Golpes financeiros em dispositivos móveis crescem 58%, diz Kaspersky Lab

By: TI Inside Online

Os pesquisadores da Kaspersky Lab detectaram um aumento preocupante no número de malware criado para roubar credenciais e dinheiro de contas bancárias. Essa é uma das principais constatações do relatório da empresa sobre a evolução das ameaças no primeiro trimestre de 2019. Neste período, foram encontrados 29.841 arquivos deste tipo contra 18.501 no quarto trimestre de 2018. No total, foram detectados ataques sobre mais de 300 mil usuários.

Os trojans direcionados a bancos em dispositivos móveis são um dos tipos de ataques mais flexíveis, perigosos e que se desenvolvem mais rapidamente. Normalmente, eles roubam dinheiro diretamente das contas bancárias dos usuários, mas, às vezes, seu objetivo é obter outros tipos de credenciais. Em geral, o malware parece um aplicativo legítimo, como um app bancário. Quando a vítima tenta abrir, os invasores também conseguem acessá-lo.

No primeiro trimestre de 2019, a Kaspersky Lab detectou cerca de 30 mil modificações das diversas famílias de trojans bancários nas 312.235 tentativas de ataque contra usuários únicos. Além disso, não foi apenas o número de diferentes amostras de trojans bancários detectadas que cresceu; sua participação no cenário de ameaças também aumentou. No quarto trimestre de 2018, eles corresponderam por 1,85% de todo o malware em dispositivos móveis; no primeiro trimestre de 2019, sua participação atingiu a 3,24%.

Os usuários foram expostos a diversas famílias de malware direcionado a bancos em dispositivos móveis, mas uma delas esteve especialmente ativa nesse período: uma nova versão do malware Asacub, que surgiu em 2015, respondeu por 58,4% de todos os trojans bancários que atacaram os usuários. Os atacantes passaram dois anos aperfeiçoando sua distribuição e, como resultado, houve um pico em 2018, com ataques a 13 mil usuários por dia. Desde então, sua taxa de propagação diminuiu, embora ele continue sendo uma ameaça eficiente: no primeiro trimestre de 2019, a Kaspersky Lab detectou o Asacub atacando em média 8.200 usuários por dia.

Mais:  http://tiinside.com.br/tiinside/seguranca/mercado-seguranca/28/05/2019

Novo golpe sequestra conexões WhatsApp e pede dinheiro a contatos

By: TI Inside Online

Nas últimas semanas, a Kaspersky Lab identificou um aumento nos relatos de vítimas que tiveram suas contas do WhatsApp roubadas e os especialistas da empresa descobriram o motivo. A conclusão chamou a atenção pela criatividade dos cibercriminosos, que não utilizam nenhum malware neste golpe, e conseguem enganar até pessoas que trabalham com tecnologia.

Os criminosos monitoram as plataformas de venda pela internet para mirar usuários que criaram um anúncio de venda. Com as informações do anúncio, os fraudadores enviam uma mensagem para a pessoa se passando pela plataforma de vendas dizendo: “verificamos um anúncio recém postado, e gostaríamos de atualizar para que continue disponível para visualização” ou “devido ao grande número de reclamações referente ao seu número de contato, estamos verificando”. As mensagens terminam pedindo para a vítima informar o código que receberá via SMS para solucionar a questão.

“Quando a vítima responde à mensagem, o fraudador começa o processo de ativar o WhatsApp em um novo celular e o suposto código de verificação é, na verdade, o código de ativação da conta. Se ela não prestar atenção, acaba passando o número e tem seu WhatsApp roubado em minutos. A empresa anunciou esta semana novas medidas de segurança”, explica Fabio Assolini, analista sênior de segurança da Kaspersky Lab no Brasil.

A segunda parte do golpe é a mesma utilizada pelos criminosos que estão clonando celulares no Brasil. Nela, enviam mensagens para os contatos mais recentes, que normalmente são amigos próximos ou familiares da vítima, pedindo um empréstimo para uma despesa urgente. Não há um padrão para a quantia – nas mensagens que os especialistas tiveram acesso, o pedido era de R$ 2.100. Se a pessoa tenta ajudar prontamente, o criminoso só precisa perguntar “qual o banco mais fácil para você” e depois enviar uma conta bancária de um laranja. Até o proprietário recuperar o acesso ao WhatsApp, o criminoso já teve tempo suficiente para falar com diversas pessoas.

