Segundo análise da ESET América Latina durante o ano de 2012, o spam continua sendo o tipo de golpe mais propagado por e-mail. Neste caso, vamos apresentar algo bastante particular que ocorre no Brasil. Trata-se de uma carta que chega por correio físico à casa da vítima cujo remetente é a Receita Federal.

Ao fazer a comparação com os ataques de spam eletrônico, no qual os cibercriminosos utilizam um assunto que gere interesse para alcançar uma maior quantidade de vítimas, neste caso se utiliza como isca uma informação que parece ser de bastante interesse para a vítima em potencial – sendo esta uma das estratégias para poder propagar ameaças de forma mais eficiente.

Na carta, é dito que há inconsistências com os dados bancários que foram declarados na Receita, solicitando que a pessoa acesse um endereço na web para inserir seus dados pessoais, além de dados bancários.

Apesar do impacto que a pessoa possa ter ao receber uma carta dizendo que há problemas com a declaração de impostos, é importante revisar com cuidado a informação para determinar se é verídica ou não. Por exemplo, ao revisar a carta menciona, nota-se que o endereço eletrônico que o usuário deve acessar tem domínio mexicano. Isso é um sinal de alerta suficiente que deve alertar o usuário que se trata de algo falso.

Há algumas recomendações que podemos ter em conta para evitar sermos vítimas desses golpes. Por exemplo, neste tipo de caso, podemos verificar por telefone antes de inserir qualquer dado na Internet, ainda mais se for o caso de um link suspeito como o da carta. É preciso também ter em mente que não é comum que instituições públicas solicitem informação financeira sensível através de sites que não têm relação com os sites oficiais, além de não serem seguros – como neste caso podemos ver que não se utiliza o protocolo HTTPS.

Esse tipo de técnica demonstra a versatilidade que podem chegar a ter os ataques dos cibercriminosos. Por isso é importante que os usuários estejam atentos de como manejam sua informação pessoal na rede.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Já foram reportados vários casos de phishing com geolocalização e outros casos de códigos maliciosos direcionados a usuários brasileiros. Recentemente, detectamos um novo trojan que afeta aos usuários de instituições financeiras no Brasil.

O código malicioso é detectado pelas soluções de detecção proativa da ESET como Win32/Spy.Banker.YJS trojan. Assim que é executado na máquina do usuário, o malware cria um arquivo na pasta System32, iniciando um processo que é executado e espera que o usuário acesse a página do banco na Internet:

Se o usuário inserir a página de seu banco utilizando um navegador diferente no Internet Explorer, este automaticamente fecha e mostra um aviso para que se utilize o navegador mencionado. Este comportamento pode ser um sinal de alerta para o usuário, já que se antes o banco permitia a utilização de diferentes navegadores para o acesso, não é normal que restrinja o uso a um só navegador em particular.

Uma vez que o usuário insere os dados de sua conta, o código malicioso inicia a captura da informação. Toda essa captura é feita simulando uma página do banco, mas sem gerar tráfego de rede. Nesse ponto, novamente há um alerta para o usuário: apesar de estar lidando com informações sensíveis, a conexão utilizada não está criptografada, o que não é normal em uma conexão de confiança como a que se estabelece com as entidades financeiras. Isto é detectado facilmente ao observar a barra de endereço do navegador e descobrir que não se está utilizando o protocolo seguro https://.

Se o usuário continua inserindo sua informação pessoal, além de pedir os dados de seu cartão, também pede para inserir dados pessoais como números de identificação e de confirmação pessoal; chegando a um ponto em que o código malicioso simula um teclado virtual onde deve ser inserida a senha associada com a conta. Tudo isso se faz simulando as páginas do banco, mas novamente há alertas que poderiam levantar a suspeita de haver algo errado. Ao clicar nos ícones de ajuda não aparece nenhuma informação, o que seria habitual na página original de uma entidade financeira:

Finalmente uma vez que o usuário inseriu toda sua informação na página falsa, o código malicioso envia um e-mail ao atacante com um resumo de toda a informação inserida: senhas, números de conta e números de identificação. Além disso, ocorre a captura de informação do computador a partir do momento em que o usuário se conectou à Internet:

Algo particular deste código malicioso é que utiliza um certificado eletrônico roubado, da Comodo, uma entidade certificadora real, como se pode observar nas capturas a seguir.

