Em diversas ocasiões discutimos e analisamos diferentes casos de phishing que têm afetado uma ampla gama de instituições financeiras, companhias aéreas, cartões de crédito e redes sociais. Contudo, o phishing que encontramos dessa vez ainda não se diferencia de outros por seu objetivo ou entidade afetada (um importante banco brasileiro), mas marca uma nova tendência nesse tipo de ataque ao ser geolocalizado, ou seja, somente pode ser acessado a partir de computadores que estejam no Brasil (utilizando um endereço IP desse país) ou um servidor proxy do mesmo país. Qualquer acesso que seja feito a partir de outra parte do mundo é negado e não é exibido o phishing, mas sim uma mensagem de proibição.

Para alcançar esse objetivo, os criminosos virtuais empregam uma tecnologia conhecida como geolocalização, técnica que permite detectar o país de origem da visita para permitir ou negar o acesso, dependendo do critério estabelecido. Nas telas a seguir, podemos ver o que ocorre quando se tenta acessar o phishing a partir do Brasil e, em seguida, a partir de outro país qualquer.

Através da geolocalização, os criminosos são capazes de cumprir dois objetivos que, de outra maneira, seria impossível. Primeiramente, maximizam a possibilidade de obter lucro ao garantir que somente as pessoas pertencentes ao grupo-alvo do ataque (neste caso, usuários brasileiros) possam acessar o site fraudulento. O motivo desta implementação está no fato de usuários de outros países não representarem nenhum tipo de lucro, porque, além de falarem outro idioma, não terão uma conta bancária no Brasil. Além disso, quanto mais pessoas visualizem a fraude, maior é a chance de que o site seja tirado do ar por excesso de consumo de banda do servidor no qual o phishing está alojado, ou porque alguém realiza uma denúncia.

Se a vítima em potencial for brasileira e não tomar os cuidados necessários para a prevenção, como não visitar links suspeitos, nem inserir informações confidenciais ou bancárias, estará acessando um golpe de phishing que, sem considerar a geolocalização, acaba sendo bastante normal com relação a outros. Em primeiro lugar, são solicitados dados como o número da conta e a senha de oito dígitos. Em seguida, uma senha de cartão de seis dígitos e para finalizar, outra de quatro dígitos. Finalmente, se diz à vítima que o processo foi concluído satisfatoriamente e que, a partir desse momento, poderá (ironicamente) utilizar novas funções de segurança.

Para evitar ser vítima desse tipo de ataque, devemos lembrar sempre que nenhuma instituição bancária ou similar solicita informações sensíveis através de meios como e-mail ou redes sociais, não importando o motivo ou a desculpa dada. Por último, mencionar que os cibercriminosos estão buscando, de forma contínua e ativa, novas ideias e estratégias com o objetivo de maximizar a quantidade de vítimas e assim obter maiores ganhos ilícitos. Um comportamento seguro e adequado na Internet permite reverter essa tendência.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Phishing
1 Comment »

Na semana passada, recebemos em nosso laboratório um falso e-mail referente a uma importante empresa de telefonia celular, avisando sobre a chegada de uma suposta mensagem multimídia (MMS), que tem como objetivo fazer o usuário baixar um malware. Como podemos observar na imagem, esta campanha está direcionada a usuários chilenos, como indica o sufixo do link “.cl”.

O falso e-mail contém um link que redireciona o usuário ao suposto portal da empresa para poder acessar uma mensagem multimídia. Acessando o referido link, é baixado um arquivo executável com o nome DownloadMMS.exe, que é detectado pelo ESET NOD32 Antivirus sob a assinatura de worm Win32/Dorkbot.B. A principal suspeita disto é que em nenhum momento o e-mail menciona que se deve baixar um software para acessar a mensagem recebida. Inclusive deixa claro que em 10 dias a suposta mensagem será apagada.

Uma vez baixado o arquivo, é possível observar que a ameaça possui um ícone que corresponde a um arquivo multimídia para enganar o usuário, fazendo com que tente abri-lo, quando, na verdade, se trata de um executável (extensão .exe). Caso seja executado, o sistema do usuário será infectado pelo Dorkbot, e o computador do usuário passará a ser um computador zumbi da conhecida botnet.

Está mais do que claro que o Dorkbot continua evoluindo em diferentes níveis. Pontualmente, a ameaça em si foi modificada com a finalidade de dificultar a detecção por parte do software antivírus. O mesmo ocorre com as campanhas que são utilizadas para propagar este malware, as quais se modificam constantemente e miram em diferentes tipos de usuários em diferentes países. Além disso, cada variante pode conter um anexo diferente, sendo neste caso o arquivo com ícone de multimídia.

