Categoria: malware

Investigadores descobrem dados de login de 100 mil atacantes em sites de cibercrime

Normalmente, o roubo de dados acontece em sistemas de vítimas que, por uma razão ou outra, tiveram os seus dispositivos infetados com malware. Este pode ser usado para roubar dados de login em diferentes plataformas, enviando os mesmos para sistemas em controlo dos atacantes.

No entanto, parece que esses mesmos atacantes podem também ter, em alguns casos, acabado por partilhar indevidamente os seus dados de login. De acordo com a empresa de segurança Hudson Rock, foram recentemente descobertos dados de login de 100 fóruns da Dark Web, associados com contas usadas por criminosos que frequentam esses sites.

Acredita-se que os dados terão sido recolhidos de malware que os próprios atacantes estariam a desenvolver, e sem se aperceberem podem ter infetado os seus sistemas com o mesmo. Os investigadores afirmam terem descoberto dados de mais de 100,000 computador, que incluem mais de 140.000 dados de login.

Estes dados dizem respeito a atacantes e hackers que, inadvertidamente, infetaram os seus próprios sistemas com o malware que estariam a produzir ou a vender a terceiros, enviando os dados para sistemas alheios.

Apesar de o malware ser criado pelos mesmos, muitas vezes existem variantes adaptadas para revendedores ou terceiros, que usam o malware em formato de afiliação – onde os atacantes recebem uma parte das receitas dos ataques. Os dados destes malwares “personalizados” podem ser enviados para diferentes sistemas.

Através da verificação dos dados recolhidos, e agora conhecidos, é possível ainda identificar alguns dos atacantes. Isto porque os dados incluem também detalhes sensíveis como endereços IP, emails e outra informação do sistema, bem como das contas que os atacantes usam nos seus dispositivos – tanto dos sites da dark web como de outras plataformas online armazenadas em dados no navegador e afins.

14/08/2023
Microsoft Defender recebe melhorias de desempenho e detecção de malware

A Microsoft tem vindo a realizar melhorias para a base do Microsoft Defender, não apenas para garantir melhorias a nível da deteção de conteúdos maliciosos, mas também para otimizar o desempenho do mesmo dentro do sistema operativo.

Mas recentemente, a empresa parece ter confirmado uma das maiores alterações dos últimos tempos sobre a base de dados do programa de segurança do Windows 10 e 11. Segundo a empresa, a mais recente atualização do Microsoft Defender foca-se em melhorar a capacidade de identificação de conteúdos maliciosos, bem como em melhorar o desempenho do mesmo dentro do sistema.

A nova versão do Defender 1.395.68.0 chega com otimizações para identificar mais rapidamente conteúdo malicioso, desde trojans a ransomware. Uma das novidades desta versão será que a mesma agora é capaz de bloquear o programa AutoKMS, um popular software usado para ativar ilegalmente o Windows.

Ao mesmo tempo, esta atualização chega ainda com otimizações a nível de desempenho, que fornecem melhorias consideráveis no uso de recursos do sistema, e que devem tornar a análise de conteúdos mais rápida e eficiente nos mesmos.

A atualização encontra-se disponível para utilizadores do Windows 10, Windows 11 e Windows Server. A mesma deve chegar como parte das atualizações regulares do Windows, via o Windows Update.

14/08/2023
MIUI bloqueia o Telegram na China

Os utilizadores de dispositivos da Xiaomi na China, podem agora ter alguns problemas para instalar o Telegram nos seus dispositivos. Isto porque a MIUI encontra-se a classificar a aplicação como sendo maliciosa para esta região.

A MIUI conta, por entre as suas funcionalidades, com um verificador de malware, que analisa todas as apps instaladas no dispositivo. Esta é uma linha de proteção básica que se encontra no sistema, e que normalmente usa assinaturas de base de dados de outras empresas – no caso do mercado europeu, usa a base de dados da Avast.

No entanto, esta funcionalidade também tem sido alvo de críticas, em parte porque, no passado, foi usada para bloquear a instalação de algumas apps que não eram a favor da empresa ou do governo da China.

E agora, parece que se encontra a ser aplicada uma nova medida similar, tendo em conta que o Telegram está a ser considerado como “malicioso” pela funcionalidade para os utilizadores na China.

Quando os utilizadores tentem instalar o Telegram em dispositivos da Xiaomi na China, agora estes recebem uma notificação a informar que a app é maliciosa, bloqueando o processo. A mensagem informa os utilizadores que a app não passou nos parâmetros de segurança da Xiaomi, e como tal, a sua instalação é bloqueada.

De notar que o Telegram é considerado uma das plataformas usadas para contornar algumas das medidas de censura e monitorização pelo governo da China, e portanto, encontra-se fortemente limitado no pais. Ao mesmo tempo, várias plataformas sociais na China encontram-se também limitadas, como é o caso do Instagram, Facebook, X, entre outras.

As únicas apps que operam na região serão as que se encontram com algum controlo por parte das autoridades, normalmente sobre fortes medidas de censura ou monitorização.

De momento ainda não existe unam confirmação oficial da Xiaomi na China para a indicação, nem por quanto tempo será mantida.

11/08/2023
Ataques aumentam contra o setor industrial e as suas infraestruturas cloud

Um relatório recente da Kaspersky sobre ciberataques dirigidos especificamente ao setor industrial revela o modus operandis dos grupos especializados que operam nesta área. Indústrias de manufatura e sistemas de controlo industrial (ICS) e integração foram particularmente afetadas, o que destaca a necessidade urgente de um maior reforço da cibersegurança.

Durante a investigação, a Kaspersky descobriu uma série de ataques direcionados com o objetivo de estabelecer um canal permanente de roubo (exfiltração) de dados. Estas campanhas mostraram semelhanças importantes com ataques já conhecidos como ExCone e DexCone, sugerindo o envolvimento do grupo APT31, também conhecido como Judgment Panda e Zirconium.

A investigação revelou ainda o uso de recursos avançados concebidos para acesso remoto, mostrando o amplo conhecimento e experiência dos grupos para contornar as medidas de segurança. Estas ferramentas possibilitaram o estabelecimento de canais contínuos para violações de dados, inclusive de sistemas extremamente seguros.

É importante observar que mais uma vez foram usadas técnicas de sequestro de DLL (ou seja, uso indevido de programas legítimos com vulnerabilidades para carregar DLLs maliciosas na memória) para tentar evitar a deteção precoce do ataque.

Serviços de armazenamento de dados na cloud, como o Dropbox e Yandex Disk, bem como plataformas de partilha temporário de ficheiros, foram usados para roubar dados e implantar malware. Também foi instalada uma infraestrutura de comando e controlo (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controlo das redes comprometidas.

Nestes ataques, foram implantadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, esta família de malware evoluiu, com novas variantes a surgir em 2022, para atingir especificamente a infraestrutura de organizações industriais.

Além disso, foi descoberto durante a investigação um novo malware chamado MeatBall, um backdoor com amplas capacidades de acesso remoto.

“Não podemos subestimar os riscos significativos que os ataques direcionados representam para a indústria. À medida que as organizações continuam a digitalizar as suas operações e dependem de sistemas interligados, são inegáveis as possíveis consequências de ataques bem-sucedidos a infraestruturas críticas. Esta análise vem sublinhar a importância fundamental da implementação de medidas resilientes de cibersegurança para proteger as infraestruturas industriais contra ameaças existentes e futuras”, sublinha Kirill Kruglov, investigador sénior de segurança da ICS CERT da Kaspersky.

Para ler o relatório completo sobre as principais conclusões desta análise, visite o site da ICS CERT.

11/08/2023
Malware propaga-se como aplicação de personalização do Windows 11

O Windows 11 veio trazer novas formas dos utilizadores personalizarem os seus sistemas, e entre as mudanças encontra-se a barra de tarefas. Sem dúvida, esta foi uma das zonas onde mais alterações foram feitas.

No entanto, existe quem goste de personalizar ainda mais o sistema para os seus gostos, e se faz parte deste grupo, tenha cuidado sobre os locais onde descarrega as aplicações. Uma recente campanha encontra-se agora a usar publicidade em plataformas sociais, como o Facebook, para propagar um novo malware.

A campanha começa por atrair as vítimas com publicidade em plataformas como o Facebook ou Instagram, no pretexto de uma aplicação que permite alterar o estilo da barra de tarefas do Windows 11.

Caso os utilizadores acedam ao site, são indicados para descarregarem a suposta aplicação, que se encontra protegida por uma senha – possivelmente para evitar a deteção de software de segurança.

Caso os utilizadores acabem por instalar a aplicação que é fornecida, além de não receberem qualquer género de personalização para a barra de tarefas, estão a instalar um malware que vai proceder com o roubo de dados pessoais dos navegadores no sistema.

O malware rouba os cookies, dados do navegador, senhas e carteiras de criptomoedas que o utilizador tenha no sistema, enviando os mesmos para servidores remotos. Com esta informação, os atacantes podem basicamente replicar o navegador em outros dispositivos – o que inclui também o acesso a contas em que tenha realizado o login.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter cuidado com as ferramentas e aplicações que descarregam da internet. Deve-se ter ainda mais cautela com conteúdos que estejam protegidos por senha, como o exemplo de ficheiros comprimidos.

Esta é uma técnica bastante vulgar de malware para ocultar os ficheiros maliciosos de programas de segurança. Por fim, verifique sempre o tamanho dos ficheiros – por vezes, estes possuem um tamanho bastante elevado para aquilo que prometem. Isto é mais uma técnica para evitar a análise por software de segurança, uma vez que estes raramente verificam ficheiros de elevadas dimensões.

08/08/2023
Existe uma nova vulnerabilidade a afetar processadores da Intel

Depois de, recentemente, ter sido descoberta uma falha em diversos processadores da AMD, agora confirma-se um problema similar para os processadores da Intel. Um investigador da Google confirmou uma nova falha em várias familiares de processadores da Intel, que foi apelidada de “Downfall”, e pode permitir o roubo de senhas, chaves de encriptação e outros dados sensíveis.

A falha, com o código CVE-2022-40982, foi identificada como afetando todos os processadores Intel desde a geração Skylake até à Ice Lake. Explorando a mesma, os atacantes podem obter acesso a dados que, normalmente, estariam protegidos pela Software Guard eXtensions (SGX).

Daniel Moghimi, o investigador reposnsável pela descoberta, afirma que a falha pode ser facilmente explorada em sistemas afetados pela mesma, desde que os atacantes tenham acesso físico ao sistema.

A falha permite que conteúdos normalmente encriptados no sistema interno do processador da Intel possam ser obtidos, com uma velocidade de 8 bytes por segundo. Isto é o suficiente para poder registar alguns dados como senhas, chaves de encriptação e mensagens enviadas diretamente pelo processador.

O investigador afirma que para o ataque ser bem sucedido, é necessário acesso físico aos sistemas, mas que existe a possibilidade deste evoluir para ser explorado apenas via software – o que abre portas para um possível ataque via malware.

A Intel foi informada da falha em Agosto do ano passado, tendo estado em contacto com Moghimi para resolver a mesma. Uma atualização para os sistemas afetados encontra-se agora disponível, mas ainda cabe aos fabricantes disponibilizarem a mesma para os consumidores finais.

Apesar de ser uma falha considerável, os investigadores acreditam que a mesma será bastante complicada de executar com sucesso fora de ambientes de laboratório – ainda assim, existe o potencial para tal, dai que a atualização encontra-se agora disponível.

De notar que a correção desta falha pode afetar o desempenho final dos processadores, nomeadamente em ambientes HPC. A correção total da falha teria de ser feita no hardware, algo que não será viável – a correção via software vai ter sempre impacto a nível do desempenho final das mais variadas tarefas.

08/08/2023
China terá mantido acessos a redes internas do Japão durante meses

A China encontra-se a intensificar a sua lista de ataques contra o Japão, sendo que, de acordo com os detalhes mais recentes, existe a possibilidade que hackers chineses com associações ao governo possam ter um acesso “alargado” a redes de informação no Japão.

De acordo com o Washington Post, hackers de grupos chineses possuem um alargado e persistente acesso a redes de segurança das autoridades japonesas, que lhes permitem recolher informação sensível.

