Relatório da ESET sobre tendências em ameaças digitais para 2013 aponta que neste ano o foco dos criminosos virtuais serão os dispositivos móveis. Os smartphones, tablets e afins podem ser vítimas de ataques envolvendo sites violados.

As detecções de códigos maliciosos para mobile multiplicaram 7 vezes na Argentina, 10 vezes no Chile e 4 vezes no Uruguai, e é esperado que continuem a crescer. Além disso, um dos principais tipos de ataque atualmente é tentar forçar o usuário a assinar serviços de mensagem instantânea pagos, visando obter o lucro associado (40% das detecções).

Em segundo lugar nos golpes para mobile, está a transformação do aparelho em um integrante de uma rede zumbi (botnet), controlada por criminosos (32%). Em terceiro lugar, temos o roubo de informação nos smartphones (28%).

De acordo com a pesquisa da ESET América Latina, está mudando também um paradigma relacionado à propagação de malware: a utilização de meios tradicionais como e-mails e dispositivos removíveis está dando espaço para a exploração de sites para intermediar a infecção às suas vítimas.

Para ter acesso ao relatório completo, clique aqui.

Mauro Albuquerque
Marketing Analyst – ESET Brasil.

Categories: Alertas, Botnet
No Comments »

Há alguns dias, foram detectadas em diferentes sites da Internet novas variantes do ZITMO, versão do Zeus para dispositivos móveis que permite tomar o controle do dispositivo e executar comandos remotos. Essa versão do código malicioso, detectado pelo ESET Mobile Security para Android como Android/Spy.Zitmo, apresenta uma evolução considerável em comparação a outras ameaças detectadas anteriormente. Praticamente todo o código do trojan foi reescrito pelos cibercriminosos que o propagam como uma suposta aplicação de segurança, também conhecida como Rogue. Veremos a seguir alguns pontos importantes e a interação com o painel de controle.

Anteriormente, quando foram detectadas ou reportadas variantes do ZITMO para dispositivos móveis, suspeitava-se que eram aplicações para transações online. Desta vez, vemos que simula ser uma solução de segurança. Um dos principais motivos disso é o fato do Android ser um sistema baseado em permissões, que o usuário deve aceitar para instalar um aplicativo. No momento de executar o aplicativo pela primeira vez, o usuário observa uma tela com um código de ativação, mas ignora o que realmente acontece no seu dispositivo.

Esta nova variante do Android/Spy.Zitmo se trata da versão 1.2.7 do código malicioso e permite seu controle através de mensagens de texto. A ameaça armazena as mensagens recebidas em um banco de dados no diretório /data/data/com.android.security/secsuite.db e conta com três tabelas diferentes:

• android_metadata
• delay_data
• sqlite_sequence

Na tabela delay_data, são armazenados todos os dados referentes às mensagens de texto que não foram enviadas ao criminoso virtual. Esta informação é enviada de forma sincronizada em um número determinado de tempo. O primeiro relatório do código malicioso é feito aos 180 segundos após ter sido iniciada a aplicação e é atualizado aos 1500 segundos. Na tela a seguir podemos ver que a classe ValueProvider concentra toda a informação de administração do bot: o endereço URL a que o malware se reporta (UrlToReport), que está ofuscada, variáveis padrão, versão do malware, etc:

Todos esses dados são utilizados pelas diferentes seções do código malicioso. Além de que o AndroidManifest.xml conta com a definição de um BroadCastReceiver, com o nome SecurityProvider, que é disparado a uma recepção de uma mensagem de texto, a realização de uma chamada ou quando finaliza a inicialização do sistema. Toda essa informação fica detalhada no arquivo de permissões, porém não pode ser vista pelo usuário:

Através da utilização deste tipo de técnicas, que já reportamos anteriormente, o bot consegue obter a informação temporal, armazená-la na base de dados e em seguida enviar ao endereço URL. Outro ponto importante a levar em consideração é que o controle do computador infectado é feito através de mensagens SMS. Quando é iniciado o evento onReceive da classe Security Receiver, segundo o conteúdo da mensagem, podemos interpretar como um comando ou como uma mensagem a ser armazenada, com base nas opções da função AlternativeControl. Este último detalhe permite alterar as opções do bot segundo as necessidades do criminoso e estender suas funcionalidades:

As funcionalidades desta ameaça permitem ao criminoso tomar o controle do dispositivo e realizar ações distintas. A ação a ser executada varia segundo o caractere com o qual se inicia a mensagem de texto. Para prevenir a infecção dos dispositivos móveis com esse tipo de ameaças é recomendável contar com uma solução de segurança que detecte proativamente as ameaças.

