Categoria: malware

PuTTy e WinSCP distribuídos em campanhas maliciosas pela Google

Vários grupos de ransomware encontram-se a focar utilizadores do sistema Windows, distribuindo versões modificadas de programas como o PuTTy e WinSCP para administradores de sistemas.

Estes programas são distribuídos sobretudo em publicidade da Google, e surgem no topo dos resultados de pesquisa. Os mesmos fazem-se passar pelos programas legítimos, com sites criados para enganar os utilizadores e levar a descarregar as variantes maliciosas.

Os programas foram modificados para conterem malware, nomeadamente para o roubo dos dados que sejam usados para acesso aos sistemas via esses programas. Em base, os programas parecem funcionar como esperado, pelo que os utilizadores podem ser afetados sem saberem.

De acordo com os investigadores da empresa de segurança Rapid7, as campanhas parecem focadas para quem usa o Google para procurar como descarregar estes programas, onde a publicidade maliciosa usa o próprio motor de pesquisa para surgir no topo dos resultados.

Se os utilizadores descarregarem as aplicações existentes nos sites maliciosos, estas tentam instalar malware no sistema, via scripts phyton, que correm no Windows diretamente. Feito isto, o programa instala como era suposto, pelo que os utilizadores podem ter acesso ao mesmo na normalidade.

Mas em segundo plano é igualmente instalado o malware, que procede com o roubo de dados sensíveis do sistema, nomeadamente de acesso a servidores e outras fontes remotas.

Como sempre, é recomendado que se tenha atenção ao local de onde os conteúdos são descarregados. A publicidade da Google tem sido cada vez mais usada para distribuir malware, fazendo-se passar por software legítimo, e aproveitando as pesquisas dos utilizadores para tal. Como esta surge antes de todos os resultados, pode levar mais utilizadores a carregarem nessas opções do que nos resultados reais.

No passado, já ocorreram casos similares para diverso software, como o 7-Zip, CCleaner, entre outros.

20/05/2024
Android 15 vai receber novas funções contra malware e esquemas

A Google confirmou que vai começar a adicionar ao Android 15 um conjunto de novas funcionalidades de segurança, onde se destaca um novo sistema que será capaz de prevenir esquemas, burlas e malware de chegar aos dispositivos dos utilizadores.

As novas funcionalidades foram reveladas durante o segundo dia do evento Google I/O 2024, sendo que se focam em proteger os utilizadores do Android, mas também em alertar os programadores das apps quando estas podem ter sido comprometidas.

De acordo com a empresa, o Android 15 e os Serviços da Google devem receber, até ao final do ano, novas funções focadas em proteger os utilizadores das ameaças digitais da atualidade.

Para começar, o Android 15 vai contar com um novo sistema de proteção contra trojans bancários, que normalmente tentam roubar dados de autenticação das apps de bancos online ou recolher dados pessoais dos dispositivos.

Este género de malware é particularmente perigoso, já que pode levar os atacantes a obterem acesso às contas bancárias das vítimas, a partir das quais podem começar a realizar o roubo de dinheiro. Pode também ser usado como forma de roubar dados de login para outras plataformas, como carteiras de criptomoedas.

Ao mesmo tempo, a empresa confirmou que vai começar a expandir as permissões do sistema, para garantir que os utilizadores apenas fornecem os dados que são realmente necessários para estas apps.

Para proteger os utilizadores de possíveis ataques de controlo remoto dos dispositivos, o Android 15 também vai começar a ocultar dados sensíveis quando o ecrã estiver a ser partilhado. Dados como senhas, números de telefone e notificações vão ser removidas da partilha de ecrã, para prevenir que atacantes possam roubar os mesmos.

As apps que fornecem códigos de autenticação em duas etapas também deverão contar com mecanismos adicionais de proteção, sendo que os códigos deixarão de ser possíveis de ser visualizados na partilha de ecrã.

Por fim, o Android 15 vai ainda notificar os utilizadores quando estes estiverem ligados a uma rede de dados móveis que não esteja encriptada. A ideia será proteger os utilizadores de possíveis ataques conhecidos como Stingray.

Este alerta pode prevenir os utilizadores de usar os dispositivos em redes que podem estar a ser monitorizadas, ou onde dados sensíveis podem ser recolhidos.

O Google Play Protect também vai receber algumas das novidades a nível de segurança. O sistema de proteção da Google vai agora usar IA localmente, de forma a identificar atividades potencialmente perigosas de apps desconhecidas. Mesmo que uma app não seja classificada como maliciosa, o Google Play Protect vai analisar as suas atividades, e alertar caso detete alguma que seja consistente com malware.

Para os programadores, foram ainda feitas melhorias na API do Play Integrity, que vai permitir aos mesmos garantir que as suas apps encontram-se num ambiente seguro.

Estas novidades devem começar a ser incluídas tanto no Android 15 como no Google Play Protect até ao final do ano.

15/05/2024
Rede botnet infetou mais de 400.000 servidores Linux desde 2009

Um grupo de investigadores revelou ter descoberto uma nova rede botnet, que pode ter infetado milhares de servidores a nível mundial desde 2009.

Os investigadores da empresa de segurança ESET revelaram ter descoberto uma nova rede botnet, apelidada de “Ebury”. A mesma tem estado em operação por mais de uma década, com os primeiros registos de atividade a datarem de 2009.

No entanto, a atividade da mesma foi bastante gradual ao longo dos anos, sendo que registou picos novamente apenas em 2014 e posteriormente em 2017. Durante este período, a rede continuou silenciosamente em expansão, infetando milhares de servidores Linux pela Internet.

Os investigadores afirmam terem trabalhado com as autoridades para analisar o histórico do malware e da rede nos últimos anos, o que também permitiu obter detalhes da origem da mesma e do número de sistemas potencialmente afetados.

Quando o malware infeta um sistema, este tenta roubar os dados de acesso ao mesmo via SSH, nomeadamente obtendo as chaves privadas do sistema para acesso remoto. Isto permite que os sistemas possam ser acedidos de forma externa pela rede, para realizar atividades maliciosas.

Nos sistemas onde sejam identificadas carteiras de criptomoedas, o malware tenta ainda obter as mesmas, procedendo com o roubo dos fundos de forma automática. No entanto, esta é apenas uma das formas do malware afetar os utilizadores finais, sendo que também pode recolher dados de cartões de crédito que sejam usados em plataformas online, sobretudo em bases de dados e sites que estejam nos mesmos servidores.

Segundo os investigadores, desde 2009 que mais de 400.000 servidores Linux terão sido infetados por esta rede, sendo que no final de 2023 ainda existiam mais de 100.000 afetados e ativos pela Internet.

15/05/2024
StartAllBack considerado como malware pela Google

O StartAllBack é um popular programa para Windows, usado para restaurar no Windows 11 o formato da barra de tarefas do sistema que se encontrava em gerações anteriores do mesmo.

Este programa é reconhecido por permitir aos utilizadores rapidamente alterarem a barra de tarefas do Windows 11, que muitos consideram desadequada, para uma variante do Windows 10 ou até mesmo do Windows 7. A aplicação permite ainda personalizar o sistema para “reverter” alguns dos problemas que foram relatados pelos utilizadores.

No entanto, embora a aplicação seja legítima, esta encontra-se agora a ser considerada como “malware” pelo Google. Os utilizadores que tentem aceder ao site oficial da aplicação, e usem um navegador com o mecanismo do Google Safe Browsing, como o Chrome, devem agora verificar uma mensagem de alerta a informar que o site é potencialmente perigoso.

A partir da X, o criador da aplicação afirma desconhecer o motivo pelo qual o site se encontra a ser bloqueado. O programa aí disponibilizado não é visto como malware, nem considerado como tal pela maioria dos mecanismos de antivírus no mercado.

Embora realiza alterações que podem ser vistas como “avançadas” dentro do Windows, e que podem causar alguma instabilidade no sistema, não será diretamente malware. Ainda assim, a Google considera o mesmo como tal, estando agora a bloquear o site.

O autor da aplicação afirma desconhecer o motivo, afirmando que a única explicação será de a verificação ter sido realizada por mecanismos automáticos da Google, que estão a marcar incorretamente o site.

11/05/2024
Microsoft revela nova campanha de malware que afeta milhares de apps no Android

A Microsoft deixou o alerta para uma nova campanha de malware, apelidada de “Dirty Stream”, que se foca em utilizadores do sistema Android. Esta campanha pretende levar os utilizadores a instalarem aplicações maliciosas nos sistemas, que podem levar ao roubo de dados sensíveis ou à execução de código potencialmente malicioso no sistema.

O malware explora algumas funcionalidades de como o Android funciona, tentando tirar proveito das mesmas para infetar o sistema e obter acesso a dados sensíveis. Usando as funcionalidades do próprio Android, que permitem o envio de comandos entre diferentes apps, uma app maliciosamente criada para explorar a falha pode enviar comandos que levam ao roubo de dados ou à instalação de malware nos sistemas.

De acordo com o investigador da Microsoft, Dimitrios Valsamaras, responsável pela descoberta, quando a falha é explorada, o próprio sistema pode permitir que o conteúdo malicioso seja enviado para diferentes apps, e possa assim correr código malicioso no dispositivo.

Segundo o relatório da Microsoft, foram descobertas aplicações na Google Play Store que se encontram vulneráveis a esta falha, e que totalizam mais de quatro mil milhões de instalações no final, deixando um elevado numero de dispositivos em aberto para serem explorados.

A falha requer que aplicações especificas estejam também vulneráveis, e existem muitas apps legítimas na Play Store por onde a falha pode ser explorada. Dois exemplos deixados pelos investigadores serão a app de Gestor de Ficheiros da Xiaomi, bem como o WPS Office, que contam com milhares de instalações.

Quando os investigadores contactaram as duas empresas em causa – Xiaomi e WPS – ambas responderam rapidamente ao problema e lançaram versões atualizadas onde a falha não pode ser explorada. No entanto, existem ainda milhares de outras apps na Play Store por onde a falha pode ser ativamente explorada.

Para os utilizadores, não existe muito que estes possam fazer para evitar a exploração da falha. Ter atenção às apps instaladas nos seus dispositivos é um ponto de entrada, mas também evitar descarregar apps de fontes desconhecidas.

02/05/2024
Membro do grupo de ransomware REvil condenado a 14 anos de prisão

O cidadão ucraniano foi condenado a quase 14 anos de prisão, e ao pagamento de 16 milhões de dólares em restituições, pelas suas ações dentro do grupo de ransomware REvil.

Yaroslav Vasinksyi, também conhecido como “Rabotnik”, era membro do grupo de ransomware REvil, que terá participado em mais de 2500 ataques de ransomware. No total, o grupo terá obtido mais de 700 milhões de dólares em pagamentos de entidades que foram alvo do mesmo.

Derivado das suas atividades dentro do grupo, “Rabotnik” foi condenado pelas autoridades norte-americanas a 13 anos e 7 meses de prisão. O tribunal deu como provado que Vasinksyi terá realizado vários dos ataques do grupo, enviando o malware para as empresas de forma a tentar obter receitas com o pagamento de resgate dos conteúdos encriptados ou roubados.

O tribunal considera ainda que, embora as medidas tenham sido aplicadas pela lei norte-americana, as ações do grupo de ransomware atingiram empresas em todo o mundo.

Em 2022, cerca de um ano depois de Vasinksyi ter sido detido na Polónia, o mesmo foi extraditado para os EUA, onde foi formalmente acusado dos crimes associados com o grupo de ransomware. Eventualmente este viria a considerar-se culpado pelos crimes cometidos.

As autoridades apreenderam ainda mais de 39.89138522 bitcoins e 6.1 milhões de dólares que terão sido obtidos dos ataques realizados pelo grupo.

O grupo REvil era conhecido por aplicar uma técnica de extorsão dupla, onde primeiro encriptava os conteúdos dos sistemas infetados, mas também roubava os mesmos e ameaçava publicar informação sensível caso o pagamento não fosse realizado.

02/05/2024
Campanha de malware infeta milhares de repositórios do Docker Hub

Uma nova campanha de malware encontra-se focada para utilizadores do Docker Hub, enviando malware para milhares de repositórios que se encontram ativos desde 2021.

Investigadores da empresa de segurança JFrog descobriram uma nova campanha de malware, que se encontra com foco em utilizadores do Docker Hub. Esta campanha afeta cerca de 20% dos mais de 15 milhões de repositórios atualmente disponíveis na plataforma da Docker.

Os conteúdos maliciosos variam entre simples sites de phishing que são enviados nos conteúdos a malware direto usado para roubo de credenciais e dados pessoais. No total, os investigadores afirmam ter descoberto os conteúdos maliciosos em 4.6 milhões de repositórios contendo imagens Docker.