Esta característica faz com que o código malicioso possa se propagar por servidores de correio e sistemas sem que seja detectado por muitas ferramentas de segurança. Além de contar com a solução de segurança podemos ter em conta práticas de boa navegação realizar transações seguras na Internet.

Fernando Catoira, Analista de Segurança
H. Camilo Gutiérrez Amaya, Especialista de Awareness & Research

Categories: Análise de malware
1 Comment »

Esse é o típico site que nunca ninguém conhece, ou diz não conhecer. Basicamente, o Cam4Bucks é um serviço que permite a “modelos amadores” exibirem ao vivo todo seu talento, cobrando módicas quantias em dinheiro, e a internautas ávidos por conteúdo erótico caseiro satisfazerem sua vontade – se possível, gratuitamente.

Pois bem, esse popular site foi hackeado por um membro do Anonymous Brasil cuja conta no Twitter é @lulz_much_lulz. O invasor supostamente liberou o código fonte da plataforma, publicando-a na Internet para qualquer um que esteja disposto a baixar os 77 Mb que pesa.

O cibercriminoso, contudo, afirmou no Twitter que tem o banco de dados completo, contendo tantas informações de usuários do site que chega a alcançar 1,2 Gb de tamanho. Com isso, aproveitou para fazer campanha no Twitter: quando alcançar mil seguidores, promete liberar publicamente o banco de dados completo com toda a informação.

 Anoymous – BR ‏@lulz_much_lulz

http://cam4bucks.com  hacked, source Exposed [70MB] #OpPedo →http://x90.es/4dM  Will release 1.2GB of DB when 1k followers@Cyber_War_News

Para alguns, mil seguidores no Twitter pode ser pouco, mas considerando que o criminoso tem pouco mais de 30… Ainda tem muito chão pela frente.

O que parece estar levantando mais curiosidade é o fato de que pode haver registros de todos os tipos de usuários, alguns anônimos, e outros nem tanto. É provável que o responsável pelo golpe procure no banco de dados por nomes que possam causar impacto na opinião pública, usando essa informação de alguma forma. Seguiremos acompanhando.

Yolanda Ruiz Hervás
Diretora de Marketing – ESET Espanha

Categories: Alertas
No Comments »

Tempos atrás surgiu uma ameaça conhecida sob a nomenclatura DNSChanger, que é detectada pelo ESET NOD32 Antivirus como Win32/DNSChanger. Este malware tem como finalidade redirecionar os usuários infectados a sites maliciosos. Os redirecionamentos são feitos com a modificação dos endereços IP dos DNS do sistema infectado. No último dia 9 de julho, o FBI tirou de funcionamento os servidores DNS maliciosos, sobre os quais a própria instituição havia tomado controle. Desta forma, todos os usuários que continuem infectados com o DNSCHanger estão sem acesso à Internet por não terem como converter os nomes em endereços IP.

Além da ESET e do FBI terem oferecido ferramentas para ajudar a informar os usuários que estiveram infectados, sendo que o Google também ofereceu ajuda nesse sentido. O buscador analisava os servidores dos endereços que faziam buscas no site, e no caso de identificar um servidor malicioso, alertava o usuário, indicando que seu sistema poderia estar infectado.

A equipe da ESET América Latina recompilou dados baseados nas detecções reportadas do DNSChanger. Desta forma, é possível considerar quais foram os países mais afetados da região latino-americana. O México conta com 42,4% das detecções. Na posição seguinte, com taxas de detecção similares, estão a Argentina com 10,9%; Peru com 10,7% e o Brasil com 10,1% do total de infecções na América Latina. A seguir, você pode observar um gráfico que reflete a situação na região:

Outro dado que vale a pena destacar é que essa porcentagem está baseada em detecções, e por isso o número de usuários que realmente ficaram sem acesso à Internet pode ser inferior, devido à possibilidade de muitos sistemas já terem sido limpos.É importante destacar que o México, juntamente com a Argentina, Peru e Brasil reflitam aproximadamente 80% do total das infecções na América Latina. Contudo, existem outros países dentro da região que, em menor medida, também foram afetados pelo DNSChanger.

