Os infames pacotes de exploração Blackhole e Nuclear Pack agora tem um novo exploit que explora a vulnerabilidade Java CVE-2013-0422. A última versão do Java 7 Update 10 é afetada.

O malware que se propaga através de downloads costuma utilizar pacotes de exploração, que são capazes de servir variantes de malware sem a interação do usuário, ao contrário de outras técnicas que se baseiam na engenharia social.

Os usuários de produtos de segurança ESET estão protegidos desta ameaça (detectamos sob o nome Java/Exploit.CVE-2013-0422), mas não custa repassar o conselho dado por Brian Krebs, para desativar o Java caso sua utilização não seja necessária, para minimizar os vetores de ataque em potencial utilizados pelo malware.

Robert Lipovsky
Pesquisador de Malware – ESET USA

Categories: Alertas, Malware
No Comments »

Os rogues são ameaças virtuais cuja finalidade é assustar o usuário, simulando falsas detecções de códigos maliciosos. Desta maneira, os criminosos amedrontam a vítima para que adquira uma licença que, supostamente, irá limpar seu computador. Mas o que acontece se uma pessoa, em uma tentativa desesperada, cai no golpe e acaba comprando uma licença?

É evidente que fazer isso não contribui somente para que os cibercriminosos continuem desenvolvendo esse tipo de ameaça, como também abre a possibilidade para que as informações fornecidas pelo usuário, como o número de seu cartão de crédito, sejam utilizadas com fins escusos. Para realizar este procedimento, utilizamos um rogue batizado por seus autores como Windows Custom Management, e que foi detectado de forma proativa pelo ESET NOD32 Antivirus como uma variante do Win32/Adware.WintionalityChecker.AF. Como na maioria dos casos desse tipo, o WintionalityChecker simula a detecção de códigos maliciosos, e alerta o usuário que certos aplicativos estão infectados, recomendando que compre o “produto” para realizar a remoção da ameaça.

Como você pode observar na tela acima, esta ameaça mostra quatro detecções falsas. Se o usuário inserir qualquer número de série, o rogue rejeita a licença:

Para poder determinar números de licença válidos, fizemos uma análise estática para evitar contribuir com este negócio ilícito. Desse modo, encontramos uma licença que funcionava:

Após clicar no botão “Registro”, a interface gráfica da ameaça muda para passar a ideia de que o usuário está supostamente protegido. Após essa etapa, é informado à vítima que as quatro ameaças anteriormente detectadas foram removidas satisfatoriamente do sistema. Para que essa ação pareça legítima, as detecções falsas são eliminadas lentamente e de forma individual. Por outro lado, todas as mensagens invasivas que alertavam o usuário sobre programas “infectados” são omitidas assim que a pessoa adquire a licença e cai na fraude.

Portanto, pudemos concluir que a única coisa que ocorre quando se adquire uma licença de um rogue são falsas animações que aparecem na tela e que buscam enganar o usuário para tranquiliza-lo sobre o estado de seu sistema. Como todas essas detecções são falsas, a remoção obviamente é uma montagem visual, e em caso algum é removido algum código malicioso. Contar com uma solução de segurança antivírus com capacidade de detecção proativa ajuda a evitar este tipo de malware e outras ameaças virtuais. Em casos de rogues mais persistentes cuja eliminação é difícil, recomendamos utilizar o ESET Rogue Applications Remover para sua remoção completa do sistema.