A campanha continha ainda vários sistemas ativos, que eram usados para, diariamente, enviar novas imagens modificadas maliciosamente para a plataforma. Desta forma, os conteúdos eram mantidos atualizados e a chegarem a cada vez mais utilizadores que usam o serviço. Estes conteúdos eram criados usando sistemas automáticos, pelo que o processo era praticamente todo automatizado.

A campanha propagava-se ainda sobre falsos repositórios que prometiam acesso a downloads de e-books gratuitos, que continham informação aleatória. Neste exemplo da campanha, o malware direcionava depois as potenciais vítimas para sites onde eram requeridos dados bancários para “validação”, que eram enviados para os autores do esquema.

A equipa da JFrog alertou a equipa de segurança da Docker, fornecendo os conteúdos que foram descobertos como sendo maliciosos. Os mesmos foram, entretanto, removidos por completo da Docker Hub.

Esta campanha é algo diferente da que normalmente afeta os utilizadores do ambiente Docker, visto que tenta tirar proveito da credibilidade que se encontra sobre a plataforma do Docker Hub invés de atacar diretamente as entidades ou projetos. Isto comprova-se ainda mais com o facto de vários repositórios terem permanecido ativos durante mais de três anos.

30/04/2024
Malware para Android usa dispositivos para atacar sites WordPress

Foi recentemente descoberta uma nova aplicação maliciosa para Android, que se foca em infetar os dispositivos com o objetivo de comprometer dados de login de sites WordPress.

O malware, descoberto pelos investigadores da empresa de segurança QAX’s XLab, mascara-se como uma aplicação de lojas de aplicações alternativas à Play Store, como a Uptodown. O mesmo distribui-se sobretudo em sites pela internet que fornecem ficheiros APK modificados.

O malware, apelidado de “Wpeeper”, é usado como forma de atacar sites WordPress. A aplicação, depois de instalada, usa os dispositivos dos utilizadores como meio de acesso para sites comprometidos, de onde realiza as suas atividades maliciosas.

Ao mesmo tempo, o malware tenta ainda recolher dos dispositivos infetados dados de login para outros sites WordPress.

A aplicação contava, na data em que foi identificada, com zero referências a ser maliciosa em plataformas como a VirusTotal. Com isto, a aplicação pode encontrar-se instalada em centenas de dispositivos que descarregaram o ficheiro malicioso, embora as atividades do malware aparentem ter subitamente parado no dia 22 de Abril.

A ideia deste malware será usar os dispositivos dos utilizadores como meios de comunicação e para realizar ataques. Desta forma, os sites WordPress comprometidos enviam os pedidos para os dispositivos infetados, que por sua vez enviam os mesmos para os servidores em controlo dos atacantes.

Desta forma, a atividade maliciosa é realizada pelos dispositivos infetados, e não são revelados os servidores originais usados para o envio dos comandos. Para os sites infetados, os comandos são enviados para os dispositivos infetados por este malware, e não os servidores dos atacantes.

A ideia será ocultar as atividades e evitar que os sistemas usados para o envio dos comandos maliciosos não sejam revelados.

Como sempre, os utilizadores são aconselhados a descarregarem os conteúdos diretamente de fontes originais e seguras, como a Play Store, tendo atenção ao que realmente as apps realizam antes de as usarem nos seus dispositivos.

30/04/2024
Google bloqueou 2.28 milhões de apps potencialmente maliciosas da Play Store

De acordo com os dados mais recentes da Google, a empresa confirmou ter bloqueado de publicação na Play Store, a sua loja de aplicações para Android, mais de 2.28 milhões de aplicações potencialmente maliciosas durante 2023.

Estas aplicações encontravam-se em potencial violação dos termos da plataforma, e poderiam ser prejudiciais para os utilizadores finais, os seus dispositivos e os seus dados pessoais.

Além disso, a Google afirma ainda ter identificado e bloqueado mais de 333,000 contas da Google Play que estariam a enviar malware para a plataforma, apps fraudulentas ou outras atividades repetitivas de violação dos termos da mesma.

Para comparação, em 2022, a Google tinha removido 1.5 milhões de aplicações e bloqueado 173.000 contas de programadores da Play Store.

Os números mais elevados do ano passado fazem parte dos planos da empresa de melhorar a segurança dos seus ecossistemas, e de garantir que os utilizadores da Play Store possuem acesso a conteúdos seguros e dentro do que esperam de uma plataforma da empresa.

A Google afirma ainda ter aplicado medidas mais rigorosas para o envio de aplicações na Play Store, que envolvem mais verificações das contas de programadores, das suas atividades e uma análise em tempo real das atividades de apps suspeitas.

A empresa sublinha ainda que foram negadas de publicação mais 200,000 aplicações, que teriam requerido permissões abusivas de acesso a dados nos dispositivos dos utilizadores.

Por fim, a empresa afirma ainda ter começado a trabalhar com 31 fornecedores de SDK para aplicações, de forma a melhorarem os seus parâmetros de recolha de dados e de segurança para os utilizadores me geral dentro do ecossistema do Android. Isto terá permitido que um vasto conjunto de apps tenham também medidas adicionais de segurança e privacidade.

Embora a Play Store ainda seja um dos meios mais seguros para instalar aplicações no Android, mesmo por esta fonte, de tempos a tempos, existem casos de apps maliciosas que chegam a ser publicadas, portanto a primeira linha de defesa parte sempre dos próprios utilizadores e das suas ações.

29/04/2024
Novo trojan para Android distribui-se como falsa atualização do Chrome

De tempos a tempos surgem novas ameaças para os utilizadores do sistema operativo Android, e uma das mais recentes pode ter o potencial de roubar dados bancários das vítimas, bem como outros dados sensíveis nos dispositivos.

O trojan Brokewell é a mais recente ameaça para utilizadores do sistema Android, tendo sido descoberto em distribuições falsas de atualizações do Chrome. As vítimas são inicialmente enganadas através de mensagens de atualização falsas para o Chrome, que levam as mesmas a descarregar um APK associado com a atualização.

Os investigadores da empresa de segurança ThreatFabric revelaram mais detalhes sobre este malware. O mesmo começa por apresentar às vítimas uma página web, indicando que o Chrome necessita de uma atualização, e fornecendo o link para download do APK.

Se a mesma for instalada, o malware começa a aceder aos dados do sistema, e tenta obter detalhes das apps bancárias existentes no mesmo. É ainda capaz de aceder a outros dados sensíveis, entre os quais fotos, contactos e mensagens.

Se o utilizador der permissões, o malware pode ainda sobrepor-se a páginas ou apps de login em várias plataformas, de forma a recolher os dados de login. Isto inclui páginas de login de plataformas sociais, bem como de sites bancários que o utilizador aceda diretamente pelo navegador.

Os atacantes passam ainda a obter acesso, em tempo real, ao que se encontra a ser apresentado no sistema, o que também permite recolher informações como códigos de autenticação e outros dados.

Como sempre, os investigadores recomendam que os utilizadores tenham extremo cuidado no download de aplicações de fontes não oficiais. Todas as atualizações do Chrome são distribuídas diretamente pela Play Store no Android, e os utilizadores não necessitam de instalar nada para tal.

25/04/2024
Falha permite usar o Microsoft Defender para remover ficheiros do sistema

Um grupo de investigadores da empresa de segurança SafeBreach revelou que os programas de segurança do Windows e da Kaspersky podem conter falhas que permitem a execução de conteúdo malicioso nos sistemas.

De acordo com os investigadores, as falhas podem permitir que conteúdos sejam remotamente eliminados do sistema, o que pode levar a que os próprios programas de segurança removam conteúdos potencialmente importantes dos sistemas onde se encontram. Além disso, os investigadores afirmam ainda que as falhas podem permanecer nos sistemas até mesmo depois das entidades corrigirem o problema de base.

Durante o evento Black Hat Asia, que se realizou em Singapura, os investigadores revelaram as falhas no Microsoft Defender e Endpoint Detection and Response (EDR) da Kaspersky. Ambos os programas podem ser enganados para considerar um determinado ficheiro como malicioso, dentro do sistema, removendo o mesmo.

Em parte, a falha encontra-se derivado da forma como estes programas usam as suas bases de dados, para identificar malware ativo e conhecido. Os programas usam um sistema de análise da sequência de bytes de um programa, que pode ser explorado para o ataque.

Usando este sistema, os atacantes podem confundir os programas de segurança, e levar os mesmos a considerar um determinado ficheiro dentro do sistema como potencialmente malicioso, removendo o mesmo.

Os investigadores apontam que esta técnica pode ser usada para remover conteúdos importantes de ambientes em produção, como é o caso de bases de dados. Embora seja difícil de adivinhar quais os ficheiros exatos a remover, os investigadores apontam que o software pode ser enganado de várias formas, e a falha pode ser explorada para ativamente remover conteúdos importantes dos sistemas onde as suítes de proteção se encontrem.

É ainda referido que, tendo em conta que a falha afeta a forma como estes programas de segurança usam as suas bases de dados, mesmo que uma correção seja teoricamente lançada pelas empresas, a falha ainda poderia ser explorada. Os programas foram criados para usar este sistema de análise e identificação de conteúdos maliciosos, e não será possível corrigir inteiramente o problema sem afetar a forma como as bases de dados funcionam nos mesmos.

A Microsoft foi uma das primeiras empresas a responder a esta falha, que embora tenha considerado a mesma como legítima, indica que a forma como a exploração é realizada encontra-se longe de poder ser usada para ataques práticos. Os administradores de sistemas com o Microsoft Defender podem configurar os mesmos para não realizar ações automaticamente, e invés disso, optar pela quarentena primeiro antes da remoção.

A Microsoft indica ainda que existe um reduzido número de utilizadores que optam por configurar os mecanismos de segurança para automaticamente remover conteúdos potencialmente maliciosos, e que a quarentena dos mesmos é um dos métodos recomendados para a proteção.

22/04/2024
Nova variante de malware foca-se agora em gamers

Uma nova variante de malware encontra-se a propagar em força pela internet, desta vez tendo como alvo sobretudo gamers à procura de “cheats” para os seus jogos favoritos.

De acordo com investigadores da empresa de segurança McAfee, uma nova variante do malware Redline, conhecida por roubar dados de login dos sistemas que infeta, encontra-se agora a ter como alvo um novo conjunto de vítimas, nomeadamente gamers.

O malware foi descoberto numa nova campanha, que se distribui sobre falsos “cheats” para jogos, que prometem aos utilizadores obter vantagens injustas dentro de vários jogos. O software é propagado com o nome de “Cheat Lab”, e embora pareça funcionar à partida, em segundo plano encontra-se a roubar dados dos sistemas onde é usado.

Esta nova variante encontra-se bastante mais protegida contra identificação pelos softwares de segurança tradicionais, usando código bastante ofuscado, e tentando ainda usar processos legítimos ativos no sistema para o roubo de dados.

O malware tenta roubar dados de login que estejam guardados nos navegadores, bem como em várias aplicações e gestores de senhas. Feito isso, os dados são enviados para servidores em controlo dos atacantes.

Além de infetar o sistema de quem instala o software, este tenta ainda propagar-se para outros sistemas, e incentiva mesmo os utilizadores a partilharem o software com “amigos” e conhecidos.

Na realidade, para desbloquear as atividades do “cheat”, o programa de instalação indica que os utilizadores devem partilhar o programa primeiro, usando um código de ativação – que é aleatório e nada faz para a ativação do programa em si.

Para evitar a deteção, o malware não é diretamente instalado no sistema. Na realidade, nem se encontra ainda como “programa”, já que é apenas instalado como um ficheiro de código simples. No entanto, o malware inicia depois um script para copilar o programa, e dessa forma, criar o malware diretamente no sistema.

Com este método, consegue-se evitar a deteção por alguns softwares de segurança, e existe uma maior elevada taxa de sucesso no roubo de potenciais dados sensíveis.

19/04/2024
Malware descoberto com código criado por Inteligência Artificial

A Inteligência Artificial encontra-se presente cada vez mais no dia a dia dos utilizadores pela internet, mas se possui os seus usos benignos, também conta com as suas criações maliciosas.

Plataformas como o ChatGPT, Copilot ou Gemini podem ser bastante úteis para ajudar em várias tarefas do dia a dia, e uma delas encontra-se na programação. Estas plataformas são capazes de criar código bastante eficaz, tanto que agora existem indícios que a IA pode ter criado um novo malware descoberto pela internet.