A NSA já tinha alertado para esta situação em 2020, sendo que alguns oficiais da entidade terão mesmo entrado em contacto com as autoridades japonesas, a alertarem para a possibilidade de existir uma rede de acesso a informação privilegiada das forças de segurança nacional do Japão.

Apesar dos alertas, os hackers da China terão mantido o acesso durante meses que se seguiram, tanto durante a administração de Trump como na de Biden. Os acessos terão sido mantidos até meados de 2021 – altura em que as autoridades terão conseguido remover os acessos.

Na altura, os EUA terão disponibilizado para ajudar a remover o malware dos sistemas de segurança do Japão, no sentido de conter o roubo de dados. No entanto, o governo do Japão terá negado o pedido, com receios de que uma entidade externa pudesse obter dados sensíveis das autoridades.

Eventualmente, o Japão decidiu aplicar medidas para criar forças de segurança digitais em massa, que se reporta terem contratado milhares de engenheiros focados em aumentar a cibersegurança do pais.

08/08/2023
Cuidado: 43 aplicações com malware descobertas na Google Play Store

A Google Play Store, apesar de ainda ser um dos meios mais seguros para descarregar aplicações do Android, continua a ser usada também para propagar malware. E recentemente foram descobertas 43 novas aplicações contendo malware, com um total de 2.5 milhões de instalações, que usavam a Play Store para se propagarem.

A descoberta foi realizada pela empresa de segurança McAfee, que descobriu uma rede de falsas aplicações, prometendo os mais variados fins, mas onde o objetivo final seria levar à apresentação de publicidade nos dispositivos afetados.

De acordo com os investigadores, as aplicações em questão eram propagadas como leitores de notícias, leitores de feeds RSS, e apps de streaming de vídeos. Para evitarem a deteção, as apps continuam realmente as funcionalidades que prometiam.

O foco das mesmas aparenta ser sobretudo utilizadores na Coreia, embora estivessem disponíveis para todo o mundo.

Quando instaladas, os utilizadores poderiam não verificar atividades de imediato. No entanto, alguns dias mais tarde, as apps encontravam-se configuradas para começarem a apresentar publicidade em segundo plano, oculta dos utilizadores. A ideia seria levar os ganhos da publicidade diretamente para quem controlava as apps – mas, ao fazer isso, as apps estariam também a usar recursos dos dispositivos e dados móveis, afetando, portanto, os utilizadores.

As aplicações poderiam recolher as configurações necessárias para a apresentação de publicidade de sistemas remotos em controlo dos atacantes, ou através de comandos enviados via mensagens SMS.

Estas apps pediam ainda aos utilizadores para desativarem os sistemas de poupança de energia do Android, com vista a manter o malware ativo mesmo quando os utilizadores não se encontravam a usar ativamente as apps.

As apps encontradas pelos investigadores foram denunciadas à Google, e, entretanto, foram todas removidas da Play Store. No entanto, é importante ter em conta que ainda se podem encontrar em outras plataformas de terceiros.

07/08/2023
Novo malware afeta utilizadores do Chrome por extensões maliciosas

As extensões continuam a ser uma das principais formas sobre como utilizadores do Chrome e derivados podem ser afetados por roubo de dados. E recentemente, uma nova campanha foi descoberta que se encontra focada em roubar informação sensível dos utilizadores e das empresas.

A campanha, sob o nome de Rilide Stealer, foi originalmente descoberta pela empresa de segurança Trustwave SpiderLabs, e afeta praticamente todos os navegadores baseados no Chromium, através da exploração por extensões maliciosas.

O Rilide faz-se passar por uma extensão do Google Drive, e caso seja instalada no navegador, passa a monitorizar todas as atividades do mesmo, roubando dados de login nas plataformas web, e também todas as carteiras de criptomoedas que os utilizadores possam usar.

Os investigadores afirmam ainda que, nas recentes versões do malware, as extensões foram mesmo atualizadas para suportarem o mais recente Manifest V3, o que permite contornar algumas das restrições do Chrome para extensões que ainda se encontrem na versão anterior.

Além de ter sido atualizado para o Manifest V3, o malware agora foca-se também em dados bancários, com destaque para os dados de login usados em sites de apps bancárias e similares. Estes dados são recolhidos pela extensão e enviados para sistemas em controlo dos atacantes.

Apesar de o Rilide ter sido identificado primeiro em extensões fazendo-se passar pelo Google Drive, nas últimas semanas foram também descobertas variantes que se fazem passar por outras entidades, sobretudo de plataformas de criptomoedas e entidades bancárias. No entanto, o funcionamento base é idêntico em todas.

O Rilide tem vindo a ganhar bastante popularidade como forma de ataque, em parte porque pode levar ao roubo de dados importantes e sensíveis em grandes quantidade, e porque é relativamente simples de levar as vitimas a instalarem as extensões maliciosas – conjugando ainda com a baixa identificação deste género de extensões como maliciosas em software de segurança.

03/08/2023
Novo esquema usa alerta de divergências no IRS da Autoridade Tributária

Existem sempre novos esquemas e burlas a surgir pela internet, e os mais recentes agora parecem focar-se em enganar as vítimas, usando para tal falsos alertas enviados pela Autoridade Tributária.

Numa nova campanha de spam, que se encontra a propagar em força pela internet, as potenciais vítimas recebem um email a notificar para divergências na entrega do IRS, alegadamente enviado pela Autoridade Tributária.

A mensagem descreve que foram identificados erros na entrega do IRS, e que os utilizadores devem aceder a um link para obter o suposto relatório do caso. O download redireciona para um site externo, que não se encontra sobre o domínio da Autoridade Tributária, e onde se procede com o download do alegado documento.

No final, o que o utilizador se encontra a descarregar é o malware, que procede com a instalação das atividades maliciosas no sistema e o roubo de potenciais dados sensíveis.

A primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção a qualquer mensagem que venha como origem de fontes desconhecidas. Sobretudo quando estas aparentam ser enviadas por fontes “oficiais”, e informam para realizar tarefas suspeitas, como descarregar documentos de sites desconhecidos.

Verifique sempre a origem das mensagens. No caso da Autoridade Tributária, todos os alertas devem ficar disponíveis também no portal das finanças, sendo que se recomenda o acesso direto ao mesmo para averiguar qualquer eventualidade.

03/08/2023
Sites criados em Google AMP usados para phishing

Em tempos a Google tentou tornar realizar o Google Accelerated Mobile Pages (AMP), uma tecnologia focada de páginas web para dispositivos móveis. No entanto, agora que a tecnologia encontra-se praticamente descontinuada, existe quem esteja a usar a mesma para ataques direcionados.

Recentemente foi descoberto que páginas criadas usando AMP encontra-se a ser propagadas como forma de contornar algumas das proteções de phishing em clientes de email e sistemas de email.

As páginas criadas usando a tecnologia AMP encontram-se diretamente redirecionadas por sistemas da Google, e usam um domínio associado com a entidade para o rápido carregamento de conteúdos. No entanto é aqui que os criminosos se encontram a aproveitar a tecnologia.

Através da criação de páginas AMP, os atacantes podem esconder sites de phishing para roubarem detalhes sensíveis em domínios que estariam associados diretamente com a Google, e como tal, seriam classificados como “seguros” na maioria dos sistemas de email.

De acordo com a empresa de segurança Cofense, os atacantes encontram-se a usar cada vez mais sites criados em AMP para propagarem campanhas de phishing e malware em sistemas de email. Como estes endereços são associados com domínios da Google, acabam por ser considerados seguros para a grande maioria dos clientes de email.

De acordo com a investigação da empresa, dos domínios analisados como sendo maliciosos, cerca de 77% encontravam-se sobre o domínio “google.com”, com 23% alojados no “google.co.uk”.

A parte “google.com/amp/s/” dos sites AMP, apesar de ser idêntica para todos os casos, não é fácil de filtrar, uma vez que bloqueando a mesma também afeta o carregamento de sites legítimos que os utilizadores possam receber.

Além de usarem links AMP, os atacantes nestas campanhas de email usam ainda outros esquemas para tentarem enganar os filtros de spam, como é o caso de usarem mais imagens nos conteúdos do email invés de texto – para evitar a ativação de spam por keywords.

Em outro exemplo, os investigadores afirmam ter descoberto um email que se encontrava a usar o sistema de redireccionamento da Microsoft.com para ocultar o domínio final do site AMP malicioso no domínio da Google.

Como sempre, a principal linha de defesa será dos próprios utilizadores, que devem ter atenção aos conteúdos que se encontram a carregar nos seus navegadores.

01/08/2023
Falsa publicidade ao jogo Unrecord propaga-se no Youtube

No início deste ano, um pequeno jogo começou a ganhar atenção na internet. Conhecido como “Unrecord”, o título desenvolvido por um pequeno estúdio indie em França ganhou destaque por usar o Unreal Engine 5 em todo o seu esplendor.

O trailer do jogo ganhou atenção devido ao formato realista com que era apresentado, tanto que rapidamente criou dúvidas se era verdadeiramente um jogo ou apenas uma gravação. Os estúdios do mesmo tiveram de revelar vários vídeos adicionais a comprovar que se tratava realmente de um jogo em desenvolvimento.

O programador principal do jogo, Alexandre Spindler, chegou mesmo a publicar vídeos onde demonstrava o “no clip” dentro do ambiente de desenvolvimento, para comprovar que as imagens reveladas no trailer do YouTube eram reais.

Mas hoje Alexandre Spindler deixa um novo alerta, desta vez para um esquema que se encontra a usar o nome do jogo para enganar os utilizadores a descarregarem malware.

Segundo Spindler, encontram-se a propagar pela internet campanhas de publicidade que prometem o acesso a Unrecord antecipadamente. Esta publicidade surge sobretudo sobre o YouTube, e tenta enganar os utilizadores que estão à espera do título.

Na mesma, é prometido o acesso antecipado ao download gratuito do jogo. O programador afirma que esta publicidade é falsa, e que os utilizadores acabam por descarregar na realidade é malware para os seus sistemas.

O jogo ainda não se encontra disponível em nenhum formato, portanto qualquer indicação de que o mesmo se encontra disponível online será falso.

Desde que o trailer do jogo foi revelado, a equipa de programadores encontra-se a tentar obter fundos para continuar o desenvolvimento e tornar “Unrecord” uma realidade. No entanto, ainda pode demorar algum tempo até que algo concreto seja revelado.

Para já ainda não existe previsão de quando o jogo final vai encontrar-se disponível.

01/08/2023
Criminosos estão a treinar IA para esquemas de phishing e malware

A Inteligência Artificial tem vindo a ser usada para os mais variados fins, tanto bons como maus. Mas recentemente temos verificado um aumento considerável no número de ferramentas criadas usando IA e focadas para propagar esquemas e malware.

A mais recente agora encontra-se sobre um sistema inteligente similar ao ChatGPT, mas que poderá ser usado para tarefas de hacking. Apelidado de “FraudGPT”, este novo chatbot foca-se em ajudar os criadores de malware e esquemas online a usarem as capacidades de IA para propagarem e melhorarem as suas campanhas maliciosas.

A ideia do FraudGPT passa por criar um sistema que os criminosos possam usar para realizaras mais variadas tarefas fraudulentas, desde criar scripts para phishing, a criar bases para código de malware.

Os investigadores da empresa de segurança SlashNext revelam que o FraudGPT encontra-se à venda em vários portais da dark web desde, pelo menos, o dia 25 de Julho, por um utilizador conhecido apenas como “CanadianKingpin12”. No entanto, o mesmo encontra-se ativamente a vender outro género de esquemas usando este mesmo conceito.

De acordo com a investigação, este utilizador encontra-se a vender chatbots que usam modelos de IA não limitados, e que podem ser usados para desenvolver ferramentas e esquemas em larga escala, numa questão de segundos.

O vendedor afirma que o seu sistema usa um conceito baseado no DarkBART – uma versão da dark web associada ao modelo de linguagem do Bard da Google, e que pode realizar mais tarefas “obscuras” do que as permitidas pelo sistema da gigante da tecnologia.

O vendedor afirma que o DarkBART é capaz de criar rapidamente esquemas de phishing sofisticados, para levar ao roubo de cartões de crédito e dados pessoais, ou de executar avançados esquemas para enganar as vítimas a fornecerem dados sensíveis.

