Categoria: malware

Falsos guias de recuperação da CrowdStrike instalam malware nos sistemas

Depois da crise gerada pelos problemas com a CrowdStrike, agora existem ciber criminosos que se encontram a aproveitar para lançar campanhas focadas contra quem tenha sido afetado. Recentemente várias supostas ferramentas de recuperação dos problemas com o CrowdStrike em Windows começaram a surgir pela internet.

Durante o dia de ontem, a própria CrowdStrike começou a alertar para uma nova campanha, que tenta enganar os utilizadores com um simples manual do Word. Este ficheiro faz-se passar por um documento com informações de como recuperar sistemas afetados pela falha do CrowdStrike, mas que possui também macros maliciosas que podem infetar o sistema.

Se o utilizador abrir o documento e ativar as macros, poderá permitir a instalação de malware no sistema, que terá como objetivo roubar dados de login guardados no navegador, bem como os cookies de sessão.

Como sempre, os utilizadores afetados pelos problemas devem apenas usar os meios oficiais de recuperação, que foram prontamente distribuídos. A Microsoft também revelou uma nova ferramenta que pode ajudar na recuperação dos sistemas afetados.

Qualquer outra fonte deve ser considerada como insegura. Também se verificou ao início de registo de sites focados em enganar os utilizadores com falsas técnicas de recuperação do sistema. Estas pretendem voltar-se para utilizadores novatos ou funcionários que estejam fora das suas funções a tentar recuperar os sistemas.

23/07/2024
Falha do Telegram permitia enviar aplicações como vídeos nas conversas

A aplicação de mensagens do Telegram é conhecida por ser um meio seguro e privado de conversa entre utilizadores, mas foi recentemente descoberta uma falha zero-day, que pode ser usada para enganar os utilizadores do Android a instalar malware nos seus dispositivos.

A falha foi apelidada de “EvilVideo”, e descoberta pelos investigadores da empresa de segurança ESET. A mesma permite mascarar ficheiros APK (de aplicações) no Android como sendo conteúdos de vídeos quando partilhados diretamente por conversas do Telegram.

Um utilizador conhecido como “Ancryno” começou a vender esta falha em vários sites da dark web a 6 de Junho, portanto existe a forte possibilidade que a falha era conhecida antes disso, e antes de ter sido efetivamente corrigida. O mesmo indicava que a falha encontrava-se em todas as versões do Telegram v10.14.4 ou mais antigas.

A ESET terá contactado o Telegram sobre esta falha a 26 de Junho e 4 de Julho de 2024. A empresa da aplicação apenas respondeu na última data, tendo corrigido a falha com a versão 10.14.5, que foi lançada a 11 de Julho.

Ou seja, durante vários dias a falha esteve ativamente a ser explorada, com o potencial de ter afetado um largo número de utilizadores.

Basicamente, a falha permitia que os ficheiros APK, de aplicações para Android pudessem ser descarregados como ficheiros de vídeo dentro da app. Os utilizadores pensariam estar a descarregar um vídeo, quando na realidade estariam a instalar uma aplicação potencialmente maliciosa nos seus dispositivos.

A falha apenas afetava as versões do Telegram para Android, e apenas poderia ser explorada diretamente nessa plataforma. Os investigadores acreditam que a falha explorava a API da plataforma para enviar os ficheiros de aplicações como parecendo ser de vídeos.

O caso torna-se ainda mais grave se tivermos em conta que muitos utilizadores optam por descarregar automaticamente os conteúdos das conversas, sobretudo conteúdos multimédia. Como o ficheiro fazia-se passar como um vídeo, este poderia ser automaticamente descarregado para os dispositivos.

Será recomendado que os utilizadores atualizem as suas apps para a versão mais recente disponível, de forma a garantir que se encontram protegidos deste formato de ataques.

22/07/2024
Grupo de ransomware Play começa a focar-se em VMware ESXi

O grupo de ransomware Play encontra-se a criar campanhas de ransomware focadas contra sistemas virtuais em VMware ESXi, nas mais recentes táticas para usar um novo malware focado a estes sistemas.

De acordo com os investigadores da empresa Trend Micro, a nova variante do ransomware é capaz de bloquear os sistemas VMware ESXi, encriptando os conteúdos dos sistemas virtuais, e pode mesmo contornar algumas das medidas de segurança aplicadas no sistema Linux.

Os investigadores afirmam que esta é a primeira vez que verificam o grupo Play a ter como alvo ambientes ESXi, o que pode indicar que o grupo encontra-se a testar novas técnicas para atingir ainda mais alvos.

Ao mesmo tempo, esta tendência é algo que se verifica em vários grupos de ransomware, que começaram a criar variantes focadas para ESXi, depois de muitas empresas terem também começado a adotar este sistema para a virtualização de alguns sistemas vitais.

Estes ataques, além de terem o potencial de afetar os sistemas base das empresas, podem ainda ter impacto para sistemas de backup e onde se encontram potenciais dados de salvaguarda, que podem ser igualmente comprometidos para afetar ainda mais as operações de restauro.

Segundo os investigadores, esta nova variante do ransomware começa por desligar todos os sistemas virtuais, sendo que, posteriormente, começa a encriptar os discos e configurações das máquinas.

De relembrar que os primeiros ataques do grupo de ransomware Play começaram a surgir em finais de 2022.

22/07/2024
Cibercriminosos usam falha da CrowdStrike para distribuir malware

No final desta semana, a CrowdStrike lançou uma atualização problemática para o seu software de segurança Falcon, que rapidamente causou o pânico em várias empresas, causando erros de arranque do Windows. A complicar a situação, a falha apenas pode ser corrigida com acesso direto aos sistemas afetados, e acedendo via o modo de recuperação do mesmo.

A Microsoft estima que o problema tenha afetado 8.5 milhões de dispositivos Windows em todo o mundo, e causou grandes impactos a nível de transportadoras aéreas e várias outras infraestruturas básicas.

Desde então, tanto a Microsoft como a CrowdStrike disponibilizaram as suas formas de corrigir o problema o mais rapidamente possível. No entanto, esta falha está agora a começar a ser aproveitada também por atores maliciosos, como forma de propagar malware.

A CrowdStrike indicou ter identificado casos onde atores maliciosos encontram-se a distribuir ficheiros, que prometem resolver o problema, mas acabam por trazer ainda mais problemas ao sistema, instalando malware nos mesmos.

Segundo a empresa, os ficheiros encontram-se a ser disponibilizados em sites mascarados como ferramentas de recuperação, com o nome “crowdstrike-hotfix.zip”. Tendo em conta os ficheiros contidos neste arquivo, a empresa acredita que o mesmo seja focado para utilizadores na América Latina ou Espanha, mas podem chegar a mais países em diferentes campanhas maliciosas.

Além de ficheiros diretamente maliciosos, foram também descobertos casos onde ataques de phishing estão a ser usados contra empresas que usam o software da CrowdStrike, com mensagens que prometem resolver o problema ou onde se coloca dados potencialmente sensíveis para tal.

A CrowdStrike recomenda que os clientes apenas contactem a empresa pelos meios oficiais, evitando aceder através de links de emails e sites pela internet, e sobretudo, que se tenha cuidado nos próximos tempos a possíveis “soluções” que sejam criadas para este problema.

21/07/2024
O que é o CrowdStrike Falcon e porque está a causar o pânico hoje?

Durante o dia de hoje, uma falha técnica afetou milhares de computadores em todo o mundo, sobretudo postos de trabalho em empresas e sistemas usados para tarefas do dia a dia. A escala do incidente não possui comparação, e afetou centenas de empresas, desde pequenas a grandes entidades com filiais em todo o mundo.

Basicamente, o termo correto para este incidente será que os computadores ficaram “bricked”. Este termo é usado quando os sistemas ficam de tal forma inutilizáveis, que deixa de se conseguir realizar qualquer atividade nos mesmos. Basicamente ficam “uma pedra”.

E tudo aconteceu por causa de um pequeno software conhecido como “CrowdStrike Falcon”. Mas afinal, o que é?

A CrowdStrike é uma empresa de segurança digital, sediada nos EUA, que fornece software de segurança sobretudo para empresas. Esta é considerada uma das maiores empresas de cibersegurança no mundo, e conta com clientes espalhados por vários países.

O CrowdStrike Falcon é um dos softwares que a empresa fornece, que garante proteções contra malware e outras formas de ataque, sendo basicamente um antivírus mais avançado, focado sobretudo para meios empresariais.

O Falcon ajuda os administradores de parques informáticos numa empresa a identificar e analisar possíveis ameaças, verificando atividades suspeitas nos dispositivos que estejam na mesma. O software, conhecido como “endpoint detection and response” (EDR), analisa as atividades nos sistemas dentro da rede, e identifica possíveis atividades suspeitas nos mesmos, ajudando a bloquear e reverter possíveis ataques.

Obviamente, para realizar esta monitorização, o Falcon necessita de acessos privilegiados ao sistema. Isto permite analisar as atividades feitas no mesmo, os pedidos enviados e recebidos da internet e muito mais.

De forma simples, o Falcon é um antivírus, mas com algumas funcionalidades adicionais para garantir segurança em ambientes críticos.

Tendo em conta que o Falcon necessita também de neutralizar possíveis ataques, este encontra-se fortemente interligado com o sistema operativo onde se encontra, que neste caso será o Windows.

Esta integração necessita de ser robusta, ao mesmo tempo que bastante elevada, para garantir que o software é capaz de realizar o que necessita – e que não é também simplesmente desativado pelo malware. Para realizar isso mesmo, o software integra-se diretamente com o kernel do Windows – que será a “base” do sistema operativo.

Então, o que aconteceu?

Para realizar esta integração com o kernel do Windows, o Falcon necessita de carregar as suas drivers no sistema, o que é feito no momento do arranque do mesmo. O que muitos utilizadores verificaram hoje foi que, ao iniciarem o Windows, este apresentava um ecrã azul de erro no arranque.

Rapidamente se chegou à conclusão que a falha estaria nos ficheiros dos drivers usados pelo Falcon, para se interligar com o kernel do Windows. Uma atualização com erros terá sido lançada para o programa, e automaticamente instalada na maioria dos sistemas.

Com isto, quando os sistemas foram reiniciados, deixaram de conseguir arrancar corretamente. Além disso, o próprio software não conseguiria resolver o problema diretamente, visto que a falha ocorre ainda antes do próprio Windows carregar completamente – na fase em que o kernel ainda está a carregar os drivers.

E os PCs domésticos com Windows, foram afetados?

O software desenvolvido pela CrowdStrike encontra-se voltado para empresas com largos parques informáticos, portanto será extremamente improvável que se encontre em sistemas domésticos. Logo esta falha não deve ter afetado outros utilizadores com sistemas Windows.

Além disso, importa sublinhar que a falha não foi diretamente com o Windows ou a Microsoft. A falha ocorreu apenas em sistemas onde o Falcon se encontrava instalado.

E quanto tempo vai demorar a resolver o problema?

A CrowdStrike já forneceu o processo necessário para resolver a falha. O problema é que esta não pode ser facilmente aplicada em todos os sistemas ao mesmo tempo. Tendo em conta que o problema ocorre no arranque do próprio sistema operativo, a única forma de corrigir a falha será verificando PC a PC.

Ou seja, a correção necessita de ser aplicada em cada sistema afetado, de forma manual. Este é um processo que poderá demorar bastante tempo, dependendo do número de sistemas afetados numa empresa.

Na grande maioria dos casos, o processo pode demorar dias, tendo em conta a complexidade.

19/07/2024
Falha grave descoberta em sistemas Cisco SEG

A Cisco lançou uma atualização importante para o Security Email Gateway (SEG), que teria uma falha que, quando explorada, poderia permitir aos atacantes obterem acesso root e eventualmente bloquearem a instalação, usando para tal apenas conteúdos enviados como anexos em mensagens de email.

A falha encontrava-se na forma como o Security Email Gateway (SEG) analisava os conteúdos em anexo das mensagens de email recebidas pelos clientes, que quando eram criados ficheiros especificamente modificados para explorar a vulnerabilidade, poderiam sobrescrever qualquer ficheiro do sistema onde o SEG se encontra.

Com esta falha, os atacantes poderiam praticamente obter total controlo dos sistema, obtendo permissões root e criando novos utilizadores no sistema, alterando ficheiros chave do mesmo ou realizando qualquer outra ação no mesmo.

A falha afetava os sistemas com versões vulneráveis do Cisco AsyncOS, e que teriam também o sistema de análise de ficheiros, como parte do Cisco Advanced Malware Protection, ativada, bem como o Content Scanner Tools na versão 23.3.0.4823 ou mais antiga.

Os utilizadores do SEG são aconselhados a atualizarem as suas aplicações e sistemas para as versões mais recentes disponíveis, de forma a evitarem a possível exploração desta falha. A Cisco acredita que a falha terá sido corrigida antes de ter sido ativamente explorada para ataques, mas agora que é do conhecimento público, pode começar a ser explorada.

18/07/2024
Google Chrome vai tornar mais dificil ignorar alertas de malware

A Google encontra-se a realizar algumas mudanças no Chrome, que podem tornar mais complicado a tarefa de descarregar conteúdos potencialmente maliciosos pelo navegador.

Até agora, o navegador da Google já contava com sistemas de alerta sempre que se tentava descarregar conteúdos potencialmente perigosos. No entanto, ainda seria relativamente simples contornar estes alertas, algo que muitos realizavam simplesmente porque poderiam considerar como “falso positivo”.

No entanto, a Google encontra-se agora a preparar mudanças que podem tornar os alertas ainda mais persistentes e difíceis de contornar. Nas recentes atualizações do Chrome, os alertas para downloads maliciosos ficam mais difíceis de ser ignorados, sendo que algumas das opções para tal encontram-se agora mais “escondidas”.