Investigadores da empresa de segurança Proofpoint afirmam ter descoberto um novo malware, que se encontra a ser distribuído por scripts do PowerShell, que terá sido criado via IA. O script encontra-se a ser usado contra empresas, com o objetivo de levar à instalação de malware nos sistemas para roubo de dados de login.

O malware foi identificado como tendo sido criado pelo grupo Scully Spider, que possui atividades desde 2017 em distribuir malware para Windows e Android. No entanto, de acordo com os investigadores, o grupo terá agora começado a usar IA para criar o código do malware, sendo capaz de instalar o mesmo nos sistemas via um script powershell, que os investigadores acreditam que foi criado usando IA.

Os investigadores chegaram a esta conclusão analisando o código fonte do malware, onde existe uma grande quantidade de código em comentário, que terá sido usado para explicar as diferentes funções, mas que foi criado via IA. Estes géneros de comentários não são vulgares de se encontrar num código de malware ou em programação feita por humanos.

Embora as principais plataformas de IA no mercado tenham sistemas para identificar e bloquear a criação de conteúdos potencialmente maliciosos, existem sempre formas de contornar tais medidas.

Este não é o primeiro malware descoberto com código criado por ferramentas de IA, e certamente não será o último, mas será uma tendência cada vez mais vulgar tendo me conta a facilidade com que se encontra em uso ferramentas de IA no mercado, até mesmo de forma gratuita.

11/04/2024
Microsoft confirma duas falhas zero-day corrigidas no recente Patch Tuesday

A Microsoft confirmou ter corrigido duas falhas zero-day, que estariam a ser usadas em ataques de malware contra sistemas Windows, com o Patch Tuesday de Abril de 2024.

Inicialmente, o Patch Tuesday não continha referencias a correções de falhas zero-day, mas parece que tal ocorreu apenas porque a Microsoft classificou incorretamente as mesmas. O Patch Tuesday foi lançado como tendo uma longa lista de correções, mas duas em particular encontravam-se incorretamente omitidas como sendo zero-day.

A falha CVE-2024-26234 foi identificada em Dezembro de 2023, pela empresa de segurança Sophos X-Ops, e permite que um driver malicioso possa ser usado no sistema para enviar comandos maliciosos no mesmo.

A segunda falha corrigida foi a CVE-2024-29988, que afetava o sistema de segurança do SmartScreen, permitindo que a janela de proteção da funcionalidade fosse contornada. Isto poderia permitir que software malicioso fosse executado no sistema sem que o utilizador tivesse o controlo do mesmo.

Ambas as falhas são consideradas zero-day, sendo que os investigadores acreditam que já se encontram a ser ativamente exploradas em campanhas de malware, para infetar sistemas específicos.

Tendo em conta a gravidade das mesmas, a Microsoft recomenda que todos os utilizadores atualizem os seus sistemas com a mais recente atualização do Patch Tuesday – que começou a ser disponibilizada durante o início desta semana.

10/04/2024
Chrome Enterprise Premium fornece mais segurança… por um preço

O Chrome está disponível gratuitamente para os utilizadores, mas para quem pretenda ou necessite de proteções adicionais, agora a Google pretende criar uma subscrição para o mesmo.

O Chrome Enterprise Premium trata-se de um novo programa da empresa, que se foca para empresas e pretende adicionar uma camada adicional de segurança durante a navegação… por um preço.

Este serviço permite aos gestores de sistemas informáticos terem a capacidade de controlar melhor a navegação, bem como adicionarem camadas adicionais de proteção contra ataques e malware.

O Chrome Enterprise Premium encontra-se disponível a partir de 6 dólares por mês e por utilizador.

O conceito de pagar por um navegador não é inteiramente novo, e o Netscape tinha inicialmente esse plano, em 1995, quando lançou o Netscape Navigator Personal Edition por 39 dólares. Isto antes da Microsoft lançar gratuitamente o Internet Explorer no Windows.

Obviamente, o Chrome vai continuar disponível gratuitamente para quem o pretenda usar. No entanto, o Chrome Enterprise Premium será mais focado para quem necessite de segurança adicional, e pretenda garantir que os utilizadores não acedem a conteúdos potencialmente maliciosos.

A Google afirma que o Chrome já conta, por padrão, com várias funcionalidades pensadas em segurança. No entanto, as empresas possuem necessidades específicas. E, portanto, este género de sistemas adiciona não apenas a segurança, mas também o controlo.

Além das camadas adicionais de segurança, os utilizadores neste programa possuem acesso ainda a suporte dedicado, atualizações personalizadas e suporte para vários protocolos dedicados, como SSH, RDP e SCP. A Google também destaca como as funcionalidades de segurança encontram-se baseadas em IA, sendo capazes de identificar mesmo ameaças desconhecidas.

10/04/2024
Câmara de Elvas alvo de ataque informático

A Câmara de Elvas foi recentemente alvo de um ataque informático, onde podem ter sido comprometidos alguns sistemas internos da instituição.

De acordo com o jornal Linhas de Elvas, o ataque terá ocorrido entre segunda e terça-feira, sendo que afetou alguns dos sistemas internos da entidade. No entanto, acredita-se que dados pessoais ou sensíveis não tenham sido comprometidos.

No entanto, este ataque terá afetado o normal funcionamento da instituição, com alguns dos serviços com contratempos, sobretudo os serviços dependentes dos sistemas informáticos.

De acordo com a entidade, o ataque terá sido relacionado com um malware, que se instalou em alguns sistemas da organização. Não existem indícios, até ao momento, de que tenha sido um ataque de ransomware – de onde poderia ocorrer o roubo de dados.

No entanto, a investigação do incidente ainda se encontra a decorrer.

Os sistemas infetados foram isolados da restante rede, para evitar a propagação. A entidade afirma que, atualmente, os serviços afetados já se encontram restaurados na normalidade.

10/04/2024
Sites da Justiça em Portugal direcionam para links com malware

Vários sites de entidades relacionadas com o Governo Português encontram-se atualmente a partilhar ficheiros com links para conteúdos maliciosos, a maioria sobre falsos geradores de Robux, uma moeda virtual usada no jogo Roblox.

A descoberta pode ser realizada diretamente via uma simples pesquisa no Google, onde é possível encontrar centenas de ficheiros PDF com conteúdo vulgarmente encontrado em sites de spam, mas que integram links para download de conteúdo malicioso ou potencialmente nefasto para os sistemas.

Os ficheiros encontram-se alojados em vários domínios associados com o governo de Portugal, na extensão “gov.pt”. A maioria encontra-se sobre o domínio principal do site da Justiça Portuguesa.

Uma vez que se encontram com uma extensão vulgarmente associada como segura e de alta credibilidade, respeitante ao Governo Português, estes conteúdos podem ser usados para vários esquemas, levando também a que consigam evitar alguns filtros de spam normalmente usados em plataformas online.

Alguns dos ficheiros possuem links que não se encontram mais ativos, enquanto que outros aparentam direcionar para sites de esquemas diversos, seja de falsos criadores de robux para o jogo Roblox ou para falsos giveaways de cartões presente.

De momento ainda se desconhece como estes ficheiros foram enviados para os sistemas do site da Justiça de Portugal, mas tendo em conta o conteúdo dos mesmos, aparenta ter sido sobre algum sistema de formulários, que se encontra incorretamente a apresentar estes conteúdos publicamente.

O link dos ficheiros PDF, e onde estes se encontram alojados, também indica a possibilidade de ter sido feito a partir de algum formulário. No entanto, o ponto de origem dos mesmos ainda aparenta ser desconhecido.

09/04/2024
Milhares de sites WordPress afetados em campanha de popups maliciosos

Mais de 2000 websites baseados em WordPress terão sido recentemente alvo de uma campanha de malware, onde redirecionam os utilizadores para falsas janelas de login em carteiras de criptomoedas.

De acordo com o grupo de investigadores MalwareHunterTeam, os atacantes começaram a usar os sites infetados para apresentar mensagens falsas de ligação a carteiras de criptomoedas, direcionando os visitantes dos mesmos para estes falsos sites de login.

Estes websites terão começado a ser infetados no início do mês passado, com scripts que permaneceram suspensos nos mesmos. Acredita-se que os atacantes teriam criado este formato de ataque para evitar que todos os sites fossem comprometidos ao mesmo tempo.

Se um site WordPress for infetado, este pode apresentar janelas popup aos visitantes, de forma aleatória, recomendando que os mesmos realizem o login usando as suas carteiras de criptomoedas. Estas janelas tentam ainda apelar os visitantes com descontos e outras promoções, onde a ideia será fazer passar a imagem que o site infetado estaria com uma oferta temporária caso os pagamentos fossem realizados via cripto.

De momento a campanha ainda não parece ter afetado todos os sites onde o script malicioso foi descoberto. Estima-se que cerca de 2000 sites estarão atualmente infetados com o script maliciosos, mas apenas uma pequena parte dos mesmos encontra-se a apresentar as mensagens maliciosas.

08/04/2024
Criador de Notepad++ alerta para site falso com nome do programa

Os criadores do projeto Notepad++ encontram-se a apelar à comunidade para ajudar contra um website que se encontra a usar inapropriadamente o nome da aplicação, sem autorização para tal.

O site, embora atualmente esteja a redirecionar os utilizadores para o site oficial do projeto, existem receios do mesmo vir a mudar este comportamento no futuro, podendo ser usado para campanhas de malware e para enganar os utilizadores que procurem o software.

Os criadores do Notepad++ alertam que este site, que integra a extensão “.plus”, pode levar ao engano por parte dos utilizadores. Em alguns casos, esta extensão recebe mesmo uma melhor classificação no Google em comparação com o site oficial do programa.

Don Ho, criador original do Notepad++, afirma que recebeu várias mensagens de utilizadores preocupados com a forma como o domínio pode ter impacto a nível da segurança dos utilizadores. Embora atualmente esteja a redirecionar para o site oficial do projeto, este domínio pode facilmente começar a redirecionar para outras campanhas e versões maliciosas ou modificadas.

Alguns utilizadores indicam que o site surge mesmo em posições elevadas dos resultados de pesquisa, sobretudo de termos como “download Notepad++”, levando os utilizadores para um site potencialmente falso ou enganador.

O criador da aplicação aponta ainda que o termo “Notepad++” é uma marca registada pelo mesmo, e que este projeto não possui qualquer relação com o domínio agora indicado. O site pode encaminhar os utilizadores para potencial malware, ou apresentar publicidade que não gera receitas para o criador da aplicação.

De momento, o único site oficial do projeto encontra-se em notepad-plus-plus.org.

08/04/2024
Linux: quais as vantagens e desvantagens de usar o sistema?

O Linux é um dos sistemas operativos alternativos ao Windows mais reconhecido no mercado. Embora não tenha a mesma popularidade do Windows, este ainda conta com as suas vantagens e até mesmo algumas coisas melhores do que o software da Microsoft.

Antes de mais, é importante ter em conta o que é exatamente o “Linux”.

O Linux não é diretamente um sistema operativo, mas sim o nome dado ao Kernel base do sistema, que é baseado no Kernel Linux. Diferentes entidades é que depois criam as distribuições Linux, baseadas no mesmo, e com diferentes características – que são conhecidas como “Distros”.

Existem centenas de distribuições diferentes do Linux, cada uma com as suas características e configurações. Das mais conhecidas encontra-se o Ubuntu, Debian, Fedora, Linux Mint, entre outras.

Se usa um smartphone Android, possivelmente pode nem se aperceber, mas está a usar Linux. O Android é uma distribuição que é baseada no kernel do Linux, adaptada para dispositivos móveis.

Mas quais as vantagens em usar Linux?

Existem algumas que se deve ter em conta, e que para alguns, são o principal motivo para adotar este sistema.

Custo: uma das grandes vantagens do Linux é que a maioria das distribuições são de código aberto e totalmente gratuitas. Os utilizadores podem usar as mesmas sem terem de se preocupar com questões de licenciamento – o que para algumas entidades é um ponto importante.

Personalização: como as distribuições do Linux são geralmente abertas e com o código fonte visível por todos, estas permitem também que exista uma grande personalização a nível do sistema. Os utilizadores podem adaptar o sistema ao seu gosto, e conforme as suas necessidades.

Quem tiver conhecimentos pode mesmo alterar livremente o sistema e as suas configurações, para o fazer funcionar da melhor forma possível para os seus casos.

Estabilidade: As distribuições de Linux também são conhecidas por serem bastante mais estáveis do que as versões de outros sistemas operativos. O Windows é bem conhecido e “gozado” pelos seus erros e ecrãs azuis. No Linux existe uma maior estabilidade a nível do funcionamento do sistema, sendo que o kernel base é conhecido por ser bastante estável.

