Publicado em Quinta - 01 de Março de 2007 | por Luiz Celso

Spyware anexa automaticamente spams a mensagens eletrônicas

Uma nova geração de cavalos-de-Tróia foi detectada na Web por diversos especialistas em segurança. Um de seus representantes mais ilustres é capaz de automaticamente anexar conteúdos maliciosos a e-mails, mensagens instantâneas e até em postagens feitas em websites, como fóruns de discussão.

Segundo o site vnunet, um dos descobridores do malware é Eric Chien, pesquisador da Symantec. De acordo com o profissional, o Trojan utiliza um componente do sistema do Windows para monitorar o tráfego de rede. Quando uma dessas mensagens é detectada, ele automaticamente altera o conteúdo delas inserindo código malicioso.

Spam por meio de postagens em sites não é novidade, explicou Chien no blog da companhia. Mas o que ele traz de diferente sobre esse tipo de golpe é que o conteúdo de spam é integrado em mensagens legítimas, ou seja, feitas por usuários reais. Embora essa estratégia seja inovadora, a maneira como o usuário cai nesse golpe continua a mesma: quando ele encontra o post alterado, é induzido a baixar o arquivo malicioso por títulos sugestivos como vídeo engraçado.

Chien afirmou que provedores de serviços de e-mail famosos como o Gmail, Hotmail e Yahoo Mail, assim como serviços de mensagens instantâneas como o ICQ, GTalk, AIM e Yahoo Messenger, já tiveram suas mensagens alteradas pelo malware. O especialista recomenda aos usuários que evitem clicar em links não relacionados ao assunto do site ou fórum que estão visitando, assim como executar arquivos não solicitados quando enviados pelo seu programa de mensagens instantâneas.
Leia mais...

Variante do trojan Storm se espalha

Publicado em Quarta - 28 de Fevereiro de 2007 | por Luiz Celso

Dmitri Alperovitch, o pesquisador principal da Secure Computing, afirma que o trojan “Storm” –também conhecido como “Peacomm”, entre outros nomes- está adotando novas formas de se espalhar pela rede.

A infecção inicial continua sendo por e-mail com link malicioso, que leva à contaminação da máquina. Contudo, depois de fazer o computador vítima, o código malicioso se posiciona na rede e analisa o tráfego web de saída. “A praga tem armadilhas para fóruns, e-mail e blogs”, diz o especialista. Quando um usuário com máquina infectada posta em um fórum ou blog, ou envia mensagem por serviços populares de webmail como Hotmail, Gmail, e Yahoo Mail, o Strom adiciona textos na mensagens.

“A praga escreve algo como ‘você viu esse link?’ junto com um endereço que parece ser de um portal de vídeos para levar novas vítimas aos links maliciosos”, relata Alperovitch. Um dos pontos destacados pelo pesquisador está generalidade do código, o que permite que ele funcione em diversos sites.
Leia mais...

Phishings e vírus invisíveis aumentaram duas vezes e meia em relação a 2005

Publicado em Terça - 27 de Fevereiro de 2007 | por Luiz Celso

O número de phishings e vírus invisíveis aumentou duas vezes e meia em relação a 2005, mostra pesquisa da SonicWall, fabricante de soluções de segurança. No entanto, segundo o estudo, atualmente, os internautas enfrentam o perigo de ataques combinados de spam, phishing, vírus e DHA.

O roubo online está mais sofisticado, invisível e universal. Hoje o alvo de criadores de spams não se limita apenas a empresas, mas atinge também a pessoa física, diz Gleb Budman, diretor sênior de e-mail Security da empresa. Os bancos estão entre as dez instituições mais atingidas por spams, de acordo com o relatório.

O estudo revela que atualmente o principal objetivo dos spammers é dinheiro, por isso o número de spams que promovem o roubo em grande escala vem aumentando. Em 2006, o lucro com spams quadruplicou, passando de US$ 257 para US$ 1.244 por vítima, de acordo com relatório da consultoria Gartner de novembro do ano passado. O número de spams na forma de imagem, que tentam ludibriar os filtros de e-mail usando imagens no lugar de texto, aumentou cerca de 500% em 2006, enquanto o aqueles cujo objetivo é incentivar a compra de algum produto cresceram cerca de 400% no mesmo período.

A pesquisa mostra também que os e-mails irrelevantes ou não-solicitados prosseguem como o maior incômodo para os usuários de mensagens eletrônicas. Este tipo de problema cresceu 230% em 2006. “Presenciamos um aumento de 274% no volume de e-mails não-solicitados durante o ano, metade deles spams, constata o executivo. Para se proteger de mensagens não solicitadas, a dica de Budman é conferir se o filtro de e-mail está devidamente configurado.

