A nova onda de tecnologia de dados que está chegando à próxima geração de carros – que inclui desde veículos “semi-auto-dirigíveis” a streaming de dados em tempo real em displays no painel – traz a questão: Eles vão estar seguros contra golpes cibernéticos, ou você terá que instalar software de segurança no seu próximo carro?

Na conferência Black Hat do ano passado, eu assisti uma demo de um hackeamento de carro utilizando wireless, em que os hackers foram capazes de destravar as portas e dar a partida. A equipe que fez a demo informou à companhia desenvolvedora do carro, visando incentivá-la a instalar proteções para impedir que pessoas com más intenções (e tempo livre) façam o mesmo. Mas e se a equipe de hackers decidisse ir para o “Lado Negro” e começasse a destravar carros e levá-los a desmanches?

Tradicionalmente, carros tem sistemas computacionais rudimentares, implementados para executar tarefas fixas como medir o nível de combustível para injeção, tornar a transmissão do câmbio mais suave ou melhorar o uso de combustível – coisas assim.

Mas com alguns fabricantes planejando lançar sistemas embarcados baseados em browser ou com sistemas de geolocalização, poderiam os golpes ir além? Golpes baseados em browser tem uma longa história em plataformas mais tradicionais. Então, com a força computacional exigida para rodar esses novos carros orientados por dados, desencadeando uma leva de computadores embarcados superequipados, eles poderiam se tornar uma nova plataforma de golpes de scam? Como já vimos em recentes golpes relacionados a Java, é fácil imaginar um aplicativo Java penetrando no sistema do carro e fazendo coisas que você não suspeitaria, como enviar seus dados a alguma localização remota (ou algo pior).

Para ser claro, fabricantes de carros costumam testar seus sistemas com um pouco mais de detalhes que uma startup do Vale do Silício competindo por capital de risco, com o lema “lançamento rápido, lucro rápido”. Mas carros costumam ter uma vida útil de 10 anos ou mais, o que faz uma vulnerabilidade de software mais difícil de gerenciar. Recalls de carros são conhecidos por serem caros, e tendem a ter um efeito negativo para a marca em geral, mas o que acontece quando um hack viola um modelo já lançado há vários anos, como no caso da demo apresentada na Black Hat? Enquanto houver um ciclo de atualizações, patches que tenham dado errado tem um efeito muito mais assustador que, por exemplo, a roda do seu mouse parar de funcionar.

Falando em termos gerais, fabricantes de carros parecem estar planejando mais lotes de interfaces de somente leitura que leitura e escrita, onde o carro simplesmente reporta sistemas e informação, então há menos chances de sistemas apresentarem problemas como usuários logando como Administador e instalando alguma coisa. Isso é uma coisa boa. Mas ainda há uma diversidade de tecnologias wireless que podem ser utilizadas para fins escusos relacionados a download de informação.

Teremos software anti-malware para esses carros? Eu penso que é cedo para dizer. Tenho a esperança de que bons projetos possam eliminar essa necessidade. Por outro lado, isso certamente abre novos horizontes para oportunistas que utilizam engenharia social tentem realizar golpes baseados em informações que podem ser obtidas do sistema dos carros. A ideia de ransomware baseados em carros é muito assustadora, seja desabilitando seu carro ou simplesmente tentando. Seria algo enervante.

Com esperanças, fabricantes irão se juntar à comunidade de segurança, para ajudar com análises, recomendações e testes – o que deverá fortalecer nossa segurança contra os hacks de carro. Se isso falhar, você pode encontrar uma motivação a mais para tirar poeira daquele projeto de restauração daquele velho carro e botar um novo gás nele. Pode ser um modelo antigo e sem alta tecnologia, mas você sabe o que esperar dele.

Cameron Camp
Security Researcher – ESET USA

Avalie

 Loading ...

Compartilhar |

Categorias: Alertas, Engenharia Social
Deixar um comentário »

Em diversas ocasiões discutimos e analisamos diferentes casos de phishing que têm afetado uma ampla gama de instituições financeiras, companhias aéreas, cartões de crédito e redes sociais. Contudo, o phishing que encontramos dessa vez ainda não se diferencia de outros por seu objetivo ou entidade afetada (um importante banco brasileiro), mas marca uma nova tendência nesse tipo de ataque ao ser geolocalizado, ou seja, somente pode ser acessado a partir de computadores que estejam no Brasil (utilizando um endereço IP desse país) ou um servidor proxy do mesmo país. Qualquer acesso que seja feito a partir de outra parte do mundo é negado e não é exibido o phishing, mas sim uma mensagem de proibição.

Para alcançar esse objetivo, os criminosos virtuais empregam uma tecnologia conhecida como geolocalização, técnica que permite detectar o país de origem da visita para permitir ou negar o acesso, dependendo do critério estabelecido. Nas telas a seguir, podemos ver o que ocorre quando se tenta acessar o phishing a partir do Brasil e, em seguida, a partir de outro país qualquer.

