Tópicos | Trojan

Considerado um dos jogos mais esperados do ano Cyberpunk 2077 gerou muitas expectativas entre os fãs. Tanto que cibercriminosos têm tentado se aproveitar da fama do jogo para aplicar golpes em jogadores desesperados para testar o game em outras plataformas. Pesquisadores da empresa de cibersegurança Kaspersky descobriram que um ransomware está sendo disseminado por meio de uma falsa versão beta do game para celulares Android. 

A especialista em segurança, Tatyana Shishkova, descobriu um site projetado para enganar usuários, fazendo-os acreditar que o download é da Google Play Store oficial. Nele, os internautas encontram falsas informações sobre o número de instalações e avaliações de usuários, tal como as páginas da loja de aplicativos do Google. 

##RECOMENDA##

[@#galeria#@]

Ao visitar o falso site e baixar o aplicativo malicioso, os jogadores recebem uma solicitação para que o programa possa acessar os seus arquivos. Basta isso para que os criminosos consigam bloquear as informações do aparelho. A vítima recebe uma notificação dizendo: "seus arquivos foram criptografados e só receberão a chave para desbloqueá-los após transferirem US $ 500 (cerca de R$ 2.580) em bitcoin no prazo de 10 horas". 

Caso o pagamento não seja efetuado, os cibercriminosos - que se autodenominam CoderWare - ameaçam excluir permanentemente os arquivos da vítima. Porém, a pesquisadora avisa que os cibercriminosos deixaram a chave de descriptografia incorporada no corpo do trojan, o que permite descriptografar os arquivos sem pagar pelo resgate. Ainda de acordo com a Kaspersky, os hackers já acumularam cerca de US$ 8.342,50 (aproximadamente R$ 43 mil) em suas carteiras de bitcoins.

Um vírus para Android recém-descoberto é tão agressivo que é capaz de causar danos físicos aos smartphones. Uma vez instalado, o trojan começa a enviar mensagens para qualquer número salvo na agenda e até participar na mineração de moedas virtuais. Segundo a empresa Kaspersky Lab, em alguns casos esta série de atividades, se feita com intensidade, pode causar deformações na bateria do celular.

Segundo os investigadores da Kaspersky, o trojan chamado Loapi está escondido em aplicativos distribuídos fora da Google Play. Ao clicar em propagandas exibidas nestes apps, o usuário é infectado. Uma vez instalado, o vírus é capaz de executar diversas funções silenciosamente, entre elas exibir propagandas, monitorar mensagens e também respondê-las, cadastrar o aparelho em serviços premium que são pagos e minerar criptomoedas.

##RECOMENDA##

Os pesquisadores da Kaspersky Lab testaram a capacidade do trojan em um laboratório. Após dois dias, a mineração de criptomoedas fez com que a bateria do smartphone ficasse deformada, pois o processo esquenta o dispositivo. Mas os problemas não param por aí. O Loapi também pede repetidamente que a vítima conceda permissão administrativa.

Se o proprietário do smartphone tentar mais tarde privar o aplicativo dos direitos de administrador, o trojan bloqueia a tela e fecha a janela de configurações. A vítima também fica impedida de baixar aplicativos antivírus. Segundo a Kaspersky Lab, para evitar cair no golpe, a dica é sempre instalar somente os apps disponíveis na Google Play

"A Google Play possui uma equipe dedicada responsável por encontrar vírus em seus aplicativos. Os trojans ocasionalmente se infiltram nas lojas oficiais, mas as chances de encontrar um são muito mais baixas do que em sites duvidosos", informa a empresa, em um post de blog.

LeiaJá também

--> Vazam na web 1,4 bilhão de senhas do Netflix e LinkedIn

Recentemente o laboratório da ESET na América Latina identificou dois novos golpes em roubo de contas bancárias no Brasil, em que os trojans criam um navegador falso que acessa as páginas dos bancos. De acordo com a empresa, os browsers são bem parecidos com o Chrome, a diferença crucial é que o navegador só consegue abrir uma única página, a do sistema bancário. Nenhum outro site carrega e os endereços de outros lugares não funcionam. 