O número de ataques DHA, mensagens enviadas para endereços corporativos inexistentes, aumentou 505,6%. Já os ataques phishing aumentaram 64%. Embora o número de vírus que apenas distraem a atenção tenha diminuído, a SonicWALL registrou um aumento de spywares e keystroke loggers destinados a roubar informações pessoais confidenciais e um aumento também na distribuição dos chamados vírus “invisíveis”, cujo objetivo é seqüestrar computadores para serem usados como servidores de spam.

“São necessárias apenas algumas centenas de sistemas para compor uma “botnet” capaz de enviar centenas de milhões de spams”, continuou Budman. “As máquinas zumbis são ativadas em série e depois agem de forma imperceptível, dessa forma a infecção passa desapercebida por um longo tempo. Elas são responsáveis pelo grande aumento do número de spams”.
Leia mais...

Trojans brasileiros usam servidores falsos para roubar senhas

Publicado em Quinta - 22 de Fevereiro de 2007 | por Luiz Celso

Janelas pop-ups falsas, telas sobrepostas e falsos navegadores são técnicas utilizadas por criminosos virtuais em seus códigos maliciosos para roubar senhas. Uma nova técnica — redirecionamento para sites falsos –, que antes já era usada, está começando a se popularizar.

A técnica já havia sido utilizada por alguns cavalos de tróia brasileiros, especialmente o Banhost-B. Com seu uso, os criminosos conseguem hospedar uma cópia do site do banco em um servidor falso e redirecionar o endereço do site verdadeiro para este site falso.

O resultado é que o endereço apresentado na barra de endereços será o mesmo do site real, porém o usuário estará navegando em um site controlado por criminosos.

A maior dificuldade dos criminosos para realizar esta façanha é manter os sites falsos no ar. Geralmente são usados servidores invadidos, pertencentes a outras pessoas, que estão sendo abusados ilegalmente. Quando o dono ou a empresa de hospedagem responsável por estes servidores toma conhecimento do problema, os sites falsos são retirados do ar imediatamente.

Um dos ataques observados pela Linha Defensiva utilizava 4 servidores diferentes, todos localizados no mesmo provedor nos Estados Unidos. Os principais alvos eram a Caixa Econômica Federal, Banco do Brasil e Hotmail. Outro golpe utilizava um servidor localizado no México e possuía sites falsos para 6 bancos diferentes.

Para efetuar o redirecionamento, o código malicioso altera o arquivo hosts do computador, redirecionando sites de bancos para os servidores falsos. Ao acessar o site do banco digitando o endereço correto no navegador, o computador — ao invés de consultar o provedor de acesso pelo destino correto — conecta ao endereço informado no hosts. O usuário então já estará em um site falso e tudo que ele enviar será recebido pelos golpistas. [ Leia mais sobre o hosts ]
SSL

O “cadeado” presente em sites de bancos poderia prevenir que esta técnica tivesse qualquer impacto. Um site de banco falso não pode apresentar o cadeado (HTTPS) ao usuário. Este cadeado é o resultado da utilização de SSL (Secure Sockets Layer), uma camada de segurança que, além de proteger a informação enviada, também certifica que o endereço do site atual é realmente o site que você quer.

Se o internauta for direcionado a um site malicioso pelo hosts (ou pelo DNS, como no Drive-by Pharming), o endereço que aparece no navegador ainda é o mesmo do site real, mas na verdade não se trata da mesma página do banco e sim de uma página controlada pelo criminoso. Usando SSL, o navegador não consegue verificar a autenticidade da página falsa e o cadeado não aparece.

Infelizmente, muitos bancos não utilizam o SSL de forma correta. Alguns não possuem a página principal protegida, mesmo que esta tenha um formulário onde a senha deve ser digitada. O correto seria possibilitar a verificação da presença do cadeado assim que o site fosse aberto, mesmo se não houvesse formulário na página principal.

Como a página principal não é protegida pelos bancos (por decisão dos próprios), a verificação não é possível. O usuário só consegue saber se o site é falso ou verdadeiro após digitar as informações no formulário, quando finalmente verá o “https://” na barra de endereço. E, se não ver, será tarde demais, pois já terá enviado sua senha aos criminosos.

Nos casos de código malicioso, SSL não é muito útil, pois, no momento que o computador está infectado, o criminoso possui, de uma forma ou outra, acesso aos dados que passam pelo sistema. Em casos de redirecionamento malicioso, como nesta técnica específica, Drive-by Pharming e envenenamento do cache DNS, o SSL seria uma peça importante.
Leia mais...

Novo phishing scam usa Google Maps

Publicado em Quarta - 21 de Fevereiro de 2007 | por Luiz Celso

Clientes de, no mínimo, dois bancos se tornaram vítimas de um phishing scam no qual códigos maliciosos a localização física do IP afetado usando o Google Maps. Clientes alemães e norte-americanos também já foram vítimas do truque.

