Protecting over 230 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Arquivo da Categoria ‘Virus Lab’
9, dezembro, 2013

Infecções via Facebook: você vai me curtir?

FB_meme“Quem não deseja ser curtido na sua página do Facebook?” Esta é a motivação de um código muito trivial para obter mais “curtir”, mas enquanto outros métodos geralmente se limitam a acrescentar conteúdo ou propaganda, este é mais simples… e muito mais sujo. Por que não mostrar um botão curtir diretamente sobre o seu mouse quando você navega em um site, torná-lo invisível e movê-lo junto com o seu mouse?

A única coisa que a vítima tem que fazer é clicar. Se elas estiveram logadas no Facebook, curtirão automaticamente a página do Facebook. E, naturalmente, não é apenas o número de curtições que está em jogo, mas cada curtir significa que a vítima irá receber todas as informações sobre esta página no seu feed de notícias (até que elas descurtam a página), e todos os seus amigos também verão que você curtiu a página.

FB_clickjack_Like_ButtonEste método é possível devido ao botão Curtir, um plugin social para o Facebook, desenvolvido pelo próprio Facebook. Ele é utilizado corretamente em muitos sites legítimos, mas quando combinado com o ocultamento CSS e a movimentação do JavaScript, a vítima não tem chance. Se você deseja saber como minimizar o impacto destas táticas ou quer mais detalhes técnicos, continue lendo.

No começo, um elemento envoltório (wrapper) é criado. Nele há um link (às vezes, um iframe) para o botão curtir do Facebook.

FB_clickjack_HTML

Quando você move o seu mouse sobre o elemento <div id=”wrapper”> (que é, na maioria dos casos, o <corpo> de um tag), uma função JavaScript anônima é iniciada, e ela altera move o elemento para baixo do seu mouse.

FB_clickjack_JS

O envoltório com o botão curtir é, como é lógico, tornado transparente por estas propriedades CSS, por isso ele fica invisível para você:

  • opacity: 0;
  • filter: alpha(opacity = 0);
  • -ms-filter: ‘progid:DXImageTransform.Microsoft.Alpha(Opacity=0)’;

Aqui está o que você vê em uma das amostras da infecção que está disseminada na internet:

FB_clickjack_orig

Estamos surpresos de ver que ela utiliza pouco obfuscamento, o código é muito legível e quase autoexplicativo: contém funções como ClickJackFBShow();. É provável que o código se torne mais obfuscado e mais e mais antivírus comecem a detectar este código malicioso no futuro.

É provável que esta técnica seja utilizada junto com outras de engenharia social. Os cibercriminosos podem postar links para kits infectados em feeds de notícias de outras pessoas e convencer as vítimas a clicar neles. Contudo, o que vemos atualmente é somente um grande grupo de adolescentes utilizando este código nos seus sites para chamar a atenção no Facebook.

Para se livrar destas propagandas indesejadas, abra o seu Facebook e clique no seu nome na parte superior direita, depois selecione “Registro de atividades”. FB_clickjack_Profile_PageEntão você poderá ver a sua atividade no Facebook. Se houver algo suspeito, algo que você não clicou realmente em curtir, simplesmente clique em Curtir (desfazer) e você não será mais incomodado.

O avast! detecta este comportamento malicioso como JS:Clickjack-*.

Amostras no Virustotal:

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram. Dono do próprio negócio? Descubra mais sobre os nossos produtos corporativos.

Categories: Social Media, Virus Lab Tags:
Comments off
22, novembro, 2013

Três formas de o seu site ser hackeado

Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.

Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?

codeAA resposta é, na maioria dos casos, que “você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado” (ver explicação abaixo).

Por que os hackers atacam pequenos sites quando há alvos muito maiores?

Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers “fecham a porta” atrás de si “corrigindo” a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.

Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:

1. Deface, defacement ou pichações

Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.

Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.

phpshellB

shellstatDe acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.

Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.

2. Data Mining ou mineração de dados

O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.

A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.

Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.

3. Exploit Kits e suas redes

Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de “páginas de destino” e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.

A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.

redirector

O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.