Pablo Ramos
Security Researcher

Categories: Botnet, Malware
No Comments »

Tempos atrás surgiu uma ameaça conhecida sob a nomenclatura DNSChanger, que é detectada pelo ESET NOD32 Antivirus como Win32/DNSChanger. Este malware tem como finalidade redirecionar os usuários infectados a sites maliciosos. Os redirecionamentos são feitos com a modificação dos endereços IP dos DNS do sistema infectado. No último dia 9 de julho, o FBI tirou de funcionamento os servidores DNS maliciosos, sobre os quais a própria instituição havia tomado controle. Desta forma, todos os usuários que continuem infectados com o DNSCHanger estão sem acesso à Internet por não terem como converter os nomes em endereços IP.

Além da ESET e do FBI terem oferecido ferramentas para ajudar a informar os usuários que estiveram infectados, sendo que o Google também ofereceu ajuda nesse sentido. O buscador analisava os servidores dos endereços que faziam buscas no site, e no caso de identificar um servidor malicioso, alertava o usuário, indicando que seu sistema poderia estar infectado.

A equipe da ESET América Latina recompilou dados baseados nas detecções reportadas do DNSChanger. Desta forma, é possível considerar quais foram os países mais afetados da região latino-americana. O México conta com 42,4% das detecções. Na posição seguinte, com taxas de detecção similares, estão a Argentina com 10,9%; Peru com 10,7% e o Brasil com 10,1% do total de infecções na América Latina. A seguir, você pode observar um gráfico que reflete a situação na região:

Outro dado que vale a pena destacar é que essa porcentagem está baseada em detecções, e por isso o número de usuários que realmente ficaram sem acesso à Internet pode ser inferior, devido à possibilidade de muitos sistemas já terem sido limpos.É importante destacar que o México, juntamente com a Argentina, Peru e Brasil reflitam aproximadamente 80% do total das infecções na América Latina. Contudo, existem outros países dentro da região que, em menor medida, também foram afetados pelo DNSChanger.

Para os usuários que tenham ficado sem acesso à Internet devido a este malware, é recomendável que baixem o ESET NOD32 Antivirus em um computador que tenha acesso à Internet e utilizem algum dispositivo de armazenamento removível (USB, cartão SD, discos externos, dentre outros) para instalá-lo no computador infectado. Nesse momento será necessário executar uma análise para limpar o sistema infectado. É importante destacar que é importante, além disso, contar com um software antivírus com capacidade de detecção proativa para se proteger contra ameaças que circulam na rede, incluindo o DNSChanger.

Fernando Catoira
Analista de Segurança

Categories: Análise de malware, Educação
1 Comment »

Na semana passada, recebemos em nosso laboratório um falso e-mail referente a uma importante empresa de telefonia celular, avisando sobre a chegada de uma suposta mensagem multimídia (MMS), que tem como objetivo fazer o usuário baixar um malware. Como podemos observar na imagem, esta campanha está direcionada a usuários chilenos, como indica o sufixo do link “.cl”.

O falso e-mail contém um link que redireciona o usuário ao suposto portal da empresa para poder acessar uma mensagem multimídia. Acessando o referido link, é baixado um arquivo executável com o nome DownloadMMS.exe, que é detectado pelo ESET NOD32 Antivirus sob a assinatura de worm Win32/Dorkbot.B. A principal suspeita disto é que em nenhum momento o e-mail menciona que se deve baixar um software para acessar a mensagem recebida. Inclusive deixa claro que em 10 dias a suposta mensagem será apagada.

Uma vez baixado o arquivo, é possível observar que a ameaça possui um ícone que corresponde a um arquivo multimídia para enganar o usuário, fazendo com que tente abri-lo, quando, na verdade, se trata de um executável (extensão .exe). Caso seja executado, o sistema do usuário será infectado pelo Dorkbot, e o computador do usuário passará a ser um computador zumbi da conhecida botnet.

