Golpe com vírus CamuBot usa nome de bancos e faz vítimas no Brasil

Golpe com vírus CamuBot usa nome de bancos e faz vítimas no Brasil

Mais sofisticado que os trojans bancários comuns, malware pode até driblar mecanismos de autenticação biométrica

Um novo vírus bancário tem atacado os clientes corporativos de instituições financeiras do Brasil. CamuBot, como é chamado o malware, se camufla como um módulo de segurança requerido pelo banco alvo do ataque e engana a vítima para roubar suas credenciais bancárias.

A primeira atividade do malware foi detectada no mês passado e a divulgação foi feita por pesquisadores do IBM X-Force na última terça-feira (4). Desde então, os criminosos têm dirigido ataques tanto a empresas privadas quanto a organizações públicas. Ao contrário da maioria dos trojans bancários, o CamuBot não se esconde no sistema. O vírus, além de usar o logotipo do banco, possui a mesma aparência de um internet banking, levando a vítima a crer que está instalando um aplicativo oficial.

Vírus CamuBot usa esquema sofisticado para roubar dados bancários no Brasil — Foto: Pond5

Segundo os investigadores, o CamuBot é muito mais sofisticado que os malwares usados em esquemas de fraude no país até então. “Em vez de simples telas falsas e uma ferramenta de acesso remoto, as táticas do CamuBot se assemelham àquelas usadas por malwares fabricados na Europa Oriental, como TrickBot, Dridex ou QakBot”, explicam os especialistas em um post no site da IBM.

Entenda como funciona o ataque

O golpe envolve ferramentas de engenharia social bastante complexas. Inicialmente, os operadores do CamuBot identificam, por meio de uma pesquisa básica, empresas que façam negócios com a instituição bancária alvejada. Em seguida, ligam para a pessoa que provavelmente teria as credenciais da conta bancária da empresa.

Passando-se por funcionários do banco, os criminosos induzem a vítima a visitar um site falso para verificar se o módulo de segurança está atualizado. Como parte da armadilha, a verificação de validade aparece negativa, e os operadores do vírus indicam o download e instalação de um “novo” módulo para resolver o problema.

Disfarçado de módulo de segurança, o CamuBot exige privilégios de administrador como pré-requisito para instalação — Foto: Divulgação/IBM X-Force

O CamuBot é executado no computador da vítima logo que a instalação começa, por trás da interface do aplicativo falso. Para driblar antivírus e firewalls e parecer seguro, o malware, que possui privilégios de administrador, adiciona a si mesmo à lista de programas aprovados. Além disso, o nome do arquivo baixado e a URL do site mudam a cada ataque.

Após a instalação, o usuário é redirecionado para um site de phishing que se parece com um portal de internet banking. O ataque se completa quando a vítima faz login em sua conta bancária, entregando, sem saber, suas credenciais ao invasor.

Enquanto a instalação do módulo de segurança falso é concluída, o vírus se aloja no computador da vítima — Foto: Divulgação/IBM X-Force

Outro diferencial preocupante do CamuBot é a sua possibilidade de driblar autenticações biométricas, recurso de proteção considerado confiável. De acordo com o IBM X-Force, o vírus é capaz de buscar e instalar drivers para dispositivos de autenticação em duas etapas, levando as vítimas a ativarem o acesso remoto. Isso permite que o invasor intercepte senhas de uso único e realize transações fraudulentas sem levantar desconfiança do banco.

Recomendações

Atualmente, o CamuBot tem como alvo os correntistas de empresas no Brasil. Como o ataque é difundido por telefone, suspeite de ligações e peça ao suposto autor da chamada do banco para ligar de volta. Em seguida, ligue para o seu banco com o número que você tem no seu cartão e informe-o sobre o telefonema não solicitado.

Até o momento, os investigadores do IBM X-Force não detectaram ataques do CamuBot fora do país, mas alertam que isso pode mudar.


Fonte: techtudo

Webminers – Como evitar mineração de Criptomoedas via browser

Webminers – Como evitar mineração de Criptomoedas via browser

Estão ganhando dinheiro às suas custas, você sabia?

Criptomoedas são moedas virtuais que utilizam criptografia para segurança. Como são de natureza anônima e descentralizada, pode-se usá-los para fazer pagamentos que não podem ser rastreados pelos governos. À medida que o Bitcoin e as criptomoedas ganharam popularidade, os proprietários de site agora usam scripts de mineração de criptomoedas agora podem usar uma parte do poder de CPU dos seus visitantes para gerarem alguns lucros e assim financiarem os seus projetos. Isso também inspirou alguns desenvolvedores a criar métodos para bloquear a mineração de criptomoedas no navegador da Web através de diferentes maneiras.

O Pirate Bay, o site de torrent mais popular do mundo, recentemente testou a mineração da criptomoeda Monero em seus sites. O site confessou que poderia estar usando mineração de moeda no futuro para manter o site em execução. Isto foi seguido por alguns outros relatórios de natureza similar.

