No último dia 17, a Microsoft anunciou uma vulnerabilidade 0-day que afeta o Internet Explorer 9 e versões anteriores, ao visitar alguns sites com conteúdo malicioso. A empresa também informou que a versão 10 do navegador não é afetada.

A vulnerabilidade foi detectada na função execCommand e permite a execução remota do código. A descoberta dessa vulnerabilidade pode estar relacionada à aparição a alguns dias do exploit 0-day no Java, pois o código malicioso foi encontrado no mesmo servidor onde estava hospedado o código que tirava proveito da grave vulnerabilidade Java já solucionada pela Oracle. O exploit malicioso foi detectado pela ESET como JS/Exploit.Agent.NDG, portanto a primeira linha de defesa para reduzir os riscos de ataques aos usuários é ter um software de proteção com características de detecção proativa.

Vale mencionar que, enquanto a Microsoft trabalha em uma correção para a vulnerabilidade, que se espera estar disponível na próxima atualização em 9 de outubro, há uma série de recomendações para evitar infecção:

• Configurar como Alto o nível de segurança para Internet e Intranet Local no navegador, para bloquear os controles ActiveX e Active Scripting.

• Configurar o Internet Explorer para que solicite permissão ao usuário antes de executar sequências Active Scripting, que ajudam a prevenir invasões, mas podem afetar a usabilidade do navegador.
• Ativar o complemento EMET (Enhanced Mitigation Experience Toolkit) da Microsoft, que oferece algumas funcionalidades para prevenir a intrusão no sistema e dizem não afetar a usabilidade dos sites web.

Além dessas recomendações, é prudente utilizar outros navegadores enquanto a Microsoft não publica o pacote de segurança, já que foi publicado um script para Metasploit que permite a exploração dessa vulnerabilidade, dando margem para a ação de trojans. Além disso, caso baixe o complemento EMET, faça-o diretamente da página oficial da Microsoft, para evitar a infecção com outros códigos maliciosos.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Conforme está sendo amplamente comentado na mídia, o trojan, identificado pela ESET como OSX/Flashback, está atacando a plataforma Java dos usuários de Mac e busca roubar nomes de usuário e senhas através da infecção de código malicioso em navegadores.

Na semana passada, a Apple publicou uma extensa atualização de segurança para os usuários de Java no OS X Lion 2012 – 002 e OS X 10.6 Update 7, que soluciona várias vulnerabilidades como: CVE-2011-3563, CVE-2011-5035, entre outras. É importante lembrar que, apesar de que a partir da versão 10.7, o OS X já não vem com Java instalado por padrão. É muito importante considerar esta atualização, já que muitos usuários podem ter instalado o Java para executar algumas aplicações.

Apesar do índice de detecção da ameaça na América Latina ser relativamente baixo, já que a maior parte da propagação da ameaça está em países anglo-saxões, os usuários devem tomar essas medidas para manter seus computadores livres desses códigos maliciosos.

Uma possível ação para quem considera não necessitar utilizar o Java em seus navegadores é desabilitá-lo a partir das preferências de segurança nas configurações do Safari.

Além disso, os usuários do ESET Cybersecurity que ainda não tenham atualizado seu banco de dados de assinaturas de vírus devem fazê-lo imediatamente, já que com a última versão estarão protegidos contra o trojan Flashback em suas mais novas variantes J, K e também as anteriores.

Raphael Labaca Castro
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Na última semana, recebemos em nosso laboratório um e-mail utilizando como tema de engenharia social um suposto acidente que uma criança do Rio de Janeiro teria sofrido ao tentar saltar de uma altura de 30 metros para voar de parapente. Para torna-lo mais convincente, é inserida uma imagem que aparenta ser um vídeo compartilhado por redes sociais e se afirma que o falso arquivo anexo (o malware é baixado através de um link inserido na imagem) foi analisado pela solução antimalware do Hotmail, verificado como livre de ameaças.

Na tela a seguir, vemos o e-mail exibido e a considerável quantidade de endereços de envio no campo “Para”:

Conforme mencionado anteriormente, se o usuário acessar o link inserido no suposto vídeo irá baixar um arquivo malicioso com extensão COM que faz alusão ao portal Youtube ao incluí-lo como parte de seu nome, utilizando assim uma artimanha somada à confusão que pode gerar no usuário quando um arquivo executável “COM” e o domínio genérico de um site “.com”. No primeiro caso, trata-se de arquivos executáveis que costumavam ser utilizados em sistemas operacionais antigos como MS-DOS e que, na atualidade, estão sendo amplamente utilizados para facilitar a propagação de malware, ao conseguir enganar usuários que poderiam evitar extensões suspeitas, como .EXE. No segundo caso, a terminação .com é utilizada para domínios genéricos de Internet, diferente de terminações territoriais, como .cl (Chile) ou .br (Brasil), que pertencem a determinado país.