É ainda capaz de explorar falhas e até mesmo descobrir novas em diverso software e sistemas operativos, bem como criar e distribuir malware de diferentes formatos.

Este género de ferramentas usadas para esquemas online usando IA tem vindo a ser cada vez mais comum, e é possível que venha a moldar o futuro da segurança digital. O uso de IA para cibercrimes pode levar a que mais vítimas sejam enganadas e que novas formas de ataque e de esquemas venham a surgir no futuro.

01/08/2023
Malware para Android distribui-se como aplicação de conversa segura

Uma nova campanha de spyware encontra-se a propagar sobre dispositivos Android, levando ao roubo de informação sensível dos dispositivos dos utilizadores. O malware encontra-se a ser distribuído sobre uma aplicação com o nome de “SafeChat”, que é capaz de infetar os dispositivos com spyware para recolher diversa informação sensível.

De acordo com os investigadores da empresa de segurança CYFIRMA, o malware encontra-se focado em roubar dados das conversas de plataformas como o Telegram, Signal, WhatsApp, Viber, e Facebook Messenger. Uma vez obtidos os dados, estes são enviados para sistemas em controlo dos atacantes, e podem ser usados para recolher dados sensíveis e conversas privadas.

Os investigadores acreditam que a campanha de malware encontra-se a propagar por um grupo conhecido como “Bahamut”, na Índia, e que é propagado via mensagens diretas enviadas para os utilizadores via WhatsApp. Acredita-se que os alvos podem ser pessoas especificas, invés de ser um malware focado “para todos”.

Os atacantes tentam levar as vitimas a instalar o malware na promessa de que devem transitar para uma plataforma segura de conversação, que será a app do Safe Chat, e onde devem manter a comunicação com os seus amigos e familiares.

A aplicação do Android usa o serviço de Acessibilidade do Android para realizar ações diretamente no sistema, e gerir o mesmo sem a interação do utilizador. O malware pode recolher as conversas de várias aplicações, dados sensíveis, imagens, contactos, mensagens SMS e registos de chamadas. É ainda possível recolher os dados de localização via GPS em tempo real.

O malware tenta ainda excluir-se da lista de apps otimizadas do sistema, que normalmente é usado para terminar apps em segundo plano para poupar bateria – desta forma pode manter as atividades em segundo plano sem interrupções.

Como sempre, os utilizadores devem ter extremo cuidado em apps que sejam fornecidas por fontes não oficiais. Apesar de não ser imune a malware, a Google Play Store ainda é o melhor local para descarregar aplicações de forma segura.

31/07/2023
Cuidado jogadores de Minecraft: mods maliciosos descobertos em nova campanha

Uma das grandes vantagens do Minecraft encontra-se na sua capacidade de receber mods da comunidade. Estes permitem expandir as funcionalidades do jogo, tanto a nível do cliente local dos jogadores, como também dos servidores do mesmo.

No entanto, foi recentemente descoberta uma campanha de malware que se encontra a propagar por intermédio de mods para o Minecraft, e afeta sobretudo os jogadores da versão Java do jogo.

De acordo com o grupo Minecraft Malware Prevention Alliance, o malware encontra-se a ser apelidado de “BleedingPipe”, e segundo a investigação do mesmo, este pode permitir a execução remota de código potencialmente malicioso nos sistemas afetados pelo mesmo.

Esta falha encontra-se presente sobre mods maliciosos desenvolvidos para o 1.7.10/1.12.2 Forge, mas pode afetar também outras versões. O malware pode obter acesso administrativo ao sistema, o que lhe garante a capacidade de correr comandos que recebe de um servidor remoto – com o potencial de roubar informação sensível ou levar à instalação de outro malware no sistema.

Este malware pode afetar tanto os clientes dos jogadores, como as versões focadas para servidores. No entanto, os investigadores apontam que o malware é usado diretamente pelos mods, e não afeta o Forge em concreto. Portanto, os utilizadores apenas necessitam de ter cuidado sobre os locais onde descarregam os seus mods e aos servidores que acedem.

Se apenas usarem servidores oficiais da Mojang, não devem ser afetados. No entanto, servidores de terceiros com mods podem ser alvo do ataque. Os investigadores recomendam que os utilizadores verifiquem a lista completa de mods afetados pelo BleedingPipe.

31/07/2023
Malware infeta e propaga-se para sistemas com software Redis

Existe um novo malware pela internet, que se encontra a afetar milhares de servidores e a replicar-se rapidamente explorando uma falha conhecida recentemente.

De acordo com a empresa de segurança Cado Security Labs, a campanha de malware é conhecida como P2Pinfect, e foca-se em servidores Redis. O Redis é uma plataforma de cache de base de dados, bastante usada na internet para otimização de pedidos. Esta encontra-se ativa em plataformas como o Twitter, GitHub, Snapchat, Craigslist, e StackOverflow.

O P2Pinfect foca-se particularmente numa falha existente sobre o software, que quando explorada pode permitir o acesso externo aos sistemas Redis, com a capacidade ainda de se propagar para outros sistemas. Este malware, desenvolvido em linguagem Rust, pode propagar-se rapidamente para outros sistemas na mesma rede local ou das quais o sistema infetado tenha acesso, para chegar a ainda mais possíveis vítimas.

O malware possui ainda a capacidade de usar os sistemas infetados como ponto de origem para o ataque, levando o mesmo a infetar outros sistemas vulneráveis pela internet. Com o acesso, os malware procede com a instalação de um backdoor no sistema, que pode ser usado posteriormente pelos atacantes para obterem acesso aos dados e realizarem outro género de ataques nos mesmos.

A melhor forma de prevenir este ataque será mantendo o sistema atualizado para as versões mais recentes e contando com uma ferramenta de monitorização para atividades suspeitas no sistema operativo, bem como de ligações remotas estranhas.

31/07/2023
Campanhas de malware continuam a propagar-se na publicidade do Facebook

A Meta continua com um grave problema na sua plataforma do Facebook, relacionado com o sistema de publicidade da empresa. O problema não é recente, mas meses depois de ter começado a surgir, ainda continua bastante ativo e a afetar cada vez mais utilizadores.

Existem cada vez mais páginas verificadas no Facebook que estão a ser atacadas, com o objetivo de propagar malware através do sistema de publicidade da empresa. O esquema foca-se em enganar os utilizadores a descarregarem malware para os seus sistemas, com pretexto de permitir o acesso a funcionalidades novas no ChatGPT, Bard ou a ferramentas dedicadas para a Meta.

Os utilizadores maliciosos começam por obter acesso a páginas verificadas, que mudam o nome das mesmas para termos associados com o esquema que se pretenda propagar. Por vezes estas páginas imitam outras da Google e até mesmo da própria Meta e Facebook.

As campanhas de malware usam depois o sistema de publicidade da Meta para se propagarem ao máximo de utilizadores possíveis. As mensagens podem variar, mas a maioria foca-se em incentivar os utilizadores a usarem ferramentas que, de outra forma, não teriam acesso – como é o caso de funcionalidades extra do ChatGPT ou Google Bard.

De acordo com a empresa de segurança Group-IB, esta campanha de malware já roubou mais de 3200 páginas do Facebook, verificadas, e encontra-se ainda bastante ativa. No entanto, existem também campanhas propagadas por páginas não verificadas, portanto deve-se sempre ter cuidado ao verificar este género de conteúdos.

O malware propaga-se por falsos sites, criados para enganar os utilizadores, com um link direto para download das supostas ferramentas. O ficheiro encontra-se, na maioria dos casos, protegido com uma senha para evitar a deteção por parte de sistemas de segurança.

Se instalado, o malware procede com o roubo de informação sensível dos sistemas dos utilizadores, como dados de login no navegador, e tenta também roubar páginas do Facebook que estejam em controlo do mesmo para manter as atividades e chegar a ainda mais utilizadores.

31/07/2023
Novo malware para Android usa OCR para roubar dados de imagens

Foram recentemente descobertos dois novos malwares para Android, que se encontram a propagar via a Play Store da Google, em apps maliciosamente criadas para tal, e que possuem uma forma de atuação diferente do convencional.

A empresa de segurança Trend Micro revelou ter descoberto duas famílias de malware para Android, apelidadas de “CherryBlos” e “FakeTrade”, que se encontram a propagar pela Play Store. Apesar de terem nomes diferentes, ambas possuem as mesmas bases de código e encontram-se sobre a mesma rede para o envio dos dados, pelo que os investigadores acreditam que se trata de malware criado pela mesma entidade.

Além de serem distribuídas aplicações com o malware pela Play Store, também se encontra em sites de terceiros pela internet, sobretudo em sites que prometem ficheiros APK das mais variadas aplicações – mesmo que aparentemente legitimas.

No caso do malware CherryBlos, as primeiras atividades do mesmo foram descobertas em Abril de 2023. O malware distribui-se por várias aplicações partilhadas em sites de terceiros pela internet, mas também foi descoberta pelo menos uma aplicação na Play Store contendo o mesmo – que terá sido descarregada centenas de vezes antes de ser reportada e eliminada pela Google.

O objetivo deste malware será obter dados de carteiras de criptomoedas, como o número das mesmas e senhas, de forma a poder levar ao roubo dos conteúdos digitais. O malware recebe os comandos de servidores em controlo dos atacantes, e procede com o envio dos dados necessários para o mesmo.

De forma a realizar as suas atividades, os utilizadores são questionados para ativarem o serviço de acessibilidade – que será o ponto de partida para o ataque.

No entanto, o mais interessante deste malware encontra-se no facto que, além de tentar roubar os dados sensíveis diretamente das apps no dispositivo, este também possui a capacidade de realizar OCR das imagens guardadas no dispositivo, para tentar obter informações sensíveis.

OCR consiste em identificar texto dentro de imagens, que o malware explora para tentar obter detalhes que possam ser relevantes para levar a cabo o ataque. Por exemplo, o malware pode usar esta funcionalidade para obter as chaves de recuperação de carteiras de criptomoedas, que muitas vezes são fornecidos em formato de texto, e os utilizadores aconselhados a guardar as mesmas.

Apesar de não ser recomendado realizar captura de ecrã destes conteúdos, muitos utilizadores ainda realizam essa prática, deixando as imagens nos seus dispositivos. Isso pode ajudar o malware a comprometer as carteiras e obter acesso aos seus conteúdos.

Por fim, este malware possui ainda a capacidade de alterar a área de transferência do sistema quando identificar que sejam colocadas na mesma carteira de criptomoedas, colocando invés disso a carteira em controlo dos atacantes.

Quanto ao malware FakeTrade, este foi descoberto pelos investigadores em cerca de 31 aplicações disponíveis na Play Store, entretanto removidas. O malware usa a mesma infraestrutura para a recolha dos dados que o malware CherryBlos, o que leva os investigadores a crer que se trata do mesmo criador.

No entanto, a forma de atuação deste malware é ligeiramente diferente, sendo que a ideia será incentivar os utilizadores a ganharem “pontos virtuais”, que podem mais tarde ser trocados por prémios, para os levar a ver publicidade com os ganhos a irem diretamente para os criadores do malware.

Os pontos virtuais, no final, acabam por não ser possível de se trocar por regalias, mas os criadores do malware, neste ponto, já realizaram a tarefa pretendida e obtiveram as receitas da publicidade.

Como sempre, é importante ter atenção aos locais de onde as apps são descarregadas, mas também analisar as reviews deixadas nas mesmas, para identificar qualquer atividade suspeita.

28/07/2023
Novo malware distribui-se em publicidade da Google e Bing

De tempos a tempos surgem campanhas de malware que se propagam de forma diferente, e a mais recente do malware conhecido como “Nitrogen” é um exemplo disso.

O Nitrogen é um malware que foi confirmado como estando bastante ativo nos últimos dias pela empresa de segurança Sophos. Segundo a mesma, este malware, depois de instalado no sistema, realiza diversas medidas para infetar o sistema com ransomware do grupo BlackCat/ALPHV.

O malware parece focado para empresas nos EUA, sendo que se faz passar como os programas AnyDesk, Cisco AnyConnect VPN, TreeSize Free, e WinSCP. No entanto, a forma como o mesmo se distribui será o ponto a ter em conta, uma vez que este usa campanhas de publicidade no Google Ads e no Bing para surgir nos primeiros resultados de pesquisa para termos regulares de pesquisa destes programas.