O vírus copia fielmente o site, com todos os comandos, até porque a ideia do malware é detectar e gravar tudo que a vítima digita ou clica: senhas, nome dos titulares, números de contas etc. Desde 2004 que os trojans responsáveis por esse golpe são os mesmos. Identificados como Win32/Spy.Bancos. ACB, uma variação do Win31/Spy. Bancos, esta nova versão tem um único diferencial, enquanto a mais antiga usava FTP para mandar informações, a atual compila e direciona o arquivo para uma conta de email.  

##RECOMENDA##

O ESET afirma que ambos deixam os usuários desprotegidos e dão dicas para evitar este tipo de problema: manter um bom antivírus instalado e verificar, sempre que estiver fazendo alguma transação, se a janela do browser do site do banco consegue fazer outra atualização, e abrir diferentes páginas. 

 

A ESET, fornecedora de soluções de segurança da informação, alertou, nesta quarta-feira (29), mais um golpe na Internet. Desta vez o vírus vem disfarçado no vídeo do jogador de futebol Neymar e a atriz Bruna Marquezine. Segundo a empresa, o malware, que rouba dados bancários dos internautas, está atingindo milhartes de usuários brasileiros e europeus.

O vírus nada mais é que um Trojan (Cavalo de Troia) e ele começa a se espalhar pelo computador na hora em que o usuários faz o download de um arquivo de nome "Vídeo_Intimo.zip". Este arquivo é salvo automaticamente na máquina. O vídeo está sendo divulgado por meio de um email intitulado "Vídeo íntimo de Neymar e Bruna Markezine... Cenas picantes!!".

##RECOMENDA##

O malware identificado pela ESET como Win32/TrojanDownloader.Banload.SXK está sendo disseminado de forma muito forte e rápida na rede virtual. Essa rápida disseminação se deve ao fato de Neymar ser uma pessoa internacionalmente conhecida. Segundo a ESET isso é ainda mais preocupante, pois termina atraindo ainda mais a atenção dos internautas de todo o mundo. Até o momento as vítimas do Trojan foram o Brasil, Espanha e Argentina.

Essa prática de enviar vírus por meio de assuntos de emails sensacionalistas já é bem antiga, no entanto muitas pessoas ainda caem nesses golpes. 

 

De acordo com a empresa de segurança Avira, hackers estão usando o aplicativo de mensagens instantâneas WhatsApp para espalhar malware na rede.

A companhia alerta que é necessário ficar atento ao golpe, que se disfarça como mensagem de voz e usa um botão Play onde o usuário será redirecionado para um site onde poderá “baixar” o áudio. Ao fazê-lo, o smartphone é infectado pelo Trojan Kuluoz A.27 capaz de roubar senhas e informações privadas do aparelho.

##RECOMENDA##

Lembrando que para ouvir mensagens de voz no WhatsApp não é necessário sair do app, elas são reproduzidas no mesmo local das mensagens de texto.

A equipe de segurança da Kaspersky publicou um alerta na última quinta-feira (6) sobre um novo vírus para Android, desta vez mais potente e evoluído.  O malware já é considerado pelos especialistas da empresa como o mais sofisticado Trojan para Android.

Uma das suas principais características é a incapacidade de remoção, pois ele se aloja no código do próprio aparelho. Segundo comunicado da Kaspersky, os criadores da ameaça encontraram uma falha no software DEX2JAR, geralmente utilizado para conversão de arquivos APK no formato Java, complicando a obtenção de análises estatísticas do Trojan.

##RECOMENDA##

O malware, chamado de Backdoor.AndroidOS.Obad.a, consegue mandar mensagens SMS para outros números e infectar aparelhos que se encontrem nas proximidades via wi-fi ou Bluetooth. Quando instalado, ele transmite informações do indivíduo para o criador do vírus.

Os criminosos virtuais também encontraram um erro desconhecido no sistema Android permintido-os adquirir privilégios de administrador sem aparecer na lista de aplicativos que possuem tal permissão, tornando-o impossível de ser deletado. O Trojan não possui uma interface e funciona no modo background.

