Os rogues são ameaças virtuais cuja finalidade é assustar o usuário, simulando falsas detecções de códigos maliciosos. Desta maneira, os criminosos amedrontam a vítima para que adquira uma licença que, supostamente, irá limpar seu computador. Mas o que acontece se uma pessoa, em uma tentativa desesperada, cai no golpe e acaba comprando uma licença?

É evidente que fazer isso não contribui somente para que os cibercriminosos continuem desenvolvendo esse tipo de ameaça, como também abre a possibilidade para que as informações fornecidas pelo usuário, como o número de seu cartão de crédito, sejam utilizadas com fins escusos. Para realizar este procedimento, utilizamos um rogue batizado por seus autores como Windows Custom Management, e que foi detectado de forma proativa pelo ESET NOD32 Antivirus como uma variante do Win32/Adware.WintionalityChecker.AF. Como na maioria dos casos desse tipo, o WintionalityChecker simula a detecção de códigos maliciosos, e alerta o usuário que certos aplicativos estão infectados, recomendando que compre o “produto” para realizar a remoção da ameaça.

Como você pode observar na tela acima, esta ameaça mostra quatro detecções falsas. Se o usuário inserir qualquer número de série, o rogue rejeita a licença:

Para poder determinar números de licença válidos, fizemos uma análise estática para evitar contribuir com este negócio ilícito. Desse modo, encontramos uma licença que funcionava:

Após clicar no botão “Registro”, a interface gráfica da ameaça muda para passar a ideia de que o usuário está supostamente protegido. Após essa etapa, é informado à vítima que as quatro ameaças anteriormente detectadas foram removidas satisfatoriamente do sistema. Para que essa ação pareça legítima, as detecções falsas são eliminadas lentamente e de forma individual. Por outro lado, todas as mensagens invasivas que alertavam o usuário sobre programas “infectados” são omitidas assim que a pessoa adquire a licença e cai na fraude.

Portanto, pudemos concluir que a única coisa que ocorre quando se adquire uma licença de um rogue são falsas animações que aparecem na tela e que buscam enganar o usuário para tranquiliza-lo sobre o estado de seu sistema. Como todas essas detecções são falsas, a remoção obviamente é uma montagem visual, e em caso algum é removido algum código malicioso. Contar com uma solução de segurança antivírus com capacidade de detecção proativa ajuda a evitar este tipo de malware e outras ameaças virtuais. Em casos de rogues mais persistentes cuja eliminação é difícil, recomendamos utilizar o ESET Rogue Applications Remover para sua remoção completa do sistema.

André Goujon
Especialista de Awareness & Research

Categories: Rogue
No Comments »

A nova onda de tecnologia de dados que está chegando à próxima geração de carros – que inclui desde veículos “semi-auto-dirigíveis” a streaming de dados em tempo real em displays no painel – traz a questão: Eles vão estar seguros contra golpes cibernéticos, ou você terá que instalar software de segurança no seu próximo carro?

Na conferência Black Hat do ano passado, eu assisti uma demo de um hackeamento de carro utilizando wireless, em que os hackers foram capazes de destravar as portas e dar a partida. A equipe que fez a demo informou à companhia desenvolvedora do carro, visando incentivá-la a instalar proteções para impedir que pessoas com más intenções (e tempo livre) façam o mesmo. Mas e se a equipe de hackers decidisse ir para o “Lado Negro” e começasse a destravar carros e levá-los a desmanches?

Tradicionalmente, carros tem sistemas computacionais rudimentares, implementados para executar tarefas fixas como medir o nível de combustível para injeção, tornar a transmissão do câmbio mais suave ou melhorar o uso de combustível – coisas assim.

Mas com alguns fabricantes planejando lançar sistemas embarcados baseados em browser ou com sistemas de geolocalização, poderiam os golpes ir além? Golpes baseados em browser tem uma longa história em plataformas mais tradicionais. Então, com a força computacional exigida para rodar esses novos carros orientados por dados, desencadeando uma leva de computadores embarcados superequipados, eles poderiam se tornar uma nova plataforma de golpes de scam? Como já vimos em recentes golpes relacionados a Java, é fácil imaginar um aplicativo Java penetrando no sistema do carro e fazendo coisas que você não suspeitaria, como enviar seus dados a alguma localização remota (ou algo pior).

Para ser claro, fabricantes de carros costumam testar seus sistemas com um pouco mais de detalhes que uma startup do Vale do Silício competindo por capital de risco, com o lema “lançamento rápido, lucro rápido”. Mas carros costumam ter uma vida útil de 10 anos ou mais, o que faz uma vulnerabilidade de software mais difícil de gerenciar. Recalls de carros são conhecidos por serem caros, e tendem a ter um efeito negativo para a marca em geral, mas o que acontece quando um hack viola um modelo já lançado há vários anos, como no caso da demo apresentada na Black Hat? Enquanto houver um ciclo de atualizações, patches que tenham dado errado tem um efeito muito mais assustador que, por exemplo, a roda do seu mouse parar de funcionar.