O esquema tenta enganar os utilizadores que procurem nos motores de pesquisa pelo software, levando os mesmos para resultados de sites em controlo dos atacantes, onde estão a ser descarregadas versões com malware dos programas.

Como a publicidade da Google e do Bing surge no topo dos resultados, os utilizadores podem pensar estar a aceder ao site verdadeiro, quando na verdade estão a aceder a uma cópia falsa com o programa modificado para integrar o malware.

Ao mesmo tempo, os sites usados para a campanha são capazes de identificar quando os utilizadores acedem via uma pesquisa ou diretamente. Se o utilizador aceder por intermédio de uma pesquisa, é apresentado o conteúdo para o tentar enganar – mas caso se tente aceder diretamente ao domínio, os utilizadores são redirecionados para o YouTube.

Isto permite que os atacantes possam também direcionar as campanhas de malware para países específicos – se os utilizadores não se encontrarem num pais que esteja como sendo o alvo, são redirecionados para conteúdos diferentes.

Caso seja instalado no sistema, o malware começa por se configurar para ser executado a cada cinco minutos, e para persistir no sistema mesmo se removidos os ficheiros do mesmo. Feito isto, procede com o download do ransomware, que começa então a encriptação e roubo dos dados.

Uma das formas de se evitar este género de ataques passa por evitar o acesso a links promovidos nos resultados de pesquisa, e verificando sempre o site de onde se encontra a descarregar o conteúdo, e se corresponde à localização esperada.

26/07/2023
Malware para macOS distribui-se como jogos e rouba carteiras de criptomoedas

Foi recentemente descoberto um novo malware, focado para sistemas macOS, que possui como objetivo roubar as carteiras de criptomoedas dos utilizadores. Este novo malware possui a capacidade de realizar tarefas maliciosas até mesmo em versões recentes do macOS 14 Sonoma, e encontra-se em ativo desenvolvimento pelos seus criadores.

O malware encontra-se a ser apelidado de “Realst”, e foi inicialmente descoberto pelo investigador de segurança “iamdeadlyz”. O mesmo encontra-se focado sobretudo para utilizadores do macOS, embora também tenha a sua variante para o Windows, e pretende roubar as carteiras do mesmo.

O malware propaga-se sobre falsos jogos online, com nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles, e SaintLegend. Os atacantes tentam cativar as possíveis vítimas a descarregarem um cliente de acesso ao jogo, que na verdade é onde o ataque do malware começa.

Caso as vítimas executem o cliente do jogo, acabam por instalar o malware nos seus sistemas, ficando o mesmo ativo em segundo plano para realizar as suas atividades.

Segundo os investigadores da empresa de segurança SentinelOne, o malware analisa as possíveis carteiras de criptomoedas existentes no navegador e no sistema, enviando os dados sensíveis das mesmas para os atacantes – que procedem depois com o roubo dos dados.

No caso do malware focado para Windows, este foca-se mais no roubo de informações sensíveis do sistema, como dados de login. O mesmo usa uma variante do RedLine Stealer para roubar os dados do sistema, enviando os mesmos para os atacantes.

Os investigadores acreditam que existem diferentes variações do mesmo malware atualmente a serem usadas para ataques. A propagação do mesmo é feita via os falsos jogos, que são anunciados em diferentes plataformas, como através de publicidade nas redes sociais.

De notar que todos os jogos se apelidam como sendo títulos focados na blockchain, usando esta rede para a obtenção de regalias dentro dos títulos – e que será usado para focar o ataque a utilizadores que, muito possivelmente, tenham este género de carteiras de criptomoedas nos seus sistemas e que teriam mais interesse em instalar o género de jogos em questão.

26/07/2023
Misterioso malware Decoy Dog usa DNS para controlo de vítimas

Um grupo de investigadores revelou uma nova ferramenta maliciosa, que se encontra no ativo faz mais de um ano, e que usa sistemas de DNS para enviar e receber comandos usados para ataques.

A ameaça é conhecida como “Decoy Dog”, sendo ainda desconhecida a origem do mesmo, mas que se encontra possivelmente relacionada com a invasão da Ucrânia pela Rússia, tendo sido criado na mesma altura.

De acordo com a empresa de segurança Infoblox, o malware foca-se em usar sistemas DNS para enviar e receber os comandos de ataque, sendo que usa um conjunto de domínios específicos para essa tarefa.

Como o tráfego do malware é enviado diretamente como pedidos DNS, isto pode passar despercebido como sendo de um ataque direto pela maioria dos sistemas de deteção.

Apesar de o mesmo ter sido descoberto em meados de Abril, as suas atividades datam faz mais de um ano. E nos últimos tempos, o malware tem vindo também a evoluir consideravelmente.

Os investigadores afirmam que as versões mais recentes do mesmo são mais compatíveis com sistemas Windows, e possuem também melhorias consideráveis a nível da gestão de memória e dos pedidos realizados via DNS.

Os investigadores acreditam que este malware encontra-se focado para ataques direcionados, de alvos bastante específicos para os atacantes, e que a lista de potenciais vítimas – atualmente – ainda é relativamente pequena. Tendo em conta as dimensões dos pedidos, acredita-se que o malware tenha atualmente menos de 50 vítimas, mas é possível que o valor venha a aumentar consideravelmente conforme o malware também se encontra a desenvolver.

Segundo os investigadores, as atividades concretas do Decoy Dog ainda são um mistério, sobretudo quais os gestores do mesmo e as suas intenções ou alvos. Apesar de os investigadores acreditarem que este malware possui ligações com a Rússia, ainda se desconhecem quais os objetivos do mesmo no mercado.

26/07/2023
Malware criado em Rust infeta tanto sistemas Windows como Linux

Recentemente foi revelado que a Microsoft iria começar a adicionar suporte para código Rust no Windows 11, melhorando algumas partes do kernel do sistema. Esta alteração foi recebida de bom agrado pela comunidade, em parte porque poderia permitir melhorar o desempenho geral do sistema e a sua estabilidade – atualizando uma das partes fundamentais do sistema.

A medida foi feita também para melhorar a segurança do sistema. De acordo com o Vice Presidente da divisão de segurança da Microsoft, David Weston, o Rust permite que o sistema seja consideravelmente mais seguro do que o código existente no kernel anterior do Windows.

No entanto, isso não quer dizer que o mesmo seja “impenetrável”. Recentemente, um grupo de investigadores da Palo Alto Networks revelaram ter descoberto um novo malware, criado em Rust, e que infeta tanto Windows como sistemas Linux. O malware, apelidado de P2PInfect, encontra-se construído em Rust, o que lhe permite ser capaz de infetar tanto sistemas Windows como Linux de forma similar.

O malware explora uma falha (CVE-2022-0543) que é conhecida desde 2022, mas que apenas agora se encontra a ser usada como a base do ataque. O malware foca-se sobretudo em sistemas que tenham servidores Redis, uma popular base de dados para aplicações, e que é também bastante usada em ambientes de sistemas Cloud.

O foco do malware parece ser infetar os sistemas para roubar informação potencialmente sensível, e executar outro malware dentro do mesmo, como ransomware. Ao mesmo tempo, o malware encontra-se criado para ser capaz de se propagar dentro de uma rede – dai o nome P2P. O mesmo pode analisar outros sistemas que também se encontrem vulneráveis dentro da mesma rede, passando o ataque para os mesmos.

22/07/2023
VirusTotal deixa escapar dados sensíveis de 5600 utilizadores

A VirusTotal é uma plataforma da Google, que permite analisar conteúdos por malware em diferentes motores de vírus, como uma espécie de “scan online” de ficheiros. É bastante usado para analisar conteúdos potencialmente maliciosos rapidamente em diferentes motores de vírus e de diferentes empresas.

No entanto, recentemente foi confirmado que a empresa pode ter deixado escapar alguma informação sensível de aproximadamente 5600 utilizadores registados. Entre alguns dos utilizadores encontram-se entidades oficiais dos EUA, como do Departamento de Justiça, FBI, entre outras.

De acordo com o portal The Hacker News, os dados foram divulgados num ficheiro de 313 KB, que estaria a ser partilhado online depois de um dos funcionários da empresa ter partilhado o ficheiro dentro do próprio mecanismo do VirusTotal.

Este ficheiro, como é habitual, ficou disponível publicamente após a análise, levando a que fosse descoberto por terceiros.

Em comunicado, a Google confirmou a falha, tendo referido que um dos funcionários da empresa inadvertidamente enviou para a mesma um ficheiro contendo a informação sensível, e que pode ser rastreado diretamente para utilizadores no serviço.

A empresa afirma ainda que o conteúdo foi removido menos de uma hora depois de ter sido enviado, e que vão ser aplicadas medidas para prevenir situações similares no futuro.

Apesar de a lista ser relativamente pequena, esta continha endereços de email e nomes de diversas entidades que usam o VirusTotal para análise de conteúdos e como parte de investigação de malware.

19/07/2023
Duas aplicações perigosas descobertas com malware na Google Play Store

Nos dias de hoje existe uma app para praticamente tudo. Mas isso abre também as portas para que apps com conteúdos potencialmente maliciosos possam acabar por ser instaladas, até mesmo de fontes aparentemente legítimas.

A Google Play Store não é nova no que respeita a ter algumas apps com malware na mesma, mas recentemente foi descoberta uma app particularmente importante que continha malware, e possuía mais de 1.5 milhões de instalações antes de ter sido removida.

De acordo com o portal Pradeo, duas aplicações bastante populares para Android, que estavam disponíveis na Play Store da Google, estariam a recolher dados dos dispositivos dos utilizadores e a enviar os mesmos para sistemas na China.

As aplicações em causa são a “File Recovery and Data Recovery” e “File Manager”, que combinadas, possuem mais de 1.5 milhões de downloads, ambas desenvolvidas por um programador conhecido apenas como “wang tom”.

As duas aplicações, segundo os investigadores, estariam a recolher dados dos dispositivos dos utilizadores, nomeadamente informações de contactos e mensagens, enviando os mesmos para sistemas localizados na China.

Os investigadores apontam ainda que as apps violam os termos do RGPD, uma vez que não divulgam a recolha dos dados, mas também não permitem que os mesmos sejam eliminados a pedido dos utilizadores.

Depois de informada da situação, a Google confirmou que ambas as aplicações foram removidas da Play Store, mas ainda podem encontrar-se disponíveis em plataformas de terceiros. Caso tenha instalado as apps no passado, recomenda-se que verifique se estas foram removidas dos seus dispositivos.

19/07/2023
WormGPT é uma alternativa ao ChatGPT para criar malware

O ChatGPT é usado diariamente por vários utilizadores para criarem código, para as mais variadas tarefas. No entanto, a OpenAI não permite que a ferramenta seja usada para criar código que possa ter efeitos nefastos nos utilizadores, sobretudo conteúdo que pode ser usado em malware.

No entanto, alguém encontra-se agora a criar um modelo de linguagem de Inteligência Artificial que vai ser focado exatamente nessa tarefa. Apelidado de WormGPT, esta IA encontra-se adaptada para ajudar programadores a criarem código, mas neste caso com foco em conteúdos maliciosos.

A ideia do WormGPT é permitir que criminosos possam rapidamente criar ou adaptar código de malware, facilitando também a sua distribuição. Este modelo de linguagem de IA encontra-se atualmente à venda em alguns portais da Dark Web.

O WormGPT permite que se possa criar código rapidamente, usando IA, para as mais variadas tarefas, mas ao contrário do ChatGPT, não aplica restrições nos conteúdos que podem ser criados.

Na realidade, algumas fontes apontam que já existe malware que foi criado pelo WormGPT e que se encontra a ser usado em ataques reais. A empresa SlashNext afirma que existem alguns ataques de email realizados nas últimas semanas, que se acredita terem sido desenvolvidos usando código criado pelo WormGPT.

Os investigadores afirmam que algumas campanhas de email foram criadas usando mensagens que o WormGPT criou com a sua IA, e que podem facilitar consideravelmente a tarefa dos atacantes em enviarem campanhas de spam.

A ferramenta encontra-se à venda em vários portais da Dark Web com preços que podem variar entre os 50 a 60 euros mensais.