Para os usuários que tenham ficado sem acesso à Internet devido a este malware, é recomendável que baixem o ESET NOD32 Antivirus em um computador que tenha acesso à Internet e utilizem algum dispositivo de armazenamento removível (USB, cartão SD, discos externos, dentre outros) para instalá-lo no computador infectado. Nesse momento será necessário executar uma análise para limpar o sistema infectado. É importante destacar que é importante, além disso, contar com um software antivírus com capacidade de detecção proativa para se proteger contra ameaças que circulam na rede, incluindo o DNSChanger.

Fernando Catoira
Analista de Segurança

Categories: Análise de malware, Educação
1 Comment »

Em várias oportunidades, falamos em nosso blog de diferentes casos de phishing. Além disso, analisamos um caso que utilizava uma tecnologia conhecida como geolocalização, que permite determinar a partir de que país a vítima em potencial está acessando. Há um novo caso de phishing sobre uma conhecida companhia aérea que está afetando usuários brasileiros, e que utiliza justamente essa técnica.

Esse site de phishing em particular implementa a geolocalização como mecanismo para impedir o acesso de usuários que estejam fora do Brasil. Dessa forma, fica mais difícil detectar esses sites fraudulentos, além de indicar os usuários que realmente são de importância para o criminoso virtual. A tela abaixo mostra a mensagem de “proibido” que aparece quando o usuário se encontra fora do país:

Devido a esse tipo de limitação, conseguimos acessar o site utilizando um proxy do Brasil para poder driblar a proteção e ter acesso ao próprio site malicioso. A tela abaixo mostra sua entrada:

Há uma série de fatores que chamam a atenção. Em primeiro lugar, o site conta com um painel de busca de voos, que dispõe de funcionalidade completa. Em outras palavras, caso seja feita uma busca sobre esse formulário, é feito um redirecionamento ao site original, com os dados inseridos no formulário, e a seguir é executada a própria busca sobre o servidor legítimo. Essa é uma das formas os criminosos utilizam para não despertar suspeitas no usuário. O formulário pode ser visto na imagem a seguir:

Contudo, a finalidade deste site falso se encontra no formulário em que é solicitado ao usuário uma série de dados críticos para poder participar de um suposto sorteio. A seguir, você pode ver uma imagem do formulário:

O suposto concurso promete sortear 200 mil pontos diários que podem ser trocados por produtos e até mesmo voos nacionais e internacionais. Porém, para participar do sorteio, o usuário deve inserir seu “número fidelidade” e a “senha de resgate” (quatro ou cinco dígitos para certificar que é o cliente que utiliza os pontos). Ou seja, com essa informação, o criminoso poderia ter acesso aos pontos que a vítima possui na companhia aérea.

Foi feita uma análise do tráfego gerado para determinar que ações este site de phishing realiza assim que os dados requeridos são informados para o suposto sorteio. Especificamente, é feita a conexão a outro servidor remoto onde a informação é processada a partir de um arquivo PHP embutido. Possivelmente a informação será coletada e armazenada de alguma forma para que seja utilizada posteriormente pelos criminosos. Na imagem a seguir, você pode observar a informação do tráfego de rede:

Ao acessar o servidor, especificamente a pasta log lista três arquivos PHP. Esses arquivos podem ser utilizados para processar a informação roubada através de diferentes campanhas. A imagem a seguir mostra os arquivos mencionados:

Essa campanha combina, então, métodos de geolocalização e redirecionamento ao site legítimo para poder preservar por mais tempo o site de phishing online. Dessa forma, o criminoso se assegura de obter os dados dos usuários que realmente são de seu interesse e minimiza a possibilidade de ser detectado. Por esse tipo de situação, é recomendável contar com alguma solução de software com capacidade de detecção proativa que permita estar protegido contra esse tipo de ameaça. Além disso, a educação é um pilar fundamental que o usuário deve considerar para completar sua segurança.

Fernando Catoira
Analista de Segurança

Categories: Phishing
No Comments »