Segurança: o sistema é também conhecido por ser extremamente seguro. Embora ainda existam falhas e malware que pode explorar este sistema, a base do sistema foi criada para o tornar bastante seguro.

Além disso, como não possui uma participação tão elevada no mercado, existem também menos malwares que se focam neste sistema – em comparação com o existente para Windows.

Desempenho: se o Windows é considerado um sistema pesado, o Linux é exatamente o oposto. O Linux encontra-se criado para aproveitar o melhor possível os recursos que possui disponíveis para usar, o que inclui também a capacidade de o ajustar aos diferentes sistemas que existem no mercado.

Em muitos casos, o Linux é usado como uma foram de dar uma “segunda vida” a computadores mais antigos, ou com hardware mais limitado, onde o Windows poderia simplesmente causar problemas – ou nem funcionar de todo.

Este ponto pode ser útil para quem pretenda manter os seus sistemas durante mais tempo, evitando o lixo eletrónico. A base do sistema encontra-se ainda preparada para funcionar em diferentes sistemas, independentemente do hardware, portanto não existem grandes problemas de usar o sistema tanto em computadores de hardware moderno como mais antigo.

Comunidade ativa e suporte: embora existam algumas versões comerciais de distros do Linux, com suporte dedicado, a maioria da ajuda para o sistema é feita pela comunidade, com utilizadores experientes no sistema que podem fornecer suporte a questões para outros utilizadores.

Além disso, existe muito material pela internet com referências a resolver problemas no Linux, ou a ajudar a guiar os utilizadores para o passo correto para qualquer situação que ocorra.

No entanto, se existem pontos positivos de usar o Linux como sistema operativo, também existem alguns pontos negativos. Estes devem ser tidos em conta caso considere mudar de sistema.

Conhecimento técnico: embora as interfaces gráficas possam ajudar a controlar e gerir o sistema, muitas das configurações e resoluções de problemas ainda obrigam a usar a linha de comandos, o que exige algum conhecimento.

Aplicações disponíveis: embora este problema já tenha sido pior do que atualmente, é importante ter em conta as aplicações que necessita de usar no dia a dia. Na maioria dos casos, devem existir versões do Linux para software que use no dia a dia, como navegadores e clientes de email, ou alternativas igualmente boas.

No entanto, algum software mais especializado ou dedicado pode não se encontrar disponível para este sistema, ou pode apresentar problemas de compatibilidade quando se usa em ferramentas como o Wine – um programa para Linux que permite executar aplicações do Windows dentro do ecossistema Linux.

Curva de aprendizagem: Além disso, para utilizadores habituados ao Windows, mudar para Linux pode ser algo complicado devido à curva de aprendizagem. Existem algumas tarefas que necessitam de ser adaptadas para este sistema, e que alguns utilizadores podem considerar ser mais complicado de usar neste ambiente do que em Windows.

No final, cabe a cada utilizador avaliar os pontos positivos e negativos de usar o sistema. Em geral, a mudança pode ser benéfica, e para quem pretenda um sistema seguro, estável e dedicado, o Linux pode ser uma das melhores apostas.

07/04/2024
Campanha de malware sobre IA propaga-se em publicidade do Facebook

O Facebook encontra-se a ser alvo de uma nova campanha de malware em publicidade, distribuída na plataforma por páginas e contas roubadas. Nesta campanha, são promovidos serviços de IA, nomeadamente acessos às plataformas da MidJourney, SORA da OpenAI e ao ChatGPT-5, com o objetivo de levar as vítimas a descarregarem potencial malware para os sistemas.

As campanhas propagam-se como publicidade dentro do Facebook, através de contas roubadas ou comprometidas, onde os utilizadores são aliciados para poderem usar as ferramentas de IA a custo zero. Para tal, apenas necessitam de descarregar o software de fontes externas – a maioria de sites de armazenamento cloud, como a Dropbox e Mega.

Para dar mais credibilidade à campanha, a publicidade pode não direcionar os utilizadores diretamente para o conteúdo malicioso, mas sim para grupos privados dentro do Facebook, onde são partilhados exemplos de conteúdos criados por IA. Junto a estes encontram-se os links onde se pode, alegadamente, descarregar os conteúdos.

Se as vítimas descarregarem os softwares para os seus sistemas, encontram-se a abrir portas a potenciais ataques, com o mesmo a descarregar diferentes malwares, desde ransomware a keyloggers, que roubam dados de login dos sistemas.

Num dos casos investigados pela empresa de segurança Bitdefender, a página do Facebook usada para a campanha maliciosa prometia acesso a ferramentas do Midjourney, sendo que possuía cerca de 1.2 milhões de seguidores. Esta encontrava-se ativa durante mais de um ano, sem que a Meta tenha aplicado medidas contra a mesma.

Acredita-se que os atacantes não tenham criado a página de raiz, mas sim obtiveram acesso à mesma, tendo alterado no processo para levar ao esquema.

A maioria dos conteúdos que são oferecidos para download, e que prometem o acesso às ferramentas de IA, encontram-se em ficheiros comprimidos, que estão protegidos com senhas para prevenir a verificação por parte de softwares de segurança.

Este género de campanhas encontram-se novamente ativas em peso, e embora algumas das páginas usadas para as mesmas tenham sido, entretanto, removidas, os autores do esquema encontram-se a criar e usar páginas com um volume elevado de seguidores para continuar a campanha.

Os utilizadores são aconselhados a terem atenção aos conteúdos que acedem pela internet, sobretudo quando estes são requeridos para tarefas duvidosas ou são provenientes de fontes pouco credíveis – ou envolvem passos adicionais, como os de introduzir senhas para acessos.

05/04/2024
Chrome possui nova função para prevenir roubo de cookies

A Google revelou uma nova funcionalidade de segurança para o Chrome, que pode ajudar a prevenir o roubo de cookies, uma técnica bastante usada nos últimos tempos para roubar contas de plataformas online – mesmo que tenham autenticação em duas etapas.

Ao roubar cookies do navegador, os atacantes podem basicamente replicar o navegador noutro sistema, acedendo às contas onde o utilizador tenha uma sessão ativa. Isto pode levar a que contas, mesmo em sites com autenticação em duas etapas, possam ser comprometidas.

No entanto, o Chrome encontra-se agora a testar uma nova funcionalidade de segurança, conhecida como “Device Bound Session Credentials”. Esta permite que os cookies sejam autenticados ao sistema principal onde se encontrem, e não possam ser usados em outros sistemas.

Os cookies do navegador ficariam encriptados sobre o dispositivo usado pelos utilizadores, e mesmo que fossem roubados, não poderiam ser usados noutros sistemas. Isto, basicamente, tornaria inútil a tentativa de roubo dos mesmos por malware.

Embora possam existir casos onde o malware seja capaz de atuar de forma local, isto prevenia o roubo dos cookies para uso em outros sistemas, e seria consideravelmente mais difícil para os criadores de malware realizarem essa atividade. Ao mesmo tempo, ataques locais são bastante mais fáceis de identificar e de prevenir.

Os utilizadores interessados podem testar esta nova funcionalidade, acedendo a chrome://flags/, e ativando a opção “enable-bound-session-credentials”. A API fica ativa a partir desse momento, encriptando os cookies com o dispositivo onde o utilizador se encontra.

Espera-se que a funcionalidade venha a ser ativada para todos em breve, mas para já ainda se encontra na fase de testes.

02/04/2024
Malware para Android faz-se passar por software de segurança da McAfee

Um grupo de investigadores de segurança afirma ter descoberto uma nova campanha de malware, onde o mesmo se mascara de uma aplicação legítima de proteção para os utilizadores, enquanto instala um trojan no sistema para roubar dados bancários dos utilizadores.

De acordo com os investigadores da empresa de segurança Fox-IT, foi descoberta uma campanha onde o trojan “Vultur” é instalada nos dispositivos Android das vítimas, fazendo-se passar como uma aplicação de segurança legítima da McAfee. A atividade do malware começou a ser identificada em Março de 2021, sendo que em finais de 2022 chegou mesmo a surgir em várias aplicações na Google Play Store.

No entanto, o malware encontra-se agora a propagar por um novo formato, que pode enganar até os utilizadores mais atentos. O ataque começa com as vítimas a receberem uma mensagem SMS, alegadamente dos seus bancos, a informar que a conta bancária teria sido comprometida, e que devem descarregar um software de segurança para os seus dispositivos.

Esta aplicação é uma versão modificada da app de segurança da McAfee para Android, que conta com o malware integrado na mesma. Se for instalado no sistema, o malware começa a realizar a sua atividade maliciosa, levando ao roubo de dados bancários e outras informações potencialmente sensíveis. Enquanto isso, o utilizador apenas verifica a app legítima do software de segurança.

O malware, se instalado no sistema, pode permitir o controlo dos dispositivos em tempo praticamente real, iniciando a comunicação com um servidor de controlo dos atacantes, para onde são enviados os dados, bem como tendo acesso à capacidade de gravar o ecrã, as teclas pressionadas e até iniciar uma ligação VNC remota – que permite o controlo remoto do dispositivo pelos atacantes.

Esta nova versão do malware encontra-se bastante otimizada para melhorar o acesso remoto aos atacantes, o que parece ter sido um dos pontos de melhorias feitos no mesmo.

Como sempre, é recomendado que os utilizadores tenham bastante cuidado com mensagens desconhecidas, e sobretudo as que forneçam detalhes para se descarregar aplicações de locais fora do comum ou que peçam para realizar atividades suspeitas.

01/04/2024
Activision alerta para campanha de malware em software de cheats

Recentemente, um novo malware começou a afetar utilizadores com contas da Activision, roubando os seus dados de acesso. Numa investigação realizada ao caso, foi agora descoberto que este malware estaria a propagar-se por ferramentas de cheat para jogos da empresa, e teria como objetivo roubar os dados de acesso às contas dos utilizadores.

O caso começou a ganhar destaque depois do utilizador do Discord “PainCorp” ter notificado a entidade Zebleer, criadores do cheat “Phantom Overlay” para Call of Duty e CS, que um malware estaria a ser integrado em vários programas de cheats para os jogos, com foco em gamers.

Eventualmente, este viria a revelar uma campanha, que pode ter afetado milhões de utilizadores a nível global. O criador deste cheat afirma ter descoberto que a campanha de malware terá roubado dados de milhões de utilizadores a nível global, com uma base de dados que afeta milhares de contas.

O malware propagava-se sobretudo em cheats que eram fornecidos gratuitamente ou quase como tal pela internet, com o objetivo de recolher as contas dos utilizadores, e também os dados de acesso às contas do Discord – possivelmente para criar outros ataques e esquemas.

Alguns utilizadores reportam ainda que este malware terá roubado fundos de carteiras de criptomoedas, que se encontravam instaladas no sistema, o que pode indicar que as atividades vão além apenas do roubo de contas.

A Activision Blizzard foi notificada desta campanha, sendo que se encontra a trabalhar para implementar medidas de segurança nas contas dos utilizadores. No entanto, para já, a recomendação da editora passa por os utilizadores ativarem a autenticação em duas etapas nas suas contas, de forma a prevenir acessos indevidos mesmo no caso da senha de acesso ser comprometida.

01/04/2024
Activision encontra-se a investigar campanha de malware contra jogadores

A Activision encontra-se atualmente a investigar uma nova onda de malware, focada em roubar contas de utilizadores de títulos da empresa, que afeta sobretudo quem joga os títulos da mesma.

De acordo com o portal TechCrunch, encontra-se ativa uma campanha onde está a ser instalado malware em sistemas onde existam jogos da Activision. Este malware encontra-se focado em roubar dados de login dos utilizadores, guardados nos seus sistemas, e até obter acesos a carteiras de criptomoedas que estes possam contar no sistema.

A empresa encontra-se a ajudar os clientes a removerem o malware, bem como a aplicarem práticas de segurança nas contas para evitar o roubo de dados, mas até ao momento ainda se desconhece onde se encontra a origem dos ataques.

Alguns analistas apontam que o malware pode afetar apenas quem use aplicações de terceiros para realizar tarefas específicas nos jogos, e que não está relacionado diretamente com os jogos da editora, mas a investigação ainda se encontra a decorrer.

Ou seja, o malware pode encontrar-se a propagar via ferramentas de terceiros, onde se pode estar a explorar falhas ou atividades maliciosas para levar à instalação do malware.

A empresa, por sua vez, garante que se encontra a investigar os casos reportados, mas que ainda desconhece a origem dos mesmos. Além disso, a empresa garante também que os servidores dos vários títulos encontram-se seguros e a funcionar na normalidade.