Com a IA cada vez mais presente no dia a dia dos utilizadores, é apenas uma questão de tempo até que a tecnologia venha também a ser usada para criar conteúdos potencialmente maliciosos para os utilizadores. Isto, infelizmente, faz parte da criação de qualquer nova tecnologia no mercado: se existe quem a use para fins positivos, também existe quem a use para negativos.

18/07/2023
Código fonte do malware BlackLotus surge online

O código fonte do malware BlackLotus UEFI acaba de ser revelado online, o que permite analisar melhor o funcionamento de uma das mais recentes ameaças, sobretudo para grandes empresas e entidades governamentais.

O BlackLotus é um malware focado para sistemas Windows, que consegue ultrapassar as medidas de proteção do Secure Boot para se instalar como um malware UEFI – um dos mais difíceis de identificar e remover. Este género de malware tende a ser bastante difícil de identificar, porque oculta as suas atividades na BIOS, e não é detetado nem mesmo por software de segurança dedicado.

Entre as funcionalidades conhecidas do mesmo encontra-se a capacidade de contornar a proteção BitLocker, de desativar ferramentas de antivírus e até de contornar proteções como a Hypervisor-protected Code Integrity (HVCI).

O Secure Boot do Windows é uma funcionalidade que, em teoria, deveria prevenir que este género de malware se instalasse na UEFI, conjugado com o Trusted Platform Module (TPM). O mesmo previne que rootkits se instalem no arranque do sistema.

O BlackLotus foi uma das primeiras ameaças capazes de contornar esta proteção, e de se instalar no sistema para roubar dados dos utilizadores.

A Microsoft tentou corrigir a situação em futuras atualizações do Windows, mas sem sucesso, tendo entretanto fornecido um guia para ajudar os utilizadores a corrigirem a falha – embora consideravelmente longo e difícil de aplicar para a maioria dos utilizadores.

Felizmente, o BlackLotus foca-se mais em empresas de grande destaque no mercado e entidades governamentais, tendo como alvo o roubo de dados sensíveis ou que podem ser usados para espionagem. No entanto, é uma ameaça grave que pode acabar por surgir em qualquer sistema.

O código fonte agora revelado, mesmo que esteja incompleto, permite que os investigadores de segurança possam analisar melhor como o malware funciona e quais as suas atividades. Isto também pode ajudar a criar mecanismos de defesa contra o malware.

14/07/2023
Google Play Store vai receber sistema de verificação para ajudar a reduzir malware

A Google encontra-se a aplicar uma nova forma de evitar que malware chegue na Play Store, com um novo sistema de verificação. A partir de agora, todas as novas contas de programador na Play Store necessitam de validar a identidade.

Este novo sistema de verificação vai forçar que contas de programadores empresariais tenham de apresentar informação do negócio a que se encontram associados, medida que pretende reduzir a capacidade de utilizadores mal intencionados enviarem malware para a plataforma.

Com esta verificação, apenas depois da Google confirmar que as contas são de uma empresa legitima, poderão enviar as apps para a Play Store.

Por norma, as aplicações de malware são enviadas para a Play Store em duas fases. Na primeira, uma app aparentemente legitima é enviada para contornar as medidas de proteção da Google. Mais tarde, eventualmente, uma nova versão é lançada como atualização, contendo o conteúdo malicioso que se pretende.

Quando as apps maliciosas são identificadas, as mesmas são removidas e as contas de programadores associadas são terminadas. No entanto, é relativamente simples para os utilizadores maliciosos criarem uma nova conta e repetirem o processo.

Com este passo extra de verificação, passa a ser obrigatório um processo de validação a entidade, que é feito manualmente pela Google, onde as empresas associadas com as contas necessitam de enviar informação para confirmar a autenticidade.

A validação será feita por números D-U-N-S, que basicamente será um número de identificação dedicado de cada empresa, e bastante usado nos EUA. Este processo pode ajudar a evitar que malware venha a ser introduzido na Play Store, e que eventualmente chegue junto dos utilizadores.

A Google refere ainda que a informação fornecida será verificada de forma regular, para garantir que se encontra atualizada e corresponde à entidade que se espera no final. Caos sejam encontradas inconsistências, a empresa pode optar por suspender que uma conta envie novas apps para a Play Store, e eventualmente suspender as apps existentes.

13/07/2023
Edge agora identifica sites com notificações abusivas

A Microsoft tem vindo a integrar várias novidades no Edge, e uma das mais recentes pode ajudar os utilizadores a evitarem sites que tenham notificações abusivas.

Se usa a internet ativamente, é possível que já tenha entrado em sites que requerem que ative as notificações, e que abusam das mesmas para o envio de spam e outros conteúdos potencialmente nefastos. Apesar de as notificações, por si, serem inofensivas, podem acabar por levar os utilizadores para sites de malware ou a enganar os mesmos em diversos esquemas – ou simplesmente a serem irritantes.

No entanto, com as mais recentes versões do Edge, esse problema encontra-se finalmente resolvido. A Microsoft afirma que o sistema de notificações do Edge agora está mais “inteligente”, sendo capaz de identificar sites que abusem das notificações.

Este novo sistema é capaz de identificar os sites que abusem no envio de notificações, bloqueando a apresentação dos pedidos das mesmas. Os utilizadores devem verificar uma mensagem de alerta, a indicar que as notificações foram bloqueadas e não é automaticamente apresentado o banner para ativar as mesmas.

A medida não evita que os utilizadores ainda possam, manualmente, ativar as notificações. Carregando no ícone da “campainha” na barra de endereços ainda é possível voltar a apresentar o alerta de permissão. No entanto, pode ser uma considerável ajuda para evitar que os utilizadores possam ativar as notificações por engano.

A lista de sites potencialmente abusivos das notificações será mantida atualizada pela Microsoft e automaticamente atualizado no Edge.

Os utilizadores apenas necessitam de verificar se as suas instalações do Edge se encontram na versão mais recente disponível para poderem beneficiar desta proteção adicional.

07/07/2023
Malware propaga-se em publicidade do Facebook

De tempos a tempos surgem novas formas de esquemas pela Internet, e um dos que tem vindo a ganhar bastante destaque nos últimos tempos encontra-se na publicidade do Facebook – e pode chegar aos utilizadores que usam a rede social.

Nos últimos dias, o TugaTech tem vindo a confirmar que a publicidade do Facebook encontra-se a ser fortemente usada para esquemas de malware, incentivando os utilizadores por intermédio de “garantias” de acesso a ferramentas de IA – como o Google Bard.

A campanha encontra-se a usar páginas com milhares de seguidores – possivelmente roubadas ou atacadas – e onde se usa as mesmas para publicar publicidade na plataforma para sites externos, prometendo acesso a diversas ferramentas de chatbot de IA.

Um dos exemplos encontra-se sobre o acesso ao Google Bard, onde a mensagem sugere que os utilizadores podem obter acesso gratuito ao chatbot – relembrando que o Google Bard é inteiramente gratuito, embora não se encontre disponível em Portugal de forma oficial.

A ideia será levar os utilizadores a acederem ao site, onde se encontra o suposto ficheiro necessário para executar o chatbot – protegido por um ficheiro comprimido com senha, para dificultar a identificação por software de segurança.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos em que se encontram a aceder. Neste caso, o Google Bard apenas se encontra disponível nos EUA, e de momento não existe previsão de quando vai ficar disponível em Portugal.

03/07/2023
Sysmon 15.0 recebe novas funcionalidades para ajudar a monitorizar malware

A Microsoft encontra-se a disponibilizar uma nova versão da sua suíte de ferramentas uteis para administradores de sistemas: a Sysmon 15. Esta nova versão conta com uma nova funcionalidade, que pode ajudar os utilizadores a identificar quando ficheiros executáveis são criados no sistema.

Estas ferramentas da Microsoft Sysinternals são vulgarmente usadas para identificar possíveis problemas no sistema operativo, e também como forma de analisar as atividades dos mesmos – bastante usados em análise de malware.

A nova versão Sysmon 15.0 vai contar com duas importantes adições, que serão particularmente importantes para quem esteja a analisar malware. A primeira será a maior proteção dos processos, de forma a evitar que os mesmos sejam terminados por atividades maliciosas.

Os processos das aplicações do Sysmon 15.0 são agora considerados um processo protegido pelo Windows, sendo mais difícil para o malware de terminar os mesmos diretamente. Isto pode ajudar a prevenir que o malware evite a sua identificação e das suas atividades.

Outra novidade desta versão encontra-se na capacidade da aplicação analisar os ficheiros executáveis que forem criados. Isto permite que sejam registadas facilmente todos os ficheiros secundários que uma aplicação possa criar – o que também é uma prática vulgar de se encontrar em malware.

Como sempre, o download das ferramentas pode ser feito diretamente do site da Microsoft.

29/06/2023
Versão modificada de jogo do Super Mário usada em campanha de malware

Super Mario 3: Mario Forever é um jogo para Windows, que apesar de ter sido lançado em 2003, tem vindo a receber atualizações constantes nos últimos dez anos, mantendo-se ainda como uma referência para os fãs da saga da Nintendo.

Desenvolvido como um remake pelos estúdios da Buziol Games, o título ainda continua a ser uma das versões atuais mais populares da saga – apesar de não ser oficialmente licenciado pela Nintendo.

No entanto, segundo os investigadores da empresa de segurança Cyble, recentemente foi descoberta uma campanha de malware, que tenta aproveitar a popularidade do nome para distribuir malware às vítimas.

Uma versão modificada do instalador de Super Mario 3: Mario Forever tem vindo a ser distribuída por vários sites na internet, com o objetivo de levar os utilizadores a instalarem malware nos seus sistemas. Esta versão tem sido também propagada em esquemas de publicidade, através de falsos sites, quando os utilizadores pesquisam pelo nome.

A versão do jogo encontra-se disponível no instalador, mas ao mesmo tempo, este instala também um minerador de criptomoedas, que usa os recursos do sistema para minerar XMR, enviando os ganhos para as carteiras dos atacantes.

Como o jogo original é também instalado, as vítimas podem nem se aperceber do esquema, até notarem subitamente um uso elevado de recursos.

O malware possui ainda a capacidade de se ligar a sistemas remotos, de onde recebe os comandos para a sua execução. Esta ligação pode permitir também que o malware seja usado para outro género de ataques.

Em alguns casos, os investigadores afirmam que o instalador modificado pode também instalar um malware de roubo de dados, focado em obter as senhas guardadas no navegador e cookies, com o objetivo de roubar as mesmas. Este pode obter as credenciais de login e cookies de plataformas como o Discord, Minecraft, Roblox e Telegram.

O malware tenta ainda evitar que alguns dos mais usados softwares de segurança possam comunicar com os seus sistemas, alterando o ficheiro HOSTS do Windows para bloquear as ligações. Isto previne que as soluções de segurança sejam atualizadas ou possam enviar os ficheiros suspeitos para os seus sistemas – algo bastante usado atualmente para uma análise mais exaustiva de potenciais ameaças desconhecidas.

Como sempre, é importante ter em atenção os locais de onde os conteúdos são descarregados. Apesar de Super Mario 3: Mario Forever ser um jogo legitimo, este apenas se encontra disponível em plataformas oficiais dos estúdios responsáveis pelo mesmo – e não em sites desconhecidos pela internet. Os utilizadores necessitam também de ter atenção aos sites que estão a aceder durante as pesquisas.

26/06/2023
Primeiro Ministro australiano recomenda reiniciar smartphones todos os dias

Existem várias dicas de ciber segurança que podem ser adotadas para garantir mais segurança num mundo digital. A de reiniciar os dispositivos de tempos a tempos é uma delas, mas recentemente, o primeiro-ministro da Austrália deixou uma “dica” algo inesperada.

Segundo o portal The Guardian, Anthony Albanese recomendou recentemente os utilizadores a não apenas reiniciarem os seus smartphones de tempos a tempos, mas a manterem os dispositivos desligados durante, pelo menos, cinco minutos a cada 24 horas.

Durante o evento onde foi nomeado o primeiro coordenador nacional de segurança cibernética da Austrália, Albanese referiu que o pais necessita de ser mais proativo a impedir os diversos riscos digitais. O mesmo afirma que é necessário mobilizar o setor privado, bem como os consumidores, a adotarem práticas de segurança.

