Categoria: malware

Google Play Store foi responsável por milhares de downloads de malware em 2023

A Google Play Store continua a ser um dos meios mais seguros para se encontrar aplicações no Android, mas isso não impede que a plataforma seja usada para distribuir malware de tempo a tempo. E os dados parecem confirmar isso mesmo.

De acordo com um estudo realizado pela empresa de segurança Kaspersky, os utilizadores da Play Store da Google terão, em 2023, feito mais de 600 milhões de downloads que seriam respeitantes a aplicações maliciosas dentro da loja de aplicações da Google. A empresa indica que existem várias formas como este malware se propaga, até mesmo por aplicações que deveriam ser consideradas “seguras”.

Um dos exemplos encontra-se na aplicação “iRecorder”, que permitia a gravação do ecrã dos dispositivos dos utilizadores, e que, à partida, aparentava ser totalmente inofensivo. No entanto, foi descoberto que a app terá sido usada para distribuir malware para milhões de dispositivos, com a capacidade de gravar o áudio dos dispositivos dos utilizadores a cada 15 minutos, enviando os mesmos para servidores em controlo dos autores da aplicação.

A forma como as aplicações maliciosas se distribuem pela Play Store segue uma tendência quase sempre parecida: as apps começam por ser colocadas na loja como conteúdos legítimos, fornecendo o que prometem para os utilizadores finais, antes de serem eventualmente atualizadas com versões modificadas com malware quando atingem uma elevada quantidade de utilizadores. O género de malware em questão pode variar, desde os mais “inofensivos”, que apenas apresentam publicidade escondida, mas que gastam bateria no processo, aos mais graves, que podem recolher dados pessoais dos utilizadores e enviarem essa informação para sistemas em controlo dos atacantes.

Durante este ano, a plataforma da Google também bateu recordes a nível de aplicações adware, que normalmente apresentam funcionalidades básicas ou inexistentes, apenas para forçar os utilizadores a verem publicidade abusiva e excessiva nos seus dispositivos. Esta tendência foi particularmente notada a nível de jogos na plataforma.

Mesmo que a Play Store ainda seja um dos locais mais seguros para os utilizadores poderem encontrar as suas aplicações, recomenda-se que exista cautela na altura de descarregar as aplicações para os dispositivos.

14/11/2023
Google ataca grupos que aproveitaram entusiasmo do Bard para esquemas

A Google vai tomar medidas contra dois grupos, que são conhecidos por estarem a usar o Google Bard para variados esquemas contra utilizadores. A Google afirma que vai começar a tomar medidas contra este género de grupos, e os dois agora revelados serão os primeiros para tal.

De acordo com a Google, os grupos estariam a usar o nome do Bard, bem como o entusiasmo pelo termo na internet, para obterem receitas de forma ilícita, enganando os utilizadores em geral e grupos de pessoas vulneráveis.

Estes grupos usaram diferentes técnicas para enganar os utilizadores. Uma das técnicas passa por aproveitar a procura pelo Bard para enganar os utilizadores, levando-os a páginas falsas onde alegadamente poderiam “descarregar” o Bard. O que os utilizadores acabariam por descarregar seria aplicações contendo malware, que eram usadas para roubar dados pessoais e obter informação privada dos dispositivos infetados e das vítimas. Estas campanhas distribuíram-se em falsas páginas das redes sociais, ou até mesmo em publicidade por diferentes plataformas.

Os grupos são ainda conhecidos por criarem centenas de contas falsas da Google, apenas para enviarem falsos pedidos de Digital Millennium Copyright Act (DMCA) para os mais variados conteúdos na internet, que muitas vezes faziam-se passar como sendo a Google para incentivar a remoção de conteúdos de diferentes sites e plataformas online.

A Google encontra-se agora a avançar com um processo junto das autoridades dos EUA, com o objetivo de encerrar as atividades dos grupos, bem como impedir que os mesmos possam usar entidades nos EUA para realizarem as suas atividades. Em concreto, a empresa pretende que as autoridades apliquem medidas para evitar que os grupos tenham forma de registar domínios falsos, que poderiam ser usados para propagar os seus esquemas. O segundo grupo, focado nos falsos pedidos de DMCA, encontra-se visado com o objetivo da Google aplicar medidas para evitar que os mesmos possam enviar estes falsos pedidos. A Google afirma que, derivado dos mesmos, mais de 100.000 negócios em redor do mundo terão sido prejudicados.

De notar que esta não é a primeira vez que a Google aplica medidas mais agressivas contra grupos que realizam esquemas usando o nome da empresa ou dos seus serviços.

13/11/2023
Malware propaga-se em publicidade da Google sob nome do CPU-Z

Se utilizou recentemente o Google para descarregar o popular programa CPU-Z , talvez seja melhor ter atenção de onde realmente realizou a tarefa, pois pode ter descarregado uma aplicação maliciosa.

A equipa de segurança da Malwarebytes revelou uma nova campanha de malware, que se encontra a usar a publicidade do Google para divulgar versões modificadas com malware da popular aplicação CPU-Z. O esquema começa quando os utilizadores realizam a pesquisa na Google pelo nome do programa, onde nos resultados patrocinados podem surgir sites que alegam ser os oficiais do programa.

Como se tratam de resultados patrocinados, estes surgem no topo da pesquisa, e portanto, recebem mais destaque por parte dos utilizadores. Os utilizadores mais atentos podem verificar que o domínio não corresponde ao legitimo do programa, mas nem sempre isso é suficiente para evitar que se caia no esquema.

O CPU-Z é um popular programa para Windows de monitorização da frequência dos processador e dados da memória RAM, bastante usado por quem pretenda obter mais informações sobre os seus sistemas.

Se os utilizadores acederem a estes sites falsos, propagados via a publicidade da Google, são reencaminhados para sites que prometem o download da aplicação. Este site possui um design similar a vários sites de download de programas na internet, possivelmente para tentar enganar as vítimas que podem pensar estar a descarregar a aplicação de uma fonte legitima.

No entanto, o programa descarregado acaba por executar uma instalação de malware no sistema, com o potencial de descarregar outro malware para o mesmo no futuro. A aplicação que o utilizador pretendia é também instalada, possivelmente para não levantar suspeitas.

O malware instala-se no sistema e pode descarregar mais malware, spyware ou ransomware de outras fontes.

Como sempre, a melhor forma de proteção passa pelos utilizadores evitarem aceder aos primeiros resultados de pesquisa da Google, que possuem a tag de serem anúncios, tendo em conta que nem sempre são a fonte legítíma que alegam ser.

09/11/2023
Novo malware para Android contorna proteção do sistema

O Android tem vindo a integrar várias funcionalidades focadas em aumentar a segurança dos utilizadores, e garantir que os seus dispositivos se encontram protegidos de ameaças. No entanto, se a Google tenta integrar funções para garantir a segurança, existe a outra parte de quem as tenta contornar.

Recentemente, um novo malware começou a ganhar destaque no mercado. Conhecido como “SecuriDropper”, este destaca-se por conseguir contornar algumas medidas de segurança que foram implementadas no Android 13.

O Android 13 integra uma função apelidada de “Acesso Restrito a definições”, que basicamente, impede que apps instaladas fora da Play Store tenham acesso a áreas das definições importantes, como o caso dos serviços de acessibilidade ou acesso a notificações. Estas duas permissões são bastante usadas por malware para recolherem dados dos sistemas. Como tal, a Google implementou medidas de restrição que impedem as funções de serem simplesmente usadas pelas apps fora da Play Store.

No entanto, o novo malware SecuriDropper parece conseguir contornar esta medida. De acordo com os investigadores da empresa de segurança ThreatFabric, este novo malware consegue contornar as medidas de proteção do Android, obtendo assim as permissões para as áreas onde normalmente não deveria ter acesso, mesmo que as apps tenham sido instaladas fora da loja de aplicações da Google.

Isto permite que as apps obtenham acesso a duas permissões sensíveis, que podem depois ser usadas para os mais variados ataques e roubos de dados.

É importante notar que, por norma, estas aplicações requerem aos utilizadores de realizarem certas tarefas no sistema antes de poderem realizar as suas atividades maliciosas. Neste caso, as mesmas apenas necessitam de ser instaladas e abertas uma vez, para poderem explorar a falha.

No caso da SecuriDropper, o malware é capaz de contornar a proteção tanto no Android 13, onde a mesma foi introduzida, como também nas versões mais recentes do Android 14.

Como sempre, a melhor forma de proteção para os utilizadores passa por garantirem que apenas instalam aplicações de fontes confiáveis. A Play Store, mesmo não sendo imune a malware, ainda é uma das melhores plataformas para a instalação de aplicações no Android, e das mais seguras existentes.

06/11/2023
Discord vai mudar partilha de ficheiros para links temporários

O Discord encontra-se a aplicar medidas para evitar que a sua plataforma seja usada como forma de distribuição de malware, passando a usar links temporários para conteúdos partilhados nas conversas.

Até agora, quando os utilizadores partilhavam um conteúdo diretamente nas conversas do Discord, eram criados links diretos para esses conteúdos. Isso permitia que, mesmo quem não estivesse no Discord, poderia aceder a esses links e descarregar os conteúdos. Apesar de ser útil para algumas situações, esta funcionalidade é também uma porta de entrada para possíveis problemas.

Afinal de contas, quem ganhe a vida a distribuir malware, pode simplesmente enviar código malicioso para os sistemas do Discord e recolher o link direto de download dos mesmos, enviando por outros formatos – como emails. Na realidade, esta forma de ataque é algo que tem sido bastante usado nos últimos meses. A pensar nisso, o Discord confirma que vai deixar de fornecer links públicos para os conteúdos da sua CDN, passando a adotar links temporários.

Estes novos links são automaticamente regenerados ao fim de um tempo. Desta forma, quem se encontre dentro das conversas do Discord, irá continuar a ter aceso aos mesmos. No entanto, se os links forem partilhados para outros locais, eventualmente irão expirar e deixarão de ficar disponíveis. Alguns utilizadores usam o Discord como forma de enviar rapidamente ficheiros para outros utilizadores – um dos exemplos encontra-se em criadores de jogos, que por vezes fornecem via o Discord atualizações urgentes.

O Discord recomenda que quem esteja a usar o seu sistema para este formato tente encontrar alternativas mais adequadas para a partilha de ficheiros. A plataforma relembra que o sistema de envio de ficheiros foca-se em facilitar a partilha de conteúdos entre utilizadores dentro do serviço, e não tornar o Discord uma plataforma de armazenamento cloud.

A empresa acredita que, passando para links temporários, esta medida terá um grande impacto para impedir a distribuição de malware pelo serviço. Os links passariam a ter uma validade fora da plataforma, que poderá ser bastante curta. Desta forma, inviabiliza-se a potencialidade de se usar o link com sucesso para o envio de malware a terceiros. É importante notar que estas medidas da plataforma surgem depois de faz vários anos do serviço ter vindo a ser usado como forma de distribuição de malware.

A medida espera-se que seja realizada até ao final do ano.

04/11/2023
Avast confirma que esteve a marcar app da Google como malware

Recentemente alguns smartphones das marcas Huawei, Vivo e Honor começaram subitamente a marcar a app da Google como sendo maliciosa, através do sistema de segurança integrado nos dispositivos. Agora conhecem-se mais detalhes sobre a origem do problema.

Aparentemente este problema terá ocorrido devido a uma falha nas bases de dados da empresa de segurança Avast, que são usadas pelo sistema de segurança nestes dispositivos. Derivado de um problema com as bases de dados da empresa, a aplicação da Google começou subitamente a ser marcada como “trojan”, sendo recomendado aos utilizadores que removessem a mesma dos dispositivos.

