Blog do Laboratório

Códigos QR e sua relação com o malware

março, 15, 2012 12:00 pm

Os Quick Response Codes (QR Codes) são “códigos de barras” de duas dimensões projetados para serem lidos e interpretados rapidamente. Atualmente, e somado à grande proliferação de smartphones no mercado, são muito utilizados para publicidade e campanhas de marketing. Isso ocorre devido à sua grande facilidade de manuseio, já que basta ao usuário apontar a câmera do smartphone para o código de barras para acessar sites relacionados.

Essa facilidade de acesso também pode significar uma desvantagem para o usuário quando se trata de acessar páginas desconhecidas. Lamentavelmente, os códigos QR podem ser utilizados com fins maliciosos. Um criminoso virtual, por exemplo, poderia direcionar os usuários a páginas que hospedem golpes de phishing, download de malware e demais ameaças. Tudo isso devido ao fato de os códigos não exibirem de forma explítica a URL que será acessada. Assim, temos uma nova alternativa para que os desenvolvedores de malware propaguem suas ameaças.

Além disso, é comum que esses códigos sejam acessados em smartphones que não contam com uma proteção de segurança. Para isso, pode ser utilizada uma página web contendo um código malicioso que explore uma vulnerabilidade no sistema operacional do telefone, e o usuário não teria como se proteger. Lembremos que o Android é uma das plataformas móveis mais atacadas e que já foram relatados casos de códigos maliciosos deste tipo para esta plataforma. Por isso, é muito importante que os usuários comecem a prestar atenção a essa problemática.

Não somente os smartphones podem representar um alvo para essa modalidade de ataque, como também os tablets. Os sistemas operacionais de ambos dispositivos são muitas vezes o mesmo, e a maioria dos tablets já possui câmera integrada.

Sugestões

Por isso, nos parece útil considerar alguns conselhos diante da massificação dessa tecnologia. A seguir, compartilhamos com vocês alguns pontos que acreditamos ser importantes para a utilização dos QR codes:

  • Utilizar sempre um antivírus específico para smartphones
  • Evitar o acesso a QR codes que não estejam associados a empresas conhecidas
  • Evitar acessar URLs encurtadas
  • Ficar atento a possíveis assinaturas indesejadas de serviços de SMS através de QR codes

Como costumamos dizer, evitar o uso de novas ferramentas não soluciona problemas, mas estar atento e tomar algumas precauções já pode ser o suficiente para minimizar boa parte dos riscos associados.

Raphael Labaca Castro
Especialista em Awareness & Research

Categories: Alertas, Curiosidades
No Comments »

Cinco conselhos para controlar uma infecção por malware

março, 14, 2012 2:35 pm

Atualmente existem diversas ameaças que circulam pela rede com a finalidade de infectar a maior quantidade de sistemas possível. Uma vez realizada a infecção, o malware executa tarefas específicas de acordo com sua categoria.

Muitas vezes o usuário é infectado por algum tipo de malware devido a algum descuido ou simplesmente por não tomar as precauções adequadas para prevenir a infecção. Neste caso, devemos adotar algumas medidas para diminuir o impacto no sistema e poder proceder de maneira correta diante de uma situação de ameaça.

Suspeita que sua máquina tenha sido infectada?

Há alguns indícios que podem despertar suspeitas no usuário sobre o computador estar infectado. Mesmo isso não sendo uma “ciência exata”, podemos ter em conta alguns aspectos na hora de prestar atenção ao funcionamento rotineiro do computador. Alguns sintomas suspeitos são:

  • Surgem janelas (pop-ups) ou imagens repentinamente.
  • Em caso de utilizar um firewall, ele informa sobre certas aplicações que tentam se conectar a diferentes endereços de internet sem que o usuário tenha executado alguma delas.
  • Os contatos do usuário mencionam ter recebido e-mails ou mensagens de redes sociais sem que o usuário tenha enviado.
  • O sistema operacional demais mais que o habitual para iniciar.

Além desses sintomas, há muitos outros que permitem suspeitar se o computador está infectado.

O que devo fazer?