Este “trágico incidente” foi detectado pelo ESET NOD32 Antivirus como o trojan Win32/TrojanDownloader.Agent.RDR. Se esta ameaça é executada, tenta baixar dois arquivos que atualmente estão corrompidos, ou seja, que não funcionavam corretamente. Contudo, vale destacar que, a qualquer momento, os criminosos virtuais responsáveis por estes códigos maliciosos podem atualizar o servidor a partir de onde são baixados os arquivos com finalidade de disseminar mais malware.

Somado ao anterior, a vontade de obter dinheiro ilicitamente por parte desses criminosos virtuais não terminam aqui. Realizando uma análise mais detalhada, encontramos dois códigos maliciosos que provavelmente também foram propagados por este grupo. Um deles também é enviado simulando um vídeo, porém utilizando outro tema menos explícito. Aqui o usuário é seduzido a partir da desculpa de que nesse material multimídia poderá observar coisas absurdas que acontecem no país. Neste caso, trata-se de um trojan bancário (destinado a roubar informações bancárias), também detectado por nossa solução antivírus como Win32/Spy.Banker.XOT. Ao ser executado, baixa da Internet e executa outra ameaça, o trojan BAT/Agent.NLF.

Finalmente, encontramos um terceiro código malicioso que, através da técnica de pharming local, modifica o arquivo host do computador da vítima para redirecioná-la a sites fraudulentos quando tentar acessar determinadas instituições financeiras e bancos brasileiros. Assim como o anterior, este trojan também atua como proxy com a finalidade de garantir mais uma vez que o usuário irá acessar  um site bancário falso. Veja a captura da tela do golpe:

Neste caso, pudemos observar que o trojan detectado como Win32/ProxyChanger.CF age formatando o sistema da vítima após algum tempo. Por outro lado, destacamos que somente com a recepção de somente um e-mail e após várias análises exaustivas, pudemos determinar que esses criminosos virtuais contam com pelo menos quatro códigos maliciosos (três propagados e outro que é baixado após a infecção) e uma grande criatividade para manipular os usuários mais desatentos e assim maximizar seus ganhos ilícitos.

Neste tipo de caso, o principal conselho, além de evitar clicar em links desconhecidos que sejam enviados a você em e-mails e redes sociais. Além disso, através da utilização de uma solução antivírus com capacidade de detecção proativa e adotar uma postura de uso que permita ao usuário discernir entre um e-mail malicioso e um genuíno permite mitigar o impacto das ameaças digitais. Em casos onde a pessoa tenha sido vítima desse tipo de ameaça, é imprescindível que entre em contato com seu banco para mudar as senhas e adotar as medidas necessárias.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Foi detectada uma nova variante do conhecido malware para o sistema operacional Mac OSX que foi reportada pelo blog do Intego, especializado nesta plataforma. Trata-se de um trojan detectado pelos produtos ESET e identificado sob a assinatura OSX/Flashback.G.

O código malicioso acessa o sistema através de uma vulnerabilidade em Java identificada como CVE-2011-3544. No caso de o sistema não ter o software instalado, ou caso tenha sido instalada a atualização de segurança (patch), o malware busca enganar o usuário através da instalação de um aplicativo falso. Apesar do sistema operacional alertar ao usuário que a assinatura digital do aplicativo não pôde ser verificado, muitos continuam com a instalação sem prestar atenção a uma ameaça em potencial.

O objetivo deste trojan é injetar código malicioso nos navegadores e outras aplicações após roubar nomes de usuário e senhas de sites conhecidos como Google, Yahoo!, PayPal, entre outros. É importante lembrar que assim que o criminoso consiga acessar as contas de e-mail dos usuários, obtém uma via quase direta para obter as credenciais de diferentes sites que o usuário utilize, já que os mecanismos para reestabelecer senhas normalmente estão vinculados ao e-mail pessoal.

Por isso, diante de qualquer situação deste tipo, a recomendação ao usuário, como de praxe, é acessar a página oficial do aplicativo, neste caso a Oracle, para realizar as atualizações necessárias. Outro dado importante que caracteriza essa ameaça é que as aplicações que foram alteradas, como por exemplo o navegador, começam a fechar inesperadamente por problemas de estabilidade.