O software instala um cavalo-de-tróia capaz de rastrear as atividades dos usuários, seqüestrando computadores infectados.

O scam circula como uma falsa notícia alegando que o primeiro-ministro australiano sofreu um ataque cardíaco. A praga se instala como um cavalo-de-tróia e captura dados inseridos pelo usuário assim como compromete o servidor a permitir o seqüestro do PC da vítima.

O cracker ganha acesso a detalhes sobre o número de máquinas infectadas em casa país, enquanto o servidor do Google Maps é usado para traduzir os IPs em marcadores no mapa global do serviço, indicando seu posicionamento físico.

O diretor da Websense na Nova Zelândia e Austrália, Joel Camissar, acredita que crackers podem potencialmente usar o Google Maps para ajudar no roubo de dados.

Os crackers podem relacionar informações dos usuários com as informações geográficas do Google Maps para localizá-los, afirma Camissar. Com isto, é mais fácil ter acesso a dados como conta bancária e número do seguro social.

Os bancos Westpac e Commonwealth Bank estavam entre os atingidos pela praga na Austrália, enquanto o Bank of America, nos Estados Unidos, e o Deutsche Bank, na Alemanha, também foram alvos do ataque. Nenhum representante dos bancos australianos estava disponível para comentar a história.

O consultor de tecnologia-sênior da Sophos, Graham Cluley, afirmou que usuários são redirecionados a uma página de erro 404 que baixa automaticamente o código.

Usuários que recebem o e-mail são encorajados a clicar em um link para obter as últimas informações sobre a saúde de Howard. No entanto, o link leva o usuário a um site que baixa malware para o PC, e então apresenta a página de erro 404, afirmou Cluely.

Os scammers registraram dezenas de nomes de domínio que parecem ser associados com um jornal, e se esforçaram muito para forçar a pessoas a visitar o site forjado para que o malware seja instalado, diz o executivo da Sophos.
Leia mais...

Falso e-mail que promete imagens do BBB7 é vírus

Publicado em Sexta - 26 de Janeiro de 2007 | por Luiz Celso

Circula pela Internet um e-mail falso em nome da Rede Globo que promete imagens exclusivas do Big Brother Brasil 7. A mensagem tem como assunto “Vamos dar uma espiadinha”, vem com um pequeno texto e um grande logo do programa, além de links para um site com código malicioso.

Para dar veracidade à mensagem, o texto diz: “Assista todos os momentos dos Brothers na casa, não perca nenhum detalhe. e deixe-nos a sua opinião. Não esqueça de votar em quem está no PAREDÃO!” Abaixo deste texto, está o logo do programa, e logo depois, mais um trecho de texto diz: “CLIQUE ACIMA E SIGA AS INSTRUÇÕES. AVISO: Este link é inteiramente grátis e disponível para todo território nacional.”

Se o usuário receber a mensagem, que tem como remetente o endereço entrega@globo.com.br, a indicação é apagá-la imediatamente. Para evitar quaisquer problemas, o internauta deve estar atento às atualizações de programas antispam, antispyware e antiphishing.
Leia mais...

“Vírus tempestade” se espalha em alta velocidade

Publicado em Sábado - 20 de Janeiro de 2007 | por Luiz Celso

Uma nova praga virtual está se disseminando em alta velocidade, segundo alertas de várias empresas de antivírus. Segundo a Sophos, um em cada 200 e-mails que circularam pela internet nas últimas horas está contaminado pela ameaça. Com isso, ele já responde por cerca de 75% do volume de pragas identificadas pela empresa recentemente.

O invasor chega por e-mail com um chamada que promete notícias sobre as tempestades na Europa (230 Dead as storm batters Europe), mas também pode conter outros títulos, como U.S. Secretary of State Condoleezza Rice has kicked German Chancellor Angela Merkel, A killer at 11, he"s free at 21 and kill again! e British Muslims Genocide.

Junto com a mensagem vem um arquivo, com nomes como FullClip.exe e Read More.exe. Ao clicar, o usuário infecta sua máquina com um cavalo-de-tróia conhecido como Troj/DwnLdr-FYD ou Small.DAM, que permite baixar outros arquivos nocivos.
Leia mais...

Pragas brasileiras registraram crescimento histórico em 2006

Publicado em Sexta - 19 de Janeiro de 2007 | por Luiz Celso

De acordo com a McAfee, o número de vírus que roubam dados cresceu 250% em 2006. No Brasil não foi diferente: a Linha Defensiva registrou um aumento histórico no número dessas pragas durante o ano devido a diferentes meios de infecção e maior agressividade. Confira dicas para se proteger e um vídeo que demonstra o funcionamento de uma praga do gênero.

