Protecting over 200 million PCs, Macs, & Mobiles – more than any other antivirus

Arquivo

Textos com Etiquetas ‘hacking’
4, janeiro, 2015

Retrospectiva do Avast: maiores ameaças de 2014

2014 foi um ano muito ativo para o cibercriminosos. Vamos começar pelos ataques mais recente e, depois, dar uma breve olhada aos outros importantes eventos do ano passado que envolveram segurança. Podemos aprender a nos proteger e não cometer os mesmos erros de novo!

shutterstock_134221643

Espionagem patrocinada pelo governo

Acabamos de terminar o ano onde ocorreu o hackeamento mais publicado e destrutivo de uma grande companhia multinacional por outro país, agora identificado como sendo a Coreia do Norte. O ataque à Sony Entertainment, que ainda está sob a investigação do FBI, resultou no roubo de 100 terabytes de dados confidenciais dos funcionários, documentos corporativos e filmes ainda não lançados. Foi um ataque à privacidade devido ao roubo de uma quantidade enorme de dados pessoais, mas também essencialmente uma chantagem: querendo silenciar algo que o governo da Coreia do Norte não gostava: o lançamento dA Entrevista, um filme que descreve uma tentativa de assassinato contra Kim Jong-Un.

A maioria das reclamações contra cibercrimes patrocinados por governos em 2014 foram contra hackers da Rússia e China. Independentemente se foram patrocinados por pessoas ou pelo governo, estes hackers tentaram acessar informações secretas do governo dos Estados Unidos, militares ou de grandes companhias. Recentemente, hackers chineses patrocinados pelos militares espionaram o Departamento de Justiça americano.

Home-Depot-ApronVazamento de dados

Além do vazamento da Sony, outras importantes empresas sofreram com o cibercrime, incluindo Home Depot, eBay, Michaels, Staples, Sally Beauty Supply e outras. Um número significativo destes vazamentos começou há meses ou anos, mas somente foram descobertos ou tornados públicos em 2014.

Quase 110 milhões de dados foram roubados da Home Depot: o maior vazamento de um atacadista americano. Entre os dados estavam 56 milhões de números de cartão de crédito e 53 milhões de endereços de email.

O vazamento de dados do JPMorgan Chase impactou cerca de 80 milhões de americanos, bem como 7 milhões de pequenas e médias empresas. Os cibercriminosos foram capazes entrar no sistema através do roubo da senha de um funcionário, uma cópia do vazamento da Target de 2013. Este vazamento é tido como um dos maiores em uma instituição financeira. O FBI ainda está investigando.

Malwares financeiros e de roubo de dados

O GameOver Zeus, chamado de o pior malware já criado, infectou milhões de usuários da internet em todo o mundo e roubou milhões de dólares obtendo dados bancários de computadores infectados.

O trojan bancário Tinba utiliza uma técnica de engenharia social chamada spearfishing para atingir suas vítimas. A campanha via email atingiu os clientes do Bank of America, do ING Direct e do HSBC, utilizando táticas de amedrontamento para levá-los a baixar o trojan que obtinha dados pessoais.

Hackers chineses atuaram uma e outra vez, atingindo com malware bancário os clientes dos bancos sul coreanos através de uma conexão VPN. Os clientes eram enviados a uma página muito parecida onde informavam suas senhas e informações bancárias aos cibercriminosos.

Vulnerabilidades dos programas

Muitos dos vazamentos que ocorreram em 2014 foram devidos a falhas de segurança nos programas, que os hackers souberam aproveitar muito bem. Os nomes que mais ouvimos foram o Adobe Flash Player/Plugin, Apple Quicktime, Oracle Java Runtime e Adobe Acrobat Reader.

Os produtos de segurança Avast têm uma função chamada Software Updater que mostra uma visão geral dos seus programas desatualizados para que você possa atualizá-los e eliminar falhas na segurança.

ShellshockInúmeros novos ataques

Falhas em programas nos trouxeram dois nomes que causaram terror nos corações dos administradores de TI: Shellshock e Heartbleed.

O Heartbleed aproveita-se de uma séria falha no protocolo OpenSSL. Ele permite que os cibercriminosos roubem as chaves de criptografia, nomes e senhas, dados bancários e outros dados privados e não deixa nenhuma pista de que foram roubados.

O Shellshock acabou afetando mais da metade dos sites da internet. Hackers distribuíram malware em sites legítimos para obter dados confidenciais dos computadores infectados.

