos utilizadores contra potenciais drivers maliciosas.

    A instalação de drivers maliciosas é um dos maiores problemas para quem tenha um sistema infetado. Como estas se instalam com permissões elevadas de acesso ao sistema, muitas vezes são também difíceis de detetar e prevenir.

    A pensar nisso, a Microsoft parece estar a desenvolver uma nova funcionalidade para o Defender que vai prevenir e analisar a instalação de malware via drivers. Segundo revela David Weston, Vice presidente do departamento de segurança da Microsoft, esta nova funcionalidade vai encontrar-se ativa no futuro, por padrão, para todos os utilizadores do Windows 10 em modo S e para quem tenha o sistema de Isolamento de processos da memória ativado.

    funcionalidade de proteção do Windows para drivers

    Este sistema, que também é conhecido como HVCI, utiliza o Hyper-V da Microsoft para proteger alguns dos processos fundamentais do sistema contra ataques de malware, virtualmente isolando os mesmos. Apesar de útil, esta funcionalidade também acarta alguns problemas, com utilizadores que reportam os mais variados erros devido a terem esta funcionalidade ativa.

    De momento, esta funcionalidade de proteção das drivers parece focada em ser usada uma “lista negra”, que será criada entre a Microsoft e os fabricantes. Caso sejam identificados drivers maliciosas a serem tentadas de instalação no sistema, o sistema entra em ação para proteger de tal medida.

    Apesar de parecer que a Microsoft vai ativar esta funcionalidade por padrão para os utilizadores, estes ainda deverão ter o controlo para ativar ou não a mesma conforme pretendam nas Definições de Segurança do sistema.

  • Novo malware faz-se passar como suporte da Microsoft para infetar sistemas

    Novo malware faz-se passar como suporte da Microsoft para infetar sistemas

    É sempre necessário ter cuidado com os conteúdos que se descarrega da Internet, ainda mais quando esses surgem sobre pretextos que podem ser algo duvidosos.

    A empresa de segurança SpiderLabs, da Trustwave, revelou recentemente que se encontra a propagar pela internet um novo esquema malicioso, que pode levar os utilizadores de sistemas Windows a descarregarem supostos ficheiros de suporte que são, na verdade, malware disfarçado.

    O esquema começa quando os utilizadores recebem um suposto email contendo um ficheiro em anexo. O ficheiro encontra-se com a extensão .DOC, mas é na realidade um ficheiro de imagem de disco, que quando aberto em sistemas Windows monta automaticamente o disco no sistema como uma drive virtual.

    Dentro deste ficheiro de imagem encontram-se dois ficheiros: uma aplicação EXE e um ficheiro de ajuda do Windows, em formato CHM. Este ficheiro de ajuda do Windows é legitimo, mas o único objetivo do mesmo será levar os utilizadores a abrirem a aplicação, que é onde o malware realmente se encontra.

    Feito isso, o malware é instalado no sistema. Apelidado de “Vidar”, este malware foca-se no roubo de informação do sistema, nomeadamente de senhas guardadas no navegador e em outros locais comuns pelos gestores de senhas mais usados no mercado. Feito isso, o malware envia a informação para sistemas em controlo dos atacantes.

    Além disso, o malware permanece ainda no sistema, com o potencial de descarregar outro género de malware para o mesmo, alargando assim o ataque.

  • Piratas atacam Piratas com novo esquema na venda de malwares

    Piratas atacam Piratas com novo esquema na venda de malwares

    Normalmente temos notícias de ataques que são feitos por indivíduos contra empresas ou individuais, nos mais variados formatos. Mas de vez em quando também surgem situações onde são os atacantes a virarem-se contra si próprios.

    Foi recentemente descoberto que existem grupos de piratas informáticos que estão a atacar outros piratas através de programas maliciosos, desenhados para enganar os mesmos e roubar informação potencialmente sensível.

    Os atacantes usam fóruns e plataformas da dark web normalmente usadas para comunicações, compras e vendas de produtos usados pelos mesmos nas suas atividades, mas desta vez o foco é enganar a própria comunidade.

    De acordo com a empresa de segurança ASEC, piratas mais experientes encontram-se a usar estas plataformas para tentar enganar novatos na área, que estão a começar a usar os programas que são vendidos nestas plataformas. Os mesmos fornecem programas que prometem criar os mais variados géneros de malwares, com custos entre 20 e 100 dólares, mas que estão a ser fornecidos como versões “abertas” para criar malwares como BitRAT e Quasar RAT.

    exemplo de falso malware crackado

    Este género de malwares normalmente são pagos, mas existe quem esteja sempre à procura de encontrar formas de os obter gratuitamente. Neste casos, as vitimas acabam por descarregar supostos criadores do malware, que acabam por infetar os próprios sistemas dos mesmos.

    Este género de casos não são propriamente novos no mercado, mas parece que a tendência tem vindo a ser para se usar cada vez mais este esquema para levar utilizadores novatos a descarregarem programas maliciosos, pensando que estão a obter versões legitimas do malware.

  • Google afirma que resultados de pesquisa são mais relevantes nos últimos anos

    Google afirma que resultados de pesquisa são mais relevantes nos últimos anos

    A Google continua a ser um dos motores de pesquisa mais usados a nível mundial, e uma das tarefas do mesmo passa por manter os resultados de pesquisa relevantes para aquilo que os utilizadores procurem.

    A empresa foca-se consideravelmente em fornecer resultados que sejam adaptados ao que os utilizadores realmente pretendam. Afinal de contas, não iria ser propriamente um motor de pesquisa se formos pesquisar por “fogo” e os resultados forem “água”.

    Na escala de uma plataforma como a Google, todas as pesquisas possuem impacto. Mas a empresa revelou agora que o número de resultados irrelevantes nas pesquisas caiu mais de 50% nos últimos anos.

    De acordo com um recente relatório citado por Danny Sullivan, a qualidade das pesquisas da Google tem vindo a melhorar consideravelmente nos últimos anos, ao ponto que nos últimos sete anos foram reduzidos em mais de 50% os resultados irrelevantes para as pesquisas de determinados termos – e a tendência seja para que tal venha a melhorar ainda mais no futuro.

    No entanto, um problema que ainda se encontra a afetar a plataforma continua a ser a publicidade. Apesar de não existir nada de mal em usar o motor de pesquisa para a publicidade diretamente, ao mesmo tempo os resultados misturados com a publicidade faz com que muitas vezes os utilizadores acabem enganados sobre o link onde carregam –  e não são novos os casos onde a publicidade da Google é usada para distribuir malware ou esquemas maliciosos pelos anúncios de pesquisa para certos temas.

  • Utilizadores do WhatsApp GB começam a ter as suas contas bloqueadas

    Utilizadores do WhatsApp GB começam a ter as suas contas bloqueadas

    logo do WhatsApp sobre fundo verde

    Para quem faz uso intensivo do WhatsApp, e procura formas de integrar algumas “melhorias” sobre a plataforma, aplicações como o WhatsApp GB são bastante populares para isso. Este género de aplicações permite que os utilizadores tenham acesso a algumas funcionalidades extra sobre a aplicação de mensagens da Meta – mas claro, nem todas são consideradas “legais” pelos termos da plataforma.

    Portanto, o uso deste género de aplicações não é de todo aprovado pela Meta, e talvez isso esteja no motivo de vários utilizadores agora terem começado a verificar bloqueios nas suas contas do WhatsApp.

    Pelas redes sociais, vários utilizadores que usavam o WhatsApp GB estão a confirmar que a Meta parece ter começado a aplicar medidas mais severas, estando a bloquear as contas de quem faz uso do serviço.

    Os utilizadores que realmente fazem uso da app WhatsApp GB estão a verificar bloqueios nas suas contas do WhatsApp, que os impede de voltar a usar o sistema de mensagens. Não apenas isso, mas o número de telefone desses utilizadores também fica na “lista negra” da plataforma, e não pode voltar a ser usado para criar uma nova conta.

    Ou seja, a única forma de se poder obter novamente acesso ao WhatsApp será através do uso de um novo número de telefone por completo.

    Um dos motivos pelos quais a Meta não permite o uso de aplicações como o WhatsApp GB, para além de terem funcionalidades que podem comprometer a privacidade de outros utilizadores, integram ainda um risco adicional para a segurança e privacidade dos próprios utilizadores que fazem uso das mesmas.

    Existe um risco elevado de as aplicações terem sido modificadas maliciosamente, e poderem infetar os dispositivos com todo o género de malware, além de que os conteúdos enviados nas conversas do WhatsApp passam a ficar potencialmente comprometidos.