Na altura que os problemas começaram a surgir, acreditava-se que poderia ser derivado do Google Play Protect, mas a Google veio rapidamente confirmar que tal não estaria a acontecer. A app encontrava-se a ser marcada como malware no sistema de segurança que estes dispositivos usam – o qual é baseado em bases de dados e de assinaturas de malware externas, neste caso, da Avast.

Segundo o comunicado da empresa, esta confirma que uma falha na base de dados fornecida para o sistema de segurança destes dispositivos terá causado o problema, levando a que a app da Google fosse considerada “malware” como um falso positivo. A identificação como tal estaria a ser feita pela aplicação Huawei Optimizer, que é usado para otimizar o sistema, e onde se integra também uma ferramenta de verificação de apps por malware.

A empresa sublinha ainda que o problema foi rapidamente resolvido, e apenas afetou utilizadores fora da China.

31/10/2023
Nova campanha do grupo Lazarus explora software legítimo

Uma nova campanha do infame grupo Lazarus dirigida a organizações de todo o mundo foi descoberta pela Equipa de Investigação e Análise (GReAT) da Kaspersky. A investigação apresentada no Security Analyst Summit (SAS) revelou uma sofisticada campanha APT distribuída através de malware e disseminada através de software legítimo.

A equipa GReAT identificou uma série de incidentes cibernéticos que envolviam alvos infetados através de software legítimo concebido para encriptar a comunicação na Web utilizando certificados digitais. Apesar de as vulnerabilidades terem sido comunicadas e corrigidas, as organizações de todo o mundo continuaram a utilizar a versão defeituosa do software, proporcionando um ponto de entrada para o infame grupo Lazarus.

Este grupo demonstrou um elevado nível de sofisticação, empregando técnicas avançadas de evasão e implantando um malware “SIGNBT” para controlar as vítimas. Aplicou também a já conhecida ferramenta LPEClient, anteriormente utilizada para atacar empresas do sector da defesa, engenheiros nucleares e o sector das criptomoedas. Este malware atua como o ponto inicial de infeção e desempenha um papel crucial na definição do perfil da vítima e na entrega do payload. As observações dos investigadores da Kaspersky indicam que o papel do LPEClient neste e noutros ataques se alinha com as táticas utilizadas pelo grupo Lazarus, como também se viu no famoso ataque à cadeia de abastecimento 3CX.

Uma investigação mais aprofundada revelou que o malware Lazarus já tinha visado a vítima inicial, um fornecedor de software, várias vezes antes. Este padrão de ataques recorrentes indica um adversário determinado e concentrado, provavelmente com a intenção de roubar código-fonte crítico ou perturbar a cadeia de fornecimento de software. O agente da ameaça explorou consistentemente vulnerabilidades no software da empresa e alargou o seu âmbito de ação, visando outras empresas que utilizavam a versão não corrigida do software. A solução Endpoint Security da Kaspersky identificou a ameaça de forma proativa e evitou ataques futuros contra outros alvos.

“A atividade contínua do grupo Lazarus é um testemunho das suas capacidades avançadas e da sua motivação inabalável. Operam a uma escala global, visando uma vasta gama de indústrias com um conjunto diversificado de métodos. Isto significa uma ameaça contínua e em evolução que exige uma vigilância acrescida,” refere Seongsu Park, Investigador de Segurança Principal na Equipa de Investigação e Análise Global da Kaspersky.

31/10/2023
Edge recebe nova atualização com correções no canal Dev

A Microsoft encontra-se a disponibilizar uma nova atualização do Edge, focada para o canal Dev, que conta com várias novidades interessantes para quem use o navegador.

A nova versão do Edge 120.0.2171.1, disponível agora no canal Dev, conta com melhorias a nível da interface. Os utilizadores devem verificar que as animações e fluidez da interface foi consideravelmente melhorada, em parte devido a melhorias feitas no sistema de gestão das janelas do navegador.

Foram também feitas melhorias a nível do sistema de criação de Áreas de Trabalho, bem como a capacidade de realizar a pesquisa por malware, usando o SmartScreen, para ficheiros que sejam enviados a partir de dispositivos móveis.

Obviamente, foram também aplicadas várias correções, entre as quais encontra-se uma falha que ocorria na migração de senhas para o Edge, e outra que poderia levar ao bloqueio do navegador quando se abrir o Copilot.

De notar que a versão Dev ainda se trata de uma versão em desenvolvimento do Edge, e como tal, pode contar com problemas e falhas, não sendo aconselhável para uso no dia a dia. Mas para quem pretenda experimentar as novidades do Edge em primeira mão, será a melhor opção disponível.

30/10/2023
Smartphones da Huawei, vivo e Honor marcam app da Google como malware

Os dispositivos da Huawei, Honor e Vivo contam com um sistema integrado de deteção de apps potencialmente maliciosas, que fornece uma segurança “básica” contra possíveis ameaças em apps externas.

No entanto, os utilizadores que tenham dispositivos destas marcas, recentemente podem ter começado a receber um aviso de que a app da Google está a ser considerada como “malware”.

Os utilizadores destes dispositivos reportam que a aplicação de segurança do sistema encontra-se a classificar a app da Google como “TrojanSMS-PA”, uma espécie de malware. Obviamente, trata-se de um falso positivo, mas a opção que o sistema fornece é a de remover a app diretamente – que pode levar alguns utilizadores a acreditarem que a app pode ter sido comprometida.

Se os utilizadores carregarem na opção para ver “mais detalhes” sobre o malware, surge a indicação de que a app pode ser usada para o envio de mensagens SMS maliciosas em segundo plano.

A mensagem refere mesmo que o sistema de segurança do sistema identificou o envio de mensagens SMS potencialmente maliciosas por parte da app – o que a app oficial não realiza.

Este problema não aparenta encontrar-se relacionado com o Google Play Protect, sistema de proteção da Play Store, e que se encontra disponível em dispositivos Android com serviços da Google. Neste caso, aparenta tratar-se da identificação do falso positivo por parte do sistema partilhado usado por estas fabricantes. No caso de dispositivos Huawei, encontra-se relacionado com a funcionalidade “Huawei Optimizer”, mas é desconhecido qual a funcionalidade que leva ao alerta em modelos da Vivo e Honor.

Alguns utilizadores apontam que ignorar o alerta pode resolver o problema – pelo menos temporariamente – bem como a limpeza da cache da aplicação “Huawei Optimizer”. No entanto, não existe ainda uma solução concreta para o problema por parte das fabricantes – embora a lista onde a app era considerada maliciosa aparenta ter sido revertida.

30/10/2023
Aplicação de Android na Play Store com 2 milhões de downloads continha adware
De tempos a tempos, aplicações maliciosas conseguem contornar as medidas de proteção da Google, e chegam à Play Store diretamente – com visibilidade para um grande público em dispositivos Android. Foi este o mais recente caso descoberto na plataforma, onde uma app com mais de 2 milhões de instalações estaria ativa a divulgar adware.

A empresa de segurança Doctor Web revelou ter identificado novas aplicações maliciosas na Play Store, que teriam um elevado número de downloads, apesar de conterem adware, forçando os utilizadores a verem publicidade no sistema.

A empresa revelou ter descoberto pelo menos quatro aplicações:
- Super Skibydi Killer – 1,000,000 downloads
- Agent Shooter – 500,000 downloads
- Rainbow Stretch – 50,000 downloads
- Rubber Punch 3D – 500,000 downloads
Segundo os investigadores, quando as vítimas instalavam estas aplicações nos seus dispositivos, estas criavam um atalho secundário nos dispositivos dos utilizadores, como o ícone do Google Chrome ou transparente, que levava os utilizadores para os mais variados sites de publicidade.

Ao mesmo tempo, a aplicação principal permanecia ativa em segundo plano, e regularmente iniciava este atalho, forçando a apresentação da publicidade para os utilizadores, e criando receitas para os criadores da mesma.

Esta não é a primeira vez que apps deste formato surgem na Play Store, e acredita-se que estejam relacionadas com a família de adware conhecida como “FakeApp”. Em alguns casos, a app carregava publicidade para sites de casinos online, que violavam as regras da Play Store.

Foram ainda descobertas várias apps adicionais, que também apresentavam campanhas de publicidade abusivas e direcionadas para conteúdos em violação dos termos de serviço da Play Store:
- Eternal Maze (Yana Pospyelova) – 50,000 downloads
- Jungle Jewels (Vaibhav Wable) – 10,000 downloads
- Stellar Secrets (Pepperstocks) – 10,000 downloads
- Fire Fruits (Sandr Sevill) – 10,000 downloads
- Cowboy’s Frontier (Precipice Game Studios) – 10,000 downloads
- Enchanted Elixir (Acomadyi) – 10,000 downloads
Por fim, foram ainda descobertas duas novas apps que faziam parte da família de malware “Joker”, a qual subscrevia os utilizadores para serviços premium, onde estes ficariam a pagar uma taxa elevada todas as semanas por serviços que nunca utilizariam:
- Love Emoji Messenger (Korsinka Vimoipan) – 50,000 downloads
- Beauty Wallpaper HD (fm0989184) – 1,000 downloads
Apesar de a Google Play Store ainda ser um dos lugares mais seguros para instalar aplicações no Android, deve-se sempre ter em atenção a origem das mesmas. De longe, a plataforma não se encontra livre de problemas e de malware, que de tempos a tempos consegue contornar as proteções da mesma.
27/10/2023
Quanto custam os seus dados na Dark Web?
A internet é um mundo de dados, e infelizmente, nem sempre as empresas conseguem garantir a segurança dos mesmos. De tempos a tempos surgem casos de entidades que são atacadas, e onde dados, incluindo de clientes, são roubados.

Junta-se ainda ataques de malware e phishing, que diariamente afetam milhares de utilizadores por todo o mundo.

Muitos dos dados que são roubados, eventualmente acabam por ser colocados à venda na dark web. Estes dados podem ser valiosos, não apenas para os donos dos mesmos, mas também para quem esteja a tentar encontrar formas de “mudar de identidade” online, ou simplesmente de usar informações para algo em nome de outra pessoa.

E o mais importante a ter em conta é que, em muitos casos, é praticamente impossível remover completamente essa informação das vendas feitas na Dark Web. Se os seus dados pessoais encontram-se à venda na mesma, existe uma forte possibilidade que venham a permanecer ai para todo o sempre.

Mas sabe quanto exatamente custa esta informação?

A realidade é que, tendo em conta que existem atualmente uma grande quantidade de dados pessoais acessíveis pela internet, os mesmos também são relativamente simples e baratos de se obter em larga escala. Com apenas alguns euros, é possível obter dados como moradas, selfies com identificação, cartões de cidadão, cartões bancários e até mesmo números de telefone. Uma investigação da Kaspersky revelou recentemente quais os custos de cada item na Dark Web.
- Dados do cartão de crédito: seis a dez euros.
- Digitalização da carta de condução: entre 5 e 25 euros.
- Digitalização de passaportes: entre 6 e 15 euros.
- Serviços de assinatura: de 50 cêntimos a 8 euros.
- Selfie com documentos: de 40 a 60 euros.
- Registos médicos: de 1 a 30 dólares.
- Identificação (nome completo, data de nascimento, e-mail, telemóvel, etc.): entre 50 cêntimos e 10 dólares.
Como se pode ver, a informação não é propriamente cara, sobretudo se tivermos em conta que quem se encontra a comprar a mesma possivelmente possui bastante dinheiro acessível devido a outros géneros de ataques.

A tendência é que estes valores venham a cair ainda mais, tendo em conta que cada vez mais existem roubos de dados em massa sobre entidades diferentes, ou através de esquemas de phishing. Conforme mais informação esteja disponível para venda, menor serão os preços.
23/10/2023
Campanha de malware distribui-se na publicidade do Google sobre KeePass

Nos últimos tempos temos visto cada vez mais casos de malware que se propaga via a publicidade da Google, e agora existe mais um caso confirmado, que se foca sobretudo em utilizadores do gestor de senhas KeePass.

