Todos os anos o laboratório independente Virus Bulletin realiza o evento mais importante do ano para a comunidade de pesquisa antivírus, a Virus Bulletin Conference. Participaram desta conferência os principais pesquisadores dos laboratórios de antivírus, incluindo a ESET, apresentando as principais tendências no mundo do malware e crime digital.

Uma das palestras técnicas de maior importância foi ministrada por Holly Stewart, da Microsoft, que falou sobre os principais exploits de 2011. Exploits são códigos de programas desenvolvidos para explorar falhas em aplicativos ou sistemas operacionais. A seguir, comentaremos sobre essa palestra e os principais pontos apresentados.

A maneira mais simples de diferenciar os diferentes tipos de exploits é categorizar de acordo com a tecnologia que eles utilizam, ou seja, o meio que violaram para cumprir seu objetivo.

A exploração das vulnerabilidades em Java foram mais importantes neste ano. Isso porque somente os cinco principais exploits de Java representaram 89% do total de detecções nos cinco primeiro meses do ano. A seguir explicaremos os principais:

•    CVE-2010-0840: Arquivo malicioso da classe Java que explora uma vulnerabilidade no JRE (Java Runtime Environment). No caso de ter êxito neste processo, é possível executar o download e a execução de arquivos sem que a vítima perceba. Além disso, vale destacar que se trata do exploit com maior índice de detecções neste ano, chegando a mais de 740 mil computadores no mês de março.
•    CVE-2008-5353: Exploit que utiliza uma vulnerabilidade que afeta a versão 5 do Java Virtual Machine, incluindo a atualização 22, assim como a versão 6 e sua atualização 10. A vulnerabilidade permite que um applet java ganhe privilégios e possivelmente consiga acesso sem restrições ao arquivo hosts do sistema.

A exploração de vulnerabilidades em HTML/JS é difícil de contar, já que muitos deles possuem a habilidade de se ofuscar nos navegadores web. A maioria desses exploits são genéricos e estão relacionados com iframes e a utilização de JavaScript malicioso. A seguir vamos comentar os principais:

•    CVE-2010-0806: Arquivo JavaScript projetado para explorar a vulnerabilidade no Internet Explorer 6 Service Pack 1 do Microsoft Windows 200 Service Pack 4, e no Internet Explorer 6 e 7.
•    Mult: JavaScript malicioso, que pode ser embutido em páginas da web e documentos. Esses exploits tiram proveito de muitas vulnerabilidades.

Em relação aos exploits para Sistemas Operacionais, existem para todos, como Windows, GNU/Linux, Android, etc. Por exemplo, temos os exploits CpILnk, CVE-2010-1885 e Lotoor, que totalizam 94% dos exploits criados para esta categoria. Os primeiros são ameaças programadas para Windows, enquanto a última foi desenvolvida para os sistemas Android. A seguir, uma breve explicação sobre cada um deles:

•    CpILnk: Trata-se de um exploit que tira proveito de como a Shell do Windows administra os atalhos de arquivos. Essa vulnerabilidade foi descoberta graças à análise do worm Stuxnet.
•    CVE-2010-1885: Esse exploit afeta a Ajuda e o Centro de Suporte do Windows XP e do Windows Server 2003. Ao não se tratar de uma ação coordenada, não era possível uma atualização.
•    Lootor: Trata-se de um exploit criado especialmente para Android. Ele explora o sistema operacional para ganhar privilégios de root, o que permite a um criminoso possuir privilégios de administrador sobre o dispositivo de forma remota.

Em relação à exploração de documentos, os exploits com esse intuito se encontram, em sua maioria, ocultos no software Adobe PDF, representando cerca de 96% do total dessa categoria.

No grupo do Shockwave Flash, um exploit chamado CVE-2011-0611 representa cerca de 70% dos computadores violados por esta categoria. Essa ameaça foi originalmente descoberta no que parecia ser um ataque a um alvo em particular.

Resumindo, é importante sempre contar com uma solução antivírus com capacidade de detecção proativa, boas práticas para navegar na Internet e manter todos os seus sistemas atualizados o tempo todo, para assim diminuir o risco de infecção de seus dispositivos através desses exploits.

Gonzalo Presa
Analista de Segurança Jr.

Categories: Estatísticas, Malware
No Comments »

Os smartphones permitem ao usuário estar conectado 24 horas por dia à Internet, acessar seus e-mails e também redes sociais, compartilhando sua informação com todos seus contatos. Contudo, há algumas questões de privacidade que podem passar despercebidas, e por isso vamos comentar um pouco sobre o recurso geotagging. Como podemos fazer para habilitar essa função em cada um dos sistemas operacionais de smartphones?

O que é o geotagging?

O geotagging se refere à inclusão de informação geográfica dentro dos metadados de arquivos, imagens ou vídeos. Desta maneira, é possível saber em que lugar foi realizada determinada ação. Entre os dados que comumente são adicionados aos arquivos estão latitude, longitude, nome do lugar, rua e número. Além disso, são adicionados data e horário, permitindo saber quando e onde determinada pessoa tirou uma foto específica, por exemplo.