  • Malware perigoso esconde-se como ativador do Windows em sites de pirataria

    Malware perigoso esconde-se como ativador do Windows em sites de pirataria

    O preço das licenças do Windows pode levar muitos utilizadores a optarem por duas igualmente ilegais: a compra em sites de “mercado cinza”, ou a usarem ativadores que são disponibilizados pela Internet.

    No entanto, para quem procura a segunda opção, existem sempre riscos inerentes. E um dos que tem vindo a propagar-se recentemente pode acabar por infetar os novos sistemas dos utilizadores com malware.

    De acordo com investigadores da empresa de segurança AhnLab, foi recentemente descoberta uma onda de sites piratas que fornecem supostos “ativadores” do Windows, que no final podem acabar por instalar um malware conhecido como “BitRAT”.

    O BitRAT trata-se de um malware relativamente simples de adquirir pelos criminosos, mas que pode ter consequências bastante graves para as vítimas. O mesmo pode permitir o acesso remoto aos dispositivos infetados, ou alterar configurações do sistema que levem os utilizadores para conteúdos de phishing – ou a descarregar outro malware.

    exemplo do malware em funcionamento

    O malware propaga-se sobretudo em sites de conteúdos piratas, que fornecem não apenas os métodos para instalar o Windows como também para o ativar, usando software de terceiros. Muitas vezes as vítimas acabam por realmente ativar o Windows de forma ilegal sem suspeitarem que, em segundo plano, o malware é instalado.

    Será escusado dizer que, ao usar-se software pirata, existe sempre o risco de se instalar malware nos sistemas. Como tal, este género de tática para infetar os utilizadores não é propriamente novo, mas pode levar a sérias consequências para quem ainda faz uso das mesmas.

  • Tenha cuidado se utilizou esta aplicação na Google Play Store!

    Tenha cuidado se utilizou esta aplicação na Google Play Store!

    Chega mais uma altura de verificar as apps que tenha instalado nos seus smartphones Android, depois de ter sido recentemente descoberta uma nova aplicação maliciosa a conseguir infiltrar-se na Play Store e que pode ter afetado mais de 100.000 utilizadores.

    Investigadores da empresa de segurança Pradeo revelaram ter descoberto uma nova aplicação maliciosa sobre a Play Store, que pode infetar os dispositivos Android dos utilizadores, além de roubar os dados das suas contas do Facebook.

    A aplicação possui integrado no seu código um trojan conhecido como “FaceStealer”, que se foca exatamente no roubo destes dados sensíveis. A aplicação em questão encontrava-se disponível sobre o nome de “Craftsart Cartoon Photo Tools”, e os dados da Play Store demonstram que terá sido descarregada mais de 100.000 vezes.

    Além disso, a aplicação não se foca apenas em roubar os dados dos utilizadores, mas também a infetar outras apps que estejam instaladas no dispositivo, alargando o seu leque de atuação. Uma vez instalada, o malware tenta modificar outras aplicações que estejam no dispositivo, colocando pedaços do código malicioso nas mesmas. Dessa forma, mesmo que a app principal seja removida, o malware ainda poderá causar estragos.

    exemplo da aplicação maliciosa em funcionamento

    Existiam alguns indícios de que a aplicação poderia ser maliciosa para os utilizadores mais atentos. Em primeiro lugar, a app contava com dezenas de reviews que indicavam tratar-se de malware, e indicando exatamente a necessidade de se usar o Facebook para login e em como esta roubava os dados de acesso.

    dados da aplicação na play store

    A página web associada com o programador seria um blog alojado na Blogspot, juntamente com uma política de privacidade que aparenta ter sido copiada de outras fontes. De notar que, neste momento, a app ainda se encontra disponível na Play Store.

    No final, existiam indícios de que a app poderia ter atividades maliciosas, mas isso não terá impedido os mais de 100.000 downloads da mesma.

    Caso tenha sido um dos utilizadores que descarregou a mesma, o recomendado será que proceda com a sua remoção imediata, bem como o reset de todas as apps no dispositivo – ou o reset completo do sistema. Será também recomendado que verifique se a sua conta do Facebook não poderá encontrar-se comprometida.

  • LokiLocker é um ransomware capaz de eliminar dados se não for feito pagamento

    LokiLocker é um ransomware capaz de eliminar dados se não for feito pagamento

    O ransomware continuar a ser uma das principais ameaças pela internet. Os elevados ganhos e potencial destrutivo deste malware é o que o tornam também tão popular por entre o cibercrime.

    E recentemente os investigadores da empresa BlackBerry Threat Intelligence identificaram o que poderá ser uma nova variante de ransomware a chegar ao mercado. Conhecida como LokiLocker, este ransomware possui a particularidade de não apenas encriptar os conteúdos de sistemas infetados, mas também de os apagar se o pagamento não for realizado.

    Apesar de a técnica não ser propriamente nova, este ransomware utiliza vário código para evitar ser identificado por software de segurança, podendo mesmo realizar a encriptação de conteúdos de forma totalmente silenciosa para os utilizadores finais, que apenas saberiam ter sido infetados quando os seus sistemas apresentassem a mensagem de resgate.

    Para além de encriptar os conteúdos, este ransomware elimina os dados dos utilizadores caso estes não realizem o pagamento num determinado período de dias. Isto será, sobretudo, para evitar que as vítimas possam guardar os ficheiros encriptados, na esperança de no futuro surgir uma forma de os desbloquear – algo que costuma acontecer com muito ransomware.

    Dessa forma, mesmo que o desbloqueador dos ficheiros seja lançado, a vítima não teria os ficheiros para realizar essa tarefa.

  • Bitdefender revela nova versão do seu antivírus gratuito

    Bitdefender revela nova versão do seu antivírus gratuito

    No final de 2021 a Bitdefender revelou que iria descontinuar a sua oferta do software de antivírus gratuita, deixando assim de ter uma opção para os utilizadores que pretendam uma solução de segurança robusta da empresa.

    No entanto, parece que a decisão não durou muito tempo. Isto porque a Bitdefender revelou agora a chegada da nova versão gratuita do seu antivírus, menos de três meses depois de descontinuar anteriormente a mesma.

    A nova versão do programa surge sobre o nome de Bitdefender Antivirus Free, e fornece aos utilizadores a possibilidade de terem as principais funcionalidades de segurança da suite da empresa sem qualquer custo.

    Segundo a empresa, esta nova versão do software integra a nova arquitetura do programa, tal como se encontra nas suas versões pagas. Se tivermos em conta que a versão gratuita anteriormente disponível era consideravelmente básica, este “upgrade” é bem-vindo.

    Os utilizadores ainda necessitam de registar uma conta da Bitdefender para poderem usar o software, mas depois disso o uso é totalmente gratuito. Não existe, para já, forma de o programa ser usado sem uma conta.

    Curiosamente, a empresa não parece estar ativamente a anunciar esta versão por enquanto. A mesma encontra-se disponível de forma direta por este link, mas não sobre os menus principais do site. Mesmo a secção de “aplicações gratuitas” da empresa não lista esta nova versão.

    De notar que a versão gratuita não conta com todas as proteções como as que se encontram na versão paga. A proteção contra ransomware, pesquisa de vulnerabilidades ou a firewall não estão disponíveis na versão gratuita. No entanto, o utilizador possui acesso à proteção contra malware online, o que é um extra bem-vindo.

    No entanto, para quem pretenda uma alternativa gratuita ao Microsoft Defender, é sem dúvida uma excelente escolha. O Bitdefender tende a ter sempre boas pontuações nas deteções de malware, e a versão gratuita usa a mesma base de dados que as restantes versões pagas, portanto a proteção será idêntica.

  • Asus alerta para novo malware que explora vulnerabilidades em routers

    Asus alerta para novo malware que explora vulnerabilidades em routers

    A Asus encontra-se a alertar os donos de routers da empresa para uma nova vulnerabilidade, a qual se encontra a ser explorada ativamente para comprometer os sistemas dos routers e, potencialmente, levar ao roubo de dados.

    O malware que se encontra a aproveitar as falhas é conhecido como “Cyclops Blink”, sendo que se encontra ligado a entidades russas, nomeadamente a um grupo conhecido como Sandworm.

    Este malware foca-se em manter os dispositivos sobre o controlo dos atacantes, com um ponto de comunicação constante depois de afetar o sistema dos mesmos. Como o malware é modular, este pode ser adaptado para vários produtos ao mesmo tempo, e usado para ataques direcionados.