“Além de ter atenção, só há uma maneira de evitar este esquema com tecnologia: a dupla autenticação do WhatsApp. É uma senha que o usuário cria e é solicitada de vez em quando pelo app. Mesmo que a vítima informe o código de ativação, o criminoso terá de pedir a senha da dupla autenticação – isto já sai do contexto do anúncio e a pessoa pode perceber a fraude antes de ser tarde demais”, alerta Assolini.

O analista ressalta ainda alguns pontos técnicos curiosos deste esquema: em nenhum momento há o uso de programas maliciosos para coletar as informações nos sites de venda ou para roubar a conta da vítima no programa de mensagem. O esquema é baseado 100% em engenharia social e utiliza recursos legítimos. Além disso, os anúncios criaram uma abordagem muito convincente. “Neste fim de semana, encontrei um amigo que trabalha com desenvolvimento de software e que caiu nesse golpe. Ele havia acabado de postar um anúncio e foi contatado. Foi surpreendente, pois tem conhecimentos de segurança e mesmo assim foi iludido”, destaca.

Mesmo sem ter responsabilidades direta na fraude, o analista de segurança dá dicas para as marcas que estão sendo vítimas nesse golpe. Até o momento, foram identificadas mensagens se passando pela OLX, Webmotors e Zap Imóveis. “Embora não haja uma solução milagrosa, sugiro que as empresas reavaliem o uso de autenticação de dois fatores via SMS e as informações dos usuários que são expostas publicamente por padrão. Frente a criação deste esquema malicioso, é importante criar uma solução benéfica para os usuários e que também mantenham suas privacidades protegidas das pessoas mal-intencionadas”, avalia o especialista.

Mais: http://tiinside.com.br/tiinside/27/05/2019/novo-golpe-sequestra-conexoes-whatsapp-e-pede-dinheiro-a-contatos/

Mobile Banking Malware Rose 58% in Q1

By: Kacy Zurkus

The first quarter of 2019 saw a significant spike in mobile banking malware that steals both credentials and funds from users’ bank accounts, according to researchers at Kaspersky Lab.

“In Q1 2019, Kaspersky Lab detected a 58% increase in modifications of banking Trojan families, used in attacks on 312,235 unique users. Banking Trojans grew not only in the number of different samples detected, but their share of the threat landscape increased as well. In Q4 2018, mobile banking Trojans accounted for 1.85% of all mobile malware; in Q1 2019, their share reached 3.24%,” today’s press release stated.

Researchers reportedly uncovered 29,841 different modifications of banking Trojans during the first three months of the year, up from 18,501 in Q4 2018. “As is customary, first place in the Top 20 for Q1 went to the DangerousObject.Multi.Generic verdict (54.26%), which we use for malware detected using cloud technologies,” researchers wrote.

“Cloud technologies are deployed when the antivirus databases lack data for detecting a piece of malware, but the company’s cloud already contains information about the object. This is basically how the latest malicious programs are detected.”

The report also noted that a new version of Asacub malware, which was first noted in 2015, accounted for more than half of all banking Trojans that attacked users. Over the past two years, attackers have modified its distribution scheme, which resulted in a spike of the malware in 2018, when it was reportedly used to attack 13,000 users a day. Though distribution has since declined, the malware remains a significant threat, with researchers observing Asacub used to target 8,200 users a day on average.

More: https://www.infosecurity-magazine.com/news/mobile-banking-malware-rose-58-in-1/

What’s Farsi for ‘as subtle as a nuke through a window’? Foreign diplomats in Iran hit by renewed Remexi nasty Iran, spying on foreigners within its borders? Shocked, shocked, we tell you

By: Shaun Nichols

A newly uncovered spyware-slinging operation appears to have been targeting foreign diplomats in Iran for more than three years.

Researchers at Kaspersky Lab said this week that a new build of the Remexi software nasty, first seen in 2015, has been spotted lurking on multiple machines within Iran, mostly those located within what we assume are foreign embassy buildings. The Windows-targeting surveillance-ware was previously associated with a hacking group known as Chafer, and an examination of the latest strain suggests it is of Iranian origin.

“The malware can exfiltrate keystrokes, screenshots, browser-related data like cookies and history, decrypted when possible,” Kaspersky’s Denis Legezo said of the infection.