A teoria de o malware ser focado em ferramentas de terceiros ganha ainda mais força quando existem indicações de que os primeiros casos parecem ter sido reportados por utilizadores que usam ferramentas de cheats para obter vantagens injustas no jogo.

Esta fonte indica ainda que o malware encontra-se mascarado para ser parecido com software real, levando aos utilizadores correrem os mesmos no sistema sem se aperceberem de que se trata de malware.

29/03/2024
PyPI suspende registo de novas contas devido a malware

O Python Package Index (PyPI) suspendeu recentemente o registo de novas contas de utilizadores, como forma de prevenir uma onda de malware que estaria a ser distribuído pelo serviço.

O PyPI é um projeto que permite ajudar os programadores a encontrarem pacotes e módulos para as suas criações em Phyton. Este conta com milhares de pacotes disponíveis, prontos a ajudar nas tarefas de programação dos utilizadores.

No entanto, tendo em conta o potencial impacto destes pacotes, uma nova tendência começou a verificar-se recentemente sobre a plataforma. Nos últimos tempos, vários pacotes maliciosos foram partilhados nesta plataforma, fazendo-se passar por outros mais reconhecidos – onde normalmente eram enviados com pequenas alterações no nome ou erros gráficos.

Para prevenir as campanhas que estavam a ser direcionadas para a plataforma, os administradores do PyPI decidiram encerrar temporariamente o registo de novas contas de utilizadores. Esta medida será a primeira realizada para tentar combater a onda de pacotes maliciosos enviados para o sistema.

O PyPI é um projeto comunitário, portanto qualquer utilizador com uma conta registada pode enviar os seus pacotes para o mesmo.

De acordo com um relatório da empresa Checkmarx, apenas durante o dia de ontem, foram enviados 365 pacotes malicioso que tentavam imitar outros mais reconhecidos. Estes pacotes tinham como ponto comum o facto de descarregarem os conteúdos maliciosos de sistemas remotos, com o objetivo de potencialmente roubarem dados sensíveis.

Embora a lista agora descoberta seja de apenas 365 pacotes, alguns investigadores de segurança acreditam que o valor pode ser consideravelmente superior, tendo em conta que existe uma lista consideravelmente maior de pacotes desconhecidos que não foram alvo da investigação – simplesmente por não terem sido descobertos.

Os investigadores apontam ainda que, embora tenham sido identificados centenas de pacotes maliciosos, estes parecem ter sido enviados por contas com apenas um pacote enviado de cada vez, o que indica que podem existir mecanismos para criar as contas e enviar os pacotes de forma automática.

Como sempre, é importante para os programadores ficarem atentos a possíveis pacotes maliciosos, que eventualmente podem ser incorretamente usados em projetos e outras criações.

29/03/2024
Pesquisa por IA da Google tem sido usada para promover sites maliciosos

A Google encontra-se a testar o seu novo sistema de pesquisa, usando Inteligência Artificial para ajudar os utilizadores a encontrarem mais rapidamente o que procuram. Este novo sistema de pesquisa é conhecido como “Search Generative Experience”, e tem vindo a ser testado faz alguns meses.

No entanto, foi agora revelado que o sistema pode estar também a promover sites com conteúdos enganadores, de spam ou diretamente para malware. De acordo com o analista Lily Ray, o novo sistema de pesquisa por IA da Google encontra-se a promover ativamente sites com conteúdos que podem ser considerados maliciosos.

Entre os conteúdos encontram-se sites que podem direcionar para falsas campanhas de giveaways, scam e outras práticas maliciosas. Em alguns casos os utilizadores podem mesmo ser direcionados para sites com conteúdos de malware, que podem levar a roubos de dados e outras perdas consideráveis.

A maioria dos sites descobertos a explorar este sistema tentam contornar as medidas de proteção da Google a nível de SEO, aplicando práticas para levarem os utilizadores a conteúdos maliciosos no final. A maioria dos sites encontram-se sobre a extensão .online, pelo menos nas campanhas descobertas.

Um dos exemplos encontra-se no redireccionamento para sites que obrigam os utilizadores a ativar as notificações, que posteriormente são usadas para o envio de spam e esquemas, como os de renovação de serviços de segurança ou da “licença do Windows”.

De momento ainda se desconhece como estes sites de baixa qualidade encontram-se a ser apresentados nos resultados de pesquisa da Google, mas vão de encontro também com a tendência de que a Google tem vindo a apresentar mais conteúdos de spam nos seus resultados nos últimos tempos.

A gravidade desta situação encontra-se no facto dos sites estarem a ser recomendados em destaque, quando se usa a funcionalidade de IA da pesquisa – que tem vindo a ser adotada em vários produtos da empresa para melhorar a produtividade dos utilizadores.

26/03/2024
Grupos de ciber espiões na China terão atacado mais de 70 entidades

Um grupo de ciber espiões chineses podem ter comprometido mais de 70 organizações a nível global, incluindo entidades governamentais, com mais de 116 vítimas. Esta é a conclusão a que chegam alguns investigadores de segurança, apontando um ataque em larga escala a ser realizado da China.

O grupo conhecido como Earth Krahang realiza ataques em que tenta explorar falhas em sistemas públicos, e usar técnicas de phishing para enganar os utilizadores, distribuindo malware nas redes internas de várias organizações. De acordo com os investigadores da empresa de segurança Trend Micro, a campanha de ataque do grupo terá começado nos inícios de 2022.

Um dos principais alvos do grupo encontra-se em instituições relacionadas a entidades governamentais, onde os atacantes tentam obter acesso aos sistemas internos, de forma a comprometer informação potencialmente sensível.

Ao mesmo tempo, o grupo recorre ainda a técnicas mais antigas de brute force e similares, para tentar obter acesso aos sistemas das vítimas e o controlo dos mesmos.

Os investigadores afirmam que 48 entidades governamentais já terão sido comprometidas neste ataque, com outras 49 a serem alvo de tentativas para tal. Estas não incluem apenas entidades associadas ao governo, mas também de telecomunicações, educação e outros setores considerados como “críticos”.

A maioria das vítimas encontram-se localizadas na América e Europa, em 23 países diferentes. Desconhece-se se existe alguma vítima em Portugal.

Tendo em conta as técnicas usadas pelo grupo, é importante que as entidades tenham aplicadas medidas de segurança para os seus sistemas, de forma a prevenirem os ataques diretos, mas também que tenham planos de educação digital para os seus funcionários, de forma a garantir que os mesmos estão preparados para qualquer eventualidade.

20/03/2024
INTERPOL detêm responsáveis pelo malware Grandoreiro

A Kaspersky juntou-se a uma ação coordenada pela INTERPOL, que levou as autoridades brasileiras a prender cinco administradores por detrás de uma operação do trojan bancário Grandoreiro. De acordo com estimativas conservadoras, acredita-se que os operadores do trojan bancário defraudaram as vítimas em mais de 3,5 milhões de euros. Portugal é um dos países mais afetados.

O Grandoreiro é um trojan bancário originário do Brasil que, de acordo com os dados da Kaspersky, está ativo pelo menos desde 2016. Os ataques que utilizam o Grandoreiro começam frequentemente com um e-mail de spear-phishing escrito em espanhol, português ou inglês. Uma vez instalado na máquina da vítima, o trojan rastreia as entradas do teclado, simula a atividade do rato, partilha ecrãs, recolhendo dados como nomes de utilizador, informações do sistema operativo, tempo de execução do dispositivo e, mais importante, identificadores bancários. Com controlo total sobre as contas bancárias das vítimas, os criminosos esvaziam-nas, enviando os fundos através de uma rede de “mulas” de dinheiro para branquear os lucros ilícitos.

O trojan tem muitas versões, o que pode indicar que diferentes operadores estão envolvidos no desenvolvimento do malware, tendo os especialistas da Kaspersky visto o Grandoreiro a funcionar como um projeto de Malware-as-a-Service (MaaS). O prolífico malware bancário tem como alvo mais de 900 instituições financeiras em mais de 40 países da América do Norte, América Latina e Europa.

Como parte do atual esforço conjunto, a Kaspersky, juntamente com outros parceiros privados da INTERPOL, contribuiu para a análise de amostras de malware Grandoreiro, recolhidas por investigações nacionais brasileiras e espanholas a cibercrimes ocorridos entre 2020 e 2022. Em 2020-2022, os produtos Kaspersky detetaram 150.000 ataques com o uso do trojan bancário Grandoreiro em 40.000 utilizadores em todo o mundo. Brasil, Portugal, México, Argentina e EUA acabaram por ser os países mais afetados.

Como resultado, em agosto de 2023, foram produzidos relatórios analíticos que identificaram sobreposições entre as amostras, permitindo aos investigadores aproximarem-se do grupo de crime organizado.

“Temos vindo a assistir às campanhas do Grandoreiro desde, pelo menos, 2016. Ao longo do tempo, os atacantes têm vindo a melhorar regularmente as técnicas, esforçando-se por não serem detetados e permanecerem ativos durante períodos de tempo mais longos. Nestas circunstâncias, é extremamente importante que as instituições financeiras se mantenham vigilantes, melhorando simultaneamente as suas tecnologias antifraude e os dados de informação sobre ameaças. Uma maior sinergia entre parceiros privados e públicos é também fundamental para combater estes cibercrimes e garantir um ambiente mais seguro para os utilizadores e organizações em todo o mundo”, explica Fabio Assolini, chefe da Equipa de Investigação e Análise Global para a América Latina (GReAT) da Kaspersky.

Sublinhando a importância de uma abordagem coletiva, Craig Jones, Diretor da Unidade de Cibercrime da INTERPOL, afirmou que “este sucesso operacional sublinha claramente a importância da partilha de informações através da INTERPOL e a razão pela qual estamos empenhados em agir como uma ponte entre os sectores público e privado. Além disso, prepara o terreno para uma maior cooperação na região”.

Uma vez que as famílias de trojans, como o Grandoreiro, se têm expandido ativamente no estrangeiro, os especialistas da Kaspersky esperam ver uma maior exploração dos trojans bancários móveis. De acordo com as previsões da empresa para o crimeware e as ameaças financeiras em 2024, poderemos ver trojans bancários brasileiros a tentar preencher o vazio deixado pelos trojans bancários para computadores, com o ressurgimento destes trojans a tornar-se uma das tendências que dominam o panorama das ameaças financeiras este ano.

19/03/2024
Fujitsu confirma ter sido alvo de ataque informático

A empresa Fujitsu confirmou ter sido vítima de um ataque informático, de onde podem ter sido comprometidos dados sensíveis da empresa.

O ataque terá ocorrido na semana passada, sendo que o comunicado da empresa indica que os atacantes podem ter obtido acesso a dados pessoais e sensíveis de clientes da mesma. A empresa afirma que os sistemas afetados pelo ataque foram desligados da rede interna da empresa, para evitar a propagação do ataque, mas que as investigações ainda se encontram a decorrer.

A empresa sublinha ainda desconhecer a origem do ataque, mas indica que o mesmo terá começado pela instalação de malware num dos sistemas internos da empresa.

A Fujitsu também não confirmou detalhes relativamente aos dados pessoais que foram roubados, ou à quantidade acedida, bem como a quem pertence – seja de funcionários, clientes, parceiros ou outras entidades.

De notar que a Fujitsu conta com mais de 124.000 funcionários distribuídos a nível global, e possui por entre os seus clientes algumas entidades de relevo, como entidades governamentais e de segurança.

18/03/2024
Ransomware StopCrypt recebe nova versão capaz de contornar proteções

Foi recentemente identificada uma nova variante do ransomware StopCrypt, que nos últimos tempos tem vindo a crescer de popularidade. A nova variante encontra-se agora focada para tentar contornar algumas das medidas de segurança que podem encontrar-se nos sistemas.

O ransomware StopCrypt, ao contrário dos grupos de ransomware regulares, não se foca a grandes empresas, mas sim a utilizadores regulares. Considera-se que seja uma das variantes de ransomware mais distribuídas a nível global, mas raramente ganha atenção devido a focar-se apenas em vitimas individuais, por vezes com pagamentos de resgate relativamente pequenos – cerca de 400 a 1000 dólares.

No entanto, isso não implica que o ransomware seja menos perigoso, já que pode levar ao roubo de informações potencialmente sensíveis, e também ao bloqueio de sistemas com conteúdos indispensáveis para muitos.

Embora o ransomware tenha vindo a sofrer mudanças nos últimos tempos, recentemente verificou-se a existência de uma nova variante do mesmo, ainda mais perigosa. Os investigadores da empresa SonicWall revelaram uma nova versão do ransomware, que é capaz de contornar algumas das medidas de segurança que se encontram tradicionalmente nos sistemas.