A empresa de segurança Malwarebytes revelou ter descoberto uma nova campanha de malware, que se encontra a propagar via a publicidade da Google, e focada para utilizadores que usam o motor de pesquisa para acederem ao site do KeePass.

Como se sabe, a pesquisa da Google apresenta nos primeiros lugares os resultados patrocinados, que são de anunciantes na plataforma da empresa. No entanto, estes resultados patrocinados têm vindo também a ser usados para enganar os utilizadores, redirecionando os mesmos para falsos sites de vários programas.

No mais recente exemplo, os atacantes encontram-se a direcionar os utilizadores para um falso site do KeePass, onde é prometido o download do programa. Para tentar ocultar o facto de se tratar de um site falso, a publicidade surge ainda com um domínio em formato “Punycode”, que lhe permite surgir praticamente como o domínio correto – mesmo que não o seja.

Caso os utilizadores acedam ao site e descarreguem o instalador que ai se apresenta, apesar de o mesmo instalar realmente o KeePass, também coloca no sistema um script malicioso, que pode instalar outro malware no mesmo no futuro – com a capacidade de descarregar o conteúdo de servidores em controlo dos atacantes.

De notar que, apesar de a Google ter começado a remover alguma da publicidade maliciosa que a empresa de segurança identificou, a campanha ainda aparenta encontrar-se ativa.

A pesquisa por “KeePass” no Google pode retornar resultados patrocinados que redirecionam os utilizadores para variantes do site malicioso.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção quando realizam pesquisas em qualquer motor de pesquisa, evitando os resultados patrocinados, e tendo sempre atenção ao domínio que se encontra a ser acedido no final.

19/10/2023
Google Play Protect vai receber sistema de proteção em tempo real

A Google revelou que vai aplicar novas medidas de proteção para os utilizadores de dispositivos Android, via o Google Play Protect, com a chegada da proteção em tempo real ao sistema.

Esta medida vai fornecer uma camada adicional de proteção para todos os utilizadores de dispositivos Android. Até agora, o Google Play Protect apenas atuava na vertente de análise das apps, que poderia identificar conteúdos maliciosos, mas apenas depois das apps serem analisadas pela Google.

Com a chegada do sistema de verificação em tempo real, sempre que uma app seja instalada num dispositivo Android, será enviada para os sistemas da Google, de forma a validar se a mesma é malware ou não.

Esta funcionalidade vai encontrar-se disponível tanto para apps instaladas pela Play Store como de fontes externas, garantindo mais proteção para os utilizadores. A mesma vai também ficar disponível em todos os dispositivos que tenham acesso aos serviços da Google.

Quando a Google identificar uma app que é considerada maliciosa, o utilizador é notificado com uma mensagem de alerta, e recomendado para não instalar a mesma. Nos casos em que a app seja desconhecida da Google, o sistema irá notificar o utilizador para realizar a análise da mesma antes da instalação.

Ao mesmo tempo, o próprio sistema de verificação foi também remodelado, para ser ainda mais eficaz contra malware que pode descarregar aplicações adulteradas em segundo plano. Uma das técnicas do malware no Android para tentar contornar as proteções de segurança passa por usar apps modificadas de forma aleatória – que tecnicamente podem não estar ainda presentes em bases de dados conhecidas.

No entanto, com o novo sistema da Google Play Protect, estas apps serão antecipadamente enviadas para análise nos servidores da Google, antes de serem instaladas. Isto garante uma camada adicional de segurança para os utilizadores.

A Google afirma que o seu sistema não analisa diretamente o código fonte da app, mas sim as atividades da mesma e outras informações para identificar as que possuem potencial de serem maliciosas ou de realizar atividades que os utilizadores podem não pretender.

Obviamente, mesmo sendo uma camada de segurança adicional bem vinda, ainda não é impenetrável, e certamente que podem vir a existir apps que consigam contornar este meio de proteção. Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que necessitam de ter atenção aos locais de onde descarregam as suas apps.

18/10/2023
Cuidado com estas SMS falsas do SNS 24!

O SNS 24 encontra-se a alertar para uma nova campanha de SMS maliciosa, que se encontra a usar o nome da entidade para propagar aplicações potencialmente maliciosas.

O esquema começa quando as vítimas recebem uma mensagem SMS, com a indicação de que é necessário atualizar a conta dos utilizadores devido a novas medidas de segurança. Com a mensagem, encontra-se ainda um link – que poderá variar no destino, mas normalmente reencaminha para sites com o termo SNS 24.

No entanto, quando os utilizadores acedem ao link a partir de um dispositivo móvel Android, este redireciona para o download de um ficheiro APK malicioso. Se o acesso for feito de outros dispositivos, este reencaminha para o site da SNS 24. Este ficheiro encontra-se mascarado como a aplicação do SNS 24, mas se os utilizadores o instalarem, estão a abrir portas para o potencial roubo de dados.

A aplicação foca-se em roubar os contactos do dispositivo, e obtém ainda permissões para o envio de mensagens SMS para outras potenciais vitimas. Os dados são enviados para sistemas remotos em controlo dos atacantes.

O malware tenta ainda recolher dados sobre aplicações bancárias, e caso identifique uma no dispositivo, tenta proceder com o roubo dos dados de login nas contas dos utilizadores.

A app conta ainda com permissões de acessibilidade, que lhe permite realizar tarefas automaticamente dentro do sistema e agir como se fosse o próprio utilizador. Isto pode permitir aos atacantes realizarem ainda mais ações dentro do sistema.

A aplicação encontra-se atualmente identificada como malware por vários sistemas de antivírus, sendo que a Google também alerta na instalação da mesma. No entanto, isso pode não ser suficiente para impedir que os utilizadores continuem com o processo de instalação.

18/10/2023
Google alerta para exploração de falha no WinRAR em campanhas de malware

O WinRAR é um dos programas de compressão de ficheiros mais reconhecidos e usados, em parte pela sua politica de “trial infinito”. Este conta com mais de 500 milhões de utilizadores, tornando-se assim um alvo importante para potenciais ataques.

Recentemente, a Google, dentro da sua equipa da Threat Analysis Group (TAG), deixou o alerta para a descoberta de um novo ataque, que se encontra a explorar uma falha no WinRAR para campanhas de espionagem. Os investigadores apontam que a falha encontra-se a ser ativamente explorada por hackers de grupos com relações à China e Rússia.

A empresa refere que, em causa, encontra-se a exploração da falha CVE-2023-38831, que se encontrava no WinRAR. A falha foi entretanto corrigida em recentes atualizações do programa, mas tendo em conta que este não possui um sistema de atualizações automáticas, poderão existir muitos sistemas ainda abertos a exploração da mesma.

A falha CVE-2023-38831 no WinRAR não é propriamente desconhecida, sendo que se conhecem ataques à mesma desde meados de Abril deste ano, mas recentemente começaram a intensificar-se contra possíveis alvos governamentais ou de interesses para os países em questão.

A falha foi corrigida com o WinRAR 6.23, lançado a 2 de Agosto, mas ainda assim, muitos sistemas podem permanecer com versões antigas devido à falta de atualização manual dos administradores do mesmo. Esta atualização corrigiu também outras falhas no programa, como a CVE-2023-40477, que permitia a ficheiros RAR maliciosamente criados de executarem código no sistema.

18/10/2023
Administradores de sistemas continuam com tendência a usar senhas inseguras

Por muitas medidas de proteção que sejam implementados nos sistemas, a segurança ainda passa pela necessidade de usar senhas que sejam consideradas seguras, sobretudo quando estas dizem respeito a áreas sensíveis de uma empresa.

No entanto, a prática nem sempre é seguida, e ainda existem muitas entidades que continuam a usar senhas inseguras para acessos “diários” a ferramentas internas, como portais de gestão e outras.

De acordo com um estudo da Outpost24, o qual analisou cerca de 1.8 milhões de senhas usadas por administradores de sistemas em diferentes locais, cerca de 40.000 das entradas nos registos correspondiam à senha “admin” – o que indica que ainda existe uma tendência para até mesmo especialistas usarem esta senha “padrão”.

A empresa de segurança afirma que a analise partiu de registos que foram roubados de malware focado em roubo de dados de login, e portanto, que se focam em nomes de utilizador e senhas diretamente. Algumas das senhas não se encontravam em texto plano, mas tendo em conta que eram relativamente simples de decifrar, poderiam mesmo assim ser identificadas.

Além de “admin”, a tendência continua a ser usar senhas de baixa segurança em geral. Por exemplo, a segunda senha mais usada é “123456”, seguindo-se “12345678” e “1234”, ou a tradicional “Password”.

Como sempre, a principal forma de combater esta tendência passa por incentivar o uso de senhas seguras, independentemente do local onde estas sejam implementadas.

18/10/2023
Cuidado com o download do Notepad++ no Google

De tempos a tempos, a publicidade da Google é usada para campanhas de malware, e recentemente uma tem vindo a focar-se em quem procura descarregar o popular editor Notepad++.

De acordo com a empresa de segurança Malwarebytes, uma nova campanha encontra-se a usar a publicidade da Google para enganar os utilizadores que pretendam descarregar a aplicação do Notepad++, levando-as para sites maliciosos com versões adulteradas.

Esta campanha parece ter escapado dos radares da Google, mantendo-se ativa faz meses. A ideia será que os resultados de pesquisa surgem quando os utilizadores procuram diretamente no Google por termos associados ao editor, como “download Notepad++”. Os primeiros resultados da pesquisa são, por norma, associados a publicidade.

Os atacantes tiram proveito disso para apresentarem sites falsos, que redirecionam os utilizadores para supostas páginas de download da aplicação. No entanto, estas tratam-se de versões adulteradas com código malicioso, que podem instalar malware nos sistemas.

Os sites usados para a campanha possuem vários domínios. Quando as vítimas acedem ao mesmo, passam por um sistema de redireccionamentos. Se for verificado que o IP do utilizador corresponde ao de um bot ou VPN, este reencaminha os mesmos para um site aparentemente legitimo. No entanto, para os restantes casos, é apontado para um site com o aspeto da página legítima de download do Notepad++.

Se os utilizadores tentarem fazer o download do programa por esse site, passam por uma segunda camada de validação, que verifica se os mesmos estão em algum género de ambiente protegido – como uma máquina virtual. Se não, o download é realizado.

A aplicação de instalação da versão maliciosa do Notepad++ possui apenas alguns KB de tamanho total, mas é o suficiente para instalar o malware no sistema – que pode levar ao roubo de dados ou instalação de ransomware.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos resultados de pesquisa que acedem, evitando os primeiros resultados patrocinados no motor de pesquisa.

17/10/2023
Setor bancário tornou-se um dos principais alvos dos cibercriminosos em 2023

A S21Sec, uma das principais empresas europeias de serviços de cibersegurança adquirida pelo Grupo Thales em 2022, analisou a evolução do cibercrime no setor financeiro ao longo do primeiro semestre de 2023, no seu relatório de referência Threat Landscape Report, um estudo global sobre o impacto do cibercrime em diferentes indústrias.

A análise assegura que as campanhas de malware bancário ganharam destaque nesta primeira metade do ano, sendo algumas delas muito agressivas e com objetivos e vítimas específicas dentro da União Europeia (UE), América Latina e Estados Unidos, como o Banco de Investimento da Europa.

Além disso, o conflito bélico entre a Ucrânia e a Rússia motivou as ações e operações hacktivistas, o que teve um impacto relevante no setor financeiro ao ter sido afetado por diversas campanhas de ciberataques, que podem causar graves danos nas operações de negócios, bases de dados ou comunicações, o que pode resultar em perdas económicas graves, danos na reputação e questões legais, tanto para a entidade como para os seus clientes. Entre estas campanhas, destacam-se as realizadas pelo grupo NoName057(16), KillNet, Anonymous Sudan, Kvazar, Bloodnet, IT Army of Ukraine e CyberArmy of Russia, entre outros.

