Recentemente, nós escrevemos sobre uma falha no Microsoft Internet Explorer (IE) que poderia permitir que hackers tomassem o controle de computadores Windows se navegassem por um site malicioso. Um dos sites afetados foi o de um grupo com sede nos Estados Unidos: o Council on Foreign Relations (CFR). O Laboratório de Vírus do avast! descobriu que dois sites chineses de defesa dos direitos humanos, um site de um jornal de Hong Kong, um site científico russo e, estranhamente, um site da igreja Batista também foram infectados com o “Flash exploit” do IE8.

Você pode imaginar que interessantes usuários frequentam sites como estes. O CFR, por exemplo, congrega funcionários de alto escalão dos governos, como presidentes e secretários de Estado, embaixadores, jornalistas e líderes industriais. Estes sites foram escolhidos de propósito. Em vez de atacar o público em geral, como os ataques de phising, os responsáveis por este ataque dirigiram-se a sites de temas específicos como defesa e energia e ficaram esperando por pessoas que os visitassem, como um predador aguarda o momento em que as vítimas procuram por água para atacar.

“A tática dessas infecções se baseia em que estes sites, ainda que geralmente não tenham um grande número de usuários, terão visitantes interessantes”, disse Jindrich Kubec, Diretor de Inteligência de Ataques do Laboratório de Vírus do avast!. Kubec disse que a CommunityIQ do avast! – milhões de usuários trabalhando como “sensores mundiais” para detectar novas ameaças – informou sobre estes sites em dezembro. “Pelo menos dois destes sites utilizam o mesmo arquivo binário como spyware e exatamente a mesma configuração”, disse Kubec. “Os outros parecem bem diferentes, mas nós não terminamos a nossa investigação ainda”.

Alguns dos sites infectados possuem links para hackers que trabalham para ou junto com o governo da China. Isto parece confirmar a opinião dos experts que por trás dos ataques há grupos de hackers financiados pelo governo e desejam penetrar em organizações específicas. Seus objetivos são obter informações secretas e militares.

“Nós estamos vendo como recursos governamentais e tecnologia vem sendo empregados no que poderia se chamar de comportamento destrutivo e desagregador”, disse a responsável pela National Security Agency americana em um discurso em 2012. “Durante a Guerra Fria, os blocos de nações aliadas com os Estados Unidos ou a União Soviética trabalhavam para minar uns aos outros, mas operavam sem fronteiras. Alguns dos ataques contra a segurança on-line não parecem ter nenhum limite”, disse ela.

Nós recomendamos aos usuários que atualizem o seu navegador para novas versões do Internet Explorer (as versões 9 e 10 não são afetadas) ou mudem para outros navegadores mais seguros como o Google Chrome ou Mozilla Firefox. A Microsoft lançou uma atualização no Relatório de Segurança 2794220. Esta solução temporária impede que a vulnerabilidade seja utilizada sem diminuir a sua capacidade de navegação.

Siga o avast! no Twitter.

Como mencionamos anteriormente, se você utiliza o Internet Explorer 7 ou 8 (e mesmo o 9 em alguns casos) deveria atualizá-los imediatamente. A versão 10 do Internet Explorer que vem pré-instalada no Windows 8 não é afetada. Uma explicação técnica também já foi colocada no blog.

Enquanto a Microsoft não lança uma atualização, você poderia:

1. Atualizar e manter o seu avast! sempre ligado. O avast! protege você contra estas infecções.

2. Se possível, passar a utilizar um navegador mais seguro (como o Firefox, o Google Chrome ou o Opera).

3. Utilizar a correção (Fix-it) da Microsoft até que esteja disponível uma atualização através do Windows Update (prometida para hoje mesmo, 21 de setembro).

