Category: Antivírus e Segurança

Novo malware no Android foi instalado mais de 600 mil vezes

5 de maio de 2023

Novo malware no Android foi instalado mais de 600 mil vezes

Um novo tipo de malware apareceu na Play Store disfarçado de aplicativo legítimo e recebeu mais de 620 mil downloads. Com o nome de “Fleckpe”, ele gera cobranças não autorizadas ao inscrever usuários em serviços premium. Informações de especialistas sugerem que o programa malicioso está ativo desde 2022, mas foi descoberto e documentado recentemente.

Malware no Android (Imagem: Reprodução / Internet)

Por enganar os usuários e fazê-los se inscrever em serviços não autorizados, o malware já fez bastante lucro para os golpistas. Eles recebem uma parte do dinheiro mensalmente ou de uma só vez, dependendo do tipo de assinatura. Porém, se os próprios criminosos operam as plataformas, eles conseguem obter 100% do pagamento.

Profissionais da Kaspersky informaram que a maioria das vítimas são residentes da Malásia, Indonésia, Tailândia, Singapura e Polônia. Há pessoas que caíram no golpe ao redor do mundo, mas essas situações foram em menor escala.

Além disso, a empresa de segurança de internet divulgou que descobriu 11 tipos de Fleckpe. Eles se disfarçam de aplicativos de edição de imagens, papeis de parede, biblioteca de imagens, entre outros. Alguns dos nomes desses programas maliciosos são:

com.impressionism.prozs.app;

com.picture.pictureframe;

com.beauty.slimming.pro;

com.beauty.camera.plus.photoeditor;

com.microclip.vodeoeditor;

com.gif.camera.editor;

com.apps.camera.photos;

com.toolbox.photoeditor;

com.hd.h4ks.wallpaper;

com.draw.graffiti;

com.urox.opixe.nightcamreapro.

Um dos apps que contém o Fleckpe (Imagem: Divulgação / Kaspersky)

Aplicativos foram removidos, por enquanto

No relatório divulgado na página da Kaspersky, os profissionais afirmam que todos os programas maliciosos Fleckpe que encontraram já não estão mais presentes na Play Store do Google, mas vale ficar de olho:

Todos os aplicativos foram removidos da loja digital quando nosso relatório foi publicado, mas os agentes criminosos podem ter implantado outros softwares ainda não descobertos, portanto, o número real de instalações pode ser maior.

De acordo com a companhia de cibersegurança, o malware funciona assim que o usuário ativa o app. Ele carrega uma “biblioteca nativa fortemente ofuscada contendo um conta-gotas malicioso que descriptografa e executa uma carga útil dos ativos do aplicativo”.

Em seguida, o Fleckpe contata os servidores de comando e controle dos golpistas e envia dados do dispositivo, que inclui o código de área móvel e o código de rede móvel. Por fim, o software malicioso abre uma janela invisível de navegador para efetuar a inscrição da vítima.

Ao que tudo indica, esse tipo de vírus vem se tornando bastante popular na visão dos cibercriminosos. Seus operadores estão usando mercados oficiais como a Play Store e a App Store para disseminar o conteúdo e fazer novas vítimas.

A Kaspersky sugere medidas comuns para evitar cair nos golpes:

Para evitar a infecção e a consequente perda financeira, recomendamos ter cuidado com os apps, mesmo os provenientes do Google Play, evitar dar permissões que não deveriam ter e instalar um antivírus capaz de detectar esse tipo de cavalo de Troia.

Com informações: Bleeping Computer.
Novo malware no Android foi instalado mais de 600 mil vezes

Novo malware no Android foi instalado mais de 600 mil vezes
Fonte: Tecnoblog

Apple libera atualização Rapid Secure Response pela primeira vez ao público

1 de maio de 2023

Apple libera atualização Rapid Secure Response pela primeira vez ao público

A Apple disponibilizou para o público pela primeira vez o chamado Rapid Secure Response (RSR) na segunda-feira (1). Donos de gadgets da companhia já podem fazer o download do update. Ele foi criado para fornecer aos usuários de iOS e macOS correções de segurança sem a necessidade de instalar uma atualização de software completa.

O Rapid Security Response Update (Imagem: Reprodução / Internet)

A atualização está chegando aos poucos para usuários com iOS 16.4.1 e macOS 13.3.1, ela tem cerca de 80 MB. Segundo a Apple, a novidade está sendo liberada aos poucos durante as próximas 48 horas, ou seja, nem todo mundo terá o update de cara.