Falando em termos gerais, fabricantes de carros parecem estar planejando mais lotes de interfaces de somente leitura que leitura e escrita, onde o carro simplesmente reporta sistemas e informação, então há menos chances de sistemas apresentarem problemas como usuários logando como Administador e instalando alguma coisa. Isso é uma coisa boa. Mas ainda há uma diversidade de tecnologias wireless que podem ser utilizadas para fins escusos relacionados a download de informação.

Teremos software anti-malware para esses carros? Eu penso que é cedo para dizer. Tenho a esperança de que bons projetos possam eliminar essa necessidade. Por outro lado, isso certamente abre novos horizontes para oportunistas que utilizam engenharia social tentem realizar golpes baseados em informações que podem ser obtidas do sistema dos carros. A ideia de ransomware baseados em carros é muito assustadora, seja desabilitando seu carro ou simplesmente tentando. Seria algo enervante.

Com esperanças, fabricantes irão se juntar à comunidade de segurança, para ajudar com análises, recomendações e testes – o que deverá fortalecer nossa segurança contra os hacks de carro. Se isso falhar, você pode encontrar uma motivação a mais para tirar poeira daquele projeto de restauração daquele velho carro e botar um novo gás nele. Pode ser um modelo antigo e sem alta tecnologia, mas você sabe o que esperar dele.

Cameron Camp
Security Researcher – ESET USA

Categories: Alertas, Engenharia Social
No Comments »

No Laboratório de Pesquisa da ESET América Latina, sempre afirmamos que um dos pilares para alcançar o uso mais seguro dos computadores e dispositivos móveis é a educação dos usuários. Pelo mesmo motivo, as empresas de T.I. devem se esforçar para melhorar a segurança de suas plataformas e produtos. Entretanto, se a pessoa não adota um padrão de conduta seguro, nem se informa sobre o modus operandi dos criminosos virtuais e as ameaças criadas por eles, os esforços por parte das empresas para melhorar sua confiabilidade podem acabar sendo pouco efetivos.

A Apple não é exceção a essa regra. Apesar de a plataforma Mac ser uma das mais seguras do mercado, segundo um estudo da Indego, o ano de 2011 foi marcado pela aparição de alguns códigos maliciosos que mesmo não sendo tão frequentes em comparação com outros sistemas operacionais como Windows ou Android, foram suficientes para relembrar a importância do fator educacional para todos os usuários, sem exceção.

De acordo com a pesquisa, o primeiro incidente de segurança para Mac ocorreu em fevereiro de 2011, com a descoberta de uma ferramenta de administração remota que, como ocorre no Windows, representa um risco em potencial. Ainda que tenham surgido algumas versões aprimoradas desta aplicação, seu possível perigo desapareceu rapidamente, deixando um cenário mais calmo que se manteria por dois meses.

Em maio surgiu o primeiro rogue para OS X. Esse tipo de código malicioso faz uso da tática Scareware, assustando o usuário e se apresentando como solução antivírus ou antispyware que falsamente “detecta” no sistema da vítima uma grande quantidade de malware para oferecer uma licença de um produto que supostamente remove tais ameaças.

Detectado pelo ESET Cybersecurity como OSX/Adware.MacDefender, este rogue chegou a vários usuários por meio de um arquivo Javascript que surgia em algumas buscas por imagens do Google, por estar alojado em alguns sites da web.

Com o passar do tempo, essa ameaça foi adquirindo variados nomes como MacProtetor, MacSecurity, MacShield, MacGuard, entre outros, além de melhorar sua interface gráfica para que ficasse mais semelhante ao característico estilo da Apple. A ameaça ainda solicitava a senha do sistema operacional para instalar alguns aplicativos. Como resultado, a Apple publicou em sua sessão de suporte instruções de como evitar e eliminar o MacDefender.

Em setembro, surgiu o trojan OSX/Flashback. Aproveitando o fato de a plataforma Mac não incluir Adobe Flash Player por padrão, a ameaça incitava os usuários a baixarem uma cópia sua através de alguns sites afetados, nos quais se apresentava como um hyperlink ou ícone. Caso o usuário não adote as precauções necessárias e execute este instalador, estará expondo seu computador ao permitir que o trojan se atualize  ou receba e envie arquivos, a partir de comandos remotos que pode receber.

Por volta do final de 2011, a Indego encontrou um trojan de backdoor detectado pela ESET como OSX/Tsunami, cujo código está baseado em um cavalo de troia muito similar para Linux que permite a execução de vários comandos remotos no equipamento afetado. Dois dias depois, encontraram outro malware importante, OSX/DevilRobber, programado para utilizar a capacidade de cálculo da CPU e GPU do computador com a finalidade de arrecadar dinheiro através do método bitcoin.

A quantidade de ameaças detectadas em 2011 para OS X em comparação com o Windows continua sendo bem menor. Contudo, por se tratar na maioria de códigos maliciosos evitáveis, a necessidade da educação adequada do usuário somada ao comportamento correto em segurança adquire ainda mais força. Por isso, se o usuário de Mac adota certas medidas de proteção como não instalar programas de procedência duvidosa e se mantém informado sobre segurança da informação, contribui para que esta plataforma continue sendo uma das mais seguras do mercado.

André Goujon
Especialista de Awareness & Research

Categories: Malware
No Comments »