Ransomware

Outro nome que foi muito falado foi um grupo de malwares chamados ransomware, como, por exemplo, o CryptoLocker, e as suas variantes Cryptowall, Prison Locker, PowerLocker e Zerolocker. O mais disseminado é o Cryptolocker, que criptografa os dados de um computador e exige da vítima um resgate em dinheiro para fornecer a chave de criptografia.

O Avast detecta e protege os seus usuários do CryptoLocker e do GameoverZeus. Faça regularmente backup dos seus arquivos importantes para evitar a sua perda para um ransomware.

Ransomware fez o seu caminho do Windows para o Android durante o ano passado, e o Avast criou o Ransomware Remover, um aplicativo para remoção do ransomware do Android que desbloqueia os arquivos criptografados gratuitamente.

Ataques à privacidade

Os usuários Mac ficaram chocados, as celebridades foram atingidas mortalmente e os fãs se deleitaram com as notícias sobre o hackeamento do iCloud que tornou públicas online numerosas fotos íntimas de famosas celebridades de Hollywood. A séria falha no serviço da nuvem iCloud foi conseguida através de métodos de força bruta contra as contas do iCloud.

Engenharia social

A arte do engano é um método de grande sucesso para os cibercriminosos. O ponto mais fraco na segurança é o usuário final e os hackers tiram vantagem de nós o tempo todo utilizando estratégias de engenharia social.

shutterstock_204144223 (2)Phishing

Em um ataque de phishing ou de spearphishing, hackers utilizam emails para enganar as pessoas e conseguir informações privadas, clicar nos links ou baixar malware. Um dos ataques mais famosos foi a falha na Target, na qual hackers conseguiram uma senha de rede de um vendedor terceirizado da Target, entraram na rede e comprometeram as máquinas dos pontos de venda em novembro de 2013.

Fraudes nas redes sociais

As redes sociais como o Facebook oferecem um ambiente perfeito para a engenharia social. Eles podem agitar, atrair a atenção dos usuários com conteúdo chocante, encorajar as próprias pessoas a compartilhar as fraudes. Estas fraudes vem na forma de links para falsos vídeos que mostram pesquisas e sites falsos.

Exploit Kits à venda

No ano passado, o Laboratório de Vírus do Avast observou um aumento na atividade de malware disseminado através de exploit kits. Estes kits, geralmente à venda no mercado negro online, a deep web, permitem aos cibercriminosos desenvolver ameaças personalizadas para atacar alvos específicos. O código fonte do malware Zeus foi utilizado para desenvolver o Gameover e a rede Zeus Gameover foi utilizada para baixar e instalar o Cryptolocker.

Mais de 200 milhões de pessoas e negócios confiam nos aplicativos de segurança da Avast Software para Windows, Mac e Android. Por favor, siga-nos no Facebook, Twitter e Google+.

22, novembro, 2013

Três formas de o seu site ser hackeado

Esta pergunta que veio de um proprietário de um pequeno site com centenas ou milhares de visitantes por dia é, infelizmente, muito comum.

Um dia eu comecei a receber emails dos meus clientes reclamando que os seus antivírus alertaram que o meu site estava infectado e não os deixavam entrar. Deve ser algum engano porque eu não tenho um loja virtual. Só há um formulário de contato e informações aos clientes. É possível que alguém esteja atacando o meu negócio?

codeAA resposta é, na maioria dos casos, que “você se tornou parte de uma rede que envia automaticamente aos usuários um kit infectado” (ver explicação abaixo).

Por que os hackers atacam pequenos sites quando há alvos muito maiores?

Os pequenos sites têm uma frequência de atualizações muito menor e a possibilidade de que alguém encontre e corrija o código malicioso também é pequena, o que os torna atrativos aos hackers. Os hackers procuram por páginas não atualizadas que utilizam ferramentas de construção gratuitas porque podem atacá-las de forma rápida e fácil. Estas páginas são depois utilizadas para separar os usuários que possuem aplicativos vulneráveis nos seu computador daqueles que não podem ser atacados ou, simplesmente, para esconder a sua verdadeira identidade. Os hackers “fecham a porta” atrás de si “corrigindo” a vulnerabilidade que os permitiu entrar e, simultaneamente, criando outra passagem somente para eles, de forma que a página não aparece como suspeita quando for testada pelo computador.

Em geral, há três tipos comuns de ações de hackers que um administrador da página deve estar atento:

1. Deface, defacement ou pichações

Este tipo de ataque é reconhecido à primeira vista porque o site é alterado para mostrar uma mensagem dos hackers provando a sua capacidade e caçoando do administrador do site.
Geralmente é o ataque menos perigoso e, a menos que a sua página for excluída, você não terá nenhum prejuízo financeiro porque a motivação do ataque era apenas mostrar o baixo nível da segurança das suas páginas e ganhar credibilidade diante dos outros hackers. As pessoas que fazem estes ataques geralmente seguem a regra não aprenda a hackear, hackeie para aprender.

