Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Textos com Etiquetas ‘hacking’
22, novembro, 2013

Três formas de o seu site ser hackeado

Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.

Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?

codeAA resposta é, na maioria dos casos, que “você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado” (ver explicação abaixo).

Por que os hackers atacam pequenos sites quando há alvos muito maiores?

Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers “fecham a porta” atrás de si “corrigindo” a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.

Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:

1. Deface, defacement ou pichações

Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.

Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.

phpshellB

shellstatDe acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.

Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.

2. Data Mining ou mineração de dados

O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.

A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.

Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.

3. Exploit Kits e suas redes

Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de “páginas de destino” e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.

A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.

redirector

O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.

As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:

  • O ranking em mecanismos de busca cai rapidamente
  • Sites de reputação e de companhias de antivírus as colocam na lista negra
  • Os usuários sem proteção são infectados com malwares
  • Os usuários sem antivírus perdem a confiança no site

Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:

  • Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
  • Altere o nome padrão do administrador e escolha uma senha forte
  • Utilize o antivírus no computador onde você gerencia o site
  • Atualize os arquivos com o protocolo SFTP em vez do FTP

Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:

[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
9, maio, 2013

avast! antivírus recebe participação especial no vídeo viral Movies vs. Life

Um vídeo do YouTube chamado Movies vs. Life compara cenas do cinema com as equivalentes da vida real. Gostamos de pensar que o avast! antivírus, que aparece durante uma cena de hacking (preste atenção próximo dos 0:22 segundos), é uma das razões para que este vídeo tenha se tornado viral. ;-)

Uma salva de palmas do avast! para os comediantes franceses do Golden Moustache pela produção deste vídeo hilariante.

Habilite as legendas em inglês.

Comments off
10, janeiro, 2013

Ataque a sites políticos: governos envolvidos

Recentemente, nós escrevemos sobre uma falha no Microsoft Internet Explorer (IE) que poderia permitir que hackers tomassem o controle de computadores Windows se navegassem por um site malicioso. Um dos sites afetados foi o de um grupo com sede nos Estados Unidos: o Council on Foreign Relations (CFR). O Laboratório de Vírus do avast! descobriu que dois sites chineses de defesa dos direitos humanos, um site de um jornal de Hong Kong, um site científico russo e, estranhamente, um site da igreja Batista também foram infectados com o “Flash exploit” do IE8.

Você pode imaginar que interessantes usuários frequentam sites como estes. O CFR, por exemplo, congrega funcionários de alto escalão dos governos, como presidentes e secretários de Estado, embaixadores, jornalistas e líderes industriais. Estes sites foram escolhidos de propósito. Em vez de atacar o público em geral, como os ataques de phising, os responsáveis por este ataque dirigiram-se a sites de temas específicos como defesa e energia e ficaram esperando por pessoas que os visitassem, como um predador aguarda o momento em que as vítimas procuram por água para atacar.

“A tática dessas infecções se baseia em que estes sites, ainda que geralmente não tenham um grande número de usuários, terão visitantes interessantes”, disse Jindrich Kubec, Diretor de Inteligência de Ataques do Laboratório de Vírus do avast!. Kubec disse que a CommunityIQ do avast! – milhões de usuários trabalhando como “sensores mundiais” para detectar novas ameaças – informou sobre estes sites em dezembro. “Pelo menos dois destes sites utilizam o mesmo arquivo binário como spyware e exatamente a mesma configuração”, disse Kubec. “Os outros parecem bem diferentes, mas nós não terminamos a nossa investigação ainda”.

Alguns dos sites infectados possuem links para hackers que trabalham para ou junto com o governo da China. Isto parece confirmar a opinião dos experts que por trás dos ataques há grupos de hackers financiados pelo governo e desejam penetrar em organizações específicas. Seus objetivos são obter informações secretas e militares.

“Nós estamos vendo como recursos governamentais e tecnologia vem sendo empregados no que poderia se chamar de comportamento destrutivo e desagregador”, disse a responsável pela National Security Agency americana em um discurso em 2012. “Durante a Guerra Fria, os blocos de nações aliadas com os Estados Unidos ou a União Soviética trabalhavam para minar uns aos outros, mas operavam sem fronteiras. Alguns dos ataques contra a segurança on-line não parecem ter nenhum limite”, disse ela.

Nós recomendamos aos usuários que atualizem o seu navegador para novas versões do Internet Explorer (as versões 9 e 10 não são afetadas) ou mudem para outros navegadores mais seguros como o Google Chrome ou Mozilla Firefox. A Microsoft lançou uma atualização no Relatório de Segurança 2794220. Esta solução temporária impede que a vulnerabilidade seja utilizada sem diminuir a sua capacidade de navegação.

Siga o avast! no Twitter.

Comments off
22, setembro, 2012

Atualize o seu Internet Explorer

Como mencionamos anteriormente, se você utiliza o Internet Explorer 7 ou 8 (e mesmo o 9 em alguns casos) deveria atualizá-los imediatamente. A versão 10 do Internet Explorer que vem pré-instalada no Windows 8 não é afetada. Uma explicação técnica também já foi colocada no blog.