Usando um conjunto de técnicas avançadas, esta nova variante é capaz de esconder as suas atividades dos softwares de segurança, e acabar por encriptar os conteúdos de forma eficaz – mesmo que os utilizadores tenham total cuidado.

O malware possui primeiro a capacidade de analisar o sistema silenciosamente, verificando quais os processo ativos e a forma como este é usado. Depois, quando for a altura certa, o mesmo procede com o “ataque”, injetando o conteúdo malicioso nos processos da memória.

Esta nova variante tem vindo a ser descoberta em alguns dos mais recentes ataques do ransomware. Como referido anteriormente, o foco não será grandes empresas, mas sim pequenos indivíduos que podem ter mais incentivo para realizar o pagamento de pequenas quantias, de forma a evitarem terem os seus dados encriptados.

15/03/2024
Proton Mail lança nova aplicação dedicada para desktop

A Proton acaba de confirmar a chegada do seu novo cliente de email para desktop, com uma nova aplicação para Windows e macOS. Esta nova app permitirá aceder mais facilmente aos serviços da empresa, com toda a facilidade do sistema que os utilizadores usem.

De acordo com a empresa, a nova aplicação do Proton Mail encontra-se focada para integrar o melhor possível com cada sistema, seja o Windows ou macOS, fornecendo aos utilizadores uma foram simples de usarem a plataforma, com a vantagem de uma app dedicada nos sistemas.

Esta aplicação permite aceder às várias funcionalidades do Proton Mail, bem como integra também o acesso direto ao calendário, suporte para notificações nativas e integração com o tema escuro do sistema operativo.

Ao mesmo tempo, a empresa refere ainda que a aplicação foi construída para manter os mesmos padrões de segurança e privacidade que os utilizadores encontram em qualquer outra forma de acesso ao serviço.

Ao mesmo tempo, a empresa afirma que a aplicação dedicada pode ainda ajudar a prevenir possíveis roubos de contas e de informações, que se focam apenas ao navegador. Como os conteúdos encontram-se encriptados diretamente na app, torna-se consideravelmente mais difícil para malware roubar essa informação comparativamente ao acesso via o navegador.

Ao mesmo tempo, a aplicação conta ainda com um sistema de importação de mensagens, que permite importar os conteúdos rapidamente de contas do Outlook e Gmail, usando apenas os dados de login nas contas.

A aplicação encontra-se disponível para Windows, macOS e em versão Beta para Linux, estando acessível para todos os utilizadores de planos pagos. Os utilizadores do Proton Mail em contas gratuitas possuem acesso a 14 dias de teste desta aplicação.

15/03/2024
Google Safe Browsing agora analisa links em tempo real

A Google revelou uma nova funcionalidade para os utilizadores do Google Chrome, com o seu sistema de Safe Browsing, que agora é capaz de verificar em tempo real sites potencialmente maliciosos.

O Google Safe Browsing é uma das funcionalidades de proteção do Chrome, que analisa os sites que os utilizadores visitam, identificando possíveis casos de malware e phishing. Este sistema analisa os sites através de uma base de dados, que é atualizada de forma regular e automática pelo navegador.

De forma a garantir a privacidade, esta lista é descarregada diretamente da Google, e armazenada localmente, sendo que depois é analisada quando necessário no acesso aos sites. No entanto, esta forma de funcionamento possui alguns entraves, um dos quais o facto de não garantir uma proteção “imediata” contra novas ameaças -a lista é atualizada apenas de tempos a tempos.

No entanto, a empresa encontra-se agora a alterar o funcionamento deste sistema, de forma a permitir que a verificação seja realizada em tempo real. Invés de usar uma lista previamente descarregada de forma local, agora o Chrome pode enviar os pedidos de analise em tempo real para os sistemas da Google, permitindo identificar muito mais rapidamente os sites maliciosos.

Este novo sistema funciona em etapas. Primeiro, o Chrome analisa se o site se encontra numa lista de “sites seguros” de forma local, de forma a evitar que o link seja enviado para análise. Caso não esteja nesta cache local, o link é encriptado numa hash, que depois é enviada para os sistemas da Google.

A primeira paragem será num servidor de “privacidade” da empresa, que remove qualquer elemento identificativo do link e da hash. Isto permite que dados sensíveis não sejam enviados diretamente para a Google.

Feito esta remoção, apenas o conteúdo necessário para averiguar a segurança do site é enviado para os sistemas da Google. Se o site for reconhecido como tendo conteúdo malicioso, a resposta é enviada para o navegador do utilizador.

Em alternativa, caso o site seja desconhecido, a Google aplica ainda técnicas para analisar o seu conteúdo, e irá usar IA para analisar o potencial de se tratar de um esquema ou de um site de conteúdo malicioso para os utilizadores.

Este novo sistema de verificação em tempo real irá aplicar-se para quem tenha a configuração de segurança do Chrome para a Padrão ou superior. No entanto, a Google recomenda que os utilizadores escolham a opção de Proteção avançada, que garante uma camada adicional de proteção.

A diferença encontra-se que a Proteção avançada pode analisar os conteúdos do site, usando a IA, para identificar ainda mais conteúdos malicioso mesmo em sites que ainda não sejam reconhecidos como tal.

Este novo sistema deve começar a ficar disponível para todos os utilizadores do Chrome, tanto em desktop como em dispositivos móveis.

14/03/2024
Falha do Windows SmartScreen explorada por malware DarkGate

Uma nova onda de malware encontra-se agora a explorar uma falha nos sistemas de segurança do Windows, mais concretamente o Windows Defender SmartScreen, levando à instalação de malware.

Esta campanha encontra-se a ser explorada pelo malware DarkGate, sendo que o mesmo encontra-se a explorar uma vulnerabilidade – entretanto corrigida – no SmartScreen do Windows. O SmartScreen é uma funcionalidade de segurança existente no Windows, que alerta os utilizadores quando estes tentam executar programas desconhecidos e de fontes externas.

No entanto, o Windows Defender SmartScreen possuía uma falha que, com ficheiros especialmente criados para explorar a mesma, poderia contornar o alerta e executar diretamente os ficheiros.

Usando atalhos de .URL no sistema, era possível colocar o malware a executar qualquer ficheiro, sem que o Windows Defender SmartScreen fosse notificado para verificar o mesmo. Isto poderia levar ao malware instalar-se no sistema sem controlo do utilizador.

Agora, de acordo com os investigadores da empresa de segurança Trend Micro, os operadores do malware DarkGate encontram-se agora a explorar esta falha, com o objetivo de terem mais sucesso na instalação do malware. De notar que a Microsoft já corrigiu esta falha com as recentes atualizações do Windows, portanto a mesma apenas afeta quem ainda não tenha atualizado os sistemas.

A melhor proteção para os utilizadores será garantir que possuem os seus sistemas atualizados para as versões mais recentes disponíveis, o que deve corrigir não apenas a falha explorada por este malware, mas eventualmente outras que tenham sido identificadas nos últimos tempos.

Além disso, usar um software de segurança eficaz no sistema é também recomendado, e ter práticas de segurança para evitar a instalação de malware no mesmo.

14/03/2024
Falha em plugin do WordPress infeta mais de 3300 sites

Uma nova campanha de ataques encontra-se a ter como alvo sites WordPress que usam o plugin Popup Builder, explorando falhas no mesmo para colocar código malicioso nos mesmos.

A falha foi identificada como CVE-2023-6000, e afeta as versões do plugin Popup Builder 4.2.3 ou mais antigas. A falha foi inicialmente descoberta em Novembro de 2023, mas apesar disso, ainda existe um elevado número de sites que não foram atualizados. De acordo com os dados do WordPress, o plugin encontra-se atualmente instalado em mais de 200.000 websites.

Segundo a empresa Sucuri, nas últimas três semanas, esta falha tem vindo a ser ativamente explorada para instalar código malicioso nos sites, levando os visitantes para conteúdos indesejados ou sendo usado para roubar dados pessoais e de pagamento.

Os dados mais recentes apontam que existem mais de 3329 sites infetados com o malware, mas o número pode ser consideravelmente superior. Se explorada, a falha leva a que os atacantes possam implementar código malicioso nos sites, que redireciona as vítimas para falsos sites de esquemas e publicidade online.

Em alguns casos, podem também ser instalados scripts que tenham como foco roubar dados pessoais das vítimas, caso estes sejam introduzidos em sites com sistemas de pagamento ou compras online.

Os administradores de sites WordPress que tenham o plugin Popup Builder são aconselhados a atualizar para a versão 4.2.7 (atualmente a mais recente disponível, e que conta com a correção da falha).

10/03/2024
Falha em máquinas virtuais da VMware permite escapar do ambiente virtualizado

Uma nova falha foi descoberta em vários produtos de virtualização da VMWare, que pode permitir a malware escapar do ambiente isolado e infetar o sistema hospedeiro.

A VMWare é uma popular empresa no mercado, responsável por diversos softwares de virtualização. Por norma, os ambientes virtualizados devem ser isolados do ambiente do sistema hospedeiro dos mesmos, o que permite manter os mesmos separados entre si.

No entanto, foi recentemente descoberta uma vulnerabilidade em vários produtos da VMware, que caso sejam exploradas, podem permitir que código malicioso escape deste ambiente virtual e venha a ser executado nos sistemas hospedeiros.

A falha parece encontrar-se derivada do controlador USB das máquinas virtuais, que quando se encontra ativo para fazer a passagem dos mesmos, pode levar a que sejam abertas portas para a exploração.

A falha afeta vários produtos da VMWare, nomeadamente o VMware ESXi, VMware Workstation Pro / Player, VMware Workstation Pro / Player e VMware Cloud Foundation.

Os utilizadores destes programas são aconselhados a atualizarem para as versões mais recentes, disponíveis no site da plataforma. Uma das medidas temporárias para prevenir a exploração da falha passa também por desativar o passthrough do USB em todas as máquinas virtuais criadas.

08/03/2024
Apple facilita migração para Android e alteração do Safari

A nova Lei dos Mercados Digitais encontra-se agora ativa na União Europeia, trazendo consigo algumas mudanças que necessitam de ser implementadas pelas empresas. Uma dessas empresas é a Apple, que agora se prepara com algumas alterações para breve nas suas plataformas, tornando mais simples mudar de navegador e alterar do iOS para Android.

De acordo com o novo relatório da Apple, a empresa está a aplicar algumas medidas para ir de encontro com a Lei dos Mercados Digitais, e que vai aplicar-se a todos os utilizadores na zona europeia.

Para começar, a empresa vai aplicar alterações no seu navegador Safari, permitindo agora que os utilizadores possam escolher qual o navegador padrão do sistema. Quando estes iniciarem o navegador, agora terão a opção de escolher qual o navegador que pretendem configurar para o sistema, com base nas opções disponíveis para a área onde os mesmos se encontrem.

Esta novidade vai ficar acessível para todos os utilizadores que tenham atualizado para o iOS 17.4.

A Apple encontra-se ainda a facilitar a portabilidade de dados para outros sistemas operativos, neste caso para o Android. Os utilizadores terão novas formas de exportar os conteúdos do iOS, e de importar os mesmos para dispositivos Android. A empresa afirma estar a trabalhar num sistema que pode facilitar consideravelmente a migração dos conteúdos entre os dois sistemas.

O sistema de mudança do navegador padrão vai ficar disponível para os utilizadores a partir de 2025, enquanto que o novo sistema para a migração de dados para outros dispositivos fora do sistema da Apple deve começar a ser lançado no final de 2024.

No entanto, na mesma mensagem onde a Apple refere estas alterações, a empresa volta a sublinhar que as mesmas podem ter impacto na forma como os sistemas da Apple podem ajudar a prevenir os utilizadores de esquemas e malware. A empresa sublinha que, ao ser feita a mudança das configurações padrão, os utilizadores podem deixar de ter acesso a algumas das funcionalidades de proteção e segurança da empresa.

08/03/2024
Publicidade na X usada para distribuir malware

Uma nova onda de campanhas de publicidade maliciosas encontra-se a surgir para vários utilizadores na X, levando os mesmos para vários esquemas, desde plataformas falsas de criptomoedas a sites de malware.

Nos últimos dias, vários utilizadores reportaram que a publicidade da X encontra-se a apresentar conteúdos de cada vez menos qualidade, o que inclui campanhas focadas para esquemas e burlas, mas também para o download de malware.

Usando o sistema de publicidade da X, uma das campanhas mais recorrentes encontra-se em falsas plataformas de criptomoedas. A publicidade incentiva os utilizadores a acederem a uma plataforma, sobre pretexto de receberem “airdrops” e outras ofertas em várias criptomoedas.