Os códigos maliciosos ladrões de senha são chamados de Bankers. Banker, além de ser ‘banqueiro’ em inglês, é também usado como uma variação do termo ‘hacker’ que define um interesse em sistemas bancários, nos mesmos moldes de cracker, phreaker (sistemas telefônicos) e carder (cartões de crédito).

As infecções de Bankers geralmente buscam roubar senhas de banco por meio da captura de teclas, cliques e até mesmo vídeos das ações do internauta durante a navegação em sites de Internet Banking.
Leia mais...

Poucos internautas conhecem os riscos dos computadores zumbis

Publicado em Terça - 16 de Janeiro de 2007 | por Luiz Celso

São poucos os internautas que conhecem os riscos que computadores zumbis representam para o uso seguro e eficiente da Rede. A declaração foi dada por Lydia Parnes, diretora de Proteção ao Consumidor na Comissão Federal de Comércio dos EUA. De acordo com a especialista, boa parte das mensagens eletrônicas não solicitadas que surgem nas caixas de e-mail dos usuários tem como origem computadores zumbis e em algumas ocasiões o próprio computador alvo da ação. Um computador zumbi é um PC infectado por algum malware que permite o controle remoto da máquina geralmente com o objetivo de transformá-la em um emissor de spam.

Com isso, Parnes dá a entender que muitas vezes o spam que o usuário recebe foi enviado por ele mesmo – ou involuntariamente pelo computador infectado que ele está usando. Um computador zumbi é uma máquina infectada com algum tipo de malware que a transforma em um grande emissor de mensagens não solicitadas – comumente infectadas por vírus e trojans ou com propagandas enganosas que tem como objetivo lesar o usuário mais incauto.

Uma experiência conduzida por laboratórios na Microsoft mostrou como é simples e rápido criar um computador zumbi. O processo todo, iniciado e conduzido em ambiente controlado, começou com a instalação de um malware. Uma vez instalado o aplicativo, foi observada a tentativa do computador de acessar um servidor em local não identificado. Feita a conexão , centenas de tentativas de acesso de diferentes IPs foram diagnosticadas – todas com comandos para transformar a máquina vítima em uma base para o envio de mensagens não solicitadas.

Três semanas depois do início da experiência, foram registrados cinco milhões de tentativas de acesso para o envio de 18 milhões de e-mails. Estas mensagens continham propaganda de mais de 13 mil domínios diferentes. Para evitar a transformação de uma máquina em um zumbi, especialistas recomendam a manutenção de um antivírus e antispam atualizados, a ativação de um firewall, de um antispyware e o download das correções fornecidas pelas empresas desenvolvedoras dos softwares usados no equipamento.
Leia mais...

Descoberto kit que facilita ataques avançados de phishing

Publicado em Sexta - 12 de Janeiro de 2007 | por Luiz Celso

A empresa de segurança RSA anunciou nesta quarta-feira (10/1) a descoberta de um kit que facilita a criação de sites falsos para roubar dados de internautas desatentos. De acordo com a RSA, o kit, que está sendo vendido na web, possibilita a criação instantânea de um endereço falso que funciona como uma ponte entre o internauta e o site verdadeiro. Para o usuário, o site falso será igual ao verdadeiro, porém toda a informação enviada será roubada pelo criminososo responsável pelo site.

Golpes que utilizam sites falsos parecidos com os originais são chamados de Phishing. A vítima sempre chega ao site falso seguindo um link presente em uma mensagem de e-mail enviada pelo criminoso. O conteúdo da mensagem geralmente afirma que o usuário precisa atualizar seus dados ou que a conta corre algum risco de ser fechada caso os dados não sejam confirmados clicando-se no link. Serviços como PayPal, eBay e Orkut são alvos comuns de ataques desse gênero.

A RSA diz que analisou uma versão “demo” de testes do kit, que se chama Universal Man-in-the-Middle Phishing Kit [Kit de Phishing Homem no Meio Universal]. Homem no Meio é um termo geral para ataques onde o criminoso fica no meio de uma conexão entre dois computadores que acreditam estar conectados diretamente com o outro. O kit é universal porque pode criar páginas falsas para quase qualquer site.

Para identificar sites falsos, alguns internautas tentam digitar dados de login incorretos, pois uma página falsa não consegue saber se aquela informação é legítima. Se o site aceitar a informação inválida, significa que ele é falso. Porém, páginas falsas criadas com o kit encontrado pela RSA verificam no site verdadeiro se os dados são válidos ou não, servindo como uma ponte. Como resultado, o site falso é exatamente igual ao verdadeiro, reproduzindo inclusive as páginas de erro de autenticação.

De acordo com a RSA, ataques de phishing que utilizam a técnica de homem no meio ainda são raros, mas devem se tornar comuns ainda este ano.
Leia mais...