“The attackers rely heavily on Microsoft technologies on both the client and server sides: the Trojan uses standard Windows utilities like Microsoft Background Intelligent Transfer Service (BITS) bitsadmin.exe to receive commands and exfiltrate data.”

Curiously, Legezo said he does not yet know how the malware is spreading in the wild, just that it is targeting “foreign diplomatic entities” based within Iran.

“So far, our telemetry hasn’t provided any concrete evidence that shows us how the Remexi malware spread,” we’re told.

“However, we think it’s worth mentioning that for one victim we found a correlation between the execution of Remexi’s main module and the execution of an AutoIt script compiled as PE, which we believe may have dropped the malware.”

Once on a victim’s machine, the spyware is very persistent, hiding out in scheduled tasks, Userinit and Run registry keys in the HKLM hive, depending on the version of Windows it has infected. Data is exfiltrated to command and control servers using Microsoft’s bitsadmin.exe transfer utility.

According to timestamps in the malware, its development appears to have been completed in March 2018, though there are a few sections of the code that appear to be much older.

More:  https://www.theregister.co.uk/2019/01/31/iran_embassies_malware/

América Latina registra 3,7 milhões de ataques de malware por dia, afirma Kaspersky Lab

By: TI Inside Online

A Kaspersky Lab registrou um aumento de 14,5% nos ataques de malware durante os últimos 12 meses na América Latina em relação a 2017– o que significa uma média de 3,7 milhões de ataques diários e mais de 1 bilhão no ano. Entre os países que registraram maior crescimento, a Argentina está no primeiro lugar com um aumento de 62%, seguido pelo Peru (39%) e México (35%). “Os resultados mostram que toda a região tem experimentado uma quantidade considerável de ciberameaças, com a grande maioria concentrada em roubo de dinheiro”, destaca Fabio Assolini, analista sênior de segurança da Kaspersky Lab.

Além dos malware, a Kaspersky Lab bloqueou mais de 70 milhões de ataques de phishing na América Latina entre novembro de 2017 e novembro de 2018; a média de ataques diário é de 192 mil, representando um crescimento de 115% quando comparado com o período anterior (novembro/2016 até novembro/2017). O ranking dos países mais atacados por phishing está diferente neste ano: o Brasil perdeu a liderança e agora figura em terceiro lugar no ranking, com um aumento de 110%. O México (120%) está na primeira posição e a Colômbia (118%) em segundo lugar.

Phishing e vulnerabilidade

O aumento constante dos números de ataques de phishing é uma das principais razões de comprometimento de contas. Isso porque, os usuários que clicam em links suspeitos, por muitas vezes, fornecem informações pessoais e logins de acesso. As violações de dados têm se tornado comuns e preocupantes, já que as pessoas revelam não apenas uma grande quantidade de informações sobre elas mesmas, mas também informam detalhes do cartão de crédito e conta corrente. Em posse destes, violações e acessos não-autorizados são os menores dos problemas, o maior deles serão os danos financeiros, pois a primeira coisa que o cibercriminoso fará será tentar efetuar compras em nome da vítima.

“Tipos de incidentes assim servem como um grande passo para que algumas mudanças importantes nas políticas de privacidade e no comportamento das pessoas sejam feitas em relação aos dados que são compartilhados”, diz Assolini. “É muito comum que os usuários utilizem as mesmas senhas para diferentes sites e o cibercriminoso testará a combinação em todos os serviços e redes sociais mais populares. Ao ter informações vazadas, a primeira e mais importante ação que deve ser feita é a troca das senhas em outros logins – mesmo que este não tenha sido comprometido.”

Países

Por mais que Argentina, Brasil, Chile, Colômbia, México e Peru façam parte da América Latina e sejam visados por diferentes cibercriminosos, é preciso entender que os golpes têm se desenvolvido de maneiras distintas em cada país. Na Argentina, o caso Prilex voltou à tona quando um turista viajou ao Brasil e teve seu cartão de crédito clonado. “A primeira vez que identificamos esse grupo foi em um ataque à caixas eletrônicos direcionado aos bancos, principalmente no território brasileiro. Posteriormente, o grupo migrou seus esforços para sistemas de pontos de venda desenvolvidos por fornecedores brasileiros, clonando cartões de crédito, o que permitia a criação de um novo golpe totalmente funcional, habilitado inclusive para transações protegidas por chip e senha”, explica Assolini.

