Categoria: malware

PeaZip 10 chega com várias melhorias e novidades

Embora o Windows tenha vindo a receber melhorias no suporte para arquivos comprimidos, ainda se encontra longe do que é possível com aplicações de terceiros, e por entre estas, o PeaZip é uma das mais usadas.

E agora, a aplicação encontra-se a receber uma grande atualização, com a chegada do PeaZip 10. Esta nova versão integra várias melhorias, novas funcionalidades e correções de bugs. Para começar, esta versão adapta-se à base do 7-Zip 24.08.

O backend Pea 1.20 conta agora com novas capacidades, como a capacidade de pesquisar por valores de pesquisar por valores de hash diretamente no Google ou no VirusTotal, ajudando a prevenir por possível malware.

Foram ainda feitas melhorias no suporte via a linha de comandos, permitindo aos utilizadores usarem mais rapidamente o terminal para tarefas rápidas com os ficheiros comprimidos.

Para utilizadores do macOS foram feitas melhorias no ícone do sistema, juntamente com melhorias para o suporte de scripts Automator, com integração direta aos menus de contexto do sistema.

No Windows foram feitas melhorias no suporte para arrastar e largar os ficheiros no sistema de forma nativa, tornando o processo mais eficiente, e foram ainda realizadas melhorias na integração com o menu de contexto do Windows 10 e 11.

Obviamente, foram ainda realizadas várias otimizações a nível de desempenho final, bem como a correção de bugs.

O PeaZip 10 conta ainda com melhorias a nível da interface, que devem otimizar a forma como os utilizadores usam a aplicação. A atualização encontra-se disponível no site oficial do projeto, e pode também ser instalada diretamente pelo sistema de atualização automática da mesma.

29/10/2024
Windows possui uma falha que a Microsoft não corrige

Um novo formato de ataque tem vindo a ser explorado no Windows, permitindo reduzir a segurança do mesmo para instalar malware e outras atividades maliciosas no mesmo. A falha explora o kernel do sistema, sendo capaz de realizar o downgrade de certos componentes de segurança no mesmo. Isto permite que falhas antigas possam voltar a ser exploradas para atacar o sistema diretamente.

Esta falha encontra-se diretamente relacionada com o Windows Update, o processo associado com a atualização do Windows. Se explorada, a falha pode permitir que certos componentes do sistema sejam atualizados para uma versão antiga, abrindo portas para que possam ser exploradas outras falhas conhecidas.

O investigador da empresa SafeBreach, Alon Leviev, reportou a falha diretamente à Microsoft, mas a empresa não considerou a mesma como sendo uma falha de segurança, embora o investigador tenha conseguido explorar o kernel do sistema para executar processos com modo de administrador.

O investigador criou mesmo uma ferramenta, apelidada de Windows Downdate, que é capaz de explorar esta falha, e demonstrar os riscos associados com a permissão de se realizar a alteração de serviços fundamentais do sistema para versões mais antigas.

Uma das funcionalidades de segurança que foi contornada pela exploração desta falha foi o Driver Signature Enforcement (DSE), um sistema integrado no kernel do Windows, que permite ao sistema verificar todos os drivers carregados e garantir que os mesmos estão corretamente assinados.

Explorando a falha, o investigador conseguiu enganar este sistema para carregar drivers potencialmente maliciosos, que podem usar os sistema para variados ataques, demonstrando claramente que a falha possui um grande impacto no mercado.

Apesar de ter demonstrado a falha em vários eventos dedicados a este fim, a Microsoft continua a não lançar uma correção para a mesma, considerando que esta não atinge os parâmetros para ser considerada uma falha de segurança no sistema. Em parte a Microsoft considera que isto não será uma falha visto que é necessário ter permissões de administrador no sistema afetado para explorar a mesma – apesar de ainda assim ser possível que se execute código malicioso diretamente do kernel do Windows.

27/10/2024
Grupo de ransomware usa Microsoft Teams para chegar às vítimas

O grupo de ransomware BlackBasta tem vindo a usar uma nova técnica para enganar as potenciais vítimas. Agora, o grupo encontra-se a usar o Microsoft Teams como forma de comunicar diretamente com as vítimas, fazendo-se passar por suporte técnico da Microsoft.

A ideia será usar a ferramenta da Microsoft como forma de manter algum nível de credibilidade, usando a mesma para realizar ataques diretos a empresas. O objetivo passa ainda por tentar obter acesso a redes internas e instalar malware no máximo de sistemas possíveis, com a capacidade de futuramente instalar ransomware nos mesmos.

O BlackBasta é um grupo que se encontra ativo desde abril de 2022, e tem vindo a ser responsável por centenas de ataques contra grandes empresas a nível mundial. O grupo tenta obter acesso às redes internas das empresas através de diferentes ataques e formatos, entre os quais a exploração de falhas.

Uma das formas de atuação do grupo passa por atacar diretamente um funcionário da empresa, sobrecarregando o mesmo. Por exemplo, várias empresas de segurança identificaram em Maio que o grupo regularmente enviava campanhas com milhares de emails contra um funcionário, com mensagens de Spam, e no meio da confusão ligavam para o mesmo a tentar ajudar na tarefa.

Depois disso, o grupo leva os funcionários a instalarem ferramentas de controlo remoto do sistema, como o Anydesk, e acabam por obter dessa forma acesso ao sistema e a potenciais redes internas onde o mesmo se encontre.

O uso do Microsoft Teams é mais recente, mas vai dentro de encontro da mesma ideia. Invés de realizar uma chamada telefónica para as vítimas, os atacantes usam o Teams como forma de realizar a ligação, fazendo-se passar por assistentes da Microsoft, e oferecendo ajuda para os mais variados problemas técnicos que possam estar a surgir. No final, os funcionários são aliciados a instalarem programas de controlo remoto do sistema nas suas máquinas, ou até mesmo malware diretamente descarregado de sites suspeitos.

Os investigadores apontam que a maioria dos contactos encontram-se a ser feitos com origem na Rússia, tendo em conta a data que se encontra nos sistemas que foram identificados de origem dos ataques.

Como sempre, é importante ter atenção a qualquer contacto feito via fontes externas e suspeitas, sobretudo com tarefas que aparentem ser incomuns, e no caso de grandes empresas, deve ser feita a análise das atividades dos funcionários e campanhas de prevenção contra ataques deste formato.

26/10/2024
NSA volta a recomendar reiniciar os smartphones para garantir segurança dos dados

Existe um lema pelo meio informático que reiniciar os dispositivos pode acabar por resolver muitos dos problemas com os mesmos. E isso veio novamente a ser confirmado pela NSA, que recentemente recomendou aos utilizadores reiniciarem de forma regular os seus smartphones, não apenas para manterem os mesmos otimizados, mas também por questões importantes de segurança.

A Agência de Segurança Nacional dos Estados Unidos (NSA) já tinha deixado a sugestão em 2020, mas recentemente voltou a surgir pela internet. Num guia sobre práticas de segurança digitais publicadas na altura, a NSA recomenda que os utilizadores reiniciem os seus dispositivos pelo menos uma vez por semana.

A ideia é simples, e realmente pode ser efetiva contra possíveis ataques direcionados. O ato de reiniciar o dispositivo acaba por reiniciar também todas as aplicações e processos na memória, que pode ajudar a eliminar dados sensíveis que podem ficar guardados na mesma, e que, eventualmente, poderiam ser obtidos por outras fontes e malware.

Embora reiniciar por si só não corrija as falhas, pode ajudar a eliminar dados que, caso as falhas no sistema seja exploradas, poderiam ser roubados e prejudicar os utilizadores finais. Basicamente, será uma forma de “limpar” dados sensíveis da RAM, que poderiam ser roubados através da exploração de falhas.

Além disso, a NSA recomenda ainda que os utilizadores instalem o mais rapidamente possível as atualizações existentes, tanto para as suas apps como para o sistema operativo, já que muitas vezes estas possuem correções a nível de segurança. É ainda recomendado que apenas se instale aplicações de fontes legitimas, como as App Store da Google e da Apple, além de evitar a ligação a redes de internet públicas.

25/10/2024
Hackers exploram falha zero-day no Chrome em jogo da blockchain

O grupo de hackers “Lazarus”, conhecido pelas suas atividades relacionadas com o governo da Coreia do Norte, encontra-se a usar uma falha associada ao navegador Google Chrome, com o objetivo de levar à instalação de spyware no sistema das vítimas através de jogos baseados na blockchain.

O grupo encontra-se a explorar uma falha zero-day, onde as vítimas são aliciadas diretamente para uma falsa plataforma, que promete ganhos via NFT na blockchain. No entanto, o objetivo será explorar esta falha para levar à instalação de spyware nos sistemas, além de roubar carteiras de criptomoedas e outros dados potencialmente sensíveis.

De acordo com os investigadores da empresa Kaspersky Labs, o jogo encontra-se a ser fortemente promovido em plataformas sociais como o LinkedIn e X, e funciona como seria de esperar. Quem acede ao mesmo, em primeira instância, não deverá notar qualquer problema diretamente associado a este.

Apelidado de DeTankZone ou DeTankWar, o jogo usa NFTs como “tanques virtuais”, onde os jogadores devem combater entre si. O simples fato dos jogadores estarem no jogo seria suficiente para permitir que o ataque fosse realizado com sucesso – mesmo sem descarregar qualquer conteúdo diretamente para o sistema.

A falha explorava o motor de javascript V8 do Chrome, e permitia que comandos remotos fossem enviados diretamente para o sistema, o que poderia levar a potenciais casos de instalação de malware e roubo de dados sensíveis.

Segundo os investigadores, o jogo e as suas intenções tinham sido originalmente descobertas em Fevereiro, por um especialista em segurança da Microsoft. No entanto, nessa altura, desconhecia-se exatamente o formato e vetor de ataque.

Depois da exploração ter sido publicamente conhecida, o site associado ao jogo removeu o código que explorava a falha, ainda antes da Kaspersky Labs ter possibilidade de o verificar. Porém, foram descobertos indícios que ajudaram a identificar a falha, que foi prontamente notificada para a Google.

A correção da mesma foi entretanto lançada para o Chrome, e deverá já encontrar-se na grande maioria dos sistemas – portanto não pode ser ativamente explorada. A mesma foi agora publicamente revelada tendo em conta que a grande maioria dos sistemas já se encontram atualizados, o que impede que a falha possa ser explorada.

23/10/2024
Campanha de malware em sites WordPress infeta seis mil domínios

Mais de seis mil websites WordPress foram recentemente afetados numa onda de ataques, associados com plugins maliciosos que foram distribuídos por várias fontes, e que agora estão a ser usados para campanhas de pop-ups e esquemas.

De acordo com os investigadores da Godaddy, a campanha encontra-se apelidada de “ClickFix”, sendo que apresenta aos visitantes dos sites infetados mensagens de popup a indicarem a necessidade de se atualizar o navegador. Estes redirecionam as potenciais vítimas para sites onde podem descarregar a suposta atualização – que na realidade é apenas malware desenhado para roubar dados de login dos sistemas.

A campanha, embora tenham voltado a surgir sobre o novo nome, na realidade não é recente, e encontra-se ativa desde 2023. Os investigadores indicam que terá sido originada por plugins maliciosos que se encontram nas instalações do WordPress, normalmente instalados sobre falsos pretextos.

Muitos dos plugins identificados possuem nomes aproximados ao de outros mais conhecidos, como o Wordfence Security e LiteSpeed Cache. A ideia seria enganar os administradores dos sites para instalarem os mesmos, levando a que o malware fosse diretamente adicionado no sistema.

Quando o plugin é instalado no site, este injeta um script em todas as páginas do site, de forma a apresentar a mensagem pop-up maliciosa no mesmo a visitantes aleatórios. Além disso, os plugins aparentam ainda encontrar-se a obter acesso às contas de administrador dos sites infetados, com o objetivo de manterem a campanha ativa nos mesmos e, se for necessário, reinstalar o script malicioso.

Os investigadores acreditam que os plugins maliciosos encontram-se instalados em mais de 6000 sites WordPress, mas o volume pode ser consideravelmente superior. Os administradores de sites WordPress são aconselhados a verificarem atentamente os plugins instalados nos seus websites, de forma a garantir que serão de fontes legítimas.

21/10/2024
ESET investiga ataque a entidade parceira em Israel

A empresa de segurança ESET encontra-se atualmente a investigar um incidente, que ocorreu sobre um dos seus parceiros em Israel, que terá sido afetado por um ataque e enviou várias mensagens para clientes locais contendo malware.

As mensagens enviadas fazem-se passar como parte de uma atualização da ESET, com melhorias para o sistema de segurança, mas na realidade trata-se de malware capaz de realizar vários danos nas entidades.

Todas as mensagens enviadas como parte deste ataque alertam os clientes para a necessidade de instalar uma atualização de segurança no sistema, levando para um link onde se encontra o conteúdo. A mensagem terá sido enviada diretamente dos sistemas da parceira da ESET, o que leva a que não seja algo diretamente filtrado.

As mensagens foram enviadas pelo domínio eset.co.il, que embora seja associado à ESET, a empresa indica que será da sua parceira direta em Israel. A mensagem indicava que os dispositivos dos utilizadores estariam a ser alvo de um ataque sofisticado, e que, para garantir a proteção dos mesmos, era necessário descarregar um ficheiro que se encontrava num link específico, sob o domínio da entidade.