Através da geolocalização, os criminosos são capazes de cumprir dois objetivos que, de outra maneira, seria impossível. Primeiramente, maximizam a possibilidade de obter lucro ao garantir que somente as pessoas pertencentes ao grupo-alvo do ataque (neste caso, usuários brasileiros) possam acessar o site fraudulento. O motivo desta implementação está no fato de usuários de outros países não representarem nenhum tipo de lucro, porque, além de falarem outro idioma, não terão uma conta bancária no Brasil. Além disso, quanto mais pessoas visualizem a fraude, maior é a chance de que o site seja tirado do ar por excesso de consumo de banda do servidor no qual o phishing está alojado, ou porque alguém realiza uma denúncia.

Se a vítima em potencial for brasileira e não tomar os cuidados necessários para a prevenção, como não visitar links suspeitos, nem inserir informações confidenciais ou bancárias, estará acessando um golpe de phishing que, sem considerar a geolocalização, acaba sendo bastante normal com relação a outros. Em primeiro lugar, são solicitados dados como o número da conta e a senha de oito dígitos. Em seguida, uma senha de cartão de seis dígitos e para finalizar, outra de quatro dígitos. Finalmente, se diz à vítima que o processo foi concluído satisfatoriamente e que, a partir desse momento, poderá (ironicamente) utilizar novas funções de segurança.

Para evitar ser vítima desse tipo de ataque, devemos lembrar sempre que nenhuma instituição bancária ou similar solicita informações sensíveis através de meios como e-mail ou redes sociais, não importando o motivo ou a desculpa dada. Por último, mencionar que os cibercriminosos estão buscando, de forma contínua e ativa, novas ideias e estratégias com o objetivo de maximizar a quantidade de vítimas e assim obter maiores ganhos ilícitos. Um comportamento seguro e adequado na Internet permite reverter essa tendência.

André Goujon
Especialista de Awareness & Research

Avalie

 Loading ...

Compartilhar |

Categorias: Alertas, Phishing
1 Comentario »

Na semana passada, recebemos em nosso laboratório um falso e-mail referente a uma importante empresa de telefonia celular, avisando sobre a chegada de uma suposta mensagem multimídia (MMS), que tem como objetivo fazer o usuário baixar um malware. Como podemos observar na imagem, esta campanha está direcionada a usuários chilenos, como indica o sufixo do link “.cl”.

O falso e-mail contém um link que redireciona o usuário ao suposto portal da empresa para poder acessar uma mensagem multimídia. Acessando o referido link, é baixado um arquivo executável com o nome DownloadMMS.exe, que é detectado pelo ESET NOD32 Antivirus sob a assinatura de worm Win32/Dorkbot.B. A principal suspeita disto é que em nenhum momento o e-mail menciona que se deve baixar um software para acessar a mensagem recebida. Inclusive deixa claro que em 10 dias a suposta mensagem será apagada.

Uma vez baixado o arquivo, é possível observar que a ameaça possui um ícone que corresponde a um arquivo multimídia para enganar o usuário, fazendo com que tente abri-lo, quando, na verdade, se trata de um executável (extensão .exe). Caso seja executado, o sistema do usuário será infectado pelo Dorkbot, e o computador do usuário passará a ser um computador zumbi da conhecida botnet.

Está mais do que claro que o Dorkbot continua evoluindo em diferentes níveis. Pontualmente, a ameaça em si foi modificada com a finalidade de dificultar a detecção por parte do software antivírus. O mesmo ocorre com as campanhas que são utilizadas para propagar este malware, as quais se modificam constantemente e miram em diferentes tipos de usuários em diferentes países. Além disso, cada variante pode conter um anexo diferente, sendo neste caso o arquivo com ícone de multimídia.

É fundamental que o usuário esteja consciente de que essas campanhas são cada vez mais frequentes e existem diferentes meios de propagação, desde e-mails falsos até sites de phishing. É por isso que é recomendável que o usuário esteja consciente da existência desse tipo de e-mail e saiba como identifica-lo. Como recomendação adicional, nunca se deve acessar um link que não provenha de um site de confiança, assim como também se deve ter cuidado especial com os links encurtados, que são moeda corrente nas redes sociais.

Finalmente, recomendamos ao usuário contar com um software antivírus com capacidade de detecção proativa para estar protegido diante desse tipo de ameaça que evolui constantemente.

Fernando Catoira
Analista de Segurança

Avalie

 Loading ...