Esta publicidade surge sempre de contas aleatórias, mas verificadas pelo sistema de verificação da X – selo azul. No entanto, as contas aparentam ter apenas uma pequena percentagem de seguidores – em alguns casos abaixo de 10.

Se os utilizadores acederem aos links indicados na publicidade, serão levados a associarem as suas carteiras de criptomoedas com as plataformas. A partir dai, será onde se inicia o esquema, tendo em conta que a plataforma tenta roubar os fundos existentes na carteira das vítimas.

Outra publicidade que também tem vindo a surgir frequentemente na plataforma direciona os utilizadores para malware, sobre falsas aplicações baseadas em nomes populares no mercado. Uma delas promete usar IA para alterar a voz dos utilizadores, direcionando as vítimas para um site onde é possível descarregar o software.

No entanto, se instalada, a aplicação acaba por levar à instalação de malware no sistema com o potencial de roubo de dados do mesmo.

De notar que todas as contas usadas para propagar os esquemas e a publicidade maliciosa encontram-se verificadas. Uma das primeiras medidas de Elon Musk na plataforma foi colocar o sinal de verificado como uma funcionalidade paga, indicando que essa medida iria garantir a verificação da identidade dos utilizadores, e poderia ajudar a prevenir esquemas e spam na plataforma – na altura, uma das críticas de Musk à rede social.

07/03/2024
Novo malware usa blocos de notas online para distribuir código malicioso

Um grupo de investigadores revelou ter descoberto uma nova variante de malware, apelidado de “WogRAT”, que se foca a sistemas Windows e Linux. No entanto, a particularidade do mesmo é que usa serviços de blocos de notas online para guardar parte do código malicioso.

Segundo a descoberta dos investigadores da AhnLab Security Intelligence Center (ASEC), o malware tem vindo a realizar vítimas desde meados de 2022, tendo como alvo sobretudo países asiáticos. No entanto, o mesmo tem vindo a expandir-se para outras regiões de forma recente, o que eleva o risco.

Este malware distribui-se por software que se assemelha a outros populares no mercado, como a instalação do VLC, Gimp e outros.

A particularidade deste malware será que uma parte do código malicioso encontra-se integrado em plataformas de blocos de notas online, que normalmente são usadas para guardar notas rápidas e partilhar as mesmas com terceiros. Os criadores do malware focam-se sobretudo no uso de uma plataforma deste formato, conhecida como aNotepad, para criarem o código e o distribuírem.

Quando o malware é inicialmente executado nos sistemas das vitimas, é improvável que seja marcado como malicioso pelos softwares de segurança, visto que não possui atividades para tal. No entanto, é depois de aceder ao código presente nestes blocos de notas online que a atividade maliciosa começa.

O malware descarrega o código destas plataformas, que o converte depois em um ficheiro DLL, que acaba eventualmente por ser executado no sistema. O malware possui ainda a capacidade de se ligar a um servidor remoto, de onde obtém os comandos para o ataquem, e para onde envia dados que possam ser importantes das vítimas.

O malware parece ter sido focado para o Windows, mas também possui uma variante para Linux, que conta com poucas diferenças, tirando um pouco mais de encriptação nas comunicações feitas com o servidor de controlo remoto e algumas mudanças a nível das ligações com as plataformas de blocos de notas online.

06/03/2024
Grupo de ransomware BlackCat terá encerrado atividades em rumores de “scam”

O grupo de ransomware BlackCat encontra-se a realizar um alegado “scam”, tendo encerrado as suas atividades, alegando que a infraestrutura dos mesmos foi apreendida, enquanto fica com o dinheiro dos afiliados do grupo.

O grupo confirmou ainda que vai vender o código fonte do seu malware, pelo preço de 5 milhões de dólares. A partir de um fórum na dark web, um alegado membro do grupo afirma que o mesmo terá decidido encerrar o projeto, alegando que as autoridades teriam acesso à infraestrutura, mas não foram fornecidos detalhes adicionais.

Vários analistas, no entanto, indicam que o grupo não terá sido alvo de uma rusga das autoridades, mas sim decidiram aproveitar o momento para enganar os afiliados, ficando com o dinheiro dos ataques realizados recentemente.

O investigador Fabian Wosar afirma que o grupo apenas se encontra a apresentar uma falsa mensagem, que estaria alojada em outro site do grupo no passado. As autoridades também terão indicado que não possuem qualquer informação sobre a apreensão dos sistemas do grupo, e não se encontra ativo nenhum processo de apreensão dos sistemas pelas mesmas.

Embora ainda não existe uma confirmação oficial de que se trata de um “scam”, alguns afiliados afirmam que o grupo terá encerrado as suas operações depois de ter obtido um pagamento de 22 milhões de dólares, alegadamente do ataque de ransomware realizado à Change Healtcare.

Esta fonte terá ainda indicado que o grupo obteve cerca de 350 Bitcoins associados a este pagamento, o que totaliza os 23 milhões de dólares, tendo posteriormente repartido esse valor em várias carteiras para começar a realizar a “lavagem” do dinheiro virtual.

A fonte indica que o grupo terá encenado a apreensão dos sistemas pelas autoridades, para dar mais credibilidade ao esquema, enquanto fica com o dinheiro dos afiliados que usaram o seu ransomware. Ao mesmo tempo, este encontra-se a tentar obter ainda mais fundos com a venda do código fonte do seu ransomware por 5 milhões de dólares.

05/03/2024
Malware GTPDOOR pode infetar redes de operadoras de telecomunicações

Um investigador de segurança revelou ter descoberto uma variante de malware para Linux, conhecida como GTPDOOR, que pode abrir portas para ataques contra operadoras móveis.

Este malware foca-se em atacar os sistemas adjacentes ao GRX nas operadoras, e pode permitir o acesso direto aos sistemas internos das mesmas caso o ataque seja realizado com sucesso.

O GRX é um sistema usado pelas operadoras de telecomunicação para facilitar o roaming de serviços entre diferentes áreas e redes. Este malware foca-se nos sistemas adjacentes ao GRX, nomeadamente o GPRS Support Node (SGSN), Gateway GPRS Support Node (GGSN), e P-GW (Packet Data Network Gateway (4G LTE).

O investigador HaxRob afirma que o malware encontra-se possivelmente associado com campanhas de spyware, pertencentes ao grupo “LightBasin”, com o objetivo de recolher dados em ataques diretos para as operadoras a nível global.

O investigador afirma que alguns samples do malware foram enviados para o VirusTotal em 2023, mas estariam a passar como indetetáveis na maioria dos softwares de segurança.

Caso o malware tenha sucesso nas suas atividades, pode permitir criar um backdoor na rede interna das operadoras, o que permitiria o acesso de terceiros à infraestrutura base das mesmas.

Os detalhes do malware podem ser verificados no artigo escrito pelo investigador sobre o malware, bem como medidas de prevenção que podem ser implementadas na firewall e outros sistemas de segurança.

04/03/2024
Investigadores descobrem nova infraestrutura de spyware Predator

Um grupo de investigadores revelou ter descoberto uma nova infraestrutura, potencialmente usada por um novo spyware no mercado, e que pode afetar utilizadores em mais de 11 países diferentes.

Apelidado de “Predator “, este novo spyware pode ter uma variante comercial, e acredita-se que tenha como alvo utilizadores em vários países. Tratando-se de um spyware comercial, terá sobretudo como alvo personalidades de relevo, como jornalistas e políticos, de onde se pretenda obter informação dos mesmos.

Este spyware é conhecido como tendo sido desenvolvido pelo grupo Intellexa, e estará a ser distribuído desde 2019, tanto para Android como iPhone. O mesmo pode obter acesso ao microfone, câmara, contactos, mensagens, fotos e vídeos, entre outros conteúdos que possam encontrar-se nos dispositivos dos utilizadores.

Este é considerado como bastante invasivo, e deixa poucos traços das suas atividades nos dispositivos, o que o torna complicado de analisar completamente. O Predator é distribuído sobretudo através da exploração de falhas e vulnerabilidades em outras aplicações, tendo como objetivo alvos diretos.

Os investigadores afirmam agora ter descoberto uma nova infraestrutura, que estará a ser ativamente usada para campanhas de espionagem em alvos de países como Angola, Indonésia, Mongólia, Filipinas, Egipto e outros.

Acredita-se que as vítimas são levadas a descarregar o conteúdo malicioso para os seus dispositivos em campanhas de phishing ou spam, ou direcionados diretamente para conteúdos que podem ser do seu interesse, mas onde o objetivo seja levar à instalação do malware.

04/03/2024
Dispositivo móveis estão cada vez mais no alvo dos ataques

Em 2023, a Kaspersky observou um aumento constante no número de ameaças a dispositivos móveis, alcançando quase 33,8 milhões de ataques, um aumento de 52% face ao ano anterior. A ameaça mais prevalente aos dispositivos móveis foi o adware, constituindo 40,8% de todas as ameaças detetadas.

Numa altura em que os líderes internacionais da indústria móvel se reúnem, em Barcelona, para o Mobile World Congress, a análise anual da Kaspersky sobre o cenário de ameaças móveis destaca a crescente prevalência de riscos de segurança e o avanço de ferramentas e tecnologias móveis maliciosas. De acordo com os especialistas da empresa, existe uma tendência notória para o aumento dos ataques dirigidos a dispositivos móveis. Só em 2023, o número de ataques aumentou para 33 790 599 milhões, o que representa um aumento significativo de quase 52%, em comparação com os 22 255 956 milhões de ataques registados em 2022.

A ameaça mais frequente aos dispositivos móveis foi o adware, um tipo de software que apresenta anúncios pop-up indesejados, e por vezes irritantes, representando 40,8% de todas as ameaças detetadas. Relativamente aos trojans bancários, o número de instalações deste tipo de malware desceu para 153.682 mil, depois de ter registado um aumento acentuado o ano passado, quando o número duplicou. Ao mesmo tempo, o número de ataques que utilizam bankers móveis manteve-se relativamente ao mesmo nível.

Os cibercriminosos distribuem frequentemente ameaças móveis através das lojas online de aplicações oficiais e não oficiais. Em 2023, os especialistas da Kaspersky detetaram inúmeras aplicações enganosas presentes no Google Play. Um dos disfarces mais comuns em 2023 foram as aplicações de investimento falsas que se baseavam em táticas de engenharia social para extrair dados pessoais dos utilizadores, principalmente os seus números de telefone e nomes completos, que eram posteriormente adicionados às bases de dados utilizadas para fraudes telefónicas. Outro vetor predominante de estes ataques foram os mods maliciosos do WhatsApp e do Telegram, concebidos para roubar os dados dos utilizadores.

“O aumento da atividade de malware e riskware para Android ao longo de 2023 marca uma mudança preocupante após um período de relativa calma. Atingindo níveis que lembram o início de 2021, este aumento sublinha a ameaça significativa que os utilizadores enfrentam. É um forte lembrete da importância de permanecer vigilante e implementar medidas de segurança robustas para a proteção contra as ciberameaças em evolução”, comenta Anton Kivva, especialista em segurança móvel da Kaspersky.

26/02/2024
LockBit volta ao ativo depois de mega operação das autoridades

Durante a semana passada, as autoridades do Reino Unido revelaram uma das maiores operações contra um dos maiores grupos de ransomware no ativo. O grupo LockBit é atualmente um dos mais reconhecidos na área, tendo começado as suas atividades em meados de 2019.

As autoridades revelaram recentemente a operação Cronos, onde foram apreendidos vários servidores e sistemas usados pelo grupo para os seus ataques. O site do grupo, que anteriormente teria as vitimas do mesmo, passou também a ser controlado pelas autoridades, que o usaram para partilhar informações sobre a operação, o grupo, e ajuda para as vítimas do mesmo.

No entanto, embora a operação tenha levado ao desmantelamento dos sistemas usados pelo grupo para os seus ataques, e de vários sites onde essa informação era partilhada, parece que não impediu inteiramente as atividades deste.

Dentro da rede TOR, o grupo encontra-se agora de novo no ativo, tendo já um novo site .onion, e contando também com uma lista de novas vítimas. Isto indica que as atividades do grupo ainda se encontram bastante ativas, apesar do impacto que a operação das autoridades teve.

Ao mesmo tempo, o grupo veio publicamente deixar uma mensagem sobre o sucedido. Na sua mensagem, o grupo afirma que as autoridades apenas obtiveram acesso à infraestrutura antiga devido à “preguiça” do grupo em atualizar as suas infraestruturas.

Mais concretamente, este afirma que as autoridades terão explorado uma falha relativamente recente no PHP, que terá levado a obter detalhes dos sistemas, e eventualmente, ao controlo dos mesmos. Esta falha terá sido explorada porque os sistemas usados pelo grupo não estariam atualizados corretamente.