Além de bloquear o download de potencial malware, o navegador agora vai também recomendar por padrão o remover o download do histórico, invés de simplesmente o permitir de ficar guardado no sistema.

A única forma dos utilizadores poderem descarregar um ficheiro que é considerado maliciosos seria acedendo diretamente à página de downloads do Chrome, e marcando a opção de permitir o download do mesmo – que surge também com o seu próprio alerta para o facto de ser potencialmente maliciosos.

Por norma, a maioria dos ficheiros que possuem este género de alertas são realmente malware, mas ainda existem alguns casos de falsos positivos. Como sempre, a segurança deve ser tida em conta antes de tudo, e esconder as opções de permitir o download torna o processo mais complicado – o que pode ajudar a proteger os utilizadores.

Esta nova funcionalidade deve começar a surgir em futuras versões do Chrome, sendo que atualmente parece encontrar-se apenas na versão Beta do mesmo, em testes.

17/07/2024
Publicidade do Facebook usada para distribuir malware no Windows

O Facebook encontra-se novamente a ser alvo de uma campanha de publicidade maliciosa, onde os utilizadores são incentivados para descarregarem aplicações e conteúdos aparentemente legítimos, mas que acabam por levar à instalação de malware nos sistemas.

As novas campanhas encontram-se focadas para utilizadores do Windows, onde a publicidade direciona os mesmos para falsos temas do sistema, que prometem alterar consideravelmente o visual do mesmo.

De acordo com os investigadores da empresa Trustwave, a campanha também parece aliciar com downloads gratuitos de vários programas conhecidos para Windows, como é o caso de jogos e software de edição de fotos.

Embora este género de campanhas de publicidade maliciosas a partir do Facebook não são algo novo, o alcance que as mesmas podem ter será bastante significativo, tendo em conta que podem chegar a vários utilizadores rapidamente, e de diferentes idades.

A maioria das campanhas publicitárias neste caso são originárias de páginas recentemente criadas no Facebook, ou que estão a ser usadas para outros propósitos. Existem ainda casos de páginas que aparentam ter sido roubadas ou onde as suas contas de publicidade estão a ser usadas para distribuir a campanha.

Quem se encontra por detrás desta campanha maliciosa parece também estar a alterar o nome das páginas que são roubadas, e aproveita as mesmas para distribuir campanhas para as pessoas que as seguem, podendo assim chegar a ainda mais utilizadores.

Os investigadores afirmam que existem milhares de campanhas atualmente ativas, e embora algumas tenham sido entretanto removidas, possivelmente por terem sido denunciadas pelos utilizadores, o volume de contas a propagar as mesmas é consideravelmente elevado.

Se os utilizadores realmente instalarem o software que é indicado nestas campanhas, acabam por instalar no sistema um infostealer, que poderá ser usado para roubar dados de credenciais e senhas guardadas no mesmo e nos navegadores.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção a todas as publicações que surgem nas plataformas sociais, mesmo quando estas sejam patrocinadas, e deve-se ter atenção ao género de conteúdo das mesmas – quando a promessa é demasiado boa para ser verdade, levanta suspeitas.

15/07/2024
Falha no Exim afeta mais de 1.5 milhões de servidores de email

A equipa de investigadores da Censys confirmou uma nova vulnerabilidade, que afeta o MTA Exim, um dos serviços mais usados para envio de emails em sistemas informáticos. Esta falha afeta mais de 1.5 milhões de sistemas, e pode permitir que utilizadores mal intencionados contornem alguns dos filtros de segurança.

A falha foi recentemente corrigida pela equipa de desenvolvimento do Exim, e afeta todas as versões até à 4.97.1. Esta falha permite que atacantes possam enviar mensagens especificamente criadas, com ficheiros anexados, que podem conseguir contornar os filtros de spam da plataforma, chegando assim na caixa de entrada dos utilizadores.

A falha, basicamente, permite contornar algumas das medidas de proteção do Exim, de forma a que mensagens com ficheiros executáveis ou de outras extensões proibidas potencialmente maliciosas, que seriam de outra forma bloqueadas, possam chegar à caixa de entrada dos utilizadores.

Se esses ficheiros forem executados, os sistemas das vítimas podem ser comprometidos, dependendo do formato de malware integrado nos mesmos. Na sua base, a falha pode ser usada para criar campanhas direcionadas de phishing e spam, onde as mensagens de email seriam entregues diretamente nas caixas de entrada sem controlo.

Segundo os investigadores, existem mais de 1.5 milhões de sistemas potencialmente vulneráveis a esta falha. Como serviços como o Exim tendem a ficar expostos para a internet de forma a funcionarem corretamente, isto pode levar a que um elevado volume de sistemas comecem a receber campanhas de spam tentando explorar a falha.

Como sempre, é sempre recomendado que os utilizadores finais tenham atenção às mensagens recebidas nas suas contas de email, e verifiquem atentamente qualquer anexo das mesmas, sobretudo se forem de extensões potencialmente perigosas – como ficheiros executáveis ou scripts.

13/07/2024
PJ deteve suspeitos de acederem a plataformas do governo e burlas de pagamentos em dívida

A PJ revelou uma nova operação, onde foi desmantelada mais uma rede de crimes associados com campanhas de burlas e acesso indevido a plataformas.

De acordo com o comunicado da entidade, a operação “culminou com a detenção de três suspeitos, a realização de 21 buscas domiciliárias e a apreensão de material informático.”

Em causa encontra-se “prática de crimes suscetíveis de configurar acesso ilegítimo agravado, falsidade informática agravada, acesso indevido agravado, dano relativo a programas ou outros dados informáticos, falsificação de documento e burla qualificada.”

A entidade sublinha ainda que “As práticas imputáveis ao grupo possuíam uma natureza multifacetada, contemplando acessos ilegítimos a plataformas online de utilização exclusiva por profissionais de saúde (disponibilizadas pelos Serviços Partilhados do Ministério da Saúde – SPMS, bem como ao canal da Segurança Social Direta (com recurso a credenciais de funcionários) e, ainda, disseminação de campanhas de SPAM sob pretexto de dívidas à EDP Comercial, CTT, Endesa, Galp e outros.”

Relativamente ao acesso a plataformas de forma ilegítima, os suspeitos teriam acesso ao “Sistema Nacional de Vigilância Epidemiológica [SINAVE], dedicado à vigilância em saúde pública (com divulgação de dados relativos a doenças transmissíveis); o Portal de Requisição de Vinhetas e Receitas [PRVR], responsável por centralizar o processo de aquisição de vinhetas médicas e blocos de receitas disponibilizado aos prescritores; a Prescrição Eletrónica de Medicamentos [PEM], sistema de prescrição e dispensa médica; e ainda o Sistema de Informação dos Certificados de Óbito [SICO],responsável pela emissão e transmissão eletrónica dos certificados de óbito para efeitos de elaboração dos assentos de óbito.”

Os suspeitos terão conseguido obter acesso a dados de login para estas plataformas com o uso de malware, mais concretamente Infostealers. Estes dados eram depois vendidos em sites da dark web.

O acesso e venda dos dados “permitiu o acesso aos dados pessoais de médicos e de um número alargado de pacientes, à emissão de certificados de óbito para alvos escolhidos pelo grupo e ainda à emissão de mais de 350 prescrições médicas respeitantes a ansiolíticos, antidepressivos e opioides.”

No final, estas receitas “seriam distribuídas entre membros do grupo que se encarregavam de proceder à sua dispensa em farmácias e utilizá-las na preparação de uma droga recreativa conhecida como Lean ou Purple Drank (um preparado à base de codeína e refrigerantes). Esta substância de elevada toxicidade, causa dependência e é suscetível de conduzir a overdoses e à morte do consumidor.”

Este grupo teria ainda acesso ao portal da “Segurança Social Direta, com recurso a credenciais usurpadas de funcionários, permitindo-lhes ganhar acesso a informação de pessoas individuais e coletivas relativas a prestações sociais, pensões, emprego e doença. Estes dados eram depois partilhados em fonte aberta ou vendidos a terceiros.”

Por fim, a investigação determinou ainda que, desde Abril de 2023, o grupo dedicava-se também ao envio de campanhas de spam e phishing “expedindo milhares de sms para destinatários indiscriminados, utilizando para o efeito bases de dados constantes de leaks, advertindo para a existência de pretensas dívidas em nome de empresas como EDP, CTT, Endesa, GALP, entre outras.”

As mensagens levavam as vítimas para sites onde, supostamente, teriam de realizar o pagamento das dívidas, ou poderiam incluir diretamente dados de referência de pagamento. A PJ afirma que o grupo terá “lesando um número indeterminado de vítimas em dezenas de milhares de euros.”

O grupo usava ainda casas de apostas como meio de branqueamento das receitas desta atividade criminosa, além da aquisição de “criptoativos, artigos de luxo e material eletrónico e de telecomunicações para uso dos arguidos e revenda.”

Foram ainda realizadas “chamadas para as vítimas (pessoas individuais ou coletivas) e mesmo para as autoridades públicas ou serviços de emergência com recurso a técnicas de spoofing (mecanismos que alteram o identificador do número chamador, permitindo que o visor do telefone da vítima apresente o número pretendido pelo cibercriminoso, incluindo o 112) ou contactos de forças de segurança, muitas vezes para ativar serviços de socorro.”

10/07/2024
Fujitsu confirma roubo de dados de clientes em ataque de Março

A Fujitsu confirmou que, derivado de um ataque informático que a empresa sofreu em Março deste ano, alguns dados de clientes da mesma podem ter sido comprometidos.

O ataque aconteceu a um sistema interno de suporte da empresa, onde os atacantes podem ter conseguido aceder a dados sensíveis de alguns dos clientes da mesma. A empresa afirma que o ataque não ocorreu por intermédio de ransomware, mas sim de um ataque sofisticado para evitar os mecanismos de segurança da empresa.

Na altura, a fabricante colocou os dispositivos infetados com o malware em quarentena, mas já na altura afirmava que dados dos clientes poderiam encontrar-se comprometidos, visto que estariam nos sistemas infetados.

Agora, com a investigação concluída, a empresa afirma que o malware terá começado num sistema interno, e espalhou-se para outros 49 computadores, a partir dos quais foram recolhidos dados.

A empresa afirma que todos os sistemas foram rapidamente isolados para evitar a propagação, mas que ainda assim alguns dados de clientes terão sido roubados dos mesmos antes do isolamento.

Os dados incluem meios de contacto e outros detalhes dos clientes e de algumas empresas, e embora a empresa não tenha indicado números exatos de clientes afetados, o mesmo deverá ser relativamente pequeno. A empresa afirma ainda que não existem confirmações que os dados estejam a ser usados maliciosamente até ao momento.

10/07/2024
Investigadores usam ChatGPT para reescrever malware mais eficaz

A Inteligência Artificial encontra-se cada vez mais presente no dia a dia dos utilizadores, e isso aplica-se também na forma como malware é desenvolvido. Esta tecnologia tem vindo a ser usada para melhorar alguns ataques e malwares em geral.

No entanto, a maioria das plataformas públicas de IA, como o ChatGPT, aplicam filtros para impedir que código potencialmente malicioso possa ser criado pelas mesmas. Apesar disso, ainda existe quem consiga dar a volta aos sistemas.

Um grupo de investigadores terá conseguido usar o ChatGPT para criar código malicioso, que pode ser conjugado para realizar ataques a sistemas. O objetivo dos investigadores seria usar o ChatGPT para reescrever código existente, tornando-o mais difícil de identificar por software de segurança.

David Zollikofer na ETH Zurich, na Suíça, e Benjamin Zimmerman, da Universidade Estadual de Ohio, nos Estados Unidos, revelaram ter criado um vírus usando código fornecido pelo ChatGPT. Este vírus foi criado com um projeto para alertar os utilizadores sobre o risco do uso de IA a nível pessoal e das empresas, sobre segurança digital.

Os investigadores afirmam ter reescrito o código de um vírus que é capaz de se replicar por email, enviando a sua mensagem e anexos para ainda mais potenciais vítimas. Ao mesmo tempo, o código foi ainda melhorado para ser mais difícil de identificar por software de segurança.

Embora, na prática, o malware ainda possa ser identificado, e a sua forma de propagação seja bastante básica, a ideia dos investigadores seria demonstrar que mesmo com todas as limitações aplicadas a sistemas como o ChatGPT, ainda existe forma de “dar a volta”, usando os mesmos e as suas capacidades para fins menos positivos.

06/07/2024
Cuidado com este novo malware na Google Play Store!

Embora a Google tenha vindo a melhorar as medidas de segurança da Play Store, de tempos a tempos ainda surge malware que consegue integrar-se numa das plataformas mais usadas para descarregar aplicações no Android.

Recentemente, uma nova campanha de malware começou a ser descoberta na loja de aplicações da Google, que pode vir a afetar milhões de utilizadores.

De acordo com a empresa de segurança Zscaler, encontra-se em propagação na Play Store um novo malware, que se distribui sobre aplicações aparentemente legitimas, e que possui como único objetivo levar ao roubo de dados de contas bancárias.

Apelidado de “Anatsa”, este malware foi recentemente descoberto em várias aplicações, com destaque para uma que terá sido descarregada mais de mil vezes, e que aparentava ser um leitor de códigos QR.

Depois de aplicações com este malware serem instaladas no dispositivo, começam a analisar o mesmo por contas bancárias e outras informações financeiras, recolhendo as mesmas e enviando para sistemas em controlo dos atacantes.

O malware possui ainda a capacidade de capturar dados de login, através da criação de janelas falsas de login sobre as apps bancárias, e até mesmo de aceder a conteúdos das mensagens SMS – possivelmente para recolher códigos de validação que o utilizador possa receber.