André Goujon
Especialista de Awareness & Research

Categories: Rogue
No Comments »

Nas últimas semanas, temos trabalhado em uma investigação sobre um código malicioso que, após sua análise, nos permitiu identificar um caso de ataque direcionado de malware na América Latina, projetado com o objetivo de roubar arquivos (projetos, desenhos, etc) de AutoCAD dos computadores infectados. Após incidentes de alta repercussão na mídia como os casos Stuxnet, Duqu ou Flamer; no Laboratório da ESET América Latina descobrimos um ataque semelhante projetado e direcionado exclusivamente a um país da região – o Peru. A partir das taxas de detecção do worm ACAD/Medre.A durante o ano de 2012, a equipe de investigação pôde compreender o funcionamento deste código malicioso, projetado exclusivamente na América Latina, posicionando-se como um novo caso de malware projetado para um ataque direcionado, com a particularidade de se tratar do primeiro caso deste tipo e desta magnitude registrado na região – a chamada Operação Medre.

Como foi identificado este ataque? Semanas atrás integrantes do Laboratório da ESET América Latina notaram uma taxa de detecção destacada de um código malicioso no Peru, o ACAD/Medre.A. Tratava-se de um worm em arquivos em AutoLISP (linguagem de scripting para AutoCAD) que se localizava entre os dez códigos maliciosos mais detectados no país durante o ano, algo pouco habitual para esse tipo de arquivos e detecções. Enquanto no Peru o ACAD/Medre.A representava 1,29% das detecções no país (ficando no 9º lugar do ranking), as taxas eram muito mais baixas para o mesmo código malicioso na América Latina (0,21%) e no mundo (0,04%):

96% das taxas de detecção do ACAD/Medre foram no Perú, uma concentração extremamente pouco habitual para os códigos maliciosos. Antes desse cenário, conseguimos analisar a ameaça para conhecer o que havia por trás, descobrindo o que chamamos de Operação Medre – um ataque direcionado exclusivamente ao Peru, com o intuito de roubar arquivos de AutoCAD dos computadores infectados.

A partir de um arquivo de extensão FAS (arquivos executáveis em linguagem AutoLISP) localizado na mesma pasta do projeto, quando o usuário abre um projeto de AutoCAD (.dwg), o arquivo malicioso é executado, modificando um arquivo LSP localizado na pasta do software, de forma que pode continuar infectando qualquer outro projeto que o usuário abra no sistema. Posteriormente, um script é executado em linguagem Visual Basic (.vbs) que possui rotinas para enviar todos os projetos de AutoCAD abertos no sistema infectado a contas de e-mail do cibercriminoso, sendo mais de 40 contas distribuídas em serviços de e-mail na China.

Finalmente, a ESET desenvolveu uma ferramenta de limpeza gratuita disponível no site da ESET América Latina, para que qualquer usuário possa baixá-la e verificar se possui seu sistema e/ou projtos de AutoCAD infectados e, em casos positivos, limpar e desinfectar o sistema.Na imagem a seguir, você pode observar como o criminoso recebe em seu e-mail o projeto DWG, junto com outros dados como a rota do arquivo, e o nome de usuário e computador da vítima:

Na análise do tamanho da operação, descobrimos que os criminosos roubaram mais de dez mil projetos únicos, concretizando um ataque de importante magnitude para a região. Ainda assim, identificamos que o Peru também é o país onde foram encontrados mais endereços URL hospedando o malware através de nosso alerta proativo, o ESET LiveGrid. Inclusive observamos casos de alto comprometimento da confidencialidade, como por exemplo um importante site que ofereça um template (arquivo base) para a apresentação de projetos de provedores para uma importante organização. Desta forma, ao infectar o template, todos os projetos apresentados pelos usuários foram enviados aos criminosos, gerando um alto comprometimento à confidencialidade da informação.

Nas últimas semanas, antes da publicação desta investigação, nós da ESET temos atuado sobre a situação, promovido informações e auxiliando autoridades responsáveis no Peru, às quais a ESET tem oferecido seu apoio e assistência para controlar e remediar o problema; a empresa Autodesk (fabricante do produto AutoCAD) e as empresas chinesas provedoras dos serviços de e-mail utilizados pelos criminosos. Uma dessas empresas já nos deu uma resposta rápida e eficaz, desabilitando as contas de e-mail utilizadas pelo worm. Com isso, nos casos em que as contas selecionadas para enviar o projeto correspondam aleatoriamente a este domínio, o worm já não será funcional e o projeto não será enviado ao criminoso.