A dona do iPhone define o Rapid Security Response dessa forma:

Eles são um novo tipo de lançamento de software para iPhone, iPad e Mac. Oferecem importantes melhorias de segurança entre as atualizações de software, como, por exemplo: melhorias no navegador Safari, na pilha de estrutura WebKit ou em outras bibliotecas críticas do sistema. Eles também podem ser usados para mitigar alguns problemas de segurança mais rapidamente, como problemas que podem ter sido explorados ou relatados como existindo ‘livres por aí’.

Por padrão, o dispositivo do usuário deve atualizar com o RSR automaticamente. Contudo, a pessoa pode remover essa opção e realizar o update de forma manual quando achar necessário.

Além disso, a Apple confirmou que a partir de agora, apenas aparelhos com a versão mais recente do sistema operacional vão receber o Rapid Security Response.

iPhone 12 (Imagem: Reprodução / Internet)

iOS 17 pode trazer integração com headset de realidade virtual

Enquanto a Apple disponibiliza atualizações para a versão atual do iOS 16, a companhia já está planejando o sucessor do seu sistema operacional.

Ainda não há um anúncio oficial e, muito menos, uma beta confirmada, mas diversos vazamentos e rumores indicam muitas novidades para o iOS 17.

Por exemplo: segundo os burburinhos, a maçã pode liberar o uso de navegadores com motores próprios, sem o WebKit. Ou seja, será que finalmente teremos o Google Chrome e o Mozilla Firefox no iPhone?

Há relatos de um suporte ao headset de realidade virtual que a própria Apple está desenvolvendo. Porém, como a empresa faz muito mistério sobre esse assunto, não é possível bater o martelo.

Por fim, o CarPlay deverá receber uma integração bem completa com o iOS 17, que poderá adicionar widgets, temas e a possibilidade de controlar o ar-condicionado pelo iPhone.

Com informações: MacRumors e Apple.
Apple libera atualização Rapid Secure Response pela primeira vez ao público

Apple libera atualização Rapid Secure Response pela primeira vez ao público
Fonte: Tecnoblog

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

21 de abril de 2023

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

A orientação de que devemos tomar cuidado com softwares antigos ou abandonados não é exagerada. Prova recente disso vem do Eval PHP. Esse é nome de um plugin para WordPress que não é atualizado desde 2012 e, agora, vem sendo usado para comprometer sites.

Eval PHP compromete segurança do WordPress (imagem ilustrativa: Vitor Pádua/Tecnoblog)

O Eval PHP permite que o administrador de um site em WordPress adicione códigos PHP diretamente em páginas ou postagens. O recurso pode ser usado para testar funções ou oferecer funcionalidades aos visitantes do site.

Por ser um plugin antigo e usado para um propósito muito específico, o Eval PHP é pouco usado atualmente. Mas a empresa de segurança digital Sucuri notou que, nas últimas semanas, vários sites estavam sendo infectados com um backdoor cujo código tem relação com o plugin.

A Sucuri constatou que, no final de março, o Eval PHP chegou a um pico diário de 7 mil downloads. Antes disso, o plugin raramente registrava um único download por dia. A companhia estima que, desde então, mais de 100 mil downloads já foram realizados.

Invasão silenciosa

O Eval PHP não se tornou popular de uma hora para outra. O número de downloads disparou simplesmente porque ele vem sem usado pelos invasores, não por administradores de sites.

Tudo começa quando o invasor insere um código malicioso na tabela “wp_posts” do banco de dados do WordPress. Para isso, ele usa uma conta de administrador comprometida, que também serve para que o plugin seja instalado.

Por meio do plugin, o código é injetado em páginas ou postagens do WordPress. Basta então ao invasor acessar esses links para o código ser executado. Quando isso ocorre, o backdoor é inserido na raiz do site.

Várias ações maliciosas podem ser executadas a partir daí, como disseminação de malware, captura de dados e ataques a outros sites.

Para evitar que as páginas e postagens comprometidas sejam descobertas, os invasores as salvam como rascunho. Assim, os links não aparecem na relação de conteúdo público do site.

O que torna todo esse esquema diferente de outros tipos de invasões é que, como o código malicioso é executado graças ao Eval PHP, é mais difícil o seu rastreamento por mecanismos de segurança.