As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:

  • O ranking em mecanismos de busca cai rapidamente
  • Sites de reputação e de companhias de antivírus as colocam na lista negra
  • Os usuários sem proteção são infectados com malwares
  • Os usuários sem antivírus perdem a confiança no site

Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:

  • Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
  • Altere o nome padrão do administrador e escolha uma senha forte
  • Utilize o antivírus no computador onde você gerencia o site
  • Atualize os arquivos com o protocolo SFTP em vez do FTP

Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:

[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
19, novembro, 2013

O avast! consegue me proteger do vírus CryptoLocker?

howto2_ptPergunta da semana: eu li histórias assustadores sobre o CryptoLocker bloqueando computadores. Eu não tenho 200 dólares para pagar aos hackers pelos meus próprios arquivos. Como eu me protejo e evito ser atacado? O avast! me protege contra o CryptoLocker?

“O avast! Antivírus detecta todas as variantes conhecidas do CryptoLocker graças ao nosso processamento automatizado e à CommunityIQ”, disse Pavel Sramek, pesquisador e analista do Laboratório de Vírus do avast!. “Há menos de uma dúzia de variantes. Não parece ser o caso de um malware de rápida mutação”.

CryptoLocker_PT

O que é CryptoLocker?

O CryptoLocker é um malware conhecido como “ransomware” que criptografa os arquivos do computador Windows da vítima. Isto inclui as fotos, vídeos e músicas, documentos, além de certos arquivos nas mídias de armazenamento local ou de rede. Um resgate, pago através de Bitcoin ou MoneyPak, é exigido como pagamento para receber uma chave que desbloqueia os arquivos criptografados. A vítima tem 72 horas para pagar cerca de 200 dólares. Depois deste prazo, o resgate sobe para mais de 2.200 dólares.

Como é a infecção pelo CryptoLocker?

O vírus CryptoLocker é frequentemente anexado a um arquivo executável disfarçado de PDF enviado por email e que também parece como se viesse oficialmente de um banco ou notificação de rastreamento de envios UPS ou FedEx. Quando alguém abre o email, é pedido para baixar um arquivo ZIP que contém o arquivo executável (EXE) que então dispara o vírus. Também há evidências que o CryptoLocker começou através de trojans bancários ZeuS ou Zbot e esteve circulando através das redes zumbis e instalando o CryptoLocker.

Como proteger o seu computador do CryptoLocker?

Os usuários do avast! deviam estar seguros contra a infecção durante o curto período de tempo em que o malware era novo e “não-detectado” desde que a AutoSandbox e a DeepScreen estivessem ativas. “A infecção é evitada graças a uma detecção dinâmica”, disse Sramek.

“Nós também acrescentamos automaticamente a proteção contra cada nova amostra que atingiu a nossa rede mundial de sensores”, disse said Jiri Sejtko, colega de Sramek no Laboratório de Vírus do avast!.

“Contra futuras ameaças como esta, ter um backup é sempre uma boa ideia: quem sabe quando um CryptoLocker 2.0 será lançado? Todas as soluções antivírus são reativas por sua própria natureza”, disse Sramek. “A criptografia utilizada é virtualmente indecifrável e a chance de recuperar os arquivos após a infecção é nula”.

O avast! Backup é um serviço de backup e recuperação online que permite que você escolha um conjunto de arquivos que deseja efetuar backup. Experimente gratuitamente o avast! Backup por 30 dias. Depois disso, você pode escolher uma licença de acordo com as suas necessidades de armazenamento.

Leia o alerta da US-CERT ou da NCA’s National Cyber Crime Unit para outros detalhes.

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
31, outubro, 2013

Cuidado com a maçã enfeitiçada

loginTodo mundo sabe a história da linda Branca de Neve. Uma rainha má dá a uma jovem uma maçã enfeitiçada. Pobre Branca de Neve. Tudo o que ela queria era uma mordida nesta maçã suculenta. Mas acho que esta mordida não a deixou muito feliz. De qualquer forma, ela aparentemente cometeu certos erros. Eu posso dizer alguns, por exemplo, se ela queria uma maçã, deveria ter buscado em uma macieira. Ou poderia ter dado a maçã para que alguém a provasse antes, como um bravo cavaleiro que sempre estaria a seu lado, protegendo-a a todo instante.

Sim, de fato, faz tempo desde que o famoso incidente da maçã aconteceu. Hoje em dia, uma adolescente não iria aceitar uma maçã de um estranho e dar-lhe imediatamente uma mordida. Ela iria pelo menos lavá-la primeiro! Se fosse suficientemente esperta, ela obteria mais informações sobre a maçã.

Com uma varinha mágica e efeitos especiais, vamos traduzir esta história para o mundo da segurança móvel.