Alguns destes ataques são impulsionados por grupos hacktivistas pró-russos, que os realizam devido à entrega de ajuda militar, logística ou económica por parte da UE à Ucrânia, bem como devido à imposição de sanções aprovadas e aplicadas pela UE e pelos Estados Unidos à Rússia. Além disso, esses ataques também são motivados pela atividade cibernética da Ucrânia contra interesses e infraestruturas russas, bem como a suposta atividade de organismos e entidades de países europeus que se posicionaram contra a Rússia.

“O conflito bélico na Europa motivou os grupos pró-russos a ativar suas operações cibernéticas contra entidades bancárias em toda a UE, dada a importância deste setor. Um dos últimos ciberataques em grande escala foi realizado pelos grupos KillNet e Anonymous Sudan contra o Banco de Investimento da Europa, que sofreu graves interrupções nos seus serviços web. Portanto, é realmente importante contar com um serviço de proteção contra essas ameaças através da monitorização, detecção e resposta a ataques DDoS, garantindo a segurança e disponibilidade de uma indústria tão importante como a bancária”, refere Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

Atividades APT contra o setor bancário

Por outro lado, as Ameaças Persistentes Avançadas (APT – Advanced Persistent Threats) também estão entre as ciberameaças mais relevantes no setor bancário, devido à complexidade das suas ações e operações, bem como à implementação de táticas, técnicas e procedimentos avançadas.

Alguns destes ataques tem início com a receção de um email que se faz passar por organismos reguladores nacionais do setor financeiro. O email é acompanhado de um anexo que, uma vez descarregado, inicia um segundo download de um ficheiro malicioso a partir de servidores distribuídos em várias localizações geográficas de todo o mundo, com o objetivo de permitir a rápida entrega de conteúdo. Através deste procedimento, os cibercriminosos têm a possibilidade de realizar ações maliciosas, como o acesso a conteúdos normalmente protegidos e a exfiltração de informações.

17/10/2023
Steam vai implementar autenticação em duas etapas após vaga de malware

A Valve confirmou que vai aplicar medidas adicionais de segurança para criadores de jogos na Steam, como forma de mitigar um problema que tem vindo a surgir recentemente na plataforma.

A Steam vai agora exigir que todos os criadores de jogos implementem a verificação em duas etapas via SMS. A ideia será proteger a conta dos programadores e dos estúdios, depois da Valve ter confirmado que existe uma nova vaga de malware que se encontra a ser distribuído como atualizações de jogos, via contas de programadores comprometidas.

Segundo a Valve, desde o início de Setembro que se começou a verificar um elevado número de contas da Steamworks comprometidas, que estariam a ser usadas para o envio de malware através de atualizações de jogos. A empresa refere que, tendo em conta os sistemas de identificação de malware da empresa, as atualizações maliciosas chegaram apenas a uma centena de utilizador, que foram prontamente notificados.

Face a este problema, a partir de 24 de Outubro de 2023, a Valve vai requerer que todas as contas da Steamworks tenham a verificação em duas etapas ativa, nomeadamente via SMS. Isto será aplicado para todas as contas que tenham permissões de realizar tarefas como as de enviar atualizações ou patches dentro da Steamworks.

No entanto, apesar de esta verificação adicional ser certamente bem vinda, ao mesmo tempo ainda existem programadores que apontam falhas na mesma. Um dos exemplos encontra-se no caso do programador Benoît Freslon, o qual recentemente teve a sua conta da Steam comprometida depois de um dos sistemas nos seus estúdios ter sido comprometido com malware. Este roubou os dados de sessão do navegador, e eventualmente procedeu ao envio de pacotes maliciosos como atualização dos seus jogos na Steam.

A autenticação em duas etapas não teria resolvido este problema, visto que o ataque roubo diretamente os cookies de sessão do navegador. Neste caso, o ataque terá ocorrido depois do programador ter sido enganado para descarregar uma aplicação de “teste” no Discord, a qual roubo os dados de login de diferentes plataformas sociais, incluindo da Steam.

16/10/2023
Ubuntu 23.10 com imagens removidas por conterem mensagens de ódio

O Ubuntu é uma das distribuições de Linux mais populares no mercado, mas a sua recente versão 23.10 teve de ser colocada temporariamente em pausa depois de ter sido descoberto que continha mensagens de ódio nas traduções feitas de ucraniano.

De acordo com o comunicado da Canonical, a versão teve de ser colocada em suspenso depois de ter sido descoberto que um tradutor terá, maliciosamente, contribuído com mensagens de ódio para o projeto – na ideia de ajudar a traduzir o sistema e os seus conteúdos para ucraniano.

A entidade refere que a imagem do sistema foi rapidamente removida quando se descobriu o conteúdo. É ainda referido que o utilizador terá contribuído para a tradução usando ferramentas externas da entidade, mas estas chegaram a ser integradas na versão final do sistema.

Foi referido que as imagens do sistema estiveram durante três horas ativas, antes do problema ter sido descoberto e as mesmas removidas. A mesma afetou o Ubuntu Desktop 23.10 e Ubuntu Budgie 23.10.

Face ao problema, apesar deste ter afetado apenas os conteúdos de tradução do Ubuntu, a comunidade rapidamente levantou críticas ao facto que, a medida, poderia ter sido consideravelmente mais grave se fossem integrados conteúdos de malware.

Apesar de as alterações no sistema serem revistas, a comunidade critica sobretudo o facto que, se este género de atividades pode passar despercebida de uma nova release do sistema, o mesmo pode também ocorrer com casos mais graves de dependências maliciosas ou outro género de malware.

No entanto, é também importante sublinhar que a validação de traduções é consideravelmente mais difícil de ser feita do que código do sistema. Isto porque a validação apenas pode ser realizada por outras pessoas que tenham conhecimento do idioma, o que nem sempre pode ocorrer.

14/10/2023
Autoridade Tributária alerta para vaga de emails phishing

De tempos a tempos surgem diferentes esquemas pela internet, que tentam enganar os utilizadores mais desatentos e levar a potenciais roubos. E mais uma vez, a Autoridade Tributária necessita de lançar o alerta para esquemas que estão a surgir via email.

A Autoridade Tributária e Aduaneira (AT) deixou esta semana o alerta para um conjunto de emails que estão a ser enviados para alguns contribuintes, alegadamente com origem na entidade, relativamente às suas declarações de rendimentos.

Nestas mensagens, os utilizadores são direcionados para carregarem num link, onde se deveria encontrar o conteúdo. No entanto, é aqui que o esquema começa levando os utilizadores a descarregar malware ou a aceder a sites de terceiros onde podem introduzir os seus dados, que posteriormente são usados para os mais variados fins.

Como sempre, os utilizadores devem ter atenção às mensagens recebidas, evitando carregar em links. Todas as operações da AT podem ser realizadas pelos canais oficiais da mesma, sendo que o recomendado será o acesso direto aos mesmos para qualquer atividade que seja considerada necessária.

É ainda recomendado que se tenha atenção à origem e conteúdo dos emails. O campo do remetente do email pode ser forjado, mas normalmente, os conteúdos dentro do email apresentam algum género de erro que permite identificar como sendo phishing.

13/10/2023
Microsoft confirma que vai remover VBScript do Windows

O malware dentro do Windows pode propagar-se de várias formas, mas uma das mais frequentes encontra-se no uso do VBScript, que permite realizar várias atividades dentro do sistema por parte de scripts automáticos.

Depois de quase 30 anos no Windows, finalmente a Microsoft decidiu descontinuar esta funcionalidade. A partir do seu site, a Microsoft confirmou que o VBScript vai brevemente ser desativado no Windows, passando a ser considerado uma funcionalidade opcional.

Os utilizadores que realmente necessitem do mesmo, ainda o poderão ativar, mas por padrão, este encontra-se desativado do sistema.

De relembrar que o VBScript trata-se de uma linguagem de programação para o Windows, similar ao Visual Basic, que foi lançada em Agosto de 1996. Esta rapidamente se integrou como parte do Internet Explorer, e eventualmente, por scripts que interagiam com o Windows Script.

Apesar de a Microsoft não o referir explicitamente, a remoção desta funcionalidade do Windows pode vir a ajudar a evitar um vetor de ataque por malware. O VBScript é muitas vezes usado por diferentes famílias de malware, derivado da sua antiguidade e integração com o Windows, de forma a infetar os sistemas.

Existem vários malwares no mercado que usam este para infetarem os sistemas, ou como porta de entrada para permitir que conteúdos maliciosos sejam descarregados. Além disso, é também um vetor de ataque para aplicações que fazem uso do mesmo, com o Office.

10/10/2023
Hackers usam páginas de erro 404 para roubar dados de cartões bancários

Se possui uma loja online baseada em Magento ou WooCommerce, será recomendado que verifique se a mesma está atualizada e segura, tendo em conta uma recente onda de ataques verificada contra esta plataforma.

De acordo com os investigadores da empresa de segurança Akamai Security Intelligence, foi recentemente descoberto que se encontra uma onda de ataques contra sites baseados em Magento e WooCommerce , sobretudo plataformas de vendas online, explorando uma falha sobre as páginas de erro 404 dos sites.

No caso de sites Magento, os investigadores afirmam que os atacantes estão a explorar uma falha na página 404 do script, para integrar código que se executa no navegador dos utilizadores quando estes navegam para a página, levando a que dados do cartão de crédito possam ser roubados.

Os investigadores apontam que esta técnica de ataque é bastante inovadora, e que não existem relatos de outros casos parecidos no passado.

O ataque começa quando o site realiza um pedido aparente para conteúdos em páginas 404, que à primeira vista, não levanta grandes suspeitas – estes géneros de pedidos são normais de poderem acontecer em ambientes web. No entanto, ao realizar o pedido, o site encontra-se automaticamente a carregar os conteúdos que se encontram nessa página, que incluem scripts que podem levar ao roubo de dados introduzidos no site – nomeadamente dados de cartões bancários, o que aparenta ser o foco dos atacantes.

A ideia de usar a página 404 para carregar o conteúdo malicioso pretende ser uma forma de evitar a deteção do malware, e consequentemente, que o site pode ter sido comprometido.

10/10/2023
Malware GoldDigger para Android pode roubar dados bancários das vítimas

Os utilizadores do Android, tendo em conta que o sistema encontra-se consideravelmente mais aberto que as alternativas, são também o principal alvo de malware que vai surgindo no mercado. E recentemente, uma nova ameaça tem vindo a ganhar destaque.

De acordo com a empresa de segurança Group-IB, um novo malware tem vindo a surgir em vários dispositivos Android, focado em roubar dados bancários dos utilizadores e em esvaziar as suas contas. O malware encontra-se a ser apelidado de GoldDigger, e apesar de ter sido inicialmente verificado em duas apps potencialmente maliciosas no Vietname, agora encontra-se a surgir sobre diferentes formatos.

A aplicação requer várias permissões sensíveis durante a instalação, como é o caso de acesso ao serviço de acessibilidade do Android. Feito isto, instala-se no sistema com o objetivo de roubar dados sensíveis dos utilizadores de diferentes aplicações bancárias.

Os investigadores apontam que o malware encontra-se focado para entidades bancárias do Vietname, mas pode igualmente afetar utilizadores em outros países, tendo em conta que também procura por apps de criptomoedas e carteiras virtuais.

Quando estas são encontradas, a app procede com o roubo dos dados nas mesmas, eventualmente enviando os ganhos para contas associadas com os atacantes.

Os investigadores apontam que o malware encontra-se focado, sobretudo, para utilizadores do Vietname, e que as apps maliciosas são instaladas de fontes externas à Google Play Store – nomeadamente através de falsos sites ou apps de lojas de terceiros.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos locais de onde descarregam as suas apps, evitando sempre qualquer fonte que não seja considerada oficial – como fora da Google Play Store.