Embora a empresa de segurança tenha indicado apenas uma das aplicações infetadas, que ainda se encontra disponível na Play Store, podem existir mais com o malware integrado.

Como sempre, é recomendado que os utilizadores tenham cautela na instalação de aplicações, mesmo que sejam da Play Store, analisando sempre o feedback de outros utilizadores e analisando a altura em que a app foi enviada para a mesma.

06/07/2024
Europol confirma apreensão de centenas de servidores usados pelo Cobalt Strike

A Europol confirmou ter encerrado centenas de servidores que estariam a ser usados por uma das maiores redes de atividades criminosas atualmente ativas.

De acordo com o comunicado da entidade, cerca de 600 servidores associados com o Cobalt Strike foram apreendidos pelas autoridades, numa ação conjunta com as forças de segurança de diferentes países.

Durante apenas uma semana no final de Junho, as autoridades identificaram centenas de IPs associados com sistemas que estariam a ser usados pela campanha de malware e para ataques, começando a investigação dos mesmos e eventual controlo dos sistemas associados.

As autoridades afirmam ter identificado e encerrado 690 endereços IP associados com sistemas usados pelo software, em mais de 27 países diferentes. No final da semana onde os IPs foram identificados, pelo menos 593 estariam inacessíveis ou no controlo das autoridades.

Esta ação resulta de uma investigação das autoridades que terá começado faz mais de três anos, em 2021. “Ao longo de toda a investigação, mais de 730 informações de inteligência sobre ameaças foram partilhadas, contendo quase 1,2 milhão de indicadores de comprometimento”, acrescentou a Europol.

“Além disso, o EC3 da Europol organizou mais de 40 reuniões de coordenação entre as agências de aplicação da lei e os parceiros privados. Durante a semana de ação, a Europol criou um posto de comando virtual para coordenar a ação de aplicação da lei em todo o mundo.”

Estes servidores estariam a ser usados para várias campanhas de malware e ransomware, bem como a distribuir conteúdos potencialmente maliciosos sobre centenas de domínios diferentes.

Embora o Cobalt Strike tenha sido um software lançado de forma legitima pela empresa Fortra faz mais de dez anos, o mesmo tem vindo a ser usado como forma de encontrar vulnerabilidades em redes e sistemas, de forma ilícita. O software encontrava-se destinado a usos bastante específicos, sobretudo por parte das autoridades, mas terá sido distribuído em versões piratas para grupos de hackers, que o começaram a usar para ataques em larga escala.

03/07/2024
Google lança atualização de Julho de 2024 para os Serviços da Google Play

A Google encontra-se a disponibilizar uma nova atualização mensal para os Serviços da Google Play, que integram as mais recentes novidades da empresa focada em dispositivos Android.

Esta atualização foca-se para os serviços da Play Store, na Play Store e na atualização do sistema Play em telefones/tablets Android, Wear OS, Google/Android TV, Auto e PC. Este mês, a maioria das atualizações parecem focadas a nível de correção de bugs e algumas otimizações, sem grandes novidades.

As atualizações devem começar brevemente a ser disponibilizadas via a Play Store, chegando como atualizações regulares.

Uma novidade interessante encontra-se a nível do Play Protect, o sistema de segurança integrado da Google no Android. Este sistema agora é capaz de analisar também ações suspeitas que sejam realizadas pelas aplicações, invés de identificar apenas malware.

Quando uma aplicação realiza atividades que podem ser consideradas suspeitas, ou são normalmente associadas com malware, este vai agora notificar os utilizadores de tal atividade. Ao detetar estas aplicações, a Google pode enviar as mesmas para os sistemas da empresa, de forma a ser realizada uma verificação mais detalhada.

02/07/2024
Falsas soluções para problemas no Windows levam à instalação de malware

Quando se verifica uma mensagem de erro no sistema operativo ou em alguma aplicação específica, uma das primeiras formas de analisar a mesma passa por procurar pelo erro nos motores de pesquisa.

Esta prática, no entanto, pode levar alguns utilizadores a serem vítimas de malware, num novo formato de esquema que tem vindo a ganhar bastante popularidade – sobretudo porque é também bastante efetivo contra vítimas com poucos conhecimentos informáticos.

O ataque, tecnicamente, começa quando as vítimas recebem uma mensagem de erro em algum programa ou até no próprio Windows. Uma das primeiras formas de se tentar resolver o mesmo passa por colocar o código de erro no Google ou no YouTube, como forma de tentar descobrir meios de o corrigir.

Muitas vezes, estes erros são genéricos, e podem ser bastante abrangentes para os mais variados problemas. Isto pode acabar por tornar a tarefa dos atacantes mais simples, que criam falsos vídeos no YouTube, ou publicações em sites diversos, com recomendações de como resolver os mesmos.

No entanto, a “resolução” passa por executar comandos na Linha de Comandos do Windows, que alegadamente deveriam resolver os erros. Porém, se executadas, os utilizadores podem acabar por instalar malware nos seus sistemas e terem os dados roubados por terceiros.

Por exemplo, no YouTube existem centenas de vídeos com recomendações de como resolver os mais variados erros do Windows, que levam os utilizadores para uma lista de comandos que devem ser executados.

Estes comandos apenas levam a que sejam descarregados conteúdos para o sistema potencialmente maliciosos, e como a maioria das vezes são executados com permissões administrativas, não requerem muito esforço do malware para infetar o sistema.

Para quem não tenha muitos conhecimentos, os comandos apresentados podem não fazer muito sentido, sendo que a ideia seria apenas tentar resolver o problema. Mas no processo, os utilizadores podem estar indevidamente a instalar malware nos seus sistemas.

Como sempre, é recomendado que não se execute comandos aleatórios que foram descobertos pela internet, e antes de tal tarefa, é melhor analisar o que cada comando faz – e como atua no sistema – antes de o executar.

A linha de comandos é muitas vezes usada para resolver problemas de aplicações e do sistema, mas como é também uma ferramenta poderosa no mesmo, pode ser usada para fins menos bons.

30/06/2024
OpenDNS bloqueado? Eis algumas das melhores alternativas

Recentemente a OpenDNS decidiu deixar de fornecer a sua plataforma de DNS público para Portugal e França, no seguimento de um pedido de bloqueio de sites piratas feitos para a entidade.

Com esta medida, quem usa os DNS da OpenDNS pode ter começado a verificar falhas, já que o serviço deixa de se encontrar disponível, e como tal, os pedidos DNS vão começar a ser recusados.

Felizmente, existem várias alternativas no mercado, que se pode adotar para quem pretenda continuar a usar uma alternativa aos DNS das operadoras. Estas alternativas podem até fornecer algumas funcionalidades adicionais que poderão agradar a alguns utilizadores, como a capacidade de bloquear sites maliciosos ou de spam.

Neste artigo vamos analisar quais as melhores alternativas existentes ao OpenDNS.

> Cloudflare DNS – 1.1.1.1

A Cloudflare, além de fornecer uma plataforma de segurança e CDN para sites, também fornece um DNS público que usa a sua infraestrutura para melhorar a velocidade de resolução de pedidos DNS.

A mesma conta ainda com diferentes servidores DNS, que se podem adaptar a diferentes usos. Os DNS padrão (1.1.1.1 e 1.0.0.1) não possuem qualquer filtragem de conteúdos, e carregam todos os sites como seria esperado.

No entanto, quem pretenda uma proteção extra, existe também o 1.1.1.1 for Families, que pode ajudar a filtrar sites com conteúdos maliciosos ou de conteúdos para adultos.

O 1.1.1.2 e 1.0.0.2 ajudam a bloquear automaticamente sites que tenham sido descobertos com conteúdos maliciosos ou prejudiciais para os utilizadores.

O 1.1.1.3 e 1.0.0.3, além da proteção contra malware, também bloqueia o acesso a sites de conteúdos para adultos, podendo ser uma alternativa para quem pretenda uma ligação segura para os mais pequenos.

> DNS0

O DNS0 é uma alternativa que se foca em privacidade e segurança, prometendo melhorar a ligação DNS e, ao mesmo tempo, também bloqueando acesso a sites com conteúdos potencialmente maliciosos ou de phishing.

O DNS padrão (193.110.81.0 e 185.253.5.0) conta com filtragem de sites conhecidos como sendo de malware ou phishing, ou que realizem atividades maliciosas nos sistemas, contando com uma lista atualizada de forma regular pelos parceiros da entidade.

Para quem pretenda segurança máxima, existe ainda o DNS0 ZERO (193.110.81.9 e 185.253.5.9) que bloqueia ainda mais sites com conteúdos maliciosos, como os de Criptojacking e Typosquatting. Esta lista é mais abrangente, e dedicada para ambientes onde a segurança é mais importante.

Por fim, existe ainda o DNS0 Kids (193.110.81.1 e 185.253.5.1), que como o nome indica, será focado para crianças. Além de bloquear malware e ameaças online, este DNS também bloqueia o acesso a sites de conteúdos para adultos ou potencialmente prejudiciais para menores. Também bloqueia sites de redes sociais e de plataformas que distribuem pirataria.

Embora não documentado, existe ainda o DNS0 Open, que não aplica qualquer filtragem de conteúdos, e portanto, deve ser usado apenas em casos especificos.

> Quad9

O Quad9 (9.9.9.9 e 149.112.112.112) coloca-se como uma alternativa focada em privacidade e segurança. A plataforma garante que todos os pedidos DNS são processados de forma segura e privada, e além disso, também se encontra adaptado para bloquear pedidos a sites conhecidos de malware.

> ControlD

O ControlD é uma solução relativamente recente no mercado, mas que tem vindo a demonstrar-se como uma alternativa capaz e abrangente, com funcionalidades extra.

Embora esteja disponível com planos pagos, que permite mais controlo a nível dos dispositivos e a criação de perfis para diferentes utilizadores, existem também soluções de DNS gratuitos, que qualquer um pode usar.

Existem diferentes listas, que vão desde DNS que não filtram qualquer conteúdo, aos que bloqueiam malware, publicidade, tracking, redes sociais, e outros. Os utilizadores podem ainda personalizar diferentes listas de bloqueio, conforme as preferências.

> Mullvad DNS

Da conhecida empresa de VPN privado, estão também disponíveis os Mullvad DNS. Estes garantem privacidade e segurança, embora sejam algo mais lentos que as alternativas anteriores – devido ao numero mais reduzido de servidores a nível global.

No entanto, ainda podem ser uma opção para quem tenham em conta a privacidade das ligações. Tal como o ControlD, existem diferentes ofertas, desde o DNS sem filtros ao que bloqueia publicidade, tracking ou conteúdos para adultos.

A lista completa das configurações pode ser verificada no site da entidade.

30/06/2024
Router D-Link DIR-859 alvo de ataques por falha grave no mesmo

Caso possua um router D-Link DIR-859, será recomendado que tenha em atenção uma recente falha descoberta no mesmo. Foi recentemente descoberta uma falha neste router, que pode permitir aos atacantes roubarem dados do mesmo, incluindo senhas e dados da rede.

A falha de segurança foi descoberta em Janeiro de 2024, tendo sido classificada com a gravidade de 9.8. Esta falha, se explorada, pode permitir aos atacantes obterem dados internos da rede ou do router, incluindo as senhas configuradas no mesmo.

Embora a falha tenha sido reportada, tendo em conta que o D-Link DIR-859 é um router que se encontra em fim de vida, o mesmo não deverá receber uma correção. Este modelo deixou de receber atualizações de segurança faz alguns anos, embora ainda seja um modelo bastante popular no mercado.

Como tal, quem ainda use o mesmo, será aconselhado que o atualize para um dispositivo mais recente, ou poderá ficar aberto a possíveis ataques diretos ao mesmo. Não está previsto ser disponibilizada uma atualização para corrigir a falha no futuro.

De acordo com a empresa de segurança GreyNoise, as intenções dos atacantes que estão a explorar esta falha ainda são desconhecidas, mas tendo em conta que as mesmas passam por recolher dados de login dos dispositivos, é bastante provável que a ideia seja usar os routers para controlar uma rede botnet ou injetar malware que pode ser usado para atividades maliciosas.

Para quem não tenha a possibilidade de realizar a mudança do router, a recomendação passa por desativar todas as funcionalidades com acessos remotos, como gestão remota da interface e VPN, bem como aplicar configurações seguras para a firewall no mesmo.

29/06/2024
Empresa de verificação de identidade esteve a expor dados sensíveis de utilizadores

Algumas das maiores plataformas sociais na internet podem ter estado, durante mais de um ano, a permitir o acesso a dados potencialmente sensíveis dos utilizadores, sendo que alguma dessa informação pode mesmo ter sido recolhida por utilizadores com intenções maliciosas.

Em causa encontra-se uma recente descoberta feita sobre uma entidade usada para a verificação de identidade de várias plataformas sociais, como a X, TikTok, LinkedIn, Coinbase, PayPal, Fiverr, Uber, entre outras.

A empresa AU10TIX, sediada em Tel Aviv, dedica-se à criação de sistemas de verificação de identidade. Esta empresa conta com vários clientes, entre os quais encontram-se algumas das maiores plataformas na internet, que a usam para validar a identidade dos seus utilizadores quando é necessário.

No entanto, um grupo de investigadores revelou recentemente ter descoberto que a empresa AU10TIX estaria a disponibilizar, via um dos seus sistemas, acesso a dados potencialmente sensíveis de utilizadores que usavam os seus sistemas para verificação de identidade.

Derivado de configurações incorretas aplicadas nos sistemas da empresa, estaria a permitir acesso a dados sensíveis dos clientes, que estavam armazenados nos sistemas internos da mesma.

Entre os dados acessíveis encontram-se nomes, datas de nascimento, nacionalidade, imagens dos documentos de identificação e outras informações pessoais, que eram usadas pela plataforma para verificação da identidade.

