Tecnologia

Milhares de sites WordPress foram infectados com um keylogger

Uma equipe de pesquisadores da empresa de segurança Sucuri Security descobriu que mais de 2.000 sites da plataforma WordPress estão infectados com um script malicioso. O script pode injetar no navegador da vítima um keylogger para roubar senhas e dados privados, ou o malware CoinHive para usar os recursos do equipamento do usuário clandestinamente para minerar criptografias – a exemplo do Bitcoin.

De acordo com os analistas do Sucuri, é um malware chamado Cloudflare[.]Solutions que afetou cerca de 5.500 sites WordPress, originalmente identificados em abril passado. O vírus evoluiu desde que foi descoberto e se espalhou para novos domínios. Além disso, “a taxa de reinfecção mostra que existem muitos sites que não foram adequadamente protegidos após a infecção original”, como Denis Sinegubko explica em uma publicação no blog da empresa de segurança.

O Cloudflare[.]Solutions foi eliminado em dezembro passado após a publicação do último relatório do Sucuri, mas a campanha não terminou. Poucos dias depois, os hackers registraram vários novos domínios para continuar a atuar, incluindo cdjs[.]online, que de acordo com o mecanismo de busca por código fonte PubliccWWW, atualmente infecta 146 páginas da Web; cdns [.]ws, que afeta 145 sites ; e, finalmente, msdns[.]online, que já infectou mais de 1.800 portais, sendo a maioria deles reinfecções de sites previamente comprometidos. Além disso, eles acreditam que uma boa parte das páginas afetadas ainda não foram indexadas, então pode haver muito mais afetados.

sucuri security

Para perpetrar o ataque, os cibercriminosos ingerem scripts maliciosos em sites do WordPress com segurança fraca ou obsoleta. Por exemplo, o script cdjs[.]online é injetado em um banco de dados WordPress ou no arquivo functions.php do tema. Uma vez que uma web for infectada, o script envia os dados que os usuários inserem em todos os formulários, incluindo o login, e usa os recursos do computador da vítima para minerar criptomoedas.

De acordo com os pesquisadores que detectaram a campanha, para limpar um site do WordPress que foi comprometido, é necessário remover o código malicioso nas funções-php do tema, vasculhar a tabela wp_posts para detectar possíveis injeções, alterar as senhas do WordPress e atualizar todo o software do servidor.

Read More...

Aplicativos

Malware presente em aplicativos do Google Play rouba senhas do Facebook

Uma equipe de pesquisadores composta por especialistas em segurança do Avast e da Trend Micro descobriram um malware escondido nos aplicativos do Google Play que tem a capacidade de roubar as senhas do Facebook das vítimas.

De acordo com o relatório, o número total de aplicativos maliciosos equivale a 53, que foram publicados na Google Store oficial desde abril de 201. Além de subtrair as credenciais do Facebook, o vírus detectado, chamado GhostTeam, também envia anúncios para dispositivos infectados.

As aplicações afetadas por este malware para o Android são principalmente entretenimento e estilo de vida. Entre eles, encontramos um aplicativo de lanterna, scanners de código de barras, gravadores de voz, bússola ou download de vídeo. Muitos deles foram publicados pelo desenvolvedor Mplus Group. Se você deseja garantir que você não tenha nenhum dos aplicativos infectados com o malware instalado no seu celular, neste link você pode consultar a lista completa que a equipe Trend Micro publicou.

GhostTeam conseguiu contornar os controles de segurança do Google Play graças à sua operação. Esses 53 aplicativos que os usuários instalam são aparentemente inofensivos, mas escondem um downloader que, quando chega a hora, entra em contato com um servidor C & C para baixar outros aplicativos que contêm malware real. Este segundo aplicativo geralmente se disfarça como uma ferramenta de sistema para passar despercebido e obter direitos de administrador enganando o usuário.

Uma vez que o malware esteja no dispositivo, ele começará a lançar anúncios intrusivos no smartphone e estará pronto para roubar as senhas do Facebook da vítima. Ao contrário de outros vírus, neste caso, ele não usa uma página falsa para obter as credenciais, mas é capaz de levá-las da página inicial real até a rede social.