Aplicativos envenenados (Poisoned APPles)

O conto de Branca de Neve se tornou realidade alguns dias atrás quando encontramos um falso aplicativo Apple iMessage para Android. Há muitos aplicativos para Apple iOS que não foram lançados em outras plataformas. Por exemplo, quando duas pessoas têm um iPhone, podem enviar mensagens gratuitas através do serviço de iMessage da Apple. A alternativa para Android seria provavelmente o Google Hangouts. O problema surge quando você quer enviar mensagens gratuitas do iOS para o Android. Sim, há o WhatsApp, o Viber e outros aplicativos semelhantes, mas não há maneira de enviar uma iMessage para um Android, nem um aplicativo iMessage para Android. Este problema parece chatear algumas pessoas e elas aguardam ansiosamente por uma solução. Sim, estamos falando sobre falsos aplicativos que tentam se passar por aplicativos da Apple para Android.

imsgNós descobrimos que um falso aplicativo iMessage em alguns sites para download junto com outros aplicativos Android. Ele também esteve na Google Play, mas o Google já o removeu. Quando você instala o aplicativo e o executa, ele o faz pensar que está com um iOS por que sua interface está pensada para isto. O aplicativo parece se comunicar com os servidores da Apple, mas não de uma forma direta. A comunicação passa através de outro servidor e aí está a pegadinha.

Você fornece o seu Apple ID a este aplicativo e ele o envia àquele servidor e, talvez, também à Apple. Suas mensagens são gerenciadas da mesma forma. Por isso, quando você pensa que você e seu amigo são os únicos que ouvem aquela conversa, saiba que está muito enganado. É óbvio que este aplicativo está tentando se passar por um legítimo aplicativo Apple, mas não há um acordo de licença com a Apple e, portanto, não é um aplicativo oficial e não se pode imaginar o que irá acontecer com o seu Apple ID.

gplayOutro aplicativo que encontramos é também chamado iMessage e está no Google Play. Quando você vê a sua página, você pensa que é algo da Apple, mas não é. Há imagens de iPhones e na descrição está dito que “o i.Message é completamente compatível com o iPhone 4! Retina Display e Multitasking também são suportadas”, o que é, obviamente, uma mentira. Este aplicativo não envia iMessages, simplesmente mostra as mensagens na tela. Este aplicativo provavelmente foi criado simplesmente para obter dinheiro das propagandas e claramente tira vantagens das pessoas que procuram por um verdadeiro aplicativo iMessage. Este aplicativo em particular não fará nenhum mal ao seu telefone, mas é enganoso. Outros aplicativos podem ser mais perigosos, por isso, tenha cuidado.

imsg2

Estes dois aplicativos são somente uma amostra das maçãs podres e falsas que estão por aí. Não faz muito tempo descobrimos que a mesma coisa estava acontecendo com o aplicativo Blackberry Messenger. Por isso, se você quiser saber se há uma versão para Android do seu aplicativo favorito para iOS ou Blackberry, verifique o site oficial do fabricante e não procure em páginas de terceiros e mercados obscuros que estão cheios de macieiras enfeitiçadas.

Mas assim como a inocente Branca de Neve escolheu a pessoa errada de quem aceitar uma maçã, às vezes, você procura a fonte errada de aplicativos Android. Sabemos disso e temos a solução para estes casos. O avast! Mobile Security está aqui para proteger você por onde quer que você vá. Imaginamos que Branca de Neve teria sido mais feliz se não tivesse que ficar dentro de uma caixa de vidro. Tudo o que ela precisa é um cavaleiro da terra do avast! a seu lado.

O avast! Mobile Security detecta estes falsos aplicativos com o nome de Android:Fapple-A [Trj]

SHA:

248513CA09C450D0709773AF089C28CB3D1EB613DA65D44152F6AC440E567664
72A682CBEC6D545BC275CDD331E001E2E6CA86E38C8B986852099A61605B40AF

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
23, outubro, 2013

Falsos emails imitando o avast!

Amostras de malwares foram recebidas no laboratório de Vírus na semana passada que mostravam falsos emails que aparentavam ter sido enviados pelo avast! e se proliferaram rapidamente. Felizmente, o avast! detecta este malware como Win32:Malware[Gen] e foi bloqueado.

O assunto do email dizia: “Your Order details and Additional information” (Detalhes do seu pedido e outras informações). O corpo do email continha o texto padrão que é enviado quando uma pessoa compra uma licença do avast!. A mensagem incluía um número de pedido que não é autenticado pelo avast! e que não existe em nosso banco de dados.