Meses atrás, a discussão a respeito da legislação americana conhecida como SOPA (Stop Online Piracy Act) e PIPA (Protect Intelectual Property Act) trouxe à tona o fato de que todo mundo pode ver o que você faz na internet, coletando dados da sua navegação. Agora você dispõe de uma proteção específica: o avast! SecureLine. Todo o seu tráfego da internet passa como por um túnel codificado que ninguém pode ver: nem o seu provedor de internet, nem quem controla a sua rede.

O avast! SecureLine protege você contra qualquer espião ou curioso. Toda a comunicação entre o seu computador e os sites fica protegida e oculta.

Você pode conectar-se automaticamente ao servidor mais próximo, escolher livremente o servidor e inclusive configurá-lo manualmente. Além disso, pode ver mais informações sobre a sua conexão e um mapa. O avast! SecureLine também pode ser executado no modo oculto.

Proteja a sua privacidade.

O Skywiper ou, como é mais conhecido, o Flame, é um dos malwares mais complexos já descobertos até hoje. Há muita especulação sobre quem está por trás desta ameaça.

Seu objetivo não é obter ou desviar recursos financeiros dos computadores infectados. Ele é, fundamentalmente, um roubador de dados. Os usuários infectados têm desde os seus computadores rastreados, suas conversas em chats e aplicativos de mensagens completamente gravadas, dados e arquivos copiados ou excluídos, configurações alteradas, desligamento de mais de 100 programas de segurança, fotos da tela são tiradas, conexões Bluetooth monitoradas… Até o microfone pode ser ligado e todas as conversas transmitidas para mais de uma dezena de servidores em todo o mundo. Estima-se que possua 85 domínios registrados em mais de 20 companhias diferentes. É melhor perguntar o que ele não pode fazer…

Os computadores mais afetados estão no Oriente Médio (Israel e territórios Palestinos), Líbano, Irã, Síria e países do norte da África. Mas o número de computadores infectados é muito pequeno e faz surgir dúvidas se não se trata de uma histeria. Explorando uma falha do Windows, o Flame parece estar direcionado a empresas e instituições acadêmicas, mas também a computadores pessoais. O número estimado de máquinas infectadas era de 5.000 no início da semana passada, quando o malware foi descoberto. Mas suspeita-se que pode ter infectado muitas mais e, depois, ter sido desinstalado pelos servidores remotos por se tratar de vítimas “pouco interessantes”.

O mais surpreendente: tudo isto pode estar ocorrendo faz tempo. Entre dois e cinco anos segundo os cálculos e sem que nenhum antivírus ou programa de segurança pudesse detectá-lo completamente… Tanto o início da sua atividade quanto as suas variantes ainda estão em estudo pelos analistas de vírus.

Se os dados estiverem corretos, o Flame pode ser a maior arma cibernética já descoberta desde que o vírus Stuxnet atacou as usinas nucleares do Iran em 2010 e do Duqu, que também roubava dados dos computadores infectados.

O código do vírus é enorme: 20 vezes o do Stuxnet e 10 vezes os dos que roubam informações financeiras. Há mais de 70 mil linhas de código compilado em linguagem C++ que contém cerca de 170 strings criptografados. Ainda que 20 vezes mais código não o torna 20 vezes mais perigoso. É, por incrível que pareça, uma ferramenta “simples”, menos complexa do que muitos outros vírus já vistos.

O Flame parece infectar os pendrives e também se espalha em pastas contendo arquivos de mídia. Além disso, ele parece se espalhar em redes locais utilizando vulnerabilidades dos sistemas de impressão e de agendamento de tarefas do Windows, mesmo em sistemas do Windows 7 completamente atualizados. Sabe-se que o malware utilizava o sistema do Windows Update para se espalhar, não só em uma atualização “rara”, mas entrando no processo de geração de certificados digitais e constituindo-se um pesadelo para os antivírus: arquivos infectados eram considerados como atualizações legítimas do Windows.

Ainda há muitos pontos obscuros neste malware. De qualquer forma, o avast! o detecta sob o nome de Win32:Skywiper [Trj].