Por exemplo, há estruturas PHP que permitem que você escolha o método e o motivo da pichação e o publique online. A imagem abaixo mostra parte do PHP que envia estatísticas.

phpshellB

shellstatDe acordo com as estatísticas da Zone-H, houve 1,5 milhões de sites pichados em 2010 e a figura à direita mostra as razões dos ataques. Um milhão e meio parece um grande número, mas estes são apenas os ataques documentados e o número real pode ser muito maior.

Nos últimos anos, as pichações foram utilizadas para mostrar opiniões políticas ou éticas atacando sites com milhares de visitantes diários. Isto atrai a mídia e ganha toda a atenção possível. Mesmo companhias antivírus, como você pode ver no recente artigo sobre a tentativa de hackers contra o avast!.

2. Data Mining ou mineração de dados

O objetivo do ataque de mineração de dados é roubar dados pessoais dos usuários e suas credenciais armazenadas em vários serviços, geralmente de lojas online, fóruns e portais de jogos. Os dados roubados são vendidos, no melhor dos casos, para redes de propaganda ou, no pior dos casos, para fraudes bancárias. A mineração de dados é de difícil detecção porque ocorre rapidamente e o único rastro é um alto tráfego de dados saindo do sistema quando o banco de dados é baixado.

A técnica básica para evitar a perda de dados pessoais dos usuários é a criptografia. Se dados sensíveis como senhas, números de cartão de crédito e telefones são criptografados com códigos aleatórios e pelo menos 10 caracteres, o hacker terá de ter acesso diretamente ao código fonte para obter os códigos aleatórios e por isso a probabilidade de sucesso do ataque é menor.

Utilizando diferentes bancos de dados de usuário em cada loja ou fórum, força os usuários a criar muitas senhas fáceis de guardas ou utilizar a mesma senha todas as vezes. A solução para isto é utilizar um serviço de autenticação que forneça um nível de segurança e proteção dos dados dos usuários maior do que as soluções gratuitas. Mas nenhuma empresa está 100% protegida contra hackers: um dos maiores vazamentos de dados este ano foi na rede Adobe, onde 38 milhões de contas de usuários foram comprometidas. Ainda pior foi o fato de que alguns dos seus códigos fonte caíram nas mãos erradas. Outra grande invasão foi permitida por vulnerabilidades no servidor da ColdFusion que resultou em um roubo de dados da NW3C.

3. Exploit Kits e suas redes

Um Exploit Kit é um conjunto de testes de vulnerabilidade e possibilidades de hackear que são carregadas no navegador do usuário para executar códigos maliciosos sem o seu consentimento. Sites com código malicioso são chamados de “páginas de destino” e frequentemente estão localizados em serviços de host gratuitos. Para obter o tráfego dos usuários, os proprietários dos Exploit Kits criam redes a partir de pequenas páginas hackeadas, como a daquele usuário que nos fazia a pergunta por email. O objetivo é redirecionar o navegador sem serem detectados e, portanto, as páginas infectadas não mostram nenhum sinal de alteração. Eles verificam o navegador em segundo plano e enviam o usuário silenciosamente para a página de destino se a vulnerabilidade tiver sido explorada.

A imagem abaixo mostra um script de redirecionamento de uma recente campanha em servidores de propaganda.

redirector

O criador de uma rede infectada procura por sites com conhecidos problemas de segurança e quando ele obtém acesso ao FTP, vários modelos e aplicativos podem ser infectados para conseguir o redirecionamento.

As páginas que são partes de uma rede de Exploit Kits sofrem sérias consequências:

  • O ranking em mecanismos de busca cai rapidamente
  • Sites de reputação e de companhias de antivírus as colocam na lista negra
  • Os usuários sem proteção são infectados com malwares
  • Os usuários sem antivírus perdem a confiança no site

Para evitar a infecção de robôs automáticos, aqui estão algumas sugestões:

  • Atualize o seu CMS e plugins todas as vezes em que uma nova versão estiver disponível
  • Altere o nome padrão do administrador e escolha uma senha forte
  • Utilize o antivírus no computador onde você gerencia o site
  • Atualize os arquivos com o protocolo SFTP em vez do FTP

Amostras dos malwares utilizados neste artigo podem ser encontradas no Vírus Total sob os seguintes SHA256:

[php-shell] - 3fad3437e7684bae0381a963f0461f647766a13d28fd36201a85172c1d56da6c
[redirector] - d4d20acc0069d55e31a6f94baf83523057e0d0add09c1953e070b6e1aeb09102

Obrigado por utilizar o avast! Antivírus e por recomendar-nos aos seus amigos e familiares. Encontre as últimas notícias, divirta-se, participe de concursos e muito mais no Facebook, Twitter, Google+ e Instagram.

