Search the Community

Os analistas de malware do Doctor Web descobriram aplicativos maliciosos no Google Play que roubam logins e senhas de usuários do Facebook. Esses cavalos de Troia (trojans) foram espalhados como softwares inofensivos e instalados mais de 5.856.010 vezes, dizem os pesquisadores. Os aplicativos maliciosos foram detectados com os nomes Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 ou Android.PWS.Facebook.18, de acordo com a empresa. Todas são pequenas variações do mesmo código. No total, os especialistas descobriram 10 desses aplicativos de trojan, sendo que nove estavam disponíveis no Google Play. Veja abaixo quais são os apps: Software de edição de fotos Processing Photo. Ele é detectado pelo Dr.Web Anti-Virus como Android.PWS.Facebook.13 e foi espalhado pelo desenvolvedor chikumburahamilton, sendo instalado mais de 500 mil vezes; Aplicativos que permitiam limitações de acesso para usar outro software instalado em dispositivos Android: App Lock Keep do desenvolvedor Sheralaw Rence, App Lock Manager do desenvolvedor Implummet col e Lockit Master do desenvolvedor Enali mchicolo – todos detectados como Android.PWS.Facebook.13. Eles foram baixados pelo menos 50 mil, 10 e 5 mil vezes, respectivamente; Limpador de lixo do desenvolvedor SNT.rbcl – um utilitário para otimizar o desempenho do dispositivo Android. Ele foi baixado mais de 100 mil vezes. O Dr.Web o detecta como Android.PWS.Facebook.13.; Programas de astrologia Horoscope Daily do desenvolvedor HscopeDaily momo, e Horoscope Pi do desenvolvedor Talleyr Shauna, também detectados como Android.PWS.Facebook.13. O primeiro teve mais de 100 mil instalações, enquanto o último, mais de mil instalações; Programa de condicionamento físico chamado Inwell Fitness e detectado como Android.PWS.Facebook.14 do desenvolvedor Reuben Germaine. Possui mais de 100 mil instalações; Aplicativo de edição de imagens chamado PIP Photo foi divulgado pela desenvolvedora Lillians. Suas várias versões são detectadas como Android.PWS.Facebook.17 e Android.PWS.Facebook.18. Este aplicativo tem mais de 5 milhões de downloads. Após o relatório dos especialistas do Doctor Web ao Google, parte desses aplicativos maliciosos foi removida do Google Play.

Atacantes estão explorando sites, fornecendo a eles excelente otimização para mecanismo de busca (SEO), com o objetivo de implantar cargas malware para o maior número possível de vítimas. Segundo descoberta da Sophos, o método inclui truques de SEO e o abuso da psicologia humana para jogar sites comprometidos para o topo do ranking do Google. A técnica foi apelidada pelos pesquisadores de Gootloader, pois envolve a implantação da estrutura de infecção para o Gootkit Remote Access Trojan (RAT), que também oferece uma variedade de outras cargas de malware. Através dessa técnica, os criminosos entram nos resultados de pesquisa do Google e fazem com que um resultado malicioso pareça legítimo até mesmo para o Google, diz a Sophos. Para realizar o ataque, os operadores do Gootloader mantêm uma rede de servidores hospedando sites legítimos hackeados. A Sophos estima que cerca de 400 desses servidores estejam em operação. A Sophos diz ainda que não está claro como atacantes obtêm acesso ao back-end dos sites mas, historicamente, esses tipos de comprometimento podem ser o resultado de uma série de métodos, entre eles roubo de senhas ou explorações de segurança nos plugins ou add-ons do sistema de gerenciamento de conteúdo (CMS). Aparentemente, operadores não sabem que seus sites estão sendo abusados desta forma. Aparentemente, a técnica está sendo utilizada para espalhar o trojan bancário Gootkit; Kronos; Cobalt Strike; e o ransomware REvil, entre outras variantes de malware, na Coreia do Sul, Alemanha, França e Estados Unidos. A empresa de segurança dá mais detalhes sobre como o ataque é realizado em publicação em seu blog (em inglês).

Uma nova campanha de phishing tenta enganar vítimas para baixarem uma versão mais recente do trojan Bazar, que segundo o ZDNet surgiu pela primeira vez no ano passado. Uma implantação bem-sucedida do malware pode fornecer aos cibercriminosos um backdoor em sistemas Windows comprometidos, deixando com que eles controlem o dispositivo infectado, obtendo acesso adicional à rede para coletar informações confidenciais ou distribuir malwares, incluindo ransomwares. O foco dos ataques tem sido a setores como saúde, tecnologia, manufatura e logística na América do Norte e Europa. A Fortinet identificou uma nova variante do trojan Bazar, que foi equipado com técnicas de anti-análise para tornar o malware mais difícil de ser detectado pelo software antivírus. Assim, o malware oculta as APIs maliciosas no código, podendo até criptografar certas cadeias de caracteres do código para torná-lo mais difícil de analisar. As novas técnicas foram adicionadas ao Bazar no final de janeiro e coincidiram com uma campanha de phishing projetada para distribuir a versão atualizada do malware. A Fortinet informou que essa campanha de phishing específica do Bazar permanece ativa e as tentativas de ataques são frequentemente detectadas. 😬

Depois de um ano, o cavalo de Troia (trojan) Gootkit voltou à vida ao lado do REvil Ransomware em uma nova campanha visando a Alemanha. Segundo o BleepingComputer, o Gootkit é um malware baseado em Javascript que executa várias atividades maliciosas, podendo dar acesso remoto a atacantes e permitindo a captura de teclas digitadas, gravação de vídeo, roubo de e-mail, roubo de senha e com capacidade de injetar scripts maliciosos para roubar credenciais de bancos online. No ano passado, os cibercriminosos do Gootkit sofreram um vazamento de dados depois de deixar um banco exposto na Internet. Após essa violação, acreditava-se que eles haviam encerrado suas operações, mas na semana passada, um pesquisador de segurança disse ao BleepingComputer que o malware Gootkit surgiu novamente em ataques visando a Alemanha. Na nova campanha, os atacantes estão invadindo sites WordPress e utilizando "envenenamento" de SEO para exibir postagens falsas de fóruns aos visitantes. Essas postagens fingem ser uma pergunta e respostas com um link para formulários ou downloads falsos. Ao clicar no link, o usuário baixa um arquivo ZIP contendo um arquivo JavaScript ofuscado que instala o malware Gootkit ou o ransomware REvil.