    De acordo com a empresa de segurança Trend Micro, o malware parece ter começado a focar-se em routers desprotegidos da Asus, sendo que uma vez instalado, pode obter informação da RAM e do sistema, potencialmente comprometendo informação sensível que passe sobre a rede local onde o mesmo se encontra.

    O malware parece ter sido criado para atacar sistema de forma indiscriminada. Ou seja, quando este deteta um router potencialmente vulnerável para ataque, o mesmo infeta o sistema e tenta replicar-se para outros equipamentos na rede local – ou até usar a ligação do router afetado para proceder com tentativas de infetar outros dispositivos pela internet.

    A Asus já confirmou o problema, tendo também fornecido uma nova atualização para o firmware de vários dos seus routers afetados pelas falhas, e que permitem ao malware realizar as suas operações.

    A empresa aconselha ainda os utilizadores a usarem senhas seguras para o acesso à Interface do router, bem como a desativarem o acesso remoto ao mesmo. Alguns dos equipamentos afetados pela falha encontram-se também em fim de suporte oficial, portanto será improvável que a Asus venha a fornecer atualizações de segurança para os mesmos.

  • Malware escapa às medidas de segurança da Apple e infeta sistemas iOS

    Malware escapa às medidas de segurança da Apple e infeta sistemas iOS

    Mesmo que os sistemas da Apple sejam considerados como uns dos mais seguros no mercado, ainda existem situações onde malware pode acabar por chegar aos mesmos. E é exatamente isso que foi recentemente descoberto, onde os utilizadores maliciosos encontram-se a usar o sistema do TestFlight e do WebClips para infetar dispositivos como o iPhone e iPad.

    A Apple sempre se manteve bastante fechada no que respeita a aceitar apps de terceiros nos seus sistemas, alegando que isso iria abrir as portas para falhas de segurança serem exploradas e para tornar o sistema menos seguro – mesmo que tal medida seja aplicada em praticamente todos os outros sistemas operativos no mercado, como é o caso do Android.

    É por isso mesmo que qualquer app, antes de ser aceite na App Store, necessita de passar por um longo período de aprovação. No entanto, segundo uma recente investigação da empresa de segurança Sophos, parece que os criminosos encontraram uma nova forma de contornar as proteções da Apple e enviarem malware diretamente para os dispositivos das vítimas.

    Uma nova campanha de malware, apelidada de “CryptoRom”, encontra-se a enviar apps falsas de criptomoedas para os dispositivos da empresa, usando para tal o sistema de TestFlight. Este sistema é usado pelos programadores da Apple para criarem sistemas de teste para as suas apps – similar a aplicações Beta – onde os utilizadores podem aceder às mais recentes novidades dentro de uma app.

    No entanto, este sistema permite também que os utilizadores possam aceder a apps que ainda não tenham sido validadas pela empresa para serem propagadas pela App Store. E é exatamente aqui que o esquema começa.

    Os atacantes encontram-se a aproveitar este sistema para enviarem as suas falsas apps para os utilizadores, sendo que apesar de o sistema do TestFlight ainda necessitar de validações por parte da Apple, as regras são consideravelmente mais levianas. É exatamente este ponto que é explorado, permitindo que os atacantes levem as suas vitimas a instalar uma app pelo sistema, fazendo-se passar como algo “oficial”.

    Depois de instaladas nos sistemas, as apps maliciosas procedem com o roubo do máximo de informação possível do mesmo, onde se inclui dados de login, carteiras de criptomoedas e outros dados que possam ser importantes para os atacantes.

    Outra forma como os atacantes têm vindo a contornar a segurança da Apple passa pelo uso dos WebClips, que permite criar pequenas apps web no ecrã inicial dos dispositivos – que basicamente são websites desenvolvidos diretamente para dispositivos móveis, mas que funcionam como uma app regular no sistema. Os criminosos podem aproveitar esta funcionalidade para criar falsos sites que são semelhantes a plataformas reconhecidas no mercado, com o único objetivo de roubar os dados.

  • Malware escondido na Google Play Store desde Janeiro

    Malware escondido na Google Play Store desde Janeiro

    De tempos a tempos o malware consegue contornar as medidas de segurança da Google Play Store para se manter ativo na plataforma, potencialmente afetando um vasto conjunto de utilizadores no processo – que consideram a mesma um meio seguro para instalar apps.

    É exatamente esse o caso que foi recentemente descoberto por investigadores da empresa Dr.Web, depois de terem revelado que algumas aplicações, presentes na Google Play Store desde Janeiro de 2022, estariam infetadas com malware. Estas aplicações tinham mais de 500.000 downloads, e algumas ainda se encontram disponíveis para download.

    A maioria das aplicações dizem ser apps de ajuda financeira, editores de fotos ou de tracking e mapas. Estas pretendem levar os utilizadores a descarregar as mesmas para o sistema, obrigando depois ao pagamento de valores elevados para que permaneçam em uso. Na sua maioria, as apps nem fornecem as tarefas que prometem, e apenas apresentam publicidade de forma excessiva e enganadora para levar à subscrição abusiva.

    exemplos de apps maliciosas na play store

    Além disso, os investigadores revelaram ainda ter descoberto várias apps que prometem melhorar as funcionalidades do WhatsApp, e que no final acabam por instalar malware nos sistema. Este género de aplicações de mod para o WhatsApp são bastante populares fora da Play Store, mas claro que dentro da loja da Google não são permitidas, por modificarem a forma como o WhatsApp funciona.

    O que terá sido descoberto será que algumas destas apps estavam disponíveis na Play Store, e continham ainda no seu código malware escondido, que era ativado quando os utilizadores instalavam a app.

    A melhor proteção contra este género de apps continua a ser os utilizadores terem cuidado sobre todas as permissões requeridas, mesmo que sejam de fontes legitimas como a Play Store.

  • VT4Browsers: tenha mais segurança sobre downloads no seu navegador

    VT4Browsers: tenha mais segurança sobre downloads no seu navegador

    VT4browsers

    A Internet é um lugar vasto, e por vezes necessitamos de descarregar alguns conteúdos que podem ter origem meio “desconhecidas”. Manter um sistema de segurança atualizado na máquina local é sem dúvida uma ajuda para prevenir malware, mas ao mesmo tempo ter algo que seja capaz de alertar proativamente para malware também ajuda.

    É aqui que entra a extensão do Chrome “VT4Browsers”. Esta extensão para o Google Chrome e derivados foi criada pela plataforma “VirusTotal”, bem reconhecida por permitir analisar amostras de ficheiros e sites por malware na Internet. Esta plataforma, da Google, analisa os ficheiros enviados para a mesma por malware em vários softwares de segurança, além de apresentar muita informação útil sobre os mesmos.

    Agora pode ter uma forma mais simples de garantir uma segurança adicional dos conteúdos descarregados com o Chrome, usando o VirusTotal. A extensão VT4Browsers permite que os utilizadores possam ter todos os seus ficheiros descarregados em análise sobre o VirusTotal, alertando caso um dos conteúdos seja identificado como malware.

     A extensão pode ajudar os utilizadores a evitar o download de malware, mesmo que seja desconhecido ou ainda tenha poucas análises no mercado. Além disso, os utilizadores podem sempre executar uma análise rápida de links diretamente do menu de contexto do navegador.

    Esta será uma extensão certamente útil para quem pretenda uma camada adicional de segurança para o navegador. Para os utilizadores mais avançados, existe ainda a possibilidade de realizar analises de segurança mais abrangentes usando a Inteligência da VirusTotal.

    A extensão é inteiramente gratuita e pode ser descarregada pela Chrome Web Store. Também se encontra disponível para os utilizadores do Firefox.

  • Novo malware “Escobar” para Android rouba códigos de autenticação em duas etapas

    Novo malware “Escobar” para Android rouba códigos de autenticação em duas etapas

    A autenticação em duas etapas é uma das melhores formas de se proteger as contas online contra possíveis ataques. No entanto, de nada estes códigos adiantam se os utilizadores também estiverem a usar um dispositivo infetado.

    É exatamente este ponto que o malware conhecido como “Escobar” aproveita, focado para sistemas Android e para roubar dados de autenticação em duas etapas. O Escobar é uma variação de outro malware para Android, conhecido como “Aberebot”, mas que conta agora com novas funcionalidades.

