Monero: Além de minerar criptomoedas, seu hardware também pode estar sendo minado.

Monero: Além de minerar criptomoedas, seu hardware também pode estar sendo minado.

Descoberta pela Unit42, laboratório de especialistas da Palo Alto Networks, a nova campanha lançada pelos criminosos já alcançou cerca de 15 milhões de PC’s ao redor do mundo. Este evento de consiste na disseminação de um vírus para aproveitar os sistemas das vítimas, e realizar a mineração da criptomoeda Monero.

 

Mas afinal, o que é mineração de criptomoeda?

Existem muitas definições sobre mineração de criptomoedas, cada uma diferentemente abordada por sua entidade emissora. No entanto, encontramos uma definição dada pelo professor de programação Ronaldo Prass (G1), bem clara e objetiva, usando o Bitcoin como exemplo que é a seguinte.

“A mineração de criptomoedas é o processo de registar as transações ao “livro” público do Bitcoin, também conhecido como “Blockchain”. As informações armazenadas nessa estrutura servem para confirmar as transações válidas. A rede Bitcoin usa o “Blockchain” para distinguir transações de Bitcoins legítimas de tentativas de reuso de moedas, ou seja, moedas que já foram gastas em outra transação. Esse processo é gerenciado por softwares específicos instalados nos computadores, o seu funcionamento em rede é semelhante ao torrent. Após conectado, o computador do usuário se conecta a um grupo de mineradores para aumentar a capacidade de processamento de dados. Essa rede possibilita que o Bitcoin não dependa de uma estrutura centralizada para a realização das transações. Os usuários que realizarem a mineração serão recompensado com criptomoedas.”

 

E o que nós brasileiros temos a ver com isso?

De acordo com a Palo Alto Networks, o Brasil é um dos países mais afetados. Estima-se que pelo menos 550 mil computadores no país teriam recebido o vírus. Ainda de acordo com as investigações e os relatos apresentados pelas vítimas, os conteúdos nocivos são distribuídos por meio de mensagens publicitárias enganosas, tais como em serviços como o Adfly, por exemplo. Relata-se também configurações padrão dos navegadores, são uma brecha de ataque para que estes anúncios se aproveitem e iniciem um download automático.

Para maiores informações técnicas, acesse este link para consulta direta ao site da Unit42.

 

 

Fontes: G1 e Unit42 Blog.


Cadastre-se em nossa Newsletter

Malware Zumanek: Tudo aquilo que você precisa saber sobre ele.

Malware Zumanek: Tudo aquilo que você precisa saber sobre ele.

Engenhoso trojan de acesso remoto (RAT), convence as vítimas a executarem o primeiro estágio de infecção.

 

Com foco no mercado financeiro nacional de bancos, financeiras e também no novo mercado das criptomoedas, esta nova variante de malware bancário foca no Brasil, e já dá as caras do quanto a engenharia social facilitará a vida do cibercrime.

 

Mas como ele atua?

Como toda ameaça avançada (APT) e se valendo da engenharia social, o Zumanek posiciona-se estrategicamente vigilante estudando seus alvos, visando entregar conteúdo convincente e que conduza a vítima a baixar e executar o primeiro estágio da cadeia de infecção. E esta etapa inicial, consiste no estudo e triagem da máquina onde ele está sendo rodado, e em seguida baixa o conteúdo nocivo para executá-lo.

 

Entende-se que o motivo para que explicar o porquê as detecções são feitas em sua maioria no Brasil, deve-se porque o downloader examina a língua do sistema utilizado pelo usuário e só agir se a entrada corresponder ao idioma ‘pt-br’.

 

Uma outra verificação do malware é para atingir o ponto mais fraco que são os usuários sem proteção antivírus. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes anti-ameaças. E no caso da existência de alguma proteção desse tipo, o processo é imediatamente encerrado. Agora, caso não seja encontrado antivírus, segue-se com a sequência de ataque, realizando o download do payload final e sua execução na máquina da vítima.

 

Adiante, passando para a segunda etapa, o arquivo executado fornece ao atacante o controle remoto da máquina da vítima. Então ele realiza o roubo de credencias de acesso a serviços de internet banking e a contas de serviços de criptomoedas.

 

Feita a execução dos arquivos, são enviados diversos comandos à máquina da vítima, podendo o operador também visualizar a tela do usuário, tudo isso a partir dos dados enviados, realizando comandos do tipo screenshot de tela. Dessa maneira, os dados da vítima ficam totalmente expostos.