A exatidão da informação pode variar de acordo com o dispositivo e os serviços disponíveis. Normalmente a função de geolocalização utiliza informação do dispositivo móvel, a rede Wi-Fi ou o GPS para identificar qual é a localização do usuário. Utiliza-se o GPS do dispositivo, alguma rede sem fio à qual esteja conectado, ou ainda através de repetidores para celular.

Então, quando o usuário decide tirar uma fotografia com seu smartphone, essa informação é adicionada ao arquivo para comunicar abertamente onde o usuário se encontra naquele determinado momento. Muitos usuários que não conhecem essa funcionalidade e gostariam de manter um controle mais rigoroso de sua privacidade podem desabilitá-la através de alguns passos que veremos a seguir, para diferentes sistemas operacionais:

Android

Para os usuários do sistema operacional do Google que queiram tirar suas fotos sem informação de geolocalização, que já vem habilitada por padrão, podem desativar essa funcionalidade a partir do aplicativo de câmera. Na janela do aplicativo, aperte a tecla de Menu, abra as configurações e desabilite o geotagging. De agora em diante, sempre que tirar uma foto, não constará essa informação nos metadados.

No caso de querer desativar a localização do resto das aplicações, o usuário deve se dirigir a Ajustes -> Localização e Segurança, e neste menu desmarcar as opções Usar redes sem fio e Utilizar satélite GPS:

iOS

No caso do sistema operacional desenvolvido pela Apple, a função de localização pode ser desativada em Ajustes -> Localização. Nesta tela, há uma lista de todas as aplicações que utilizam o geotagging e o usuário pode escolher entre desativar todas as funcionalidades ou pontualmente selecionar as aplicações que podem ter acesso a esse recurso:

Na mesma tela, é possível desativar a localização para todos os aplicativos que solicitem informações ao usuário e assim reduzir a possibilidade de dados privados serem publicados por aplicativos instalados no aparelho.

Blackberry

A RIM também permite desabilitar essas funções no aplicativo de câmera, mas, diferente do que é feito no Android, deve-se selecionar o ícone de localização e desativá-lo, na versão 6.0. Nas versões anteriores do sistema operacional do Blackberry, deve-se abrir o aplicativo de câmera, ir a Menu -> Opções e desabilitar a geolocalização.

Também é possível desabilitar esta função para todo o sistema, mas essa mudança deve ser feita acessando Opções -> Dispositivo -> Configuração de Localização e muda-lo para desativado. Para armazenar as mudanças, pressione novamente a tecla de Menu e selecione Salvar.

Windows Phone

A última versão do sistema operacional da Microsoft para smartphones também permite desativar essa funcionalidade. Para fazê-lo, basta acessar Configurações -> Aplicativos -> Fotos + Câmera, dirigir-se à opção de localização e desabilitá-la. A partir disso, as imagens capturadas pela câmera não terão mais a informação de geotagging. No Windows Phone é possível desativar essa funcionalidade para todo o sistema, a partir de Iniciar -> Aplicativos -> Configuração -> Localização.

Concluindo, o usuário deve decidir se prefere tirar suas fotos ou capturar vídeos com informação adicional que permita localizá-lo, já que sem saber poderia estar compartilhando sua localização através de alguma rede social, entregando seus dados a supostos criminosos. A privacidade dos usuários, assim como a de seus contatos, poderia ser exposta sem seu consentimento.

Pablo Ramos
Especialista de Awareness & Research

Categories: Tutoriais
No Comments »

Em repetidas ocasiões, compartilhamos com vocês relatórios sobre ataques virtuais através de e-mails, redes sociais ou páginas maliciosas, enfocando na análise em alguma etapa pontual ou técnica não utilizada. Nesse texto vamos tentar comentar as diferentes etapas que um criminoso virtual realiza com o objetivo de obter algum benefício. Na região, os ataques mais habituais se enfocam no roubo de credenciais bancárias ou informações pessoais do usuário como senhas de e-mail e redes sociais. A seguir descreveremos algumas das principais etapas, desde o início de um ataque até o roubo de informação.

Quando se tenta detalhar um ataque virtual para compreender seu funcionamento, é importante diferencias cada uma das diferentes etapas que o compõem. Ao investigar uma ameaça é importante identificar as técnicas utilizadas no desenvolvimento, propagação e recopilação de informações com o objetivo de analisar ou proteger os usuários. No seguinte gráfico vemos as etapas do ciclo:

A primeira etapa dentro do ciclo de um ataque virtual é a análise do que se quer fazer. Nessa instância um criminoso planeja qual é a informação que quer obter e se ela está viável ou não. Assim que fica decidido continuar com o ataque, o criminoso opta por desenvolver o código malicioso ou obter um crimepack pelo qual deve pagar uma soma em dinheiro (como, por exemplo, Zeus e SpyEye), que lhe permitem montar sua plataforma para realizar os ataques. Outra opção é que paguem a um botmaster para que instale o malware na rede de computadores zumbi que administra.