Este ficheiro continha o malware propriamente dito, que mascarado de um instalador da ESET, procedia com a eliminação de dados dos sistemas onde era executado. O mesmo tentava ainda replicar-se para outros sistemas na rede, ou aceder a discos partilhados em redes internas, de forma a eliminar também os conteúdos dos mesmos.

O objetivo aparenta ser causar prejuízos com a eliminação e destruição de dados das empresas afetadas. De momento ainda se desconhece o número exato de empresas que receberam a mensagem, e ainda menos as que foram verdadeiramente afetadas.

O ataque não foi reclamado por qualquer grupo conhecido de atacantes, embora o uso deste formato de malwares seja bastante vulgar de ocorrer em países como Israel. A ESET afirma que irá entrar em contacto com todos os utilizadores afetados para fornecer mais informações e o eventual apoio necessário.

20/10/2024
Campanha maliciosa explora falha zero-day no Internet Explorer

Um grupo de hackers localizado na Coreia do Norte encontra-se a explorar uma falha do Internet Explorer, com vista a distribuir malware em sistemas. Embora o Internet Explorer não esteja mais ativo e suportado pela Microsoft, o mesmo ainda se encontra em vários sistemas, e é nesta ideia que o grupo se encontra agora a explorar uma falha zero-day no mesmo.

O grupo conhecido como “ScarCruft” é conhecido por ter ligações com o governo da Coreia do Norte, e agora foi descoberto que se encontra a tentar infetar sistemas na Coreia do Sul e em vários países da Europa, explorando uma falha zero-day no Internet Explorer.

A falha, apelidada de “Code on Toast”, explora a forma como o Internet Explorer apresenta mensagens pop-up, de forma a executar conteúdo malicioso nos sistemas. Se explorada, a falha pode permitir que código potencialmente malicioso seja executado no navegador, e consequentemente, no sistema das vítimas.

O ataque começa com os atacantes a explorarem sistemas de publicidade para apresentarem o conteúdo malicioso como pop-ups no navegador, que caso seja ativado, pode levar a que o código malicioso seja executado em processos no sistema. O ataque pode ser realizado até sem interação dos utilizadores, o que agrava ainda mais a situação.

Felizmente, a falha apenas se encontra explorada sobre o Internet Explorer, portanto os utilizadores teriam de ser enganados a abrirem os conteúdos no mesmo – ou teriam de encontrar-se a usar ativamente este navegador, que está atualmente em desuso.

Embora o Internet Explorer não seja ativamente usado nos dias de hoje, ainda se encontra instalado em vários sistemas, o que pode levar os atacantes a enganarem as vítimas para abrirem determinados conteúdos no mesmo.

17/10/2024
Base de dados da AT em circulação não são de recente ataque da AMA

Recentemente a AMA confirmou ter sido alvo de um ataque informático, de ransomware, que colocou várias das plataformas da entidade inacessíveis. Na realidade, o impacto deste ataque ainda se encontra a sentir, tendo em conta que várias plataformas da mesma ainda estão inacessíveis ou com falhas.

Depois do ataque ter sido confirmado, rapidamente começaram a surgir questões de que formato de dados foram comprometidos, com algumas entidades a aproveitarem a situação para divulgar uma alegada base de dados, contendo mais de 12 mil registos de NIFs e senhas – alegadamente da Autoridade Tributária e de acesso à plataforma da mesma.

Em várias publicações por diferentes redes sociais, a base de dados alega conter mais de 12 mil registos, associados com NIFs e Senhas de contribuintes que teriam sido comprometidos. Dado a proximidade com o ataque da AMA, muitos consideram que essa informação é diretamente da entidade.

Algumas publicações tentam fazer passar essa informação como sendo algo relacionado, ou aproveitam a mesma para outros fins.

No entanto, isso será falso. A base de dados em questão não é diretamente associada com o recente ataque da AMA, nem terá sido obtida por uma violação de sistemas da entidade.

Esta lista encontra-se associada com um leak de dados, datado de 10 de Agosto de 2024, altura em que começou a ser partilhada em alguns sites da dark web.

No entanto, os dados presentes na mesma dizem respeito a informação que já teria sido divulgada em leaks anteriores – mais concretamente em meados de Junho. Os dados terão sido obtidos de malware instalado em sistemas comprometidos, que foram posteriormente conjugados numa grande lista de dados de acesso – e de onde, a partir dai, foram separados os diferentes serviços.

A lista atualmente em divulgação é respeitante a uma conjugação de milhares de sistemas infetados de utilizadores individuais, que tiveram informação de login roubada – não apenas da Autoridade Tributária, mas de literalmente qualquer dado de login guardado no navegador do mesmo – que foi conjugada posteriormente numa lista apenas com os dados de login da Autoridade Tributária.

Esta lista, no entanto, tem sido aproveitada para criar um certo pânico sobre o facto de dizer respeito a dados que foram recentemente roubados dos sistemas da AMA. Embora ainda se desconheçam detalhes sobre o incidente que ocorreu recentemente, os dados a serem divulgados não são respeitantes ao ataque de ransomware, e sim dados já comprometidos do passado.

Tendo em conta que estes dados não foram roubados diretamente da AMA ou da Autoridade Tributária, não será da responsabilidade direta destas instituições realizar a notificação de qualquer contribuinte afetado, visto não ser da responsabilidade das mesmas.

Os dados foram roubados diretamente dos sistemas de vítimas, que foram comprometidos.

É importante sublinhar que, embora os dados não sejam respeitantes diretamente ao ataque recente da AMA, podem conter informação sensível, incluindo senhas que ainda podem estar a ser usadas por vítimas do malware. Recomenda-se que sejam adotadas medidas de segurança para prevenir o acesso indevido a contas – entre as quais garantir que os sistemas usados estão livres de malware, e atualizar as senhas de sistemas sensíveis com regularidade.

15/10/2024
OpenAI confirma que grupos usaram ChatGPT para criar malware

A OpenAI confirmou ter encerrado cerca de 20 operadores, que se encontravam a usar o ChatGPT para a criação de malware. Estes grupos encontravam-se a usar contas dentro do ChatGPT para usarem as capacidades do mesmo, com comandos específicos, para criarem malware.

Embora fosse conhecido que ferramentas de IA eram usadas para criar malware, esta é a primeira confirmação oficial de que existem grupos focados em explorar estas ferramentas para a criação de atividades maliciosas.

Anteriormente, alguns investigadores de segurança indicavam que existiam indícios de malware criado com recurso a IA, mas não havia forma direta de comprovar tais alegações. No entanto, o recente relatório da OpenAI confirma que existem evidências claras de que as ferramentas estão a ser usadas para esse fim.

Um dos grupos que se encontra a usar o ChatGPT para criar malware poderá ser o “SweetSpecter”, um grupo sediado na China que foi inicialmente descoberto em Novembro de 2023.

Este grupo encontra-se a realizar ataques de phishing a alvos específicos, com campanhas criadas usando IA para o desenvolvimento de mensagens e de scripts maliciosos, muitos dos quais são anexados diretamente nas mensagens.

Este grupo terá ainda realizado várias tentativas de ataques até mesmo contra funcionários da OpenAI, na esperança de obter acesso interno da empresa.

Foi descoberto que vários membros dentro deste grupo encontram-se a usar o ChatGPT para as mais variadas tarefas, desde descobrir falhas existentes em software ativo no mercado, até mesmo a criar scripts potencialmente maliciosos, explorando comandos específicos para contornar os filtros da plataforma.

Outro grupo igualmente conhecido por usar o ChatGPT para estas práticas é o “CyberAv3ngers”, sediado em Israel. Este grupo é conhecido por usar o ChatGPT para igualmente tentar descobrir falhas em software comercialmente disponível, levando a que possam ser criados códigos para explorar as mesmas.

A OpenAI afirma que, dentro da sua investigação, todas as contas dos operadores identificados anteriormente foram removidas e bloqueadas da plataforma, para prevenir o abuso. Os dados das contas foram ainda fornecidos às autoridades competentes para posterior investigação.

13/10/2024
Códigos QR são cada vez mais usados para ataques diretos

Os criminosos encontram-se sempre à procura de novas formas de enganar os utilizadores, levando-os para esquemas e burlas dos mais variados feitios. E uma tendência que tem vindo a crescer de forma considerável encontra-se no uso de QR codes para tais práticas.

De acordo com um novo relatório da Microsoft, existem cada vez mais grupos de hackers a usar esquemas focados para instituições de ensino, sendo que a grande maioria foca-se em tentar obter acesso a plataformas digitais das mesmas. A Microsoft afirma que a indústria da educação foi a terceira mais afetada por tentativas de ataque durante o segundo trimestre de 2024.

Uma das estatísticas mais interessantes que a empresa recolheu, porém, encontra-se na forma de como estes ataques são feitos. A empresa indica que, diariamente, as instituições de ensino recebem mais de 15 mil mensagens de email contendo códigos QR, que são usados para amplificar o esquema.

Estes códigos são usados para levar as potenciais vítimas a descarregarem malware nos sistemas, ou a acederem a falsos sites onde podem ser obtidos dados de acesso a diferentes plataformas, ou dados pessoais.

A Microsoft afirma que os códigos QR são algo relativamente simples de realizar, e que podem conter bastante informação. Além disso, como são simples imagens, são muitas vezes ignoradas pelos tradicionais filtros de spam, levando a que a taxa de sucesso seja consideravelmente mais elevada.

Embora o foco destes ataques aparente ser para instituições de ensino, é importante ter em conta que podem afetar praticamente qualquer pessoa ou comunidade, e que é uma prática cada vez mais usada para tentar enganar os utilizadores.

Uma das formas de prevenção parte exatamente dos próprios utilizadores, que devem ter cuidado com mensagens que indiquem códigos QR para aceder a diferentes páginas ou que peçam para realizar atividades adicionais em plataformas desconhecidas.

12/10/2024
Malware para Linux pode ter infetado milhares de sistemas nos últimos anos

Embora o Linux seja considerado por muitos como um sistema seguro, isso não quer dizer que o mesmo não tenha malware focado para o mesmo. E recentemente, um grupo de investigadores revelou ter descoberto um novo malware que poderá ter infetado milhares de sistemas durante anos.

Apelidado de “perfctl”, este malware tem vindo a focar-se em sistemas Linux e servidores, permanecendo praticamente indetetável nos mesmos para realizar as suas atividades. O malware, tendo em conta que é bastante difícil de identificar, pode ter infetado milhares de sistemas nos últimos anos silenciosamente.

O principal objetivo do “perfctl” passa por usar os recursos dos sistemas infetados para minerar criptomoedas. Quando instalado, este adiciona um pequeno processo no sistema, que periodicamente vai usando os recursos do mesmo para minerar a criptomoedas Monero, enviando os ganhos para carteiras associadas com os atacantes.

Embora a atividade principal atualmente seja para mineração de criptomoedas, o malware pode ser rapidamente adaptado para realizar outras atividades, incluindo algumas consideravelmente mais prejudiciais.

Os investigadores acreditam que os atacantes infetam os sistemas explorando pontos de entrada comprometidos, como pastas desprotegidas e com acesso público e falhas a nível das configurações de segurança. Em alguns casos são ainda exploradas falhas para obter chaves de acesso, que são depois usadas para o envio dos conteúdos maliciosos.

São ainda exploradas falhas antigas em diferentes aplicações, de forma a tentar obter um ponto de acesso ao sistema onde se possa proceder com a instalação do malware. Quando um sistema é infetado, o malware replica-se ainda por várias pastas dentro do mesmo, dificultando a sua remoção. Caso o processo principal seja, por alguma razão, removido, um secundário entra em ação.

O malware recebe os comandos via uma ligação encriptada na rede TOR, tornando praticamente impossível de identificar a origem da mesma.

Tendo em conta que todas as comunicações são feitas apenas via a rede Tor, estas encontram-se fortemente encriptadas, sendo bastante complicado de identificar a origem das mesmas. Os ganhos da mineração são também enviados para carteiras via este formato.

Uma das formas de identificar um sistema potencialmente comprometido encontra-se no uso elevado dos recursos, com o processador a elevar-se consideravelmente quando se verifica atividades de mineração. No entanto, a atividade é ocultada o melhor possível – por exemplo, a mineração é automaticamente cancelada quando um utilizado realiza o login no sistema, para evitar a deteção.

04/10/2024
Sites Magento e Adobe Commerce estão a ser alvo de ataques em massa

Sites baseados em Magento e Adobe Commerce encontram-se a ser alvo de uma nova campanha de malware, que tem vindo a alargar-se de forma considerável nos últimos dias, causando com que milhares de sites fiquem potencialmente afetados.

O ataque encontra-se a ser conhecido como “CosmicSting”, e explora uma falha existente nas plataformas, que pode ser usada para executar código remotamente nos sistemas afetados. Esta falha pode permitir que os atacantes obtenham acesso aos sistemas onde os sites se encontram, e possam obter os dados e executar comandos remotos.

De acordo com a empresa de segurança Sansec, os ataques terão começado em Junho de 2024, e até agora cerca de 4275 sites foram afetados pelos mesmos. Entre algumas das vítimas encontram-se entidades como a Whirlpool, Ray-Ban, National Geographic, Segway, e Cisco.