Comments off
9, maio, 2013

avast! antivírus recebe participação especial no vídeo viral Movies vs. Life

Um vídeo do YouTube chamado Movies vs. Life compara cenas do cinema com as equivalentes da vida real. Gostamos de pensar que o avast! antivírus, que aparece durante uma cena de hacking (preste atenção próximo dos 0:22 segundos), é uma das razões para que este vídeo tenha se tornado viral. ;-)

Uma salva de palmas do avast! para os comediantes franceses do Golden Moustache pela produção deste vídeo hilariante.

Habilite as legendas em inglês.

Comments off
10, janeiro, 2013

Ataque a sites políticos: governos envolvidos

Recentemente, nós escrevemos sobre uma falha no Microsoft Internet Explorer (IE) que poderia permitir que hackers tomassem o controle de computadores Windows se navegassem por um site malicioso. Um dos sites afetados foi o de um grupo com sede nos Estados Unidos: o Council on Foreign Relations (CFR). O Laboratório de Vírus do avast! descobriu que dois sites chineses de defesa dos direitos humanos, um site de um jornal de Hong Kong, um site científico russo e, estranhamente, um site da igreja Batista também foram infectados com o “Flash exploit” do IE8.

Você pode imaginar que interessantes usuários frequentam sites como estes. O CFR, por exemplo, congrega funcionários de alto escalão dos governos, como presidentes e secretários de Estado, embaixadores, jornalistas e líderes industriais. Estes sites foram escolhidos de propósito. Em vez de atacar o público em geral, como os ataques de phising, os responsáveis por este ataque dirigiram-se a sites de temas específicos como defesa e energia e ficaram esperando por pessoas que os visitassem, como um predador aguarda o momento em que as vítimas procuram por água para atacar.

“A tática dessas infecções se baseia em que estes sites, ainda que geralmente não tenham um grande número de usuários, terão visitantes interessantes”, disse Jindrich Kubec, Diretor de Inteligência de Ataques do Laboratório de Vírus do avast!. Kubec disse que a CommunityIQ do avast! – milhões de usuários trabalhando como “sensores mundiais” para detectar novas ameaças – informou sobre estes sites em dezembro. “Pelo menos dois destes sites utilizam o mesmo arquivo binário como spyware e exatamente a mesma configuração”, disse Kubec. “Os outros parecem bem diferentes, mas nós não terminamos a nossa investigação ainda”.

Alguns dos sites infectados possuem links para hackers que trabalham para ou junto com o governo da China. Isto parece confirmar a opinião dos experts que por trás dos ataques há grupos de hackers financiados pelo governo e desejam penetrar em organizações específicas. Seus objetivos são obter informações secretas e militares.

“Nós estamos vendo como recursos governamentais e tecnologia vem sendo empregados no que poderia se chamar de comportamento destrutivo e desagregador”, disse a responsável pela National Security Agency americana em um discurso em 2012. “Durante a Guerra Fria, os blocos de nações aliadas com os Estados Unidos ou a União Soviética trabalhavam para minar uns aos outros, mas operavam sem fronteiras. Alguns dos ataques contra a segurança on-line não parecem ter nenhum limite”, disse ela.

Nós recomendamos aos usuários que atualizem o seu navegador para novas versões do Internet Explorer (as versões 9 e 10 não são afetadas) ou mudem para outros navegadores mais seguros como o Google Chrome ou Mozilla Firefox. A Microsoft lançou uma atualização no Relatório de Segurança 2794220. Esta solução temporária impede que a vulnerabilidade seja utilizada sem diminuir a sua capacidade de navegação.

Siga o avast! no Twitter.

Comments off
22, setembro, 2012

Atualize o seu Internet Explorer

Como mencionamos anteriormente, se você utiliza o Internet Explorer 7 ou 8 (e mesmo o 9 em alguns casos) deveria atualizá-los imediatamente. A versão 10 do Internet Explorer que vem pré-instalada no Windows 8 não é afetada. Uma explicação técnica também já foi colocada no blog.