O endereço do remetente do email era noreply@avast.com. Este é um email falso e não foi criado pelo avast! O email continha um anexo entitulado avast-Antivirus-Order-Details.zip. O anexo incluía um arquivo infectado com duas extensões *.PDF.EXE.

Os nossos sensores mundiais da CommunityIQ detectaram automaticamente e forneceram informações ao Laboratório de Vírus sobre aqueles arquivos suspeitos, permitido que a nova ameaça fosse imediatamente detectada e neutralizada. Na semana passada, o nosso Laboratório de Vírus já havia recebido mais de 12.500 amostras deste malware.

Evite este ataque baixando gratuitamente o novo avast! Antivírus 2014.
Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
17, setembro, 2013

Laboratório de vírus: trabalho em equipe

Muitos de vocês devem se perguntar como trabalha o pessoal do Laboratório de vírus. Quem são os caras sentados atrás dos computadores que analisam arquivos maliciosos. Nós vamos revelar alguns segredos do nosso Laboratório de vírus e quebrar alguns tabus:

1. O pessoal do Laboratório de vírus não trabalha em um laboratório :)

2. Os analistas de vírus são reais, pessoas legais, não robôs :)

3. Sim, também há meninas no time (ainda que estas fotos não provem este fato) :)

4. Eles gostam de se divertir e da vida social! :)

Abaixo está a prova de que eles realmente existem.

A primeira pessoa que descobrir em qual foto está o Diretor do Laboratório de vírus irá receber gratuitamente uma licença do avast! Premier por um ano! Por favor, responda nos comentários a este blog.

IMG_20130913_135645

IMG_20130913_140433

IMG_20130913_140546

IMG_20130913_140000

IMG_20130913_135744

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

18, junho, 2013

Android:Obad – malwares ficam mais inteligentes… O avast! também.

det

Se você teve o privilégio de topar com o Android:Obad, descrito previamente pelo laboratório Kaspersky como sendo o “mais sofisticado malware para Android”, você está agora em uma situação muito difícil e provavelmente este é o momento em que você deveria ter pensado: “Aprendi do jeito mais duro o que significa que é melhor estar seguro do que arrependido”. Alguns dias atrás nós identificamos uma nova variante desta ameaça. Há uma chance de você ter topado com estes caras antes que começássemos a detectá-lo, porque se as nossas definições de vírus genéricas não identificam o malware, sempre há um pequeno período de tempo antes de que consigamos detectá-lo. Na maioria dos casos isto não é um problema, pois é possível desinstalar o aplicativo malicioso. Desta vez, isto não funciona…

O problema que estamos enfrentando agora é chamado “Administrador do dispositivo“. Depois que você executou o aplicativo infectado com Android:Obad, você será perguntado se deseja tornar o aplicativo um “Administrador do dispositivo”, o que requer apenas mais alguns cliques e não é difícil de fazer. Depois disso, não há nenhum retorno porque este malware utiliza uma vulnerabilidade previamente desconhecida que o permite chegar às profundezas do sistema e até ocultar-se da lista de “Administradores do sistema”, único lugar onde poderíamos gerenciá-lo. Você não poderá desinstalá-lo a partir da aba de Aplicativos das Configurações porque todos os botões estarão desabilitados e não irão funcionar.

scr

Sorte sua: o avast! Mobile Security irá salvá-lo de ter de fazer uma reconfiguração de fábrica no aparelho, o que certamente seria uma das soluções. Mas não se preocupe, você está seguro conosco. Com a última atualização do avast! Mobile Security, garantimos que os mais poderosos Trojans como o Android:Obad serão bloqueados com chumbo grosso, se necessário. Portanto, quando você se deparar com malwares que utilizam as funções de “Administrador do dispositivo”, lembre-se que o avast! Mobile Security consegue limpá-lo. Primeiro, você verá o bom e velho aviso de que algum aplicativo é um malware (primeira figura) ou você verá o relatório do escaneamento que informará que alguns aplicativos são maliciosos.

screenX

Siga em frente e clique “Resolver todos” os problemas ou clique em algum deles especificamente e depois escolha “Desinstalar“. Depois, você verá uma janela com o título “Administrador do dispositivo” e será perguntado se deseja Desativar o “administrador do dispositivo” para o aplicativo malicioso que está tentando desinstalar.

screen2

Clique em “Desativar” e deixe que o avast! Mobile Security faça o resto, utilizando técnicas que irão envolver chumbo grosso no malware. Não se preocupe, a única coisa que irá morrer é o aplicativo malicioso, que realmente merece este fim.

screen3

A última coisa que precisa ser feita é clicar OK na próxima tela e outro OK depois que o aplicativo for desinstalado. Pronto, está tudo feito e você está seguro novamente.

