Categoria: malware

Existe um novo esquema que pode levar a perder a conta do Youtube

O YouTube é uma das plataformas mais reconhecidas para assistir a vídeos na internet, e nesta também se encontram vários criadores de conteúdos. Particularmente para quem usa esta plataforma para produzir conteúdos, é recomendado que tenha em atenção um novo esquema que começou a surgir na mesma.

Vários utilizadores começaram a reportar um novo esquema de phishing, que tenta enganar os criadores de conteúdos para o YouTube com falsos emails que, aparentemente, fazem-se passar por conteúdos legítimos.

O esquema começa quando as vítimas recebem um email, supostamente do YouTube, a notificar para uma infração sobre um dos conteúdos que possuem nas suas contas. Estes emails tendem a ser enviados do email “no-reply@youtube.com”, que é legitimo da plataforma. Apesar de o remetente dos emails poder ser modificado, neste caso a mensagem é mesmo enviada pelos sistemas da Google – apenas não com a intenção que se pretende.

A mensagem tende a conter uma notificação, na maioria das vezes sobre alguma questão relacionada com a conta do criador, e com um link para onde se deve resolver a situação – para dar mais credibilidade, este link é muitas vezes de plataformas da própria Google, como o Google Drive.

O link direciona o utilizador para um suposto PDF ou documento onde se pode obter mais informações sobre o que levou à queixa contra o criador. Mas é aqui que começam os problemas: o ficheiro não é verdadeiro.

Muitas vezes trata-se apenas de um ficheiro mascarado como um PDF ou documento do Word, que é enviado via o Google Drive, mas é na verdade um malware que pode roubar os dados das contas das vítimas.

Este ataque explora uma funcionalidade do próprio YouTube, que permite partilhar determinados vídeos com outros utilizadores via email. O que os atacantes realizam é colocarem um vídeo como privado, com uma descrição ou mensagem que pretenda enganar os utilizadores, e partilha esse vídeo para um email específico diretamente pela plataforma.

Este género de ataque foca-se sobretudo para criadores de conteúdos, visto que é onde existe o maior potencial para verificarem as mensagens e os seus conteúdos, ainda mais tendo em conta que se trata de uma questão relacionada com a conta dos mesmos.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que acedem. Ao mesmo tempo, é importante relembrar que o YouTube não entra em contacto a pedir para os utilizadores descarregarem ficheiros – mesmo que sejam da sua plataforma.

06/04/2023
Telegram é cada vez mais usado para vendas de kits phishing e credenciais

As autoridades têm vindo a apertar o cerco a várias plataformas que, no passado, eram usadas para a compra e venda de diversos serviços na dark web, incluindo ferramentas usadas para esquemas e dados obtidos em roubos.

Com isto, parece que uma nova plataforma encontra-se a tornar o “ponto de encontro” para este género de tarefas. De acordo com uma investigação da empresa de segurança Kaspersky, o Telegram tem vindo a ser cada vez mais usado para a compra e venda de kits usados para ataques – entre malware, páginas de phishing e outras ferramentas para ataques diretos.

Nesta plataforma é possível encontrar-se rapidamente grupos que prometem fornecer, a pagamento ou até gratuitamente, as mais variadas ferramentas para realizar ataques a eventuais vítimas.

Existem até bots criados dentro da plataforma que podem criar páginas de phishing com base nas preferências de cada utilizador e do que seja necessário, tornando todo o processo automático.

Em alguns grupos são também vendidas páginas criadas de esquemas diversos relacionados com phishing e de criptomoedas, que podem ser rapidamente adaptadas para os mais variados fins. Alguns dos grupos fornecem estes conteúdos de forma gratuita, enquanto outros cobram taxas que podem ir dos 10 dólares até aos 300 dólares – ou mais no caso de subscrições.

Também existem grupos que se focam na venda de conteúdos roubados, desde cartões de crédito a dados de login em diferentes plataformas. Estes também começaram a usar a plataforma, sobretudo depois de portais na web terem sido apreendidos pelas autoridades, quando se focavam neste género de atividades.

Os investigadores indicam ainda que o Telegram tem vindo a tornar-se também a porta de entrada para muitos iniciantes na área, onde podem obter informações sobre ataques e como o realizar às vítimas, muitas das vezes a custo zero.

Espera-se que este género de atividade venha a aumentar ainda mais nos próximos tempos, tendo em conta que as autoridades encontram-se focadas em encerrar o máximo possível de portais na web usados para a venda em massa de informação roubada, ou que podem ser a porta de entrada para os mais variados ataques de phishing e burlas.

06/04/2023
Mercado da Dark Web “Genesis” apreendido pelas autoridades em mega operação

O Genesis Market era considerado um dos markeplaces mais populares para a venda de conteúdos roubados na dark web, nomeadamente de credenciais de acesso a diferentes plataformas e outros conteúdos de burlas e ataques.

No entanto, as autoridades apreenderam os sistemas que estavam a ser usados na infraestrutura, numa mega operação apelidada de “Cookie Monster”. Esta operação terá encerrado toda a atividade da plataforma, sendo que os detalhes das mesmas estão agora em controlo das autoridades.

Apesar de ainda não ter sido feito um comunicado oficial sobre esta operação, os domínios associados com o Genesis Market encontram-se agora a apresentar uma característica mensagem de terem sido apreendidos pelas autoridades.

No entanto, apesar de a infraestrutura parecer encontrar-se sobre o controlo das autoridades, os administradores da mesma não aparentam ter sido identificados. Isto porque a mensagem deixada na plataforma indica os utilizadores com informações uteis sobre os administradores para contactarem diretamente o FBI através de um email dedicado para a operação.

A mensagem indica ainda que a apreensão dos sistemas terá sido possível graças à ajuda de várias entidades em diferentes países. Ao mesmo tempo, segundo revela o portal The Record, acredita-se que desta operação terão sido feitas várias detenções a nível global.

O Genesis Market tinha sido criado em 2017, e em pouco mais de 2020 já se encontrava como um dos principais marketplaces da dark web, dedicado à venda de conteúdos ilegais e de credenciais roubadas. Os administradores do site usavam malware especificamente criado para roubar credenciais das vítimas, e muitas vezes cookies completos do navegador – que eram depois usados para roubar contas das mesmas.

Acredita-se que o nome da operação das autoridades estará relacionado com as atividades que eram realizadas pelo portal.

04/04/2023
Descoberto um dos ransomwares mais rápidos de sempre

Depois de uma onda de ataques a empresas nos EUA, foi descoberta uma nova variante de ransomware que está a preocupar os investigadores de segurança, sobretudo porque é uma das mais rápidas que existe atualmente.

Conhecida como “Rorschach”, esta variante de ransomware é considerada uma das mais rápidas que existe nas tarefas a que se destina, além de aplicar técnicas únicas para dificultar a identificação.

De acordo com os investigadores da empresa de segurança Check Point, o Rorschach foi identificado depois de os investigadores terem analisado um ataque feito a uma empresa nos EUA. Esta variante de ransomware é única no mercado, sendo que aplica diferentes técnicas não apenas para infetar os sistemas, mas também para encriptar os dados dos mesmos.

O mais impressionante será que a tarefa de encriptação dos dados é feita de forma substancialmente mais rápida que outras variantes de ransomware. Os investigadores consideram mesmo que este é um dos ransomwares mais rápidos atualmente no mercado, e que pode comprometer um sistema de forma silenciosa.

O ransomware parece ser bastante personalizável, o que indica que pode ser uma variante distribuída como ransomware as a service em portais da dark web.

Em parte, a velocidade de encriptação de conteúdos deste ransomware encontra-se na forma como a tarefa é realizada. Invés de encriptar completamente todos os conteúdos do sistema, o malware apenas encripta uma parte dos ficheiros, o suficiente para que estes possam surgir como danificados ao serem abertos, mas ainda assim eficaz em encriptar o conteúdo para o ataque.

Segundo os investigadores, em um sistema com 220,000 ficheiros e um processador recente de seis cores, o ransomware foi capaz de encriptar os conteúdos em menos de 4.5 minutos, um valor consideravelmente mais rápido do que os 7 minutos que demoraria a algo como o LockBit v3.0.

04/04/2023
Malware esconde-se em ficheiros SFX do WinRAR

O WinRAR é um dos programas mais usados para a compressão e descompressão de ficheiros, em parte devido ao seu reconhecido “trial infinito”. No entanto, para além da versão que existe para os consumidores em geral, este também pode ser usado em vários programas de instalação, para criar o que é conhecido como arquivos SFX.

Basicamente, os ficheiros SFX são arquivos de instalação que se baseiam no WinRAR para comprimir e descomprimir os conteúdos. Estes podem ser usados sem que o WinRAR esteja instalado nos sistemas – o funcionamento é similar ao de um programa de instalação regular.

A ideia destes ficheiros será ter uma forma de os utilizadores distribuírem arquivos comprimidos sem que seja necessário um programa para descomprimir os mesmos.

No entanto, de acordo com uma investigação feita pela empresa de segurança CrowdStrike, foi identificada uma falha que está a ser aproveitada para ataques de malware, e que explora exatamente os arquivos SFX.

Explorando a falha, os atacantes podem criar arquivos SFX maliciosos, capazes de correr código PowerShell sobre o sistema e de forma praticamente indetetável. Este código pode ser utilizado para correr malware sobre o sistema, ou abrir as portas para outros géneros de ataques. Os ficheiros SFX podem até nem conter qualquer género de malware no seu interior, portanto iriam aparentar como estando “seguros”.

No entanto, a falha aproveita a forma como a extração de conteúdos é feita para correr código PowerShell silenciosamente no sistema, que pode ter consequências graves. Os investigadores apontam que, tendo em conta a forma como o bug é explorado, será improvável que a maioria dos softwares de segurança sejam capazes de identificar malware nos arquivos.

Os investigadores alertam ainda para o facto que existem ataques a explorar esta falha, portanto deve-se ter bastante cuidado sobre o género de conteúdos que são executados nos sistemas, sobretudo que tenham origem em locais desconhecidos.

03/04/2023
Malware para Windows encontra-se a explorar falha com uma década de existência

Um bug existente no Windows com mais de dez anos encontra-se agora a ser ativamente explorado para ataques, aproveitando o facto que ainda existe um elevado número de sistemas ativos que não contam com a correção aplicada ao mesmo.

A vulnerabilidade pode permitir que os atacantes modifiquem ficheiros do Windows sem que estes percam a assinatura original – e portanto, seja consideravelmente mais difícil de identificar conteúdos maliciosamente criados.

As assinaturas digitais de ficheiros são usadas para identificar os conteúdos legítimos do sistema, sendo que, por norma, quando um ficheiro é modificado apenas a entidade legitima pode assinar novamente o mesmo. Alterar um ficheiro maliciosamente deveria levar à perda de assinatura.

No entanto, explorando este bug, os ficheiros podem ser modificados sem que a assinatura seja perdida, levando a conteúdos maliciosos poderem chegar aos ficheiros de forma indetetável. De acordo com o portal Bleeping Computer, este é um bug conhecido do Windows faz mais de dez anos, mas que não está aplicado nem mesmo nas versões mais recentes do sistema.

Segundo os investigadores, acredita-se que o bug terá sido explorado no recente ataque da entidade 3CX. Os atacantes terão conseguido integrar código malicioso em alguns dos ficheiros do cliente de VOIP, sem que a assinatura dos mesmos fosse comprometida.

Os utilizadores podem aplicar a correção nos seus sistemas usando o ficheiro de registo disponível neste link. Ao extrair o mesmo, bastará carregar duas vezes sobre o mesmo (dependendo de possuir o Windows 32 ou 64 bits), e os conteúdos devem ser automaticamente adicionados no registo do Windows. O reinício do sistema é requerido no final. De notar que a medida deve ser aplicada no Windows 10 e no Windows 11.

O mais interessante é que a falha foi efetivamente corrigida em 2013, mas os utilizadores necessitavam de aplicar a mesma manualmente nos seus sistemas, através da modificação de entradas do registo do Windows.

A Microsoft não terá aplicado esta correção de imediato para os seus sistemas porque se acreditava que a mesma poderia ter impacto em alguns instaladores do Windows, bem como funcionalidades existentes no mesmo.

03/04/2023
OneNote vai começar a bloquear extensões perigosas

Um esquema que tinha vindo a ganhar bastante popularidade nos últimos tempos explorava uma falha do Microsoft OneNote, e começou a ser mais usado depois de a Microsoft ter bloqueado as macros de ficheiros do Office – um dos meios mais usuais de realizar ataques.