Verifique se você não instalou nenhum dos aplicativos comprometidos na página Trend Micro e, se você detectar que possui algum deles no seu celular, mude seu nome de usuário e senha do Facebook o mais rápido possível.

Read More...

Tecnologia

Novo malware está se espalhando pelo Facebook e infectando usuários

Especialistas da empresa de segurança online Norton identificaram uma ameaça que está circulando nas mensagens diretas do Facebook e infectando vários usuários. O malware, que está se espalhando rapidamente, é uma adaptação dos falsos antivírus de Windows (Fake AV Redirect 2) para dispositivos móveis.

Assim que o usuário clica no link da mensagem, que é enviada por um amigo, uma janela pop-up solicita a atualização do sistema. Caso a vítima não perceba e aceite, será infectada e começará a enviar, sem saber, o malware para seus contatos no Facebook.

malware_fce

O engenheiro de segurança da Norton, Nelson Barbosa, recomenda que os usuários que foram infectados usem uma solução oficial de segurança para eliminar esse e outros malwares do dispositivo.

Para evitar ataques como este, o engenheiro recomenda os seguintes cuidados:

  • Não acredite em tudo que é compartilhado, mesmo que seja enviado por amigos ou familiares. Antes de clicar, pense se faz sentido aquele conteúdo ser enviado por aquele contato;
  • Tenha uma solução de segurança completa instalada e atualizada;
  • Use senhas diferentes para cada serviço e crie combinações fortes, com símbolos, letras maiúsculas e minúsculas e números;

Read More...

Tecnologia

Malware finge ser o WhatsApp para roubar dados do seu cartão de crédito

Uma nova versão de malware chegou para confundir usuários de Android. Batizado de WhatsApp.CreditCardStealer, o vírus que simula o Whatsapp vem tentando roubar informações de cartão de crédito dos usuários por meio de phishing, exibindo uma falsa tela que solicita os dados do cartão de credito do usuário. O vírus foi identificado essa semana pelos especialistas em segurança da PSafe, empresa brasileira líder em segurança e performance mobile.

O WhatsApp.CreditCardStealer inicia seu processo de infecção por meio de um e-mail que convida o usuário a instalar o “Novo WhatsApp”, com funções inéditas. Ao clicar no link malicioso e instalá-lo em seu celular, o usuário é surpreendido com uma mensagem de erro e o app falso desaparece, porém, o Whatsapp oficinal continua funcionando normalmente, fazendo com que o usuário acredite que nada tenha mudado.

A partir daí, o ícone de atalho do Google Play é desativado e uma mensagem de erro aparece toda vez que o usuário tenta acessar a loja virtual, evitando a instalação de ferramentas antivírus.

Este slideshow necessita de JavaScript.

Desta maneira, o vírus se mantém inativo por cerca de quatro horas, dificultando sua detecção por parte de ferramentas automatizadas de análise. Após esse período, o malware passa a executar seu real comportamento malicioso, solicitando as informações do cartão de crédito da vítima, o que dá a impressão de que esses dados são necessários para liberar novamente o acesso ao serviço da Google Play. As informações são enviadas para o servidor do hacker por meio da url: http://goglstats.co.ua/google-stats/watcher.php. Além disso, o vírus também faz o cadastro do celular em um serviço de SMS pago, fazendo com que o usuário tenha prejuízo financeiro.

Por ser um dos aplicativos mais utilizados no mundo, o WhatsApp se torna extremamente visado por hackers. Apenas este ano, o app PSafe Total já bloqueou mais de 166 mil vírus que se passam pelo WhatsApp ou que fingem adicionar funcionalidades especiais ao app oficial. No geral, a infecção por esses malwares geralmente se dá por meio de e-mails, SMS’s e posts ou mensagens em redes sociais que condicionam o usuário a baixar e instalar os aplicativos contaminados em seu celular.

Para evitar este tipo de problema, o CEO da PSafe, Marco DeMello, alerta que somente um “cérebro eletrônico” é capaz de se defender de um ataque cibernético e que, para isso, é de extrema importância o uso de um antivírus, como o PSafe Total. Além disso, o usuário deve ficar atento ao excesso de solicitação de permissões e evitar baixar aplicativos de fontes não oficiais, recebidos por e-mail ou via SMS.