Enquanto a Microsoft não lança uma atualização, você poderia:

1. Atualizar e manter o seu avast! sempre ligado. O avast! protege você contra estas infecções.

2. Se possível, passar a utilizar um navegador mais seguro (como o Firefox, o Google Chrome ou o Opera).

3. Utilizar a correção (Fix-it) da Microsoft até que esteja disponível uma atualização através do Windows Update (prometida para hoje mesmo, 21 de setembro).

Comments off
25, julho, 2012

Navegue criptografado: ninguém poderá te ver

Meses atrás, a discussão a respeito da legislação americana conhecida como SOPA (Stop Online Piracy Act) e PIPA (Protect Intelectual Property Act) trouxe à tona o fato de que todo mundo pode ver o que você faz na internet, coletando dados da sua navegação. Agora você dispõe de uma proteção específica: o avast! SecureLine. Todo o seu tráfego da internet passa como por um túnel codificado que ninguém pode ver: nem o seu provedor de internet, nem quem controla a sua rede.

O avast! SecureLine protege você contra qualquer espião ou curioso. Toda a comunicação entre o seu computador e os sites fica protegida e oculta.

Você pode conectar-se automaticamente ao servidor mais próximo, escolher livremente o servidor e inclusive configurá-lo manualmente. Além disso, pode ver mais informações sobre a sua conexão e um mapa. O avast! SecureLine também pode ser executado no modo oculto.

Proteja a sua privacidade.

Comments off
8, junho, 2012

“Skywiper” ou “Flame”: histeria ou nova arma da guerra cibernética?

O Skywiper ou, como é mais conhecido, o Flame, é um dos malwares mais complexos já descobertos até hoje. Há muita especulação sobre quem está por trás desta ameaça.

Seu objetivo não é obter ou desviar recursos financeiros dos computadores infectados. Ele é, fundamentalmente, um roubador de dados. Os usuários infectados têm desde os seus computadores rastreados, suas conversas em chats e aplicativos de mensagens completamente gravadas, dados e arquivos copiados ou excluídos, configurações alteradas, desligamento de mais de 100 programas de segurança, fotos da tela são tiradas, conexões Bluetooth monitoradas… Até o microfone pode ser ligado e todas as conversas transmitidas para mais de uma dezena de servidores em todo o mundo. Estima-se que possua 85 domínios registrados em mais de 20 companhias diferentes. É melhor perguntar o que ele não pode fazer…

Os computadores mais afetados estão no Oriente Médio (Israel e territórios Palestinos), Líbano, Irã, Síria e países do norte da África. Mas o número de computadores infectados é muito pequeno e faz surgir dúvidas se não se trata de uma histeria. Explorando uma falha do Windows, o Flame parece estar direcionado a empresas e instituições acadêmicas, mas também a computadores pessoais. O número estimado de máquinas infectadas era de 5.000 no início da semana passada, quando o malware foi descoberto. Mas suspeita-se que pode ter infectado muitas mais e, depois, ter sido desinstalado pelos servidores remotos por se tratar de vítimas “pouco interessantes”.

O mais surpreendente: tudo isto pode estar ocorrendo faz tempo. Entre dois e cinco anos segundo os cálculos e sem que nenhum antivírus ou programa de segurança pudesse detectá-lo completamente… Tanto o início da sua atividade quanto as suas variantes ainda estão em estudo pelos analistas de vírus.

Se os dados estiverem corretos, o Flame pode ser a maior arma cibernética já descoberta desde que o vírus Stuxnet atacou as usinas nucleares do Iran em 2010 e do Duqu, que também roubava dados dos computadores infectados.

O código do vírus é enorme: 20 vezes o do Stuxnet e 10 vezes os dos que roubam informações financeiras. Há mais de 70 mil linhas de código compilado em linguagem C++ que contém cerca de 170 strings criptografados. Ainda que 20 vezes mais código não o torna 20 vezes mais perigoso. É, por incrível que pareça, uma ferramenta “simples”, menos complexa do que muitos outros vírus já vistos.

O Flame parece infectar os pendrives e também se espalha em pastas contendo arquivos de mídia. Além disso, ele parece se espalhar em redes locais utilizando vulnerabilidades dos sistemas de impressão e de agendamento de tarefas do Windows, mesmo em sistemas do Windows 7 completamente atualizados. Sabe-se que o malware utilizava o sistema do Windows Update para se espalhar, não só em uma atualização “rara”, mas entrando no processo de geração de certificados digitais e constituindo-se um pesadelo para os antivírus: arquivos infectados eram considerados como atualizações legítimas do Windows.

Ainda há muitos pontos obscuros neste malware. De qualquer forma, o avast! o detecta sob o nome de Win32:Skywiper [Trj].

Comments off