Se você acredita que o computador está infectado com algum tipo de malware, é possível seguir certos conselhos para não comprometer a informação disponível no sistema, assim como também sofrer o roubo de dados de origem crítica:

  1. Desconectar o computador da Internet: Isso impedirá que o malware que infectou o computador continue se propagando pela rede, assim como uma possível infecção online após a limpeza.
  2. Caso não possua programa antivírus, instalar uma solução com esse objetivo: Sempre é recomendável algum software com capacidade de detecção proativa de ameaças. Descarregar e atualizar o banco de dados de assinatura de vírus instalado previamente para contar com a última atualização e assim poder realizar uma análise eficiente do sistema.
  3. Realizar uma análise completa do sistema: Efetuar uma análise completa dos discos em busca de ameaças.
  4. Alterar a senhas de e-mails, contas de redes sociais e quaisquer serviços que precisem de autenticação: Este procedimento deve ser feito para eliminar toda possibilidade de roubo de credenciais pelo criminoso responsável pelo malware.
  5. Caso seja necessário, realize uma limpeza manual: Muitas vezes após uma infecção, não é suficiente rastrear o sistema e realizar uma limpeza automatizada. É por isso que em certas ocasiões devemos efetuar uma limpeza manual. Para poder realizar esta tarefa, é recomendável identificar qual o tipo de malware presente para pesquisar o método correto de desinfecção.

Esses passos são um bom ponto de partida no caso de suspeita do computador ter sido infectado por malware. Além disso, isso deve ser complementado pela serenidade do usuário. Ou seja, não entre em pânico, já que muitas vezes isso pode ocasionar ações que comprometam ainda mais o sistema. Por fim, recomendamos ao usuário ler o guia de conselhos completo sobre o que fazer em caso de infecção confirmada.

Fernando Catoira
Analista de Segurança

Categories: Educação, Malware
No Comments »

Facebook, trojans e botnets

dezembro, 8, 2011 4:58 pm

Hoje vamos apresentar a vocês a análise de um código malicioso que se propagava através de e-mails falsos se passando por uma notificação do Facebook. A ameaça, detectada pelo ESET NOD32 Antivirus como Win32/VB.NRE, tenta transformar o computador em um integrante de uma botnet. Observaremos como é que este código malicioso infecta o sistema e logo se comunica com o painel de administração.

Em primeiro lugar, para que um computador seja infectado, o usuário deve ter sido vítima do golpe, baixando e executando o trojan. Lembre-se que a engenharia social é utilizada para chamar a atenção de vítimas em potencial. Aqueles que não contam com boas práticas para navegar na Internet, nem contam com uma solução de segurança, podem estar expostos a esse tipo de ataques.

Quando se executa o arquivo, o usuário não vê a suposta postagem no Facebook. O que na verdade acontece é que o arquivo se adiciona ao início automático do sistema e, além disso, entrará em contato com o Centro de Controle (C&C) da botnet para receber novas ordens. Vejamos o que acontece em cada uma dessas duas etapas. Através de uma análise dinâmica do trojan, é possível determinar onde se armazena uma cópia dele mesmo: “C:\Windows\csrcs.exe”. Essa informação pôde ser comprovada utilizando o ESET SysInspector, uma ferramenta de diagnóstico da ESET, como se pode observar na imagem a seguir:

Uma vez que se conhece a localização do arquivo é possível eliminá-lo manualmente, além de ser recomendável apagar a entrada no início automático. Anteriormente, já havíamos comentado que essa técnica é muito comum entre as estratégias dos criminosos virtuais com o objetivo de executar seu código malicioso na inicialização do sistema.

Este trojan também se comunica com o painel de controle da botnet, enviando informação sobre o sistema operacional, usuário, senha e o endereço IP do novo computador zumbi. Com essa informação, o botmaster pode identificar de maneira exclusiva os equipamentos que estão sob seu controle, acessando os recursos remotamente. Outro dos pontos a considerar sobre este comportamento é que a conexão é feita a partir do computador infectado até o endereço URL remoto através do protocolo HTTP na porta 80. Com esse comportamento, é mais difícil para um firewall detectar a atividade anormal.

Na tela anterior, observamos o tráfego de saída até o painel de administração e todos os dados que mencionamos anteriormente. Uma vez que o computador é ativado como parte da botnet Volk, em sua versão 4.0, o criminoso poderá utilizar o sistema para o roubo de credenciais de acesso ao Internet banking, envio de spam e outras atividades maliciosas. O método GET utilizado ao enviar os dados permite baixar outros arquivos executáveis e armazená-los nos arquivos temporários do Windows para sua posterior execução. Por último, podemos observar que o painel de administração desta botnet se encontra ativo:

Mais uma vez, esse tipo de atividade foi reportada na região, assim como a detecção de redes de computadores zumbis que atacam usuários da América Latina. Para evitar este tipo de situação, é necessário contar com uma solução antivírus com capacidade de detecção proativa, como também poder identificar falsos e-mail e nunca abrir os arquivos anexos sem antes analisa-los.

Pablo Ramos
Especialista de Awareness & Research

Categories: Análise de malware
No Comments »

Contato | Política de Privacidade | Informações Legais © Copyright 1992-2013 por ESET, LLC e ESET, spol. s.r.o. Todos os direitos reservados