Em entrevista, o mesmo terá referido que “todos nós temos uma responsabilidade. Coisas simples: desligue o telefone todas as noites por cinco minutos. Para as pessoas que estão assistindo, façam isso a cada 24 horas, enquanto escovam os dentes ou o que quer que estejam fazendo.”

O ministro afirma ter conhecimento de pessoas que podem nunca desligar os seus smartphones, ou mantem o mesmo ativo durante meses. Muitos nem sabem que os seus dispositivos podem manter aplicações em segundo plano, que apenas são “limpas” quando o dispositivo é realmente reiniciado.

A ideia de reiniciar os smartphones como sendo uma prática de segurança pode parecer estranha, mas a verdade é que não é inteiramente nova. A Agência de Segurança dos EUA já tinha deixado, no passado, a indicação de que uma das formas de prevenir ataques passa exatamente por reiniciar os dispositivos que os utilizadores usam no dia a dia, de forma regular.

No caso dos smartphones, a recomendação é uma vez a cada semana.

Esta prática pode ajudar a remover algum género de malware que se encontre nos dispositivos, mas que não seja instalado diretamente no mesmo – mas sim que permanece na memória. E em geral, é sempre boa prática realizar o reinício dos dispositivos, nem que seja apenas para ajudar a “limpar” o mesmo e começar de fresco.

24/06/2023
Falha no Microsoft Teams permite envio de malware em mensagens externas

Se utiliza o Microsoft Teams no dia a dia, talvez seja melhor ter cuidado com uma nova forma de malware que pode ser distribuído pela aplicação, e que afeta sobretudo empresas – mesmo que tenham políticas mais restritas sobre a receção de ficheiros externos.

Algumas empresas podem limitar a forma como os utilizadores do Microsoft Teams recebem ficheiros de forma externa, evitando a infeção por malware. No entanto, os investigadores Max Corbridge e Tom Ellson revelaram ter descoberto uma forma de enviar este género de ficheiros externos, mesmo com limitações, para uma entidade.

De acordo com os investigadores, explorando o sistema do Microsoft Teams e a forma como este envia as mensagens, é possível enganar o mesmo para permitir que ficheiros externos sejam enviados para os sistemas internos da empresa – mesmo que estejam aplicadas políticas para evitar tal medida pelos administradores da rede.

Isto pode permitir que, em ataques direcionados, os atacantes possam enviar malware diretamente para sistemas dentro de uma entidade.

Apesar de os investigadores terem notificado a Microsoft sobre a falha, considerando que a mesma poderia ser grave, a resposta da empresa ficou aquém do esperado, indicando que a falha não era considerada suficientemente grave para receber um patch imediato.

Com isto, apesar de eventualmente a empresa poder vir a corrigir a falha, ao mesmo tempo esta não considera que a falha será grave o suficiente para garantir uma correção de emergência do Teams.

23/06/2023
Apple corrige três falhas de segurança exploradas por spyware

A Apple confirmou ter lançado uma correção para três vulnerabilidades zero-day, que estariam a ser usadas para instalar spyware no iPhone via o iMessage.

A empresa confirmou ter corrigido três falhas, que eram conhecidas de estarem a ser usadas em ataques, em versões anteriores ao iOS 15.7. Estas falhas estavam a ser exploradas para a instalação de spyware conhecido como “Triangulation”, que era usado para sofisticados ataques contra alvos específicos.

Segundo a empresa Kaspersky, os atacantes exploravam falhas no iOS para obterem acesso à raiz do sistema e ao kernel, onde depois mantinham o código malicioso focado em roubar dados sensíveis das vítimas. O malware permanecia nos dispositivos das vítimas na memória do mesmo, pelo que o reiniciar do sistema era suficiente para remover o malware – mas nada impedia o mesmo de voltar a ser instalado.

A falha estaria a ser explorada com mensagens enviadas via iMessage, que eram capazes de realizar o ataque e proceder à instalação do spyware no sistema.

A empresa de segurança acredita que o spyware estaria a ser associado com entidades russas, nomeadamente com o FSB, usando o acesso para recolher dados de alvos específicos em diferentes países.

Os utilizadores são aconselhados a atualizarem os seus dispositivos para a versão mais recente do sistema operativo que se encontre nos mesmos, de forma a evitarem a exploração das falhas.

21/06/2023
Mais de 100.000 contas do ChatGPT comprometidas à venda na Dark Web

Apesar de qualquer um poder criar uma conta para usar o ChatGPT, a verdade é que existem algumas que podem ter valor para os criminosos, sobretudo se tiverem chaves de API associadas.

E recentemente, foi descoberto que existem atualmente à venda na dark web mais de 100.000 contas do ChatGPT. De acordo com uma investigação realizada pela empresa Group-IB, foram identificadas mais de 100.000 contas da OpenAI comprometidas, que se encontra a ser vendidas em diversos locais da dark web.

Estas contas teriam sido roubadas de malware que se encontra nos sistemas das vítimas, sendo que o objetivo passa por roubar contas que tenham chaves API associadas às mesmas, que podem depois ser usadas para os mais variados fins.

Por norma, as chaves API da OpenAI possuem custos dependendo do uso que tenha. Caso as contas tenham um cartão de crédito associado, os criminosos podem fazer uso destas chaves para abusos.

Das contas descobertas, a maioria encontra-se relacionada com utilizadores na Ásia, tendo a maioria sido roubada entre Junho de 2022 e Maio de 2023. Apenas em Maio de 2023, estima-se que 26802 contas tenham sido comprometidas.

A ter em conta que, muitas destas contas, podem conter também dados que sejam considerados sensíveis para os utilizadores, como é o caso das questões colocadas pelos utilizadores na plataforma, e que podem permitir obter ainda mais detalhes sobre os mesmos para outros formatos de ataques.

A maioria das contas foram recolhidas de malware conhecido como “info stealer”, que se foca a roubar dados dos navegadores dos utilizadores, como os cookies, para poderem replicar as contas em outras plataformas.

Conforme cada vez mais empresa estão a adotar o ChatGPT para tarefas do dia a dia, espera-se também que algumas destas contas possam conter informações empresariais que podem ser consideradas sensíveis, e que podem comprometer informação das mesmas.

21/06/2023
Router da TP-Link usado para criar larga rede de botnet em ataques DDoS

Se possui um router TP-Link Archer AX21 (AX1800) está na altura de atualizar o mesmo para a versão mais recente do seu firmware. Isto porque foi recentemente descoberta uma campanha de botnet que se encontra a explorar falhas neste modelo para usar os routers em ataques DDoS.

O AX1800 é um router bastante popular no mercado, em parte porque possui boas características e conjuga com um bom preço de venda. Com isto, é usado tanto por utilizadores domésticos como empresas.

No entanto, foi recentemente descoberta uma rede de um novo botnet, que se encontra a usar as capacidades deste router para realizar ataques DDoS, explorando uma falha existente no mesmo.

De acordo com a empresa de segurança Fortinet, o Condi encontra-se à venda em diferentes portais da dark web, sendo que explora uma falha na API do router para levar à instalação do malware no mesmo.

Uma vez instalado, o malware passa a conseguir adulterar ficheiros da raiz do router, e abre portas para que os atacantes possam usar o dispositivo para realizar ataques DDoS, criando uma rede botnet à escala global.

Este malware é bastante especifico, e não é capaz de persistir no sistema depois do mesmo ser reiniciado, portanto, o mesmo aplica algumas medidas para evitar que sejam enviados comandos de reinicio do sistema ou para desligar o router.

No entanto, o malware encontra-se constantemente a enviar pedidos para IPs na internet, de forma a identificar possíveis sistemas onde se possa replicar e manter as suas atividades.

Os utilizadores que tenham o TP-Link Archer AX21 (AX1800) são aconselhados a atualizarem o mesmo para a versão do firmware mais recente, que se encontra disponível no site da TP-Link.

20/06/2023
Este malware pode roubar dados sem que as vitimas se apercebam

Existem vários formatos de malware que, de tempos a tempos, surgem pela internet. No entanto, um dos que tem vindo a ganhar algum destaque nas últimas semanas pode roubar informações sensíveis dos utilizadores sem estes se aperceberem.

De acordo com a empresa de segurança Bitdefender, encontra-se ativa uma campanha de um novo malware, conhecido como “RDStealer”. Os investigadores acreditam que este malware encontra-se associado com uma campanha de espionagem, que se foca sobretudo em alvos específicos, mas pode chegar a diversos utilizadores por outros meios.

Os investigadores não conseguiram analisar a origem do malware, mas acreditam que este terá a sua base de operações na China – e foca-se sobretudo no roubo de dados de alvos específicos que tenham interesse para as entidades chinesas.

O malware afeta sobretudo sistemas que tenham o Ambiente de trabalho remoto ativo, e com discos partilhados no mesmo. Através da infeção do sistema, este consegue aceder aos conteúdos dos discos partilhados, e potencialmente roubando informação sensível dos mesmos sem que as vítimas se apercebam a tempo.

Para evitar a deteção dos softwares de segurança, o malware injeta os conteúdos para as tarefas em pastas que, normalmente, encontram-se excluídas da verificação de malware, como é o caso da System32.

Como indicado anteriormente, este malware foca-se sobretudo em alvos específicos, pelo que os investigadores acreditam que possa tratar-se de uma variante focada para espionagem industrial ou para roubo de informações sensíveis de governos e outras fontes selecionadas.

20/06/2023
Ataques de ransomware estão cada vez mais sofisticados

O ransomware é notícia nos jornais há vários anos consecutivos. Na busca por lucro, os criminosos têm visado quase todo o tipo de organizações, desde instituições de saúde e de ensino a prestadores de serviços e empresas industriais. A Kaspersky publicou um relatório que analisa o que aconteceu ao longo 2022, como está a ser 2023 e as principais tendências para este ano.

Em 2022, as soluções Kaspersky detetaram mais de 74,2 milhões de tentativas de ataques de ransomware, um aumento de 20% em relação a 2021 (61,7 milhões). Já no início de 2023, assistimos a um ligeiro declínio do número de ataques de ransomware. Porém, estes tornaram-se mais sofisticados e direcionados. Além disso, houve uma mudança drástica entre os grupos de ransomware mais influentes e prolíficos. Os REvil e Conti, que ocupavam, respetivamente, o 2.º e 3.º lugar em termos de ataques no primeiro trimestre de 2022 foram substituídos, nos primeiros três meses de 2023, pelos Vice Society e BlackCat. Dois dos outros grupos mais ativos atualmente são os Clop e os Royal.

Durante 2022, foram também descobertas modificações de ransomware multiplataforma que atraíram muita atenção dos analistas da Kaspersky. É o caso do Luna e do Black Basta. Os cibercriminosos tornaram-se ainda mais profissionais, com grupos como o BlackCat a melhorar e a aperfeiçoar as suas técnicas ao longo do ano. A situação geopolítica também está a ser explorada por alguns grupos de ransomware para promover os seus interesses, como o caso do ‘stealer’ Eternity, com os cibercriminosos a criar todo um ecossistema com uma nova variante do ransomware.

Para 2023, os peritos da Kaspersky apresentaram três tendências principais no desenvolvimento de ameaças de ransomware. A primeira refere-se à funcionalidade de auto-propagação ou uma imitação da mesma, com os Black Basta, LockBit e Play entre os exemplos mais significativos de ransomware que se propaga por si próprio.

Outra tendência emergente é a utilização abusiva de controladores para fins maliciosos. Algumas das vulnerabilidades dos controladores AV foram exploradas pelas famílias de ransomware AvosLocker e Cuba, sendo que a análise da Kaspersky mostra que até a indústria de jogos pode ser vítima deste tipo de ataque. Supostamente, o controlador anti-cheat Genshin Impact foi utilizado para eliminar a proteção de endpoint na máquina visada. Uma ameaça que também paira sobre vítimas de elevado perfil, como instituições governamentais em países europeus.

Por último, os especialistas da Kaspersky alertam para o facto de os maiores grupos de ransomware mundiais estarem a adotar código divulgado ou vendido por outros cibercriminosos para melhorar as funções do malware. Recentemente, o grupo LockBbit adotou, pelo menos, 25% do código Conti divulgado, e emitiu uma nova versão inteiramente baseada nele. Este tipo de iniciativas proporciona aos afiliados semelhanças e facilidades para trabalharem com famílias de ransomware com as quais já estavam habituados a trabalhar, podendo reforçar as suas capacidades ofensivas, o que deve ser tido em conta na estratégia de defesa das empresas.