Muita da informação encontrava-se associada com plataformas como a X e Uber, que usam os sistemas da AU10TIX.

A piorar a situação, os investigadores acreditam existir a possibilidade de alguns dos dados terem sido recolhidos por terceiros e malware, e que podem ter sido partilhados em grupos do Telegram em 2023.

Em resposta, a AU10TIX indica ter realizado a investigação do incidente, e chegou à conclusão que os dados de um dos seus funcionários teriam sido comprometidos, e que poderá ter permitido o acesso a esta informação. No entanto, mesmo depois da empresa ter sido notificada do incidente, o acesso aos dados ainda estaria aberto e sem uma correção aplicada para prevenir de tal.

28/06/2024
Polyfill afirma ter sido difamada após encerramento do domínio malicioso

Recentemente começaram a surgir alertas sobre como uma plataforma bastante usada na internet e em mais de 100 mil websites estaria a distribuir uma versão modificada maliciosamente de um script.

Agora, a plataforma veio deixar algumas críticas sobre as medida. Num conjunto de mensagens publicadas na sua conta da X, a plataforma que se apelida como uma “CDN para projetos open source”, deixou a indicação que o seu nome estaria a ser difamada sobre a propagação de malware no Polyfill.

De momento, o domínio IO do Polyfill aparenta ter sido encerrado pela entidade responsável pelo seu registo, a Namecheap, que terá tomado ações depois de vários investigadores de segurança terem relatado a distribuição de versões maliciosas de um script bastante usado pela internet.

No entanto, apesar disso, os criadores do projeto relançaram agora o mesmo sobre um novo endereço, e indicam ainda que não existem riscos de malware no mesmo, sendo que os alertas deixados sobre o domínio anterior também não teriam fundamento.

Segundo os gestores do projeto, todos os ficheiros do mesmo encontram-se aplicados em cache pelo Cloudflare, e não foram maliciosamente modificados. A entidade afirma não existirem riscos de se usar o domínio antigo e que a sua infraestrutura não foi afetada.

Apesar destas indicações dos responsáveis da Polyfill, muitos investigadores de segurança afirmam que se deve ter cautela na forma como o script é usado. O script foi inicialmente criado para fornecer a navegadores mais antigos algumas das funcionalidades existentes apenas para versões mais recentes dos mesmos.

No entanto, o projeto começou a ganhar algum destaque pelas piores razões quando, em Fevereiro de 2024, Andrew Betts, criador do script original, recomendou aos utilizadores não usarem o domínio .IO para carregar o mesmo.

O domínio teria sido adquirido pela empresa chinesa Funnull, que era desconhecida e não possuía qualquer atividade aparente no passado.

Embora o script em si seja relativamente sólido e seguro, o problema encontra-se no uso do domínio IO usado para distribuir o mesmo diretamente pelo site supostamente “oficial” para o projeto. Os utilizadores que necessitem de usar o mesmo são aconselhados a usarem versões alojadas de forma local ou a usarem plataformas como as da CDNJS e JSDelivr.

27/06/2024
Mudança maliciosa no site do Polyfill afeta mais de 100.000 websites

Muitos criadores de sites usam um pequeno código JavaScript, conhecido como “polyfill”, que é capaz de converter algumas das funcionalidades dos navegadores mais recentes no mercado para serem compatíveis com versões antigas dos mesmos.

No entanto, recentemente uma troca de domínios e mudança de titular do mesmo pode ter causado com que mais de 100.000 websites pela internet estivessem a distribuir malware e a direcionar utilizadores para sites de esquemas e burlas.

O domínio IO do pollyfill foi descoberto como estando a distribuir versões modificadas deste código, contendo partes que poderiam direcionar os utilizadores para conteúdos de terceiros ou para possíveis esquemas.

O domínio foi usado durante vários anos por quem criava websites onde este JavaScript era usado, e isso inclui o domínio base da CDN onde o JavaScript se encontrava. Portanto, muitos websites mantiveram o mesmo durante os anos para carregar os conteúdos.

No entanto, no início deste ano, a empresa chinesa “Funnull”, que era desconhecida até então, adquiriu os direitos do domínio. Agora sabe-se que quem controla o domínio começou a disponibilizar versões modificadas do código, contendo redirecionamentos para sites de spam.

Em Fevereiro de 2024, Andrew Betts, o criador original do polyfill, alertou para os programadores não usarem o domínio .IO para carregar o código, e invés disso, usarem os seus próprios servidores ou plataformas alternativas e seguras. No entanto, tendo em conta a antiguidade de muitos sites, ainda existem diferentes plataformas onde o domínio original foi mantido.

Investigadores da Sansec confirmaram a semana passada que o script começou a carregar agora conteúdos maliciosos de redirecionamento. Ou seja, mais de 100.000 websites pela internet que estariam a usar o script sobre o domínio IO começaram a carregar agora a versão modificada do mesmo.

Além do impacto direto para sites que usam este script, existem ainda dependências de diferentes programas que continuam a usar as versões maliciosas do script agora a ser carregado.

Embora o script atualmente esteja a carregar uma versão segura do mesmo na plataforma da Cloudflare, os registos podem novamente ser alterados a qualquer momento para uma versão maliciosa.

Caso tenha um site onde este script esteja a carregar, o recomendado será modificar o mesmo para uma versão segura, em plataformas como o CDNJS ou JSDelivr.

27/06/2024
Operadora Coreana acusada de invadir sistemas dos clientes para impedir uso de torrents

Um grupo de antigos funcionários da operadora coreana “KT”, Korea Telecom, confirmou que a mesma terá realizado ligações diretas aos sistemas dos seus clientes, para alegadamente impedir que os mesmos usassem programas de torrents.

A operadora encontra-se a ser investigada pelas autoridades, depois de terem surgido indícios que mais de 600 mil clientes poderão ter sido afetados, onde a empresa terá acedido aos seus sistemas remotamente para impedir e bloquear o uso de aplicações usadas em redes de P2P.

O objetivo da operadora seria limitar o uso de largura de banda por parte destes clientes, que com o uso de sistemas P2P seria consideravelmente mais elevado – e estaria a causar problemas para outros clientes da operadora.

Em 2020, a operadora já tinha sido acusada de realizar traffic shaping, com o objetivo de limitar a velocidade ou aplicar restrições no uso da internet quando identificava clientes que estariam a usar as suas ligações para estes fins.

Na altura, a operadora alegava que a medida teria sido realizada para evitar os custos elevados do uso da largura de banda e para garantir que todos os clientes tinham acesso estável ao serviço.

No entanto, a empresa terá ido mais longe, ao ponto de criar uma divisão interna “secreta”, que teria como objetivo desenvolver malware que era voltado para analisar as atividades feitas pelos clientes da empresa, e monitorizar a forma como estes usavam a internet. Quando se identificava que era usado de forma abusiva em rede P2P, a operadora poderia aplicar medidas de bloqueio nessa plataforma.

Os utilizadores que eram afetados verificavam mensagens de erro sem explicação ao tentarem aceder a alguns serviços, ou em alguns casos, a ligação era permanentemente bloqueada para redes P2P.

O objetivo final da medida seria levar a custos menos avultados da gestão de tráfego dentro da operadora. As autoridades locais encontram-se atualmente a investigar a situação.

26/06/2024
Novo malware de Android abusa componentes de segurança do sistema

De tempos a tempos surgem novos malwares focados para dispositivos Android, e recentemente, um grupo de investigadores revelou ter descoberto um novo malware que é capaz de usar vários mecanismos de segurança para tentar contornar algumas das proteções do sistema.

Apelidado de Snowblind, este foca-se em fazer-se passar por uma aplicação legitima que necessita de acesso aos serviços de acessibilidade para as mais variadas tarefas. Caso seja concedido, o malware pode assim recolher dados sensíveis dos utilizadores, incluindo senhas, e até ter o controlo total do dispositivo.

Para realizar esta atividade, o malware usa um componente do kernel de Linux, conhecido como “seccomp”, que deveria garantir a integridade das aplicações e proteger os utilizadores de possíveis ataques.

De acordo com os investigadores da Promon, o malware é capaz de usar o componente do kernel de Linux para se manter indetetável na maioria dos sistemas de segurança, podendo assim realizar ações potencialmente sensíveis.

Este componente foi originalmente criado para o Android 8, e impede que as aplicações possam enviar comandos potencialmente abusivos para o sistema. No entanto, o malware consegue tirar proveito do mesmo para evitar ser identificado e as suas atividades descobertas por alguns sistemas e registos de segurança, mantendo assim o malware ativo durante mais tempo.

Os investigadores acreditam que, atualmente, não existem mecanismos suficientes para garantir total proteção contra este género de ataques, e o malware pode assim executar comandos potencialmente sensíveis no sistema que podem levar a roubos de dados e outras atividades maliciosas.

Em comunicado, a Google afirma que não parecem existir indícios que este malware tenha sido propagado via a Play Store, o que indica que as atividades maliciosas devem ter começado em aplicações instaladas de fontes de terceiros ou pela internet, ou através de esquemas que levam as vitimas a instalarem as apps sobre outros pretextos.

26/06/2024
Variantes de perigoso malware para Android voltam ao ataque

Depois de quase um ano sem grandes atividades, o malware para Android conhecido como “Medusa” encontra-se novamente a surgir em alta. Os dados mais recentes apontam que o malware focado para Android começou novamente a ganhar destaque em vários países, e tem expandido as suas operações.

Segundo os investigadores, o malware encontra-se a ser disponibilizado como uma nova variante, que requer menos permissões do sistema e pode ser ainda mais evasiva para software de segurança.

Os primeiros registos do malware Medusa surgiram em 2020, sendo que o mesmo era distribuído com foco em roubar dados bancários e credenciais de acesso a bancos. O malware tinha a capacidade de controlar dispositivos Android remotamente, ler mensagens SMS e aceder a conteúdos dos mesmos.

O malware perdeu alguma força nos últimos meses, mas voltou a surgir com alguma atividade em Julho de 2023, onde se começaram a registar novas variantes do mesmo. No entanto, foi apenas este ano que o malware voltou a atacar em força, focando-se em vários países da União Europeia.

Este é normalmente distribuído sobre campanhas de mensagens SMS de phishing, onde as potenciais vítimas são levadas a descarregar aplicações de fontes externas, sobre os mais variados pretextos. Existem algumas que indicam ser atualizações do Google Chrome, outras que prometem analisar as redes 5G e até aplicações falsas de streaming de conteúdos.

As permissões desta nova variante são menores, para levantar menos suspeitas, mas ainda assim contam com acesso aos serviços de acessibilidade do sistema, o que pode permitir um vasto controlo de ações do Android e das suas funcionalidades, bem como pode ser usado para a recolha de dados.

Existem ainda novos comandos, como um que coloca uma imagem preta no ecrã, parecendo que o dispositivo está desligado ou bloqueado, quando na realidade encontram-se a ser feitas ações em segundo plano.

Como sempre, deve-se ter cuidado de onde são descarregadas aplicações para qualquer sistema, e no caso do Android, de onde se instala ficheiros APK fora da Play Store da Google.

25/06/2024
Novo malware foca-se em versões antigas do Android

De tempos a tempos surgem novos esquemas e malware focado para o sistema Android, e recentemente, um grupo de investigadores revelou ter descoberto uma nova variante de malware que se foca em dispositivos com versões mais antigas do Android.

Apelidado de “Rafel RAT”, o malware foi descoberto pelos investigadores Antonis Terefos e Bohdan Melnykov da Check Point, sendo que os mesmos identificaram a sua propagação em mais de 120 campanhas diferentes atualmente ativas.

A origem do malware não é concreta, mas existem suspeitas que tenha sido criado por entidades no Irão ou Paquistão, e que se focam em levar ao roubo de dados potencialmente sensíveis de empresas a nível global.

Algumas das vítimas encontram-se empresas militares nos EUA, China e Indonésia. Na maioria dos casos, o malware foi descoberto em sistemas operativos Android desatualizados e em fim de vida, e que, portanto, deixaram de receber atualizações de segurança. Este parece ser também o foco deste malware em geral.

Cerca de 87.5% dos dispositivos infetados por este malware encontram-se no Android 10 ou inferior, com 12.5% em dispositivos com o Android 12 e 13. Existem vários dispositivos afetados, de diferentes fabricantes, o que também comprova que o malware pode adaptar-se a diferentes equipamentos e versões modificadas do Android.

O malware propaga-se sobretudo sobre falsas aplicações do Instagram, WhatsApp e outras plataformas sociais, muitas vezes apps alternativas que prometem funcionalidades extra.

Durante a instalação, o malware pede acesso a várias permissões consideradas como arriscadas, como as de remover a app do malware das otimizações de bateria, para permitir ao mesmo ser executado em segundo plano.

Quando instalado, o malware possui a capacidade de realizar várias ações no dispositivo, incluindo de controlar inteiramente o mesmo e até encriptar os ficheiros existentes, como uma espécie de ransomware. Os atacantes podem ainda obter acesso a todas as mensagens SMS, contactos, listas de chamadas e localização em tempo real.

Caso o módulo de ransomware deste malware seja ativado, o mesmo encripta os conteúdos do dispositivo com uma chave dedicada, e pode ainda alterar a senha de bloqueio do sistema, apresentando uma mensagem a informar dos detalhes para obter o código.

Tendo em conta a forma de distribuição deste malware, por meio de ficheiros de apps instaladas de fontes desconhecidas, recomenda-se cuidado com o local de onde são instaladas apps fora da Play Store.

24/06/2024
Uma linha de texto pode ativar sistema de malware do Defender

O Microsoft Defender, mesmo sendo uma solução de segurança básica para o Windows, tende a ser considerado um bom programa de segurança para a grande maioria dos utilizadores.