Agora a empresa encontra-se a aplicar algumas medidas que, caso corra bem, podem ajudar os utilizadores a evitar ataques usando ficheiros do OneNote. De acordo com a empresa, o OneNote vai começar a bloquear a execução de determinados ficheiros, conhecidos por serem usados como distribuição de malware.

O ataque ocorre quando os atacantes enviam um ficheiro do OneDrive, criado especificamente para ocultar alguns conteúdos maliciosos como parte do design do mesmo – o utilizador pode, por exemplo, estar a pensar que se encontra a carregar num botão quando está na realidade a carregar em ficheiros de script ou outros.

Esses ficheiros são anexados dentro dos conteúdos do OneDrive, o que permite levar a cabo o ataque. No entanto, a Microsoft confirmou recentemente que vai começar a bloquear algumas extensões de ficheiros de serem colocadas em documentos do programa.

Da lista fazem parte as extensões: .ade, .adp, .app, .application, .appref-ms, .asp, .aspx, .asx, .bas, .bat, .bgi, .cab, .cer, .chm, .cmd, .cnt, .com, .cpl, .crt, .csh, .der, .diagcab, .exe, .fxp, .gadget, .grp, .hlp, .hpj, .hta, .htc, .inf, .ins, .iso, .isp, .its, .jar, .jnlp, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mcf, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml, .msi, .msp, .mst, .msu, .ops, .osd, .pcd, .pif, .pl, .plg, .prf, .prg, .printerexport, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psdm1, .pst, .py, .pyc, .pyo, .pyw, .pyz, .pyzw, .reg, .scf, .scr, .sct, .shb, .shs, .theme, .tmp, .url, .vb, .vbe, .vbp, .vbs, .vhd, .vhdx, .vsmacros, .vsw, .webpnp, .website, .ws, .wsc, .wsf, .wsh, .xbap, .xll, .xnk

Anteriormente, os utilizadores que tentassem abrir as extensões recebiam uma mensagem de alerta a indicar da possibilidade de se tratar de conteúdo malicioso, mas uma grande maioria ignorava a mesma e ainda continuava com o processo. Agora essa medida vai ser totalmente bloqueada.

A nova atualização com este bloqueio de extensões deve começar a ser fornecida aos utilizadores entre finais de Abril e inícios de Maio, e deve chegar a todos os locais onde o OneNote se encontre, exceto a versão web, para Windows 10, Mac ou no Android e iOS.

Os administradores do sistema, caso pretendam, podem marcar algumas extensões para ainda serem permitidas – mas isto deve ser feito manualmente e tendo em conta que a permissão pode elevar o risco de ataques, sobretudo em sistemas partilhados ou usados por funcionários da organização.

31/03/2023
Hackers usam cliente VOIP do 3CX para ataques de malware

Uma versão maliciosa do cliente de desktop VOIP associado com a 3CX foi descoberto como estando a atacar várias empresas e indivíduos que fazem uso desta plataforma – a qual é considerada uma das maiores entidades VOIP no mercado, contando com nomes de clientes como a American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA, entre outras.

Segundo os investigadores da empresa de segurança CrowdStrike, os atacantes encontram-se focados na distribuição de versões maliciosas do cliente do programa da 3CX para Windows e macOS, afetando os utilizadores que estejam a tentar procurar o mesmo.

Segundo os investigadores, o malware foca-se em instalar diverso software de controlo dos sistemas das vítimas, que pode depois ser usado para ataques diretos ou roubo de informações sensíveis. Tendo em conta os clientes que estão associados com a 3CX, existe o potencial de serem dados em elevada escala.

O ataque começa por descarregar versões legitimas do instalador do cliente da 3CX para o sistema, sendo que as vítimas podem considerar nem estar a usar um instalador malicioso. No entanto, em segundo plano, este também instala versões de ficheiros modificadas, que iniciam uma segunda fase do ataque, e onde existe o potencial de controlo do sistema das vítimas.

Apesar de o instalador do programa não ser malicioso, e ser descarregado diretamente do site da entidade, os restantes conteúdos são, e procedem com as atividades maliciosas no sistema em segundo plano.

Em base, os utilizadores podem pensar estar a usar um instalador legítimo do programa, quando, na verdade, se encontram a usar uma variante maliciosa, que acaba por instalar o programa e outros ficheiros que vão infetar o sistema.

O malware possui a capacidade de recolher informação sensível dos sistemas das vítimas, incluindo os detalhes do navegador, como cookies, que podem ser usados para replicar o acesso de outros sistemas.

Apesar de se desconhecer exatamente quando o ataque terá começado, alguns clientes da 3CX nos fóruns de suporte da empresa indicam que começaram a receber mensagens de notificação dos seus clientes de segurança faz cerca de uma semana – sobre acessos a sites potencialmente maliciosos em nome da 3CX.

Tendo em conta a lista de clientes que recorrem ao cliente VOIP, existe o potencial de que informação sensível de clientes possa ser comprometida no processo.

30/03/2023
Microsoft Defender encontra-se a marcar conteúdos legítimos como malware

Não é invulgar que possam acontecer falsos positivos com qualquer software de antivírus, mas parece que o Microsoft Defender é particularmente sensível a esses casos.

Recentemente foi confirmado que o programa de segurança da Microsoft voltou a classificar alguns ficheiros e sites como sendo maliciosos, quando seriam na verdade totalmente legítimos. A falha foi confirmada pela empresa, que indica encontrar-se a investigar um problema com o Microsoft Defender, onde determinados conteúdos estão a ser considerados como malware na base de dados mais recente.

A empresa não clarifica exatamente quais os ficheiros e sites que estão a ser classificados como maliciosos, mas no Reddit vários utilizadores confirmam que estão a verificar os alertas e bloqueios sobre conteúdos variados – sem um padrão específico para tal.

A falha encontra-se a ser monitorizada com o código DZ534539 no portal de atualizações da empresa, e apesar de ter sido confirmada pela Microsoft, não existem detalhes sobre quando irá ser resolvida.

29/03/2023
Google revela campanhas de spyware a explorarem falhas no Android e iOS

Os investigadores da divisão de segurança da Google revelaram ter descoberto um conjunto de novas vulnerabilidades, que afetam o Android, iOS e Chrome, que podem ser exploradas para instalação de spyware nos dispositivos.

Os investigadores da Threat Analysis Group (TAG) revelaram recentemente uma nova falha zero-day, que afeta os sistemas Android e iOS, bem como o navegador Chrome, e que pode ser usada para a instalação de spyware nos dispositivos associados. As falhas foram classificadas como zero-day, tendo em conta que se acredita encontrarem a ser usadas para ataques em larga escala.

Os investigadores indicam que começaram a verificar indícios da falha estar a ser explorada desde Novembro de 2022, mas esta poderia encontrar-se faz bastante mais tempo antes disso. O esquema começa quando as vítimas recebem links do bit.ly, encurtados, e que redirecionam as mesmas para sites cuidadosamente criados para explorar as falhas. Ao acederem, os utilizadores poderiam encontrar-se a instalar malware nos seus dispositivos sem saberem.

A propagação do ataque começa sobretudo por mensagens SMS, enviadas para as potenciais vítimas. O método de ataque varia conforme o dispositivo, sendo que em equipamentos da Apple é instalada uma aplicação maliciosa via ficheiros IPA, que se oculta no sistema.

Os investigadores da Google revelam ainda ter descoberto uma segunda campanha, focada desta vez para o navegador Samsung Internet, que terá começado a surgir em massa desde Dezembro de 2022. A mesma foca-se em vítimas que estejam sobre dispositivos Android e, mais concretamente, em dispositivos da Samsung onde o navegador padrão da mesma esteja a ser usado.

Apesar de serem consideradas campanhas diferentes entre si, estas focavam-se sobretudo em atacar dispositivos de personalidades reconhecidas, que seriam depois usados para espionagem. As campanhas eram distribuídas por várias redes em mais de 1000 domínios diferentes, as quais também continham muitas das páginas web que eram usadas para o ataque.

29/03/2023
Existe uma nova ameaça para utilizadores do macOS

Os utilizadores de sistemas macOS talvez queiram ter atenção aos conteúdos que descarregam, sobretudo de fontes desconhecidas, tendo em conta uma nova campanha de malware que parece encontrar-se ativa contra os mesmos.

Recentemente foi descoberto um novo malware, apelidado “MacStealer” que como o nome indica, foca-se em roubar dados dos sistemas da Apple. Esta nova variante de malware foca-se em roubar dados de autenticação da iCloud Keychain, navegadores, carteiras de criptomoedas e de outras áreas sensíveis no sistema.

O malware encontra-se a ser vendido em plataformas da dark web, onde os seus criadores desenvolvem versões adaptadas do mesmo para os seus clientes, e podem vender os mesmos com preços em torno de 100 dólares.

Segundo os investigadores da empresa de segurança Uptycs, o malware encontra-se desenhado para correr desde o macOS Catalina até ao mais recente macOS Ventura. O mesmo encontra-se a ser promovido em várias plataformas da dark web, tendo começado a sua no início deste mês.

O vendedor deste malware aponta que o mesmo ainda se encontra na sua fase inicial de desenvolvimento, portanto é possível que este ainda venha a amadurecer nas futuras versões. No entanto, a versão que se encontra atualmente disponível certamente que possui a capacidade de criar danos para os utilizadores – e eventualmente pode ser usada para campanhas de roubo de dados sensíveis.

O preço relativamente baixo do malware para venda encontra-se associado com a falta de um “construtor” personalizado para o malware, e de um painel onde os atacantes possam controlar as infeções do mesmo.

Uma vez instalado nos sistemas, este malware foca-se em roubar os mais variados conteúdos, entre os quais conteúdos de navegadores como o Brave, Firefox e Safari, bem com diversos ficheiros de extensões conhecidas. O mesmo também é capaz de roubar os dados que se encontrem an Keychain dos utilizadores, e de enviar esses dados para sistemas remotos em controlo dos atacantes.

A melhor forma de prevenção para os utilizadores continua a ser de terem atenção aos locais de onde descarregam as suas aplicações, evitando fontes que sejam desconhecidas ou pouco confiáveis.

27/03/2023
Pens USB estão a ser armadilhadas contra jornalistas

De tempos a tempos surgem formas engenhosas de atacantes poderem infetar sistemas das mais variadas empresas, e uma das que parece ter vindo a afetar algumas instituições de notícias nos últimos tempos encontra-se a nível de pens USB.

Existem vários relatos de jornalistas que, nas últimas semanas, se encontram a ser alvos de um novo ataque, em que os mesmos recebem algum género de pen USB com supostas informações importantes ou outros detalhes que possam ser de relevo para o que os jornalistas trabalhem.

No entanto, estes dispositivos são na realidade a origem do ataque. E não será apenas um ataque a nível de software.

Estes dispositivos encontram-se, na verdade, armadilhados como uma pequena “bomba”, e quando se ligam via USB, apresentam, o sério risco de simplesmente explodirem. Algumas entidades jornalísticas no Equador encontram-se a ser alvo deste género de ataques, onde já ocorreram ferimentos sérios e danos materiais no processo.

Este género de ataque e prática é consideravelmente grave, não apenas pelos danos que pode causar, mas pelos riscos envolvidos de quem se encontre perto do dispositivo no momento em que este é ligado.

Este género de ataques via pens USB não são recentes, mas até agora focavam-se sobretudo em distribuir malware. Passar para ataques físicos pode ter consequências mais graves ou, eventualmente, fatais para quem se encontre próximo dos dispositivos.

Como sempre, a recomendação será sempre a de se evitar ligar pens desconhecidas nos dispositivos, nem mesmo com a ideia de que o sistema se encontra isolado e seguro contra ataques de malware – já que o perigo pode nem estar no software em si.

26/03/2023
Sons inaudíveis podem ser usados para ataques a assistentes de voz

A maioria dos ataques são realizados de forma direta aos dispositivos, seja por via de malware, acesso direto ou outros similares. No entanto, existe uma forma de ataque que pode ser igualmente prejudicial e é praticamente invisível – ou neste caso, inaudível.