Os investigadores alertam que os atacantes encontram-se agora a realizar ataques a um ritmo consideravelmente mais acelerado, tentando explorar sistemas que ainda não tenham sido atualizados.

Embora a atualização para a falha esteja disponível, agora que os detalhes são publicamente conhecidos é bastante provável que os atacantes tenham aumentado o ritmo dos ataques, para chegarem a ainda mais sites antes destes serem atualizados.

Quando um site é afetado, um script malicioso é instalado no mesmo, que depois pode ser usado para as mais variadas atividades. Entre estas encontra-se a recolha de dados dos utilizadores que realizem compras nas lojas online, bem como recolha de dados de pagamento e outras informações sensíveis, que podem depois ser usadas para outros ataques.

Os administradores de plataformas Magento e Adobe Commerce devem certificar-se que as mesmas estão atualizadas para as versões mais recentes, de forma a evitarem ser vítimas deste ataque.

04/10/2024
Cuidado com esta nova campanha de malware para falsas atualizações

Uma nova campanha de malware encontra-se focada em enganar os utilizadores com falsas atualizações, que podem levar a que malware seja instalado no sistema. A campanha foca-se sobretudo a utilizadores em França, mas tem vindo a ser identificada também em outros países, o que pode apontar que se encontra a alargar para outras regiões.

Apelidada de “FakeUpdate”, esta começa por levar os utilizadores para falsos websites, com a promessa de atualizar o navegador para uma versão mais recente ou algum programa que o mesmo tenha instalado. Estes sites oferecem o download da aplicação de forma direta.

Entre algumas das aplicações envolvidas na campanha encontra-se o Java, VMware Workstation, WebEx e Proton VPN. As mensagens de atualização tendem a surgir em resultados promovidos nos principais motores de pesquisa ou diretamente em campanhas publicitárias.

Caso as vítimas acedam aos sites, e descarreguem a suposta atualização, acabam por instalar nos seus sistemas um malware que pode descarregar outros géneros de programas maliciosos para o sistema, como ransomware, keyloggers e outros.

Além disso, o malware instala ainda um backdoor no sistema, de forma a poder ser acedido de forma remota, e reinstalar os programas maliciosos caso seja necessário. O malware em si tenta aplicar várias técnicas para contornar os softwares de segurança, e de forma a evitar a identificação.

É importante relembra que todos os navegadores mais recentes no mercado contam com sistemas de atualizações automáticas integrados no mesmo. Chrome, Edge, Brave, Opera e Firefox, todos contam com sistemas diretos de atualização, e os utilizadores normalmente não necessitam de realizar nada para manterem os mesmos atualizados nas versões mais recentes. Este processo é regularmente feito em segundo plano.

03/10/2024
Microsoft volta a garantir a privacidade e segurança do Windows Recall

O Microsoft Recall é uma das funcionalidades previstas para o Windows 11 que tem vindo a causar algumas dores de cabeça para quem tenha privilégio a nível da sua privacidade. Esta funcionalidade antecipa-se de ser um problema para garantir a privacidade dos utilizadores, embora a Microsoft queira indicar o contrário.

Para relembrar, o Windows Recall é uma funcionalidade do Windows 11, focada para sistemas Copilot+ , que vai permitir ao Windows lembrar-se de tudo o que é feito no mesmo, e permitindo aos utilizadores rapidamente voltarem “atrás” no tempo.

O sistema é capaz de analisar as tarefas feitas pelos utilizadores, e as suas atividades, registando as mesmas numa linha de tempo. Obviamente, tendo em conta o impacto a nível dos dados acedidos, a Microsoft sempre indicou que o sistema encontra-se voltado para a privacidade, com dados armazenados apenas de forma local e encriptados.

Agora, a Microsoft veio reforçar essa ideia, com várias medidas que vão ser implementadas no Recall para garantir a segurança e privacidade dos dados. De acordo coma empresa, todos os dados recolhidos pelo Recall encontram-se protegidos por encriptação VBS Enclaves, e de forma unicamente local.

Além disso, o Recall terá de ser ativado diretamente pelos utilizadores que o pretendam, e pode ser completamente desativado para quem assim pretenda. A Microsoft reforça ainda que todos os dados ficam encriptados apenas de forma local, e não é enviado nenhum conteúdo para os sistemas cloud da Microsoft.

A empresa afirma ainda que o sistema do Recall vai encontrar-se implementado com medidas que previnem o acesso aos dados por malware no sistema. Desta forma, mesmo que o sistema seja infetado, será consideravelmente difícil para o mesmo aceder aos dados do Recall – segundo a empresa.

Quanto à privacidade, a Microsoft alega que os utilizadores possuem todo o controlo sobre os dados recolhidos e os dados armazenados, e podem sempre desativar locais onde não pretendam que o Recall recolha dados.

Informação mais sensível, como senhas e dados bancários, serão automaticamente ocultados dentro das possibilidades – embora ainda possam existir situações onde os dados ficarão visíveis.

Tendo em conta todas as críticas deixadas ao Windows Recall, não é de estranhar ver a Microsoft a tentar corrigir algumas das falhas da comunicação original da funcionalidade, e de se focar em temas como a segurança e privacidade.

27/09/2024
Malware já começa a tentar contornar proteção de cookies no Chrome

O Chrome tem vindo a adotar novas medidas de segurança, focadas em prevenir que malware possa roubar os cookies do navegador para aceder a contas no mesmo. Este género de ataque tem vindo a ser cada vez mais comum, o que é considerado um problema grave para a Google.

A pensar nisso, o Chrome integrou recentemente algumas medidas de proteção para prevenir que os cookies possam ser roubados por malware. No entanto, tal como existe um lado a tentar defender-se, existe o outro a tentar contornar essas defesas.

Recentemente foi descoberto um novo malware, que é focado em roubar as credenciais de login e contas ativas no Chrome através dos cookies, e que possui a capacidade de contornar algumas das proteções recentemente implementadas no mesmo.

O Chrome 127 integrou um novo sistema de proteção para cookies, que encripta os conteúdos dos mesmos para ficarem associados apenas ao sistema de onde foram originalmente criados. Esta medida previne que, caso os cookies sejam roubados, possam ser usados em outros sistemas externos. Além disso, a encriptação é feita usando um processo dedicado, que corre com permissões administrativas elevadas no sistema – invés de usar as permissões do utilizador ativo no momento.

No entanto, os investigadores de segurança revelaram ter descoberto um novo malware, que é capaz de continuar a roubar os dados dos cookies, bastando obter acesso administrativo ao sistema. O malware encontra-se aparentemente a ser adaptado para contornar estas ferramentas de proteção do Chrome, e embora ainda esteja numa fase bastante inicial, parece que o foco será criar um malware capaz de contornar a proteção por completo.

De momento ainda se desconhece detalhes de como este malware é capaz de contornar a proteção do Chrome, tendo em conta que os investigadores ainda se encontram a analisar o mesmo. Espera-se que mais detalhes venham a ser conhecidos em breve.

No entanto, isto será uma corrida de um lado e do outro. A Google pretende correr para integrar formas de garantir mais segurança para os dados e contas dos utilizadores, enquanto que do lado do malware este adapta-se para tentar evitar e contornar essas mesmas proteções.

25/09/2024
Hackers usam IA para criar malware para ataques

As tecnologias de Inteligência Artificial estão cada vez mais presentes no dia a dia e para as mais variadas tarefas, incluindo as que não são propriamente as mais recomendadas. Recentemente foi descoberta uma nova campanha de malware, onde o código da ameaça se acredita tenha sido desenvolvido usando ferramentas de IA.

De acordo com os investigadores da empresa de segurança HP Wolf Security, foi recentemente descoberto um malware, focado sobretudo para utilizadores em França, que poderá ter sido desenvolvido via IA. O script PowerShell adota formatos que normalmente são usados por mecanismos de IA para a criação de código, e que demonstram que o mesmo pode ter sido criado usando ferramentas banais por um utilizador que nem terá muitos conhecimentos de programação.

O malware em questão possui como objetivo descarregar conteúdos maliciosos para o sistema, levando a que este seja infetado com outras variantes de malware. No entanto, a base do seu código foi desenvolvido usando ferramentas de IA, possivelmente versões adaptadas de modelos LLM e focadas para a criação destes conteúdos.

Esta não é a primeira vez, e certamente não será a última, onde IA é usada para atividades criminosas. O uso destas ferramentas para criação de malware tem vindo a aumentar consideravelmente, em parte porque permite melhorar o código de malware existente ou criar novas versões até mesmo por utilizadores com poucos conhecimentos.

É possível que a tendência venha a aumentar conforme este género de ferramentas de IA fiquem cada vez mais acessíveis e disponíveis para este género de atividades. Plataformas como o ChatGPT e Copilot contam com mecanismos para filtra a criação de código potencialmente malicioso, mas ainda assim, existe sempre a possibilidade dos mesmos serem usados para atividades deste género através da exploração de falhas.

Existem ainda modelos que são usados livremente para criar estes conteúdos, em plataformas dedicadas onde os filtros foram removidos ou fortemente limitados.

25/09/2024
Nova ameaça descoberta para dispositivos Android pode roubar contas bancárias

Foi recentemente descoberta uma nova campanha de malware do “Octo”, um malware focado para sistemas Android e que se mascara como aplicações legítimas do NordVPN e Google Chrome.

Apelidado de Octo2, esta nova variante do malware para Android tem vindo a focar-se sobretudo em utilizadores na zona europeia, incluindo em Portugal. O malware possui a capacidade de realizar várias ações nos dispositivos, sobretudo de aceder a contas bancárias e roubar fundos das mesmas, bem como recolher dados de login.

O malware Octo tem vindo a sofrer mudanças nos últimos meses, tendo sido uma variante de outros malwares disponibilizados no mercado desde 2018. A primeira versão do Octo foi descoberta em apps de limpeza do sistema na Play Store da Google, em 2022.

A versão original do Octo tinha a capacidade de registar todas as entradas no dispositivo, obter a localização, acesso a SMSs e notificações bem como de abrir outras apps no sistema. Teria ainda a capacidade de enviar mensagens SMS em nome do utilizador.

O Octo2 é uma versão reformulada do anterior, contando com as mesmas características, e incluindo ainda a capacidade de roubar dados bancários e de ter mais código ofuscado para evitar a deteção.

Os investigadores acreditam que o malware encontra-se focado para utilizadores na zona europeia, tendo em conta que a maioria das infeções são realizadas nesta região. O mesmo funciona como um malware como um serviço, onde os atacantes partilham as receitas dos seus ataques com os criadores, e estes mantêm uma linha de atualização constante – basicamente como uma subscrição para manter o malware atualizado e com o controlo.

O Octo2 integra várias formas de evitar a sua deteção, reduzindo a atividade de rede ao mínimo possível, e aplicando vários processos ofuscados para dificultar a identificação pelos meios de segurança tradicionais. Acredita-se que a sua instalação ocorre a partir de fontes de aplicações em sites fora da Play Store. Não são conhecidas apps na plataforma da Google que tenham sido infetadas com este malware até ao momento – o que indica que a Google parece encontrar-se protegida contra esta ameaça nas suas ferramentas de segurança.

Como sempre, é importante que os utilizadores tenham atenção às apps que descarregam dos seus sistemas.

25/09/2024
Malware para Android infetou mais de 11 milhões de dispositivos pela Google Play Store

De tempos a tempos surgem novas campanhas de malware focadas em dispositivos Android, e recentemente foi descoberta mais uma, que pode ter infetado milhões de dispositivos em todo o mundo.

Os investigadores da empresa de segurança Kaspersky revelaram ter descoberto uma nova campanha do malware Necro, que pode ter infetado mais de 11 milhões de dispositivos em todo o mundo. Este malware distribui-se sobretudo sobre SDKs maliciosos, e pode ter chegado a aplicações que estão disponíveis via a Google Play Store.

O malware usa SDKs, que normalmente são usados em várias aplicações legítimas para incluir novas funcionalidades e ferramentas. Este género de conteúdos são usados em apps como o Spotify, YouTube, entre muitas outras.

Neste caso, o malware foca-se em SDKs que foram maliciosamente modificados, para integrar o malware no mesmo, e assim poderem-se distribuir por apps aparentemente legitimas – e onde, muitas vezes, nem mesmo os programadores destas possuem conhecimento de estarem a distribuir o malware.

O malware Necro pode realizar várias atividades maliciosas uma vez instalado nos dispositivos, entre as quais carregar publicidade no sistema e nas apps do mesmo, ativar módulos diferentes de JavaScript, recolher dados do dispositivo e dos utilizadores, ou redirecionar o tráfego pelo dispositivo, e usar o mesmo como um proxy.

Os investigadores descobriram a existência do Necro em pelo menos duas aplicações populares na Play Store da Google, que contam com milhares de downloads. A primeira foi a “Wuta Camera”, uma aplicação de edição de fotos, que conta com mais de 10,000,000 downloads.

A segunda aplicação onde o mesmo foi descoberto terá sido na Max Browser, que conta com mais de 1 milhão de downloads. Ambas as aplicações foram removidas da Play Store depois de a Google ter sido notificada pelos investigadores. Os programadores das apps afirmam desconhecer a origem do malware, sendo que no caso da Wuta Camera já se encontra disponível uma versão “segura” – embora os dispositivos anteriormente infetados podem ainda contar com o malware no mesmo.