Considerando que muitos usuários desta plataforma não estão atentos à existência deste trojan para Java, recomendamos instalar o ESET Cybersecurity para Mac, visando aumentar a segurança de seu sistema, já que será detectada esta variante e outras como Flashback.H e Flashback.I, mantendo o computador sempre protegido. Para os que já são usuários do produto, recomendamos atualizar sua base de assinaturas de vírus para contar com proteção sobre todas as variantes atuais desse trojan.

Raphael Labaca Castro
Especialista de Awareness & Research

Categories: Alertas, Malware
No Comments »

No Laboratório de Pesquisa da ESET América Latina, sempre afirmamos que um dos pilares para alcançar o uso mais seguro dos computadores e dispositivos móveis é a educação dos usuários. Pelo mesmo motivo, as empresas de T.I. devem se esforçar para melhorar a segurança de suas plataformas e produtos. Entretanto, se a pessoa não adota um padrão de conduta seguro, nem se informa sobre o modus operandi dos criminosos virtuais e as ameaças criadas por eles, os esforços por parte das empresas para melhorar sua confiabilidade podem acabar sendo pouco efetivos.

A Apple não é exceção a essa regra. Apesar de a plataforma Mac ser uma das mais seguras do mercado, segundo um estudo da Indego, o ano de 2011 foi marcado pela aparição de alguns códigos maliciosos que mesmo não sendo tão frequentes em comparação com outros sistemas operacionais como Windows ou Android, foram suficientes para relembrar a importância do fator educacional para todos os usuários, sem exceção.

De acordo com a pesquisa, o primeiro incidente de segurança para Mac ocorreu em fevereiro de 2011, com a descoberta de uma ferramenta de administração remota que, como ocorre no Windows, representa um risco em potencial. Ainda que tenham surgido algumas versões aprimoradas desta aplicação, seu possível perigo desapareceu rapidamente, deixando um cenário mais calmo que se manteria por dois meses.

Em maio surgiu o primeiro rogue para OS X. Esse tipo de código malicioso faz uso da tática Scareware, assustando o usuário e se apresentando como solução antivírus ou antispyware que falsamente “detecta” no sistema da vítima uma grande quantidade de malware para oferecer uma licença de um produto que supostamente remove tais ameaças.

Detectado pelo ESET Cybersecurity como OSX/Adware.MacDefender, este rogue chegou a vários usuários por meio de um arquivo Javascript que surgia em algumas buscas por imagens do Google, por estar alojado em alguns sites da web.

Com o passar do tempo, essa ameaça foi adquirindo variados nomes como MacProtetor, MacSecurity, MacShield, MacGuard, entre outros, além de melhorar sua interface gráfica para que ficasse mais semelhante ao característico estilo da Apple. A ameaça ainda solicitava a senha do sistema operacional para instalar alguns aplicativos. Como resultado, a Apple publicou em sua sessão de suporte instruções de como evitar e eliminar o MacDefender.

Em setembro, surgiu o trojan OSX/Flashback. Aproveitando o fato de a plataforma Mac não incluir Adobe Flash Player por padrão, a ameaça incitava os usuários a baixarem uma cópia sua através de alguns sites afetados, nos quais se apresentava como um hyperlink ou ícone. Caso o usuário não adote as precauções necessárias e execute este instalador, estará expondo seu computador ao permitir que o trojan se atualize  ou receba e envie arquivos, a partir de comandos remotos que pode receber.

Por volta do final de 2011, a Indego encontrou um trojan de backdoor detectado pela ESET como OSX/Tsunami, cujo código está baseado em um cavalo de troia muito similar para Linux que permite a execução de vários comandos remotos no equipamento afetado. Dois dias depois, encontraram outro malware importante, OSX/DevilRobber, programado para utilizar a capacidade de cálculo da CPU e GPU do computador com a finalidade de arrecadar dinheiro através do método bitcoin.

A quantidade de ameaças detectadas em 2011 para OS X em comparação com o Windows continua sendo bem menor. Contudo, por se tratar na maioria de códigos maliciosos evitáveis, a necessidade da educação adequada do usuário somada ao comportamento correto em segurança adquire ainda mais força. Por isso, se o usuário de Mac adota certas medidas de proteção como não instalar programas de procedência duvidosa e se mantém informado sobre segurança da informação, contribui para que esta plataforma continue sendo uma das mais seguras do mercado.

André Goujon
Especialista de Awareness & Research

Categories: Malware
No Comments »