No entanto, de tempos a tempos, surgem algumas situações algo insinuadas com o mesmo, derivado de falsos positivos. Em 2022, a Microsoft tinha confirmado que iria melhorar a forma como a aplicação de segurança gere conteúdos de falsos positivos e negativos, para evitar casos de “falhas” tanto para malware como para conteúdos legítimos.

No entanto, mesmo com todas as melhorias, ainda existem algumas que escapam. Recentemente, um utilizador da X revelou ter descoberto que criar um simples ficheiro de texto, contendo o texto “This content is no longer available” é o suficiente para ativar o sistema de segurança do Defender.

Segundo o mesmo, criar um ficheiro de texto com este conteúdo é suficiente para o Microsoft Defender apresentar um alerta para o malware “Trojan:Win32/Casdet!rfn”. Obviamente, o ficheiro não possui nada malicioso, e parece ser apenas um falso positivo do sistema de segurança.

Embora seja uma situação bastante específica onde o erro pode ocorrer, não causa grandes problemas – a menos que tenha a tendência de criar ficheiros de texto com esse conteúdo em particular no interior, que acreditamos ser um número bastante pequeno.

Eventualmente, a Microsoft pode vir também a corrigir a falha em futuras atualizações das suas assinaturas de segurança.

24/06/2024
Nova falha afeta UEFI de centenas de sistemas com processadores Intel

Um grupo de investigadores revelou ter descoberto recentemente uma nova vulnerabilidade, que afeta a UEFI de alguns sistemas com processadores Intel, da Phoenix SecureCore.

A falha, apelidada de “UEFICANHAZBUFFEROVERFLOW”, afeta o sistema do Trusted Platform Module (TPM), e pode permitir aos atacantes enviarem comandos potencialmente maliciosos diretamente para o dispositivo afetado.

De acordo com os investigadores da empresa Eclypsium, a falha afeta um vasto conjunto de sistemas no mercado, nomeadamente sistemas com processadores da Intel. Os testes iniciais foram realizados e confirmados nos portáteis Lenovo ThinkPad X1 Carbon 7th Gen e X1 Yoga 4th Gen.

No entanto, a falha pode encontrar-se numa lista consideravelmente mais alargada de sistemas, tendo em conta que pode afetar processadores da Intel nas famílias Alder Lake, Coffee Lake, Comet Lake, Ice Lake, Jasper Lake, Kaby Lake, Meteor Lake, Raptor Lake, Rocket Lake, e Tiger Lake.

Entre os fabricantes potencialmente afetados encontra-se a Lenovo, Dell, Acer e HP.

Esta falha afeta diretamente o firmware Phoenix SecureCore, sendo que os investigadores descobriram que é possível manipular a memória durante o arranque do sistema, para potencialmente enviar comandos maliciosos ao mesmo que são executados numa das áreas mais sensíveis do dispositivo.

Isto pode permitir aos atacantes instalarem malware diretamente na UEFI, que permanece oculto nos sistemas e é consideravelmente difícil de identificar pelos meios de segurança tradicionais.

A Lenovo já terá começado a disponibilizar atualizações para a UEFI, de forma a corrigir esta vulnerabilidade. Outras fabricantes devem começar brevemente a realizar a mesma tarefa, sendo recomendado aos utilizadores verificarem o site de suporte dos seus sistemas, por atualizações da BIOS.

21/06/2024
Ciber ameaças aumentam em Portugal: conteúdo para adultos, streaming e ligações falsas são as principais
De acordo com um novo estudo da NordVPN, uma das maiores empresas de cibersegurança, o conteúdo para adultos, os sites de alojamento gratuito de vídeos e os sites que se fazem passar por marcas conhecidas e conceituadas são os que apresentam o maior número de ameaças à segurança e à privacidade, sob a forma de malware, anúncios intrusivos e rastreadores.

Apenas no mês de maio, a funcionalidade de Proteção contra Ameaças Pro da NordVPN bloqueou mais de 5 mil milhões de anúncios intrusivos, quase 40 mil milhões de rastreadores e 60 milhões de tentativas de infeção por malware. Com quase 1 milhão de incidentes relacionados com o malware, os Portugueses estão entre os menos afetados de todos os utilizadores europeus da Proteção contra Ameaças Pro. Os três países mais afetados são a Alemanha, com quase 30 milhões, seguida do Reino Unido e da França. No entanto, quase 1 milhão de casos não é um número que se possa desprezar. Uma análise exaustiva destes incidentes suspensos revelou ameaças vitais à cibersegurança e à privacidade, de que os utilizadores devem estar cientes e de que deverão proteger-se.

“Enfrentamos ciberameaças todos os dias, sem dar por isso. Mesmo que não vejamos malware ou rastreadores a olho nu, ou mesmo que consigamos lidar com a irritação provocada pelos anúncios, isso não nos poupa aos graves problemas de privacidade e cibersegurança que eles provocam. Devemos melhorar os nossos conhecimentos e utilizar ferramentas tecnológicas de confiança para evitar estas ameaças. A maior parte das funcionalidades antimalware integradas nas VPN mais conhecidas costuma limitar-se à simples filtragem de DNS. Já a ferramenta de proteção digital da NordVPN foi agora atualizada para a Proteção contra Ameaças Pro, ajudando os utilizadores a evitar a pirataria informática, o rastreamento, o phishing, fraudes, malware, além de anúncios e cookies irritantes”, diz Adrianus Warmenhoven, consultor de cibersegurança da NordVPN.

O malware está à espreita nos sites para adultos e em ligações para o Office365 com erros tipográficos

O malware consiste em software malicioso: vírus, cavalos de Troia, ransomware e spyware desenvolvidos para danificar os dispositivos dos utilizadores. Podem roubar dados confidenciais, encriptar ficheiros importantes ou até assumir o controlo dos dispositivos, dando ao criminoso total domínio. A forma mais habitual de os utilizadores infetarem os seus dispositivos com malware é visitando sites maliciosos.

O estudo da NordVPN mostra que, de 1 de janeiro a 31 de maio, a Proteção contra Ameaças Pro bloqueou mais de 24 milhões de ligações maliciosas em sites de conteúdo para adultos (8% de todos os sites bloqueados), bem como 16 milhões de ligações e sites não categorizados (5%) e 13 milhões em sites de serviços web (4%).

Além disso, os criminosos utilizam com frequência nomes de marcas conhecidas com erros tipográficos, para levar as vítimas a clicar nas ligações de phishing e a descarregar ficheiros infetados. Cerca de 99% de todos os ataques de phishing usa apenas 300 marcas para fins de burla. As marcas mais conhecidas falsificadas para espalhar malware são o Office365 (86 K de URL falsos descobertos), a Gazprom (60 K), a AT&T (28 K), o Facebook (19 K) e a Bet365 (15 K)*.

“A culpa não é das marcas — estas falsificações também prejudicam a sua reputação, obrigando as empresas a andar sempre no seu encalço. Mas a elevada notoriedade da marca pode criar nas vítimas uma falsa sensação de segurança e fazê-las baixar a guarda”, diz Warmenhoven.

Um dispositivo em Portugal sofre 82 ataques de malware por mês

O risco de se ser infetado por malware também varia consoante a localização geográfica, o que pode dever-se aos vários níveis de acesso à internet, ao desenvolvimento económico e à própria sensibilização para as questões de cibersegurança nos diferentes países.

O estudo da NordVPN mostrou que a Proteção contra Ameaças Pro bloqueou perto de 1 milhão de tentativas de infetar os dispositivos de utilizadores portugueses durante o período abrangido pelo estudo. Em média, um dispositivo de um utilizador português está sujeito a 82 incidentes relacionados com malware todos os meses. Já a Ucrânia é o país mais afetado, com 786 tentativas de infetar um dispositivo com malware por mês.

Os rastreadores invasivos têm rédea solta nos sites de hospedagem de vídeos gratuitos

Os rastreadores web são uma vasta categoria de ferramentas criadas para invadir a privacidade e recolher informações sobre a atividade dos utilizadores. Normalmente, os rastreadores assumem a forma de scripts especiais, cookies no navegador ou pixéis de rastreamento. Infelizmente, quando ocorre uma violação de dados, os dados armazenados pelos rastreadores podem ir parar às mãos de cibercriminosos.

Tendo isto presente, os utilizadores devem prestar a máxima atenção quando recorrem ao alojamento gratuito de vídeos (28% de todos os rastreadores bloqueados), serviços de armazenamento online (13%) e motores de busca (13%), que, segundo o estudo, são os principais responsáveis por monitorizar as atividades dos utilizadores. Desde o dia 1 de janeiro, a Proteção contra Ameaças Pro bloqueou 39 mil milhões de rastreadores apenas nos sites de alojamento gratuito de vídeos, ao passo que a categoria de armazenamento online é responsável por 18 mil milhões de rastreadores.

“Os sites muitas vezes partilham ou vendem os dados recolhidos pelos rastreadores a terceiros. Mas quem quiser proteger a sua privacidade tem à sua disposição diversas ferramentas para se tornar menos rastreável. É o caso das VPN, que alteram o verdadeiro endereço IP e a localização virtual da pessoa, dos bloqueios de rastreadores ou dos navegadores anónimos”, diz Warmenhoven.

Os anúncios invasivos fazem mais do que apenas irritar

Os anúncios invasivos e irrelevantes que aparecem inesperadamente, bloqueando a página do anfitrião e abrindo novas páginas e janelas, também são dos mais comuns nos sites de alojamento gratuito de vídeos, conteúdo para adultos e publicidade. Desde o início do ano, a Proteção contra Ameaças Pro detetou e bloqueou milhares de milhões deles: mais de 2 mil milhões, mil milhões e 807 milhões, respetivamente.

Além disso, os anúncios intrusivos são muito mais do que uma componente irritante da navegação online: são uma questão de privacidade e segurança. Também podem infetar os dispositivos dos utilizadores ao estabelecer ligação a sites maliciosos, violar a sua privacidade ao recolher dados da atividade na web e afetar a velocidade de carregamento dos sites.

Como se proteger das ciberameaças mais comuns

Para se proteger das ameaças de cibersegurança mais comuns, como malware, rastreadores e anúncios, Adrianus Warmenhoven aconselha-o a tomar as seguintes precauções:
- Desenvolva bons hábitos de cibersegurança. Os cibercriminosos aproveitam-se da apatia, da confusão e da ignorância, contando que as vítimas não cumpram as devidas diligências. A maioria das tentativas de phishing, por exemplo, envolve a distorção de nomes de marcas conhecidas.
- Verifique, descarregue, analise, instale. Os executáveis de malware podem estar disfarçados ou até ocultos em ficheiros legítimos. Verifique sempre o site de onde pretende fazer transferências e use ferramentas antimalware como a Proteção contra Ameaças Pro para inspecionar os ficheiros que descarrega, incluindo anexos suspeitos de e-mail.
- Tenha cuidado com os sítios que visita online. Há determinadas categorias de domínios web que têm muito maior probabilidade de hospedar malware que comprometa o seu dispositivo do que outras. Se visitar sites suscetíveis de conterem malware, presta atenção ao que escreve, àquilo em que clica e que descarrega.
- Deixe que a Proteção contra Ameaças Pro o proteja. A Proteção contra Ameaças Pro reúne o melhor das ferramentas essenciais de cibersegurança num pacote completo. Analisa cada ficheiro que descarrega quanto à presença de malware, impede-o de visitar páginas maliciosas utilizadas para phishing, fraudes e para o alojamento de malware, além de bloquear os anúncios irritantes.
18/06/2024
Campanha de malware engana vítimas com falsos erros do Chrome e OneDrive

Uma nova campanha de malware encontra-se a propagar com alvo para utilizadores do Google Chrome, OneDrive e do Word, alertando para falsos erros de forma a levar os utilizadores a executarem scripts do PowerShell.

A campanha tira proveito do desconhecimento dos utilizadores, apresentando mensagens de erro relacionadas com o Google Chrome, OneDrive ou o Word da Microsoft, e onde os utilizadores são direcionados para executarem scripts no PowerShell com as supostas “soluções”.

Se executados, estes scripts levam ao download e instalação de malware no sistema, que pode comprometer os dados dos utilizadores ou levar a que os atacantes tenham acesso ao mesmo.

A campanha distribui-se sobretudo sobre anexos de email, contendo ficheiros HTML criados especificamente para apresentar a mensagem de erro e os comandos a serem executados.

Embora o ataque envolva que os utilizadores tenham de realizar as tarefas diretamente para afetar o sistema, o truque da campanha encontra-se na forma como o conteúdo é apresentado para enganar as vítimas, levando as mesmas a crer tratar-se de uma solução para o problema. Quem possua desconhecimento do comando, acaba por usar o mesmo na tentativa de resolver o problema.

Como sempre, comandos que sejam executados dentro do Terminal do Windows ou na linha de comandos do PowerShell devem ser de fontes credíveis e apenas executados quando os utilizadores saibam exatamente o que realizam. Este género de comandos podem executar ações sensíveis no sistema ou descarregar conteúdos potencialmente maliciosos.

18/06/2024
Novo malware para Linux usa emojis para evitar identificação

Foi recentemente descoberta uma nova vulnerabilidade, focada para sistemas Linux, e que curiosamente, se propaga através de uma forma algo invulgar. Apelidado de “DISGOMOJI”, este novo malware usa emojis para executar comandos potencialmente nocivos em sistemas infetados, usando também o Discord como forma de propagação.

Acredita-se que o malware tenha sido criado com foco em alvos governamentais, sendo que o principal parecer ser entidades sediadas na Índia. De acordo com a empresa de segurança Volexity, as primeiras atividades do malware foram identificadas no início do ano, mas têm vindo a intensificar-se.