Grupo Lazarus ataca bolsa de criptomoedas usando malware no macOS

By: TI Inside Online

Especialistas da Kaspersky Lab e membros da Equipe de Pesquisa e Análise Global (GReAT), descobriram o AppleJeus – uma nova operação maliciosa do implacável grupo Lazarus. Os criminosos invadiram a rede de uma bolsa de criptomoeda na Ásia usando um software de negociação de moedas criptografadas transformado em cavalo de Troia. O objetivo do ataque era roubar criptomoedas das vítimas. Além do malware para Windows, os pesquisadores conseguiram identificar uma versão ainda desconhecida direcionada à plataforma macOS.

Esta foi a primeira vez que os pesquisadores da Kaspersky Lab observaram o famoso grupo Lazarus distribuindo um malware que visa usuários do macOS. Isso é um alerta para todos que usam esse sistema operacional para atividades que envolvem moedas criptografadas. De acordo com a análise dos pesquisadores do GReAT, a invasão da infraestrutura da bolsa de valores começou quando um funcionário da empresa baixou, de forma inocente, um aplicativo de terceiros de um site que parecia ser de um desenvolvedor de software de comercialização de criptomoeda.

O código do aplicativo não levanta suspeitas, exceto por conter um componente de atualização. Em softwares legítimos, esses componentes são usados para baixar novas versões do programa. No caso do AppleJeus, ele atua como um módulo de reconhecimento: primeiro, coleta informações básicas do computador em que foi instalado. Depois, envia essas informações para o servidor de comando e controle e, se os invasores decidirem que vale a pena invadir o computador, o código malicioso retorna na forma de uma atualização de software.

Mais: http://tiinside.com.br/tiinside/home/internet/27/08/2018/grupo-lazarus-ataca-bolsa-de-criptomoedas-usando-malware-no-macos/

Bad News About AppleJeus

By: Kacy Zurkus

Unlike the apple juice enjoyed by many a youngster, the newly discovered AppleJeus looks pretty rotten, according to new research from Kaspersky Lab.

Researchers have discovered the advanced persistent threat group Lazarus using AppleJeus, a new malicious operation. While assisting with incident response efforts in previous attacks from the group, researchers unexpectedly identified an attacker penetrating the network of a cryptocurrency exchange in Asia. The attacker used Trojanized cryptocurrency trading software, with the reported goal of stealing cryptocurrency from victims.

A previously unidentified version of a Windows-based malware was targeting the macOS platform, according to today’s press release. The group was able to compromise the stock exchange’s infrastructure by bamboozling an unsuspecting employee into downloading a third-party application from a specious website.

“The application’s code is not suspicious, with the exception of one component – an updater. In legitimate software, such components are used to download new versions of programs,” Kaspersky wrote in the press release.

“In the case of AppleJeus, it acts like a reconnaissance module: first it collects basic information about the computer it has been installed on, then it sends this information back to the command and control server and, if the attackers decide that the computer is worth attacking, the malicious code comes back in the form of a software update.”

Though the operation looks similar to a supply-chain attack, it is reportedly not, because the vendor of the cryptocurrency trading software has a valid certification for signing its software and legitimate registration records for the domain.

More: https://www.infosecurity-magazine.com/news/bad-news-about-applejeus/

Cuidado con “Dark tequila”, el malware que le roba información bancaria a mexicanos

By: Elizabeth Legarreta

Uno pensaría que nada malo puede estar relacionado con la palabra “tequila”; a excepción de una monstruosa resaca… y algunas otras cosas. Pero ahora nos informan de la terrible realidad: el malware “Dark tequila” está atacando a los mexicanos.

Karspersky informó que esta forma de operar lleva alrededor de cinco años robando información.

Así es “Dark Tequila”, el malware que roba tus datos bancarios

Este tequila malvado puede moverse lateralmente a través de las computadoras… aunque no tengan conexión a Internet. Es un método complejo y poco común. Según la empresa de seguridad es “inusualmente avanzado para las operaciones de fraude de dinero”

Según los investigadores de Kaspersky Lab, el código malicioso se propaga a través de dispositivos USB infectados y de spear-phishing; e incluye funcionalidades especiales para evadir la detección. Se cree que el agente de amenaza detrás de Dark Tequila es de origen hispanohablante y latinoamericano.