É pouco frequente encontrar códigos maliciosos através do AutoCAD. Também é pouco frequente haver códigos maliciosos com claros fins de espionagem (como neste caso, visando o roubo de projetos e desenhos técnicos). Também é pouco frequente que o malware seja utilizado como ataque direcionado e, finalmente, nos casos mencionados no início do texto, esta atividade sequer era observada, ao menos com essas características e com essa magnitude, na América Latina. A Operação Medre unificou todos esses conceitos, evidenciando a presença de ataques na região, e que as empresas e organizações devem gerenciar sua segurança para prevenir incidentes deste tipo, cujo impacto pode ser mais grave que infecções mais tradicionais.

Para os que desejem conhecer mais detalhes sobre a Operação Medre, é possível baixar em nosso site o White paper “Operação Medre: espionagem industrial na América Latina” (em espanhol), que detalha de forma muito mais extensa as características deste worm e a operação de ciberespionagem por trás dele.

Sebastián Bortnik
Gerente de Educação e Serviços

Categories: Alertas, Malware
No Comments »

Há algum tempo temos observado muitas opiniões sobre este worm que é detectado pelo ESET Smart Security como Win32/Flamer. O seu nome pode variar entre Flamer, Flame e sKyWIper, segundo a fonte.

Devido à grande repercussão que esse malware está tendo, uma grande especulação foi gerada sobre o assunto. Por isso, é interessante esclarecer alguns detalhes que estão um pouco confusos sobre este código malicioso. No dia 28 de maio, o Centro de Coordenação da Equipe de Resposta de Emergências Computacionais (CERT) do Irã disponibilizou amostras a algumas empresas fabricantes de software de segurança para que sejam devidamente analisadas. A partir disso, o Laboratório de Criptografia e Segurança em Sistemas da Universidade de Tecnologia de Budapeste fez uma interessante análise sobre a ameaça. Depois disso, começou a circular muita informação sobre o assunto na Internet, o que poderia causar confusão em alguns usuários. Por esse motivo, decidimos desmistificar algumas dessas afirmações e esclarecer aos usuários alguns detalhes deste polêmico worm:

O Flamer é uma ameaça nova

Falso. Essa ameaça já está ativa há alguns anos. Porém, a atenção sobre ela aumentou desde que foi publicada pelo CERT do Irã e pelas respectivas empresas de segurança. Além disso, começaram a aparecer detecções em determinados países que já sofreram ataques virtuais dirigidos às suas instalações e plantas industriais, o que o leva a pensar em uma evolução desse malware.

O Flamer está relacionado ao Stuxnet e ao Duqu

Em alguns aspectos sim, já que existem determinados indícios que levam a considerar esta teoria. Em primeiro lugar, o Flamer tem algumas coisas em comum, como um design modular que lhe permite adicionar ou atualizar funcionalidades de forma independente e em diferentes momentos. Por outro lado, o Flamer é capaz de se propagar através do USB, igual ao Stuxnet, porém diferente do Duqu. O Stuxnet, além disso, se replicava automaticamente, enquanto o Flamer e o Duqu não. Portanto, existe uma infinidade de características que o tornam semelhante a essas duas ameaças e outras que o fazem uma ameaça em particular.

Seu tamanho é 20 Mb, o que é sensivelmente maior que o de outras ameaças

Verdadeiro. Considerando todos os seus módulos é uma ameaça de tamanho considerável, já que o restante geralmente não supera 1 megabyte. De fato, é dezenas de vezes maior que outras ameaças, como Stuxnet. Isso pode ser devido ao fato de ter muitos códigos de terceiros embutidos em seu conteúdo, enquanto que a maioria das outras ameaças não o faz.