Ambas as aplicações foram infetadas por um SDK conhecido como “Coral SDK”, que se foca na distribuição de publicidade. Este SDK usa código bastante ofuscado para ocultar as suas atividades, e assim evitar que seja identificado tanto pelos programadores como pelos mecanismos de segurança.

Fora da Play Store também foram encontradas dezenas de aplicações com o malware Necro, nomeadamente apps modificadas para certos fins e apps que prometem recursos pagos a custo zero.

É importante que os utilizadores verifiquem os seus dispositivos por aplicações potencialmente suspeitas que tenham sido descarregadas fora da Play Store, ou pelas duas apps descobertas dentro da plataforma da Google.

24/09/2024
Telegram é bloqueado nas entidades governamentais da Ucrânia

O Telegram encontra-se atualmente bloqueado na Ucrânia, depois da National Coordination Centre for Cybersecurity (NCCC) ter limitado o uso da plataforma de mensagens para entidades associadas com o governo, militares e outras infraestruturas consideradas como críticas.

Em causa encontram-se receios de possíveis problemas de segurança nacionais devido ao uso da plataforma. A decisão parte de uma reunião realizada em 19 de Setembro, e onde se verificou que existem riscos associados com o uso da plataforma de mensagens, e as possíveis ligações a entidades russas.

As autoridades ucranianas afirmam que o uso do Telegram pode ser considerado um risco de segurança nacional, sobretudo porque as autoridades russas podem aceder aos conteúdos das mensagens partilhadas dentro da plataforma, incluindo conteúdos que tenham sido eliminados. Isto coloca um sério risco para as operações da Ucrânia perante a guerra com a Rússia.

Além disso, as autoridades encontram-se preocupadas com o aumento de casos onde as entidades russas usam ativamente o Telegram para ataques informáticos, ataques de phishing, distribuição de malware e outras atividades maliciosas, que podem ser usados para ataques diretos a entidades na Ucrânia.

Face a estes receios, a National Coordination Centre for Cybersecurity (NCCC) decidiu bloquear o uso do Telegram em todas as forças ligadas ao governo e militar da Ucrânia, exceto em situações onde o uso seja estritamente necessário.

Apesar disso, o Telegram ainda continua inteiramente acessível na Ucrânia, para todos os utilizadores, e certamente que vai continuar a ser uma das principais formas de comunicação no pais – tendo em conta que, desde a invasão da Rússia, este tem sido usado diariamente para a partilha de informações e comunicação externa.

22/09/2024
Malware propaga-se em notificações do GitHub

Uma nova campanha de malware encontra-se a usar o GitHub para enganar as vítimas, e levar as mesmas a descarregarem malware nos seus sistemas. Esta campanha usa o sistema de notificações do GitHub para propagar o esquema, e foca-se para utilizadores que ativam as notificações dos projetos.

O esquema começa com um utilizador a abrir um novo “problema” com o repositório do GitHub, alegando que existe uma vulnerabilidade de segurança no mesmo. Este ticket contem um link para o “GitHub Scanner”, uma ferramenta que não existe, mas que tenta fazer-se passar como um sistema de verificação da plataforma por falhas e vulnerabilidades.

O ticket criado leva os utilizadores para um site externo, não relacionado com a plataforma, onde os mesmos são incentivados a descarregarem malware para sistemas Windows. A piorar a situação encontra-se o facto de este ticket ser enviado também como um email para todas as pessoas que estejam subscritas no projeto.

Os utilizadores podem receber o conteúdo do ticket diretamente no email, o que inclui um link direto para o site malicioso. Desta forma, os utilizadores podem acabar por descarregar o malware sem sequer irem diretamente ao GitHub. Isto pode acontecer até mesmo depois do ticket ser removido da plataforma pelos administradores do projeto, tendo em conta que o email continua nas caixas de entrada dos utilizadores.

Como os emails de notificação do GitHub são considerados fidedignos pela maioria das plataformas, estes podem acabar na caixa de entrada dos utilizadores sem filtragem direta.

O site que os utilizadores são levados a visitar também conta com uma técnica interessante de ataque. Invés de levar ao download direto de malware, o site apresenta os passos que os utilizadores devem fazer para executar um script malicioso no sistema.

O conteúdo do script é automaticamente copiado para a área de transferência do sistema quando o site é aberto, sendo que os utilizadores apenas necessitam de seguir os passos indicados no site para o executar – envolvendo o atalho de abrir a caixa de “Executar” do Windows para colar o comando.

Para os utilizadores em geral, sobretudo programadores com estas notificações do GitHub ativas, o recomendado será terem extremo cuidado com todas as mensagens recebidas e o conteúdo das mesmas, evitando aceder a links externos desconhecidos.

19/09/2024
Malware Vo1d infeta 1.3 milhões de boxes de TV Android
Um grupo de investigadores revelou ter descoberto uma rede de malware que, ao longo de vários anos, terá infetado mais de 1.3 milhões de boxes de TV com o sistema Android. O malware, conhecido como Vo1d, permite aos atacantes terem total controlo do sistema da box remotamente.

De acordo com a empresa de segurança Dr.Web, mais de 1.3 milhões de dispositivos contendo este malware foram descobertos nos últimos meses, encontrando-se ainda ativos. A maioria encontra-se em países como Brasil, Marrocos, Paquistão, Rússia, Argentina, Tunísia e Malásia.

O malware encontra-se presente nos seguintes modelos de boxes para TV, com diferentes versões do Android:
- Android 7.1.2; R4 Build/NHG47K
- Android 12.1; TV BOX Build/NHG47K
- Android 10.1; KJ-SMART4KVIP Build/NHG47K
Dependendo do sistema, o malware Vo1d altera os scripts de início do sistema, para proceder com a reativação do malware caso o mesmo seja desativado ou removido por algum motivo. Desta forma, o mesmo é persistente mesmo depois de ser feito o reset completo da box.

O malware possui ainda a capacidade de se dividir em diferentes processos, que podem realizar diferentes ações no sistema. Entre estas encontra-se a capacidade de reiniciar o processo do malware, ativar o backdoor para permitir acesso remoto, entre outros.

Os atacantes podem, com este acesso, obter praticamente controlo completo das boxes, e usar as mesmas para as mais variadas atividades, desde roubo de credenciais a uso das ligações para ataques remotos.

Embora se desconheça como as boxes afetadas pelo malware estão a ser atacadas inicialmente, os investigadores acreditam que pode passar pela exploração de falhas do sistema operativo Android, tendo em conta que os sistemas afetados possuem todas versões antigas do sistema da Google.

Existe ainda a possibilidade de o malware se encontrar ativo devido à instalação de aplicações de fontes externas, que podem ter sido modificadas para integrar malware nas mesmas. De momento não existem indícios de que o malware tenha sido instalado de origem das fábricas, portanto o ataque ocorre depois desta fase.

As boxes em questão usam o sistema Android Open Source Project (AOSP), que é a versão aberta do Android, e não o sistema Android TV, que conta com a certificação para uso dos Serviços da Google e da Play Store – o que aumenta a probabilidade de o malware se instalar via fontes de terceiros, como apps descarregadas da internet, tendo em conta que boxes com AOSP vulgarmente não possuem acesso à Google Play Store.
16/09/2024
Malware explora função do Chrome para bloquear utilizadores e roubar senhas

Um novo malware encontra-se a explorar uma falha no navegador do Google Chrome, usando algumas funcionalidades do mesmo para bloquear o acesso dos utilizadores ao sistema, e para roubar dados de login que estejam guardados no mesmo.

Embora o uso de Gestores de senhas externos seja sempre recomendado, ainda existem muitos utilizadores que optam por manter as suas senhas guardadas no gestor de senhas integrado no navegador.

O malware agora descoberto explora uma falha no navegador para bloquear os utilizadores do sistema, enquanto rouba os dados de acesso guardados no mesmo. De acordo com os investigadores da OALABS, o malware começa por bloquear os utilizadores numa página de login da Google, que é apresentada em ecrã completo no sistema. As teclas ESC e F11 são também desativadas, para impedir os utilizadores de saírem do ecrã completo.

A ideia será levar os utilizadores a fazerem login nas suas contas da Google, com o objetivo de “desbloquearem” o PC e continuarem a usar o mesmo. Caso isso seja feito, o malware procede com o roubo de todas as senhas no Gestor de Senhas do Chrome, enviando as mesmas para os atacantes.

O ataque explora uma funcionalidade existente em vários navegadores, conhecida como modo “kiosk”, um modo que normalmente é usado quando se pretende que o navegador fique permanentemente visível num ecrã – como um quiosque público – bloqueando o acesso a outras partes do sistema.

O malware explora esta funcionalidade para colocar uma página de login permanentemente ativa no navegador, que fica “bloqueado” em ecrã completo para a mesma. Em segundo plano, o script do malware identifica quando o utilizador realiza o login na sua conta da Google, e procede com o roubo dos dados existentes no Gestor de Senhas do mesmo.

Os utilizadores que possam verificar-se nesta situação devem evitar introduzir dados de login das suas contas nos sites indicados. Como os atalhos normais para sair do ecrã completo não funcionam neste modo, é necessário usar outros, como o Alt+F4 ou o CTRL+ALT+DEL. Estes podem permitir sair do ecrã ou terminar o processo do navegador.

Tendo em conta que o malware ainda se encontra no sistema, é recomendado de proceder a uma verificação completa do mesmo com um programa de antivírus, e evitar introduzir dados sensíveis no mesmo.

16/09/2024
Esquema usa nome da pessoa parceira numa relação para enganar vítimas

Os criminosos encontram-se sempre a procurar novas formas de enganar as suas vítimas, o que passa também por lançar engodos cada vez mais sofisticados. Um dos que tem estado a ser bastante propagado passa por um clássico esquema de extorsão, mas focada para casais.

O esquema é conhecido como sextortion, e normalmente, os atacantes afirmam ter acedido ao sistema das vítimas, de onde recolheram conteúdos sensíveis dos mesmos ou afirmam ter gravado a vítima pela webcam em vários atos sexuais. Para evitar que os conteúdos sejam enviados para os contactos e familiares, os atacantes pedem normalmente uma quantia de dinheiro.

No entanto, este esquema encontra-se agora a evoluir, e foca-se agora em tentar dar mais credibilidade usando o nome do parceiro de um casal, e referindo que existem provas que o mesmo está a trair a pessoa.

O esquema começa com as potenciais vítimas a receberem uma mensagem de email, a indicar que existem provas que o seu parceiro se encontra a trair. A mensagem tenta dar mais credibilidade ao indicar o nome da pessoa em questão – e não a da própria vítima.

Na sua base, a mensagem indica que a pessoa X (o nome do parceiro da relação) encontra-se a ter um caso romântico com um desconhecido, e que as provas são fornecidas num link.

Se os utilizadores acederem ao link, são direcionados para um site onde alegadamente podem descarregar essa informação, mas onde podem ser fornecidos vários dados pessoais e sensíveis, ou até levar ao download de malware.

O esquema ganha alguma credibilidade porque não usa diretamente o nome da pessoa a que se destina, mas de outra na sua vida que não é normalmente associada. Afinal de contas, nem toda a gente cria contas na internet a indicar que é casado ou que se encontra numa relação, e depois fornece os dados do parceiro/a.

Por agora, o esquema parece focar-se mais em utilizadores nos EUA, mas ainda se desconhecem detalhes de onde poderá estar a ser recolhida a informação para elaborar estas mensagens. Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter cuidado com qualquer mensagem enviada de remetentes desconhecidos – mesmo que pareça ser legítima.

08/09/2024
Ataque RAMBO é capaz de roubar dados de sistemas totalmente isolados

Um novo ataque foi descoberto, que pode afetar até sistemas totalmente isolados, usando para tal a RAM do mesmo.

Apelidado de RAMBO (Radiation of Air-gapped Memory Bus for Offense), este ataque é capaz de roubar informação dos sistemas através da verificação da radiação eletromagnética que é emitida pela RAM do mesmo. Isto permite que o ataque sejam realizado em sistemas totalmente isolados, sem qualquer ligação ao mundo exterior.

Este género de sistemas são normalmente usados em aplicações críticas, onde é necessário manter o mesmo totalmente isolado de potenciais ataques. Isto inclui cortar todo o formato de comunicações externas que o sistema pode ter. Embora estes sistemas estejam protegidos de ataques externos pela rede, ainda podem ser comprometidos por malware que seja inserido por outros formatos – por exemplo, por uma USB maliciosa.

Se um destes sistemas for infetado, um grupo de investigadores revelou que é possível obter dados através da radiação que a RAM emite do sistema. Todos os dispositivos eletrónicos emitem radiação eletromagnética, incluindo a RAM.

O ataque consiste em conseguir que um atacante insira um malware especifico no sistema – que pode ser aparentemente legitimo e contornar outras medidas de proteção existentes nesse sistema. Se tal instalação for realizada, o malware altera a frequência de funcionamento da RAM, de forma a que seja possível enviar dados para sistemas externos, capazes de recolher os sinais.

O malware é capaz de alterar o formato de como os dados são escritos e lidos da RAM, alterando a sua frequência, o que acaba por alterar também os valores da radiação. Com um dispositivo externo é depois possível obter essas alterações, e converter as mesmas em dados binários – que podem assim conter a informação roubada do sistema.