Compartilhar |

Categorias: Botnet, Malware
Deixar um comentário »

Esta semana recebemos no Laboratório da ESET América Latina uma amostra de um trojan detectado pelo ESET NOD32 Antivirus como BAT/Agent.NLF Trojan. A ameaça se propaga através de um e-mail contendo um suposto vídeo do namorado de uma das integrantes do programa Big Brother Brasil 2012, tentando persuadir os usuários a baixarem um arquivo. Após realizarmos uma análise mais profunda, pudemos observar que o comportamento mudou a respeito das ações efetuadas no golpe:

Como primeiro passo, imediatamente depois de executar a ameaça, é aberta uma janela do navegador, acessando um popular site de vídeos online. Contudo, isso não é mais que uma distração, já que o malware está executando operações em segundo plano, sem que o usuário veja.

Analisando as mudanças que são feitas no sistema, é possível ver que várias entradas de registro foram alteradas, porém o que mais chama a atenção é a mudança nas entradas de registro correspondentes aos diferentes navegadores instalados no sistema operacional. A alteração dessas entradas tem como finalidade, cada vez que o navegador é iniciado, seja baixado um arquivo com extensão TXT a partir de um site remoto, que contém código  oculto para evitar ser detectado, e que permite comparar os endereços URL que o usuário acessa com uma lista armazenada no referente código.

Desta maneira, se o usuário acessa uma URL que se encontra listada no arquivo de texto, é redirecionado a um site de phishing relacionado à URL acessada. Dessa maneira, o trojan não realiza pharming local como fazem muitos outros, mas utiliza um site remoto como proxy para redirecionar o usuário a determinados sites de phishing de acordo com os sites que o usuário acessa dentro da lista contida no arquivo de texto baixado:

Essas operações tem como finalidade o roubo de credenciais de múltiplos serviços através do mesmo malware. Isto inclui serviços de e-mail muito populares, como também o roubo de credenciais de home banking de diferentes entidades bancárias de renome, dentre outros.

Na imagem anterior, podemos ver a inserção de credenciais de acesso a um serviço popular de e-mail (na verdade um site de phishing). Os dados serão roubados e armazenados no servidor malicioso como mostra a imagem a seguir:

Outro ponto que vale a pena destacar é que através desta técnica os cibercriminosos por trás desse código malicioso podem modificar o arquivo de texto baixado e atualizá-lo com novos sites e campanhas para expandir o roubo de credenciais a outros serviços, sem que o usuário seja infectado com algum outro tipo de malware.

Finalmente, aconselhamos ao usuário que conte com uma solução antivírus com capacidade de detecção proativa para poder se proteger contra este tipo de ameaça, assim como também bloquear as URLS pertencentes a servidores maliciosos.

Fernando Catoira
Analista de Segurança

Avalie

 Loading ...

Compartilhar |

Categorias: Análise de malware, Phishing
Deixar um comentário »

Linux BackTrack é sem dúvida a distribuição deste sistema operacional mais utilizada pelos especialistas de segurança da informação para realizar diversos testes visando realizar auditorias e testes de penetração. Seu principal diferencial quanto ao restante está no fato de incluir uma ampla gama de ferramentas pré-instaladas como analisadores de portas, pacotes e vulnerabilidades, seja através de um Live CD ou instalando diretamente no disco rígido do computador.

Tanto os softwares como os demais aspectos da informática são feitos ou construídos por seres humanos. Portanto, é possível afirmar que qualquer componente, por melhor desenvolvido que seja, está sujeito a sofrer alguma falha ou vulnerabilidade. Contudo, neste caso, Linux BackTrack não é diretamente o produto vulnerável. O incidente foi descoberto e reportado por um estudante do Instituto INFOSEC, quem encontrou esta falha na interface de conexão sem fio WICD (em inglês Wireless Interface Connection Daemon). O problema surge a partir de um filtro inadequado na interface WICD DBUS (Desktop Bus), componente que permite que as aplicações distintas se comuniquem entre si. Derivado do anterior, um usuário mal-intencionado poderia enviar parâmetros inválidos à DBUS, os quais são escritos em um arquivo de configuração de WICD. O maior problema é que esses parâmetros errados podem ser executáveis ou scripts, o que permite a execução arbitrária de código com privilégios de usuário root sob determinadas circunstâncias, como o estabelecimento de uma conexão sem fio. Por isso, estamos diante de uma vulnerabilidade de aumento de privilégios.

Ainda que alguns relatórios mencionem que esta vulnerabilidade tenha sido encontrada no BackTrack, o erro ocorre no componente WICD DBUS e não no sistema operacional em si, sendo potencialmente vulneráveis outras distribuições Linux, considerando que o problema foi reproduzido no BackTrack 5. Para os usuários que utilizem este componente, recomendamos a instalação da atualização do WICD 1.7.2 que corrige o problema anteriormente descrito. De forma complementar, a educação do usuário com ênfase em um comportamento preventivo ajuda a minimizar o risco de ameaças virtuais da plataforma utilizada.

André Goujon
Especialista de Awareness & Research

Média: 5,00

 Loading ...

Compartilhar |

Categorias: Alertas
1 Comentario »