09/10/2023
Discord vai impedir partilha de links para ficheiros na plataforma

O Discord conta com várias funcionalidades que permitem, aos seus utilizadores, partilharem rapidamente conteúdos pela plataforma. Isto inclui ficheiros, que podem ficar disponíveis para outros utilizadores – até mesmo para utilizadores fora do Discord, caso seja partilhado o link direto para esses conteúdos.

Isto permitia que os utilizadores, ao enviarem um ficheiro para o Discord, possam rapidamente partilhar esse ficheiro noutras plataformas – até mesmo para quem nem tenha contas no serviço.

No entanto, a empresa parece estar a preparar-se para mudanças, que podem afetar a forma como estes conteúdos vão ser partilhados.

Até ao final do ano, a empresa vai começar a integrar um link dedicado para cada download, que vai contar com parâmetros que impedem a partilha do mesmo em outras plataformas.

Com os novos links, estes contam com uma chave dedicada no final dos mesmos, que deve ser usada para permitir o download dos conteúdos. Esta chave é automaticamente criada para os utilizadores do Discord, quando carregam para descarregar os ficheiros.

No entanto, a mesma passa agora a ter uma validade. Portanto, a chave irá automaticamente expirar ao fim de umas horas, tornando impossível que o conteúdo seja partilhado publicamente em plataformas externas.

Os utilizadores que tenham acesso ao ficheiro diretamente do Discord, podem sempre aceder ao mesmo das conversas, sendo que será criada uma chave dedicada para a conta. No entanto, esta será temporária, e eventualmente expira.

A medida vai começar a ser aplicada na plataforma até ao final do ano. Um dos motivos para tal pode ser derivado do facto que o Discord tem sido cada vez mais usado para a partilha de malware, onde os atacantes criam servidores focados para o envio destes conteúdos malicioso, e depois apenas partilham o link de download em mensagens de email, sites e outros locais fora da plataforma.

07/10/2023
Windows Defender deixa de classificar navegador Tor como “suspeito”

Os utilizadores do Microsoft Defender podem ter sido surpreendidos recentemente, ao tentarem descarregar o Tor Browser. Isto porque o sistema de segurança da Microsoft encontrava-se a classificar o instalador do navegador como “suspeito”, levando a mensagens de alerta no sistema.

Os utilizadores do Windows Defender estariam a ser notificados que a aplicação de instalação do navegador Tor encontrava-se infetada com um trojan, o que rapidamente levantou algumas críticas pela comunidade. No entanto, o problema estaria do lado da Microsoft, que considerou o navegador como “suspeito” nas recentes atualizações.

Depois dos relatos terem começado a surgir, a equipa do navegador Tor contactou a Microsoft, informando do falso positivo, onde a empresa confirmou que se trataria de um erro, tendo removido o mesmo da base de dados do software de segurança. Face a isto, o Windows Defender deve deixar de apresentar o alerta de programa suspeito para o navegador – mas ainda pode demorar alguns dias a propagar-se para todos os sistemas.

O erro foi corrigido com a base de dados na versão 1.397.1910.0, sendo que os utilizadores do software de segurança da Microsoft podem atualizar para a versão mais recente via o Windows Update, de forma a garantirem que o erro não volta a surgir – caso tenha adicionado o navegador Tor na lista de permissões do Defender, é recomendado que a remova, para prevenir que possam ser explorada por malware legítimo.

03/10/2023
Bing Chat pode direcionar utilizadores para sites com malware pela publicidade

A Microsoft tem vindo a apostar no desenvolvimento do Bing Chat, e uma forma da empresa monetizar os conteúdos passa por integrar alguma da publicidade do Bing também nos resultados do chatbot. No entanto, isso está agora a levar que certas respostas do Bing Chat possam direcionar os utilizadores para sites maliciosos.

Nos últimos tempos tem-se verificado a um aumento do uso de plataformas de publicidade para a distribuição de malware, incluindo em links promovidos para sites de conteúdo malicioso. O Bing não é exceção, com vários incidentes onde resultados da pesquisa teriam links para sites de publicidade – que surgem no topo dos resultados – para conteúdo de malware. Este género de campanhas tem vindo a ganhar bastante destaque nos últimos tempos, mas agora, com a própria integração da publicidade feita no Bing Chat, esta espalha-se para ainda mais utilizadores.

Como a publicidade apresentada no Bing Chat é diretamente recolhida da publicidade que se encontra no Bing, isso pode levar a casos onde conteúdos maliciosos são recomendados como tal dentro das conversas. Ainda mais prejudica o facto que, para a maioria dos utilizadores, os conteúdos partilhados pelo chatbot de IA são considerados “seguros”, levando a que as defesas mesmo dos utilizadores mais atentos possam ser reduzidas. As conversas tidas com o chatbot podem levar a uma falsa confiança que os conteúdos partilhados no mesmo são seguros, quando na verdade podem não o ser.

A empresa de segurança Malwarebytes revela ter identificado vários casos de publicidade maliciosa que chega a ser injetada nas conversas do Bing Chat, levando os utilizadores para conteúdos que podem prejudicar os seus dados pessoais ou do sistema de onde acedem. Apesar de a publicidade dentro do Bing Chat se encontrar marcada como tal, com uma tag apropriada como nas pesquisas, ainda assim os utilizadores podem ser incentivados a carregar no link considerando o mesmo como “seguro”.

É possível que este género de casos venha a aumentar no futuro, ainda mais porque a tendência de usar os sistemas de pesquisa para distribuir malware nas pesquisas encontra-se cada vez mais frequente. A consequente integração com os chatbots podem levar a que estes casos sejam ainda mais recorrentes.

Como sempre, independentemente da fonte, é recomendado que os utilizadores verifiquem diretamente os links fornecidos e tentem validar se os mesmos dizem respeito ao que realmente se pretende. Por exemplo, no caso de se questionar ao Bing Chat pelo site para descarregar um determinado programa, deve-se verificar se o link corresponde realmente ao final que se pretende da entidade verdadeira.

28/09/2023
Falsos sites do Bitwarden distribuem aplicações maliciosas para Windows

Se usa o gestor de senhas Bitwarden, talvez deva ter atenção aos locais de onde descarrega as aplicações do mesmo. Recentemente foi descoberta uma nova campanha de malware que se encontra a propagar usando o nome do gestor de senhas, com o objetivo de roubar dados dos utilizadores.

De acordo com a empresa de segurança Proofpoint, a campanha distribui o malware ZenRAT, e foca-se em utilizadores do sistema Windows. A campanha propaga-se em falsos sites, que alegam ser do Bitwarden, e fornecem acesso ao download dos programas do Gestor de Senhas no mesmo. Estes foram, no entanto, modificados para conter o malware, que se instalado no sistema, acaba por roubar dados do mesmo – incluindo senhas do navegador e os dados que se encontram nos cofres do Bitwarden, caso os utilizadores cheguem a realizar o login nos mesmos.

O malware encontra-se a ser distribuído em vários sites, que possuem uma aparência bastante similar ao do Bitwarden original. No entanto, encontram-se sobre domínios diferentes, sendo que estes podem surgir dos mais variados formatos – normalmente surgem como publicidade patrocinada em pesquisas relacionadas com o Bitwarden.

Como o malware foca-se em utilizadores do Windows, a página falsa de download do programa apenas é apresentada para utilizadores que se encontram nestes sistemas. Os restantes são redirecionados para outros sites diferentes.

Como sempre, recomenda-se que os utilizadores tenham atenção aos sites que se encontram a aceder antes de descarregarem software potencialmente sensível. Neste caso, deve-se garantir que o domínio do site em questão é o verdadeiro – e evitar carregar na publicidade direta para aceder aos resultados de pesquisa.

28/09/2023
Avast e AVG brilham em teste de proteção contra malware no mundo real

Existem muitas soluções de segurança para proteger os utilizadores do Windows, mas nem todas são iguais. E a própria segurança que as mesmas garantem pode mudar consideravelmente com o tempo.

Empresas como a AV-Comparatives tentam analisar essas mudanças, para ajudar os consumidores a encontrarem as melhores soluções para proteger os seus sistemas. E recentemente, a entidade avaliou algumas das soluções no mercado, no que esta classifica como teste de proteção no “mundo real”.

Este teste foi realizado entre Julho e Agosto de 2023, e avaliar o nível de proteção das diferentes soluções contra possíveis ameaças que se distribuem pela internet.

Dos vários testes realizados, as soluções de segurança que se destacam são as da Avast e AVG, que conseguiram bloquear 100% das amostras apresentadas – num total de 254 exemplos de amostras maliciosas.

O Trend Micro também obteve uma boa proteção, mas que foi prejudicada pelo elevado volume de falsos positivos. O F-Secure obteve igualmente uma boa proteção, mas com uma taxa elevada de falsos positivos.

Curiosamente, a proteção da Microsoft obteve valores abaixo do esperado, com uma taxa de proteção de 99.2%. A pior solução foi a da Panda, protegendo apenas 98.4% das amostras testadas.

De notar que a Avast e a AVG usam o mesmo motor de base, tendo em conta que fazem parte da mesma empresa, o que justifica o facto de terem valores similares.

19/09/2023
Falsas aplicações do Youtube distribuídas com malware

Deve-se sempre instalar as aplicações de fontes oficiais, mas ainda existem muitos utilizadores que optam por usar versões alternativas ou existentes em plataformas distintas.

No entanto, estas apps podem conter alterações maliciosos, aproveitadas por atacantes para infetar o máximo de dispositivos possíveis. É o recente caso que foi descoberto por parte de um grupo conhecido como “Transparent Tribe”.

De acordo com os investigadores da empresa de segurança SentinelLabs, existe no ativo uma nova campanha de malware, que aproveita a procura por apps alternativas do YouTube, como forma de infetar dispositivos Android. As apps são distribuídas como alternativas ao YouTube regular, mas podem levar à instalação de um malware que permite o controlo remoto do dispositivo e recolha de dados.

Quando instalado nos dispositivos das vítimas, o malware possui a capacidade de recolher dados do mesmo, realizar ações diretas em outras apps e no sistema ou gravar chamadas e vídeo pela câmara.

Todas as aplicações encontram-se distribuídas fora da Play Store da Google, portanto a maioria deve ser instalada manualmente pelos utilizadores, seja através de esquemas ou de enganos. As aplicações descobertas contam com nomes diferentes, desde o nome do próprio YouTube ao de uma influencer “Piya Sharma”, que possivelmente teve apenas o seu nome aproveitado para a campanha.

Durante a instalação, a aplicação requer algumas permissões que são consideradas “perigosas”, como o acesso a contactos, mensagens e outras. No entanto, a maioria dos utilizadores acabam por ignorar estes sinais.

Se instalada, a app tenta replicar o funcionamento do YouTube normal, mas no que aparenta ser apenas uma janela da versão móvel da plataforma. Em segundo plano, o malware instala-se no sistema para começar as suas atividades maliciosas.

A aplicação mantêm ainda uma comunicação direta com servidores em controlo dos atacantes, de onde receber comandos e envia os dados recolhidos para os mesmos.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos locais de onde descarregam as suas apps. Este processo deve ser sempre realizado de fontes oficiais, e deve-se ter atenção às permissões que são requeridas.

19/09/2023
Grupo de ransomware “Cuba” volta ao ataque

A Kaspersky revelou uma investigação sobre as atividades do famoso grupo de ransomware conhecido como Cuba. Este grupo de cibercriminosos implantou recentemente um malware que conseguiu evitar a deteção mais avançada e visou organizações em todo o mundo, deixando um rasto de empresas comprometidas em vários sectores.

Em dezembro de 2022, a Kaspersky detetou um incidente suspeito no sistema de um cliente, descobrindo três ficheiros duvidosos. Estes ficheiros desencadearam uma sequência de ações que levaram ao carregamento da biblioteca komar65, também conhecida como BUGHATCH.