Enquanto a Microsoft não lança uma atualização, você poderia:

1. Atualizar e manter o seu avast! sempre ligado. O avast! protege você contra estas infecções.

2. Se possível, passar a utilizar um navegador mais seguro (como o Firefox, o Google Chrome ou o Opera).

3. Utilizar a correção (Fix-it) da Microsoft até que esteja disponível uma atualização através do Windows Update (prometida para hoje mesmo, 21 de setembro).

Comments off
25, julho, 2012

Navegue criptografado: ninguém poderá te ver

Meses atrás, a discussão a respeito da legislação americana conhecida como SOPA (Stop Online Piracy Act) e PIPA (Protect Intelectual Property Act) trouxe à tona o fato de que todo mundo pode ver o que você faz na internet, coletando dados da sua navegação. Agora você dispõe de uma proteção específica: o avast! SecureLine. Todo o seu tráfego da internet passa como por um túnel codificado que ninguém pode ver: nem o seu provedor de internet, nem quem controla a sua rede.

O avast! SecureLine protege você contra qualquer espião ou curioso. Toda a comunicação entre o seu computador e os sites fica protegida e oculta.

Você pode conectar-se automaticamente ao servidor mais próximo, escolher livremente o servidor e inclusive configurá-lo manualmente. Além disso, pode ver mais informações sobre a sua conexão e um mapa. O avast! SecureLine também pode ser executado no modo oculto.

Proteja a sua privacidade.

Comments off
8, junho, 2012

“Skywiper” ou “Flame”: histeria ou nova arma da guerra cibernética?

O Skywiper ou, como é mais conhecido, o Flame, é um dos malwares mais complexos já descobertos até hoje. Há muita especulação sobre quem está por trás desta ameaça.

Seu objetivo não é obter ou desviar recursos financeiros dos computadores infectados. Ele é, fundamentalmente, um roubador de dados. Os usuários infectados têm desde os seus computadores rastreados, suas conversas em chats e aplicativos de mensagens completamente gravadas, dados e arquivos copiados ou excluídos, configurações alteradas, desligamento de mais de 100 programas de segurança, fotos da tela são tiradas, conexões Bluetooth monitoradas… Até o microfone pode ser ligado e todas as conversas transmitidas para mais de uma dezena de servidores em todo o mundo. Estima-se que possua 85 domínios registrados em mais de 20 companhias diferentes. É melhor perguntar o que ele não pode fazer…

Os computadores mais afetados estão no Oriente Médio (Israel e territórios Palestinos), Líbano, Irã, Síria e países do norte da África. Mas o número de computadores infectados é muito pequeno e faz surgir dúvidas se não se trata de uma histeria. Explorando uma falha do Windows, o Flame parece estar direcionado a empresas e instituições acadêmicas, mas também a computadores pessoais. O número estimado de máquinas infectadas era de 5.000 no início da semana passada, quando o malware foi descoberto. Mas suspeita-se que pode ter infectado muitas mais e, depois, ter sido desinstalado pelos servidores remotos por se tratar de vítimas “pouco interessantes”.

O mais surpreendente: tudo isto pode estar ocorrendo faz tempo. Entre dois e cinco anos segundo os cálculos e sem que nenhum antivírus ou programa de segurança pudesse detectá-lo completamente… Tanto o início da sua atividade quanto as suas variantes ainda estão em estudo pelos analistas de vírus.

Se os dados estiverem corretos, o Flame pode ser a maior arma cibernética já descoberta desde que o vírus Stuxnet atacou as usinas nucleares do Iran em 2010 e do Duqu, que também roubava dados dos computadores infectados.

O código do vírus é enorme: 20 vezes o do Stuxnet e 10 vezes os dos que roubam informações financeiras. Há mais de 70 mil linhas de código compilado em linguagem C++ que contém cerca de 170 strings criptografados. Ainda que 20 vezes mais código não o torna 20 vezes mais perigoso. É, por incrível que pareça, uma ferramenta “simples”, menos complexa do que muitos outros vírus já vistos.

O Flame parece infectar os pendrives e também se espalha em pastas contendo arquivos de mídia. Além disso, ele parece se espalhar em redes locais utilizando vulnerabilidades dos sistemas de impressão e de agendamento de tarefas do Windows, mesmo em sistemas do Windows 7 completamente atualizados. Sabe-se que o malware utilizava o sistema do Windows Update para se espalhar, não só em uma atualização “rara”, mas entrando no processo de geração de certificados digitais e constituindo-se um pesadelo para os antivírus: arquivos infectados eram considerados como atualizações legítimas do Windows.

Ainda há muitos pontos obscuros neste malware. De qualquer forma, o avast! o detecta sob o nome de Win32:Skywiper [Trj].

Comments off