Os hackers tentam cada dia criar malwares ainda mais daninhos e estão avançando, mas também nós estamos tornando a nossa proteção ainda mais poderosa. Acreditamos que o avast! Mobile Security é provavelmente o único aplicativo antimalware que consegue limpar o Android:Obad e outros malwares semelhantes. Portanto, como sempre, o mais importante aqui é que você deve utilizar somente o Google Play quando procurar por aplicativos.

Este é o veredito: É melhor estar seguro do que se arrepender.

Informação adicional:

Virustotal report for newly identified sample (9/47)

Virustotal report for previously discovered sample (16/46)

4, abril, 2013

Falsas páginas de login no Facebook espalhando malwares através de aplicativos Facebook

Outra onda de phishing está se espalhando entre os usuários do Facebook. Imagine que você receba uma mensagem de outro usuário do Facebook com um link para um maravilhoso aplicativo para o Facebook. Mesmo que a pessoa que envie não seja seu amigo, você decide visitar o link. Em vez de um aplicativo, você vê uma página de login falso do Facebook. Mas aqui está a pegadinha: você não sabe que ela é falsa!

Recentemente, nós encontramos muitos aplicativos para o Facebook que não fazem nada além de redirecionar os usuários para uma página de login falso do Facebook. Você não pode reconhecer que é falso pelo link. O URL do aplicativo é parecido com o http://apps.facebook.com/app_id onde app_id é um número de identificação do aplicativo com 15 dígitos. O link do aplicativo normalmente contém o nome (http://apps.facebook.com/app_name), mas utilizar o ID do aplicativo também é possível.

img1_1

Quando você clica no link, você vai parar em um dos muitos domínios hospedados em 31.214.222.240, 204.27.56.124, 208.94.240.74 ou 208.94.244.76.

img2

Para convencer os usuários do Facebook de que o site está localizado em ‘facebook.com’, o nível mais baixo dos subdomínios são sempre ‘facebook.com.profile.accounts.login’. O site que você vê não é muito diferente da página de login legítima do Facebook. Além disso, o site falso dá a impressão que quando foi visitado, algo de errado aconteceu e imediatamente você saiu (logoff). Mas se você verificar a sua barra de endereços, você verá que não é a página legítima do Facebook.

img3

Além do URL na barra de endereços há outras pequenas diferenças entre a página falsa de login e a verdadeira. Você pode notar que a página falsa está disponível somente em inglês. Se você tentar clicar em outra língua para alterá-la, nada irá acontecer. Da mesma forma, os links “Forgot your password”, “Help” ou “Developers” no canto direito da página não funcionam. A informação de copyright do Facebook é datada de 2012 em vez de 2013.

Se você não reparou em todos estes sinais e preencheu o seu nome de usuário e senha e tentou efetuar login, você foi redirecionado para http://www.youtube.com. O que aconteceu com o seu nome de usuário e senha?

Nós comparamos o código fonte das páginas de login falso e verdadeiro do Facebook, em especial, a parte do formulário de login. Em vez do arquivo php oficial de login (http://www.facebook.com/login.php), a página falsa utiliza um arquivo php chamado “next.php” que está localizado no servidor dos hackers ou em um serviço de hospedagem gratuito. O arquivo “next.php” permite que os hackers salvem as suas informações de login em um arquivo texto. Depois disso, eles simplesmente analisam este arquivo texto e obtém a sua senha, abrindo as portas para a sua conta no Facebook.

Formulário de login da página legítima do Facebook:

img5_1

Formulário de login da página falsa (phishing) do Facebook:

img4

A melhor maneira de proteger as suas contas online de ataques de phishing é ser muito cuidadoso onde você escreve a sua senha, sempre verificar o URL na barra de endereços antes de efetuar login e utilizar o avast! Internet Security. Todos os endereços IP mencionados são bloqueados pelo avast! antivírus, bem como todos os domínios onde são hospedados. A página de login falso é detectada com o nome de HTML:Phish-O [Trj].