    Uma delas será a capacidade de permitir aos atacantes acederem via VPN ao dispositivo infetado. Basicamente, este sistema permite que os atacantes possa ter total acesso remoto aos dispositivos, verificando as informações no mesmo e levando ao roubo de possíveis dados. O malware foca-se ainda em roubar dados de entidades bancárias, para permitir aos atacantes aceder às mesmas para roubos.

    O malware ainda se encontra em desenvolvimento, de acordo com a publicação dos criadores dos mesmos em vários fóruns da dark web. O mesmo encontra-se a ser distribuído por cerca de 3000 dólares por mês para quem o pretenda usar, mas o valor deve aumentar para 5000 dólares após o desenvolvimento.

    Atualmente o ficheiro APK usado para a instalação possui uma taxa de deteção consideravelmente reduzida, o que pode fazer com que seja facilmente instalado nos dispositivo sem que os utilizadores se apercebam.

    Como sempre, é importante que apenas apps fidedignas sejam instaladas, e de fontes credíveis.

  • Malware distribui-se sobre cheats para Valorant no Youtube

    Malware distribui-se sobre cheats para Valorant no Youtube

    Se está à procura por “cheats” para o jogo Valorant, existe uma forte possibilidade de acabar a instalar malware no seu sistema. Isto porque foi recentemente descoberta uma campanha de malware onde se encontram a propagar falsos cheats para o jogo Valorant, que acabam por instalar malware que rouba informação delicada dos sistemas dos utilizadores.

    De acordo com os investigadores da empresa ASEC, a campanha distribui-se sobretudo sobre vídeos do YouTube, onde são publicados cheats gratuitos para o jogo Valorant. Estes programas focam-se sobretudo na comunidade de jogadores mais novas do título, que podem acabar por instalar o mesmo sem terem conhecimento que tal é malware.

    Quando instalado, o malware Redline é instalado no sistema, focando-se em roubar diversa informação sensível do mesmo, desde os detalhes básico do sistema e Windows, como também senhas e carteiras de criptomoedas, além de outros programas que possam ser considerados úteis para os criadores do mesmo – contas de VPNs, contas do Filezilla, Minecraft, Steam, Discord, entre outros.

    O malware distribui-se por vídeos do YouTube, sendo que os links para o download do programa tanto pode estar na descrição – normalmente evitado devido ao sistema de verificação do YouTube – ou em links escritos sobre os vídeos que os utilizadores necessitam depois de aceder manualmente.

  • HP lança atualização para corrigir 16 falhas sobre a UEFI

    HP lança atualização para corrigir 16 falhas sobre a UEFI

    A HP confirmou ter disponibilizado uma nova atualização para a UEFI de vários dos seus sistemas, com o objetivo de corrigir algumas falhas graves de segurança nas mesmas. As atualizações foram disponibilizadas para vários sistemas da marca, desde portáteis a computadores fixos.

    No total foram corrigidas cerca de 16 falhas de elevada gravidade, que terão sido descobertas pela empresa de segurança Binarly. As falhas podem permitir que atacantes obtenham acesso aos recursos do sistema, ou explorem o mesmo para o roubo de dados e execução de comandos maliciosos.

    Tendo em conta que as falhas se encontram sobre a UEFI, os atacantes podem implementar código malicioso em drivers que podem permanecer nos sistemas até mesmo se o sistema operativo for reinstalado de raiz.

    Os utilizadores são aconselhados a verificarem no site da HP se existem atualizações para as UEFI dos seus dispositivos, e aplicarem as mesmas o quanto antes. Mesmo que as falhas tenham sido descobertas antes de terem sido exploradas de forma maliciosa, tendo em conta a sua revelação, podem agora começar a ser aproveitadas para campanhas de malware.

  • Novo malware descoberto dentro da Google Play Store

    Novo malware descoberto dentro da Google Play Store

    A Google Play Store ainda continua a ser um dos locais mais seguros para se descarregar aplicações no Android, mas isso não quer dizer que seja também livre de malware. De tempos a tempos são descobertas aplicações maliciosas sobre a loja da Google, e foi exatamente isso que se descobriu de forma recente.

    Investigadores da empresa de segurança NCC Group, existe na Play Store uma aplicação que se faz passar como um software de antivírus para o Android, mas que em segundo plano se encontra a instalar um trojan de acesso remoto nos dispositivos, conhecido como “SharkBot”.

    O SharkBot não é um trojan recente, e na verdade foi inicialmente descoberto em 2021. No entanto, ainda consegue contornar as medidas de segurança da Google para se implementar na plataforma da empresa, com potencial para chegar a um vasto conjunto de utilizadores.

    aplicação maliciosa descoberta sobre a play store

    O principal objetivo do trojan passa por roubar dados de acesso bancário nos dispositivos dos utilizadores. Este é capaz de identificar quando o utilizador se encontre a aceder a um site de uma instituição bancária, roubando os seus dados.

    Além disso, o trojan possui ainda a capacidade de receber comandos remotos pelos atacantes, e até de intercetar todas as mensagens SMS do sistema, o que pode ser útil para realizar transações em nome das vítimas.

    A aplicação descoberta terá sido entretanto removida, mas isto não invalida que os utilizadores tenham sempre cuidado na altura de instalarem novas aplicações nos seus dispositivos, e verifiquem bem a origem das mesmas, ou se possuem uma boa reputação em geral.

  • Certificados roubados da Nvidia estão a ser usados para assinar malware

    Certificados roubados da Nvidia estão a ser usados para assinar malware

    Depois do ataque realizado contra a Nvidia, por parte do grupo Lapsus, vários detalhes internos da empresa foram publicamente disponibilizados. Entre os quais encontram-se chaves de certificados digitais, que são usados para assinar os programas e drivers da empresa.

    Estes certificados são usados para garantir que um determinado programa ou driver é legitimo, e como tal pode ser instalado no Windows – é uma medida de segurança que previne a instalação de drivers e conteúdos maliciosos no sistema por padrão.

    No entanto, parece que os criminosos já estão a explorar os dados que foram revelados pelo ataque para usarem este certificado para programas maliciosos.

    De acordo com o investigador de segurança Bill Demirkapi, foi descoberto que já se encontra malware a ser distribuído como tendo sido assinado com certificados da Nvidia, usando os conteúdos que o grupo LAPSUS disponibilizou publicamente.

    Estes certificados permitem que os atacantes possam assinar drivers maliciosas, que são reconhecidas como “legitimas” pelo Windows. Apesar de o certificado encontrar-se expirado, isso não impede ainda que as drivers possam ser instaladas na mesma sobre o sistema operativo.

    exemplo do roubo do certificado da nvidia para malware

    Isto pode ter graves consequências para os utilizadores. Uma vez que os programas passam a ser assinados, supostamente, com o nome da Nvidia, podem passar despercebidos por algumas das medidas de segurança do sistema operativo e até de alguns programas de segurança no sistema. Isto permitiria que drivers maliciosas possam ser instaladas, comprometendo seriamente a segurança do mesmo.

    Como exemplo, um dos malwares descobertos a usar estes certificados teria na sua fonte programas de acesso remoto, que permitiriam aos atacantes acederem remotamente aos sistemas infetados para os mais variados fins. Tendo conta que o malware se encontra a ser propagado com um certificado digital da Nvidia, alguns poderiam considerar que seria algo seguro, e o próprio Windows pode permitir mais facilmente a instalação.

    É importante notar que, apesar de os certificados estarem expirados, o Windows ainda permite que os mesmos sejam usados praticamente sem qualquer alerta de erros sobre tal.

    Espera-se que a Microsoft adicione os certificados da Nvidia sobre a lista de certificados expirados do sistema, o que tecnicamente invalida este ataque. No entanto, enquanto isso não acontece, existe o potencial do malware afetar mais sistemas.

  • Instituições de caridade e ajuda no alvo de ataques de malware

    Instituições de caridade e ajuda no alvo de ataques de malware

    A Amazon encontra-se a alertar as entidades não governamentais e de caridade para o aumento considerável de ataques que as mesmas têm vindo a sofrer, sobretudo as que tenham demonstrado apoio para a Ucrânia desde a invasão por parte da Rússia.

    Segundo a Amazon, nomes como a UNICEF, UNHCR, World Food Program, Red Cross, Polska Akcja Humanitarna e Save the Children estão a ser alvo de vários ataques de phishing, sobretudo focados para os seus funcionários.

    A empresa afirma ainda que aumentou também o número de malwares criados especificamente com foco a atingir estas entidades, e a tentar roubar informações das mesmas ou simplesmente atrasar os esforços de suporte para a Ucrânia. Em alguns dos casos mais graves, o malware tem vindo a surgir disfarçado em campanhas de doação para as entidades.