É o código malicioso mais letal de todos os tempos

Depende. É difícil poder determinar isso sem saber realmente quais são seus alvos. É uma ameaça que foi teoricamente projetada para o roubo de informação, contudo apareceram detecções em diversos países. É uma ameaça que está teoricamente projetada para o roubo de informação, contudo surgiram detecções em diversos países – do Oriente Médio até alguns países do Leste Europeu. Por isso, o mais racional seria contar com mais informações para poder afirmar isso.

Não podemos nos proteger dessas ameaças complexas

Falso, apesar de essas ameaças apresentarem muitas características de propagação e um nível de complexidade superior à média, existem mecanismos para proteger as informações do usuário. No caso particular do Flamer, são exploradas vulnerabilidades conhecidas como MS10-061 e MS10-046 e nenhuma 0-day. Por isso, existem pacotes tanto para a primeira quanto para a segunda vulnerabilidade explorada, já divulgados pela Microsoft. Adicionalmente, é recomendável a utilização de uma tecnologia de segurança que permita detectar esta ameaça antes de acessar o sistema para manter os usuários seguros de forma proativa.

Por fim, faltam muitos dados para confirmar sobre a magnitude dos danos que essa ameaça poderia causar, e por isso recomendamos a todos os nossos usuários que mantenham seus sistemas e antivírus atualizados, de modo que seus dados não fiquem comprometidos. Com respeito à evolução desta ameaça, há coisas que ainda são incertas, mas já temos informação suficiente para ficarmos atentos.

Raphael Labaca Castro
Awareness & Research Coordinator

Categories: Alertas, Malware
No Comments »

Hoje vamos falar sobre o que pode acontecer quando duas vulnerabilidades conhecidas se combinam, afetando a segurança de uma empresa. Em particular, vamos analisar como a combinação da vulnerabilidade utilizada pelo Stuxnet (MS10-046) e outra, implementada pelo Conficker (MS08-068), poderiam permitir o acesso remoto por parte de um cibercriminoso.

A primeira das vulnerabilidades se refere à exploração dos acessos diretos do Windows (arquivos com extensão LNK) e sua data de publicação é de 2010. Seus efeitos permitem que, através de um arquivo LNK, seja possível baixar e executar um conjunto de arquivos maliciosos (de forma local ou remota), utilizando o caminho do ícone de acesso direto. Já a segunda vulnerabilidade tem mais de três anos e é amplamente utilizada pelo Conficker para se propagar através de uma rede infectada, graças a uma falha de segurança na autenticação do protocolo SMB.

Combinando ambas as vulnerabilidades, um criminoso poderia obter o acesso a um sistema remoto sem a necessidade de obter as senhas do usuário. Um acesso direto, alojado nas pastas compartilhadas forçaria a execução do exploit do Stuxnet para obter uma sessão válida na máquina da vítima. Esse ataque poderia ser utilizado tanto de maneira interna na rede como de maneira remota, mas, para o segundo caso, a complexidade aumenta um pouco. O resultado deste ataque permite ao criminoso obter as credenciais da pessoa que cai no golpe e carrega o acesso direto. O maior impacto ocorre quando um usuário com permissão de administrador da rede acessa a pasta compartilhada e o exploit é executado.

Há certos pontos que devem ser levados em conta sobre este caso. O primeiro deles reforça a importância de manter o sistema atualizado com todos os pacotes de segurança instalados. Anos depois da publicação do pacote que mitiga a vulnerabilidade utilizada pelo Conficker, esta ainda continua entre os códigos maliciosos com maior índice de detecção. Além disso, confirma que não se deve adicionar usuários com permissão de administrador, e que oferecer tais privilégios não é uma boa prática. Para conhecer mais sobre as boas práticas para a segurança empresarial, recomendamos ler nossos 10 mandamentos da segurança da informação na empresa.

Pablo Ramos
Especialista em Awareness & Research

Categories: Corporativo, Vulnerabilidades
No Comments »