Para piorar a situação, se o backdoor for removido, ele poderá ser inserido no site novamente após o simples acesso a uma das páginas ou postagens comprometidas.

Eval PHP está há mais de dez anos sem atualização (imagem: reprodução/Sucuri)

Medidas de segurança

Evitar o uso de softwares (aqui, plugins) desatualizados é uma das formas de se prevenir contra invasões. Se o Eval PHP recebesse manutenção, certamente os seus mantenedores encontrariam formas de evitar que o plugin fosse usado para execução de código malicioso.

Como no caso em questão o plugin é instalado pelo invasor, não pelo usuário, caberia aos mantenedores dos repositórios do WordPress adotar medidas preventivas. Por outro lado, é difícil para eles monitorar um universo tão grande de plugins.

É por isso que medidas complementares devem ser adotadas pelos administradores de sites. A Sucuri recomenda:

manter os recursos do site sempre atualizados;

proteger o painel de administração do WordPress com autenticação em dois fatores para dificultar acessos indevidos;

contar com um serviço regular de backup;

usar firewalls para bloquear bots e atenuar vulnerabilidades conhecidas.

Plugin abandonado é usado para atacar silenciosamente sites com WordPress

Plugin abandonado é usado para atacar silenciosamente sites com WordPress
Fonte: Tecnoblog

Microsoft quer ajudar a detectar um malware quase indetectável

13 de abril de 2023

Microsoft quer ajudar a detectar um malware quase indetectável

A Microsoft disponibilizou algumas dicas para detectar um malware difícil de encontrar chamado BlackLotus. Esse tipo de vírus é bastante sofisticado e tem como alvo o Unified Extensible Firmware Interface (UEFI), que é a primeira coisa a ativar quando ligamos o computador. Por funcionar antes do próprio sistema operacional do PC, ele consegue se “esconder” do antivírus e ficar na máquina mesmo se tudo for reinstalado ou se houver a troca de HD.

Antivírus (Imagem: Unsplash / Dimitri Karastelev)

Segundo a Microsoft, os cibercriminosos usam a vulnerabilidade CVE-2022-21894 para implantar o BlackLotus UEFI Bootkit na máquina da vítima. Porém, a empresa de Redmond apontou a análise de certas partes para tentar identificar o vírus:

Arquivos do carregador de inicialização criados e bloqueados recentemente;

Presença de um diretório de preparo usado durante a instalação do BlackLotus no EPS:/ sistema de arquivos;

Modificação da chave do Registro para a Integridade de Código Protegida pelo Hipervisor (HVCI);

Logs de rede;

Logs de configuração de inicialização;

Artefatos de partição de inicialização.

Além disso, como o malware utiliza a vulnerabilidade CVE-2022-21894, é possível proteger o seu dispositivo se você usar um patch para resolver essa questão previamente.

A Microsoft também sugere para “evitar o uso de contas de serviço no nível de administrador. Restringir privilégios administrativos locais pode ajudar a limitar a instalação de cavalos de Tróia de acesso remoto (RATs) e outros aplicativos indesejados”.

Detectar o vírus é o primeiro passo para removê-lo (Imagem: Reprodução / Internet)

BlackLotus custa mais de R$ 20 mil

Esse vírus está disponível desde 2022 em diversos fóruns de hackers e similares. Em seu anúncio de venda, os cibercriminosos dizem que o malware consegue evitar a detecção de antivírus, resistir a tentativas de remoção e pode desabilitar vários recursos de segurança.

Dessa forma, o preço de uma licença é por volta de US$ 5 mil (perto de R$ 24 mil em uma conversão direta), enquanto rebuilds estão custando US$ 200 (em torno de R$ 984).

Os vendedores afirmam que o BlackLotus tem proteção Ring0/Kernel integrada contra remoção, consegue iniciar no modo de recuperação ou segurança, além de ter o recurso de bypass de Inicialização Segura integrado.

De acordo com a Microsoft, depois de identificar o malware no computador, a pessoa precisa remover o dispositivo da rede e reinstalá-lo com um sistema operacional limpo e partição EFI. Ademais, um usuário pode restaurar o sistema a partir de um backup limpo com uma partição EFI.

Com informações: Bleeping Computer.
Microsoft quer ajudar a detectar um malware quase indetectável

Microsoft quer ajudar a detectar um malware quase indetectável
Fonte: Tecnoblog

« First‹ Previous111213