Na ESET América Latina é comum encontrarmos ataques de pharming local que modificam o arquivo host do sistema para redirecionar a vítima a páginas falsas que se utilizam de engenharia social e inserem suas credenciais em sites de aspecto similar aos originais, mas alojados em servidores violados ou pertencentes ao criminoso. Outra das técnicas mais comuns são os ataques de phishing através de falsos e-mails, já que muitos usuários acessam a sites maliciosos ao não reconhecer que o e-mail não é verídico.

Assim que a etapa de desenvolvimento tenha sido finalizada, o passo seguinte é a campanha de propagação da ameaça. Nesse momento, o criminoso define qual vai ser a metodologia utilizada para viralizar seu ataque e chegar à maior quantidade de vítimas possível. Entre os métodos mais conhecidos está o envio massivo de e-mails, a publicação de notícias nas redes sociais, infecções através de dispositivos USB ou através de uma página web com conteúdo malicioso.

A partir de uma conta falsa de e-mail é enviada uma mensagem a uma série de usuários com um conteúdo qualquer. Os usuários que acessem o e-mail e caiam no erro podem comprometer seu sistema se não contarem com uma solução de segurança ao acessar a um site falso onde deverão inserir suas credenciais, no caso de se tratar de phishing. Seja qual for o ataque, em uma primeira etapa é enviado a possíveis vítimas, supondo uma etapa inicial de 100 contas de e-mail. Mesmo que somente 5% caiam no golpe, o usuário e a senha dessas pessoas vão parar nas mãos do criminoso, e ele poderá utilizar essas contas para voltar a enviar a informação aos contatos, durante uma nova campanha de propagação.

Uma vez liberado o ataque e sua propagação a tantos usuários quanto for possível, o criminoso começa a recopilar a informação para realizar nova campanha ou vender os dados de usuários infectados no mercado negro. Segundo o último informe da LACNIC para a América Latina, os dados de um cartão de crédito são vendidos no mercado negro por uma média de 0,98 centavos de dólar cada uma. Durante essa etapa de recopilação, o criminoso armazena dentre outras coisas:

•    Credenciais de acesso a contas bancárias
•    Credenciais de acesso a contas de e-mail
•    Credenciais de acesso às redes sociais (Facebook, Twitter, etc)
•    Informação pessoal do usuário

Sem importar para que plataforma é desenvolvido o ataque, essas cinco etapas (Análise, Desenvolvimento, Propagação, Infecção dos sistemas e recopilação de informação) fazem parte de um processo cíclico executado vez ou outra pelos criminosos com um único objetivo: violar a segurança do usuário ou seus sistemas para obter informação que será utilizada para benefício próprio.

Atualmente, no Laboratório da ESET América Latina, estamos analisando os vetores de ataques utilizados na região para a análise e investigação dessas tendências. Os usuários que recebem e-mails falsos, ou acreditam que estão sendo vítimas de um ataque, podem encaminhar os e-mails ou reportar os arquivos maliciosos a samples@eset-la.com.

Pablo Ramos
Especialista em Awareness & Research

Categories: Phishing
No Comments »

Sem dúvidas, o poder de interação entre os usuários das redes sociais foi o que impulsionou seu rápido crescimento. É assim que esse crescimento é visto pelos criminosos virtuais, que desejam obter benefícios através da quantidade de usuários que essas redes sociais possuem.

Recentemente o Facebook compartilhou através de seu canal de segurança um interessante infográfico sobre o funcionamento de seus sistemas de segurança.

O Facebook, rede social que já conta com mais de 750 milhões de usuários registrados, dos quais 50% se conectam diariamente. Desta porcentagem, segundo revelado na publicação, 600 mil contas a cada 24 horas recebem alguma tentativa de ataque. Isso demonstra, mais uma vez, que os criminosos virtuais estão despejando suas ameaças nos sites onde podem chegar a obter uma maior quantidade de vítimas.

A cada link compartilhado pelos usuários do Facebook, é feita uma análise, chegando a totalizar mais de dois trilhões de consultas por dia. A análise realiza uma comparação com uma base de dados de links maliciosos, e no caso de coincidir com esta base, será informado ao usuário sobre o bloqueio. Diariamente, são bloqueados cerca de 220 milhões deste tipo de link.

Quando acontece algo de interesse coletivo, as redes sociais são as primeiras a serem utilizadas para a propagação de ameaças. Tanto no caso do falecimento de Steve Jobs, como na morte de Muammar Gaddafi, foram utilizadas técnicas de engenharia social, para enganar e tirar proveito dos usuários.

Devemos lembrar que os criminosos sempre vão se aproveitar desse tipo de oportunidade. Os usuários, diante destas ameaças, devem estar atentos aos links compartilhados nas redes sociais, para não se tornarem vítimas desses erros. Além disso, a utilização de uma ferramenta de detecção proativa poderá evitar essas ameaças.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Redes sociais
No Comments »