As informações referentes ao vírus foram divulgadas na internet pelo especialista de laboratório da Kaspersky, Roman Unuchek. Segundo o funcionário, o Google já foi notificado sobre as falhas.

A página virtual InfoAbril divulgou, na última quinta-feira (6), que hackers desenvolveram um malware direcionado a usuários do Banco Itaú. Segundo informações da ESET, empresa de segurança digital, o Trojan pode ser instalado através de e-mails nas máquinas dos clientes, por meio de anexos infectados. A execução do vírus é feita assim que o computador infectado acessa o site do banco.

De acordo com a InfoAbril, no momento em que o usuário entra no banking, automaticamente a página é fechada e produz uma mensagem afirmando que o site apenas pode ser acessado com Internet Explorer (IE). Quando o usuário tenta acessar a página pelo IE, o malware o redireciona para uma falsa página do banco.

##RECOMENDA##

No endereço virtual, inúmeras informações pessoais e bancários são solicitadas, como por exemplo número de cartão de crédito. Ao ser acionado, o malware consegue capturar todos os registros digitados e os envia de forma automática ao e-mail do criminoso.

A InfoAbril informa que a ESET aconselha os usuários a verificarem se o endereço da página começa com o protocolo “https”. O código significa segurança e autenticação do site e servidor, bem como possui ferramentas de segurança digital atualizadas.

Com informações do InfoAbril

Existe mais uma ameaça contra os usuários do Mac OS X. De acordo com informações da Tecnmundo, a empresas do ramo de segurança Intego emitiu um alerta divulgando que um novo trojan, com o nome de Crisis, está sendo espalhado pelos computadores com o sistema operacional da Apple, nas versões 10.6 e 10.7, Snow Leopard e Lion, respectivamente.

A empresa também tornou público que o trojan instala-se até mesmo em contas que não possuem permissão de administrador. Ele também manda comunicações para um IP remoto a cada cinco minutos, em que espera instruções do que deve ser buscado nos computadores. De acordo com a Intego, ainda não há a possibilidade de se afirmar que tipos de informações podem ser roubadas com o Crisis, todavia, a empresa informa que ele é um trojan de pequeno risco para os usuários.

Também há informações de que ele tem proteção contra as “reinicializações”. Por isso é necessário que ele seja removido para a ameaça seja eliminada do computador.

Com informações da Tecmundo



##RECOMENDA##

A Symantec afirmou nesta semana que o Flashback, malware voltado para Macs que foi descoberto no ano passado, pode ter rendido até 10 mil dólares por dia aos seus autores.

A empresa realizou engenharia reversa em uma versão do trojan, chamada “Flashback.K”, e concluiu que a receita gerada era obtida através de desvios de ganhos de publicidade da Google. O malware é apontado como a maior infecção que já atingiu o sistema operacional da Apple até agora.

##RECOMENDA##

“O Flashback é voltado especificamente para pesquisas feitas no Google e, dependendo do termo buscado, poderia redirecionar os usuários para outra página a escolha dos crackers, para que eles recebam dinheiro pela quantidade de cliques”, explicou a companhia de segurança em seu blog. Quando uma pessoa infectada clica em anúncios da Google, o Flashback analiza a requisição e substitui o site que está pagando pelo anúncio por um endereço próprio.

O malware também utiliza sequências de strings (cadeias de caracteres) de agentes de usuário especialmente criadas, que comprometem as informações de um computador que acessa um endereço, com “objetivo de que terceiros sejam impedidos de investigar a URL com agentes de usuários desconhecidos”, afirmou a Symantec.

A companhia fez testes e documentou o que aconteceu quando um usuário clicou em um anúncio sobre brinquedos. O clique no anúncio, avaliado em 8 centavos, é redirecionado para um site afiliado aos usuários maliciosos. “Isso resulta em uma perda enorme de receita da Google e gera quantias enormes de dinheiro para os responsáveis pelo Flashback”, alertou a Symantec. Já que o trojan afetou centenas de milhares de usuários, a companhia disse que essa quantidade poderia gerar montantes em torno de 10 mil dólares por dia.