Um grupo de investigadores desenvolveram o que ficou conhecido como “Near-Ultrasound Inaudible Trojan” (NUIT). Basicamente, trata-se de um trojan que pode lançar ataques silenciosos através de ondas de som. Este sistema tira proveito dos sistemas de assistentes pessoais e comandos por voz para realizar possíveis ataques aos utilizadores.

Um grupo de investigadores da Universidade do Texas e do Colorado demonstraram como é possível usar ondas de som inaudíveis para os utilizadores, mas que podem realizar ações em assistentes como a Siri, Google Assistente e Alexa.

Com este, é possível enviar comandos de voz através de ondas sonoras que os utilizadores não podem ouvir, abrindo a possibilidade para ataques e roubos de dados.

O principio do NUIT consiste no facto que os microfones presentes em dispositivos da Internet das Coisas, dispositivos inteligentes e smartphones são capazes de capturar sons que o ouvido humano simplesmente não consegue.

Este género de ataques pode ser implementado de forma relativamente simples. Bastaria um site contendo musica de fundo, onde o utilizador, ao abrir o mesmo, poderia ativar comandos para os assistentes próximos.

Isto será ainda mais grave para dispositivos que estejam interligados para realizar ações mais complexas. Como exemplo, sistemas de assistente que tenham controlo sobre aspetos da casa, onde comandos de som inaudível podem ser enviados para abrir uma porta ou janela, por exemplo.

Isto abre o potencial de riscos para os utilizadores, que podem ser alvo de ataques ou terem os seus dispositivos alvo de abusos para os mais variados fins. Existem duas formas sob como o ataque pode ser realizado.

A primeira será usando uma aplicação maliciosa, que de forma silenciosa pode ficar a emitir comandos de som inaudíveis para o dispositivos em segundo plano. Este som pode ser reproduzido diretamente pelo altifalante do dispositivo, e o mesmo reconhece também o som como um comando de voz.

O segundo modo de ataque será usando dispositivos externos, como colunas inteligentes, para enviar os comandos diretamente para outros dispositivos. Este método envolve usar um segundo dispositivo a emitir os sons, invés de ser de origem no próprio dispositivo.

Os investigadores demonstraram o funcionamento deste género de ataques através de comandos que são vulgarmente usados pelos assistentes para controlo do lar e similares. No entanto os mesmos podem também ser usados para roubos de dados dos dispositivos – por exemplo, pode-se enviar um comando para que o assistente abra um determinado site malicioso ou envie conteúdos sensíveis para um contacto especifico.

Os investigadores afirmam que, de 17 dispositivos testados, todos estariam vulneráveis a este género de ataques. O único que ainda demonstrou alguns esforços para conter o mesmo terá sido a Siri, que em alguns modelos possui uma assinatura de voz do utilizador, e requer que os atacantes consigam emular a voz dos utilizadores dos dispositivos para realizarem as tarefas.

Os detalhes deste estudo serão apresentados durante o evento USENIX Security Symposium, previsto para os dias 9 e 11 de Agosto de 2023 nos EUA.

25/03/2023
Counter-Strike 2 chega à Internet em leak

No início desta semana, a Valve revelou um dos títulos mais aguardados de todos os tempos, com a chegada de Counter-Strike 2. Na altura, a empresa revelou também que iria começar a fase de testes com alguns utilizadores selecionados, antecipando a chegada para todos durante o Verão de 2023.

No entanto, não demorou muito tempo para que a build de testes da Valve tenha sido revelada para o público pela internet, deixando a qualquer um a possibilidade de testar o jogo – embora com limitações.

A build que se encontra disponível agora pela internet de Counter-Strike 2 permite que os utilizadores tenham partidas offline, uma vez que para os eventos online ainda é necessário que os utilizadores façam parte do grupo de testes da Valve.

No entanto, mesmo com o formato offline, este permite que os interessados possam ver como o jogo se desenvolve e quais as novidades. No entanto, é importante relembrar que esta build não será oficial da Valve, e como tal o TugaTech não recomenda que seja usada, uma vez que pode ter sido maliciosamente alterada para conter malware diverso.

Segundo a Valve, Counter-Strike 2 conta com um conjunto de melhorias, que a empresa implementou depois de ouvir o feedback dos jogadores. Além das melhorias do jogo, encontram-se ainda melhorias gráficas, adaptadas com novas texturas e o novo motor gráfico Source 2.

Os jogadores de Counter-Strike: Global Offensive poderão migrar as contas para a nova plataforma quando o jogo completo ficar disponível.

24/03/2023
Kaspersky lança ferramenta para descodificar Conti ransomware

No final de Fevereiro de 2023, os especialistas da Kaspersky descobriram uma nova série de dados divulgados publicados em fóruns. Após analisar os dados, que continham 258 chaves privadas, código fonte e alguns descodificadores pré-compilados, a Kaspersky lançou uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware.

O Conti apareceu em finais de 2019 e esteve muito ativo ao longo de 2020, representando mais de 13% de todas as vítimas de ransomware durante este período. Contudo, há um ano, uma vez que o código fonte foi divulgado, várias modificações do Conti ransomware foram criados por vários grupos de cibercriminosos e utilizados nos seus ataques.

A variante malware, cujas chaves foram divulgadas, tinha sido descoberta por especialistas da Kaspersky em Dezembro de 2022. Esta variante foi utilizada em múltiplos ataques contra empresas e instituições estatais.

As chaves privadas divulgadas estão localizadas em 257 pastas (apenas uma destas pastas contém duas chaves). Algumas delas contêm descodificadores previamente gerados e vários ficheiros comuns: documentos, fotos, etc. Presumivelmente, estes últimos são ficheiros de teste – alguns ficheiros que a vítima envia aos scammers para se certificar de que os ficheiros podem ser decifrados.

Trinta e quatro destas pastas denominaram explicitamente empresas e agências governamentais. Assumindo que uma pasta corresponde a uma vítima, e que os descodificadores foram gerados para as vítimas que pagaram o resgate, pode sugerir-se que 14 das 257 vítimas pagaram o resgate.

Após análise dos dados, os especialistas lançaram uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware. O código de descodificação e todas as 258 chaves foram adicionados à última construção do utilizador RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, a ferramenta de descodificação foi adicionada ao site “No Ransom” da Kaspersky (https://noransom.kaspersky.com).

“Durante muitos anos consecutivos, o ransomware tem permanecido uma ferramenta importante utilizada pelos cibercrooks. No entanto, porque estudámos os TTPs de vários grupos de ransomware e descobrimos que muitos deles operam de forma semelhante, a prevenção de ataques torna-se mais fácil. A ferramenta de descodificação contra esta nova modificação já está disponível na nossa página web “No Ransom”. Contudo, gostaríamos de salientar que a melhor estratégia é reforçar as defesas e deter os atacantes nas fases iniciais da sua intrusão, impedindo a implementação de resgates e minimizando as consequências do ataque”, diz Fedor Sinitsyn, principal analista de malware na Kaspersky.

23/03/2023
Google bloqueia app de gigante de compras online na China por malware

No início desta semana, a Google confirmou ter marcado como malware um conjunto de aplicações de uma gigante de compras online na China, que nas últimas semanas tinha vindo a ganhar bastante destaque no mercado.

Em causa encontra-se a app da plataforma de compras na China “Pinduoduo”, que a Google acredita possuírem malware na sua versão para Android, focado em monitorizar as atividades dos utilizadores.

Apesar de esta plataforma ter ganho popularidade nos últimos meses, estando atualmente com 800 milhões de utilizadores ativos, a mesma estaria também a disponibilizar uma aplicação para Android, que permitia facilitar a compra de conteúdos pela mesma.

A Google confirmou que implementou o bloqueio das apps da plataforma via a Google Play Protect. Os utilizadores que tentem instalar a app da plataforma num dispositivo com Android deve agora receber a notificação de que a app se trata de malware.

A aplicação da plataforma que se encontrava disponível via a Play Store também foi suspensa, face aos bloqueios aplicados.

De notar que, nas últimas semanas, várias fontes indicavam o perigo de usar a aplicação da plataforma de compras online, alertando que estas apps continham código que era focado em monitorizar as atividades dos utilizadores dentro dos dispositivos – e que iria além de simplesmente analisar os dados dentro da app.

O malware teria a capacidade de analisar todas as atividades feitas pelos utilizadores dentro do seus dispositivos, como é o caso dos contactos e dos sites acedidos. Segundo o portal TechCrunch, um investigador de segurança terá ainda alertado que o malware possuí outras falhas que, se exploradas, podem levar a graves ataques contra os utilizadores que tenham a app instalada nos seus dispositivos.

A Pinduoduo, até ao momento, não deixou qualquer comentário relativamente a este caso.

21/03/2023
Autoridade Tributária alerta para novos esquemas de phishing

A Autoridade Tributária encontra-se a alertar para um novo esquema, que se encontra a usar o nome da entidade para enganar os utilizadores, e que é propagado maioritariamente via email.

O esquema começa quando as vítimas recebem uma mensagem de email, alegadamente enviada pela AT, com um link onde devem aceder para enviarem as suas declarações de rendimentos ou outras informações. No final, os utilizadores são reencaminhados para sites malicioso, que pedem informações pessoais das vítimas ou levam as mesmas a descarregar conteúdos de malware para os seus sistemas.

Um dos sites identificado pelo TugaTech afirma que as vítimas possuem direito a um reembolso do estado, e que necessitam de introduzir os seus dados de cartão de crédito para obterem o mesmo – que, como será esperado, ficam comprometidos se as vítimas realmente o colocarem.

A AT alerta que estes géneros de mensagens são falsas, e não foram enviadas pela entidade. Todas as comunicações da AT são feitas via os canais tradicionais de contacto, e nunca em links desconhecidos pela internet ou através de mensagens de email.

A principal linha de defesa parte também dos utilizadores, que devem ter cuidado sobre todos os links que acedem a partir de emails desconhecidos. Em caso de dúvida, o melhor será ir diretamente à fonte da informação, neste caso ao site da Autoridade Tributária para obter mais detalhes sobre possíveis avisos que tenha.

21/03/2023
Tenha cuidado com a publicidade: novo malware distribui-se em campanhas do Google

A publicidade é necessária para muitas plataformas terem os seus ganhos e poderem continuar a fornecer os conteúdos que necessitam. No entanto, os utilizadores que não tenham cuidado, podem também ser alvo de ataques através deste método.

E para quem use plataformas como o Google, recentemente têm surgido alguns casos onde a publicidade do motor de pesquisa tem sido usada para distribuir malware. E parece que estas campanhas ainda continuam bastante ativas.

De forma recente, a empresa de segurança Check Point confirmou que uma nova variante do malware dotRunpeX encontra-se a ser distribuída por publicidade maliciosa, a grande maioria em grandes plataformas como a pesquisa da Google.

De acordo com a empresa de segurança, o dotRunpeX trata-se de um malware criado em .NET, e focado para sistemas Windows, que possui como principal tarefa descarregar outros malwares para o sistema. Basicamente, será a porta de entrada usada para que outro malware se instale nos sistemas, e muitas vezes distribuído em primeiro lugar para abrir as portas a ataques.

O dotRunpeX é distribuído, sobretudo, a partir de instaladores de programas. Estes são modificados para integrarem o conteúdo malicioso, e distribuídos sobre campanhas de publicidade como se fossem versões legitimas do software.

O malware encontra-se em desenvolvimento ativo, sendo constantemente adaptado para melhorar as tarefas a que se promete realizar, e com o objetivo final de infetar o máximo de sistemas possíveis.

Como sempre, a primeira linha de defesa contra este género de ataques passa por os utilizadores terem especial cuidado sobre os links que carregam, sobretudo de fontes como o Google, que possui os links de publicidade a surgir diretamente no topo dos resultados.

20/03/2023
Malware Emotet altera técnicas para infetar ainda mais utilizadores

Depois de um período de “silêncio”, o malware conhecido como Emotet parece estar a voltar à atividade. E desta vez, o mesmo encontra-se a usar novas técnicas para levar à infeção de ainda mais sistemas.

De acordo com os investigadores, o malware Emotet encontra-se agora a usar o OneNote para se distribuir, explorando uma falha do mesmo para executar os conteúdos maliciosos nos sistemas das vítimas.

Esta nova forma de ataque do malware pretende ser uma alternativa para contornar algumas das restrições aplicadas na execução de macros, um dos meios pelo qual o malware se distribuía de forma regular.