Quando se instala no sistema, o malware possui a capacidade de enviar e receber comandos de forma remota, potencialmente permitindo o roubo de dados sensíveis e a realização de tarefas pelos sistemas infetados.

Os investigadores apontam que o malware usa servidores do Discord para enviar e receber informações, sendo que também usa emojis como forma de comandos, para facilitar a tarefa e tentar contornar algumas medidas de segurança.

O malware distribui-se sobretudo por mensagens de phishing, que são enviadas por diferentes meios. Embora seja focado para Linux, o malware parece sobretudo focado para atacar entidades na Índia, que usam sistemas personalizados baseados no Linux.

Quando se encontra num sistema infetado, o malware procede com o envio de emojis para diferentes servidores do Discord, o que permite realizar os comandos pretendidos. Esta técnica é algo invulgar de se verificar num malware, mas acredita-se que tenha sido aplicada para tentar enganar alguns sistemas de segurança ou de monitorização, que identificar apenas as mensagens como emojis inofensivos e evitam levantar possíveis alertas.

Por agora, este malware parece focado apenas para ataques direcionados a algumas entidades, sendo que parecem ser focadas apenas na Índia. Eventualmente, o mesmo pode ser adaptado para outros países.

16/06/2024
Microsoft vai adiar lançamento do Windows Recall

A Microsoft encontra-se oficialmente a adiar o lançamento do Windows Recall, uma das funcionalidades previstas para o Windows 11 com ajuda de IA, depois de várias críticas a nível de privacidade e segurança.

O Windows Recall permite que seja criado um histórico do uso do sistema, onde este usa IA para recolher imagens de tudo o que o utilizador realize no sistema. Estas imagens ajudam os utilizadores a retroceder para certos passos, e a Microsoft garante que todos os conteúdos são apenas guardados de forma local.

No entanto, rapidamente a funcionalidade começou a chamar à atenção, sobretudo a nível da segurança, devido aos dados que podem ser recolhidos destas imagens, que podem incluir senhas, dados bancários e outras informações sensíveis. Embora os dados fiquem guardados apenas de forma local, vários investigadores de segurança relembraram que é possível que malware tenha a capacidade de aceder e roubar estes dados.

A funcionalidade estava prevista de chegar aos sistemas com o selo Copilot+, que são os sistemas programados para IA da Microsoft. No entanto, numa recente atualização da funcionalidade, a empresa confirmou que vai adiar o lançamento da mesma para os utilizadores. O Windows Recall estava previsto de começar a ser fornecido no dia 18 de Junho de 2024, mas agora a empresa apenas indica que vai lançar a funcionalidade “nas próximas semanas”.

Esta medida surge também depois de as autoridades dos EUA terem começado a analisar a funcionalidade, depois das críticas deixadas pela comunidade. Embora ainda se acredite que a funcionalidade venha a ser lançada, por agora esta não vai chegar ao sistema, e a Microsoft precisa de trabalhar a mesma de forma considerável para garantir a segurança e privacidade de dados.

A piorar a situação, o Windows Recall era uma funcionalidade que a Microsoft iria ativar por padrão em todos os sistemas compatíveis com a mesma, embora os utilizadores tivessem a possibilidade de desativar a mesma.

14/06/2024
Campanha de phishing usa pesquisa do Windows para enganar vítimas

O Windows é um dos principais alvos de campanhas de phishing, e recentemente, foi descoberta uma nova que tenta tirar proveito do sistema de pesquisa do sistema operativo para enganar os utilizadores.

A pesquisa do Windows permite que sejam usados protocolos e links rápidos para, dentro do Explorador de Ficheiros, realizar pesquisas rápidas por conteúdos. E agora, grupos de atacantes encontram-se a explorar este sistema para criarem campanhas de phishing focadas para sistemas Windows.

De acordo com os investigadores da empresa Trustwave SpiderLabs, a campanha foca-se em usar links especialmente criados para explorar a Pesquisa do Windows, tentando enganar os utilizadores através de campanhas de phishing, e levar os mesmos a executar malware nos seus sistemas.

A campanha começa com ficheiros HTML especificamente criados para explorarem a pesquisa do Windows, que são enviados em mensagens de email para potenciais vítimas. A ideia será levar as mesmas a usarem o próprio sistema para descarregar conteúdos potencialmente maliciosos, em ficheiros ZIP ou derivados de fontes externas.

Isto pode levar a que malware seja descarregado para os sistemas, potencialmente levando as vítimas a poderem instalar os mesmos nos seus sistemas.

Como sempre, deve-se ter atenção aos conteúdos que são enviados em mensagens de email suspeitas ou desconhecidas.

13/06/2024
Microsoft confirma mudanças no Recall depois de críticas

Recentemente a Microsoft revelou a nova funcionalidade Recall para o Windows, algo que rapidamente levantou questões a nível de segurança e privacidade. Esta função do Windows permite guardar tudo o que seja feito no sistema, para rapidamente se voltar a um certo ponto caso seja necessário.

Como seria de esperar, a funcionalidade foi vista com algum receio por um vasto número de utilizadores, sobretudo devido às suas implicações a nível de segurança. Como a funcionalidade recolhe tudo o que é feito no sistema, isso envolve também dados potencialmente sensíveis, como dados bancários, cartões de crédito e até mesmo senhas.

A funcionalidade foi apresentada como parte do Copilot Plus PC, focada no futuro dos PCs com Windows 11. Embora a empresa tenha garantir que toda a informação permanece no sistema dos utilizadores, isso não será suficiente para satisfazer todas as questões, ainda mais quando é possível que esses dados possam ser recolhidos para outras atividades por malware local.

Felizmente, a Microsoft parece ter ouvido as críticas, sendo que confirmou agora alterações para a funcionalidade. Inicialmente, o Recall estava previsto de ser ativado por padrão para todos os sistemas compatíveis com o mesmo. No entanto, a empresa agora garante que vai fornecer a opção dos utilizadores desativarem a função quando estiverem a configurar os seus novos Copilot Plus PC.

Além disso, agora passa a ser necessário usar o Windows Hello para autenticar o acesso, de forma a aceder aos dados do Recall. Desta forma, os utilizadores precisam de validar a identidade com o rosto, impressão digital ou PIN único de acesso.

A empresa garante ainda que vai adicionar novas camadas de proteção para garantir que os dados do Recall encontram-se encriptados no sistema, e apenas podem ser acedidos por utilizadores com permissões para tal. Esta medida pode ter sido aplicada depois de investigadores de segurança terem confirmado que era possível aceder aos conteúdos do Recall diretamente pelo sistema, com fracas medidas de proteção nos dados.

De relembrar que o Recall usa IA de forma local, para rapidamente permitir aos utilizadores encontrarem conteúdos que tenham feito no sistema quando seja necessário pesquisar por tal. Como todos os dados são tratados localmente, nenhuma informação é usada para treino dos modelos de IA da Microsoft.

A empresa garante ainda que vai aplicar novas alterações na forma como os conteúdos são guardados. Invés de colocar essa informação numa base de dados em formato de texto plano, como alguns investigadores de segurança tinham descoberto, agora esses dados serão primeiro encriptados de forma segura.

De notar que a Microsoft colocou o desenvolvimento do Recall como parte do Secure Future Initiative (SFI), um projeto interno da empresa focado em melhorar a segurança da plataforma da empresa, tanto a nível do Windows como dos serviços Azure da mesma. A ideia deste projeto será criar medidas para melhorar a segurança dos sistemas, e surge depois de alguns lapsos de segurança nos últimos anos que afetaram a Microsoft.

A empresa sublinha que as medidas agora aplicadas fazem parte deste projeto, e incluem-se em tornar também o Recall mais seguro para todos os utilizadores do sistema.

Por fim, a empresa sublinha ainda que a nova funcionalidade apenas irá ficar disponível nos novos Copilot Plus PC, que contam com hardware dedicado para garantir a segurança dos dados.

07/06/2024
361 milhões de contas roubadas partilhados via o Telegram

Uma base de dados contendo mais de 361 milhões de endereços de email, associados a vários leaks de dados e roubos de credenciais, foi recentemente partilhado no Telegram.

Estas listas são conhecidas como “Combo lists”, e normalmente integram um conjunto de dados roubados de vários leaks e roubos de informação, tudo numa grande lista para fácil acesso. Invés de serem separadas em diferentes formatos, as combolists possuem todos os dados agregados num único ficheiro, o que aumenta consideravelmente as possibilidades de dados serem roubados, e torna todo o processo bastante mais simples para os atacantes usarem.

Recentemente, o investigador Troy Hunt, do portal Have I Been Pwned, foi notificado de uma das maiores listas dos últimos tempos, que estaria a ser partilhada no Telegram, e possui mais de 361 milhões de endereços de email únicos.

Dentro destes ficheiros, que totalizam mais de 122 GB de credenciais, encontram-se 151 milhões de dados nunca antes vistos, o que pode indicar que a lista não apenas integra leaks antigos, como também dados novos que foram recolhidos em recentes ataques.

De acordo com Hunt, além dos emails, a lista inclui ainda senhas e, em alguns casos, os sites onde os mesmos foram usados. Acredita-se que estes dados terão sido recolhidos por malware, focado em roubar credenciais de login de sistemas comprometidos.

Embora o volume de dados torne quase impossível de confirmar se todos os dados são legítimos, alguns testes básicos indicam que ainda existem muitas contas com dados corretos, e que podem ser abusadas em ataques.

Além disso, tendo em conta o próprio tamanho da lista, esta integra-se como sendo uma das maiores partilhadas nos últimos anos dentro do Telegram. Os investigadores acreditam que podem envolver dados de vários sites – incluindo sites nacionais – com informação potencialmente sensível que pode ser usada para roubo de contas ou outras atividades.

Os emails identificados desta lista foram adicionados no site do HIBP, portanto é possível verificar as contas de email potencialmente afetadas no mesmo.

04/06/2024
Kaspersky lança ferramenta gratuita capaz de identificar malware em sistemas Linux

A empresa de segurança Kaspersky revelou uma nova ferramenta, focada para sistemas Linux, que pretende ajudar os utilizadores a descobrirem ameaças nos sistemas.

A KVRT permite que os utilizadores possam identificar e remover rapidamente malware conhecido para Linux, que possa ter sido instalado nos diferentes sistemas. Esta ferramenta foca-se em ajudar os utilizadores a identificar as ameaças e sistemas comprometidas.

Além de identificar o malware, a ferramenta pode ainda ajudar a remover o mesmo, caso seja possível de forma direta. Um dos exemplos encontra-se na recente falha do XZ Utils, que abria portas para instalação de um backdoor nos sistemas. Com esta ferramenta, é possível identificar sistemas potencialmente comprometidos ou que ainda se encontram vulneráveis.

A empresa sublinha que a ferramenta não será um sistema de proteção em tempo real, mas sim uma ferramenta de ajuda na identificação e remoção de malware. O mesmo foca-se para análises regulares ao sistema, e não como uma forma permanente de proteção.

A ferramenta usa as bases de dados mais recentes da empresa de segurança, mas os utilizadores necessitam de descarregar a mesma sempre que pretendam usar as versões mais recentes.

De notar ainda que a ferramenta necessita de uma ligação ativa à internet para funcionar e apenas suporta sistemas de 64 bits. A mesma foi testada nas distribuições Red Hat Enterprise Linux, CentOS, Linux Mint, Ubuntu, SUSE, openSUSE, e Debian, embora praticamente qualquer distro de Linux deva ser compatível.

02/06/2024
Versões piratas do Microsoft Office instalam mistura de malware nos sistemas

Por quem navega em conteúdos piratas, certamente que descobrir um ou outro com malware não é propriamente uma novidade. Mas recentemente, uma nova campanha de malware encontra-se focada para quem procura soluções “alternativas” para instalar o Microsoft Office.

Segundo os investigadores da empresa de segurança AhnLab Security Intelligence Center, foi descoberto em vários sites de partilha de programas ilegalmente, uma versão pirateada do Microsoft Office, que embora tenha um aspeto “profissional”, encontra-se longe de ser segura para os sistemas.

O software propaga-se como sendo um instalador e ativador para diferentes versões do Microsoft Office. Os utilizadores, ao abrirem o mesmo, possuem acesso a uma interface aparentemente legítima e bem trabalhada, de onde se pode escolher qual a versão do Office a instalar, idioma e outras configurações.

No entanto, em segundo plano, esta aplicação também instala um verdadeiro cocktail de malware no sistema. Usando código encriptado na sua fonte, a aplicação procede com a instalação de diferentes formatos de malware no sistema, desde ransomware, spyware e outro malware em geral, que pode levar a roubo de dados.

De acordo com os investigadores, o programa começa por contactar os servidores do Telegram ou Mastodon, de onde procede para receber os links onde se encontra o malware – um script que, para evitar a deteção, encontra-se armazenado no Google Drive ou GitHub.

Depois de descarregado, o script é executado no PowerShell, procedendo com a instalação tanto do Microsoft Office pedido pelo utilizador, como também de diferentes variantes de malware. Não se contentando apenas com um, o programa instala mesmo vários malwares no sistema.

Entre estes encontra-se o Orcus RAT, que permite acesso remoto ao sistema, o XMRig, que usa os recursos do sistema para minerar criptomoedas, o 3Proxy, que abre um proxy para ligações remotas a partir do sistema, PureCrypter, que mantém o malware instalado e atualizado, e ainda o AntiAV, que desativa uma vasta lista de programas de segurança, impedindo a deteção dos mesmos.

Mesmo que o malware seja removido do sistema, existem ainda módulos adicionais que são executados cada vez que o mesmo arranca, e que procedem com a instalação novamente de malware nas máquinas.

Este género de campanhas podem ainda levar a que ransomware também seja descarregado e instalado nas máquinas. Por agora, parece que o foco parece ser malware que pode permitir o roubo de dados e o controlo remoto dos sistemas, mas eventualmente pode transitar para ransomware.