O Flashback infectou computadores da Apple utilizando uma vulnerabilidade crítica no Java, corrigida pela companhia de Cupertino em abril deste ano, sete semanas depois de ter sido descoberta. Durante esse tempo, o trojan teria infectado mais de 600 mil computadores no mundo, sendo 2 mil apenas no Brasil.

Um novo vírus de computador, o DuQu, vinha desafiando as habilidades dos técnicos em segurança de rede. O motivo era a sua linguagem de programação, que não era reconhecível pelos programadores de anti-vírus. Este código incompreensível impedia que softwares que detectassem e corrigissem o DuQu fossem desenvolvidos. Teorizou-se que fosse inclusive algo um vírus por agências de inteligência mundiais, mas acabou decodificado por um esforço conjunto de usuários.

Desde sua descoberta no fim de 2011, o DuQu era impossível de exterminar. Havia um pedaço do vírus que era indecifrável e realizava os comandos de control e de aquisição de pacotes. Esta parte era responsável por fazer os computadores infectados se conectarem, puxarem e enviarem dados infectados para outras máquinas. A solução encontrada surgiu nos laboratórios da Karpesky Labs, uma empresa especializada em segurança de internet. Os programadores abriram o código do malware para a rede e pediram sugestões, um método apelidado de Crowdsourcing. É um modelo de produção que utiliza a inteligência e os conhecimentos coletivos e voluntários espalhados pela internet para resolver problemas, criar conteúdo e soluções ou desenvolver novas tecnologias.

##RECOMENDA##

O resultado foi rápido, com a empresa recebendo mais de 200 de posts e dezenas de e-mails. Em duas semanas, o código do malware foi inspecionado por programadores do mundo todo. O DuQu foi indentificado como um trojan, um programa espião que se disfarça e rouba dados como senhas e logins de usuário, e seu núcleo usa um tipo de linguagem que foi classificada como 'antiquada', de acordo com Igor Sourmenov, porta voz da Karpesky. "Estas conclusões indicam que o virus foi criado por um time profissional de desenvolvedores, que aparentam estar reutilizando códigos antigos, escritos por programadores da velha guarda. Estas técnicas são geralmente vistas em profissionais de software, e quase nunca nos malwares feitos atualmente." afirmou.

 

Quase 500.000 ciberataques contra computadores da China foram registrados no ano passado e quase a metade deles originou-se no exterior, denunciou nesta terça-feira o governo chinês. A informação vem à tona dias depois de sugestões segundo as quais Pequim poderia estar por trás de ataques à segurança cibernética pelo mundo.

A maioria dos ataques detectados por uma agência chinesa de monitoramento deu-se na forma de vírus "cavalo de troia", os quais permitem acompanhar o uso e acessar as informações pessoais de quem acessa a máquina infectada. Do total desses ataques, 14,7% tiveram origem em computadores dos Estados Unidos e 8% partiram da Índia.

##RECOMENDA##

Os dados foram divulgados na página na internet do Centro Nacional de Coordenação de Resposta a Emergências em Redes de Computadores da China.

No início de agosto, e empresa de segurança em informática McAfee divulgou relatório segundo o qual 70 entidades foram alvo de ciberataques que se estenderam por pelo menos cinco anos. Entre essas entidades estavam a Organização das Nações Unidas (ONU), o Comitê Olímpico Internacional, governos de diversos países e algumas empresas norte-americanas.

A McAfee apontou "um país" como provável culpado e as suspeitas recairiam sobre a China. O governo chinês não se pronunciou oficialmente, mas a mídia estatal do país qualificou as especulações como irresponsáveis. As informações são da Associated Press.

Uma nova e melhorada botnet (rede de micros zumbis) gigante que infectou mais de 4,5 milhões de computadores é “praticamente indestrutível”, de acordo com pesquisadores de segurança.

O “TDL-4”, nome do bot Trojan que infecta as máquinas e do conjunto resultante de computadores comprometidos, é “a ameaça mais sofisticada da atualidade”, diz o pesquisador da empresa de segurança Kaspersky Labs, Sergey Golovanov, em uma análise detalhada publicada no início da semana.