“Os grupos de ransomware surpreendem-nos continuamente e nunca param de desenvolver as suas técnicas e procedimentos. O que temos vindo a observar ao longo do último ano e meio é que estão gradualmente a transformar os seus serviços em empresas de pleno direito. Este facto torna até os atacantes amadores bastante perigosos”, afirma Dmitry Galov, investigador de segurança sénior da Equipa de Análise e Pesquisa Global da Kaspersky. “Por isso, para proteger a sua empresa e os seus dados pessoais, é muito importante manter os seus serviços de cibersegurança atualizados.”

16/06/2023
Malware de Linux usa DNS-over-HTTPS para comunicações encriptadas

Um grupo de hackers conhecido como “ChamelGang”, e com raízes na China, encontra-se a infetar sistemas baseados no Linux com um novo malware, que pode realizar comunicações usando o DNS-over-HTTPS.

O malware encontra-se a ser apelidado de “ChamelDoH”, exatamente por usar o sistema de DoH para realizar as comunicações com os sistemas de controlo dos atacantes. De acordo com a empresa Stairwell, o grupo começou as suas atividades em Setembro de 2021, embora focado para sistemas Windows.

No entanto, agora o mesmo parece encontrar-se a voltar também para sistemas Linux, com foco em roubar informações dos sistemas infetados. No entanto, o curioso do seu malware em Linux será o uso do DoH para comunicações.

Por norma, os pedidos DNS regulares não são encriptados, e usam ligações UDP diretas para os sistemas remotos. Isto permite que as queries realizadas possam ser capturadas por terceiros e monitorizadas.

Com o DoH, as queries são enviadas como tráfego HTTPS encriptado, e portanto, não é possível de ser monitorizado diretamente. Isso garante mais privacidade para os utilizadores, mas ao mesmo tempo pode ser usado também por malware para dificultar a identificação do mesmo e das suas atividades.

O ChamelDoH aproveita-se disso para realizar pedidos DNS-over-HTTPS para sistemas em controlo dos atacantes, de onde recebe e envia dados. Estes pedidos, além de encriptados, passam como sendo pedidos HTTPS regulares, e portanto, mais difíceis de serem identificados por soluções de segurança tradicionais.

Usando os pedidos DoH, os atacantes podem enviar para os sistemas infetados vários comandos, que poderão ser usados para tomar controlo dos sistemas ou roubar informações importantes.

Tendo em conta que os conteúdos são encriptados, torna-se consideravelmente difícil de identificar os mesmos, abrindo portas para ataques sem que os utilizadores tenham conhecimento de que os sistemas estão, efetivamente, infetados.

14/06/2023
Instalações piratas do Windows 10 escondem malware difícil de remover

Não é difícil de encontrar pela internet locais onde descarregar ficheiros de imagem modificados do Windows 10, a maioria prometendo encontrar-se ativado ou ter alterações diversas – isto apesar de a Microsoft fornecer as imagens de instalação do Windows 10 e 11 gratuitamente para todos, de forma oficial.

No entanto, quem opte pela via da pirataria, pode estar a abrir portas para alguns problemas. Foi recentemente descoberta uma campanha de malware, que se encontra a usar ficheiros de imagem do Windows 10 modificados para conterem malware.

De acordo com os investigadores da empresa de segurança Dr. Web, os ficheiros de imagem são distribuídos em sites de pirataria e torrent, e à primeira vista parecem relativamente seguros. A maioria promete encontrar-se atualizado ou pré-ativado.

No entanto, estas imagens contam com um malware oculto, que permanece escondido sobre a partição EFI – normalmente usada pelo sistema para o arranque. Uma vez que esta partição não se foca no uso direto pelo Windows, o malware permanece oculto na mesma e consegue ficar “invisível” mesmo para as soluções de segurança mais recentes.

As instalações encontram-se ainda modificadas para descarregar os ficheiros maliciosos da partição de forma regular, infetando o sistema. Mesmo que os utilizadores removam o malware, este volta eventualmente a surgir no futuro.

O malware usado pode variar, mas a maioria foca-se em roubar dados sensíveis dos utilizadores, de contas online ou em alterar silenciosamente as carteiras de criptomoedas que os utilizadores possam colocar no sistema, de forma a transferirem fundos para carteiras em controlo dos atacantes.

Os investigadores afirmam que uma das carteiras usadas pelo malware conta com mais de 19.000 dólares, o que parece indicar que o esquema está a ter resultados finais. Como sempre, deve-se ter extremo cuidado no download de ficheiros de imagem de fontes não oficiais, bem como de qualquer software potencialmente ilícito.

14/06/2023
Chrome recebe várias melhorias no seu Gestor de Senhas

A Google encontra-se a preparar um conjunto de novas funcionalidades, que pretendem garantir mais proteção para as senhas dos utilizadores guardadas no navegador.

Apesar de existirem gestores de senhas que facilitam a tarefa de criar e guardar todos os dados de login online, muitos utilizadores ainda optam por usar apenas o gestor de senhas que se encontra integrado no navegador.

O Chrome tem vindo a melhorar nesse sentido, tornando o seu gestor de senhas praticamente numa aplicação por si mesmo, mas a Google encontra-se agora a preparar novidades para o tornar ainda melhor, e também para garantir mais segurança dos dados contidos no mesmo.

Para começar, os utilizadores agora terão uma forma de, mais rapidamente, acederem ao Gestor de Senhas, ficando disponível num novo atalho rápido para o mesmo no ambiente de trabalho. Este permite que os utilizadores tenham acesso a todas as definições do Gestor de Senhas do Chrome, bem como possam rapidamente aceder aos dados.

Outra novidade, que vai adicionar uma camada adicional de segurança para as senhas, será a necessidade de autenticação biométrica para se usar uma senha guardada no desktop. Isto era algo que já existia no Chrome para dispositivos móveis, mas que agora fica disponível também para utilizadores no computador.

Desta forma, para os utilizadores poderem usar as senhas guardadas no Chrome, necessitam primeiro de se autenticar pelo Windows Hello, ou usando outro sistema de autenticação dedicado, como de impressões digitais ou reconhecimento facial. Isto deve ser feito antes de a senha ser introduzida no site que se pretende, evitando que terceiros com acesso ao sistema possam usar os dados.

Outra melhorias que também vai ser adicionada será a capacidade de se colocarem notas junto das senhas. Com este sistema, os utilizadores podem colocar pequenas notas de texto salvaguardadas com os dados de login – por exemplo, contendo dados de informação ou códigos de backup.

Para quem pretende mudar de Gestor de Senhas, ou de navegador, para usar o Chrome, agora vai ficar também mais simples transferir as suas senhas para o Gestor de Senhas do Chrome. O novo sistema de importação de conteúdos continua a permitir que as senhas sejam rapidamente importadas de ficheiros CSV, mas agora chega também o suporte nativo para importação do Edge, Safari, 1Password, Bitwarden, Dashlane e LastPass.

Por fim, o sistema de verificação de segurança da Google agora encontra-se disponível também para o Chrome no iOS, permitindo aos utilizadores verificarem senhas potencialmente comprometidas ou que estejam a ser reutilizadas.

É importante relembrar que, apesar de todas estas melhorias, guardar as senhas no navegador ainda possui alguns riscos. Estas senhas encontram-se encriptadas apenas com os dados de login do sistema operativo, pelo que, se o sistema estiver infetado, podem ser rapidamente roubadas.

Em contrapartida, gestores de senhas dedicados implementam medidas adicionais de proteção contra este género de roubos, e tornam mais complicado – embora não impossível – que as senhas sejam roubadas mesmo em sistemas infetados por malware.

Ainda assim, para quem guarda as senhas no Chrome, certamente que serão melhorias importantes a ter em conta.

08/06/2023
Recebeu um email da Autoridade Tributária? Tenha cuidado com o esquema!

Com o destaque dado para o IRS e derivados, começam também a aumentar os esquemas que tentam tirar proveito do mesmo. E se recebeu um email que diz ser da Autoridade Tributária (AT), talvez seja melhor ter atenção, pois muito possivelmente trata-se de um esquema.

A Autoridade Tributária encontra-se a alertar para uma nova vaga de emails falsos, que alegam existir divergências do IRS por parte do utilizador, e que estes devem aceder a um determinado link para corrigirem o mesmo.

A Mensagem pode surgir em diferentes formatos, seja para aceder a um site malicioso na internet, ou através de um anexo que pode conter conteúdo malicioso. No entanto, no final, o resultado é sempre o mesmo: levar as vítimas a descarregarem malware para os seus sistemas, com o potencial de comprometer o mesmo, ou a divulgar dados pessoais sensíveis.

Este género de campanhas não são únicas nem novidade na internet, mas ainda existe um elevado número de utilizadores que podem não considerar as mesmas como maliciosas, colocando em risco os seus sistemas.

Como sempre, a melhor prática será evitar aceder diretamente aos links externos, a maioria de fontes desconhecidas, e evitar o download de qualquer arquivo, ainda mais quando estes prometem ser associados com tarefas sensíveis.

08/06/2023
Centenas de mods do Minecraft afetados em campanha de malware
Se utiliza mods do Bukkit ou CurseForge no Minecraft, tenha cuidado com os locais de onde os descarrega. Uma nova campanha de malware foi descoberta recentemente, que se encontra a propagar por meio destes mods, afetando os jogadores do título da Mojang.

De acordo com várias fontes, os mods são maliciosamente modificados e enviados para diferentes plataformas online, contendo código que injeta nos sistemas malware focado em roubar informações sensíveis de sistemas Windows e Linux.

Estes mods podem mesmo estar a ser enviados para plataformas oficiais, através de contas comprometidas, afetando também contas que tinham mods populares e que foram modificados para conter o malware. Um dos exemplos encontra-se no mod “Better Minecraft”, que conta com mais de 4.6 milhões de downloads, e numa recente atualização começou a integrar o malware.

Neste momento foram descobertos os seguintes mods com o malware na plataforma da CurseForge:
- Dungeons Arise
- Sky Villages
- Better MC modpack series
- Dungeonz
- Skyblock Core
- Vault Integrations
- AutoBroadcast
- Museum Curator Advanced
- Vault Integrations Bug fix
- Create Infernal Expansion Plus
Já do lado dos mods Bukkit, a lista é igualmente extensa:
- Display Entity Editor
- Haven Elytra
- The Nexus Event Custom Entity Editor
- Simple Harvesting
- MCBounties
- Easy Custom Foods
- Anti Command Spam Bungeecord Support
- Ultimate Leveling
- Anti Redstone Crash
- Hydration
- Fragment Permission Plugin
- No VPNS
- Ultimate Titles Animations Gradient RGB
- Floating Damage
As entidades alertam que o malware terá começado a ser enviado para os mods afetados faz cerca de três semanas. Portanto, se as versões foram descarregadas neste período de tempo, podem ter sido as comprometidas com o malware.

O malware possui a capacidade de roubar informação sensível dos sistemas dos utilizadores, incluindo os cookies do navegador, que permite aos atacantes replicarem as sessões dos mesmos noutros locais, e até contornar a proteção de autenticação em duas etapas para diversas plataformas.

Os utilizadores que tenham usado os mods em questão devem ficar particularmente atentos a qualquer atividade suspeita nos sistemas, sobretudo se usarem os mods modificados. É igualmente recomendado remover todos os indícios dos mesmos do sistema.
07/06/2023
Milhares de aplicações maliciosas para Android descobertas em nova campanha

Durante mais de seis meses, um conjunto de 60.000 aplicações para Android estiveram silenciosamente a instalar malware nos dispositivos onde se encontravam, numa nova campanha agora descoberta.

Esta campanha foi descoberta pela empresa de segurança Bitdefender, depois da empresa ter adicionado um novo componente de proteção no seu programa de segurança. A mesma verificou que, várias apps no mercado, estariam secretamente a usar um componente das mesmas para instalar adware nos sistemas, levando estes a apresentarem publicidade de forma constante.

As aplicações começaram a ser distribuídas desde Outubro de 2022, e a grande maioria diria respeito a falsas apps de segurança, cracks e apps de truques para jogos, software de VPN e outros similares, todos distribuídos de fontes não oficiais.