    A empresa de segurança Proofpoint também confirmou um aumento de ataques focados contra funcionários de entidades governamentais, responsáveis por tratar da gestão de refugiados pela Europa. Estes estão a ser alvo de vários ataques de phishing, no sentido de atrasar ou interromper as atividades.

    Desde que a guerra entre Ucrânia e Rússia começou, o número de ataques digitais pela Internet também aumentou drasticamente, não apenas a nível de DDoS mas também de campanhas de malware focadas para diferentes entidades, ou de phishing.

  • Esquemas de phishing e malware aumentam drasticamente para tirar proveito da guerra

    Esquemas de phishing e malware aumentam drasticamente para tirar proveito da guerra

    A invasão da Ucrânia por parte da Rússia tem vindo a causar grandes mudanças não apenas pelo formato físico, mas também no ambiente digital. E se existe algum local onde isso se encontra mais visível é na propagação de malware.

    Não é invulgar que sejam criadas campanhas de phishing e malware usando eventos de destaque a nível mundial, e a recente guerra entre a Ucrânia e Rússia não será uma exceção. E, de acordo com a empresa de segurança Bitdefender, cada vez mais os criminosos se encontram a aproveitar esse tema para propagar malware sobre os mais variados formatos.

    Estes esquemas propagam-se, normalmente, através de mensagens de email para os mais variados fins. Na grande maioria os atacantes tentam aproveitar-se da situação que se encontra a decorrer sobre a guerra na Ucrânia, e exploram a mesma para tentar levar as vítimas a descarregar malware para os seus sistemas.

    Também o número de campanhas de phishing relacionadas com criptomoedas tem vindo a aumentar, onde as vítimas recebem emails de variadas fontes, a informar que poderão ajudar a causa contra a Rússia a doarem para determinadas carteiras de criptomoedas. Obviamente, estas carteiras encontram-se em nome dos criminosos, e não são usadas para doações.

    exemplo de phishing em email

    Geralmente, estas mensagens são enviadas como sendo em nome do governo ucraniano, UNICEF ou outras entidades de ajuda humanitária, tentando obter mais credibilidade para quem as lê.

    É importante relembrar que os utilizadores apenas devem aceder a conteúdos que sejam provenientes de fontes verificadas e verdadeiras. Antes de realizar qualquer ação, verifique se os conteúdos das mensagens possuem erros aparentes, ou a sua origem. Tente também investigar se possíveis doações estão a ser feitas de forma legitima pelas entidades de ajuda humanitária sobre os seus websites oficiais.

  • Trojan TeaBot volta a surgir na Google Play Store

    Trojan TeaBot volta a surgir na Google Play Store

    Faz algum tempo que tinha sido removido da Play Store, mas parece que o trojan TeaBot voltou ao ativo e foi novamente descoberto sobre apps disponíveis na loja de aplicações da Google.

    O malware tinha sido descoberto em apps na Play Store em meados de Janeiro, e na altura a Google removeu o mesmo. No entanto, parece que isto não impede que novas apps possam surgir dentro da plataforma contendo o mesmo código.

    Segundo a empresa de segurança Cleafy, foram descobertas várias aplicações que estariam focadas em distribuir o trojan pelo máximo de dispositivos possíveis. As apps faziam-se passar como leitores de código QR – e realmente forneciam a funcionalidade que se pretendia, mas em segundo plano também instalavam o malware no sistema.

    teabot na play store

    Quando a aplicação é instalada, os utilizadores são questionados para descarregarem uma nova atualização que se encontra disponível. No entanto, essa “atualização” é descarregada de fontes externas e não da Google Play Store – o que também viola as regras da plataforma.

    É neste ponto que o trojan tenta instalar-se no sistema, obtendo permissões de acessibilidade para levar a cabo as suas atividades.

    Os conteúdos que estavam a ser descarregados pela app encontravam-se em repertórios públicos do Github, tendo sido criados a 17 de Fevereiro de 2022. Uma vez no dispositivo, a aplicação tenta instalar-se como um “addon” para o leitor de código QR.

    O malware agora foca-se em tentar roubar dados de acesso a contas bancárias, sendo que passa a suportar mais de 400 entidades bancarias em todo o mundo, além de ter ainda o objetivo de roubar carteiras de criptomoedas, dados de login, entre outras informações privadas.

  • Programa que promete desbloquear mineração em gráficas da Nvidia é malware

    Programa que promete desbloquear mineração em gráficas da Nvidia é malware

    Como se sabe, as placas RTX da Nvidia estão bloqueadas nas tarefas de mineração de criptomoedas com a integração do Lite Hash Rate, reduzindo para menos de metade o desempenho das mesmas quando tal atividade é realizada. Apesar de existirem formas de contornar esta limitação, nem todas as placas a suportam.

    Portanto, quando “Nvidia RTX LHR v2 Unlocker” foi disponibilizado no Github a prometer desbloquear todas as placas RTX para tal, chamou rapidamente à atenção… apenas com um pormenor: era malware.

    A ferramenta, além de não realizar o que prometia, acabava por instalar no sistema dos utilizadores variados malwares, focados tanto em roubar dados sensíveis como usar as capacidades do sistema para mineração de criptomoedas.

    O software chegou mesmo a ser partilhado por várias fontes de relevo no mercado da mineração, antes de terem começado a surgir os primeiros relatos de que seria malware. Segundo o portal PCGamer, que foi um dos portais a promover inicialmente a ferramenta, o software ainda esteve disponível durante algum tempo na plataforma, antes do Github o ter removido.

    Como sempre, este é mais um exemplo do motivo pelo qual se deve ter atenção aos conteúdos que são disponibilizados pela internet, sobretudo quando a promessa é demasiado boa para ser verdade.

  • Malware volta a surgir na Microsoft Store com falsos jogos

    Malware volta a surgir na Microsoft Store com falsos jogos

    Microsoft Store

    A Microsoft Store sempre teve uma baixa reputação no que respeita às apps que permite na sua plataforma. Não é difícil de encontrar aplicações falsas e enganadoras, que tentam tirar proveito do desconhecimento ou simplesmente enganar para os mais variados fins.

    Mas sem dúvida que quando a questão envolve também malware, torna-se consideravelmente mais preocupante. E recentemente foi exatamente isso que a empresa de segurança Check Point descobriu, com dezenas de aplicações que estariam faz bastante tempo na Microsoft Store e continham no seu código malware.

    As aplicações apresentavam-se como clones de outras apps e jogos populares, como Subway Surfer e Temple Run, e acredita-se que tenham infetado mais de 5000 sistemas em todo o mundo.

    O malware, uma vez instalado nos sistemas, abre uma porta de entrada para os atacantes terem total controlo dos dispositivos, com a capacidade de enviarem comandos, terem acesso a dados ou simplesmente controlarem o mesmo remotamente.

    Acredita-se que o malware tenha sido usado para campanhas de cliques e gostos fraudulentos, onde as vítimas tinham os seus sistemas e dados de redes sociais usados para campanhas de spam e outro género de atividades maliciosas online.

    malware Microsoft store

    O malware é conhecido como “Electron Bot”, e na verdade este já era conhecido dos investigadores desde 2018, quando surgiu pela primeira vez na Microsoft Store. No entanto, desde essa altura, os criadores do mesmo parecem ter evoluído consideravelmente as capacidades do mesmo em afetar os sistemas, além de ocultarem ainda mais as suas atividades e até mesmo o código usado dentro das apps.

    Para não levantarem suspeitas, as aplicações onde o malware estava integrado funcionavam como esperado. Na sua grande maioria eram jogos que tinham sido roubados de outras fontes, e onde o código malicioso tinha sido integrado no mesmo. Portanto, para as vitimas, a app funcionava como se esperava, embora o malware fosse integrado no sistema em segundo plano.

    Infelizmente existe pouco que os utilizadores possam realizar nestas situações, ainda mais quando a própria Microsoft Store é bem conhecida por ser um verdadeiro poço de problemas. A melhor recomendação será para cada utilizador ter atenção aos conteúdos descarregados, bem como evitar o download de apps com baixas pontuações ou reviews.

  • Novo malware focado em destruir dados propaga-se por redes na Ucrânia

    Novo malware focado em destruir dados propaga-se por redes na Ucrânia

    No mesmo dia em que começaram os ataques entre a Rússia e a Ucrânia, várias firmas de segurança afirmam ter descoberto um novo malware em várias redes ucranianas, focado em eliminar dados do mesmo.