É fundamental que o usuário esteja consciente de que essas campanhas são cada vez mais frequentes e existem diferentes meios de propagação, desde e-mails falsos até sites de phishing. É por isso que é recomendável que o usuário esteja consciente da existência desse tipo de e-mail e saiba como identifica-lo. Como recomendação adicional, nunca se deve acessar um link que não provenha de um site de confiança, assim como também se deve ter cuidado especial com os links encurtados, que são moeda corrente nas redes sociais.

Finalmente, recomendamos ao usuário contar com um software antivírus com capacidade de detecção proativa para estar protegido diante desse tipo de ameaça que evolui constantemente.

Fernando Catoira
Analista de Segurança

Categories: Botnet, Malware
No Comments »

Esta semana recebemos no Laboratório da ESET América Latina uma amostra de um trojan detectado pelo ESET NOD32 Antivirus como BAT/Agent.NLF Trojan. A ameaça se propaga através de um e-mail contendo um suposto vídeo do namorado de uma das integrantes do programa Big Brother Brasil 2012, tentando persuadir os usuários a baixarem um arquivo. Após realizarmos uma análise mais profunda, pudemos observar que o comportamento mudou a respeito das ações efetuadas no golpe:

Como primeiro passo, imediatamente depois de executar a ameaça, é aberta uma janela do navegador, acessando um popular site de vídeos online. Contudo, isso não é mais que uma distração, já que o malware está executando operações em segundo plano, sem que o usuário veja.

Analisando as mudanças que são feitas no sistema, é possível ver que várias entradas de registro foram alteradas, porém o que mais chama a atenção é a mudança nas entradas de registro correspondentes aos diferentes navegadores instalados no sistema operacional. A alteração dessas entradas tem como finalidade, cada vez que o navegador é iniciado, seja baixado um arquivo com extensão TXT a partir de um site remoto, que contém código  oculto para evitar ser detectado, e que permite comparar os endereços URL que o usuário acessa com uma lista armazenada no referente código.

Desta maneira, se o usuário acessa uma URL que se encontra listada no arquivo de texto, é redirecionado a um site de phishing relacionado à URL acessada. Dessa maneira, o trojan não realiza pharming local como fazem muitos outros, mas utiliza um site remoto como proxy para redirecionar o usuário a determinados sites de phishing de acordo com os sites que o usuário acessa dentro da lista contida no arquivo de texto baixado:

Essas operações tem como finalidade o roubo de credenciais de múltiplos serviços através do mesmo malware. Isto inclui serviços de e-mail muito populares, como também o roubo de credenciais de home banking de diferentes entidades bancárias de renome, dentre outros.

Na imagem anterior, podemos ver a inserção de credenciais de acesso a um serviço popular de e-mail (na verdade um site de phishing). Os dados serão roubados e armazenados no servidor malicioso como mostra a imagem a seguir:

Outro ponto que vale a pena destacar é que através desta técnica os cibercriminosos por trás desse código malicioso podem modificar o arquivo de texto baixado e atualizá-lo com novos sites e campanhas para expandir o roubo de credenciais a outros serviços, sem que o usuário seja infectado com algum outro tipo de malware.

Finalmente, aconselhamos ao usuário que conte com uma solução antivírus com capacidade de detecção proativa para poder se proteger contra este tipo de ameaça, assim como também bloquear as URLS pertencentes a servidores maliciosos.

Fernando Catoira
Analista de Segurança

Categories: Análise de malware, Phishing
No Comments »

Linux BackTrack é sem dúvida a distribuição deste sistema operacional mais utilizada pelos especialistas de segurança da informação para realizar diversos testes visando realizar auditorias e testes de penetração. Seu principal diferencial quanto ao restante está no fato de incluir uma ampla gama de ferramentas pré-instaladas como analisadores de portas, pacotes e vulnerabilidades, seja através de um Live CD ou instalando diretamente no disco rígido do computador.

Tanto os softwares como os demais aspectos da informática são feitos ou construídos por seres humanos. Portanto, é possível afirmar que qualquer componente, por melhor desenvolvido que seja, está sujeito a sofrer alguma falha ou vulnerabilidade. Contudo, neste caso, Linux BackTrack não é diretamente o produto vulnerável. O incidente foi descoberto e reportado por um estudante do Instituto INFOSEC, quem encontrou esta falha na interface de conexão sem fio WICD (em inglês Wireless Interface Connection Daemon). O problema surge a partir de um filtro inadequado na interface WICD DBUS (Desktop Bus), componente que permite que as aplicações distintas se comuniquem entre si. Derivado do anterior, um usuário mal-intencionado poderia enviar parâmetros inválidos à DBUS, os quais são escritos em um arquivo de configuração de WICD. O maior problema é que esses parâmetros errados podem ser executáveis ou scripts, o que permite a execução arbitrária de código com privilégios de usuário root sob determinadas circunstâncias, como o estabelecimento de uma conexão sem fio. Por isso, estamos diante de uma vulnerabilidade de aumento de privilégios.