 

Reforçamos que se deve observar sempre as boas práticas do uso da rede doméstica e corporativa. Pois em nossas rotinas, muitas vezes deixamos para executar atividades pessoais e profissionais em distintos horários, trabalhando em casa ou acessando informações bancárias na rede corporativa.

 

O trânsito de conexões entre redes protegidas e não-protegidas, facilita a injeção de malwares obtidos fora de ambiente controlado, gerando transtornos ao usuário e às organizações que procuram manter o controle sobre o uso seguro de sua infraestrutura.

 

 

Fonte: Security Report.


Cadastre-se em nossa Newsletter

Cuidado com os links de e-mail: Ransomware Scarab à solta.

Cuidado com os links de e-mail: Ransomware Scarab à solta.

Scarab: o mais novo Ransomware, já afetou mais de 12 milhões de contas de e-mails.

Conhecida por ser a maior rede de Botnet do mundo, a Necurs lançou ontem uma nova campanha de Ransomware, batizada de Scarab.

O Scarab é novo e vem sendo detectado com algumas ações pontuais desde junho deste ano. Com linha de ataque similar ao WannaCry, por encriptar os arquivos, ele difere dos demais ataques da categoria por não exigir uma quantia fixa para o resgate. O que diferencia neste caso, é que o preço varia do quão rápido o usuário quer resolver o problema.

Seu modo de mascarar conteúdo malicioso e enganar as vítimas, parte de referências feitas a personagens do seriado Game of Thrones, utilizando palavras como “Jon Snow” e “Samwell” no e-mail. Quanto à região de ataque, a maioria dos disparos foram voltados para Alemanha, Austrália, França e Reino Unido, o que não significa que demais regiões estão seguras.

Todo cuidado é pouco. Assim como outras em outras campanhas de Ransomware, deve-se prestar atenção aos links presentes em todas as mensagens de e-mail recebidas, assim como seus anexos. E visando aumentar sua capacidade, redes de Botnet como a Necurs vem lançando essas campanhas para capturar mais máquinas, dinheiro e usuários desatentos.

Fique de olho!

 

tela de interação do Scarab


Cadastre-se em nossa Newsletter

Cinco dicas importantes para que seu Black Friday não se transforme em sua particular “Black Fraude”.

Cinco dicas importantes para que seu Black Friday não se transforme em sua particular “Black Fraude”.

 

Finalmente chegamos ao tão esperado período comercial que, posteriormente às épocas de Natal e Dia das Mães, vem se consolidando no país como uma importante data para o comércio e a economia.

O termo Black Friday foi utilizado pela primeira vez em 1869, em uma finalidade muito diferente do que conhecemos hoje. Na época, dois especuladores do mercado de ouro, Jay Gould e James Fisk, tentaram assumir o controle de seu segmento nos EUA e acabaram gerando uma pequena crise financeira nacional.

Praticamente um século depois, o termo Black Friday que conhecemos hoje começou a tomar forma. A origem da relação do termo com o período de compras veio da Filadélfia, que por conta do fluxo de volta da viagem de ação de graças, as pessoas começaram a movimentar a economia e fazer com que as ruas e cidades ficassem excepcionalmente movimentadas. Especificamente, o termo “Black” teve sua atual definição ratificada praticamente 20 anos depois, isso porque o dia significava a melhoria das economias das lojas, passando das contas escritas em vermelho, prática utilizada pelos contadores que usavam pra indicar as negativas, pro preto, cor da caneta que indicava as contas positivas.

E nisso, a data foi ficando mais forte. Inclusive influenciando no comportamento de funcionamento das lojas que passaram a criar campanhas gigantes de “teaser”, abrindo as lojas antecipadamente e criando enormes expectativas de preços baixos entre seus clientes.

Agora, o que isso significa para você? A resposta é: Praticamente tudo. Pois com certeza nestes últimos dias, você já projetou comprar algo na próxima sexta-feira. E dependendo de como você comprar, este dia pode se transformar em uma grande dor de cabeça futura.

Mas fique tranquilo, trouxemos para você cinco grandes dicas de como evitar problemas futuros. São passos simples mas efetivos para conduzir você por um processo seguro de compra. Aqui estão eles:

 

#1

Busque sites confiáveis, com boa reputação e avaliação.