Com a Microsoft a apertar as restrições na execução deste género de conteúdos, o malware agora adaptou-se para explorar outra ferramenta da empresa, seguindo também a tendência que outros malwares no mercado foram realizando. Usando o OneNote, ferramenta que se encontra em vários sistemas Windows, o malware agora pode contornar algumas das restrições e levar mais sistemas a serem infetados.

Na maioria dos casos, os utilizadores recebem um ficheiro do OneNote via email, que indica encontrar-se protegido, e que para o desbloqueio é necessário carregar sobre um botão do ficheiro – onde se iniciar o processo de ataque.

Para dificultar a identificação por parte de software de segurança, este malware distribui-se sobretudo em ficheiros de tamanho anormalmente elevado – com mais de 500 MB – e pode realizar várias atividades maliciosas nos sistemas se executado.

Como sempre, a melhor proteção parte dos próprios utilizadores, que devem ter cuidado com os ficheiros que descarregam e abrem da Internet, sobretudo de fontes desconhecidas ou quando são recebidos via email.

20/03/2023
Nova botnet é capaz de lançar ataques DDoS de 3.3 Tbps

Existe uma nova botnet que se encontra a ser largamente usada para realizar ataques DDoS, e com potencial de causar graves problemas para quem tenha dispositivos vulneráveis.

Apelida de “HinataBot”, esta nova rede botnet foi descoberta pelos investigadores da Akamai, e foca-se para aproveitar falhas na SDK da Realtek, em routers da Huawei e servidores Hadoop YARN. A mesma foca-se nestes alvos, explorando falhas nos mesmos e aproveitando os dispositivos a que se encontram associados para realizar ataques DDoS massivos.

De acordo com os investigadores, a rede encontra-se atualmente em expansão, sendo que as primeiras atividades começaram a ser identificadas em janeiro de 2023. Desde então, o volume de ataques e de alvos para a mesma tem vindo a aumentar, e atualmente, a rede encontra-se capaz de lançar fortes ataques DDoS contra os alvos.

Depois de o malware se instalar nos dispositivos vulneráveis, este permanece silencioso, a aguardar comandos dos servidores de controlo da rede. Quando recebidos, estes iniciam o ataque contra alvos específicos, que sejam ditados pelos atacantes.

Os investigadores estimam que, com o uso total da rede atualmente existente, os atacantes sejam capazes de lançar ataques DDoS na escala dos 3.3 Tbps – e que este valor pode vir a aumentar consideravelmente ao ritmo que a rede também tem vindo a aumentar.

De notar que os investigadores apontam o facto que o HinataBot ainda se encontra em forte desenvolvimento, e como tal, as suas capacidades de infetar mais dispositivos podem vir a evoluir consideravelmente no futuro. Isto pode aumentar ainda mais as capacidades de ataque desta rede.

19/03/2023
Novo malware para Android foca-se em roubar dados de cartões de crédito

Existe uma nova variante do malware FakeCalls para Android, que se encontra a propagar pela Internet, com o objetivo de roubar dados de cartões de crédito diretamente dos dispositivos das vítimas.

Este malware para Android não é particularmente novo, sendo que começou a surgir faz pouco mais de um ano. Mas recentemente foi atualizado para integrar um conjunto de medidas de segurança, focadas em evitar a deteção e tornar ainda mais difícil a tarefa de remover o malware do sistema.

De acordo com os investigadores da empresa de segurança Check Point, as novas variantes do malware são focadas em evitar a deteção, atuando como apps regulares no sistema, e realizando chamadas diretamente para as principais instituições financeiras, imitando os utilizadores finais, com o objetivo de roubar o máximo de dados possíveis.

A primeira fase do ataque acontece quando as vítimas instalam o malware no sistema dos seus dispositivos, o que pode acontecer por vários meios. Feito isto, o malware imita as aplicações dos bancos oficiais, e engana os utilizadores com o objetivo de levar os mesmos a ficarem interessados num empréstimo. Caso os utilizadores demonstrem interesse, os atacantes ligam para o mesmo no sentido de levar ao roubo dos dados de cartões de crédito.

O malware é ainda capaz de ocultar o número da ligação, fazendo-se passar por um número oficial da entidade bancária da vítima. Este ataque encontra-se a afetar, sobretudo, utilizadores que se encontram na Coreia do Sul, mas pode ser rapidamente adaptado para qualquer outro país.

Ao mesmo tempo, o malware pode ainda capturar conteúdos em tempo real do ecrã, tanto a nível de vídeo como áudio, de forma a obter ainda mais detalhes sobre as vítimas e as suas atividades, ou até a roubar diretamente os dados de pagamento.

A nova variante deste malware encontra-se ainda melhor a esconder as suas atividades, com uma grande parte do seu código fonte ofuscada, e infiltra-se ainda mais dentro do sistema operativo, para ser consideravelmente mais difícil de a remover.

De momento esta variante do malware parece focada para os utilizadores da Coreia do Sul, mas é importante ter em consideração que o mesmo pode ser rapidamente adaptado para qualquer outro país, portanto os utilizadores devem ter extremo cuidado ao descarregarem aplicações de fontes não conhecidas.

17/03/2023
Plataforma de assinatura de documentos da Adobe usada para distribuir malware

O Adobe Acrobat Sign é uma funcionalidade útil para os utilizadores que pretendam assinar documentos digitais, facilitando a tarefa. No entanto, esta ferramenta tem vindo, recentemente, a ser usada também como forma de distribuição de malware.

Foi recentemente descoberto que a aplicação da Adobe encontra-se a ser usada para vários esquemas de malware, nomeadamente para campanhas de propagação de malware focado em roubar dados de login e dados pessoais das vítimas.

De acordo com os investigadores da Avast, responsáveis pela descoberta da campanha, a mesma pode contornar algumas medidas de proteção que os utilizadores tenham implementado nos seus sistemas.

O Adobe Acrobat Sign, na sua base, trata-se de uma plataforma de teste que permite aos utilizadores assinarem documentos virtuais, como PDFs, bem como enviarem e autenticarem os mesmos para terceiros.

Nesta campanha, os criminosos tiram proveito do serviço para enviarem os conteúdos maliciosos a possíveis vítimas, nomeadamente ficheiros DOC e HTML, que se encontram armazenados diretamente nos servidores da Adobe. Uma vez que os documentos são assinados na plataforma da Adobe, os mesmos parecem ter origem nos sistemas da empresa – embora tenham sido criados pelos criminosos para enganar as vítimas.

Estando sob o nome da Adobe, alguns utilizadores podem considerar os conteúdos seguros, acabando por aceder aos mesmos e, no processo, podem acabar por instalar malware nos seus sistemas.

Esta campanha foca-se, sobretudo, para criadores de conteúdos online, onde são enviados documentos que alegam ser conteúdos de violação de direitos de autor ou similares, onde os utilizadores necessitam de aceder à plataforma da Adobe para verem os mesmos. Tendo em conta que os conteúdos estão diretamente nos servidores da Adobe, existe quem possa considerar os mesmos como seguros.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção a qualquer conteúdo que recebam de terceiros, e devem, sempre que possível, tentar validar a autenticidade dos mesmos.

16/03/2023
Aplicações falsas do WhatsApp e Telegram roubam fundos de criptomoedas

A ESET descobriu websites falsos de Telegram e WhatsApp que visam sobretudo utilizadores de Android e Windows com versões falsas daquelas apps de mensagens instantâneas.

A maioria das apps maliciosas detetadas são clippers – malware que verifica constantemente dados copiados pelo utilizador, neste caso, para roubar fundos de criptomoeda. Algumas destas apps usam inclusive reconhecimento ótico de carateres para reconhecer texto em imagens armazenadas nos dispositivos atacados – uma estreia absoluta em malware Android.

Os operadores destas aplicações fraudulentas visam principalmente utilizadores de língua chinesa e não é por acaso: tanto o Telegram como o WhatsApp estão bloqueados na China há vários anos. Para obter estas aplicações, os utilizadores têm de recorrer a canais não oficiais, ficando mais expostos a ciberameaças.

A campanha foi iniciada através de Google Ads que conduziam para canais de YouTube fraudulentos. Por sua vez, esses canais de YouTube encaminhavam os utilizadores para os websites falsos de Telegram e WhatsApp. A ESET reportou de imediato os anúncios fraudulentos e canais de YouTube relacionados à Google, que os encerrou prontamente.

Funcionalidades das apps falsas

A função de reconhecimento de texto em imagens armazenadas nos dispositivos das vítimas (também conhecido por “optical character recognition” – OCR) está implementada nestas aplicações falsas de WhatsApp e Telegram para procurar e encontrar uma frase seed – um código mnemónico constituído por séries de palavras usadas para recuperar carteiras de criptomoeda. Ao obterem essa frase seed, os agentes maliciosos podem facilmente roubar a criptomoeda diretamente da carteira associada.

“O principal objetivo dos clippers que descobrimos é intercetar as comunicações de mensagens da vítima e substituir quaisquer endereços de carteiras de criptomoeda enviadas e recebidas por endereços pertencentes aos cibercriminosos. Para além das apps WhatsApp e Telegram Android falsas, também encontrámos versões Windows falsas das mesmas aplicações”, comentou a propósito o investigador da ESET Lukáš Štefanko.

16/03/2023
Falsa extensão para Chrome do ChatGPT rouba dados de login do Facebook

Com o aumento da popularidade do ChatGPT, existe também quem tente tirar proveito disso para os mais variados esquemas. E um dos mais recentes encontra-se agora a surgir em publicidade pelas redes sociais, propagando-se como uma extensão para o Chrome.

Investigadores da Guardio Labs revelaram ter descoberto uma nova extensão para Google Chrome, que se faz passar como uma oficial da OpenAI, permitindo o rápido acesso às funcionalidades do ChatGPT. No entanto, o verdadeiro objetivo da mesma passa por roubar dados de login do navegador – nomeadamente de plataformas sociais como o Facebook – usando essa informação para propagar malware e os esquemas a mais vítimas.

Além de recolher dados de login dos sites guardados no Chrome, a extensão tenta também obter acesso a contas profissionais do Facebook, usando as campanhas de publicidade nas mesmas para propagar o malware a ainda mais vítimas.

A extensão encontra-se sobre o nome de “Quick access to Chat GPT”, e antes de ter sido removida da loja de extensões da Google, possuía mais de 2000 instalações por dia. Durante o período em que esteve acessível, a extensão poderá ter sido usada para roubar os dados de milhares de utilizadores.

Na sua base, a extensão prometia o rápido acesso aos conteúdos do ChatGPT. Mas em segundo plano, além do roubo de dados, a extensão tentava ainda manter a ligação permanente com os perfis do Facebook das vítimas, através da instalação nos mesmos de duas apps criadas para controlo das publicações e das contas.

Apesar de esta extensão ter sido, entretanto, removida da loja da Google, é importante relembrar que muitas mais podem vir a surgir. O ChatGPT tem vindo a ser um tema de relevo pela internet, portanto os criminosos certamente que tentam tirar proveito dessa popularidade para enganar os utilizadores mais desatentos.

Recentemente também foram descobertas falsas aplicações do ChatGPT na Google Play Store, que prometem o acesso aos serviços da OpenAI, embora apenas tenham como objetivo o roubo de dados pessoais e sensíveis.

De notar que o ChatGPT não possui nenhuma aplicação ou extensão oficial, e apenas se encontra disponível no site oficial da OpenAI.

13/03/2023
Quad9 obrigada a bloquear site de pirataria no seu DNS público

Apesar de surgir despercebido pela internet, todos os sites que se acedem no dia a dia pela internet necessitam de algo para funcionarem corretamente: o DNS.

Isto é o que permite converter domínios como “tugatech.com.pt” no IP do servidor onde se encontra, e que permite carregar os conteúdos corretos no navegador. Apesar de as operadoras fornecerem estes servidores em qualquer oferta de acesso à Internet, existem alternativas publicas, como é o caso do Quad9.

Em 2021, a Sony Music decidiu avançar com um caso curioso contra a entidade associada aos sistemas de DNS públicos da Quad9, requerendo que a entidade bloqueie o acesso a um site de conteúdos piratas na internet – um site conhecido por distribuir conteúdos de música protegida por direitos de autor.

No entanto, a Quad9 defendeu-se desta medida, alegando que esta pode ditar uma nova forma de controlo da pirataria e de censura na internet, contra serviços que não estão diretamente associados com os conteúdos que se encontram em violação.