Links relacionados:

http://www.techgainer.com/what-is-fake-facebook-login-page-and-how-it-is-used-to-hack-facebook-account/

Comments off
28, março, 2013

Malware em aparelhos móveis

Vários dias atrás nós recebemos uma reclamação sobre javascrpt.ru. Depois de pesquisar um pouco, nós descobrimos que o código tentava se passar por ajax.google.com e jquery, mas, na prática, era um pacote redirecionador criptografado.

Depois de remover duas camadas de ocultamento e criptografia, nós encontramos uma lista de condições e colocamos o nosso foco nos aparelhos móveis.

conditions

Tudo começa quando um usuário navega a partir do seu aparelho móvel visitando um site legítimo que foi alvo de hackers. Este site contém um link para o site do javascrpt.ru, para onde os dados do navegador do usuário são enviados. Se o script hospedado em javascrpt.ru reconhece o usuário como pertencente aos da lista de condições, o visitante é redirecionado para o site malicioso, geralmente hospedado legitimamente, mas que distribui arquivos maliciosos para os aparelhos móveis. Quando os usuários vão a este novo site, o download da infecção começa. Nós registramos comportamentos diferentes em distintos aparelhos.

Para aparelhos não-Android, um arquivo chamado load.php (2DECBD7C9D058A0BFC27AD446F8B474D99977A857B1403294C0D10078C2DB51D) é baixado, ainda que, na prática, seja um arquivo Java. Mas, como vocês podem ver, nossos usuários estão protegidos:

java

Mas a questão é o que realmente está acontecendo com os usuários desprotegidos.

Depois de executar este arquivo, o usuário espera que o aplicativo executado seja iniciado, mas, neste caso, uma lista de condições aparece. E a primeira linha é “Para ter acesso ao conteúdo, você deve concordar com os termos apresentados abaixo”. E quais são estes termos?

1. Para ter acesso ao conteúdo do serviço wa**y.ru/ é preciso efetuar o pagamento enviando 3 mensagens SMS.

2. Para ter uma informação completa dos preços, visite o site: www.mo****1.ru/ (No momento, este site não está no ar).

Tanto os aparelhos Android como os outros estão enviando SMS a números premium russos.

NUMBER = “7255″
NUMBER = “7151″
NUMBER = “9151″
NUMBER = “2855″

Depois de enviar os SMS, um simples aplicativo ICQ é baixado do mesmo site: *REMOVIDO*/land_paysites/files/icq.jar

Para mostrar melhor o que acontece quando este site é visitado em um aparelho Android, veja as próximas três figuras:

Primeiro, um arquivo chamado, por exemplo, browser.apk (94FDC9CFD801E79A45209BFDC30711CB393E39E6BF2DD43CE805318E80123C14) é baixado sem o consentimento do usuário.

Você pode ver na primeira janela de instalação que o aplicativo solicita acesso a serviços pagos suspeitos. Já nas permissões do aplicativo você pode encontrar itens suspeitos como acessar suas mensagens e também efetuar chamadas diretas a números de telefone pagos. Mas, felizmente, o avast! bloqueia o aplicativo antes que ele custe dinheiro para você.

browser2

Se um usuário instalar este aplicativo, o comportamento é muito similar ao encontrado nos aparelhos não-Android. O aparelho envia mensagens de texto pagas àqueles números e depois baixa e instala um navegador Dolphin básico do link h***t.ru/land_browsers/files/dolphin.apk

Os usuários devem estar realmente atentos caso encontrem algum aplicativo desconhecido em seus aparelhos móveis. Felizmente, todos podem ler o que o aplicativo solicita como permissão, mas, infelizmente, a maioria dos usuários não presta atenção às permissões solicitadas e isto pode custar muito dinheiro. Utilizar um bom antivírus pode ajudar a se manter protegido.

Comments off
25, março, 2013

Os legendários malwares bancários brasileiros

Alguns dos sistemas afetados

Queremos apresentar uma análise de longo prazo de um malware que foi projetado para roubar dados bancários dos maiores 25 bancos e sistemas de pagamento no Brazil. As funções únicas deste malware bancário incluem o uso de certificados digitais válidos, além de três anos de experiência no roubo de credenciais de páginas de administração de sistemas de pagamento online. Estas funções abrem as portas para os ladrões que podem então ter acesso aos sistemas e-commerce e roubar as informações sobre os clientes e seus pagamentos.

Esta família de malwares combina todo este poder e serve como uma ferramenta multifuncional para o roubo de recursos e dados pessoais sigilosos com uma eficiência apavorante.
Baixe aqui o artigo completo (em inglês) no formato PDF.

Comments off