30/05/2024
EUA desmantelaram uma das maiores redes botnet da atualidade

As autoridades norte-americanas confirmaram ter desmantelado uma das maiores redes de cibercrime na região, conhecida como “911 S5”. Juntamente com isso, foi também detido o suspeito de administrar esta rede.

De acordo com o comunicado do Departamento de Justiça dos EUA, YunHe Wang, de 35 anos, terá sido detido pelas autoridades em Singapura. Este encontra-se acusado de administrar uma das maiores redes de cibercrime dos últimos anos.

Desde meados de 2011, Wang e os seus associados terão usado aplicações falsas de VPN para infetar os sistemas das vitimas, passando a usar os mesmos como parte da rede botnet para as mais variadas atividades maliciosas. O malware terá sido distribuido em aplicações como a MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN, e ShineVPN.

Entre 2014 e 2022, o grupo terá criado uma rede com milhões de endereços IP, pertencentes a sistemas de vítimas inocentes em computadores Windows infetados. No total, a rede teria mais de 19 milhões de endereços IP únicos, o que inclui 613.841 endereços apenas nos EUA.

Além disso, Wang estaria ainda em controlo de 150 servidores dedicados, distribuídos a nível mundial, que eram usados para as suas atividades. Estes servidores eram usados como forma de enviar comandos e realizar as atividades maliciosas dentro da rede, oferecendo um escudo entre este e as atividades.

O esquema terá atraído muitos utilizadores devido a tratar-se da oferta de aplicações VPN gratuitas, que prometiam proteger a identidade dos utilizadores durante a navegação. No entanto, as aplicações estariam a aproveitar-se do sistema para esta atividade da rede botnet.

Acredita-se que Wang estaria a receber dinheiro para permitir acesso a outros cibercriminosos usarem estes endereços IP para os mais variados fins. No total, estima-se que o mesmo tenha recebido mais de 99 milhões de dólares apenas da venda direta do acesso a esta rede botnet.

Por valores entre 28 e 674 dólares, os criminosos poderiam adquirir centenas ou milhares de endereços IP individuais, que faziam parte desta rede e poderiam ser usados para as atividades maliciosas de outros grupos.

Face aos crimes, Wang enfrenta agora uma pena de prisão de até 65 anos, juntamente com outros crimes e coimas que podem ser aplicadas.

30/05/2024
Botnet danificou 600 mil routers sem razão aparente em 2023

Uma rede botnet bastante misteriosa pode ter causado falhas em mais de 600.000 routers espalhados pelo mundo, colocando os mesmos offline. A rede botnet atacou um grupo especifico de routers, usados por algumas operadoras.

O evento aconteceu em 2023, sendo que a rede é apelidada de “Pumpkin Eclipse”. Segundo os investigadores da Lumen Black Lotus Labs, o ataque ocorreu em 2023, e terá deixado milhares de routers inacessíveis entre 25 e 27 de Outubro de 2023.

O ataque foi bastante destrutivo, tanto que os donos destes routers tiveram mesmo de substituir os mesmos para voltarem a ter ligação com a rede. O ataque parece ter sido voltado para routers domésticos, que são vendidos pelas operadoras para os clientes.

O ataque afetou os routers ActionTec T3200s, ActionTec T3260s, e Sagemcom F5380. Os investigadores afirmam que o ataque teve maior impacto nos EUA, onde uma operadora local estaria a fornecer estes modelos de routers específicos para os seus clientes.

Na altura do ataque, essa operadora perdeu quase 49% dos acessos regulares devido aos clientes terem ficado sem acesso à internet, com os routers inutilizados. Os investigadores não revelaram o nome da operadora afetada.

Segundo os investigadores, que analisaram o ataque, este aparenta ter afetado mais de 600.000 routers. Embora não tenha sido revelado o nome da operadora afetada, acredita-se que pode estar relacionado com falhas registadas pela Windstream na mesma altura.

Vários clientes desta operadora reportaram falhas na ligação à internet na mesma altura em que o ataque terá ocorrido.

Embora o ataque tenha afetado um alargado número de routers ao mesmo tempo, os investigadores não conseguiram identificar a origem para tal atividade. Acredita-se que os atacantes podem ter explorado uma falha existente no sistema do router, que era desconhecida, para levar ao problema.

Os scripts usados para o ataque terão ainda recolhido dados dos routers e das redes afetadas, enviando a informação para um servidor em controlo dos atacantes. Depois disso, o script encontra-se programado para eliminar permanentemente todos os dados armazenados no sistema de memória dos routers, causando com que estes fiquem totalmente inoperacionais.

Os investigadores afirmam que o malware instalado nos routers para causar esta falha teria ainda capacidade de usar os mesmos para ataques DDoS, mas que essa funcionalidade não foi usada.

Curiosamente, embora o ataque tenha afetado um alargado numero de routers no mercado, as motivações que levaram a tal são ainda desconhecidas.

30/05/2024
Criminosos fazem-se passar como “ajudantes” no Stack Overflow

Grupos de utilizadores do Stack Overflow estão a usar a plataforma para levar outros utilizadores a instalarem pacotes maliciosos nas suas criações. Estes utilizadores fazem-se passar por ajudantes na Stack Overflow, mas conforme fornecem respostas para as questões, levam as suas respostas para conteúdos potencialmente maliciosos.

De acordo com o investigador Ax Sharma, da empresa Sonatype, o esquema começa quando uma vítima usa o Stack Overflow para colocar a sua questão, esperando obter ajuda da comunidade. No entanto, utilizadores com intenções maliciosas tentam responder de forma credível, levando os mesmos a instalarem pacotes PyPi maliciosos nos seus sistemas.

Se instalado, este pacote acaba por levar à instalação de malware nos sistemas, que pode ter o potencial de roubar informações sensíveis do mesmo – como senhas e dados guardados no navegador.

Este género de ataques normalmente tentam tirar proveito de erros na escrita do nome dos pacotes. No entanto, aqui a técnica é diferente, sendo que se tenta levar à ajuda comunitária, onde o pacote aparentemente iria resolver todos os problemas.

Tendo em conta que o Stack Overflow é usado tanto por utilizadores experientes como novatos, este género de campanhas possui um elevado grau de potencial de ataque. Mesmo utilizadores com alguns conhecimentos podem acabar por ser enganados, pensando que estão a receber ajuda de outros utilizadores na comunidade.

Este género de campanhas relembram que deve-se ter atenção aos vários meios como os ataques são feitos, até mesmo quando se pensa que pode estar a receber ajuda de terceiros.

30/05/2024
Autoridades apreenderam mais de 100 servidores usados por malware

Um conjunto de forças de segurança internacionais realizaram uma nova operação, focada em interromper as atividades de vários grupos de malware. As autoridades confirmaram ter apreendido mais de 100 servidores usados para as atividades maliciosas de dezenas de famílias de malware no mercado.

A operação foi apelidada de “Endgame”, e terá conseguido interromper as atividades de famílias de malware como IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader, e SystemBC.

As ações ocorreram entre 27 e 29 de Maio de 2024, com sistemas apreendidos em mais de 16 países na zona europeia. Foram ainda detidos quatro suspeitos, na Arménia e Ucrânia, que seriam responsáveis por gerir a rede. Outros oito suspeitos foram ainda adicionados à lista de procurados da Europol.

No total, foram apreendidos mais de 2000 domínios diferentes, que seriam usados para as atividades ilícitas, juntamente com mais de 100 servidores espalhados por vários países, que seriam responsáveis por realizar as atividades maliciosas, receber e enviar comandos dos sistemas infetados, entre outros.

Acredita-se que o malware usado por esta rede estaria instalado em milhares de sistemas a nível global, sendo que os suspeitos de gerirem a mesma terão feito mais de 69 milhões de euros em receitas como parte destas atividades.

A infraestrutura do malware e ransomware era ainda alugada para terceiros, que a poderiam usar para realizar ataques diretamente, sendo que uma parte das receitas era depois fornecida para os gestores da mesma.

As autoridades afirmam ainda ter recolhido informação importante que poderá ser usada para futuras investigações, e que pode levar à identificação de ainda mais suspeitos de usarem e gerirem as suas próprias redes de crime digital.

30/05/2024
Trojan bancário faz-se passar por atualização da Play Store

De tempos a tempos, surgem novos esquemas que tentam tirar partido de utilizadores com menos conhecimentos, para os levar a instalar malware nos seus dispositivos.

O mais recente esquema agora faz-se passa pela Google, mais concretamente por uma suposta atualização para a Play Store. Investigadores de segurança da empresa Cyble revelaram a descoberta de um novo trojan bancário, focado em roubar dados de pagamento e contas bancárias das vítimas, que se mascara como sendo uma atualização para a Play Store.

O esquema começa quando os utilizadores acedem a um site malicioso, que pede para instalar uma alegada atualização da Play Store. Se os utilizadores aceitarem, necessitam de descarregar o APK da mesma para os seus dispositivos.

As páginas estão distribuídas em vários idiomas, e adaptam-se conforme o pais de onde as vitimas acedam. Existem mesmo páginas criadas em Português, indicando que existem como alvo utilizadores em Portugal.

Caso os utilizadores instalem a suposta “atualização”, são depois instruídos para ativarem o serviço de acessibilidade do Android, o que dá permissões para a app realizar as tarefas maliciosas no sistema.

Com isto, a aplicação possui todas as permissões necessárias para começar a realizar o roubo dos dados. A aplicação estabelece ainda uma ligação a um servidor de controlo, de onde recebe os comandos para realizar os ataques e para onde envia os dados roubados.

A aplicação possui a capacidade de registar os dados introduzidos no sistema, bem como recolher as imagens do ecrã, gravar vídeos e voz, chamadas realizadas, ler as mensagens SMS e enviar pedidos de código USSD para a operadora.

Basicamente, os atacantes passam a ficar com controlo total do sistema, e podem usar esse acesso para roubar ainda mais dados das vitimas. O malware parece focado para o roubo financeiro, mas pode ser usado também para o roubo de dados de login e outras informações sensíveis.

Como sempre, é importante ter-se em atenção o local de onde se descarrega as aplicações, garantindo que são de fontes credíveis. Embora a Play Store tenha casos de malware enviado para a mesma, ainda é a melhor fonte de instalação de apps para o Android, e a mais segura.

Além disso, deve-se sempre desconfiar de supostas “atualizações” para componentes base do Android, que normalmente são apenas disponibilizadas vias as atualizações oficiais dos dispositivos – e não um site qualquer pela internet.

29/05/2024
Centenas de aplicações maliciosas descobertas na Google Play Store

Embora a Play Store da Google ainda seja um dos locais mais seguros para instalar aplicações no Android, de tempos a tempos algumas apps maliciosas conseguem passar as barreiras de segurança para serem distribuídas pela mesma.

Recentemente, um grupo de investigadores revelou ter descoberto mais de 90 apps maliciosas que estariam disponíveis via a Play Store da Google. As aplicações continham o malware conhecido como Anatsa, que é conhecido por tentar roubar dados bancários das vítimas.

Segundo os investigadores, as aplicações maliciosas foram instaladas mais de 5.5 milhões de vezes ao longo de vários meses em que permaneceram na loja de aplicações da Google.

As aplicações mascaravam-se de leitores de ficheiros PDF ou de códigos QR, e embora fornecessem as funcionalidades que eram esperadas, em segundo plano encontravam-se a instalar o malware para o roubo de dados sensíveis. As aplicações mascaravam-se ainda de editores de texto, tradutores e outras ferramentas úteis para o dia a dia.

Como as apps forneciam o que era prometido, muitos utilizadores nem saberiam ter sido infetados até que os dados bancários e de plataformas de pagamento fossem roubados. Ao mesmo tempo, eram aplicadas técnicas para evitar que o malware fosse identificado.

As apps não procediam imediatamente com o ataque, nem com o download de malware. Invés disso, estas mantinham-se escondidas no sistema por alguns dias, sendo que apenas depois desse período de tempo era descarregado o malware no mesmo, e procedia-se com o roubo de dados. O próprio malware encontra-se fortemente encriptado para evitar a deteção.

Os atacantes optaram por usar aplicações de leitura de PDF e códigos QR por serem aplicações populares de serem usadas com regularidade, e que a maioria dos utilizadores mantém nos seus dispositivos por mais tempo.

Algumas das aplicações contavam com milhares de downloads, e é possível que ainda se encontrem em lojas de aplicações alternativas. As aplicações maliciosas descobertas foram removidas diretamente da Play Store, pelo que não se encontram mais disponíveis via esse meio.

29/05/2024
Microsoft já está a ser investigada por funcionalidade “Recall” do Windows 11

Recentemente a Microsoft revelou que iria integrar uma nova funcionalidade no Windows 11, apelidada de Recall. Esta era, basicamente, uma “máquina do tempo” para o sistema da empresa, que permite aos utilizadores verem todas as atividades que realizaram no sistema em alturas anteriores.

Na altura, a empresa revelou que este sistema iria usar a IA para organizar os conteúdos, sendo realizada uma captura de pontos chave do uso do Windows. Obviamente, esta nova função rapidamente levantou questões a nível de privacidade, que não foram propriamente resolvidas pela Microsoft ao indicar que todos os conteúdos ficariam armazenados apenas em formato local.

Um dos problemas que surgiu será o facto de o sistema realizar capturas de ecrã de pontos chave no uso do Windows, onde se pode incluir informação potencialmente sensível, como senhas ou dados de pagamento. Existe ainda a questão que, embora os conteúdos fiquem armazenados no sistema, isso não impede que malware possa ter acesso aos mesmos.