    Segundo revelam as empresas de segurança Symantec e ESET, um novo malware começou recentemente a ser propagado sobre redes internas na Ucrânia, focado em eliminar o máximo de dados possíveis dos mesmos. Este malware acredita-se fazer parte de um novo ciberataque contra as principais entidades ucranianas.

    Segundo a Symantec, o malware possui uma baixa taxa de deteção pelos sistemas de segurança convencionais, sendo apenas detetado por 16 dos 70 antivírus do portal VirusTotal. O malware encontra-se focado a atacar sobretudo instituições financeiras e governamentais, com ligações ao governo local.

    malware symantec ucrânia

    Por outro lado, a ESET afirma que o malware terá sido criado a 28/12/2021, o que indica que o mesmo já estaria pronto para uso faz algum tempo, mas apenas agora começou a ser prontamente distribuído por centenas de redes na Ucrânia.

    malware da eset

    O principal objetivo do malware será, efetivamente, eliminar e destruir o máximo de dados possíveis. Uma vez instalado nos sistemas, este procede com a instalação de um serviço que, depois do sistema reiniciar, pode levar à destruição das partições existentes no mesmo e de toda a informação contida nelas.

    De notar que este é o segundo malware do género que se propaga nas redes da Ucrânia em menos de um mês. No início de Janeiro a Microsoft também confirmou que um malware similar, disfarçado de ransomware, estaria a ser propagado da mesma forma, com foco contra entidades associadas ao governo ucraniano.

  • Crescimento do malware para UEFI é mais uma razão para atualizar a motherboard

    Crescimento do malware para UEFI é mais uma razão para atualizar a motherboard

    A BIOS/UEFI é um dos sistemas base de qualquer computador, e necessário não apenas para o funcionamento do sistema, mas para interligar todo o hardware entre si. Apesar de ser bastante útil, é também um nível base de acesso que, se explorado, pode causar grandes dores de cabeça.

    Um dos exemplos encontra-se sobre o recentemente descoberto “MoonBounce”, que o TugaTech já tinha noticiado em Janeiro aqui. Este malware afeta diretamente a UEFI dos sistemas, sendo capaz de permanecer até se o utilizador formatar o sistema operativo ou substituir o disco.

    Como o malware se encontra na própria UEFI, o mesmo permanece na raiz do sistema, e não pode ser simplesmente eliminado com uma formatação do sistema operativo. A partir do momento que a UEFI se encontra comprometida, todo o sistema passa a ficar comprometido.

    Apesar de o MoonBounce ser um malware focado sobretudo para espionagem, também sublinha a importância de se manter a UEFI atualizada para as versões mais recentes. A atualização da UEFI não apenas pode ajudar a prevenir que malware explore falhas na mesma para infetar o sistema, como também oferecer mais desempenho, compatibilidade e até correções de alguns problemas.

    Atualizar a BIOS/UEFI é um processo algo arriscado se for feito sem cuidados. Mas nos dias que correm, este pode ser realizado sem grandes problemas, e praticamente todas as fabricantes fornecem métodos para atualizar relativamente seguros.

    Os métodos para atualizar a UEFI variam consideravelmente de sistema para sistema, portanto o recomendado será sempre verificar o site das fabricantes das motherboards para identificar a forma correta de o fazer.

  • Novo malware para Windows propaga-se por sites de pirataria online

    Novo malware para Windows propaga-se por sites de pirataria online

    Existe uma nova variante do malware CryptBot que se encontra a propagar em força por sites de conteúdos pirateados, e pode levar a vários roubos de dados das vitimas que cheguem a instalar o mesmo nos seus sistemas.

    De acordo com os investigadores da empresa Ahn Lab, uma nova variante do malware conhecido como CryptBot encontra-se a propagar em força nas últimas semanas. Este malware é conhecido por afetar sistemas Windows, com foco em roubar dados sensíveis dos utilizadores, como carteiras de criptomoedas, dados do navegador, senhas, cartões de crédito e ficheiros que sejam considerados importantes.

    Segundo os investigadores, o malware tem vindo a propagar-se a partir de sites que prometem fornecer conteúdos de cracks, geradores de chaves de licença e outras formas de ativação por intermédio de pirataria. Além disso, os responsáveis pelo malware encontram-se ainda a usar a própria Google para se posicionarem sobre os primeiros resultados de pesquisa em várias pesquisas por software pirateado.

    exemplos de falsos sites com malware

    Os sites usados para distribuir o malware são regularmente atualizados, portanto não existe uma forma concreta de bloquear os mesmos. Os visitantes destes sites são normalmente reencaminhados por uma série de domínios “falsos”, antes de terminarem num domínio final usado para o ataque.

    A nova variante do malware será ainda mais perigosa, uma vez que pode roubar mais informações dos sistemas infetados. Como sempre, a primeira linha de defesa encontra-se nos próprios utilizadores, que devem ter atenção aos locais de onde se encontram a descarregar conteúdos, e usar proteção adequada nos seus sistemas.

  • Malware Xenomorph para Android afeta utilizadores em Portugal

    Malware Xenomorph para Android afeta utilizadores em Portugal

    Existe um novo malware que se encontra a propagar em força contra dispositivos Android, e que se foca a afetar utilizadores em vários países, incluindo em Portugal.

    Conhecido como Xenomorph, o malware já se encontra a ser propagado em apps pela Play Store da Google, e foca-se em roubar dados bancários dos utilizadores de vários países, incluindo de Portugal.

    De acordo com a empresa de segurança ThreatFabric, o malware ainda se encontra numa fase inicial de desenvolvimento, mas tem o potencial para afetar um vasto conjunto de vítimas. Atualmente este tenta roubar dados bancários de 56 instituições em quatro países – Portugal, Espanha, Itália e Bélgica.

    O principal objetivo do malware passa por roubar os dados bancários das vítimas, usando os mesmos para realizar transações não autorizadas – o que pode ser feito também a partir das plataformas web e apps de homebanking nos dispositivos das vítimas.

    malware Android play store

    Os investigadores revelam ainda ter descoberto pelo menos uma aplicação na Google Play Store contendo este malware. Apelidada de “Fast Cleaner”, esta promete limpar o “lixo” dos dispositivos, e atualmente conta com mais de 50.000 instalações.

    Para evitar a deteção dos sistemas da Google, a app apenas descarrega o malware uma vez instalada a app no sistema e depois de um período de alguns dias. Isto evita que os sistemas de verificação da Google possam identificar o conteúdo descarregado e o código do malware diretamente.

    Uma vez instalado, o malware começa por pedir permissões perigosas sobre os dispositivos, onde se inclui o acesso ao serviço de acessibilidade – o que basicamente dará permissões ao malware para realizar ações em nome do utilizador.

  • OpenSea sofre ataque de phishing com roubo de 1.7 milhões de dólares

    OpenSea sofre ataque de phishing com roubo de 1.7 milhões de dólares

    O OpenSea é conhecido como um dos maiores mercados online de NFTs, e recentemente foi também o alvo de uma forte campanha de phishing, que terá afetado dezenas de utilizadores da plataforma.

    Durante o passado dia 20 de Fevereiro, a OpenSea tem vindo a trabalhar para tentar resolver o que pode ser considerado um dos maiores ataques contra os utilizadores da plataforma.

    Do que se conhece até ao momento, estima-se que o mesmo tenha tido origem sobre um ataque de phishing massivo, feito contra as contas dos utilizadores, o que terá permitido roubar 254 NFTs. No total, as perdas estimam-se em quase 1.7 milhões de dólares.

    Devin Finzer, CEO da OpenSea, veio confirmar através do Twitter o ataque, mas sem adiantar muitos detalhes para já. Segundo o mesmo, o ataque terá sido focado para 32 utilizadores do serviço, mas apenas 17 terão sido diretamente afetadas com perdas de conteúdos.

    opensea ataque

    Segundo as investigações feitas até ao momento, acredita-se que malware tenha estado por detrás dos roubos de NFTs da plataforma, diretamente das contas dos criadores. Os atacantes terão conseguido recolher os dados para realizar o login nas vítimas, transferindo os conteúdos roubados.

    Apesar de o ataque não ter sido direcionado diretamente contra a plataforma, acredita-se que algumas falhas na validação dos dados podem ter levado a facilitar o roubo – detalhes que, caso tivessem implementados, poderiam impedir o mesmo no final, mesmo com contas comprometidas.

    Entre os conteúdos NFT roubados encontram-se itens da Decentraland e Bored Ape Yacht Club, que são atualmente dos mais valiosos na plataforma.