O BUGHATCH é um backdoor sofisticado que se instala na memória do processo. Executa um bloco de código de shell incorporado no espaço de memória que lhe é atribuído, utilizando a API do Windows, que inclui várias funções. Posteriormente, liga-se a um servidor de Comando e Controlo (C2), aguardando instruções adicionais. Pode receber comandos para descarregar software como o Cobalt Strike Beacon e o Metasploit. A utilização do Veeamp no ataque sugere fortemente o envolvimento do ransomware Cuba.

Em particular, o ficheiro PDB faz referência à pasta “komar”, uma palavra russa para “mosquito”, indicando a potencial presença de membros que falam russo no grupo. Uma análise mais aprofundada efetuada pela Kaspersky revelou módulos adicionais distribuídos pelo grupo Cuba, melhorando a funcionalidade do malware. Um desses módulos é responsável pela recolha de informação do sistema, que é depois enviada para um servidor através de pedidos HTTP POST.

Continuando a sua investigação, a Kaspersky descobriu novas amostras de malware atribuídas ao grupo Cuba no VirusTotal. Algumas destas amostras tinham conseguido escapar à deteção por outros fornecedores de segurança. Estas amostras representam novas iterações do malware BURNTCIGAR, empregando dados encriptados para evitar a deteção antivírus.

“As nossas últimas descobertas sublinham a importância do acesso aos mais recentes relatórios e informações sobre ameaças. À medida que os grupos de ransomware, como Cuba, evoluem e aperfeiçoam as suas táticas, manter-se à frente dos criminosos é crucial para mitigar eficazmente os potenciais ataques. Com o cenário das ameaças em constante mudança, o conhecimento é a melhor defesa contra os cibercriminosos emergentes”, afirma Gleb Ivanov, especialista em cibersegurança da Kaspersky.

Cuba é uma estirpe de ransomware de ficheiro único, difícil de detetar devido ao seu funcionamento sem bibliotecas adicionais. Este grupo de língua russa é conhecido pelo seu extenso alcance e visa sectores como o retalho, finanças, logística, governo e indústria transformadora na América do Norte, Europa, Oceânia e Ásia. Empregam uma mistura de ferramentas públicas e proprietárias, atualizando regularmente o seu conjunto de ferramentas e utilizando táticas como BYOVD (Bring Your Own Vulnerable Driver).

Uma das características da sua operação é a alteração dos carimbos de data e hora da compilação para enganar os investigadores. Por exemplo, algumas amostras encontradas em 2020 tinham uma data de compilação de 4 de junho de 2020, enquanto os carimbos de data/hora em versões mais recentes eram apresentados como tendo origem em 19 de junho de 1992.

A sua abordagem única envolve não só a encriptação de dados, mas também a adaptação de ataques para extrair informações sensíveis, tais como documentos financeiros, registos bancários, contas de empresas e código fonte. As empresas de desenvolvimento de software estão particularmente em risco. Apesar de estar na ribalta há já algum tempo, este grupo mantém-se dinâmico, aperfeiçoando constantemente as suas técnicas.

Caso tenha interesse pode ver a análise completa da empresa no site da Securelist.

18/09/2023
Microsoft alerta para campanha de malware distribuída no Teams

A Microsoft encontra-se a alertar os utilizadores do Microsoft Teams para uma nova campanha de malware, a qual se encontra a propagar ativamente pela aplicação de conversa empresarial da entidade.

De acordo com a empresa, o grupo é conhecido internamente como “Storm-0324”, e esta afirma que as atividades do mesmo datam de 2016. No entanto, ultimamente começaram a focar os ataques usando o Teams.

O grupo encontra-se a distribuir malware através de mensagens no Teams, enviadas sobre os mais variados pretextos para as potenciais vítimas. Na maioria dos casos, as mensagens enviadas dizem respeito a pagamentos em falta, com anexos que levam para o malware.

Se instalado, o malware procede com a recolha de dados sensíveis do sistema, e pode ter capacidade de descarregar outros malwares para o mesmo, como ransomware. As mensagens enviadas pelos atacantes podem ainda ter aspeto bastante realista de empresas reconhecidas, como a DocuSign.

A empresa afirma que se encontra ativamente a monitorizar a campanha com vista a bloquear e eliminar as contas que estejam a ser usadas para distribuir o malware. No entanto, tendo em conta as dimensões das mesmas, a tarefa pode ser complicada.

A empresa recomenda ainda que as equipas do Teams adotem medidas de segurança, como apenas permitir que dispositivos seguros possam realizar a ligação a contas do Teams e enviar mensagens na plataforma.

13/09/2023
Site do Free Download Manager esteve três anos a instalar malware em sistemas Linux

O Linux é considerado um sistema operativo consideravelmente mais seguro que o Windows, mas ao mesmo tempo, não está imune a malware. E recentemente, investigadores da empresa de segurança Kaspersky revelaram a descoberta de uma campanha de malware, focada para utilizadores deste sistema.

A campanha começa quando os utilizadores tentam procurar pelo software Free Download Manager, um reconhecido software de gestão de downloads. Apesar da popularidade deste software ser maior no Windows, existem versões do mesmo adaptadas para Linux.

O próprio site oficial do software conta com o download para a versão de Linux. Mas é aqui que os problemas começam caso os utilizadores tentem descarregar o software pela fonte aparentemente legitima.

Ao que parece, o site oficial do Free Download Manager encontra-se a redirecionar aleatoriamente os utilizadores para um script malicioso. Quando o site identifica que os utilizadores estão num sistema Linux, de forma aleatória pode redirecionar o download do software para um domínio diferente, num pacote DEB, que contem o código malicioso.

Os investigadores da Kaspersky afirmam que o redireccionamento para o pacote malicioso não acontece todas as vezes que se realiza o download, possivelmente para evitar a deteção.

Na realidade, esta campanha pode estar ativa faz mais de três anos, sendo que os investigadores de segurança revelam terem verificado vários vídeos no YouTube onde o malware encontra-se a ser ativamente descarregado para sistemas Linux.

Se os utilizadores descarregarem o pacote DEB, além do programa que seria esperado, estão também a instalar no sistema um script que pode recolher dados sensíveis do mesmo, incluindo senhas guardadas no navegador e carteiras de criptomoedas.

Os dados são depois enviados pelo script para servidores em controlo dos atacantes, que podem usar os mesmos para os mais variados fins. O script instala-se cada vez que os utilizadores iniciem o sistema, através de tarefas agendadas no sistema.

Os investigadores afirmam que o malware pode ter sido instalado em sistemas que tenham descarregado o software para Linux entre 2020 e 2022 – embora existam indicações que mesma em datas mais recentes o malware pode ter continuado a ser distribuído pelo site.

12/09/2023
Facebook Messenger é alvo de phishing em larga escala contra empresas

O Messenger é usado diariamente por milhares de utilizadores em todo o mundo, mas se é um desses utilizadores, talvez seja melhor ter atenção às mensagens que recebe pela plataforma.

Recentemente foi verificado um aumento considerável nas campanhas de phishing a propagarem-se sobre a plataforma de mensagens da Meta. Segundo um estudo realizado pela empresa de segurança Guardio Labs, os investigadores descobriram redes com milhares de contas hackeadas e roubadas, que estão a usar o Messenger para propagarem esquemas de phishing e distribuírem malware.

Os atacantes tentam enganar as vítimas, levando-as a descarregarem ficheiros ZIP e RAR contendo malware, focado em roubar dados do navegador, como cookies e senhas. O esquema foca-se sobretudo a contas empresariais no Facebook, tendo em conta que serão as que possuem mais probabilidade de ter danos avultados dos roubos.

Os atacantes começam por enviar mensagens com o pretexto de começarem a conversa com a entidade, como a de pretenderem adquirir um produto específico no site. No entanto, na conversa anexam ficheiros zip ou rar conteúdo o malware.

Se executados nos sistemas das vítimas, o malware começa por realizar a recolha dos cookies e senhas que se encontrem guardados no navegador, enviando os mesmos para sistemas em controlo dos atacantes. O script usado pelo malware encontra-se fortemente ofuscado, com vista a evitar a deteção por parte de software de segurança.

O malware apaga ainda todos os cookies e senhas do navegador, dando assim tempo para que os atacantes possam comprometer as contas necessárias, e alterar as senhas. Durante o período em que as contas se encontram comprometidas, estas são usadas para replicar o esquema para ainda mais entidades.

A empresa de segurança afirma que a campanha afeta praticamente todos os mercados, com foco nos EUA e Europa. De todas as contas de empresas no Facebook que foram analisadas, 7% foram alvo do esquema, com 0.4% a terem descarregado o malware.

Acredita-se que o malware tenha origem em grupos de hackers no Vietname, tendo em conta algumas referências existentes no código do malware.

11/09/2023
Apple corrige falhas que permitem instalar spyware sem interação dos utilizadores

Os investigadores de segurança da empresa Citizen Lab revelaram ter descoberto duas vulnerabilidades zero day em sistemas da Apple, que foram corrigidas com a recente atualização que a empresa forneceu para vários dos seus sistemas.

Apesar de, na altura, não terem sido revelados detalhes sobre as falhas, agora sabe-se que estas diziam respeito a uma forma de ataque que poderia permitir a instalação de spyware nos sistemas.

Os investigadores afirmam que as duas falhas estariam a ser exploradas pelo NSO Group, conhecido pelo seu spyware Pegasus. As mesmas poderiam permitir que o spyware fosse instalado nos dispositivos, sem interação dos utilizadores.

O ataque ficou apelidado pela empresa de BLASTPASS, e basicamente, basta aos atacantes enviarem uma mensagem via o iMessage para as vítimas. Se estas abrirem a mensagem, mesmo sem qualquer interação na mesma, acabam por poder instalar o spyware nos seus dispositivos.

Os investigadores recomendam que os utilizadores atualizem o mais rapidamente possível para as mais recentes versões do sistema da empresa, ou que ativem o Lockdown Mode.

As duas falhas identificadas – CVE-2023-41064 e CVE-2023-41061 – podem ser usadas em diferentes dispositivos, e se exploradas permitem a execução remota de código no sistema, com o potencial de se instalar malware no mesmo.

As falhas foram corrigidas com a disponibilização do macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 e watchOS 9.6.2.

08/09/2023
Chrome vai ativar proteção em tempo real contra phishing e malware para todos

A Google confirmou que, durante as próximas semanas, vai deixar de usar o tradicional método de verificação do Chrome Safe Browsing, e mover todos os seus utilizadores para a proteção melhorada do mesmo.

Entre as mudanças que este modo vai trazer encontra-se a capacidade de realizar a deteção de sites de phishing em tempo real, com melhorias consideráveis a nível da taxa de deteção.

Desde meados de 2007 que o Chrome usa o Safe Browsing, uma plataforma da Google, para analisar os sites que os utilizadores acedem no dia a dia, apresentando um alerta em sites de phishing ou de malware.

Quando os utilizadores acedem a um site novo, o Chrome verifica se o domínio do mesmo se encontra numa lista pré-configurada de sites conhecidos por distribuírem conteúdos maliciosos.

Até agora, por padrão, esta lista de sites era guardada localmente. Ou seja, a mesma era descarregada pelo navegador de forma periódica, mas a análise e verificação dos sites era realizada apenas de forma local.

Com o modo de Proteção Melhorada do Chrome, no entanto, a lista local deixa de ser usada, e invés disso todos os sites que o utilizador aceda são enviados para a lista do Safe Browsing nos sistemas da Google. Isto permite uma identificação de sites mais recentes, sem que se tenha de atualizar a lista local.