Este ataque permite a transferência de dados a 1000 bps (bits por segundo), o que se traduz em cerca de 0.125 KB/s. Por exemplo, para extrair 1 MB de dados dos sistemas, seria necessário cerca de 2.2 horas a enviar os sinais.

Os investigadores apontam ainda que o sistema pode ser usado para registar as teclas pressionadas no sistema, o que pode abrir portas para um keylogger rudimentar. Isto pode permitir roubar dados de forma consideravelmente mais rápida e eficiente, sem ter de ser diretamente pelo roubo dos ficheiros.

Os investigadores conseguiram ainda realizar este ataque até cerca de 450 cm de distância do alvo, com uma taxa de erro entre 2 a 4%. Quando a recolha é feita a apenas 7 cm a taxa de erro cai para 0%.

Existem algumas proteções que podem ser aplicadas para evitar este género de ataques, como a de aplicar sistemas no local para baralhar a radiação ou bloquear que a mesma saia da zona onde o PC se encontra. Outra medida será garantir uma distância segura para acesso limitado ao sistema, acima dos 450 cm de distância.

Embora o conceito indique que seja possível o roubo de dados, será extremamente improvável que a técnica possa ser usada no mundo real para o roubo de informação sensível.

08/09/2024
Cuidado: 280 apps descobertas a roubar carteiras de criptomoedas em Android

Deve-se sempre ter cuidado com as aplicações que são instaladas nos dispositivos móveis, mas mesmo com todas as precauções, por vezes as ameaças surgem em apps que são aparentemente inofensivas.

Os investigadores da McAfee revelaram ter descoberto 280 aplicações para Android, que estariam a fazer passar-se por apps legítimas, mas que em segundo plano poderiam roubar carteiras de criptomoedas existentes nos dispositivos dos utilizadores.

O malware encontrava-se mascarado atrás de apps que aparentavam ter as mais variadas funções, e que embora tivessem uma imagem legitima, eram capazes de analisar as carteiras de criptomoedas nos dispositivos das vítimas e enviar os dados das mesmas para os atacantes.

A empresa de segurança não revelou o nome das aplicações descobertas, mas indica que estas fazem-se passar por várias categorias, desde apps do governo, bancos e utilitários em geral.

Para começar, o malware começa por tentar obter a chave de recuperação das carteiras de criptomoedas, com o objetivo de poder roubar as mesmas em outros dispositivos. Esta chave é normalmente composta por 12, 18 ou 24 palavras diferentes, e serve como forma de restaurar as carteiras em várias plataformas.

Como estas chaves tendem a ser complicadas de decorar, a maioria dos utilizadores optam por realizar capturas de ecrã das mesmas. E é neste ponto que o malware pode atacar, analisando as fotos dos utilizadores por aquelas que se parecem com chaves de recuperação.

Usando sistemas OCR, o malware é capaz de analisar as palavras existentes na imagem, e criar uma lista das mesmas, que é depois enviada para os sistemas em controlo dos atacantes. Desta forma, a carteira pode depois ser recuperada em outros sistemas, e usada para roubar os fundos ou atividades maliciosas.

Os investigadores indicam que as aplicações maliciosas não se encontram na Google Play Store, portanto estas teriam de ser instaladas de fontes terceiras, como sites pela internet ou outras lojas de apps alternativas com menos rigor de segurança. As mesmas eram ainda propagadas em campanhas de publicidade maliciosa, por diversas redes sociais e websites.

Para realizar as atividades, estas apps procediam ainda ao pedido de várias permissões, que embora aparentemente legitimas, eram usadas para garantir acesso aos dados dos utilizadores. Por exemplo, algumas apps requeriam acesso aos dados das mensagens SMS, sobre o pretexto que seria para validar automaticamente códigos de ativação.

Ao mesmo tempo, este acesso era ainda usado para roubar códigos de autenticação em duas etapas, que poderiam depois ser usados para aceder a contas e outras plataformas.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos locais de onde descarregam as suas aplicações, e devem sempre optar por locais seguros ou com um controlo rigoroso das apps enviadas nos mesmos – embora a Play Store da Google não esteja imune a malware, é ainda um dos locais mais seguros para instalar apps em Android.

07/09/2024
Falsa ferramenta para atacar contas do OnlyFans infeta os atacantes

Uma nova campanha foi descoberta onde os hackers prometem fornecer uma ferramenta focada em roubar contas do OnlyFans, mas que acaba por instalar malware no sistema dos utilizadores que a tentem usar, levando ao roubo de dados guardados no mesmo.

De acordo com a investigação da empresa Veriti Research, esta campanha de malware tenta tirar proveito de quem se encontra a tentar explorar utilizadores desta plataforma, com intenções de roubar o acesso às suas contas. No entanto, invés dessa tarefa, a ferramenta alegadamente usada para tal acaba por instalar um infostealer nos sistemas, que procede ao roubo de dados de login guardados no mesmo.

Os criadores de conteúdos no OnlyFans tendem a obter altos rendimentos pela plataforma, o que também faz com que as suas contas sejam altamente focadas em ataques. No entanto, esta ferramenta tira proveito da procura para encontrar algo para realizar esse ataque, e explora os atacantes para serem eles próprios as vítimas.

Depois de instalada a ferramenta, esta procede com o download de malware para o sistema, que procede com o roubo de informações de login guardada no navegador e outras aplicações. O malware tenta ainda aplicar técnicas para evitar a sua deteção por eventuais programas de segurança que possam encontrar-se no sistema.

A ideia do malware atacar quem pretendia ser o atacante pode ser algo “poética”, mas o objetivo deste género de ferramentas foca-se em utilizadores novatos, que por vezes possuem poucos conhecimentos e pretendem usar uma ferramenta já pronta para realizar os ataques.

05/09/2024
Ainda no Windows 10? Está a menos de um ano de perder o suporte oficial

Ainda se encontra a usar o Windows 10? Talvez seja agora uma boa altura para começar a considerar possíveis alternativas, seja para o upgrade ou para alterar completamente o sistema. Isto porque é importante relembrar que o Windows 10 está previsto de deixar de ser suportado por completo em 2025, daqui a pouco menos de um ano.

Como estava previsto, o Windows 10 vai deixar de ser oficialmente suportado pela Microsoft (nas suas versões Home e Pro) a 14 de Outubro de 2025. Ou seja, estamos a menos de um ano de um dos (ainda) mais usados sistemas operativos deixar de receber suporte oficial.

> Mas o que vai realmente acontecer?

Quando a data chegar, inicialmente os utilizadores não vão sentir grandes diferenças. O Windows 10 vai continuar a funcionar na normalidade, e nada vai mudar. Os utilizadores ainda o poderão usar, bem como todas as suas aplicações.

No entanto, a partir dessa altura, podem começar a surgir problemas noutras frentes. O sistema deixa de receber atualizações de forma oficial, portanto ficam abertas possíveis falhas e vulnerabilidades, que podem ser usadas para ataques de malware.

Embora para muitos utilizadores, as atualizações mensais que a Microsoft fornece possam ser consideradas como “incómodo”, na realidade estas são bastante importantes. As mesmas corrigem falhas ativamente exploradas para ataques e esquemas.

Quando o sistema deixar de ser suportado, estas falhas não vão ser corrigidas, e eventualmente, mais ataques vão ser feitos às mesmas.

De notar que, embora o sistema deixe de receber atualizações, os programas que eventualmente ainda se encontrem no mesmo – nomeadamente programas de terceiros – ainda podem continuar a receber atualizações por mais algum tempo. A medida apenas se aplica à base do sistema operativo, não a aplicações de terceiros.

Essas aplicações, eventualmente, devem também deixar de ser suportadas no Windows 10, mas isso irá variar dependendo dos programadores das mesmas.

Para quem, mesmo assim, ainda pretenda manter-se no Windows 10, a única alternativa da altura será inscrever-se no Extended Security Updates (ESU). Este programa da Microsoft garante um período adicional de tempo onde serão fornecidas atualizações de segurança, para permitir aos utilizadores realizarem a mudança.

No Windows 7, o programa estava disponível apenas para empresas, mas para o Windows 10 a Microsoft vai fornecer o mesmo para todos os utilizadores que estejam dispostos a pagar. Isto pode permitir continuar a receber atualizações até 2028, mas com um custo gradualmente mais elevado a cada ano.

> Portanto, o que fazer?

Se ainda está no Windows 10, a melhor opção será começar a pensar com antecedência. Programe o upgrade ou veja quais as alternativas.

Na maioria dos casos, o upgrade para o Windows 11 pode ser feito de forma segura – supondo que o computador suporta os requisitos do novo sistema. A tarefa pode até ser feita sem perda dos dados existentes.

Porém, para quem pretenda um caminho alternativo, adotar uma distribuição de Linux também é uma possibilidade, embora isso venha com as suas próprias limitações – como a de nem todos os programas existirem concretamente para este sistema, e de ser necessário algum conhecimento técnico de tempos a tempos.

As distros de Linux evoluíram consideravelmente, e existem bastantes adaptadas mesmo par utilizadores novatos, mas ainda assim trata-se de um sistema completamente diferente do Windows.

Por fim, a última opção será… não fazer nada. O Windows 10 vai continuar a funcionar. Mas esta via não é algo de todo recomendado, e não o aconselhamos também. Falhas de segurança são cada vez mais graves e usadas para ataques, portanto deixar o sistema inseguro é abrir portas para grandes dores de cabeça no futuro, até mais do que pensar no upgrade.

31/08/2024
Malware explora falha em câmaras de segurança com mais de cinco anos

Um novo malware foi recentemente descoberto, que se encontra a infetar sistemas de câmaras de segurança antigas, que deixaram de receber atualizações e encontram-se com configurações inseguras que permitem a sua exploração.

O malware explora uma falha com mais de cinco anos, e que afeta várias câmaras da AVTECH. Os modelos em vista deste malware já se encontram descontinuados, e como tal, não vão receber correções para a falha, ficando abertos a possíveis ataques.

A falha, quando explorada, permite que os utilizadores remotos enviem comandos diretamente para o sistema de brilho da transmissão da câmara, o que permite realizar várias ações na mesma ou abrir portas para permitir o acesso aos dados desta.

Esta falha é relativamente simples de explorar, o que agrava ainda mais a situação, já que basta aos atacantes terem acesso a uma interface de controlo da mesma para lançarem o pedido especial para explorar a falha. Isto pode ocorrer em configurações de segurança incorretamente aplicadas na câmara.

O problema afeta todos os modelos de câmaras AVTECH AVM1203, mesmo com a versão mais recente atualmente existente. Tendo em conta que estes modelos já não são oficialmente suportados, o fabricante das mesmas não vai lançar uma correção.

De acordo com a empresa de segurança Akamai, já existem campanhas que se focam em encontrar câmaras deste formato inseguras pela internet, com o objetivo de explorar a falha. Os primeiros indícios de ataques à mesma começaram a surgir em Março de 2024, mas têm vindo a aumentar. Existem alguns indícios de que os ataques podem ter começado em Dezembro de 2023, mas apenas mais tarde viriam a ser ativamente explorados.

Não existe diretamente uma forma de corrigir este problema, sem ser substituir as câmaras por modelos mais recentes atualizados, e que ainda tenham suporte da fabricante.

29/08/2024
Malware infiltra-se como plugin para aplicação Pidgin

O Pidgin é uma popular aplicação de mensagens, que suporta vários protocolos e plataformas de comunicação instantânea. Um dos destaques encontra-se também no suporte a plugins, que aumentam ainda mais as suas capacidades.

Porém, foi recentemente descoberto que um plugin malicioso pode ter estado, durante algum tempo, a ser usado para roubar dados dos utilizadores. O ScreenShareOTR era um plugin que se encontrava na loja oficial da entidade responsável pela aplicação, mas que estaria a recolher os conteúdos escritos no sistema dos utilizadores – usando um keylogger.

O plugin prometia oferecer suporte para partilha de ecrã via o protocolo Off-The-Record (OTR), e encontrava-se disponível tanto para Windows como Linux. No entanto, os investigadores da ESET, revelaram ter descoberto que, em segundo plano, o plugin encontrava-se a recolher todos os textos escritos pelos utilizadores, enviando a informação para os servidores em controlo dos atacantes.

Estes dados poderiam incluir informações de login e outras consideradas sensíveis, que eram depois usadas para os mais variados ataques e esquemas.

Tendo em conta que os plugins integram-se fortemente com a aplicação, e com o sistema, este teria acesso a bastante informação dos utilizadores. Quando o plugin foi descoberto como malicioso, os investigadores contactaram os responsáveis pela aplicação, que prontamente removeram o mesmo da lista oficial.

Embora estivesse disponível no repositório oficial de plugins da aplicação, o criador do Pidgin afirma desconhecer o possível número de utilizadores afetados pelo mesmo, tendo em conta que não são contabilizados os downloads ou instalações feitas de plugins da aplicação.

De forma a evitar que a situação possa ocorrer novamente, a partir de agora apenas serão aceites no repositório oficial de plugins para o Pidgin os que estejam disponíveis em código aberto, e onde se possa analisar inteiramente as funcionalidades realizadas.

28/08/2024
Microsoft confirma falhas de mensagens no Exchange Online

A Microsoft confirmou que uma falha no Exchange Online terá começado a marcar várias mensagens de email como sendo maliciosas, de forma incorreta.

