Conforme está sendo amplamente comentado na mídia, o trojan, identificado pela ESET como OSX/Flashback, está atacando a plataforma Java dos usuários de Mac e busca roubar nomes de usuário e senhas através da infecção de código malicioso em navegadores.

Na semana passada, a Apple publicou uma extensa atualização de segurança para os usuários de Java no OS X Lion 2012 – 002 e OS X 10.6 Update 7, que soluciona várias vulnerabilidades como: CVE-2011-3563, CVE-2011-5035, entre outras. É importante lembrar que, apesar de que a partir da versão 10.7, o OS X já não vem com Java instalado por padrão. É muito importante considerar esta atualização, já que muitos usuários podem ter instalado o Java para executar algumas aplicações.

Apesar do índice de detecção da ameaça na América Latina ser relativamente baixo, já que a maior parte da propagação da ameaça está em países anglo-saxões, os usuários devem tomar essas medidas para manter seus computadores livres desses códigos maliciosos.

Uma possível ação para quem considera não necessitar utilizar o Java em seus navegadores é desabilitá-lo a partir das preferências de segurança nas configurações do Safari.

Além disso, os usuários do ESET Cybersecurity que ainda não tenham atualizado seu banco de dados de assinaturas de vírus devem fazê-lo imediatamente, já que com a última versão estarão protegidos contra o trojan Flashback em suas mais novas variantes J, K e também as anteriores.

Raphael Labaca Castro
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Alerta aos usuários da plataforma Mac: O malware OSX/Imuler, descoberto no ano passado, que atua roubando informações do sistema operacional, volta a ter evidência. Desta vez, ao invés de ser instalado pelo OSX/Revir.A, a nova variante do OSX/Imuler se esconde em um arquivo ZIP, dentro de uma pasta de imagens eróticas, esperando que o usuário abra o aplicativo malicioso.

A nova variante é muito similar às anteriores em termos de comunicação de comando e controle (C&C) e funcionalidades (o OSX/Imuler rouba informações que podem coletar e transmitir arquivos, capturas de tela, e outros dados para um servidor remoto). O protocolo de rede ainda é baseado em HTTP e o volume de dados transmitidos (payload) é compactado utilizando o zlib. Está sendo utilizado um novo domínio para comando e controle, registrado em 13 de fevereiro deste ano, através de um escritório de registros web chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizadas nos Estados Unidos e que ainda estão ativas.

Isso tudo parece indicar que a nova variante foi criada para reforçar sua evasão aos antivírus.

O OSX/Imuler tem a funcionalidade de enviar arquivos locais do usuário ao servidor do malware. O responsável por essa ação é um arquivo executável chamado CurlUpload, que é baixado do servidor sempre que o malware entra em atividade. Esse arquivo executável, primeiramente detectado no início de 2011, apresenta linhas interessantes em seu código, que sugerem ter sido desenvolvido inicialmente para o Windows e depois recompilado para o OS X:

O ESET Cybersecurity para Mac (software antivirus da ESET específico para a plataforma da Apple) já identifica a nova variante sob o nome OSX/Imuler.C, desde a atualização 6970 do banco de dados de assinaturas de vírus.

Alexis Dorais -Joncas
Security Intelligence Team Lead (ESET USA)

Categories: Alertas, Botnet, Malware em imagens
No Comments »

No Laboratório de Pesquisa da ESET América Latina, sempre afirmamos que um dos pilares para alcançar o uso mais seguro dos computadores e dispositivos móveis é a educação dos usuários. Pelo mesmo motivo, as empresas de T.I. devem se esforçar para melhorar a segurança de suas plataformas e produtos. Entretanto, se a pessoa não adota um padrão de conduta seguro, nem se informa sobre o modus operandi dos criminosos virtuais e as ameaças criadas por eles, os esforços por parte das empresas para melhorar sua confiabilidade podem acabar sendo pouco efetivos.

A Apple não é exceção a essa regra. Apesar de a plataforma Mac ser uma das mais seguras do mercado, segundo um estudo da Indego, o ano de 2011 foi marcado pela aparição de alguns códigos maliciosos que mesmo não sendo tão frequentes em comparação com outros sistemas operacionais como Windows ou Android, foram suficientes para relembrar a importância do fator educacional para todos os usuários, sem exceção.

De acordo com a pesquisa, o primeiro incidente de segurança para Mac ocorreu em fevereiro de 2011, com a descoberta de uma ferramenta de administração remota que, como ocorre no Windows, representa um risco em potencial. Ainda que tenham surgido algumas versões aprimoradas desta aplicação, seu possível perigo desapareceu rapidamente, deixando um cenário mais calmo que se manteria por dois meses.

Em maio surgiu o primeiro rogue para OS X. Esse tipo de código malicioso faz uso da tática Scareware, assustando o usuário e se apresentando como solução antivírus ou antispyware que falsamente “detecta” no sistema da vítima uma grande quantidade de malware para oferecer uma licença de um produto que supostamente remove tais ameaças.

Detectado pelo ESET Cybersecurity como OSX/Adware.MacDefender, este rogue chegou a vários usuários por meio de um arquivo Javascript que surgia em algumas buscas por imagens do Google, por estar alojado em alguns sites da web.

Com o passar do tempo, essa ameaça foi adquirindo variados nomes como MacProtetor, MacSecurity, MacShield, MacGuard, entre outros, além de melhorar sua interface gráfica para que ficasse mais semelhante ao característico estilo da Apple. A ameaça ainda solicitava a senha do sistema operacional para instalar alguns aplicativos. Como resultado, a Apple publicou em sua sessão de suporte instruções de como evitar e eliminar o MacDefender.

Em setembro, surgiu o trojan OSX/Flashback. Aproveitando o fato de a plataforma Mac não incluir Adobe Flash Player por padrão, a ameaça incitava os usuários a baixarem uma cópia sua através de alguns sites afetados, nos quais se apresentava como um hyperlink ou ícone. Caso o usuário não adote as precauções necessárias e execute este instalador, estará expondo seu computador ao permitir que o trojan se atualize  ou receba e envie arquivos, a partir de comandos remotos que pode receber.

Por volta do final de 2011, a Indego encontrou um trojan de backdoor detectado pela ESET como OSX/Tsunami, cujo código está baseado em um cavalo de troia muito similar para Linux que permite a execução de vários comandos remotos no equipamento afetado. Dois dias depois, encontraram outro malware importante, OSX/DevilRobber, programado para utilizar a capacidade de cálculo da CPU e GPU do computador com a finalidade de arrecadar dinheiro através do método bitcoin.

A quantidade de ameaças detectadas em 2011 para OS X em comparação com o Windows continua sendo bem menor. Contudo, por se tratar na maioria de códigos maliciosos evitáveis, a necessidade da educação adequada do usuário somada ao comportamento correto em segurança adquire ainda mais força. Por isso, se o usuário de Mac adota certas medidas de proteção como não instalar programas de procedência duvidosa e se mantém informado sobre segurança da informação, contribui para que esta plataforma continue sendo uma das mais seguras do mercado.

André Goujon
Especialista de Awareness & Research

Categories: Malware
No Comments »