Em base, será um sistema de proteção em tempo real, mas onde os sites são enviados diretamente para os sistemas da Google para identificar os conteúdos maliciosos. Em 2020 a Google introduziu a Proteção melhorada, que permite aos utilizadores modificarem essa configuração caso assim o pretendam. No entanto, não era a opção padrão.

Agora, a empresa confirmou que vai mudar a sua configuração, de forma a que a proteção melhorada seja a usada por padrão. Em parte, a empresa refere que vai realizar esta mudança visto que os sites de phishing encontram-se em constante renovação – um site pode estar ativo durante cerca de 10 minutos, mas a lista do Safe Browsing apenas é descarregada pelo navegador de forma atualizada a cada 30 a 60 minutos.

De notar que, com esta mudança, os utilizadores deixam de ter a capacidade de escolher se pretendem usar uma lista local para verificação. Esta medida pode causar algum impacto a nível de privacidade, tendo em conta que todos os sites visitados pelo utilizador passam a ser enviados para os sistemas da Google para verificação – mas encontram-se sobre a Politica de Privacidade da empresa respeitante ao Safe Browsing.

08/09/2023
Boxes baratas de Android TV infetadas com malware para realizar ataques DDoS

Existem várias boxes de TV Android baratas no mercado, mas que de tempos a tempos se descobre conterem alguns componentes que podem ser considerados maliciosos. E recentemente, um grupo de investigadores revelou ter descoberto mais uma campanha, que se encontra a usar caixas de Android TV baratas para criar uma rede botnet.

De acordo com os investigadores da empresa Dr.Web, uma nova variante do malware Mirai encontra-se a ser propagada em boxes Android TV baratas, com o objetivo de criar uma rede botnet focada em realizar ataques DDoS.

Em causa encontram-se sistemas Android TV baratos, como as boxes Tanix TX6 TV Box, MX10 Pro 6K, e H96 MAX X3, que são modificadas para conter a variante do malware no sistema. Aproveitando os recursos de hardware, este malware pode depois usar a ligação dos utilizadores para realizar ataques DDoS contra vários alvos.

O malware pode vir instalado de fábrica, ou nos casos mais comuns, chega como uma atualização de firmware posterior. Isto permite que as boxes sejam vendidas com um sistema “limpo”, recebendo depois a versão modificada com malware via atualização OTA.

Tendo em conta que o malware encontra-se integrado no próprio firmware do dispositivo, mesmo que as aplicações e serviços sejam removidas do sistema, estas voltam novamente ao ativo quando o sistema reinicia.

Em alguns casos, o malware pode também ser instalado por aplicações distribuídas sobre fontes de terceiros, que procedem com a instalação do malware na raiz do sistema. Tendo em conta que estas boxes possuem muitas vezes o root ativo, isso permite que sejam feitas modificações intensivas no sistema.

Segundo os investigadores da empresa de segurança, o malware é capaz de realizar ataques via TCP e UDP.

As boxes baratas de Android TV tendem a ser uma porta de entrada para malware, tendo em conta que são relativamente simples de produzir, usar e possuem uma elevada procura no mercado.

06/09/2023
Cuidado com as falsas aplicações da SD Maid na Play Store

Faz alguns dias, a popular aplicação de limpeza do Android, SD Maid, foi removida sem aviso da Play Store. O autor da mesma afirma que não recebeu qualquer comunicação da Google para o motivo da app ter sido removida, depois da mesma ter estado mais de dez anos disponível na plataforma.

Apps de limpeza do Android não são algo recente, e apesar de terem vindo a cair em desuso nos últimos anos, ainda podem ser consideradas como úteis para quem tenha o espaço limitado de armazenamento.

A SD Maid era uma das mais conhecidas nesta área. Mas a sua remoção deixou vários utilizadores confusos, sobretudo por ter sido feita sem justificação por parte da Google.

Mas se está a procurar a mesma na Play Store, talvez seja melhor ter atenção. Isto porque começaram a surgir versões falsas da app, que se fazem passar pela SD Maid, com intuitos desconhecidos mas potencialmente maliciosos.

Ao pesquisar por SD Maid, encontram-se agora algumas versões criadas de forma similar à original, mas que não pertencem ao autor original – e podem ter sido modificadas para integrar malware ou publicidade excessiva.

A maioria das apps contam com baixos números de downloads e as reviews começam a indicar os problemas. Ainda assim, recomenda-se cuidado caso venha a procurar por esta app na Play Store – ou por uma app de limpeza do Android em geral, tendo em conta a popularidade do nome.

04/09/2023
ClamAV chega com nova versão e várias novidades

O ClamAV é uma solução de antivírus opensource, bastante conhecida sobretudo para identificar malware focado para ambientes de servidores. E recentemente, este recebeu uma nova versão, com a chegada do ClamAV 1.2.0.

Esta nova versão chega com melhorias na identificação de conteúdos maliciosos, bem como várias otimizações e correções de bugs. Uma das novidades encontra-se no novo suporte a partições Universal Disk Format (UDF), bem como a possibilidade dos utilizadores configurarem a cache do programa.

O limite de MaxScanSize foi aumentado para 4 GB, permitindo assim que a analise de conteúdos seja mais eficiente. O Freshclam, usado para as atualizações das bases de dados do ClamAV, foi também atualizado para suportar chaves de encriptação personalizadas, garantindo mais segurança quando as atualizações são fornecidas em ambientes locais.

Além desta atualização, a ClamAV também lançou uma atualização para as versões 1.1.2, 1.0.3, e 0.103.10, focada em corrigir uma recente vulnerabilidade descoberta sobre ficheiros RAR.

30/08/2023
Autoridades desmantelaram uma das maiores redes botnet da atualidade

A botnet conhecida como “Qakbot” é uma das maiores e mais antigas redes em atividade na internet, mas foi agora desmantelada numa operação das autoridades sobre o nome de “Duck Hunt”.

Esta operação, liderada pelo FBI, levou à apreensão de vários sistemas de controlo da botnet, que eram usados para o envio de comandos aos dispositivos infetados. Esta rede foi identificada como sendo a origem de mais de 40 ataques de ransomware contra empresas e entidades governamentais, causando milhares de dólares em prejuízos.

As estimativas apontam que, apenas nos últimos 18 meses, a rede tenha criado prejuízos no valor de 58 milhões de dólares. Ao longo dos anos, esta rede tem sido usada como porta de entrada para diversos ataques de ransomware, de grupos como Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e Black Basta.

De acordo com o diretor do FBI, Christopher Wray, as vitimas encontravam-se distribuídas em diferentes setores a nível mundial. A botnet mantinha uma larga rede de sistemas infetados, que eram usados para enviar comandos e realizar ataques em larga escala.

O FBI afirma que a rede contava com mais de 700,000 sistemas diferentes, mais de 200.000 encontravam-se nos EUA, que faziam parte da infraestrutura da botnet. Dento desta encontravam-se ainda sistemas usados para receberem e enviarem os comandos, em controlo dos gestores da rede.

Num dos sistemas usado pelos administradores da Qakbot, as autoridades terão descoberto diversos ficheiros contendo informações relacionadas com as atividades presentes e passadas da Qakbot. Isto inclui mensagens e comunicação feitas entre o administrador da rede e interessados no uso da mesma.

Foram ainda descobertas várias informações sobre vítimas de ataques realizados através da Qakbot, dados de pagamento, detalhes dos esquemas de ransomware e outras informações.

Durante o final da semana passada, as autoridades tomaram o controlo da rede, passando a redirecionar todo o tráfego da mesma para um servidor em controlo do FBI, que foi usado para correr um comando que permite remover o malware dos sistemas infetados.

Apesar de os dispositivos não terem sido diretamente notificados caso estivessem infetados, e a remoção do malware ter sido feita de forma silenciosa, os utilizadores podem vir a verificar se foram afetados através de ferramentas como o Have I Been Pwned e o site da Politie.

No final, as autoridades não apenas desmantelaram as operações do malware, como também removeram o mesmo dos sistemas onde este se encontrava através do redireccionamento do tráfego para sistemas em controlo do FBI.

De notar, no entanto, que esta tarefa não remove outro malware que possa encontrar-se no sistema, e que ainda possa estar a ser usado para ataques ou roubos de dados.

Esta foi uma das maiores operadoras de desmantelamento de uma rede botnet realizada pelas autoridades dos EUA, sobretudo tendo em conta a dimensão da mesma e o número de potenciais vitimas – direta ou indiretamente – associadas com a mesma.

29/08/2023
MalDoc: ficheiros do Word maliciosos podem esconder-se em ficheiros PDF

De tempos a tempos existem novas técnicas usadas para esconder malware em ficheiros aparentemente “seguros”. A equipa de segurança japonesa da JPCERT alertou para um novo esquema, apelidado de MalDoc, onde ficheiros .DOC podem ser ocultados em aparentes ficheiros PDF.

Os ficheiros podem, tecnicamente, ser abertos tanto com um leitor de ficheiros PDF como em aplicações do Office. Estes ficheiros possuem como objetivo baralhar as aplicações de segurança, e permitir que código potencialmente malicioso possa ser executado sem que os utilizadores tenham conhecimento.

No caso que as equipas de segurança revelaram, o ficheiro .DOC conta com um macro VBS onde se encontra o conteúdo malicioso, mas como a maioria dos programas analisa o mesmo como sendo um ficheiro PDF, não identificam a parte maliciosa que se encontra no .DOC. Isto permite que o mesmo passe oculto da maioria dos sistemas de verificação.

A equipa divulgou mesmo um vídeo a demonstrar este género de ficheiros em funcionamento, sobre um sistema Windows. De notar que, apesar de esconder a verdadeira identidade do ficheiro, o conteúdo pode ainda ser analisado por algumas aplicações de segurança, e não contorna também o facto que as macros e conteúdos VBS podem ter sido desativados dos sistemas.

Como sempre, é importante que os utilizadores tenham atenção aos conteúdos que descarregam para os seus sistemas, evitando conteúdos de fontes desconhecidas ou potencialmente suspeitas.

29/08/2023
Malware agora pode triangular localização das vítimas por redes sem fios

Existem diferentes formas de malware identificar as suas vítimas, que não partem apenas pelos conteúdos roubados dos sistemas. Recentemente foi descoberto um novo malware, que pode usar as próprias redes sem fios na proximidade dos sistemas infetados para criar uma estimativa de onde os utilizadores se encontram.

O malware conhecido como “Whiffy Recon”, quando infeta um sistema, possui a capacidade de reconhecer as redes sem fios que se encontram em redor do utilizador, e usando o sistema de geolocalização da Google – a sua API – podem triangular uma posição aproximada de onde o utilizador se encontra.

Isto será importante pois permite obter a localização física dos utilizadores, mesmo que se encontrem em sistemas que não possuem aceso a ligações GPS – que a maioria dos portáteis e computadores pessoais não possuem.

Usando esta técnica, o malware é capaz de obter a localização dos utilizadores com uma precisão entre 20 a 50 metros. Isto pode ser ainda mais preciso se for usado em situações onde exista muita rede sem fios em redor do sistema infetado.

De acordo com os investigadores da empresa de segurança Secureworks, os atacantes podem usar a localização das potenciais vítimas como forma de assustarem ainda mais as mesmas, ou de aplicarem outros esquemas localizados.

24/08/2023
Microsoft Edge classifica instalador do Chrome como inseguro

A Microsoft tem vindo a fazer melhorias no Edge, mas continuam a surgir práticas da empresa para incentivar os utilizadores a usarem o mesmo – sobretudo dentro do Windows.

E isto acontece também quando se tenta usar navegadores de terceiros, como o Chrome da Google. Recentemente o Microsoft Edge começou a classificar o instalador do Chrome como sendo “inseguro”.

Vários utilizadores confirmaram que, ao ser realizado o download do ficheiro de instalação oficial do Google Chrome, no site da Google, o Edge apresenta uma notificação a informar que o ficheiro é inseguro – dando a possibilidade de manter o mesmo ou de o remover.