Apesar de a Quad9 ter apelado da decisão junto dos tribunais, a entidade agora perdeu esse caso, sendo forçada a bloquear o domínio que a Sony Music pretenderia. O tribunal da região de Leipzig, na Alemanha, depois de ouvir ambas as partes, voltou a dar razão ao caso da Sony, indicando que a Quad9 deve bloquear o site que se encontra visado, ou poderá enfrentar duras multas junto das autoridades.

De acordo com o tribunal, a Quad9 facilita o acesso aos conteúdos em violação dos direitos de autor, ao fornecer um serviço que contorna bloqueios que sejam aplicados de forma regional, e também que permitem aos utilizadores finais na internet acederem ao site que se encontra a distribuir os mesmos – apesar de a empresa não alojar diretamente qualquer conteúdo.

O juiz responsável pelo caso afirma mesmo que a Quad9 deveria ter tomado medidas quando a Sony Music contactou inicialmente para resolver a situação – mas tendo recusado tal ação, isto coloca a plataforma responsável.

Ao mesmo tempo, a Quad9 afirmou que o bloqueio do site pode ter impactos significativos no funcionamento da plataforma e no seu desempenho, afetando todos os utilizadores que se encontram no mesmo. No entanto, o tribunal considerou que tal não seria válido, uma vez que a plataforma já fornece sistemas de bloqueio para domínios conhecidos por distribuir malware – e que é uma das principais funcionalidades que a entidade fornece no seu DNS público.

Por sua vez, a Quad9 demonstra-se desapontada com esta decisão, afirmando que a mesma abre o precedente para a possibilidade de outras plataformas de DNS públicos começarem a ser usados em casos em tribunal para o bloqueio de conteúdos na internet – e que isso pode levar a uma nova vaga de censura e de bloqueios de conteúdos piratas.

Apesar desta decisão, a Quad9 encontra-se determinada em continuar a batalha legal, sendo que irá avançar com o apelo do mesmo no tribunal de Dresden. Esta medida será realizada com a ajuda da entidade German Society for Freedom Rights (GFF).

Para já, a Quad9 afirma que irá seguir a ordem do tribunal, e bloquear o site em questão. No entanto, se tal medida terá efeitos práticas ainda será algo desconhecido, tendo em conta que o site que distribuía os conteúdos agora encontra-se sobre um novo domínio completamente diferente – e não associado a este caso de bloqueio.

13/03/2023
Ferramentas de IA usadas para criar vídeos convincentes de esquemas no YouTube

A Inteligência Artificial tem vindo a ser cada vez mais usada para os variados fins, mas nem todos podem ser considerados os mais legítimos. E uma tendência que parece estar a ganhar força passa pela criação de falsos vídeos, que podem levar as vítimas a descarregarem conteúdos maliciosos nos seus sistemas.

De acordo com a empresa de segurança CloudSek, uma nova tendência que tem vindo a ganhar terreno no meio social passa pelo uso de IA para a criação de vídeos, normalmente de guias ou ajudas, com foco a levar os utilizadores a acederem a conteúdos maliciosos.

Usando ferramentas que se encontram disponíveis na internet de IA, os criminosos criam vídeos bastante convincentes para os mais variados guias e ajudas, que são partilhados em plataformas como o YouTube, Facebook e Twitter, e que levam as vitimas a acederem a sites de terceiros com a promessa de descarregarem esses conteúdos.

Um dos conjuntos de vídeos mais encontrados dentro desta tendência alegam ajudar os utilizadores a descarregarem programas pagos como o Adobe Photoshop, Premiere Pro, Autodesk 3ds Max, AutoCAD, entre outros.

Os vídeos possuem muitas vezes conteúdos aparentemente profissionais, e a qualidade pode enganar os utilizadores mais desatentos, que podem ser direcionados para sites externos onde, alegadamente, teriam acesso aos conteúdos.

No entanto, neste processo, encontram-se a descarregar potencial malware para os seus sistemas, entre o roubo de senhas e dados pessoais, à capacidade de instalar mais malware no sistema, como ransomware.

O YouTube, apesar de ter as suas regras contra este género de conteúdos, também é uma das plataformas onde mais se encontra vídeos neste formato. Em parte porque, apesar de os criminosos saberem que os vídeos serão eventualmente removidos, durante o período de tempo que se encontram acessíveis podem chegar a um grande conjunto de vitimas.

Os criminosos sabem que os vídeos são, eventualmente, removidos, mas quando isso acontece existe o potencial de já terem afetado vários utilizadores.

Ao mesmo tempo, conforme mais ferramentas de IA ficam disponíveis, também se torna consideravelmente mais simples de usar as mesmas para criar versões falsas de vídeos, que podem enganar até os utilizadores mais atentos, com conteúdos aparentemente legítimos ou de qualidade – e que podem ser replicados ou recriados numa questão de segundos para os mais variados esquemas.

Como sempre, a principal recomendação passa por os utilizadores terem conhecimento dos esquemas que existem, e terem cuidado no acesso a conteúdos que sejam desconhecidos, e sobretudo que prometam os mais variados fins que – por norma – não seriam possíveis de se obter (como é o caso de software premium disponível a custo zero, ou licenças de software a preços relativamente baixos).

13/03/2023
LinkedIn usado para falsas ofertas de emprego que levam a malware

Existem cada vez mais empresas que, infelizmente, se encontram a realizar despedimentos no mercado face à instabilidade financeira. Com isto, existe também um grande conjunto de interessados em procura de emprego nas mais variadas áreas.

O LinkedIn é, muitas vezes, um dos portais usados para procura de cargos. No entanto, é também por esta plataforma que se verificas um aumento do caso de falsas propostas de trabalho, usadas sobretudo para levar à instalação de malware nos sistemas de potenciais vítimas.

A empresa de segurança Mandiant revelou ter descoberto várias campanhas de malware, que se encontram a propagar por propostas de emprego no LinkedIn, e focadas em levar os utilizadores a instalarem malware nos seus sistemas.

Estas campanhas estão a ser criadas por um grupo conhecido com “UNC2970”, que se acredita ter origem na Coreia do Norte. As vítimas são aliciadas por propostas de emprego no LinkedIn, e quando tentam registar-se nas mesmas, podem ser direcionadas para plataformas onde devem descarregar conteúdos, que na sua maioria vão levar à instalação de malware nos seus sistemas.

Até ao momento, a Microsoft não deixou comentários sobre esta onda de campanhas a serem propagadas dentro do LinkedIn – tendo em conta que será a empresa mãe da plataforma.

13/03/2023
OneNote vai receber novas proteções contra ataques

Recentemente o OneNote da Microsoft tem vindo a ser usado para os mais variados ataques de malware. Esta pequena ferramenta da Microsoft encontra-se disponível numa vasta gama de sistemas Windows, e isto terá sido um dos motivos que levou os atacantes a começarem a explorar essa frente para enganar os utilizadores.

Cada vez mais campanhas de malware e phishing são voltadas para ficheiros do OneNote, enganando as potenciais vítimas e levando-as para sites maliciosos ou a descarregar conteúdos de malware para os seus sistemas. A pensar nisso, a Microsoft encontra-se agora a preparar algumas melhorias na proteção contra este género de ataques.

De acordo com a lista de alterações previstas para o Microsoft 365, o OneNote encontra-se a preparar para receber um conjunto de proteções contra phishing, que se espera de virem a ser integradas na versão final da app, para todos, no final de Abril.

Segundo a empresa, os utilizadores irão agora receber uma notificação quando abram ficheiros potencialmente maliciosos ou com conteúdo indesejado dentro do Windows. Isto aplica-se, sobretudo, a ficheiros descarregados de fontes desconhecidas com a extensão “.one”.

Espera-se que, no futuro, mais proteções venham a ser integradas na aplicação, o que poderá ajudar a reduzir o número de ataques tendo como origem estes documentos e esta aplicação.

Apesar de uma notificação nem sempre prevenir que conteúdos maliciosos ainda possam ser executados no sistema, será uma camada adicional de segurança que a aplicação vai receber. Ainda assim, os utilizadores devem ter especial cuidado com o download de ficheiros potencialmente desconhecidos ou que exijam tarefas irregulares no dia a dia – como a abertura de ficheiros pelo OneNote para aceder a algum conteúdo.

12/03/2023
Autoridades travam atividade e infraestrutura do malware Netwire

As autoridades têm estado cada vez mais atentas aos grupos dedicados de distribuição de malware, e durante o dia de hoje foi confirmada mais uma detenção neste campo.

O FBI, em conjunto com várias autoridades a nível mundial, confirmaram ter obtido o controlo da infraestrutura associada ao malware “Netwire”, tanto o domínio como os servidores usados pela mesma, e ainda a detenção de um dos principais responsáveis por este.

O Netwire trata-se de um trojan que é promovido como um software legitimo de acesso remoto aos sistemas. Quando instalado num sistema, no entanto, pode permitir aos atacantes acederem remotamente aos conteúdos e roubarem informação sensível das potenciais vítimas.

A ferramenta encontrava-se em atividade desde 2014, e ultimamente tinha vindo a ganhar bastante destaque com o aumento das atividades maliciosas.

As autoridades afirmam que, no passado dia 3 de Março, levaram a cabo a operação para tomarem controlo sobre a infraestrutura usada por este trojan, bem como a detenção de um dos principais responsáveis pela mesma. O website onde a ferramenta se encontrava a ser partilhada agora apresenta uma mensagem de ter sido apreendido pelas autoridades.

O suspeito terá sido detido na Croácia, onde se encontraria na altura do crime.

Com o encerramento da infraestrutura, as vítimas deste malware deixam também de ser afetadas diretamente pelo mesmo, uma vez que este se encontra agora em controlo das autoridades.

10/03/2023
Ransomware IceFire agora pode afetar sistemas Linux

Os responsáveis pelas operações do ransomware IceFire agora possuem novos alvos na mira. Foram recentemente descobertas variantes deste ransomware que começaram a ser adaptadas para sistemas Linux – anteriormente o ransomware era focado apenas para sistemas Windows.

De acordo com os investigadores da empresa de segurança SentinelLabs, foram descobertas novas variantes deste malware, focadas para sistemas que tenham como base o sistema Linux. O método de atuação será o mesmo, focando-se em encriptar e roubar os conteúdos dos sistemas, usando depois a chantagem para se obter pagamentos e desbloquear o acesso aos conteúdos.

O malware possui ainda a capacidade de se propagar dentro da rede, infetando sistemas que possam ser encontrados com vulnerabilidades. Anteriormente o malware focava-se apenas em sistemas Windows, explorando falhas na rede para infetar o máximo de sistemas possíveis, mas agora pode também afetar sistemas e servidores Linux.

Este ransomware começou as suas atividades em Março de 2022, e em meados de Novembro do mesmo ano ficou praticamente inativo. No entanto, em Janeiro de 2023 voltou à atividade, encontrando-se a afetar novos sistemas praticamente todos os dias.

A maioria dos ataques do ransomware IceFire encontram-se a ocorrer sobre a China e os EUA.

09/03/2023
Malware Emotet volta ao ativo após pausa de três meses

Depois de uma pausa de quase três meses, as atividades do grupo de malware Emotet voltaram a surgir pela internet. Durante o início desta semana, a infraestrutura do malware voltou a verificar atividade, confirmando que o mesmo encontra-se novamente no ativo.

De acordo com a empresa de segurança Cofense, a atividade do Emotet voltou esta semana ao ativo, com milhares de mensagens de spam a serem enviadas para potenciais vítimas.

De relembrar que o malware distribui-se, sobretudo, por mensagens de spam com anexos maliciosos, a maioria ficheiros do Word e Excel com macros maliciosas. Se as vítimas executarem os mesmos nos seus sistemas, podem abrir portas para diferentes géneros de malware.

Apesar de o Emotet ter sido considerado uma das maiores operações de malware na internet faz apenas alguns meses, em meados de Novembro de 2022 as suas atividades começaram a reduzir consideravelmente – em parte porque se acreditava que as autoridades poderiam estar a apertar o cerco para o grupo responsável pela campanha de spam.

No entanto, depois de quase 3 meses sem atividade, agora as campanhas do malware encontram-se novamente em força. Apesar de o volume de emails de spam ainda se encontra em valores relativamente baixos, será certamente a confirmação que as atividades estão a retomar.