Diversos órgãos atualmente prestam serviço gratuito de avaliação de sites e-commerce. Além disso, a própria internet é uma grande rede de avaliação destas lojas, e o testemunho dos consumidores é um grande aliado para desvendar se o vendedor possui boa reputação e avaliação. Fique de olhos atentos aos prazos de entrega e qualidade dos produtos.

#2

Não acredite em ofertas milagrosas! Não existe TV de 52″ por R$ 100,00.

Pode parecer estranho, mas ainda existem casos deste tipo. Pessoas caem facilmente nesta tentação, onde recebem ofertas “milagrosas” sem fazer nenhum juízo de valor sobre a relação preço x produto ofertado. Na tentativa de coletar audiência para suas promoções ou até então envolver o consumidor em compras “casadas” onde não haverá vantagem nenhuma, algumas empresas apelam para este tipo de prática gerando dolo ao cliente.

#3

Recebeu um e-mail de seu banco solicitando atualização de senha? Não caia nessa!

Os antigos já diziam em dia de pagamento: Cuidado na rua! Os bandidos estão aproveitando que as pessoas receberam seus salários. Assim eles ganham “maior fluxo” de dinheiro circulando na rua e maiores oportunidades para lucrar com furtos e roubos.

O mesmo vale para o cibercrime nestas sazonalidades comerciais. Há uma grande circulação de falsos e-mails e SMS, alegando tentativa de fraude em sua conta, com a famosa requisição de “clique aqui para atualizar sua senha”. Não clique! Banco nenhum solicita senha por estes canais para seus clientes. Valide somente estas operações no serviço de internet banking de seu banco ou diretamente na agência.

#4

Não existe 100% de proteção, inclusive na Segurança da Informação.

Sim, isso é verdade. Empresa de segurança que promete 100% de proteção ao seus clientes, está mentindo. Haverá sempre um fator de erro, humano ou tecnológico, por má configuração ou defasagem, que fará com que aquele 0,01% se torne algo gigantesco.

Os sites de e-commerce em sua totalidade rodam aplicações virtualizadas e publicadas sobre servidores. Estes que por via de regra, ainda mais em operações críticas como processamento de pagamentos, necessitam de tecnologia do tipo WAF (Web Application Firewall) e serviços de revisão constante de código além de testes de intrusão para validar seus sistemas.

Porém como infelizmente não sabemos, se todos varejistas eletrônicos investem adequadamente na segurança de seus sistemas, fica a dica para buscar empresas com certificação de segurança visível e referenciada. Caso contrário, o risco só aumenta.

#5

E com um clique errado, o cliente pode se tornar um vetor de ataque. Temos aí concretizado o pesadelo da “Black Fraude”.

Quando do lado de lá, o do varejista, por mais que protegido ainda possa existir 0,01% de chance de violação, imagine do seu? E é claro que, à medida que o alvo vai se tornando maior ele fica mais visível, devemos considerar que você um alvo menor não será atingido? A resposta é: Não!

Imagine a cena em que você se planejou para comprar um smartphone novinho ou aquela TV ultra moderna agora na Black Friday. Porém, na quinta-feira você recebeu um e-mail aparentemente legítimo, avisando que o site em que você está cadastrado, antecipou as promoções. O que você faz? Clica no anúncio e aguarda ser redirecionado para a loja virtual?

Abaixo algumas orientações simples e úteis para se resguardar de ações comuns do cibercrime:

  • URL de destino:

Certifique-se de que ela leva ao destino correto, apenas deixando o ponteiro do mouse sobre o link desejado. Caso ele redirecione para algum domínio duvidoso, desconfie. Não caia nessa armadilha. Isso vale inclusive para links enviados por e-mail marketing.

 

  • Anexos de e-mail:

Não abra qualquer tipo de conteúdo anexo aos e-mails promocionais. Varejistas online, de reputação confiável, não enviam nenhum tipo de documento anexo em suas campanhas de venda.

 

  • Falsas comunicações de e-mail:

É comum o cibercrime disparar campanhas de malwares travestidas de contato “oficial” do varejista eletrônico. Em muitos casos, utilizam-se nomes legítimos de funcionários destas instituições, porém com interfaces maliciosas e redirecionamentos fraudulentos.

E como isso pode se transformar na sua “Black Fraude”?

ROUBO DE CREDENCIAIS

Logins de acesso e senhas bancárias.

 

SEQUESTRO DE DADOS

Criptografia de arquivos e servidores, com liberação mediante extorsão.]