  • Quer proteção extra contra ransomware? Instale o idioma Russo no Windows

    Quer proteção extra contra ransomware? Instale o idioma Russo no Windows

    Esta dica poderia ser colocada numa lista do “Top 10 das medidas de segurança mais parvas”, mas a verdade é que possui um certo fundamento – e talvez seja melhor continuar a ler para perceber o motivo.

    A Internet é um meio inseguro, e não é muito difícil de se encontrar esquemas ou conteúdos maliciosos ao clicar de um link. Obviamente, a navegação com um programa de segurança atualizado e confiável é sempre algo que recomendamos… mas segurança nunca é demais.

    Se existe uma forma de poder ter uma camada adicional de segurança no sistema, e totalmente gratuita, porque não? O TugaTech possui uma: instale o pacote de idioma Russo no seu sistema Windows.

    Mas porquê?

    Vamos explicar. Nos últimos tempos temos vindo a verificar um aumento considerável no número de ataques com origem em ransomware. É uma prática lucrativa para os atacantes, ao mesmo tempo que causa grandes prejuízos para quem é afetado.

    Ao mesmo tempo, também têm vindo a surgir várias notícias sobre grupos de ransomware que vão tendo os seus responsáveis detidos, como é o caso do grupo REvil recentemente. E se olharmos para estas detenções, existe um padrão bastante comum: a maioria foi feita na Rússia.

    Rússia bandeira

    Isto possui uma explicação. A legislação russa sobre ciberataques é consideravelmente mais leviana do que a existente nos restantes países, sobretudo para quem realiza esses mesmos ataques. Obviamente, isto será um aclamativo para atacantes, que baseiam muitas das suas operações na Rússia.

    Estas leis mais “leves” possuem no entanto algumas clausulas – não estabelecidas propriamente como “lei”, mas como conhecimento urbano. A maioria das autoridades russas não realizam investigações aprofundadas a casos de ciberataques… se quem realiza os mesmos não atacar empresas ou cidadãos na Rússia.

    Ou seja, se um grupo ou atacante não se focar em ter as suas atividades a afetar empresas sediadas na Rússia, então existe uma maior probabilidade de não se ter tantos problemas com a lei – isto não torna o ataque legal, obviamente. Mas a diferença é considerável, e é algo que estes grupos aproveitam.

    Existe bastante malware que se foca em infetar utilizadores em vários países, mas ao mesmo tempo possui também ele “verificações” para não infetar sistemas que estejam localizados na Rússia, desde verificações da localização GPS ou… acertou… a verificação dos pacotes de idiomas instalados no sistema.

    Existem muitas variantes de ransomware e malware em geral que, antes de realizarem qualquer ataque, verificam se o utilizador possui o idioma russo instalado no sistema, e se tal acontecer, suspendem o ataque.

    O mais interessante será que nem necessita de usar propriamente o idioma, basta que o pacote do idioma esteja instalado no sistema para tal. De longe isto impede todo e qualquer ataque, e tão pouco a instalação de malware e ransomware nos sistemas em todas as suas variantes… mas é uma pequena camada que pode fazer, sem grande trabalho, e permite ter um extra de segurança. Portanto, porque não?

    > Como instalar o pacote de idioma russo

    A instalação do pacote de idiomas é bastante simples de ser feita. Bastará aceder às Definições do Windows > Hora e Idioma > Linguagem e Região.

    Nesta opção, carregue sobre “Adicionar um idioma” e pesquise pelo “Russo”. Feito isto, basta seguir os passos.

    pacote de idioma russo

    Certifique-se que não marca a opção de Definir o Idioma como apresentação do Windows, ou vai alterar o idioma principal do sistema.

    Feito isto, basta aguardar que o pacote de idioma seja descarregado para o sistema, o que pode demorar alguns minutos.

    > Continue a ter atenção…

    Como referido anteriormente, esta pequena “dica” não vai impedir todo e qualquer malware de se instalar no sistema, portanto não deve ser nunca vista como uma alternativa a meios de segurança, tanto em nível de software de segurança no sistema, como de backup e próprias práticas seguras de navegação online.

  • Malware encontra-se a ser distribuído por conversas no Microsoft Teams

    Malware encontra-se a ser distribuído por conversas no Microsoft Teams

    Se utiliza o Microsoft Teams, talvez seja melhor ter atenção aos contactos que recebe dentro do serviço, já que nem todos podem parecer quem são.

    Um grupo de investigadores revelou que se encontra a ocorrer uma campanha de distribuição de malware através do Teams da Microsoft. Tendo em conta que esta plataforma conta com mais de 270 milhões de utilizadores ativos todos os meses, existe uma forte possibilidade que alguns possam ser afetados.

    De acordo com a empresa de segurança Avanan, da Check Point, foi descoberto que contas comprometidas do Teams encontram-se a ser usadas para iniciar conversas com outros utilizadores da plataforma, focando-se em levar os mesmos a descarregar malware para os seus sistemas.

    Os atacantes começam por levar as vítimas a descarregarem conteúdo malicioso para os seus sistemas, que se for instalado pelas mesmas, altera DLLs fundamentais do Windows para manter uma ligação permanente com um sistema remoto – que está no controlo dos atacantes.

    A partir dai, os sistemas podem ser usados para os mais variados géneros de ataques ou esquemas, entre os quais se encontra o possível roubo de dados ou instalação de outro malware – como ransomwares.

    Apesar de o ataque ser relativamente simples de ser feito – apenas uma conversa por uma plataforma de chat – a verdade é que existe um forte potencial para as vítimas realmente caírem no esquema. Isto porque, segundo os investigadores da Avanan, uma grande maioria dos utilizadores do Microsoft Teams confiam em ficheiros que sejam enviados por esse meio – mesmo que seja de contactos desconhecidos.

    Ou seja, no final, mesmo sendo um método de ataque relativamente simples, existe um forte potencial para as vitimas realmente serem afetadas pela confiança em demasia que apontam para a plataforma e os conteúdos partilhados na mesma.

    A primeira linha de defesa será os próprios utilizadores, que devem sempre que possível analisar a origem dos ficheiros e dos seus contactos.

  • Microsoft Defender agora protege contra roubos de senhas do Windows

    Microsoft Defender agora protege contra roubos de senhas do Windows

    Os utilizadores do Microsoft Defender no Windows agora possuem uma nova funcionalidade de segurança, focada em evitar o roubo de senhas do sistema pelo processo LSASS (Local Security Authority Server Service).

    Um dos métodos mais comuns para roubar a senha de utilizadores no Windows encontra-se na exploração do processo LSASS, uma técnica bem conhecida. Através da exploração da memória deste processo, é possível obter-se detalhes sobre as contas de utilizadores, e as senhas associadas.

    Isto acontece porque o processo é o responsável por conter as hashs NTLM, que são as credenciais do Windows para os utilizadores com sessão iniciada no mesmo. A partir dai, tendo a hash, será apenas uma questão de tempo até que seja possível obter a senha completa do utilizador.

    Este ataque era usado por alguns programas de malware no mercado, portanto faz todo o sentido que o Defender agora tenha esta camada adicional de segurança. Para todos os utilizadores do mesmo, e por padrão, este vai passar a contar com a proteção do processo ativa, impedindo que processos terceiros possam aceder sem permissão.

    Para os utilizadores, no final, isto converte-se em melhor segurança e evita possíveis roubos de dados do sistema, sobretudo se a máquina estiver infetada. A Microsoft afirma ainda que esta opção não tinha sido ativada no passado por efeitos de compatibilidade – a empresa pretendia ter certeza que não existiam problemas da ativação desta funcionalidade, sobretudo com efeitos que pudessem causar problemas em outras aplicações.

  • Dia de São Valentim leva a aumento de esquemas online

    Dia de São Valentim leva a aumento de esquemas online

    O Dia de São Valentim costuma ser uma das alturas mais românticas para muitos, mas também pode ser para dar algumas dores de cabeça, sobretudo no mundo virtual. Como acontece todos os anos, é nestas alturas que acontecem sempre aumentos no número de ataques e esquemas a tentar enganar os utilizadores, pelo que convêm manter os olhos atentos.

    De acordo com um estudo realizado pela empresa de segurança Check Point, este ano regista-se um aumento considerável no número de ataques envolvendo o Dia dos Namorado em comparação com anos anteriores.

    Os investigadores afirmam que se regista um aumento de quase 200% no número de esquemas verificados desde o início de Fevereiro, e associados com o dia de são Valentim. A maioria dos esquemas tentam aproveitar a data festiva para realizarem roubos de dados pessoais, cartões de crédito e para distribuição de malware/ransomware.