Para os utilizadores, estes devem ter atenção a qualquer conteúdo de anexo que seja enviado em mensagens de contactos desconhecidos – sobretudo contendo ficheiros desconhecidos ou que exijam a realização de certas tarefas nos mesmos – como a ativação das macro do Word e Excel.

Felizmente a Microsoft começou a desativar todas as macro de ficheiros do Office desde Julho de 2022, pelo que os utilizadores devem estar algo protegidos deste género de ataques – embora ainda seja possível que conteúdo malicioso seja distribuído por diferentes formatos de ataques.

07/03/2023
Windows 11 pode finalmente remover o VBScript

A terminar o mês de fevereiro, a Microsoft lançou a nova atualização Moment 2 do Windows 11, que veio trazer consigo algumas novidades para o sistema. E desde então, mais novidades começaram a surgir também para os utilizadores nas versões Dev e Beta, dentro do programa Insider.

No entanto, os rumores indicam que a Microsoft já se encontra a trabalhar na nova atualização Moment 4, que deve chegar durante a segunda metade de 2023, e deve trazer consigo ainda mais mudanças – e deverá ser oficialmente conhecida como Windows 11 23H2.

Uma das alterações pode vir, teoricamente, a garantir um pouco mais de segurança para o sistema. A versão mais recente do Windows 11 sobre o canal Dev, na build 25309, surge agora com a possibilidade dos utilizadores desinstalarem o VBScript, que é bem conhecido como sendo uma das portas de entrada para malware nos sistemas – é basicamente o motor base que permite correr ficheiros de scripts no Windows.

O VBScript possui falhas graves de segurança, tanto que a Microsoft teve de o desativar por completo do Internet Explorer em certo ponto. Apesar de ainda poderem existir usos legítimos para o mesmo, na maioria dos casos, em sistemas atuais, é mais usado para atividades maliciosas – portanto trata-se de um potencial ponto de problemas.

Permitir que os utilizadores removam o mesmo pode evitar que scripts deste género sejam executados no sistema, o que pode garantir uma camada adicional de segurança para o mesmo. Para já, a alteração parece estar a ser aplicada apenas na versão Dev do Windows 11, que se encontra disponível no programa Insider.

04/03/2023
Cuidado com o BlackLotus, um novo malware focado no Windows 11

Existe uma nova ameaça para utilizadores de sistemas operativos Windows, com a revelação de um dos primeiros kits de malware que é capaz de explorar falhas sobre a UEFI Secure Boot.

Conhecido como BlackLotus, este kit de malware encontra-se a ser vendido em sites da dark web por cerca de 5000 dólares, e torna-se o primeiro do género a conseguir contornar o Secure Boot em instalações completamente atualizadas do Windows 11.

O kit afirma permitir criar malware que, se usado, permite dar total controlo de um sistema Windows aos atacantes, sem que estes tenham conhecimento de terem sido afetados. Isto é possível tendo em conta que o malware explora uma das áreas mais poderosas para ataques no sistema – o arranque do sistema.

De acordo com os investigadores da empresa de segurança ESET, este kit foca-se me infetar sistemas através da UEFI, permitindo que o malware seja instalado antes mesmo de o sistema operativo arrancar completamente. Isto também permite que as atividades maliciosas sejam feitas sem que os utilizadores se apercebam, e até mesmo que software de segurança tenha a capacidade de as identificar.

Apesar de raros, os malwares que atacam diretamente a UEFI dos sistemas são bastante destrutivos e difíceis de identificar e remover. O que torna o BlackLotus diferente será a facilidade com que o mesmo pode explorar as falhas até mesmo em versões atualizadas do Windows 11 – incluindo as mais recentes fornecidas pela Microsoft.

Ao mesmo tempo, o BlackLotus pode ainda desativar algumas das funcionalidades de segurança que se encontram no Windows, como é o caso do BitLocker e Windows Defender.

Como sempre, os utilizadores devem ter extremo cuidado sobre conteúdos que sejam descarregados de fontes desconhecidas da internet – evitando sobretudo executar qualquer programa que não tenha sido proveniente de uma fonte segura.

01/03/2023
Ciberataques a jovens jogadores aumentaram em 2022
Os peritos Kaspersky descobrem que os cibercriminosos lançaram mais de 7 milhões de ataques contra crianças, explorando os jogos mais populares em 2022. O último relatório da Kaspersky intitulado “O lado negro do mundo dos jogos virtuais infantis” revela os riscos para os jovens em jogos online, e que os ataques concentrados neste grupo etário aumentaram em 57% em comparação com 2021. As páginas de phishing utilizadas por cibercriminosos para atingir jovens imitaram títulos de jogos globais, tais como Roblox, Minecraft, Fortnite, e Apex Legends. Para alcançar os dispositivos dos pais, os cibercriminosos criam propositadamente sites de jogos falsos evocando o interesse das crianças em seguir páginas de phishing e descarregar ficheiros maliciosos.

Os jogos infantis mais explorados

Neste relatório, peritos Kaspersky analisaram ameaças relacionadas com os jogos online mais populares para crianças dos 3 aos 16 anos de idade. As soluções de segurança Kaspersky detetaram mais de 7 milhões de ataques entre Janeiro de 2022 e Dezembro de 2022. Em 2021, os cibercriminosos tentaram 4,5 milhões de ataques, resultando num aumento de 57 por cento nas tentativas de ataque em 2022.

Em 2022, 232.735 jogadores encontraram quase 40.000 ficheiros, incluindo malware e aplicações potencialmente indesejáveis, que foram disfarçados como jogos infantis mais populares. Uma vez que as crianças desta idade muitas vezes não têm os seus próprios computadores e brincam a partir dos dispositivos dos seus pais, as ameaças espalhadas pelos cibercriminosos visam muito provavelmente obter dados de cartões de crédito e credenciais dos pais.

No mesmo período, quase 40.000 utilizadores tentaram descarregar um ficheiro malicioso, imitando o jogo Roblox, uma popular plataforma de jogos para crianças. Isto resultou num aumento de 14% no número de vítimas, em comparação com os 33.000 jogadores atacados em 2021. Como metade dos 60 milhões de utilizadores de Roblox têm menos de 13 anos, a maioria das vítimas destes ataques de cibercriminosos são potencialmente crianças que não têm conhecimento de segurança cibernética.

Scams nos mundos virtuais das crianças

De acordo com as estatísticas da Kaspersky, as páginas de phishing utilizadas pelos criminosos informáticos para visar jovens jogadores que usam principalmente os jogos Roblox, Minecraft, Fortnite, e Apex Legends. No total, mais de 878.000 páginas de phishing foram criadas para estes quatro jogos em 2022.

Uma das técnicas mais comuns de engenharia social dirigida aos jovens jogadores, envolve ofertas para descarregar cheats e mods populares para jogos. Num site de phishing o utilizador pode obter um manual completo sobre como instalar corretamente a batota.

O que é particularmente interessante é que existem instruções específicas que apontam para a necessidade de desativar o antivírus antes de instalar um ficheiro. Isto pode não alertar os jovens, mas pode ser especialmente criado para que o malware evite a deteção no dispositivo infetado. Quanto mais tempo o antivírus do utilizador estiver desativado, mais informação poderá ser recolhida do computador da vítima.

Outras conclusões-chave do relatório incluem:
- Os títulos mais populares explorados pelos cibercriminosos, tanto em 2022 como em 2021, são o Minecraft e o Roblox
- Os principais jogos infantis classificam-se pelo número de utilizadores atacados, incluindo ainda jogos para as crianças mais pequenas – Poppy Playtime e Toca Life World, concebidos principalmente para jogadores de 3-8 anos.
- Os peritos da Kaspersky observaram um aumento de 41% no número de utilizadores afetados que descarregavam ficheiros maliciosos disfarçados de Brawl Stars, atingindo cerca de 10 mil jogadores atacados em 2022.
“Em 2022, os cibercriminosos exploraram jogos concebidos para crianças de 3-8 anos de idade. Isto destaca que os cibercriminosos não filtram os seus alvos por idade e atacam mesmo os jogadores mais jovens, com o provável alvo de atingir os dispositivos dos seus pais. Ao concentrarem-se em jogadores jovens, os cibercriminosos nem sequer se preocupam em tornar os esquemas maliciosos menos óbvios. Eles esperam que as crianças e os adolescentes tenham pouca ou nenhuma experiência ou conhecimento de armadilhas cibercriminosas e caiam facilmente mesmo nas fraudes mais primitivas. Portanto, os pais precisam de ser especialmente cuidadosos com as aplicações que os seus filhos descarregam, se os seus dispositivos têm soluções de segurança confiáveis instaladas e devem ensinar os seus filhos sobre como se comportar online”, comenta Vasily M. Kolesnikov, um perito em segurança da Kaspersky.
01/03/2023
Ameaças para Android em Portugal aumentam 32%

As deteções de ameaças Android aumentaram em mais de 50% entre o 2.º e o 3.º quadrimestre de 2022, confirmou a ESET no seu mais recente Relatórios de Ameaças. O Adware e as apps ocultas que escondem os seus ícones para dificultar a remoção pelo utilizador (isto é, “Hidden Apps”) são os principais responsáveis pelo crescimento desta categoria de ciberameaça, que em Portugal cresceu 32% entre quadrimestres.

Entre o crescimento global de deteções de ameaças Android, muitas das quais estão presentes em lojas de apps de terceiros, a maioria refletiu tentativas de enriquecimento a partir de anúncios. Perto de 70% de todas as deteções de ameaças Android no 3.º quadrimestre foram deste tipo. Estas deteções, assinaladas como Aplicações Potencialmente Indesejadas (Potentially Unwanted Applications – PUAs), são aplicações projetadas para exibir anúncios em excesso ao utilizador com o objetivo de gerar receita para os criadores da aplicação.

O Adware do tipo “Fyben” em particular cresceu uns impressionantes 1100% entre quadrimestres. Esta deteção está associada a jogos móveis. O 3.º quadrimestre cobre um período (setembro a dezembro) em que developers lançam jogos novos ou versões atualizadas de jogos existentes para tirar partido do comércio no Natal. Nalguns casos, estes jogos não são lançados em todos os países. Assim, os utilizadores que não têm acesso oficial aos jogos procuram-nos em lojas ou websites não oficiais, onde as ameaças proliferam.

Tendências e futuro das ameaças Android

A prevalência de ameaças como as PUAs, que fazem dinheiro a partir do visionamento de anúncios, não foram as únicas a marcar a paisagem de ameaças Android no final de 2022. O Spyware também aumentou a sua presença graças a kits de Spyware prontos a usar e de fácil acesso disponíveis em fóruns online e usados por cibercriminosos amadores.

Nesse contexto, a ESET alerta que a paisagem de ameaças Android pode mudar muito em 2023. Chatbots potenciados por inteligência artificial como o ChatGPT já estão a ser usados para desenvolver novas ferramentas maliciosas, embora ainda não haja conhecimento de malware escrito assim para Android. Além disso, não se podem descartar os impactos de grupos cibercriminosos organizados, que continuam a desenvolver Spyware direcionado para recolher informação de alvos de alto perfil ou grupos vulneráveis de cidadãos.

Em todo o caso, os bons comportamentos online, aliados a produtos completos de proteção que mitigam os perigos das ameaças Android, são uma combinação poderosa para usar o smartphone com mais confiança e em maior segurança.

28/02/2023
LastPass revela novos detalhes sobre ataques à plataforma

A LastPass, entidade gestora do serviço de armazenamento de senhas com o mesmo nome, deixou recentemente uma nova atualização sobre a investigação que se encontra a ser feita ao ataque que a empresa sofreu no final do ano passado.

De acordo com as novas informações reveladas pela empresa, a investigação aponta que os atacantes terão conseguido obter acesso aos sistemas da empresa explorando uma aplicação no computador pessoal de um dos funcionários.

Segundo a empresa, o sistema de um dos funcionários da empresa, que se encontrava em casa, terá sido atacado por malware através de uma aplicação de terceiros, no qual os atacantes terão conseguido instalar malware no mesmo para recolher dados de login.

Eventualmente, quando o funcionário terá tentado aceder a partir do seu sistema aos sistemas da LastPass, os dados de acesso terão sido comprometidos. Com isto, os atacantes conseguiram obter acesso aos sistemas da LastPass, onde se encontravam alguns dos cofres de clientes da empresa e outras informações importantes da mesma.