Os problemas começaram a ser reportados pelos utilizadores durante o dia de ontem, onde várias mensagens enviadas via o Exchange Online estariam a ser consideradas incorretamente como contendo malware ou spam. Este problema ocorria até mesmo em mensagens completamente legitimas ou em branco.

A falha aparenta ter ocorrido apenas em mensagens de saída dos sistemas, e não nas de entrada, que continuaram a ser filtradas corretamente. Ao mesmo tempo, a falha não se verificava em todas as mensagens, sendo que era mais provável de ocorrer em mensagens com imagens ou reencaminhadas.

A Microsoft terá entretanto confirmado que a falha teria ocorrido do lado da empresa, nomeadamente com o seu sistema de identificação de malware, onde certos conteúdos estariam a ativar falsos positivos. A empresa afirma ter aplicado a correção do problema, sendo que os sistemas aparentam encontrar-se a funcionar como esperado atualmente.

27/08/2024
Windows Recall para Windows 11 vai começar a chegar em Outubro

A Microsoft confirmou que a controversa funcionalidade do Windows Recall vai começar a ser lançada para sistemas Copilot+ em Outubro.

Esta funcionalidade foi algo que a Microsoft revelou para o futuro dos sistemas focados em IA, onde a mesma é usada para “relembrar” todas as tarefas que foram feitas no Windows. A funcionalidade usa IA em sistemas Copilot+ para recolher todas as tarefas que os utilizadores realizam dentro do Windows, apresentando as mesmas como uma linha de tempo.

Na altura em que a Microsoft revelou o Windows Recall, o mesmo foi rapidamente alvo de duras criticas tanto a nível da privacidade como da segurança. De um lado, existe quem considere que esta recolha de informação vai ser uma dor de cabeça para gerir a nível da privacidade, com o potencial de dados sensíveis também serem armazenados. Por outro, existem ainda questões sobre a forma como os dados podem ser usados por malware para recolher informação sensível.

A Microsoft garante que todos os dados do Windows Recall permanecem armazenados apenas de forma local, mas ainda assim, isso não aliviou os receios dos problemas. Tanto que a empresa teve de reverter os planos para lançar a funcionalidade, indicando que iria focar-se em realizar algumas melhorias.

Agora, a empresa volta a tentar relançar a novidade com algumas melhorias. De acordo com o blog do Windows, a funcionalidade vai começar a chegar aos sistemas compatíveis durante o mês de Outubro – inicialmente para os utilizadores dentro do programa Insider.

Ao mesmo tempo, a Microsoft afirma que foram feitas melhorias ao sistema para garantir que vão de encontro com o feedback obtido pela comunidade, e que mais detalhes serão revelados em breve sobre as mesmas.

21/08/2024
Falha zero-day explorada em ataques no Windows por grupo da Coreia do Norte

O grupo de hackers Lazarus, bem conhecido das autoridades pelas suas relações com o governo da Coreia do Norte, encontra-se a explorar uma falha zero-day no Windows para levar à instalação de um rootkit no sistema.

Recentemente a Microsoft lançou uma nova atualização para os sistemas Windows, com o Patch Tuesday, sendo que uma das vulnerabilidades corrigidas seria esta falha zero-day. A falha estaria a ser usada pelo grupo para instalar versões modificadas de drivers no sistema, que poderiam permitir ataques em larga escala e roubo de dados.

A falha encontrava-se no Ancillary Function Driver for WinSock (AFD.sys), uma driver usada para a gestão do protocolo Winsock no kernel do Windows. Ao explorar a falha, os atacantes poderiam modificar a mesma para usarem uma versão maliciosamente modificada, que poderia ser usada como porta de entrada para ataques a sistemas Windows.

A falha foi inicialmente encontrava pela empresa de segurança Gen Digital, sendo que os ataques encontram-se a ser realizados desde meados de Junho. A mesma estaria a ser usada para desativar alguns mecanismos de segurança do Windows e de software de segurança que se possa encontrar instalado no mesmo.

“Esta falha permitiu-lhes obter acesso não autorizado a áreas sensíveis do sistema. Também descobrimos que utilizaram um tipo especial de malware chamado Fudmodule para ocultar as suas atividades do software de segurança.”

Um ataque Bring Your Own Vulnerable Driver ocorre quando os atacantes instalam controladores com vulnerabilidades conhecidas em máquinas alvo, que são depois exploradas para obter privilégios ao nível do kernel. Os agentes maliciosos frequentemente abusam de controladores de terceiros, como os de antivírus ou hardware, que exigem altos privilégios para interagir com o kernel.

Algo que torna esta vulnerabilidade particularmente grave encontra-se no facto de afetar a driver AFD.sys, que se encontra em praticamente todas as instalações do Windows. Portanto, esta poderia ser ativamente explorada num elevado número de dispositivos.

Para prevenir a exploração da falha, os utilizadores são aconselhados a atualizarem as suas instalações do Windows para as versões mais recentes, nomeadamente com a instalação da mais recente atualização do Patch Tuesday.

20/08/2024
Autoridades dos EUA apreenderam domínio da plataforma Streameast

As autoridades dos EUA confirmaram ter apreendido o domínio de um dos maiores portais de transmissão ilegal de eventos desportivos, o conhecido site Streameast. Este site é um dos mais conhecidos pela partilha de transmissões em direto para grandes eventos desportivos nos EUA.

Embora a maioria do tráfego tenha origem nos EUA, o site possuía acessos de vários outros países, tendo em conta o interesse nos eventos que ocorrem na região. O Streameast alegava ter mais de 15 milhões de visitantes mensais, valor que tem vindo a aumentar consideravelmente nos últimos anos.

Ao mesmo tempo, as autoridades começaram também a ficar mais atentas a este formato de streaming de conteúdos ilegais, sendo que a apreensão do domínio principal do Streameast é um dos exemplos das medidas aplicadas no combate ao streaming ilegal de conteúdos.

Os utilizadores que tentem aceder hoje ao site devem verificar uma mensagem das autoridades, indicando que o nome do domínio foi apreendido pela Homeland Security Investigations (HSI).

Esta medida foi aplicada ao domino principal da plataforma, mas também a alguns domínios adicionais usados como “backup”. No entanto, apesar disso, a plataforma aparenta continuar ativa e a funcionar sobre outros domínios que mantinha como backup.

Ou seja, embora as autoridades tenham conseguido apreender o domínio principal, o site ainda se encontra disponível por outros endereços que foram, ao longo do tempo, sido registados. Para já, os mesmos ainda se encontram ativos, mas é possível que venham a ser eventualmente desativados pela mesma autoridade.

A partir do Discord, os administradores do site indicaram ainda que não possuem intenções de terminar o projeto, tendo sido deixado claro que o mesmo vai manter-se ativo sobre os endereços alternativos.

Os administradores deixaram ainda críticas às autoridades, em parte porque focaram-se nesta plataforma invés de outras que continuam ativas e usam técnicas agressivas de spam e malware para infetar os dispositivos dos utilizadores, criando consideravelmente mais problemas do que apenas a transmissão ilegal de conteúdos.

19/08/2024
AMD não vai corrigir falha Sinkclose em todos os processadores

Alguns processadores da AMD foram recentemente descobertos com uma vulnerabilidade de segurança, conhecida como “Sinkclose”. Esta falha pode permitir que os sistemas sejam explorados para as mais variadas atividades maliciosas.

No entanto, embora a AMD tenha confirmado que a falha afeta uma longa lista de processadores, incluindo alguns modelos fabricados desde 2006, apenas os processadores mais recentes realmente vão receber a correção da falha.

A atualização vai ser disponibilizada via uma atualização da BIOS para as motherboards, onde os fabricantes das mesmas ainda necessitam de fornecer a atualização para os utilizadores – mesmo que a AMD já tenha fornecido o patch. No entanto, a atualização não deverá chegar a todos os processadores no mercado.

Isto porque a AMD apenas confirmou que modelos lançados depois de 2020 é que irão receber a correção. Todos os processadores de datas anteriores vão permanecer com a falha ativa e capaz de ser explorada.

Tendo em conta que a falha apenas pode ser corrigida com uma atualização do firmware, não existe muito a fazer para prevenir a mesma. De relembrar que a falha afeta o System Management Mode (SMM), um sistema de elevados privilégios dentro do sistema e do processador, que pode ser explorado para ataques – embora o SMM esteja presente em sistemas Intel e AMD, a falha apenas pode ser replicada em sistemas AMD.

A Sinkclose permite que os atacantes possam enviar malware que permanece oculto da maioria dos sistemas de segurança, e que pode permanecer nos sistemas até mesmo se a reinstalação do sistema operativo for realizada. Esta é considerada uma grave falha, que pode levar para extensos ataques, mas que a AMD parece não pretender corrigir em processadores mais antigos.

No caso de sistemas desktop tradicionais, a correção deve ser aplicada para os processadores Ryzen 3000 e mais recentes. Alguns modelos Ryzen 1000 e 2000 também serão corrigidos, mas serão bastante limitados.

Para os utilizadores, estes devem verificar se existem novas atualizações da BIOS existentes para as suas placas, nos sites dos fabricantes das mesmas, tendo em conta que será neste ponto que a correção será aplicada.

13/08/2024
Malware espião descoberto em apps da Google Play Store
O Android é um sistema bastante extenso e aberto, o que também abre portas para os ciber criminosos aproveitarem para espalhar malware. Uma das formas de tal passa pela instalação de apps maliciosas, que de tempos a tempos podem surgir em diferentes fontes – ou até mesmo em plataformas oficiais como a Play Store da Google.

Recentemente, a empresa de segurança Kaspersky revelou ter descoberto um conjunto de apps maliciosas, que estariam a usar os dispositivos dos utilizadores para roubarem informação potencialmente sensível e privada. As aplicações encontravam-se infetadas com um malware conhecido como “Mandrake”, que possui como objetivo espiar os utilizadores e recolher dados dos seus dispositivos.

Algumas das aplicações encontravam-se disponíveis na Google Play Store, e teriam mais de dois anos desde o lançamento, mas desconhece-se se as versões mais antigas também teriam o malware ou se foram apenas feitas mudanças para tal nas versões mais recentes – uma técnica normalmente usada para evitar a identificação de malware em apps novas.

As apps em questão são:
- AirFS – File Sharing via Wi-Fi
- Astro Explorer
- Amber for Genshin
- CryptoPulsing
- Brain Matrix
Caso tenha alguma das aplicações instaladas no seu dispositivo, é recomendado que se proceda à sua remoção imediata. Além disso, recomenda-se cautela com os dados que podem ter sido recolhidos pelas mesmas, visto que podem englobar dados de login em diferentes plataformas ou até dados bancários.
11/08/2024
SinkClose: vulnerabilidade afeta milhares de processadores AMD
A AMD encontra-se a alertar para uma nova vulnerabilidade, descoberta nos seus processadores mais recentes e que pode afetar várias gerações de modelos no mercado. A falha, apelidada de SinkClose, pode afetar vários modelos de processadores EPYC, Ryzen e Threadripper.

Esta falha pode ser usada para permitir aos atacantes obterem acesso ao kernel do sistema, o que pode permitir a instalação de malware praticamente indetetável pelos sistemas de segurança tradicionais.

Se explorada, a falha pode permitir aos atacantes obterem acesso ao Ring -2 do kernel, que é um dos mais elevados a nível de permissões dentro do sistema. Este é normalmente onde se encontra o System Management Mode (SMM), que controla a gestão de energia, hardware, segurança e outras operações de baixo nível.

Tendo em conta a sua utilização bastante privilegiada, o SMM encontra-se isolado do sistema operativo, o que normalmente impede que o mesmo seja alvo de ataques e de malware.

No entanto, a falha agora identificada pela empresa IOActive permite que malware possa conseguir obter acesso a esta parte do sistema. O Sinkclose permite que os atacantes tenham acesso a um nível elevado de privilégios dentro do sistema, que pode permitir instalar malware no mesmo que poderá passar despercebido para a grande maioria dos sistemas de segurança.

Segundo os investigadores, a falha manteve-se indetetável por mais dde 20 anos, sendo que pode afetar uma grande quantidade de processadores que foram lançados neste período de tempo.

Segundo o comunicado da AMD, a falha afeta os seguintes processadores:
- EPYC 1ª, 2ª, 3ª e 4ª gerações
- EPYC Embedded 3000, 7002, 7003 e 9003, R1000, R2000, 5000 e 7000
- Ryzen Embedded V1000, V2000 e V3000
- Séries Ryzen 3000, 5000, 4000, 7000 e 8000
- Séries Ryzen 3000 Mobile, 5000 Mobile, 4000 Mobile e 7000 Mobile
- Séries Ryzen Threadripper 3000 e 7000
- AMD Threadripper PRO (Castle Peak WS SP3, Chagall WS)
- AMD Athlon série 3000 Mobile (Dali, Pollock)
- AMD Instinct MI300A
Embora a possibilidade de um utilizador vulgar ser afetado por esta falha ser relativamente baixa, ainda assim é uma porta de entrada para possíveis ataques mais sofisticados. A mesma pode começar a ser explorada para ataques diretos aos sistemas, o que pode tornar malware atualmente existente ainda mais perigoso.

A AMD confirmou que se encontra a disponibilizar correções a nível de firmware para os modelos afetados, mas de momento nem todos poderão receber as atualizações. Além disso, os modelos de processadores mais antigos eventualmente não deverão receber qualquer atualização, tendo em conta que podem até já ter deixado de receber suporte direto de praticamente todos os fabricantes.