Read More...

Tecnologia

Ataques no Facebook fazem 10 mil vítimas em dois dias

Especialista em segurança da Kaspersky Lab descobre ataque de malware que afetou cerca de 10 mil usuários do Facebook do mundo inteiro. Os dispositivos foram infectados depois de receberem mensagem dizendo que um amigo os havia mencionado em um comentário da rede. O objetivo era roubar contas do Facebook e depois espalhar a infecção por meio dos amigos da vítima e possibilitar outras atividades maliciosas. Países na América do Sul, Europa, Tunísia e Israel foram os mais atingidos. O Brasil foi o país com o maior número de infectados.

Entre 24 e 27 de junho, milhares de pessoas desavisadas receberam mensagens de amigos do Facebook, dizendo que tinham sido mencionados em um comentário. Na verdade, a mensagem era enviada por invasores e desencadeava um ataque em duas fases. Na primeira, era baixado no computador do usuário um trojan que instalava, entre outras coisas, uma extensão maliciosa do navegador Chrome. Com isso a segunda fase era ativada; ao acessar a rede social usando o navegador comprometido, o controle da conta era tomado.

vírus

Nos ataques bem-sucedidos, o agente da ameaça conseguia alterar configurações de privacidade, extrair dados e muito mais, possibilitando a disseminação da infecção por meio dos amigos da vítima no Facebook ou a realização de outras atividades maliciosas, como envio de spam, roubo de identidades e produção de ‘curtidas’ e ‘compartilhamentos’ fraudulentos. O malware tentava se proteger colocando determinados sites, como os de fornecedores de software de segurança, em listas negras de acesso.

A Kaspersky Security Network registrou pouco menos de 10 mil tentativas de infecção em todo o mundo. Os países mais afetados foram Brasil, Polônia, Peru, Colômbia, México, Equador, Grécia, Portugal, Tunísia, Venezuela, Alemanha e Israel.

As pessoas que acessavam o Facebook em computadores Windows eram as que corriam mais risco e, possivelmente, os usuários de celulares com o mesmo software também. Já os que possuem dispositivos móveis Android e iOS estavam imunes, pois o malware utilizou bibliotecas incompatíveis com esses sistemas operacionais.

O mecanismo de download do cavalo de Troia usado pelos invasores não é novo. Ele foi revelado mais ou menos um ano atrás, em um processo de infecção semelhante. Nos dois casos, o malware apresenta sinais que parecem indicar agentes de idioma turco.

O Facebook conseguiu atenuar a ameaça, bloqueando as técnicas de propagação do malware pelos computadores infectados. Eles informam não ter observado outras tentativas de infecção. O Google também removeu pelo menos uma das extensões criminosas da Chrome Web Store.

“Devemos destacar dois aspectos desse ataque. Em primeiro lugar, a distribuição do malware foi extremamente eficiente, atingindo milhares de usuários em apenas 48 horas. Além disso, a resposta dos consumidores e da mídia foi quase tão rápida quanto o ataque. Essa reação aumentou a visibilidade da campanha e motivou medidas e investigação imediatas pelos provedores envolvidos”, observou Ido Naor, pesquisador sênior em segurança da Equipe de Pesquisa e Análise Global da Kaspersky Lab.

Se você acha que foi infectado, execute uma verificação de malware no computador ou abra o navegador Chrome e procure por extensões instaladas que sejam desconhecidas. Caso as encontre, saia de sua conta do Facebook, feche o navegador e desconecte o cabo de rede do computador. Solicite que um profissional verifique e elimine o malware. A Kaspersky Lab possui produtos que detectam e bloqueiam essa ameaça.

Além disso, a Kaspersky Lab recomenda que todos os usuários sigam algumas práticas básicas de segurança cibernética:

1. Instale uma solução antimalware em todos os dispositivos e mantenha o software do sistema operacional atualizado;
2. Evite clicar em links contidos em mensagens de pessoas que você não conhece ou em mensagens de amigos que você não estava esperando;
3. Sempre tenha cuidado quando estiver on-line e nas redes sociais;
4. Implemente as configurações de privacidade adequadas nas redes sociais, como o Facebook.

Read More...