De relembrar que a LastPass confirmou ter sido vítima de um ataque em Agosto de 2022 e posteriormente em Dezembro de 2022. Os atacantes terão mantido acesso à plataforma durante este período, de onde recolheram informação da entidade e vários dados potencialmente sensíveis – associados tanto à empresa como a funcionários e alguns clientes.

A LastPass afirma que o ataque foi bastante exaustivo e focado para a equipa de desenvolvimento da plataforma, que seria também a que possui um maior acesso dentro dos sistemas internos da empresa. O funcionário afetado pelo ataque, e de onde se acredita que o acesso inicial terá sido realizado, foi o alvo escolhido para a tarefa.

A empresa atualizou ainda a lista de conteúdos que foram comprometidos com o ataque, de onde se inclui algumas chaves de APIs internas, integrações com aplicações de terceiros e dados de backup que estariam associados a alguns clientes da empresa.

A empresa continua a sublinhar, no entanto, que os cofres que os atacantes terão obtido acesso ainda se encontram protegidos e encriptados, e que apenas podem ser acedidos com a chave principal dos mesmos, que apenas será conhecida pelos detentores destes.

28/02/2023
Malware encontra-se a propagar em versões piratas do Final Cut Pro da Apple

Alguns utilizadores podem voltar-se para os conteúdos piratas quando procura algum software pago no mercado, e isto aplica-se também a quem tenha sistemas da Apple. No entanto, para quem esteja à procura de alternativas piratas para o Final Cut Pro da Apple, talvez seja melhor ter cuidado.

Recentemente foi identificada uma nova campanha, que se propaga sobre software pirata, e focado em sistemas da Apple. Os investigadores de segurança da empresa Jamf Threat Labs revelaram ter descoberto que existe malware a propagar-se sobre versões adulteradas do Final Cut Pro da Apple, e que são partilhadas em várias plataformas de conteúdo pirata na internet.

Estas versões surgem com malware integrado para o sistema, que pode levar a roubo de dados do mesmo. Os ficheiros estão a ser partilhados em algumas das maiores plataforma de torrents na internet, e contam com seeds falsos para elevar ainda mais a possibilidade de os utilizadores os descarregarem.

Em alguns dos casos, os programas contam ainda com aplicações de mineração, que usam os recursos do sistema para minerar criptomoedas em nome dos atacantes. Os utilizadores podem verificar que terão sido infetados ao analisarem que o uso de recursos do sistema encontra-se mais elevado que o habitual, a bateria está a durar consideravelmente menos ou os sistemas apresentam temperaturas de funcionamento mais elevadas.

Existem ainda variantes do malware que são capazes de se ocultar no sistema, fazendo-se passar como processos legítimos do macOS, e dificultando a tarefa dos utilizadores identificarem os processos em causa. Existem ainda variantes que podem identificar quando o utilizador se encontra a ver a lista de processos, terminado as atividades maliciosas.

Como sempre, a melhor forma de os utilizadores protegerem os seus sistemas de possíveis ataques será evitarem descarregar conteúdo de fontes desconhecidas, ainda mais de conteúdos piratas – que de tempos a tempos são usados para a distribuição de malware nos mais variados formatos.

24/02/2023
WhatsApp pode começar a banir contas com apps modificadas

O WhatsApp é uma das aplicações mais populares de conversa a nível mundial, que conta também com um vasto conjunto de funcionalidades dentro das suas apps. No entanto, existem alguns utilizadores que optam por usar aplicações de terceiros para a plataforma, com vista a terem acesso a alguns “extras” na mesma.

Aplicações como a “WhatsApp Plus” e “WhatsApp GB” são alguns dos exemplos de apps de terceiros populares, que adicionam algumas funcionalidades extra no serviço – mas ao mesmo tempo também comprometem a segurança dos utilizadores, e claramente violam os termos da empresa.

Com isto em mente, parece que a Meta vai começar a apertar as regras para quem use estas aplicações. Segundo algumas fontes próximas da empresa, o WhatsApp vai começar a banir contas da sua plataforma que usem aplicações de terceiros para o acesso ao serviço.

Ao que tudo indica, a Meta vai começar a apertar as regras, banindo da sua plataforma contas que usem este género de aplicações. De relembrar que estas apps não se encontram disponíveis nas lojas oficiais, e apenas podem ser usadas caso o utilizador explicitamente tenha descarregado as mesmas para o seu dispositivo.

Para já, ainda não existe uma confirmação de quando a Meta vai começar a aplicar estas medidas. No entanto, o bloqueio a aplicações de terceiros no WhatsApp não será uma medida nova para a empresa. No passado, a Meta terá tentado por várias vezes bloquear o uso deste género de aplicações, sendo que existem utilizadores que indicam também terem sido bloqueados no serviço.

No final, quem esteja a usar este género de aplicações é recomendado a remover as mesmas, evitando assim possíveis problemas para as suas contas. Ainda mais tendo em conta que estas apps são muitas vezes modificadas para outras tarefas, entre as quais se encontra o roubo de informações dos utilizadores ou até para instalar malware no sistema.

23/02/2023
Botnet “Mylobot” infeta 50.000 novos sistemas por dia

Uma sofisticada rede de botnet encontra-se a propagar em força pela Internet. Conhecida como “Mylobot”, esta encontra-se a infetar cerca de 50.000 dispositivos praticamente diariamente.

Segundo a investigação da empresa BitSight, esta botnet tem vindo a infetar várias redes e sistemas em diferentes países, mas com foco para os EUA, Indonésia e Irão. A mesma encontra-se a atingir picos de 50.000 dispositivos infetados por dia, e parece que os valores continuam a aumentar consistentemente.

Apesar de esta rede de botnet não ser propriamente recente, tendo sido inicialmente identificada no início de 2018, recentemente tem recebido particular atenção por estar a colocar-se como uma das redes em maior crescimento.

É possível que isto se deva ao aumento de variantes que usam a base do Mylobot para se propagarem em ainda mais sistemas, acompanhado com tendências recentes deste género de campanhas começarem a surgir nos mais variados locais.

Uma das particularidades deste botnet encontra-se no facto que é bastante difícil de o identificar e analisar. O mesmo conta com várias proteções e encriptações, que conseguem identificar quando os utilizadores correm o sistema sobre uma máquina virtual.

Em simultâneo, existem ainda vários componentes encriptados no código do mesmo, que o tornam difícil de analisar por investigadores e empresas responsáveis por software de proteção.

Simultaneamente, o malware possui ainda capacidade de permanecer escondido num sistema até 14 dias, antes de começar a comunicar com os sistemas de controlo remoto. Desta forma, mesmo que o utilizador seja infetado, pode não se aperceber de tal até uns dias depois.

A botnet é usada para os mais variados fins. Em alguns casos, a mesma é usada para o envio de campanhas de spam, mas também pode ser utilizada como proxy para atividades ilegais. Em alguns casos leva ainda ao roubo de informações do sistema onde se encontra.

A melhor forma dos utilizadores se protegerem deste género de ataques será mantendo um programa de segurança ativo e atualizado sobre o sistema, bem como terem cuidado sobre os locais de onde são descarregados conteúdos na internet.

22/02/2023
Stealc: um novo malware a propagar-se em força pela Internet

Existe um novo malware que tem vindo a ganhar bastante popularidade pela internet, focado em roubar informações pessoais das vítimas. Apelidado de Steac, este novo malware tem vindo a tornar-se consideravelmente mais popular desde Janeiro de 2023.

O mesmo não é propriamente um novo malware no mercado, uma vez que foi criado tendo como base outras variantes de malware já existentes. No entanto, este surge com algumas particularidades de interesse, e tem vindo a ganhar bastante destaque nos últimos tempos pela Dark web.

De acordo com os investigadores da empresa de segurança SEKOIA, o Stealc tem vindo a ser cada vez mais usado para ataques pela internet. Atualmente são conhecidos mais de 40 servidores usados pelo malware para controlo dos sistemas infetados – que são responsáveis por enviar os comandos para os mesmos.

Ao mesmo tempo, pela internet encontram-se dezenas de variantes deste malware, que se focam em roubar sobretudo informações sensíveis dos utilizadores, nomeadamente contas e dados de login online.

O Stealc é vendido na Dark Web a custos relativamente acessíveis, o que pode contribuir também para a facilidade com que se espalha pela Internet. O mesmo é vendido com um conjunto de funcionalidades, onde se inclui um sistema de criação e controlo do malware, dando aos atacantes bastantes ferramentas para realizarem ataques diversos.

O malware foca-se sobretudo em roubar dados de alguns programas em particular, começando por detalhes de carteiras de criptomoedas populares, entre aplicações para desktop e extensões no navegador, bem como de dados guardados em 22 navegadores diferentes. Existe ainda a recolha de informação sobre clientes de email e outras aplicações de mensagens diretas.

Obviamente, os atacantes possuem total controlo sobre o que pretendem que o malware roube, bem como as atividades que podem realizar no sistema. Esta variante de malware é bastante configurável, o que é também um ponto de interesse para a venda.

Os atacantes podem obter toda a informação, que posteriormente pode ser vendida ou usada para ainda mais ataques.

Para além de serem vendidos na dark web, os itens do malware são também vendidos sobre outros canais, como Telegram e diversos fóruns focados para comunidades de hackers.

De acordo com os investigadores da SEKOIA, espera-se que o malware venha a ficar consideravelmente mais popular nos próximos tempos, tendo em conta a sua propagação em larga escala para diferentes locais.

22/02/2023
Firefox 110 chega com correções e novas funcionalidades

Os utilizadores do Firefox devem começar a receber hoje uma nova atualização para o navegador, que vai trazer consigo várias novidades e melhorias para o mesmo.

A nova versão do Firefox 110 já se encontra disponível, trazendo várias novidades e correções importantes para o navegador da raposa. Entre as novidades encontra-se o novo sistema de sandbox do GPU no Windows, juntamente com melhorias na importação de dados do sistema.

Esta atualização vai encontrar-se disponível para todos os canais do Firefox, incluindo a versão para Android e a ESR. O Firefox Beta, em contrapartida, avança para a versão 111 e o Firefox Nightly para a 112.

De notar também que esta atualização ainda chega com suporte para o Windows 7 e 8.1, apesar de ambos os sistemas terem deixado de receber suporte oficial da Microsoft e de vários outros navegadores também terem deixado de suportar os mesmos.

Uma das novidades desta versão encontra-se no novo sandbox do GPU para Windows, que permite isolar o processo usado pela gráfica dentro do navegador, garantindo mais segurança e estabilidade para o mesmo. Isto pode ajudar a reduzir possíveis ataques de malware, limitando o impacto do mesmo e isolando o processo.

Foram ainda feitas melhorias sobre o sistema de bloqueio de cookies e de tracking na web, que deve ajudar a garantir mais privacidade durante a navegação. Por fim, foram ainda feitas melhorias na importação de dados a partir de outros navegadores, evitando possíveis falhas. Junta-se ainda as tradicionais correções de bugs, falhas de segurança e otimizações diversas para tornar o navegador ainda mais rápido e estável.

Os utilizadores podem atualizar diretamente o Firefox, onde a atualização deve ser instalada automaticamente, ou descarregar a versão mais recente pelo site da Mozilla.

14/02/2023
Quase 11.000 sites WordPress foram alvo de um misterioso malware

Quase 11.000 websites baseados em WordPress têm vindo a ser alvo de um ataque recente, que se encontra a infetar os mesmos com scripts maliciosos através da exploração de uma falha ainda desconhecida.

De acordo com os investigadores da empresa de segurança Sucuri, foi recentemente descoberta uma nova campanha de malware, que terá infetado 10.890 websites baseados em WordPress de forma recente, injetando nos mesmos publicidade do Google Adsense – e que geram receitas para os atacantes.

O código malicioso é injetado através de ficheiros colocados na raiz do site, e usados para o carregamento de conteúdos do WordPress. Este código encontra-se ainda bastante ofuscado, para evitar a deteção. Ao mesmo tempo, o malware injeta-se ainda em alguns ficheiros principais do WordPress, garantindo que se reinstala em vários ficheiros para dificultar a remoção completa do mesmo do site.

O script, uma vez instalado no site, pode colocar publicidade do Google Adsense no mesmo, em controlo dos atacantes, ou reencaminhar aleatoriamente os visitantes para os mais variados sites, a grande maioria focada em obter receitas da publicidade.