 

CUMPLICIDADE EM CRIMES

Inserção de conteúdo malicioso, visando hospedagem de conteúdo ilícito na máquina sem consentimento da vítima.

 


Cadastre-se em nossa Newsletter

A evolução e o lucro do cibercrime

A evolução e o lucro do cibercrime

Relatório: O custo, a evolução e o lucro do cibercrime.

Leia tudo sobre este fenomenal negócio (para os atacantes).

 

Os cibercriminosos já lucraram bastante com o roubo de identidade e números de cartões de crédito, para depois vendê-los no submundo da internet. E graças ao grande desenvolvimento da distribuição dos ataques, pagamentos anônimos e a grande habilidade para criptografar e descriptografar dados, surgiu o ransomware!

Entenda como o ransomware, especificamente o criptográfico, rapidamente se transformou em uma das maiores ameaças às organizações ao redor do mundo.

Baixe já o relatório completo.

Name *

Email *


Cadastre-se em nossa Newsletter

Por dentro dos fatos: Ransomware Bad Rabbit

Por dentro dos fatos: Ransomware Bad Rabbit

Caros leitores,

Amanhecemos o dia com novidades sobre esta mais nova onda ransomware propagada ontem, informando que conforme previsto, redes brasileiras começariam ser atingidas com esta categoria de ataque. Empresas de comunicação e de diversos segmentos, reportaram tentativas de ataque deste tipo a partir da tarde desta terça-feira.

Sobre o Bad Rabbit

Este ataque, diferentemente dos anteriores (WanaCry e Petya/Not-Petya) utiliza a estratégia “drive by attack”, onde a vítima é induzida a baixar o conteúdo malicioso.

Travestida de atualização do Flash Player, o Bad Rabbit aparece como um pop-up comum em sites, comunicando que a ferramenta de visualização de conteúdo animado está desatualizada. Após o clique no botão dentro desta janela de aviso, é iniciado o download de um arquivo executável e automaticamente os conteúdos na máquina são todos criptografados.

Pop-up distorcido pede atualização com falso Flash (Fonte Tech Tudo)

 

 

 

 

 

 

 

 

Reforçamos que você pode verificar o status de seu Flash Player diretamente na ferramenta ou no site do fabricante.

Reforçamos que você pode verificar o status de seu Flash Player diretamente na ferramenta ou no site do fabricante.

Como o Bad Rabbit age no sistema:

Abaixo você encontra o workflow do Ransomware, suas etapas e comprometimento de conteúdo da vítima.

Como medida preventiva, você pode cadastrar os sites abaixo, detectados como infectados pelo JavaScript injetado em seu código HTML:

  • hxxp://argumentiru[.]com
  • hxxp://www.fontanka[.]ru
  • hxxp://grupovo[.]bg
  • hxxp://www.sinematurk[.]com
  • hxxp://www.aica.co[.]jp
  • hxxp://spbvoditel[.]ru
  • hxxp://argumenti[.]ru
  • hxxp://www.mediaport[.]ua
  • hxxp://blog.fontanka[.]ru
  • hxxp://an-crimea[.]ru
  • hxxp://www.t.ks[.]ua
  • hxxp://most-dnepr[.]info
  • hxxp://osvitaportal.com[.]ua
  • hxxp://www.otbrana[.]com
  • hxxp://calendar.fontanka[.]ru
  • hxxp://www.grupovo[.]bg
  • hxxp://www.pensionhotel[.]cz
  • hxxp://www.online812[.]ru
  • hxxp://www.imer[.]ro
  • hxxp://novayagazeta.spb[.]ru
  • hxxp://i24.com[.]ua
  • hxxp://bg.pensionhotel[.]com
  • hxxp://ankerch-crimea[.]ru

 

Em relação à medidas preventivas tomadas pela Gantech, mantemos o status informado ontem de que nenhum cliente foi comprometido. Quanto aos nosso parceiros, você pode encontrar abaixo os comunicados oficiais emitidos em relação ao Bad Rabbit:

Palo Alto Networks: https://researchcenter.paloaltonetworks.com/2017/10/palo-alto-networks-protections-bad-rabbit-ransomware-attacks/

WatchGuard: https://www.secplicity.org/2017/10/25/bad-rabbit-ransomworm-daily-security-byte/

 

Seguimos à disposição em caso de dúvidas.

Atenciosamente,

Gantech Information Safety

Cadastre-se em nossa Newsletter