Na mesma mensagem, o grupo deixa ainda claro que lançou o novo site, sobre novos servidores, com atualizações em linha. Além disso, o grupo afirma ainda que irá recompensar qualquer um que encontre falhas de segurança nos novos sistemas.

O grupo alega que as autoridades apenas terão ficado interessadas no grupo depois de ter ocorrido um ataque de ransomware à Fulton County, que levou a que vária informação sensível sobre o caso em ativo nos tribunais dos EUA fosse igualmente roubada. Face a isto, o grupo afirma que irá começar a focar-se em realizar mais ataques para entidades governamentais dos EUA, de forma a pressionar as mesmas.

Por fim, o grupo alega ainda que, das 1000 chaves de desencriptação obtidas pelas autoridades, estas diriam respeito a malware relativamente simples, que terá sido obtido de sistemas de encriptação usados por afiliados “de entrada”, com pedidos de resgate relativamente pequenos. Os sistemas que as autoridades tiveram acesso teriam ainda 20.000 chaves das quais estariam protegidas, e não foram obtidas, de um total de quase 40.000 chaves criadas desde o inico das operações do grupo.

Face à mensagem, fica claro que as atividades do grupo não devem parar, mesmo com a operação das forças de segurança. A lista de vítimas encontra-se agora a crescer no novo site da rede TOR, e espera-se que mais informações venham a ser reveladas em breve.

Ao mesmo tempo, a operação das autoridades, mesmo não tendo terminado com o grupo, causou danos graves na sua reputação e na informação que o mesmo possui, que pode influenciar as atividades futuras do mesmo, mas também de outros grupos de ransomware ligados a este.

25/02/2024
LockBit estaria a desenvolver ransomware ainda mais poderoso

Recentemente as autoridades desmantelaram praticamente todas as operações do grupo de ransomware LockBit. No entanto, antes disso acontecer, o grupo parecia estar a preparar-se para uma nova onda de ataques, com um novo ransomware ainda mais poderoso.

De acordo com a revelação das autoridades do Reino Unido, antes da operação ter desmantelado as operações do grupo, este encontrava-se a trabalhar numa nova geração do seu malware. Apelidado de LockBit 4.0, este novo sistema pretendia fornecer consideráveis melhorias na encriptação dos dados e na forma como os ataques seriam realizados.

O malware do LockBit encontra-se desenvolvido em código C++, no entanto, o LockBit 4.0 estaria desenvolvido em linguagem .NET, e seria consideravelmente mais poderoso que a geração anterior. Não apenas seria mais difícil de identificar, mas também iria realizar a encriptação dos dados de forma consideravelmente mais rápida.

De acordo com a empresa de segurança Trend Micro, que analisou o malware em desenvolvimento, este ainda possui algumas funcionalidades em falta comparativamente à geração anterior. No entanto, a sua funcionalidade base já estaria ativa, e permitiria realizar ataques em larga escala consideravelmente mais eficazes na encriptação dos dados.

Este conta ainda com um sistema de autodestruição, que poderia identificar quando as vitimas não realizaram o pagamento a tempo, e destrói automaticamente os ficheiros encriptados nos sistemas, preenchendo os mesmos com dados aleatórios.

Tendo em conta que as autoridades desmantelaram as operações do grupo, este malware não chegou a surgir em ataques. Mesmo que o código fonte do mesmo venha a ser usado para outras variantes de malware, as autoridades possuem agora conhecimento vasto do mesmo, o que pode ajudar a prevenir e contornar futuros ataques.

22/02/2024
“Coyote” é um novo malware que afeta mais de 60 instituições financeiras

Um novo e sofisticado Trojan bancário que rouba informação financeira sensível e introduz táticas avançadas para evitar a deteção foi descoberto pela Equipa Global de Investigação e Análise (GReAT) da Kaspersky. Apelidado de ‘Coyote’, este malware depende do instalador Squirrel para ser distribuído, sendo o seu nome inspirado nos coiotes, os predadores naturais dos esquilos.

Os especialistas da Kaspersky identificaram o “Coyote”, um novo e sofisticado trojan bancário que utiliza táticas avançadas de evasão para roubar informações financeiras sensíveis. Tendo como alvo principal os utilizadores afiliados a mais de 60 instituições bancárias no Brasil, o Coyote utiliza o instalador Squirrel para a sua distribuição – um método raramente associado à entrega de malware. Os investigadores da Kaspersky analisaram e identificaram todo o processo de infeção do Coyote.

Em vez de seguir o caminho habitual com instaladores bem conhecidos, o Coyote escolheu uma ferramenta relativamente nova, o Squirrel, para instalar e atualizar as aplicações do Windows. Desta forma, o Coyote esconde seu carregador de estágio inicial fingindo que é apenas um empacotador de atualizações.

O que torna o Coyote ainda mais desafiante é a utilização do Nim, uma linguagem de programação moderna e multiplataforma, como carregador para a fase final do processo de infeção. Isto está em linha com uma tendência observada pela Kaspersky, em que os cibercriminosos utilizam linguagens menos populares e multiplataforma, demonstrando a sua adaptabilidade às últimas tendências tecnológicas.

O objetivo do Trojan está alinhado com o comportamento típico de um Trojan bancário, monitorizando o acesso a sites bancários específicos. Uma efetivado o acesso ao site, o Coyote “conversa” com seu servidor de comando e controlo usando canais SSL com autenticação mútua. O uso de comunicação encriptada pelo Trojan e a sua capacidade de realizar ações específicas, como keylogging e captura de ecrã, destacam a sua natureza avançada. Este malware pode até pedir passwords específicas de cartões bancários e configurar uma página falsa para adquirir credenciais de utilizador.

Os dados de telemetria da Kaspersky mostram que cerca de 90% das infeções por Coyote vêm do Brasil, causando um grande impacto na cibersegurança financeira do país.

“Nos últimos três anos, o número de ataques de trojans bancários quase duplicou, atingindo mais de 18 milhões em 2023. Isto mostra que os desafios de segurança online estão a aumentar. À medida que lidamos com o crescente número de ciberameaças, é realmente importante que as pessoas e as empresas protejam os seus ativos digitais. A ascensão do Coyote, um novo tipo de Trojan bancário, lembra-nos de ter cuidado e usar as defesas mais recentes para manter as nossas informações importantes em segurança”, sublinha Fabio Assolini, chefe da Equipa de Investigação e Análise Global da América Latina (GReAT) da Kaspersky.

22/02/2024
Novo malware descarregado 150 mil vezes da Google Play Store
Um novo malware foi descoberto na Play Store da Google, que pode ter infetado milhares de dispositivos em vários países, com o objetivo de roubar dados bancários das vítimas.

De acordo com os investigadores da empresa de segurança ThreatFabric, o malware foi apelidado de Anatsa, e terá sido descarregado mais de 150.000 vezes da Google Play Store. O malware focava-se sobretudo a utilizadores na zona europeia.

Os primeiros sinais do malware começaram a surgir em Novembro do ano passado, mas a sua atividade tem vindo a aumentar consideravelmente nas últimas semanas. Cada nova aplicação distribuída na Play Store foca-se em diferentes países, e as apps tendem a surgir regularmente na categoria de Novas aplicações gratuitas da loja da Google, dando ainda mais destaque para as mesmas.

Ao mesmo tempo, o malware tem vindo a evoluir, tirando proveito do serviço de acessibilidade do Android, para infetar os dispositivos até ao Android 13. As apps usadas para distribuir o malware variam consideravelmente, desde aplicações de limpeza do sistema a leitores de PDF.

Um dos exemplos, a aplicação “Phone Cleaner – File Explorer” foi descoberta com o malware, e terá sido descarregada mais de 10.000 vezes antes de ter sido removida da Play Store.

Outra aplicação, com o nome de “PDF Reader: File Manager”, também foi descoberta com a mesma atividade. Neste caso, a aplicação tinha mais de 100.000 downloads até ao momento – e esta ainda se encontra na loja de aplicações, embora deva ser brevemente removida.

Os investigadores afirmam ter descoberto pelo menos cinco aplicações maliciosas:
- Phone Cleaner – File Explorer (com.volabs.androidcleaner)
- PDF Viewer – File Explorer (com.xolab.fileexplorer)
- PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
- Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
- PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)
Como sempre, caso tenha instalado alguma destas aplicações, o recomendado será que proceda com a sua remoção imediata. Fique também atento a qualquer atividade suspeita em apps de entidades bancárias ou similares.

Os investigadores afirmam que as apps não realizavam as atividades maliciosas de imediato. Invés disso, o malware era descarregado apenas uma semana depois de a app ser instalada no dispositivo, onde começavam as atividades maliciosas.

As aplicações questionavam pelo acesso ao serviço de acessibilidade do Android para terem a capacidade de recolher dados mais alargados do sistema, nomeadamente de apps bancárias e de pagamentos digitais.
19/02/2024
Malware para Android e iOS pode roubar o rosto dos utilizadores para fraudes

Um novo malware foi recentemente descoberto para iOS e Android, que pode usar o próprio rosto dos utilizadores para roubar a identidade e criar deepfakes dos mesmos, com intenções maliciosas.

De acordo com a empresa de segurança Group-IB, o malware foi apelidado de GoldPickaxe, e usa técnicas de engenharia social para levar as vítimas a realizarem o scan dos seus documentos pessoais, bem como a realizarem a captura do rosto.

Acredita-se que esta informação é posteriormente usada para a criação de deepfakes e para o roubo de identidade. O malware foi desenvolvido por um grupo com ligações à China, apelidado de “GoldFactory”, e foca-se sobretudo para potenciais vítimas em países asiáticos.

A distribuição do malware começou a ser verificada em Outubro de 2023, mas ainda se encontra presente nos dias de hoje. O malware começou por se focar para utilizadores do Android, e era distribuir sobre falsas aplicações – algumas das quais encontravam-se na Play Store – em que levavam os utilizadores a realizarem ações associadas com diferentes entidades governamentais.

Eventualmente o malware evoluiu para se propagar também para sistemas baseados no iOS, onde as vitimas são igualmente enganadas para instalarem falsas apps ou acederem a sites onde o roubo de dados ocorre.

Uma vez instalado no sistema, o malware comunica com servidores remotos, para onde envia os conteúdos, mas também de onde recebe os comandos para as atividades. Os investigadores afirmam que a versão do malware para Android é consideravelmente mais perigosa, tendo em conta que o sistema é também mais aberto do que o da Apple.

Por exemplo, no Android, o malware possui também a capacidade de ler e enviar mensagens SMS, aceder aos conteúdos das fotos e roubar os contactos.

Acredita-se que o principal foco do malware sejam vitimas na Tailândia, onde várias entidades governamentais e entidades bancárias começaram a adicionar recentemente sistemas de autenticação biométrica, onde se encontra a validação pelo rosto dos utilizadores.

16/02/2024
OpenAI remove contas de grupos de hackers associados a entidades governamentais

A OpenAI confirmou ter removido da sua plataforma contas que estariam a ser usadas por entidades governamentais, de forma a abusar das capacidades do ChatGPT. Estas contas teriam ligações com entidades governamentais do Irão, Coreia do Norte, China e Rússia, estando a usar a plataforma em violação dos termos de serviço da mesma.

Estas entidades teriam ligações com grupos de hacking, que estavam a usar os modelos LLM da OpenAI para desenvolverem código potencialmente malicioso, ou que poderia ser usado para ataques. Esta medida foi realizada depois de uma investigação da Microsoft, onde se veio a descobrir que grupos apoiados por entidades governamentais estariam a usar o ChatGPT para estas atividades.

Entre os grupos identificados de hackers encontram-se o Forest Blizzard (Strontium) da Rússia, Emerald Sleet (Thallium) da Coreia do Norte, Crimson Sandstorm (Curium) do Irão, Charcoal Typhoon (Chromium) da China e Salmon Typhoon (Sodium) da China.

Estes grupos estariam a usar as ferramentas da OpenAI para desenvolverem técnicas mais avançadas para os seus ataques, desde melhorias em código de malware existente a criação de conteúdos para engenharia social, de forma a enganar as potenciais vítimas de forma mais convincente.

Não existem indícios que os modelos LLM tenham sido usados diretamente para criar malware por completo, mas partes do código podem ter sido adaptados ou melhorados usando as ferramentas de IA da OpenAI.

A OpenAI afirma ainda que irá tomar medidas para prevenir que situações similares voltem a ocorrer no futuro, aplicando sobretudo medidas mais rigorosas de análise para a forma como determinadas contas se encontram a usar a plataforma de IA da empresa, e regras mais especificas para os filtros da IA.

15/02/2024