No entanto, a falha pode ser consideravelmente importante para empresas que usem sistemas com processadores AMD, sobretudo as que tenham informação particularmente sensível.
09/08/2024
Extensões do Chrome e Edge usadas para instalar malware
Uma das capacidades dos navegadores atuais encontra-se na de expandir as suas funções com o uso de extensões. No entanto, se não se tiver atenção, esta pode também ser uma forma de acabar com malware nos sistemas.

As extensões são adições úteis para os navegadores, mas que também podem causar algumas dores de cabeça caso sejam exploradas para ataques. E de tempos a tempos, surgem alguns caso de ataques levados a cabo por extensões maliciosas.

Recentemente foi descoberta uma nova campanha de malware focada exatamente nisso. A campanha terá infetado mais de 300 mil computadores, através de extensões maliciosas que se encontravam nas plataformas do Chrome e Edge.

De acordo com a empresa de segurança ReasonLabs, as extensões eram o ponto inicial do ataque, que depois iniciava a instalação do malware no sistema. As extensões eram propagadas sobretudo sobre falsos instaladores, distribuídos por sites de conteúdos piratas, que instalavam as mesmas nos sistemas.

Estes instaladores encontravam-se digitalmente assinados pela empresa Tommy Tech LTD, o que dava mais credibilidade aos mesmos e poderia também evitar que fossem identificados pela maioria dos softwares de segurança.

No entanto, depois de ser feita a instalação, o malware criava uma tarefa agendada no sistema para instalar automaticamente as extensões no Chrome e Edge, que eram descarregadas diretamente das lojas de cada uma das plataformas.

A lista de extensões usadas para o esquema inclui:
- Custom Search Bar – Mais de 40 mil utilizadores
- yglSearch – Mais de 40 mil utilizadores
- Qcom search bar – Mais de 40 utilizadores
- Qtr Search – Mais de 6 mil utilizadores
- Micro Search Chrome Extension – Mais de 180 mil utilizadores (removido da Chrome Web Store)
- Active Search Bar – Mais de 20 mil utilizadores (removido da Chrome Web Store)
- Your Search Bar – Mais de 40 mil utilizadores (removido da Chrome Web Store)
- Safe Search Eng – Mais de 35 mil utilizadores (removido da Chrome Web Store)
- Lax Search – Mais de 600 utilizadores (removido da Chrome Web Store)
- Simple New Tab – Mais de 100 milhões de utilizadores (removido da loja Edge)
- Cleaner New Tab – Mais de 2 mil utilizadores (removido da loja Edge)
- NewTab Wonders – Mais de 7 mil utilizadores (removido da loja Edge)
- SearchNukes – Mais de 1 mil utilizadores (removido da loja Edge)
- EXYZ Search – Mais de 1 mil utilizadores (removido da loja Edge)
- Wonders Tab – Mais de 6 mil utilizadores (removido da loja Edge)
Estas extensões tinham a capacidade de redirecionar as pesquisas do navegador para sites em controlo dos atacantes, onde estes obtinham receitas pela publicidade nos mesmos.

Além disso, teriam ainda a capacidade de recolher dados do navegador, como senhas e dados de login em geral, enviando os mesmos para sistemas em controlo dos atacantes. Esses dados eram depois usados para diferentes atividades.

Para dificultar a tarefa de identificação e remoção, as extensões eram ainda ocultadas da página de configuração das extensões do navegador, o que torna a sua remoção mais complicada. Além disso, mesmo depois de removida, a tarefa agendada criada no sistema voltava a instalar a mesma futuramente.

Na maioria dos casos, a única forma de remover completamente as extensões passava por reinstalar o navegador por completo e de remover manualmente as tarefas agendadas criadas para o efeito.
09/08/2024
Fundador da Temu torna-se a pessoa mais rica na China

Nos últimos tempos, a Temu tem vindo a tornar-se uma das principais plataformas de vendas online. Criada originalmente na China, esta plataforma ganhou destaque pelas suas campanhas agressivas de marketing, mas também pela aposta em produtos baratos e com entregas rápidas.

O sucesso da plataforma tem vindo a ser notado, e de tal forma que o seu fundador, Colin Huang Zheng, encontra-se agora na lista dos homens mais ricos da China. O mesmo conta com uma fortuna avaliada em mais de 48,6 mil milhões de dólares (44,5 mil milhões de euros), de acordo com o Bloomberg Billionaires Index.

Colin Huang coloca-se assim no topo da tabela como sendo o homem mais rico da China, ultrapassando o anterior Zhong Shanshan, empresário conhecido por gerir a marca de águas engarrafadas Nongfu Spring.

Apesar dos valores milionários das suas fortunas, os dados também indicam que a tendência tem vindo a ser de queda. As receitas de ambos têm vindo a cair consideravelmente desde o inicio do ano, com Huang a perder 2.9 mil milhões de dólares e Shanshan com quase 20.3 mil milhões.

Embora Huang tenha ainda uma forte participação na empresa mãe que é gestora da Temu, a Pinduoduo, o mesmo não está atualmente como executivo direto da plataforma que ajudou a criar. Atualmente este encontra-se mais voltado para tarefas na área da investigação e do seu interesse pessoal.

Ao mesmo tempo, embora a sua popularidade tenha aumentado consideravelmente, a Temu também tem sido alvo de críticas, em parte pelas condições de trabalho fornecidas, mas também pela ideia que a empresa mãe da plataforma pode estar a usar a loja online como forma de propagar publicidade e até malware para dispositivos dos utilizadores.

09/08/2024
Plataformas cloud da Microsoft e Google cada vez mais usadas por malware

As plataformas cloud encontram-se cada vez mais acessíveis, o que também permite que criminosos possam usar as mesmas para distribuir os mais variados malwares. Recentemente foi descoberto que vários grupos de criminosos estão a usar plataformas legitimas de armazenamento cloud para propagar malware a potenciais vítimas.

De acordo com os investigadores da empresa de segurança Symantec, existem grupos de hackers, patrocinados por governos, que usam as plataformas cloud da Microsoft e da Google para realizarem as suas atividades, fazendo assim uso da credibilidade destas plataformas para distribuição de malware e campanhas.

Uma das principais vantagens encontra-se no custo praticamente inexistente para os grupos. Basta criar uma conta da Google Drive ou Microsoft OneDrive para se ter acesso a um conjunto de GB de armazenamento, que podem ser usados para os mais variados esquemas. Como estas plataformas são muitas vezes associadas a conteúdos legítimos, podem passar despercebidas entre o tráfego regular.

Além disso, como o tráfego com estas plataformas encontra-se quase sempre encriptado, é bastante complicado de identificar situações de ataques e de malware pelas mesmas.

Os investigadores revelaram um exemplo com o malware conhecido como “Grager”, que usa a plataforma da Microsoft para receber comandos remotos e realizar ataques. O sistema de controlo encontra-se alojado no próprio OneDrive, e pode ser usado a custo zero para realizar os ataques.

No caso do malware Grager, este é normalmente encontrado em falsas aplicações que surgem como legitimas em resultados de pesquisa – por exemplo, o software 7zip que surge no topo dos resultados de pesquisa através de anúncios patrocinados.

Este é apenas um exemplo identificado onde a plataforma da Microsoft é usada para propagar o malware, mas o mesmo caso pode também ser encontrado em outros serviços, nomeadamente o Google Drive, com técnicas bastante parecidas.

No final, os investigadores apontam que os atacantes encontram-se a usar cada vez mais estas técnicas para propagar malware por serem relativamente simples de usar, criar e de terem uma boa legitimidade face às empresas que são responsáveis pelas mesmas.

08/08/2024
Samsung eleva recompensas por vulnerabilidades até um milhão de dólares

A Samsung encontra-se a elevar a sua recompensa para quem consiga encontrar vulnerabilidades no Knox Vault, sendo que agora esta pode atingir o valor de 1 milhão de dólares.

O Knox Vault é um sistema integrado nos dispositivos da Samsung, que é responsável por armazenar informações sensíveis como dados de login e outras informações importantes e encriptadas. Portanto, trata-se de uma área onde é possível de encontrar dados bastante importantes, que não se pretenda o acesso “normal”.

Para demonstrar o empenho nessa ideia de segurança, a Samsung agora irá fornecer até um milhão de dólares em recompensa para quem encontrar uma falha grave no Knox Vault. O valor máximo será atribuído para quem encontre uma falha de “interação zero”, onde os dados podem ser comprometidos sem qualquer iteração das vítimas.

Tendo em conta que o Knox Vault usa um chip dedicado para as suas tarefas, completamente isolado do processador central, esta tarefa é vista como algo bastante complicado de se realizar, até mesmo por ataque que de outra forma poderia aproveitar o processador do dispositivo para o mesmo.

Para quem encontre uma falha que permita o acesso aos dados, mas envolva ter acesso físico aos dispositivos, a recompensa pode atingir os 300.000 dólares. Comprometer o subsistema TEEGRIS pode render entre 200.000 e 400.000 dólares de recompensa.

Para quem consiga comprometer o Rich Execution Environment (REE), a recompensa pode atingir os 150 mil dólares, e o sistema de anti-malware Auto Blocker rende até 100 mil dólares.

Embora as recompensas sejam tentadoras, as mesmas são variáveis com a dificuldade de se explorar e encontrar falhas. O Knox Vault é considerado um dos sistemas mais seguros atualmente disponíveis, portanto será algo extremamente complicado de se encontrar, e dai as recompensas igualmente elevadas.

Em mais de sete anos que a Samsung fornece este programa de recompensas, foram pagos menos de 5 milhões de dólares em recompensas variadas, com o valor mais elevado a ser de 57.190 dólares – atribuído o ano passado. Em 2023 a Samsung ainda pagou 827.925 dólares a 113 pessoas pelas descobertas de falhas.

08/08/2024
Falha no Windows permite realizar downgrade invisível do sistema

As atualizações do Windows servem, por norma, para instalar as mais recentes versões do sistema operativo, que podem conter correções para falhas recentes e outras vulnerabilidades. No entanto, foi recentemente descoberto que existe uma forma de realizar o “downgrade” destas atualizações por malware.

O investigador Alon Leviev revelou uma forma de realizar a remoção de atualizações do Windows, permitindo voltar a versões antigas do sistema, o que pode abrir portas para que falhas anteriormente corrigidas voltem a ficar disponíveis para ataques.

Basicamente, o ataque começa por levar o sistema operativo a realizar a remoção de atualizações recentes do mesmo, voltando para uma versão anterior. Isto abre portas para que falhas anteriormente corrigidas voltem a ficar acessíveis, e possam assim ser exploradas pelo malware ou atacantes para os mais variados fins.

O investigador revelou ter descoberto formas de realizar o downgrade de alguns dos componentes chave do sistema, incluindo do próprio kernel do Windows. Os componentes continuariam a reportar ao sistema estar na sua mais recente versão, mas não estariam verdadeiramente.

Segundo o investigador, este ataque é bastante eficaz, pois é capaz de contornar a maioria dos programas de segurança. Estes programas não são capazes de identificar estarem numa versão anterior do Windows como sendo algo “malicioso”, e para todos os efeitos, o próprio Windows considera que se encontra com as versões mais recentes dos ficheiros – apesar de não estar. Isto torna o ataque praticamente impossível de identificar pelos meios tradicionais.

Um sistema pode ser comprometido desta forma sem que os utilizadores se apercebam, abrindo portas para que falhas antigas possam ser exploradas, sobretudo falhas zero-day.

O investigador revelou ter notificado a Microsoft desta falha em Fevereiro, mas até ao momento, ainda não foi fornecida uma correção por parte da empresa para evitar tal situação. A empresa indica, no entanto, que ainda se encontra a tratar de disponibilizar uma correção que iria impedir este formato de ataque, embora até ao momento ainda não tenha sido oficialmente disponibilizada.

08/08/2024
Facebook usado para campanhas de publicidade associadas a malware

De tempos a tempos, campanhas maliciosas conseguem escapar dos filtros do Facebook, e chegam a ser publicados como publicidade na plataforma da Meta. E recentemente, foi descoberta uma nova campanha que foca-se em distribuir malware sobre pretexto de falsas apps de edição de conteúdos via IA.

De acordo com os investigadores da Trend Micro, a campanha foca-se em propagar falsas aplicações de edição de fotos, que são apresentadas como versões alternativas de apps legítimas, e que direcionam as vítimas para sites aparentemente legítimos.

A publicidade encontra-se a surgir tanto no Facebook como Instagram, e foca-se sobretudo para utilizadores em desktop. Esta campanha propaga-se também como mensagens diretas enviadas nas plataformas, a maioria para criadores de conteúdos, sobre pretextos de pagamentos para publicidade a reviews e similares.

No entanto, invés das aplicações, o que os utilizadores acabam por instalar nos seus sistemas é um malware, que procede com o roubo de informação de login existente no mesmo e nos navegadores. Além disso, o malware foca-se ainda em roubar os dados e contas do Facebook, usando as mesmas para continuar a propagar o malware a ainda mais vítimas, ou a usar contas de publicidade existentes para a campanha.

Os websites onde o malware é distribuído conta com uma aparência profissional e legítima, que à primeira vista pode enganar os utilizadores menos atentos.