Esta prática não é nova, mas a Pirate Bay foi o primeiro site popular que foi visto usando mineração de criptomoedas no browser. Isso também contribuiu para o debate de ética, já que alguns proprietários do site preferem não avisar aos seus visitantes.

Mineração em Browser: a nova monetização da Internet?

No entanto, ficamos surpresos ao notar que muitos usuários que comentaram nas redes sociais não se importaram que o seu site favorito usasse o poder de sua CPU para ganhar receitas. Isso pode ser devido ao fato de que os usuários já estão acostumados com excesso de publicidade em sites e por isso acham uma forma justa de recompensar o seu criador de conteúdo.

Como descobrir se o meu PC está minerando criptomoedas em algum site?

A ferramenta de mineração de criptomoedas CoinHive está aumentando em popularidade a uma taxa exponencial. Caso você queira investigar se algum site que você esteja usando está minerando criptomoedas, você pode descobrir isso com facilidade, monitorando o consumo e atividade de sua CPU.

Como faço para bloquear a mineração de criptomoedas no meu navegador?

1. Extensão do Chrome “No-Coin”

Instalar extensões do Chrome é o método mais direto para parar a extração de moedas no navegador da Web. A extensão No Coin é uma solução gratuita. Esta extensão de código aberto é uma maneira confiável e segura de controlar como um site está interagindo com seu navegador.

Link: No Coin – Block miners on the web!

2. Use a extensão MinerBlock

Assim como a No Coin, a extensão do Chrome minerBlock é outra ferramenta de código aberto que você pode usar para bloquear a mineração de criptomoedas no navegador da Web. Essas extensões atualmente listam alguns domínios mineradores populares em sua lista, e eles devem adicionar novos domínios a medida que ganham popularidade. Veja como a notificação de minerBlock parecia quando visitei o site da Coin Hive:

Link: minerBlock

3. Bloqueie domínios no AdBlock

Uma das extensões mais famosas da internet, a AdBlock pode ajudá-lo a bloquear a mineração de criptomoedas. Dependendo do seu navegador, você pode encontrar configurações relevantes para bloquear domínios específicos. Por exemplo, no Chrome, vá até a lista de extensão e encontre AdBlock. Lá, procure Personalizar> Bloquear um anúncio por sua URL. Em seguida, adicione o seguinte texto na caixa de texto:

https://coin-hive.com/lib/coinhive.min.js

Devo realmente parar a mineração de criptomoedas?

A resposta a esta pergunta depende de qual site você está usando um minerador e se você deseja apoiá-lo. Se o site estiver notificando você assim que você o visitar e estiver confortável com isso, não é prejudicial. Outro ponto que você deve levar em consideração é a carga de mineração que sua CPU suportaria.

Caso você esteja disposto a apoiar o seu site favorito através desta fonte alternativa de receita e eles estão sendo honestos sobre suas práticas, não há nenhum problema.

Vírus para Android permite espionar conversas no WhatsApp

Vírus para Android permite espionar conversas no WhatsApp

Um novo vírus para Android descoberto pela empresa de segurança Kaspersky mira especialmente uma das coisas mais preciosas que as pessoas guardam em seus aparelhos: as conversas no WhatsApp.

A ameaça foi batizada de ZooPark e sua atuação foi identificada especialmente em países do Oriente Médio, utilizando sites legítimos como fonte de infecção, segundo a Kaspersky. Isso pode ser um indício de que o ataque pode ser patrocinado por algum governo, visando atingir organizações políticas e ativistas na região.

Os aplicativos infectados com o ZooPark foram encontrados sendo distribuídos em sites de notícias e páginas políticas de maior popularidade em partes específicos do Oriente Médio, com nomes que tentavam imitar serviços legítimos. Um exemplo é um app chamado “TelegramGroups”, identificado pela empresa de segurança, que não tem nada a ver com o verdadeiro Telegram.

A partir da instalação, os autores do ataque ganhavam acesso total ao celular, visando extrair silenciosamente do aparelho informações como:

  • Contatos;
  • Contas pessoais;
  • Registro de chamadas e áudios das ligações;
  • Imagens armazenadas no aparelho e no cartão de memória;
  • Localização de GPS;
  • Mensagens SMS;
  • Dados dos aplicativos instalados e do navegador;
  • Registros do que o usuário digita e tudo que ele copia e cola;
  • Para completar, os responsáveis também poderiam forçar o celular a realizar ligações e enviar mensagens SMS sem autorização do usuário, além de executar código remotamente. Ou seja: o celular passa a ser totalmente monitorado e remotamente controlado.

Por aparentemente ter foco em espionagem de ativistas, o malware também visava coletar informações sobre as mensagens que as vítimas trocavam por meio do Telegram e do WhatsApp. O ataque também roubava o banco de dados internos de aplicativos e do Chrome para Android, o que permitia roubar senhas e credenciais para sites e serviços online.