Agora, devido a estas questões, parece que existem algumas entidades que já estão a começar a investigar a Microsoft pelas mesmas. A ICO do Reino Unido terá recentemente confirmado que vai iniciar a investigação desta nova funcionalidade de IA da Microsoft para o Windows 11.

A entidade pretende averiguar como a função pode comprometer a privacidade e segurança dos utilizadores. É bastante provável que esta não seja a única entidade que lance este género de medidas – ainda mais com várias entidades europeias a apertarem as regras sobre a privacidade dos consumidores pela internet.

De momento, a ICO apenas se encontra a investigar as alegações sobre a funcionalidade, e ainda nada concreto foi revelado sobre o futuro da mesma. No entanto, é possível que a Microsoft venha a ter mais algumas dores de cabeça derivado da mesma, seja por parte das autoridades que investiguem, ou da própria comunidade que vai certamente olhar para a mesma com algum receio.

27/05/2024
Versão maliciosa do navegador Arc distribuída em resultados de pesquisa da Google

O navegador Arc tem vindo a ganhar bastante popularidade no mercado, prometendo personalizar a forma como os utilizadores navegam pela internet. Este navegador recebeu ainda mais atenção depois de ter ficado disponível para o Windows – anteriormente era destinado apenas a sistemas macOS.

No entanto, se existe quem esperava a versão Windows para o poder usar, também do lado dos criminosos isso está a ser aproveitado para alguns ataques.

Recentemente foi descoberta uma nova campanha de malware, focada para quem procura descarregar o Arc no Windows. Esta campanha propaga-se sobretudo sobre os resultados de pesquisa do Google, direcionando os utilizadores para falsos sites.

De acordo com a empresa de segurança Malwarebytes, os atacantes encontra-se a lançar campanhas nos resultados de pesquisa, que surgem quando se procura por termos associados com o download do Arc para Windows. Os resultados direcionam os mesmos para sites aparentemente legítimos, onde se encontra o download do navegador.

No entanto, quando os utilizadores realmente acedem ao resultado, são direcionados para um falso site, que possui um domínio similar ao original, e onde se encontra alegadamente o navegador. Porém, trata-se de uma versão falsa, que possui malware integrado para o roubo de dados do sistema onde seja instalado.

O malware instala uma variante modificada do navegador, que conta com código focado em enviar comandos para o sistema de armazenamento cloud da MEGA. Embora a plataforma da MEGA seja legítima, os atacantes encontram-se a usar a mesma como forma de comunicação para o malware, enviando comandos ao mesmo e usando a API da plataforma para o envio de dados roubados dos sistemas infetados.

O malware começa por descarregar uma imagem PNG do MEGA, que é depois modificada no sistema para se tornar um executável, de onde começa o ataque. Se instalado, o malware procede com o roubo de dados sensíveis do sistema, como de senhas guardadas em outros navegadores no mesmo.

O Arc é igualmente instalado no sistema das vítimas, de forma que o ataque pode ser realizado de forma silenciosa, com as vítimas a pensarem ter descarregado a versão correta do navegador.

Como sempre, é importante ter atenção a todos os locais de onde se descarrega novo software, sobretudo quando é feito a partir de fontes como pesquisas em motores de pesquisa – uma das formas de evitar este ataque passa por usar bloqueadores de publicidade, ou aceder diretamente ao site dos criadores do software.

27/05/2024
Hackers usam clone de jogo do Windows para instalar malware

Uma nova campanha de malware, focada em organizações financeiras nos EUA e Europa, encontra-se a usar versões modificadas maliciosamente do jogo Minesweeper, para Windows, de forma a infetar sistemas para roubo de dados sensíveis.

De acordo com a CSIRT-NBU e CERT-UA, um grupo conhecido como “UAC-0188” encontra-se a criar versões maliciosas do jogo Minesweeper do Windows, contendo código Python malicioso, com o objetivo de infetar sistemas de instituições financeiras pela Europa e EUA.

As autoridades afirmam que pelo menos cinco entidades terão sido comprometidas devido a este malware.

O mesmo propaga-se sobretudo via mensagens de email, onde as potenciais vítimas – funcionários das empresas – são levados a descarregar conteúdos de fontes externas, como links do Dropbox, alegando tratar-se de conteúdos pessoais.

Se os utilizadores descarregarem o conteúdo, estão a descarregar na verdade a parte inicial do malware, que corresponde a um clone do jogo do Windows, mas contendo um script Python que se executa em segundo plano, iniciando o roubo de dados dos sistemas.

A ideia será que o código do jogo possam enganar software de segurança existente no sistema, reconhecendo o mesmo como benigno, enquanto que as atividades maliciosas são feitas em segundo plano.

O malware, uma vez instalado, pode ainda ser usado para permitir o acesso remoto ao sistema infetado. Desta forma, os atacantes podem controlar e aceder remotamente ao sistema, potencialmente obtendo ainda mais informação sensível que seja usada no mesmo.

De acordo com as autoridades, cinco empresas terão sido afetadas pelo malware, sendo que os nomes das mesmas não foram revelados. No entanto, acredita-se que o grupo esteja ativamente a lançar campanhas contra outras instituições financeiras.

27/05/2024
Ransomware usa funcionalidade do Windows para encriptar o sistema

Existe uma nova variante de ransomware que se encontra focada em infetar sistemas Windows, e para tal, tira proveito das próprias funcionalidades do sistema.

Conhecido como ShrinkLocker, este novo ransomware encripta a partição de arranque do sistema usando o Windows BitLocker, funcionalidade normalmente usada para encriptar os dados dos utilizadores de forma segura nos seus sistemas.

De acordo com a empresa de segurança Kaspersky, o ransomware tem vindo a propagar-se em massa para mais sistemas, sendo que o foco aparentam ser dispositivos de entidades governamentais.

Os investigadores apontam que as variantes mais recentes deste ransomware adotam novas formas de encriptarem os dados, para serem ainda mais eficazes, mas também mais destrutivas, bloqueando acesso a sistemas sensíveis.

O ShrinkLocker usa a programação Visual Basic Scripting (VBScript), que a Microsoft criou em 1996, e encontra-se agora em vias de ser descontinuado do Windows – embora ainda ativo e bastante usado para ataques de malware em geral.

O ransomware começa por identificar o sistema que se encontra instalado, usando as próprias ferramentas do Windows para tal. Com isto, aplica diferentes formatos de encriptação, focando-se em garantir que os dados ficam encriptados o melhor possível.

Se o malware identificar que se encontra num sistema que não corresponde ao pretendido – por exemplo, com o Windows Vista ou inferior – o mesmo não realiza qualquer ação e elimina todos os seus vestígios.

Ao contrário dos ransomware regulares, onde normalmente existe um meio de contacto que é colocado em ficheiros no ambiente de trabalho, este ransomware não aplica tal técnica. Invés disso, cria um novo disco de arranque, com um contacto de email para as vítimas poderem tentar recuperar os dados.

No entanto, este nome apenas surge caso as vitimas tentem usar ferramentas de recuperação para identificar o problema com o sistema, onde então poderão verificar o nome da partição invulgar.

A chave de desencriptação é enviada diretamente para os atacantes, que bloqueiam assim o acesso ao sistema até que o pagamento seja realizado. No entanto, tendo em conta o formato do ataque, os investigadores acreditam que o mesmo não se encontra focado em ganhos monetários, mas sim para levar à destruição de dados.

24/05/2024
Fraudes com cartões de oferta estão a aumentar

A Microsoft atualizou recentemente o seu relatório “Cyber Signals”, trazendo algumas novidades sobre as ameaças atualmente no mercado. E os dados demonstram um aumento considerável de ataques recorrendo a cartões de oferta – uma das práticas de burlas mais antigas.

Segundo a recente edição do Cyber Signals, a Microsoft observou um aumento de 30% das atividades ilícitas praticadas pelo grupo Storm-0539 entre março e maio de 2024, assim como uma subida de 60% entre setembro e dezembro de 2023, coincidindo com o período da Black Friday e do Natal, época em que se regista uma maior utilização de cartões oferta por parte dos consumidores.

Em atividade desde o final de 2021, este grupo de cibercrime surge da evolução dos cibercriminosos que no passado se especializavam em ataques de malware a dispositivos presentes em pontos de venda, como caixas registadoras, com o objetivo de comprometer os dados dos cartões de pagamento dos consumidores. Hoje, estes grupos estão a adaptar-se para visar serviços de cloud e de identidade, com o objetivo de atacar de forma constante os sistemas de pagamento e cartões associados a grandes retalhistas, marcas de luxo e cadeias de fast-food.

De acordo com a Microsoft Threat Intelligence, os cartões oferta são hoje alvos atrativos para práticas de fraude. Ao contrário dos cartões de crédito ou de débito, esta tipologia de cartão pré-pago não têm o nome do cliente nem uma conta bancária associada, o que pode diminuir o escrutínio da sua utilização potencialmente suspeita nalguns casos, apresentando desta forma aos cibercriminosos um formato diferente enquanto cartão de pagamento para explorar.

Através de um profundo conhecimento dos ambientes de cloud, o grupo Storm-0539 começa por visar os telemóveis pessoais e profissionais dos colaboradores através de mensagens de smishing. Após acederem à conta de um colaborador, movimentam-se lateralmente na rede à procura de processos de negócios relacionados com cartões oferta e recolhem informações sobre máquinas virtuais, ligações VPN e vários recursos de software e ambientes remotos. Posteriormente, criam novos cartões oferta utilizando contas comprometidas, resgatam o valor e, posteriormente, vendem os cartões oferta a outros agentes de ameaças no mercado negro.

Esta metodologia demonstra a complexidade e o alcance das operações do grupo Storm-0539.

Como sempre, os utilizadores são aconselhados a adotarem práticas de segurança nas suas atividades digitais, bem como em manterem os seus dados e credenciais seguros. Entre as práticas recomendadas encontra-se a ativação de sistemas de autenticação em duas etapas, e o uso de gestores de senhas, bem como de credenciais seguras e únicas.

23/05/2024
Microsoft vai desativar VBScript na segunda metade de 2024

A Microsoft confirmou que vai começar a descontinuar o suporte a VBScript no Windows a partir da segunda metade de 2024, sendo que, eventualmente, a funcionalidade vai ser inteiramente removida do sistema.

Em tempos, o VBScript foi uma funcionalidade útil para executar scripts dentro do sistema operativo, mas rapidamente começou também a ser explorada por malware, que usava o mesmo para interagir com o sistema mais facilmente. Hoje em dia, existem tecnologias não apenas mais atualizadas e poderosas, como também mais seguras, que permitem realizar muito mais do que o VBScript seria capaz.

Com isto em mente, a Microsoft vai começar lentamente a remover o VBScript do sistema operativo, tornando o mesmo uma funcionalidade opcional, que os utilizadores interessados ainda poderão instalar nos sistemas, mas não virá ativado por padrão. A empresa pretende que seja feita a transição para se usar apenas comandos PowerShell.

O plano de descontinuação do VBScript vai ser dividido em três fases. A primeira será aplicada na segunda metade de 2024, com o VBScript a ficar instalado mas desativado no sistema. Durante a segunda fase, que deve começar em 2027, o VBScript não vai ser instalado por padrão no Windows. Por fim, a terceira fase vai remover inteiramente o suporte do VBScript do Windows, com os projetos que ainda necessitem do mesmo a deixarem de funcionar.

Esta medida acredita-se que pode vir a ajudar a melhorar a segurança do sistema, e evitará que malware que se propaga em scripts VBS possa infetar os sistemas, ou ser a porta de entrada para tal.

23/05/2024
Novo malware bancário volta ao ativo depois de ser desmantelado pelas autoridades

Um novo trojan, conhecido como “Grandoreiro”, tem vindo a ganhar bastante destaque, espalhando-se para mais de 60 países e com foco em roubar dados de acesso a mais de 1500 bancos online.

Este trojan parece ser a continuação de uma campanha que foi recentemente desmantelada pelas autoridades. Em janeiro de 2024, várias forças de segurança do Brasil, Espanha e vários outros países europeus confirmaram ter desmantelado uma rede de malware, focada sobretudo a Espanha, que tinha vindo a afetar os utilizadores desde 2017 e levou a mais de 120 milhões de dólares em perdas.

A rede operava uma botnet, focada em roubar credenciais de acesso a várias plataformas bancárias, das quais eram depois usadas para roubar fundos das vítimas, ou para realizar a lavagem de dinheiro e pagamentos fraudulentos.

Embora esta rede tenha sido desmantelada, a empresa de segurança X-Force afirma que se verificou ao retorno da mesma com um novo nome, “Grandoreiro”. Esta parece ter começado as atividades em março de 2024, usando um formato de Malware-as-a-Service (MaaS). O mesmo alargou-se ainda para afetar outros países além apenas de Espanha, sendo que agora também existem relatos de o mesmo ter afetado utilizadores em Portugal.

O esquema começa com as vítimas a receberem um email contendo falsas informações, sobre alegadas coimas ou pagamentos em atraso, e onde necessitam de aceder a um link para regularizar a situação. Na maioria dos casos, este link direciona para falsos ficheiros PDF, que procedem com a instalação de malware nos sistemas.

Com este malware instalado no sistema, este tenta recolher o máximo de dados possíveis das vítimas, bem como os dados de acesso às suas entidades bancárias. Caso os mesmos tenham carteiras de criptomoedas nos seus sistemas, tenta-se proceder ainda ao roubo dos fundos nas mesmas.

O malware tenta ainda manter-se no sistema, criando entradas de registo para voltar a instalar-se caso seja removido por algum motivo. Curiosamente, o malware encontra-se criado para não correr em alguns países, como a Rússia e Polónia.

Como sempre, é recomendado que se tenha atenção aos locais de onde se acede para descarregar conteúdo, garantindo que é de fontes legítimas.

20/05/2024