##RECOMENDA##

E ele não é o único a pensar dessa forma.

“Eu não diria que ela é perfeitamente indestrutível, mas é praticamente indestrutível”, afirma o especialista e diretor de pesquisas da Dell SecureWorks, Joe Stewart. “Ela faz um ótimo trabalho em manter-se de pé.”

Golovanov e Stewart basearam seus julgamentos em uma variedade de características do TDL-4, as quais o tornam um caractere extremamente difícil de ser detectado, apagado, suprimido ou erradicado.

Por uma coisa, disse Golovanov, o TDL-4 infecta o MBR (Master Boot Record) do computador com um rootkit – malware que se esconde ao subverter o sistema operacional. O MBR é o primeiro setor – setor 0 – do disco rígido, onde o código é armazenado para o sistema após a BIOS da máquina realizar suas verificações iniciais.

Como o TDL-4 instala seu rootkit no MBR, ele é invisível para o sistema operacional e, mais importante, para programas de segurança desenvolvidos para encontrar códigos maliciosos.

Mas essa não é a arma secreta do TDL-4.

O que torna a botnet indestrutível é a combinação de criptografia avançada e o uso de uma rede pública peer-to-peer (P2P) para as instruções emitidas para o malware pelos servidores command-and-control (C&C).

“A maneira como o peer-to-peer é usado para o TDL-4 vai fazer com que seja extremamente difícil derrotar essa botnet”, afirma o pesquisador sênior de malware da Kaspersky, Roel Schowenberg. “Os caras do TDL estão fazendo o seu máximo para não serem a próxima gangue a perdeu sua botnet.”

Schowenberg também citou vários casos de captura de botnets grandes – que variam de esforço coordenado que acabou com a Conficker em 2010 até o take-down da Coreflood liderado pelo FBI neste ano – como a motivação para hackers desenvolverem novas maneiras de manter em campo seus exércitos de computadores sequestrados.

“Toda vez que uma botnet é derrubada aumenta o nível de exigência para a próxima vez”, diz Schowenberg. “Os cibercriminosos realmente profissionais estão assistindo e trabalhando em suas botnets para torná-las mais resistentes contra essas tentativas de derrubá-las.”

Os responsáveis pelo TDL-4 criaram seu próprio algoritmo de criptografia, explica Golovanov, e a botnet usa os nomes de domínio dos servidores C&C como as chaves da criptografia.

A botnet também usa a rede pública PSP Kad para um de seus dois canais para se comunicação entre os PCs infectados e os servidores C&C, afirma a Kaspersky. Anteriormente, as botnets que se comunicavam via PSP usavam uma rede fechada que haviam criado. Ao usar uma rede pública, os criminosos asseguram que sua botnet vai sobreviver a qualquer esforço para derrubá-la.

Stewart apontou que os contra-ataques do TDL-4 contra outros malware como outra razão para seu sucesso. “Isso é tão esperto”, diz, completando que desabilitar malwares concorrentes – que provavelmente são muito mais fáceis de detectar – significa que ele tem uma chance maior de continuar no computador.

Os criadores do TDL-4 usam a botnet para plantar malware adicional nas máquinas, alugá-lo para outros para esse propósito e distribuição de ataques denial-of-service (DDoS), e para conduzir campanahs de phishing e spam. Segundo a Kaspersky, o TDL-4 instalou cerca de 30 tipos diferentes de programas maliciosos nos PCs que controla.

Mas ele consegue remover todos a qualquer momento. “O TDL-4 não deleta a si próprio após a instalação de outro malware”, diz Golovanov. “A qualquer momento ele pode apagar malware que tiver baixado.”

Esse é um consumidor perigoso, conclui Stewart.

“Para todos os propósitos, o TDL-4 é muito difícil de ser removido”, diz. “É definitivamente uma das botnets mais sofisticadas existentes.”

Leianas redes sociaisAcompanhe-nos!

Facebook

Carregando