As aplicações tentavam evitar a deteção ao ocultar as suas atividades o melhor possível. Estas aplicações não se encontram disponíveis na Play Store da Google, mas estariam a ser distribuídas por utilizadores que, ativamente, estariam a procurar as mesmas.

Uma vez instaladas, estas começavam a apresentar publicidade nos dispositivos, e a redirecionar os utilizadores para sistemas de publicidade em controlo dos atacantes, onde as receitas eram enviadas para os mesmos.

As aplicações também não requeriam permissões “suspeitas”, sendo que se aproveitavam do processo de instalação de apps do Android para iniciarem as suas atividades, nomeadamente da janela que permite “abrir” a aplicação depois da instalação ser feita.

Quando os utilizadores abriam a aplicação, era feita uma ligação para os sistemas em controlo dos atacantes, de onde era recolhida a publicidade para as vítimas. Apesar de os investigadores indicarem que, a campanha, encontra-se atualmente a focar apenas em publicidade, os links poderiam ser redirecionados para qualquer outro site ou esquema.

Em parte, os atacantes reduziram ao máximo as possibilidades da atividade ser identificada, ao evitarem também que as apps fossem publicadas na loja de aplicações da Google.

06/06/2023
Gigabyte começa a corrigir backdoor em motherboards com atualização da BIOS

Durante a semana passada foi conhecida uma falha que afetava milhares de motherboards no mercado, da empresa Gigabyte. A falha, descoberta pela empresa de segurança Eclypsium, encontrava-se associada ao firmware das placas, e poderia permitir aos atacantes instalarem malware nos sistemas.

A falha afetava mais de 200 modelos diferentes de motherboards da empresa, com milhares de sistemas potencialmente vulneráveis a ataques pela mesma. Esta falha encontrava-se associada com uma funcionalidade que a fabricante tinha integrado para facilitar a atualização da BIOS. No entanto, ao usar a mesma, estaria também a abrir-se a porta para possíveis ataques.

A Eclypsium afirma que a Gigabyte não implementou medidas de segurança suficientes para prevenir que a funcionalidade pudesse ser explorada para ataques, abrindo as portas a tais. Os atacantes poderiam instalar o malware, sem que os donos dos sistemas tivessem conhecimento que tal medida tinha sido aplicada.

Agora, a Gigabyte encontra-se a lançar uma nova atualização sobre o problema, tendo começado a corrigir as BIOS afetadas pela falha. Esta encontra-se sobretudo em placas com o chipset Intel 700/600/500/400 e AMD 600/500/400, sendo que as atualizações estão a ser fornecidas de forma gradual para os modelos afetados – tendo em conta que existem mais de 200 modelos diferentes, pode ainda demorar algum tempo para chegar junto de todas.

No comunicado, a fabricante não deixa detalhes sobre as falhas descobertas pela Eclypsium, mas indica ter aplicado medidas para garantir uma maior segurança no arranque dos sistemas, prevenindo que código malicioso possa ser executado.

A empresa recomenda ainda que os utilizadores verifiquem o site oficial da fabricante, nas páginas de atualizações das suas motherboards, para validar se existem novas BIOS disponíveis.

06/06/2023
Executivos Portugueses não compreendem cibersegurança

Um estudo recente da Kaspersky revela que mais de metade dos executivos de topo portugueses considera que as ciberameaças são um risco maior do que o agravamento do ambiente económico para as suas empresas. No entanto, não conseguem definir prioridades de ação devido à terminologia confusa utilizada em cibersegurança.

De acordo com o estudo ‘Separados por uma linguagem comum: podem os executivos de C-level decifrar e agir perante a ameaça real dos ciberataques’, 52% dos gestores portugueses inquiridos considera que os ciberataques são o maior risco enfrentado pelas suas empresas, à frente dos fatores económicos (33%). Porém, 47% dos responsáveis considera que a linguagem utilizada em cibersegurança é o maior obstáculo à compreensão das questões de segurança por parte da sua equipa de gestão.

Entre os inquiridos portugueses, 30% dos executivos de C-level portugueses não compreendem o termo “ataques de phishing”, 34% consideram a palavra “malware” confusa, 29% não percebem a expressão “ataques à cadeia de abastecimento” e 28% dizem o mesmo em relação a “ataques de ransomware”. Resultados preocupantes, tendo em conta que os ataques de ransomware duplicaram em 2022 em todo o mundo, tendo os especialistas da Kaspersky avisado no início deste ano que esta tendência ascendente continuaria em 2023.

Apesar de a totalidade dos inquiridos estar consciente da frequência com que as suas empresas são atacadas por agentes de ameaças, apenas 44% dos executivos afirmaram que a cibersegurança está sempre na agenda das suas reuniões, em comparação com os 51% que admitiram que este tema só faz parte da agenda ‘às vezes’.

Por dimensão da organização, 55% das empresas com entre 1.000 e 1.999 colaboradores em Portugal afirmam que a cibersegurança é sempre um tema nas suas reuniões, em comparação com 41% das organizações com entre 2.000 e 2.999 trabalhadores e os 25% das empresas com mais de 5 mil colaboradores. Ou seja, quanto maior é a empresa, menor é a presença da cibersegurança na agenda das reuniões executivas.

Questionados sobre que medidas de cibersegurança são mais importantes para a sua organização, 43% dos inquiridos portugueses indicou a segurança da cadeia de abastecimento, 42% a segurança dos dados gerados pela empresa e 38% as ameaças internas, perda de dados e níveis de acesso aos dados.

“Embora as equipas de gestão sénior considerem os ciberataques como o maior risco para o seu negócio, a sua dificuldade em compreender a natureza das ameaças significa que não é uma prioridade ao nível da direção”, explica David Emm, Analista de Segurança Principal da Kaspersky.

“Isto significa que muitas vezes tomam decisões críticas sem uma imagem clara do cenário de ameaças, o que coloca o negócio em risco. A linguagem inibe a capacidade das organizações de estabelecerem uma cultura de melhores práticas de cibersegurança, partilharem conhecimentos e implementarem inteligência de ameaças acionável”, conclui o especialista.

06/06/2023
KeePass 2.54 corrige vulnerabilidade grave na aplicação

A aplicação do KeePass encontra-se a receber uma nova atualização, para a versão 2.54, focada em corrigir uma vulnerabilidade descoberta recentemente, que poderia permitir a extração da senha de acesso da aplicação em texto plano.

Quando os utilizadores criam uma nova base de dados do KeePass, devem introduzir uma senha mestra para poderem aceder no futuro aos conteúdos, que se encontram encriptados. Todos os acessos futuros necessitam de ser feitos usando essa senha mestra.

No entanto, em Maio de 2023, o investigador de segurança “vdohney” revelou ter descoberto uma falha, que quando explorada, poderia permitir extrair a senha em texto plano dos sistemas com o KeePass instalado, através de um dump da memória RAM.

Esta falha poderia ser usada por malware ou por atacantes para obterem acesso aos cofres e bases de dados protegidos do KeePass.

No entanto, esta falha foi agora corrigida. O programador Dominik Reichl revelou a nova atualização do KeePass 2.5.4, que foi lançada antes do previsto inicialmente e foca-se sobretudo em corrigir esta falha.

A relembrar que os utilizadores do KeePass 1.x, Strongbox, e KeePassXC não se encontram afetados por esta falha, portanto não necessitam de migrar para a nova versão de forma a garantirem a segurança das suas instalações.

Segundo Reichl, a aplicação agora usa a API do Windows para garantir a segurança dos dados enviados para a memória. Além disso, foi ainda introduzida uma funcionalidade que coloca carateres aleatórios na chave final da memória, tornando ainda mais complicado identificar a mesma no caso de ser feito um dump completo do processo.

Para quem use o KeePass, a atualização é agora recomendada, como forma de evitar o possível uso da falha para roubo de credenciais. Esta pode ser feita diretamente do site da aplicação, ou pelo sistema de atualização da mesma.

05/06/2023
Extensões do Chrome com milhares de downloads removidas por conterem conteúdo malicioso

Uma das características mais usadas do Chrome encontra-se no facto de permitir usar extensões, que basicamente aumentam as capacidades do navegador e ajudam os utilizadores no dia a dia.

No entanto, este género de “extras” podem também ser a porta de entrada para possíveis ataques. Foi exatamente isso o descoberto recentemente, onde um conjunto de 32 extensões maliciosas foram identificadas na Chrome Web Store, com mais de 75 milhões de downloads, estariam a realizar atividades maliciosas nos sistemas das vítimas.

A Chrome Web Store e as extensões do Chrome têm vindo a ser cada vez mais o foco de malware, sendo que temos vindo a verificar um aumento considerável no número de extensões maliciosas disponíveis na plataforma.

Em meados de Maio, o investigador Wladimir Palant revelou ter descoberto que a extensão PDF Toolbox, com mais de 2 milhões de downloads, estaria a esconder atividades maliciosas na mesma, que poderia injetar código javascript em todos os sites visitados pelos utilizadores.

Na altura, o investigador afirmava que o foco era, sobretudo, em injetar ou adulterar a publicidade existente nos sites. No entanto, o caso alastrou-se recentemente para um valor ainda mais elevado.

Palant afirma ter descoberto outras 18 extensões na Chrome Web Store, faz apenas alguns dias, que também continham o mesmo género de atividades. Estas extensões terão sido descarregadas mais de 55 milhões de vezes.

Apesar de uma parte das extensões terem sido removidas da plataforma da Google, ainda existem algumas que se encontram ativas, e podem manter as suas atividades nos sistemas das vítimas.

No entanto, como se a situação não fosse grave o suficiente, durante o dia de hoje, a empresa de segurança Avast revelou ter descoberto um novo conjunto de extensões igualmente maliciosas, elevando o número total para 32. No total, estas extensões contam com mais de 75 milhões de downloads.

Estas também teriam a capacidade de injetar código nos sites visitados pelos utilizadores, sendo que o foco seria adulterar a publicidade dos mesmos para proveito dos criadores. As extensões realizavam as funcionalidades a que se prometiam apesar das segundas intenções.

A ter em conta que as extensões maliciosas removidas da Chrome Web Store não são automaticamente removidas dos navegadores dos utilizadores, portanto ainda existe a necessidade de os mesmos eliminarem qualquer extensão que considerem não ser benéfica para o uso no dia a dia.

Como prática de segurança, também se deve evitar usar extensões desnecessárias no navegador, mantendo apenas as que sejam consideradas importantes e tenham uma boa reputação dentro da comunidade.

02/06/2023
“Terminator” é um malware capaz de parar qualquer software de segurança

Recentemente começou a surgir na internet, sobretudo na dark web, um novo malware, conhecido apenas como “Terminator”, mas que possui capacidades alegadamente devastadoras. Este é um programa capaz de terminar praticamente todas as soluções de segurança que se encontram atualmente no mercado.

Isto poderia ter graves consequências, já que, conjugado com um malware, o Terminator pode terminar processos de segurança usados para identificar as atividades maliciosas. A ferramenta encontra-se a ser promovida por um grupo conhecido como “Spyboy”.

De acordo com o criador, este malware é capaz de terminar silenciosamente as tarefas de segurança de 23 softwares de segurança, incluindo de nomes como a Microsoft, Sophos, CrowdStrike, AVG, Avast, ESET, Kaspersky, McAfee, Bitdefender, Malwarebytes e muitos mais. O software encontra-se atualmente à venda por cerca de 300 dólares para uma aplicação especifica, ou 3000 dólares para todas as variantes de proteção.

De acordo com Andrew Harris, investigador da empresa de segurança CrowdStrike, o malware aparenta ser legitimo, sendo que é atualmente identificado por apenas um pequeno conjunto de softwares. O mesmo gera um driver aparentemente legitimo do Zemana Anti-Malware, instalando o mesmo no sistema e ganhando, desta forma, permissões para terminar qualquer processo no mesmo de forma invisível.

A analise do malware aponta que o mesmo é legitimo e possui capacidades que promete, mas possivelmente vai começar também a ser rapidamente identificado pela maioria dos softwares de proteção, limitando a sua capacidade de atuação.

Os utilizadores interessados podem verificar mais informações no post criado pelo investigador no Reddit, onde se encontram os detalhes do caso e sobre o malware em particular.

01/06/2023