Os investigadores de segurança, apesar de terem confirmado os sites que foram afetados por estes scripts, não conseguiram traçar exatamente o ponto de origem do ataque. Ainda se desconhece como os atacantes obtiveram a capacidade de introduzir este código sobre os sites, mas acredita-se que pode estar relacionado com alguma falha em plugins usados pelos mesmos – e não diretamente no WordPress ou no código deste.

Os investigadores apontam ainda que este malware pode encontrar-se ativo desde meados de Setembro do ano passado, embora apenas de forma recente tenha começado a ficar mais ativo junto de websites baseados neste script.

Como sempre, é recomendado que os administradores de websites WordPress mantenham as suas instalações atualizadas para a versão mais recente, juntamente com todos os plugins e temas.

14/02/2023
Hogwarts Legacy é usado para esquemas na Internet

Nos últimos dias, Hogwarts Legacy tem sido um tema em destaque na comunidade dos videojogos. Lançado oficialmente na passada sexta-feira, o título já se encontra como um dos mais vendidos da Steam e na PS5, e com um grande número de utilizadores ansiosos por colocarem as mãos no título.

No entanto, para quem procura formas menos apropriadas de obter o jogo, pode ter algumas surpresas. Isto porque também se encontram a surgir pela internet esquemas que tentam tirar proveito do jogo para enganar os utilizadores mais desatentos.

Existem já sites na internet que prometem oferecer o download gratuito de Hogwarts Legacy para PC, bem como o crack para permitir jogar o mesmo sem pagar. De acordo com os investigadores de segurança da empresa Kaspersky, os esquemas tentam levar os utilizadores a descarregar conteúdos para os seus sistemas, pensando tratar-se de uma cópia de Hogwarts Legacy, quando, na verdade, é malware.

Tendo em conta que o jogo acabou de ser lançado, ainda não existe uma versão pirata do mesmo na internet, mas quem cria estes esquemas tenta tirar proveito disso para explorar a possibilidade de infetar os sistemas com malware diverso.

Se as vítimas descarregarem o suposto crack para o jogo, acabam por instalar malware capaz de realizar as mais variadas tarefas no sistema – entre roubar dados pessoais a instalar outro malware no mesmo, nomeadamente ransomware.

Como sempre, os utilizadores devem ter extremo cuidado no download de conteúdos de fontes desconhecidas, ainda mais quando estes prometem acesso a conteúdos pagos de forma gratuita.

12/02/2023
Mods de DOTA 2 descobertos como contendo malware

Um grupo de investigadores de segurança revelaram ter descoberto um conjunto de malwares que se propagam como mods para o popular jogo DOTA 2.

De acordo com os investigadores da Avast Threat Labs, uma entidade ainda desconhecida tem vindo a partilhar pela internet quatro mods para DOTA 2, sendo que os mesmos possuem alterações maliciosas que podem permitir o acesso remoto aos sistemas onde estes se encontrem.

Os mods encontravam-se a ser fornecidos via a Steam, sobre os nomes Overdog no annoying heroes (id 2776998052), Custom Hero Brawl (id 2780728794), e Overthrow RTZ Edition X10 XP (id 2780559339).

Por entre os ficheiros dos mods encontram-se um que permite aos atacantes realizarem vários comandos sobre o sistema, desde o envio de comandos remotos, acesso a ficheiros e o controlo remoto do sistema. Este poderia ainda permitir ao atacante instalar mais malware sobre os sistemas afetados.

Ao mesmo tempo, estes mods também estariam a explorar uma falha sobre o motor base do Chrome, que é usado dentro do DOTA 2 para o carregamento de conteúdos web. A exploração desta falha poderia permitir ataques diretos contra outros jogadores do título.

A Avast afirma ter reportado as falhas à Valve e aos estúdios da DOTA 2, sendo que a correção foi entretanto lançada.

A Valve também confirmou ter removido da sua plataforma os mods criados de forma maliciosa, embora os utilizadores que os tenham descarregado ainda os possam ter instalados no sistema – e devem proceder com a remoção o mais rapidamente possível.

09/02/2023
Royal Ransomware explora falha para infetar sistemas VMWare ESXi

Uma nova variante de ransomware encontra-se a propagar em massa na Internet, explorando falhas sobre sistemas Linux, mais concretamente sobre servidores virtuais baseados em VMware ESXi.

O novo ransomware explora uma falha que se encontra sobre este software, e que pode permitir a instalação de programas dentro das máquinas virtuais, levando neste caso à instalação do malware no sistema – de acordo com o portal BleepingComputer, a falha encontra-se atualmente a ser explorada pelo grupo Royal Ransomware.

No entanto, tendo em conta que a exploração é de uma falha existente sobre o VMWare, é possível que venha a surgir de outros grupos de ransomware bem conhecidos pela internet.

No caso do Royal Ransomware, a variante foi descoberta pelo investigador de segurança Will Thomas, da empresa de segurança Equinix Threat Analysis Center (ETAC). A mesma instala-se sobre sistemas Linux, que é um dos sistemas mais usados em nível de servidores online.

O grupo Royal começou as suas atividades de ransomware em meados de Setembro do ano passado, mas tem vindo a intensificar as suas atividades nos últimos meses. Este grupo é conhecido por atacar empresas de elevado prestigio no mercado, com pedidos de resgate que podem ascender os milhares de euros.

06/02/2023
OpenAI lança ferramenta para identificar conteúdos criados pelo ChatGPT

O ChatGPT tem vindo a surgir em destaque nos últimos tempos pela internet, sobretudo pela inovação que veio trazer. No entanto, a plataforma também veio com os seus pontos negativos, e um deles encontra-se no facto que é consideravelmente difícil identificar quando um conteúdo foi criado por IA.

A pensar nisso, a OpenAI revelou agora uma nova ferramenta, desenhada para ajudar a identificar textos que tenham sido criados de forma “automática”. Esta ferramenta foca-se sobretudo para as áreas de ensino, ajudando professores a identificarem temas que foram criados usando a ferramenta do ChatGPT.

A OpenAI alerta que, apesar de a ferramenta ajudar a identificar os conteúdos criados de forma automática, ao mesmo tempo não é perfeita. A mesma tenta analisar a forma como o texto se encontra escrito, de forma a verificar se existem padrões que sejam consistentes com a base de dados existente para o ChatGPT.

A ferramenta classifica os conteúdos fornecidos como sendo possivelmente criados usando a ferramenta do ChatGPT ou não. De notar que a ferramenta não indica se o conteúdo foi criado ou não por esta ferramenta, apenas um grau de possibilidade para tal.

A empresa indica ainda que a ferramenta funciona melhor em pequenos excertos de texto, com menos de 1000 letras e em Inglês. Apesar de outros idiomas serem suportados, a capacidade de identificar os conteúdos criados por IA é consideravelmente mais reduzido nos mesmos.

É importante relembrar que o ChatGPT tem vindo a ser alvo de algumas críticas, sobretudo por parte da comunidade educacional, tendo em conta o potencial da ferramenta em ser usada para criar conteúdos bastante apelativos de forma relativamente simples.

Existe ainda o receio que a tecnologia possa ser usada para criar uma nova forma de campanhas de desinformação ou até mesmo de malware – se tivermos em conta que existem já relatos de hacker que estão a usar a ferramenta para desenvolverem novo malware.

31/01/2023
Microsoft encontra-se ativamente a monitorizar 100 grupos de ransomware

A Microsoft revelou durante o dia de hoje que se encontra ativamente a monitorizar mais de 100 grupos de ransomware na realização dos seus ataques. A empresa sublinha ainda que desta monitorização, cerca de 50 são famílias únicas de ransomware que estavam a ser ativamente usadas até ao final do ano passado.

Entre as famílias de ransomware monitorizadas encontram-se a Lockbit Black, BlackCat (aka ALPHV), Play, Vice Society e Black Basta, & Royal. A Microsoft afirma que, através desta monitorização, é possível identificar a origem dos ataques, mais concretamente o que terá levado o ransomware a atuar dentro de uma determinada entidade.

A Microsoft afirma ainda que, apesar de novas famílias de ransomware surgirem de tempos a tempos, a maioria dos atacantes usam técnicas consistentes entre si, e identificar as mesmas pode ajudar a prevenir ataques futuros.

Os atacantes também se têm focado em desenvolver ataques que vão além do simples ataque de phishing. Estes grupos estão cada vez mais a usar técnicas de ataque através da exploração de falhas em softwares vulneráveis, ou de serviços.

Um dos exemplos encontra-se também nas recentes campanhas de phishing, que têm surgido e exploram a plataforma de publicidade da Google para propagar malware, roubar senhas de acesso a plataformas diversas e variados outros ataques.

A investigação de muitos destes ataques pode ajudar também a compreender como os grupos de ransomware funcionam, e quais os potenciais alvos.

31/01/2023
Microsoft Defender agora é capaz de melhor proteger sistemas Linux

Os utilizadores do Microsoft Defender for Endpoint (MDE) para Linux podem contar com algumas novidades interessantes sobre a mais recente atualização, que devem fornecer mais proteções para os sistemas.

De acordo com a mensagem da Microsoft, a nova versão do Microsoft Defender for Endpoint (MDE) para Linux agora é capaz de isolar dispositivos alvo de ataques, evitando que os mesmos possam ser usados como porta de entrada para uma rede local e para ataques mais alargados.

Com a nova versão, o MDE é agora capaz de desativar todas as ligações de um sistema que seja identificado como tendo malware, mas mantendo a comunicação com o sistema central de controlo do Microsoft Defender for Endpoint. Esta novidade era algo que já se encontrava para sistemas Windows, mas agora chega também para clientes que tenham instalado o Linux.

Atualmente o Microsoft Defender for Endpoint (MDE) encontra-se disponível para um vasto conjunto de distribuições de Linux, que devem ser suficientes para a grande maioria das empresas. Os interessados podem verificar a lista completa no site da Microsoft.

Obviamente, os administradores da rede ainda possuem a capacidade de isolar um dispositivo de forma manual, caso considerem necessário ou caso sejam verificadas atividades suspeitas no mesmo, que não levem à ativação automática do isolamento.

31/01/2023
Falsas aplicações de recompensas na Google Play Store afetam 20 milhões de dispositivos

Se tem procurado aplicações alternativas de monitorização de atividades físicas na Google Play Store, talvez seja melhor ter atenção ao que realmente descarregou para o seu dispositivo. Ao que parece, a plataforma da Google tem vindo a ser alvo para a partilha de falsas apps que prometem os mais variados prémios para os utilizadores caso atinjam determinadas metas.

A descoberta foi realizada por investigadores da empresa de segurança Dr.Web, que confirmaram um novo esquema a usar a Play Store, e que pode ter afetado mais de 20 milhões de dispositivos em todo o mundo.

As aplicações promovem-se sobretudo como gestores de exercício físico e de monitorização, com capacidade de contagem de passos, calorias, entre outros detalhes. Ao mesmo tempo, as aplicações prometiam ainda prémios para os utilizadores que atingissem um determinado valor de meta.

No entanto, no final, os utilizadores apenas eram capazes de ver publicidade para receberem os supostos prémios, que nunca eram distribuídos. Segundo os investigadores de segurança, todas as aplicações comunicavam com os mesmos servidores, pelo que eram possivelmente da mesma entidade, apesar de estarem sobre a Play Store com nomes de programadores diferentes.

As apps contavam com entre 5 e 10 milhões de downloads, e acredita-se que podem ter afetado mais de 20 milhões de dispositivos. Os investigadores apontam ainda que o código das apps continha o potencial de descarregar outras aplicações para o dispositivo, abrindo portas para a possível instalação de malware.

Apesar das aplicações anteriores terem sido removidas da loja da Google, pelo menos uma destas ainda se encontra acessível sobre a plataforma. Esta promete aos utilizadores ganhos variados para completarem diversos “desafios”, a maioria envolvendo assistir a publicidade, que vai gerar receitas apenas para os criadores da app.

Foram ainda descobertas várias aplicações, que se mascaram igualmente de jogos onde os utilizadores podem obter as mais variadas recompensas, e que no final podem apresentar páginas de phishing para os mesmos, requerendo informações sensíveis e pessoais.

Como sempre, a linha de defesa parte dos próprios utilizadores, que devem ter atenção a qualquer app que prometa qualquer género de “prémio” por realizar atividades aparentemente simples – na grande maioria tratam-se apenas de apps criadas para incentivar os utilizadores a verem a publicidade e a gerarem receitas para os seus criadores.

30/01/2023