Como sempre, é importante ter em atenção os locais de onde software é descarregado, ainda mais se for de fontes pouco confiáveis ou que tenham sido originários de locais pouco comuns. Usar meios de segurança apropriados também é recomendado, como um bom sistema de antivírus e garantir que as contas online encontram-se protegidas com autenticação em duas etapas.

04/08/2024
Falsa publicidade ao Google Authenticator surge na pesquisa da Google

A Google parece ter sido o alvo da mais recente campanha de publicidade maliciosa, que se encontra a usar a própria plataforma de publicidade da Google para distribuir malware.

Foi recentemente descoberto que se encontram ativas campanhas publicitárias na rede da Google, a promover versões modificadas e maliciosas do Google Authenticator – a aplicação de autenticação em duas etapas da empresa.

Usar publicidade para distribuir malware não é uma técnica nova, e durante anos existiram campanhas que usam motores de pesquisa em geral para tentar enganar os utilizadores, levando-os a potenciais sites que não seriam o que estes pretendem.

A empresa de segurança Malwarebytes revelou ter descoberto uma nova rede de publicidade, que usa a própria plataforma da Google para, através do motor de pesquisa, levar os utilizadores para falsas versões do Google Autenticador.

Os sites surgem quando os utilizadores realizam pesquisas com o nome da app, sendo que os resultados possuem alguns links patrocinados, que aparentam ser da Google – e surgem mesmo com a indicação do domínio da Google – mas que redirecionam para falsos sites onde se encontram versões maliciosas da app.

Os criminosos usam o sistema de publicidade da Google para adulterar os conteúdos apresentados, sendo que este sistema permite colocar qualquer link que se pretenda junto da publicidade – incluindo domínios da própria Google.

Além disso, os investigadores revelam que o anunciante neste caso aparenta ter sido validado pela própria Google, o que também demonstra uma possível falha na verificação dos anunciantes que podem colocar a publicidade na sua plataforma.

Caso o software seja descarregado pelas vítimas, e dependendo do sistema, este procede com a tentativa de roubo dos dados de login das contas dos utilizadores, e de outra informação potencialmente útil para os criminosos.

Como sempre, os utilizadores são aconselhados a terem cuidado no acesso a links patrocinados dos motores de pesquisa, sobretudo quando a pesquisa é por conteúdos como aplicações ou software em geral.

31/07/2024
Novo malware em Android pode roubar contas bancárias e elimina dados dos dispositivos

De tempos a tempos surgem novas variantes de malware para Android, que podem afetar os utilizadores e os dispositivos de várias formas. A mais recente é um novo malware conhecido como “BingoMod”.

Este malware foca-se em roubar dados de acesso a contas bancárias, de dispositivos Android, e depois de roubar os fundos das mesmas, procede com a eliminação de todos os dados do equipamento. Isto pode prevenir as vítimas recuperarem rapidamente acesso às suas contas ou até de usarem o equipamento novamente.

O malware propaga-se como sendo uma aplicação de segurança para dispositivos móveis, mas em segundo plano realiza as suas atividades maliciosas para roubar as contas bancárias das vítimas.

O BingoMod encontra-se, segundo os investigadores, em desenvolvimento ativo, portanto vai sendo constantemente adaptado com novas formas de infetar os sistemas e de roubar dados, que contornam algumas das medidas de segurança do Android.

O malware é distribuído sobretudo sobre mensagens SMS maliciosas, que levam as vítimas a descarregarem a aplicação para os seus dispositivos. Depois de ser instalada, a app começa a realizar as ações maliciosas, requerendo permissões invasivas do sistema.

Este conta ainda com a capacidade de recolher as mensagens SMS, enviando os seus conteúdos para sistemas remotos em controlo dos atacantes. Para permitir o controlo remoto dos dispositivos, o malware instala ainda um servidor de VNC, que dá total controlo aos atacantes para realizarem as suas ações, tal como se estivessem em frente do mesmo.

O BingoMod conta ainda com a capacidade de desativar as várias medidas e alertas de segurança do Android, e depois de ter realizado as suas atividades, o mesmo procede com a eliminação de todos os dados do equipamento, realizando um reset ao mesmo.

Como sempre, os utilizadores são a primeira linha de defesa, e devem ter em atenção os locais de onde descarregam as suas aplicações, sobretudo quando estas partem de links desconhecidos, sites fora da Play Store da Google ou de mensagens suspeitas.

31/07/2024
Google Chrome pode receber novas proteções contra malware

A Google encontra-se a adicionar uma nova funcionalidade de segurança para o navegador Chrome, que vai ajudar a prevenir o roubo de cookies e dados de login do navegador – uma técnica cada vez mais comum para o acesso a contas, contornando mesmo proteções de autenticação em duas etapas.

Atualmente, o Chrome usa as funcionalidades de segurança que cada sistema operativo fornece para garantir que os dados encontram-se seguros. No caso do macOS é usado o Keychain, no Linux é usado kwallet e gnome-libsecret, e no Windows é usado o Data Protection API (DPAPI).

No caso em particular do Windows, embora o DPAPI forneça uma proteção dos dados, não a garante no caso de os utilizadores realizarem o login. Tendo em conta que a maioria do malware ataca a nível dos utilizadores, depois destes terem as suas contas abertas, este sistema não protege contra roubo dos dados em geral.

No entanto, a Google encontra-se agora a trabalhar numa nova funcionalidade, que pode garantir mais proteção para o navegador e os seus dados, mesmo quando os utilizadores tenham as suas contas ativas.

Segundo a empresa, esta vai começar a aplicar um mecanismo de Application-Bound (App-Bound) Encryption, que se baseia na DPAPI, mas garante que os dados estão encriptados mesmo depois dos utilizadores realizarem o login nas suas contas.

Este sistema é similar ao que existe no sistema operativo da Apple, onde os dados encontram-se encriptados por aplicação, invés de usarem a conta geral do sistema.

Desta forma, mesmo que o sistema seja comprometido por malware, possui ainda uma camada adicional de encriptação necessária para evitar o roubo de dados do Chrome. Apenas aplicações permitidas para aceder aos dados podem realmente desencriptar os mesmos.

Tendo em conta que esta tecnologia funciona com privilégios avançados no sistema, garante uma camada adicional de segurança, que envolve realizar processos mais complexos para aceder aos dados – e que devem ser pontos de alerta para a maioria das ferramentas de segurança.

Isto pode ajudar a evitar ataques de malware conhecidos como infostealer, que são um dos que registou o maior crescimento nos últimos tempos. Este sistema pode não garantir total segurança dos dados, mas pelo menos adiciona uma camada extra de segurança, que pode dificultar o acesso aos mesmos, ou deixar um rasto mais extensivo para alertar outras ferramentas de segurança.

31/07/2024
PKfail: grave falha pode permitir ataques diretos na UEFI

A UEFI foi criada para garantir uma maior proteção contra possíveis ataques de rootkit, que se instalam neste ponto do arranque do sistema – e que são considerados um dos formatos de malware mais eficazes e destrutivos, simplesmente por contornarem as principais medidas de segurança existentes.

No entanto, foi recentemente descoberta uma falha que, se explorada, pode permitir que malware consiga instalar-se na UEFI dos sistemas, e possa mesmo contornar algumas das proteções existentes. Apelidada de PKfail, a mesma permite contornar o Secure Boot e levar à eventual instalação de malware no sistema.

A equipa de investigadores da Binarly Research afirma que vários dispositivos, de diferentes fabricantes, usam uma chave de segurança que é considerada como insegura, para proteger o Secure Boot. Esta chave, criada pela American Megatrends International (AMI), possui a indicação de ser apenas uma chave de teste e que não deve ser usada em produtos finais, mas ainda assim, alguns fabricantes parecem ter integrado a mesma nos seus dispositivos, abrindo as portas para possíveis ataques.

Os fabricantes deveriam alterar esta chave por uma chave dedicada das suas entidades, que garantia a segurança. Porém, a maioria não realiza esta tarefa, mantendo a chave padrão nos equipamentos.

No total, mais de 813 produtos foram descobertos a conter esta chave, de marcas como Acer, Aopen, Dell, Formelife, Fujitsu, Gigabyte, HP, Intel, Lenovo e Supermicro.

Embora a chave da American Megatrends International (AMI) fosse desconhecida do público, esta acabaria por ser publicamente revelada num leak de dados no inicio deste ano. Como tal, a chave – embora seja marcada como não sendo para utilização geral – pode agora ser do conhecimento geral, e qualquer um a pode obter e usar para contornar as medidas de proteção do Secure Boot em sistemas onde a mesma seja usada.

Os investigadores afirmam que o primeiro firmware descoberto com a falha PKfail foi lançado em Maio de 2012, e manteve-se em vários equipamentos até Junho de 2024. A confirmar-se, este é um dos mais longos problemas e falhas que tem vindo a manter-se nos equipamentos até à data.

A lista completa de equipamentos afetados por esta falha pode ser verificada no site da mesma. Os utilizadores podem ainda enviar os ficheiros de firmware dos seus dispositivos para o site, de forma a verificarem se estão vulneráveis.

A atualização deve ser feita pelos fabricantes, que devem fornecer versões atualizadas do firmware onde a chave padrão da AMI não seja usada.

26/07/2024
Google agora alerta para downloads suspeitos protegidos por senhas

A Google tem vindo a integrar algumas melhorias no Chrome, focadas nos downloads feitos pelo navegador. Estas melhorias tendem a ser para melhorar a segurança dos próprios utilizadores, evitando que descarreguem conteúdos potencialmente maliciosos para os seus sistemas.

Com isto em mente, a empresa revela agora algumas melhorias previstas de serem integradas brevemente no Chrome. Para começar, a empresa afirma que vai começar a usar IA para analisar melhor os conteúdos dos downloads, e de forma a notificar no caso de serem identificados programas ou conteúdos suspeitos.

Quando os utilizadores descarregarem programas considerados como suspeitos ou maliciosos, agora será apresentada uma notificação a indicar que o download foi bloqueado. Existem duas categorias de alerta, sendo que o primeiro será menos restritivo, e aplica-se no caso de downloads de programas que ainda não são considerados malicioso, mas podem ter tendência para tal ou levantem suspeitas.

No caso de ficheiros confirmados como maliciosos, estes surgem com mais restrições, e alertas mais visíveis de serem mesmo malware. A Google afirma que as alterações podem ajudar a proteger os sistemas, e a evitar que os utilizadores ignorem os alertas.

Para quem tenha o modo Enhanced Protection ativo, os ficheiros são também enviados para os sistemas da Google antes do download, de forma a que se analise os mesmos por potenciais ameaças, usando uma verificação mais intensiva.

Outra novidade encontra-se no download de ficheiros protegidos por password. Uma técnica usada para contornar os possíveis alertas e verificações de vírus encontra-se em colocar os ficheiros maliciosos em ficheiros comprimidos, protegidos com senha.

Isto impede que aplicações terceiras possam analisar os conteúdos. No entanto, o Chrome agora irá começar a notificar quando estes ficheiros forem descarregados, fornecendo uma forma de os utilizadores introduzirem a senha dos mesmos, para análise nos sistemas da Google.

Desta forma, a Google analisa os ficheiros, mesmo que tenham senhas, antes de permitir o download. A empresa garante que os conteúdos são automaticamente eliminados dos sistemas da Google depois da análise.

Esta nova medida pode ajudar a prevenir alguns downloads potencialmente maliciosos, mas também existe a possibilidade que muitas empresas optem por ignorar este sistema, possivelmente para evitar que conteúdos sensíveis das mesmas possam ser colocados nos sistemas da Google.

25/07/2024
Mais de 3000 contas comprometidas do GitHub usadas para distribuir malware

Um individuo conhecido apenas como “Stargazer Goblin” estará no controlo de um novo malware Distribution-as-a-Service (DaaS), que está a ser usado para distribuir malware por vários sistemas usando como base contas do GitHub comprometidas.

O serviço em questão é apelidado de Stargazers Ghost Network, e fornece meios de distribuir malware através de contas comprometidas do GitHub. Estas contas são usadas para alojar os ficheiros com conteúdos maliciosos, a maioria encriptado em ficheiros comprimidos por senhas, de forma a evitar a deteção. A rede usa ainda sites WordPress comprometidos como forma de alojar os conteúdos.

A maioria do malware distribuído por esta rede são infostealers, usados para roubar dados de login dos navegadores nos sistemas infetados. No entanto, o foco encontra-se em usar uma plataforma aparentemente legítima para alojar os conteúdos, que possivelmente não será bloqueada na maioria das soluções de segurança.

Tendo em conta que o GitHub é uma plataforma reconhecida, normalmente, como segura, o malware pode passar por alguns filtros de segurança e de spam, tornando as campanhas de distribuição dos mesmos consideravelmente mais eficazes.

De acordo com os investigadores da Check Point Research, estas campanhas são bastante eficazes em levar a que as vítimas possam descarregar os conteúdos, sem se aperceberem que é um conteúdo malicioso.

Stargazer Goblin, a pessoa conhecida como estando atrás destas operações, tem vindo a anunciar as mesmas em vários sites da dark web desde junho de 2023. No entanto, existem detalhes que apontam para as atividades estarem ativas desde 2022.

Os investigadores apontam que os criadores deste serviço já terão juntado mais de 100.000 dólares em receitas das suas atividades.

25/07/2024