Ainda que alguns relatórios mencionem que esta vulnerabilidade tenha sido encontrada no BackTrack, o erro ocorre no componente WICD DBUS e não no sistema operacional em si, sendo potencialmente vulneráveis outras distribuições Linux, considerando que o problema foi reproduzido no BackTrack 5. Para os usuários que utilizem este componente, recomendamos a instalação da atualização do WICD 1.7.2 que corrige o problema anteriormente descrito. De forma complementar, a educação do usuário com ênfase em um comportamento preventivo ajuda a minimizar o risco de ameaças virtuais da plataforma utilizada.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
1 Comment »

Em diversas ocasiões já comentamos neste blog sobre diversos casos de phishing – técnica que consiste na obtenção de informação sensível como nomes de usuário e senhas através da utilização indevida da imagem de empresas conhecidas, simulando pedir esse tipo de dados utilizando ameaças verbais como a promessa de desativação da conta caso não insira as informações solicitadas. Diferente do malware, que pode roubar esse tipo de dados automaticamente, nos ataques de phishing é o usuário que entrega suas informações de forma manual, uma vez que o criminoso tenha conseguido o convencer a fazer isso.

No caso de hoje, o alvo escolhido pelos criminosos não é um banco, companhia aérea ou empresa de cartão de crédito, mas sim o Twitter, conhecida rede social que se caracteriza pelo tamanho curto de suas mensagens e o seu grande alcance midiático. Abusando de todas essas vantagens, os criminosos virtuais estão utilizando como tema de engenharia social afirmações que apelam diretamente para a curiosidade da potencial vítima. Tweets ou mensagens em inglês sobre supostos rumores mal-intencionados são os ganchos que buscam capturar o usuário para que clique no link fraudulento. Se a pessoa não for precavida e seguir o link, irá acessar um site malicioso que solicita as credenciais de acesso ao Twitter. Para tornar o golpe mais real, utiliza-se a desculpa que essa informação é necessária devido a ter se passado um período longo de inatividade do usuário e que a sessão tenha se encerrado como medida de segurança.

Ainda que até o momento só tenham sido detectadas mensagens em inglês, é possível que este ataque de phishing seja traduzido a outros idiomas como o português, com o objetivo de aumentar ainda mais a quantidade de vítimas. Realizando uma análise detalhada, encontramos ao menos 31 mil usuários que já foram vítimas deste phishing, deixando à mercê dos criminosos virtuais informações como nomes de usuário, e-mails e senhas. Neste último ponto, vale observar que o principal erro de toda a situação é a entrega de informação sensível em links suspeitos. As senhas que os usuários escolhem não costumam ser fortes – é o que podemos constatar novamente. Das 31 mil credenciais removidas, a maioria é formada por oito caracteres, contudo, em diversas oportunidades observamos que, apesar do tamanho das senhas ser relativamente grande, elas podem ser violadas em poucos segundos e, além disso, são formadas por palavras fáceis de adivinhar, como “twitter1” ou a repetição de uma palavra várias vezes como “girlsgirlsgirls”.

Por isso, é importante destacar que a quantidade de caracteres é somente um elemento entre os vários a se considerar para criar senhas mais seguras. Não é suficiente repetir várias vezes a mesma palavra para formar uma senha de 10 ou mais dígitos. Com base nisto, recomendamos seguir boas práticas para criar senhas mais seguras.

Voltando ao caso deste phishing de Twitter, também pudemos observar que existem vítimas cujo endereço de e-mail inclui domínios como .gov, .edu e .org, o que demonstra mais uma vez a falta de conscientização e educação não afeta somente os usuários finais, como também grandes empresas e fundações que não implementam um programa educacional que contemple o uso seguro e bem informado das tecnologias como redes sociais. Adicionalmente, recomendamos as medidas padrão para outros ataques similares: não clicar em nenhum link suspeito ou informar dados sensíveis ao abrir links. Também é importante comprovar cuidadosamente o endereço a ser acessado verificando a URL mostrada na barra de endereços do navegador. Como medidas complementares, recomendamos a leitura do Guia de Segurança em Redes Sociais e a utilização de uma solução antivírus com capacidade de detecção proativa para prevenir atuais e futuras ameaças virtuais.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Redes sociais
3 Comments »