    Um dos exemplos disto encontra-se sobre sistemas de “cartões virtuais”, onde os utilizadores podem carregar em links específicos para acederem a cartões criados para este dia – mas que podem ao mesmo tempo ser usados para esquemas dos mais variados formatos, nomeadamente com roubo de informações pessoais.

    Também se regista um aumento no número de esquemas usando falsas lojas para a venda de produtos do dia, desde flores a chocolates. O objetivo neste caso passa por enganar os utilizadores na compra de presentes online, roubando a informação dos mesmos.

    Outro esquema que tem vindo a regista um grande aumento encontra-se sobre a conversação direta com as vítimas. Os atacantes podem criar perfis falsos para tentarem ganhar a confiança das vítimas, mantendo conversas durante dias ou meses, para no final levarem ao roubo de avultadas quantias de dinheiro – sobre os mais variados pretextos.

  • Como realizar a limpeza de um sistema infetado por malware/vírus?

    Como realizar a limpeza de um sistema infetado por malware/vírus?

    Qualquer pessoa pode estar sujeita a ter um vírus instalado no seu computador, mesmo que use uma proteção em tempo real – estas nunca são 100% eficazes. Se antigamente os vírus distribuíam-se sobretudo em disquetes e pens infetadas, hoje em dia basta aceder a um site ou descarregar um programa errado…

    Ter um sistema infetado por um malware não é difícil, mas recuperar do mesmo pode ser uma verdadeira dor de cabeça – sobretudo se não souber por onde começar.

    Neste artigo iremos tentar ajudar nisso mesmo, para o caso do ambiente Windows, com alguns passos que devem ser tomados não apenas para evitar que os seus conteúdos possam ser comprometidos, mas também para prevenir que o malware se alastre a outros sistemas e que possa realizar a “limpeza” de forma segura.

    Vamos então começar!

    1- Isole o sistema de imediato!

    Se descobrir que um determinado sistema na sua rede se encontra infetado, a primeira coisa que deverá fazer será isolar o mesmo. Desligue todas as ligações à Internet, seja por cabo ou sem fios.

    Internet router

    Isto previne não apenas que o malware possa propagar-se para outros sistemas na rede local, aproveitando falhas nos mesmos, mas também evita que informação possa ser enviada para os responsáveis pelo malware – ou que sejam recebidos comandos que poderiam infetar ainda mais o sistema ou causar perdas consideráveis de dados.

    2- Comece a analisar os danos

    Tendo o sistema isolado, é altura de começar a verificar os danos que foram causados. Use um bom programa de antivírus para realizar um scan completo do sistema, de forma a identificar o género de malware que o mesmo possui.

    Isto pode ser um pouco complicado de fazer se realizou o passo anterior de isolar o sistema, já que praticamente todas as aplicações de segurança atualmente existentes necessitam de algum género de acesso à Internet, nem que seja para descarregar as assinaturas mais recentes de vírus.

    Mas, felizmente, nem sempre tem de ser o caso. Se possui acesso a outro computador “limpo”, existem programas que pode instalar para realizar análises em formato “offline”. Um dos exemplos será o Kaspersky Rescue Disk, que pode usar para arrancar o seu sistema num ambiente seguro e onde pode realizar a análise por malware.

    Para o uso destes ambientes seguros, apenas necessita de criar uma pen de arranque num sistema “limpo”, e depois arrancar o sistema infetado pelo mesmo.

    Em alternativa, pode também usar programas de antivírus que forneçam a opção de instalação “offline”. Este género de instalação, normalmente, possui a base de dados por vírus mais recente da empresa, mas não exige que tenha uma ligação ativa à Internet para realizar o scan.

    Um dos exemplos será o Avast Antivírus, que fornece as suas versões “offline”.

    No entanto, tenha em conta que as soluções de antivírus offline apenas serão úteis caso o sistema esteja a funcionar corretamente. Dependendo do género de malware que tenha sido instalado, esta solução pode não ser totalmente eficaz, e como tal a criação de uma pen de arranque ainda será o processo recomendado.

    3- Remova todo o malware que for encontrado

    Independentemente da forma como tenha avaliado os estragos no ponto anterior, verifique e guarde qual o género de malware que foi infetado no sistema, e tente remover os conteúdos descobertos.

    A análise deverá indicar todos os ficheiros que estarão associados com o malware, e deverá ser dada a possibilidade de remover os mesmos ou de tentar desinfetar os mesmos.

    análise por malware

    Se quiser ter realmente certeza que remove todo o género de malware do sistema, tente usar mais do que uma aplicação de segurança para realizar a análise por malware – NUNCA instale dois antivírus no sistema! Certifique-se que remove um antivírus antes de instalar outro – ou então use diferentes discos de arranque seguro.

    4- Altura de passar para a recuperação

    Depois de remover todo o malware/vírus que tenha sido detetado, chega a altura de começar a pensar na recuperação do sistema. A maioria dos utilizadores pode considerar que, estando o vírus removido, o sistema está limpo. E em parte isso pode ser possível.

    No entanto, não existe nenhuma solução perfeita. E mesmo que o sistema esteja a ser marcado como livre de malware, o recomendado será que seja feita a instalação do mesmo de raiz e de forma limpa – sobretudo para garantir a total segurança dos dados.

    Supondo que ainda possui acesso ao sistema operativo – e que o vírus não causou algum género de problema extra no mesmo – chega a altura de começar a pensar em reinstalar o mesmo.

    disco externo sobre a mesa

    Comece por realizar o backup de toda a informação que considere importante – como documentos, imagens e outros ficheiros que seja importantes para si. No entanto, tenha cuidado neste processo!

    Mesmo que tenha aparentemente removido todo o malware do sistema, ainda deve ter atenção a possíveis restos do mesmo que ainda se podem encontrar ativos. Realize o backup para uma fonte externa, como um disco externo ou Pen USB, mas tenha sempre atenção aos conteúdos que copia – e sobretudo quando depois os for restaurar, certifique-se que apenas o faz depois de uma análise completa do armazenamento usado.

    Evite guardar ficheiros que podem ser considerados maliciosos, como ficheiros executáveis ou scripts. Faça apenas o backup do que seja realmente importante.

    Se necessário, nesta altura também deverá ser relativamente seguro de voltar a ligar o sistema à Internet, portanto poderá usar plataformas de armazenamento cloud para enviar os ficheiros.

    5- Reinstale o sistema operativo de raiz

    Feito o backup dos conteúdos, chega a altura de reinstalar o sistema operativo. No caso do Windows, realize o download da Ferramenta de criação do suporte de instalação, disponível no site da Microsoft, e use um computador “limpo” para criar a pen de arranque.

    instalação do windows

    Feito isso, proceda na normalidade com a reinstalação do Windows. Garanta que remove todos os conteúdos do disco no processo, e que instala o sistema de raiz, não apenas como um upgrade.

    Feito este passo, apenas necessita de voltar a instalar o antivírus da sua preferência – ou a usar o Windows Defender incluído com o Windows 10 – e poderá começar a restaurar os conteúdos de backup.

    6- Não se esqueça da segurança também online!

    Mesmo depois de ter realizado a recuperação do seu sistema local do vírus, existe ainda outra etapa importante a ter em conta. Deve ter atenção a todas as suas contas online.

    O malware pode ter, no tempo que se encontrou instalado no sistema, acedido ou roubado dados de login que teria armazenado no seu sistema. Senhas de contas ou dados de acesso a várias plataformas online podem ter sido roubados, portanto, o processo adicional será alterar todas as senhas que tenha usado de forma recente – ou que poderiam estar armazenadas no seu sistema.

    Fique também atento a qualquer atividade suspeita nas suas contas online, e caso use sistemas de home banking, a qualquer movimentação suspeita nas contas em questão.

    É importante referir que, apesar destes passos serem um guia simples para remover o malware do sistema e evitar possíveis perdas de dados, existe um vasto conjunto de malware na Internet, cada um com as suas particularidades.

    Por exemplo, se o ataque que tiver sofrido for de um ransomware, então o processo de limpeza e restauro será consideravelmente diferente, já que os conteúdos do seu sistema estão encriptados.

    Este guia foca-se no processo de recuperação básico de malware.

    Iremos criar um guia mais avançado no futuro, mas não hesite em deixar um comentário no fórum para tentarmos ajudar caso este guia não seja suficiente. A comunidade está aqui para isso mesmo!