Está mais do que claro que o Dorkbot continua evoluindo em diferentes níveis. Pontualmente, a ameaça em si foi modificada com a finalidade de dificultar a detecção por parte do software antivírus. O mesmo ocorre com as campanhas que são utilizadas para propagar este malware, as quais se modificam constantemente e miram em diferentes tipos de usuários em diferentes países. Além disso, cada variante pode conter um anexo diferente, sendo neste caso o arquivo com ícone de multimídia.

É fundamental que o usuário esteja consciente de que essas campanhas são cada vez mais frequentes e existem diferentes meios de propagação, desde e-mails falsos até sites de phishing. É por isso que é recomendável que o usuário esteja consciente da existência desse tipo de e-mail e saiba como identifica-lo. Como recomendação adicional, nunca se deve acessar um link que não provenha de um site de confiança, assim como também se deve ter cuidado especial com os links encurtados, que são moeda corrente nas redes sociais.

Finalmente, recomendamos ao usuário contar com um software antivírus com capacidade de detecção proativa para estar protegido diante desse tipo de ameaça que evolui constantemente.

Fernando Catoira
Analista de Segurança

Categories: Botnet, Malware
No Comments »

Os ataques de Negação de Serviço (DoS) e ataques Distribuídos de Negação de Serviço (DDoS) se tornaram cada vez mais
frequentes, e muitas vezes são utilizados pelos hacktivistas como meio de protesto, ou inclusive são realizados por meio das redes botnet que utilizam seus computadores zumbi com esta finalidade. A seguir, apresentamos algumas informações mais técnicas para compreender seu funcionamento.

Em que consiste um ataque de DOS?

Um ataque de Negação de Serviço tem como objetivo deixar determinado recurso inacessível (geralmente um servidor web). Esses ataques geralmente se realizam com o uso de ferramentas que enviam uma grande quantidade de pacotes de forma automática para sobrecarregar os recursos do servidor, conseguindo, desta maneira, que o próprio serviço fique inoperante. Além disso, costumam coordenar ataques envolvendo um grande número de pessoas para que iniciem este tipo de ataque simultaneamente, constituindo assim um ataque de negação de serviço distribuído, o qual muitas vezes é um pouco mais difícil de conter.

Que métodos de defesa existem?

Devemos revisar a configuração de roteadores e firewalls para deter IPs inválidas, assim como filtrar protocolos não necessários. Alguns firewalls e roteadores oferecem a opção de prevenir inundações (floods) nos protocolos TCP/UDP. Além disso, é mais aconselhável habilitar a opção de logging (logs) para levar um controle adequado das conexões que existem com os ditos roteadores.

Como medida de resposta, é muito importante contar com um plano de resposta a incidentes. Caso ocorra algo dessa natureza, cada pessoa dentro da organização deveria saber qual é sua função específica.

Outras das alternativas que devemos ter em conta é a ajuda solícita ao Provedor de Serviços da Internet (ISP). Isso pode ajudar ao bloquear o tráfego mais próximo à sua origem sem a necessidade de alcançar a organização.

No caso de contar com IDS/IPS (intrusão-detecção/prevention system), esses podem detectar o mal uso de protocolos válidos como possíveis vetores de ataque. Devemos ter em conta, além disso, a configuração dessas ferramentas. Isso deve se realizar com o tempo necessário e mediante pessoas capacitadas, tentando o máximo possível manter atualizadas as assinaturas desses dispositivos. Cabe destacar que é de suma importância analisar os casos de falsos positivos para realizar uma possível reconfiguração desse tipo de ferramenta.

Alguns conselhos um pouco mais técnicos que podem ajudar são:

• Limitar a taxa do tráfego proveniente de um único host.
• Limitar o número de conexões simultâneas ao servidor.
• Restringir o uso da largura de banda pelos hosts que cometam violações.
• Realizar um monitoramento das conexões TCP/UDP feitas no servidor (permite identificar padrões de ataque).

Possivelmente, este tipo de ataque seguirá ocorrendo ao longo do tempo. É por isso que é necessário adotar medidas preventivas para tentar evita-los, assim como também contar com os recursos necessários na hora de responder em caso de ataque bem sucedido.

Fernando Catoira
Analista de Segurança

Categories: Gestão
1 Comment »