Uno de los grandes problemas con este malware es que no sólo roba tu información bancaria. Como si eso no fuera lo suficientemente malo; podría llevarse también credenciales de otras páginas web, incluso redes sociales o servicios de almacenamiento de la nube; etc.

MÁS: https://www.fayerwayer.com/2018/08/dark-tequila-malware/

Brasil tem maior parcela de usuários atacados por phishing no segundo trimestre de 2018

By: TI Inside Online

No segundo trimestre de 2018, as tecnologias antiphishing da Kaspersky Lab bloquearam mais de 107 milhões de tentativas de acesso a páginas de phishing, das quais 35,7% estavam relacionadas a serviços financeiros e atingiam os clientes por meio de páginas falsas de bancos ou sistemas de pagamento.

O setor de TI foi o segundo mais atingido, com 13,83% dos ataques voltados às empresas de tecnologia, um índice 12,28 pontos percentuais mais alto do que no trimestre anterior, segundo o Relatório de Spam e Phishing do segundo trimestre de 2018 da Kaspersky Lab.

Os resultados acima mostram que, para proteger seu dinheiro, os usuários devem ser extremamente cuidadosos com sua segurança ao navegar pela Internet. Os ataques a clientes de organizações financeiras, incluindo transações de bancos, sistemas de pagamento e lojas online, são uma moda permanente no crime virtual e envolve o roubo de dinheiro, além de dados pessoais.

Ao criar páginas falsas de bancos, sistemas de pagamento ou compras, os invasores coletam informações sigilosas de vítimas desavisadas, como seus nomes, senhas, endereços de e-mail, números de telefone, números de cartões de crédito e códigos PIN.

No segundo trimestre de 2018, os usuários de serviços financeiros foram muito perturbados, com 21,1% dos ataques relacionados a bancos, 8,17% a lojas virtuais e 6,43% a sistemas de pagamento, compreendendo mais de um terço dos ataques totais. O Brasil continuou sendo o país com a maior parcela dos usuários atacados por golpes de phishing no segundo trimestre de 2018 (15,51%). Em seguida, vieram China (14,44%), Geórgia (14,44%), Quirguistão (13,6%) e Rússia (13,27%).

Curiosamente, houve quase 60.000 tentativas de visitar páginas da Web fraudulentas que apresentavam carteiras e câmbios de criptomoedas populares entre abril e junho. Além do phishing tradicional, que possibilita o acesso às contas da vítima e informações privadas importantes, os criminosos virtuais tentam forçar suas vítimas a transferir criptomoedas para eles de maneira independente. Um dos truques usados é a distribuição gratuita de criptomoeda.

Mais: http://tiinside.com.br/tiinside/seguranca/mercado

Malware Delivers Cryptor or Miner, Trojan’s Choice

By: Kacy Zurkus

A long-existing Trojan family still functioning today has spawned new malicious samples of malware, which infects its victims with either a cryptor or a miner, according to Kaspersky Lab.

Distributed through spam emails with documents attached, the samples are related to the Trojan-Ransom.Win32.Rakhni family. “After opening the email attachment, the victim is prompted to save the document and enable editing. The victim is expected to double-click on the embedded PDF file. But instead of opening a PDF the victim launches a malicious executable,” researchers wrote.

The Trojan decides which payload should be downloaded onto the victim’s PC at the moment the malicious executable is launched. “The fact that the malware can decide which payload it uses to infect the victim provides yet another example of the opportunistic tactics used by cybercriminals,” said Orkhan Mamedov, malware analyst, Kaspersky Lab.

“They will always try to benefit from their victims: either by directly extorting money (cryptor), by the unauthorized use of user resources for their own needs (miner), or by exploiting the victim in the chain of malware distribution (net-worm).”

Since first discovered in 2013, the malware writers have changed the way their Trojans get keys. Where they were once locally generated, they are now received from the command and control (C&C). They’ve also altered the algorithms used, going from exclusively using a symmetric algorithm and evolving through a commonly used scheme of symmetric and asymmetric.

Analysts have recently discovered 18 symmetric algorithms used simultaneously. The crypto-libraries are also different, as is the distribution method, which has ranged from spam to remote execution. In the recently spotted samples, criminals added a new mining capability feature.

More: https://www.infosecurity-magazine.com/news/malware-delivers-cryptor-or-miner/