Normalmente este alerta surge em ficheiros que podem conter malware ou que o navegador tenha considerado como sendo de fontes inseguras. Apesar de se tratar de um bug, vários utilizadores reportam que esta é mais uma forma da Microsoft desencorajar o uso do navegador alternativo e rival.

Esta prática é algo regular de surgir da empresa. Por exemplo, quando se pesquisa pelo Chrome no Bing, é apresentada uma mensagem que indica que os utilizadores podem realizar a mesma tarefa com o Edge. E até mesmo, em tempos, o Edge começou a mostrar banners de notificação no site do Chrome quando se tentava o download.

Até ao momento o problema não foi resolvido, sendo que o download ainda apresenta a mesma mensagem.

23/08/2023
macOS Ventura possui falha que a Apple ignora faz dez meses

O macOS Ventura é a versão mais recente do sistema operativo da Apple, estando disponível para milhares de utilizadores dos dispositivos da empresa. No entanto, existe uma falha de segurança no sistema que, apesar de ser conhecida faz meses, a Apple ainda não lançou uma correção para a mesma.

A falha foi descoberta pelo investigador de segurança Jeff Johnson, que a revelou publicamente durante o fim de semana passado, depois da frustração pela falta de ação da empresa na sua correção.

De acordo com o especialista, a falha encontra-se sobre o Gestor de aplicações do macOS. As aplicações do macOS correm sobre um ambiente especial, conhecido como sandbox, que limita as interações que podem ser feitas com o sistema operativo e os conteúdos no mesmo.

Esta sandbox é usada para prevenir possíveis roubos de dados, ou acessos indevidos a ficheiros do sistema, sem que o utilizador tenha conhecimento ou tenha dado permissão para tal.

No entanto, o investigador afirma ter descoberto uma falha no macOS Ventura, que quando explorada, permite contornar esta proteção – basicamente, permitindo a modificação e acesso a qualquer ficheiro sem autorização necessária. Obviamente, isto pode comprometer dados sensíveis dos utilizadores.

O mais interessante, no entanto, parece ser que a Apple não está interessada em corrigir a falha. Esta foi inicialmente reportada à empresa pelo investigador a 19 de outubro de 2022. Apesar de a Apple ter reconhecido a falha alguns dias mais tarde, nunca chegou a lançar qualquer correção para a mesma.

Johnson afirma que esperou durante mais de dez meses para divulgar a falha publicamente, depois de várias tentativas de contacto com a Apple. Todas foram praticamente ignoradas, com a falha estando ainda presente no sistema, mesmo nas versões mais recentes.

Desconhece-se até ao momento se a Apple possui intenções de corrigir a falha no futuro, mas é importante ter em conta que o número de ataques e malware focado para sistemas macOS tem vindo a aumentar consideravelmente, e manter uma falha conhecida no sistema pode abrir portas para que seja ativamente explorada nesse sentido.

22/08/2023
Nova técnica permite criar malware para Android praticamente indetectável

Os criminosos encontram-se sempre a procurar novas formas de esconder malware para tentar infetar os dispositivos dos utilizadores, e recentemente, os investigadores da empresa de segurança Zimperium revelaram uma nova técnica bastante elaborada para tal.

Os investigadores revelaram terem descoberto uma nova técnica, que pode ser usada para ocultar malware dentro de arquivos APK, normalmente usados para aplicações do Android. Ao ser usada, esta técnica permite que o malware possa ser instalado nos dispositivos de forma praticamente transparente, sem que seja identificado pela maioria dos softwares de segurança.

De acordo com os investigadores, o método passa por tentar contornar os limites que a maioria dos softwares de segurança possuem. Praticamente todos os softwares de segurança não analisam determinados conteúdos caso estes ultrapassem valores considerados “normais”.

Um dos exemplos encontra-se a nível do nome dos ficheiros, onde os programas não são capazes de ler arquivos com mais de 256 carateres.

O que os criminosos descobriram foi que é possível adulterar ficheiros APK, mais concretamente os ficheiros AndroidManifest.xml presentes nos mesmos, para que não sejam analisados pelos softwares de segurança. Isto abre as portas para possível malware ser instalado nos dispositivos finais.

Criando um ficheiro especificamente modificado para explorar esta falha, os criminosos podem criar um APK que não pode ser diretamente analisado, e portanto, vai ser instalado sem problemas na maioria dos sistemas.

Para os utilizadores, a melhor forma de evitar este género de esquemas e malwares passa por evitar a instalação de apps a partir de fontes não oficiais. Apesar de não ser impenetrável a malware, a Play Store ainda é a melhor forma de se instalar aplicações no Android e a mais segura entre todas as alternativas.

22/08/2023
Certificado de plataforma VPN usado para distribuir malware

A empresa de segurança SentinelLabs encontra-se a alertar para uma nova forma de malware, que nos últimos dias tem vindo a surgir em peso. Os atacantes encontram-se a usar o certificado de uma empresa de VPN legitima para mascararem o malware como sendo da mesma.

Os investigadores afirmam que os atacantes encontram-se a usar o certificado da empresa Ivacy para mascararem malware, e tentarem dar mais credibilidade aos ficheiros que são partilhados com o conteúdo malicioso. Acredita-se que o malware tenha sido criado pelo grupo Bronze Starlight, o qual possui ligações com as autoridades chinesas e é focado em atacar empresas a nível global.

O malware que se encontra a ser distribuído parte de dois executáveis, que foram assinados pelo certificado da Ivacy VPN, uma empresa legitima de fornecimento de VPNs. Ao usarem um certificado legítimo, os atacantes pretendem evitar algumas análises mais exaustivas em ambientes empresariais, que podem validar se o certificado do ficheiro é válido ou não.

Isto permite contornar algumas das proteções, e permitir que o ataque seja realizado com maior sucesso.

Curiosamente, os investigadores afirmam que o malware descoberto foi configurado para não ser executado em sistemas que se encontram em certos países, como os EUA, Alemanha, França, Rússia e Índia. Isto indica que a campanha de malware pode ser focada apenas a alguns países ou alvos específicos.

De notar que ainda se desconhece como os atacantes conseguiram obter o certificado da Ivacy VPN. Normalmente este género de certificados exige que se tenha conhecimento da chave privada, que apenas a entidade possui, portanto isso pode indicar que esta chave da Ivacy VPN pode ter sido comprometida.

A empresa não deixou qualquer comunicado sobre a situação até ao momento.

21/08/2023
Conhecido malware de roubo de dados volta ao ativo em força

Um dos malwares mais conhecidos no roubo de dados sensíveis dos utilizadores voltou à ação, depois de várias semanas no inativo.

Conhecido como Raccoon, este malware é conhecido por roubar dados dos utilizadores nos seus sistemas. O mesmo foca-se em recolher o máximo de informação das vitimas e das suas atividades online, o que inclui os dados de login de contas online e até os cookies do navegador – que permite replicar as sessões ativas em outros navegadores.

O Raccoon esteve durante alguns meses no inativo, sem grandes novidades e com atividade praticamente nula. Mas, de forma recente, parece que voltou à ação.

O portal BleepingComputer refere que, em fóruns da dark web, encontram-se agora à venda as versões 2.3.0 do malware. Esta surge com várias melhorias, focadas em evitar a deteção e recolher ainda mais dados de forma eficaz.

O Raccoon Stealer v2.3.0 conta com um novo sistema de pesquisa, que permite aos atacantes encontrarem rapidamente dados de login para plataformas especificas. Existe ainda um novo sistema que é capaz de bloquear IPs de bots para evitar a deteção do malware.

De relembrar que, em tempos, o Raccoon Stealer era um dos malwares mais propagados pela internet para roubo de dados pessoais, mas foi subitamente encerrado depois das autoridades norte-americanas terem realizado a detenção de suspeitos responsáveis pelo mesmo.

O Raccoon Stealer é um malware-as-a-service, onde os atacantes pagam para obterem acesso a uma infraestrutura que permite criar as suas próprias versões do mesmo, e que podem depois ser usadas para infetar as vítimas.

16/08/2023
Servidores Citrix alvo de ataques em falha zero-day

Mais de 2000 servidores Citrix NetScaler terão sido recentemente comprometidos numa nova onda de ataques, que se encontram a explorar uma falha zero-day no software.

De acordo com os investigadores da empresa de segurança Fox-IT, acredita-se que os sistemas encontram-se a ser infetados com malware e comprometidos por estarema ser explorados de uma falha zero-day, com o código CVE-2023-3519 e que possui uma gravidade de 9.8 em 10.

Esta falha, que foi inicialmente descoberta em inícios de Julho, encontra-se agora a ser ativamente explorada para ataques. A mesma permite que os atacantes possam executar código remotamente em sistemas Citrix NetScaler ADC e NetScaler Gateway.

De acordo com os investigadores, encontra-se atualmente uma campanha em larga escala para explorar esta falha, onde mais de 1828 servidores já terão sido comprometidos. Curiosamente, este valor inclui mais de 1248 servidores que já teriam aplicado os patches para corrigir a falha.

Isto ocorre porque mesmo em sistemas onde o patch seja aplicado, podem já ter sido infetados no passado. A aplicação do patch não previne que o malware já se tenha instalado no sistema, e apenas se tenha mantido pendente para ser usado em ataques futuros.

A ter em conta que, os dados mais recentes, apontam que existem mais de 200,000,000 sites a usarem servidores baseados em Citrix NetScalers, o que inclui o de empresas de renome como a Microsoft, MasterCard, entre outros.

16/08/2023
Aplicações Beta são cada vez mais usadas para esquemas e malware

As aplicações Beta são normalmente usadas como forma dos utilizadores terem acesso a novas funcionalidades nas suas apps antes de chegarem a todos os utilizadores da versão estável – embora possam contar com alguns bugs. No entanto, se usa este género de aplicações no dia a dia, talvez seja melhor ter atenção à origem das mesmas e dos seus autores.

De acordo com o alerta do próprio FBI, existe um novo esquema que se encontra a propagar em força, e que tenta contornar as proteções de seguranças das principais lojas de apps, distribuindo aplicações no formato Beta.

Estas aplicações normalmente são usadas como teste, e focadas para utilizadores mais avançados que pretendam ter acesso a novas funcionalidades antes de todo, e para quem esteja disposto a fornecer feedback para os criadores das mesmas.

No entanto, as autoridades alertam para o facto que, estas aplicações Beta, normalmente não passam pelos mesmos critérios de segurança que as apps regulares. Com isto, tem vindo a ser um foco para os criminosos fornecerem malware diretamente pelas plataformas oficiais de apps no Android e iOS.

De acordo com as autoridades, as aplicações maliciosas são distribuídas sobre o formato Beta como forma de atrair os utilizadores, mas, ao mesmo tempo, integram código malicioso que pode recolher dados pessoais e sensíveis das vítimas. Como o sistema de análise é menos exaustivo para estas apps, as mesmas podem passar para as lojas de aplicações.

As aplicações podem mesmo distribuir-se como sendo “oficiais” de outras entidades, ou fornecendo funcionalidades associadas com as de outras empresas. No entanto, a maioria foca-se me roubar dados sensíveis dos dispositivos dos utilizadores, ou levar a que os utilizadores sejam apresentados com largas quantidades de publicidade.

O FBI alerta que este género de aplicações tendem a usar mais a ideia de carteiras de criptomoedas ou ferramentas que fornecem aos utilizadores algum benefício direto, mas que em segundo plano realizam as atividades maliciosas.

Como sempre, os utilizadores devem ter cuidado com qualquer app que instalem nos seus dispositivos, e sempre que possível, deve-se realizar uma pesquisa prévia pela aplicação para avaliar a sua legitimidade. Isto será particularmente importante em apps que prometam funcionalidades que podem envolver dados sensíveis, ou quando alegam ser de entidades reconhecidas.

14/08/2023