Feliz Ano Novo

Trend Micro alerta sobre novos tipos de spams

Os cibercriminosos estão sempre procurando por novas formas de atingir seus objetivos. Emails de spam com arquivos maliciosos são uma ferramenta frequentemente utilizada. Esses anexos são comumente comprimidos e contêm payloads maliciosos, como a conhecida família de malware UPATRE. Outros anexos comuns incluem documentos que soltam malwares.
No entanto, desde setembro, a Trend Micro tem visto uma série de mensagens de spam com uma técnica diferenciada. Ao invés dos tipos de arquivos acima citados, eles usam arquivos do painel de controle como anexos. Essas mensagens são normalmente relacionadas a assuntos financeiros para fazer com que os usuários abram o email e o anexo.
O email tem um anexo RTF que tem um arquivo executável malicioso dentro dele. A Trend Micro detectou esse arquivo .RTF como o TROJ_CHEPRO.RTF. Uma vez que o arquivo é aberto, surgirá uma imagem com instruções em português para que o usuário clique na tela.
Feito isso, o arquivo irá executar o malware. Ele é um arquivo malicioso CPL, que a Trend Micro detectou como TROJ_CHEPRO.CPL. Esse malware irá conectar a um site e baixar vários arquivos criptografados. Quando abertos, esses arquivos são detectados como TSPY_BANCOS.CVH. Esse é um malware de roubo de informação que coleciona dados relacionados a sistemas.
Ele monitora transações dos usuários feitas nos sites Blooger, Facebook, Google, Grvnewlook, Hotmail, Locaweb, Orkut, PagSeguro, PayPal, Serasa Experian, Terra e Youtube. Seus logs coletam informação em um arquivo de texto e enviam para uma URL via HTTP POST.
A Smart Protection Network, estrutura global de inteligência de ameaças digitais da Trend Micro, sugere que há somente algumas infecções no momento. No entanto, se cibercriminosos perceberem que essa técnica é efetiva, é possível que hajam mais ataques similares no futuro.
A Trend Micro incentiva os usuários a serem cuidadosos quando abrirem emails e anexos. Nunca baixem e abram anexos a menos que eles possam ser verificados. As empresas devem incluir uma solução de escaneamento de email implementada na rede e permitir o escaneamento de mensagens de email.

Fonte: Risk Report

Feliz Natal!

Fim de ano Integrasul

Proteja sua empresa dos malwares durante o período de compras de Natal

É época de refletir sobre os sucessos de outro ano, esperar a chegada de 2014 e começar a se preparar para… ataques à segurança? Com as festas de fim de ano cada vez mais perto, as empresas precisam se preparar para o predomínio dos malwares escondidos nos alegres cartões de Natal, nas ofertas de compras e nos vídeos com votos sinceros de boas-festas, criados para provocar os funcionários a clicar num botão. Pensando nisso, compartilhamos quatro práticas recomendadas para as empresas que tentam manter uma vigilância cuidadosa na segurança da sua infraestrutura de TI, enquanto os funcionários (e os hackers) participam do maior intenso período de compras online do ano.

1. Fortalecimento dos firewalls – Um firewall é tão bom quanto as regras que você criou. Qualquer que seja o tamanho da rede, os firewalls acumulam uma lista sempre crescente de regras e objetos redundantes, juntamente com regras conflituosas e não utilizadas, que podem causar caos no gerenciamento dos firewalls durante o período de compras online de fim de ano, em geral de alta vulnerabilidade. Certifique-se de que as regras do firewall estejam atualizadas, para o caso de exposição externa ou interna.

2. Patches perfeitos – Uma organização torna-se um alvo importante para os ataques quando a empresa parte do pressuposto de que a versão mais recente do aplicativo é comprovadamente segura, quando os patches não são mais atualizados ou quando ela não tem mais controle total sobre todos os aplicativos instalados pelos usuários finais. Reduza a exploração dos malwares quando os funcionários estão mais vulneráveis a fraudes inteligentemente disfarçadas de ofertas de fim de ano mantendo os patches atualizados.

3. Monitoramento do tráfego interno – Identifique onde os usuários estão buscando descontos nas compras monitorando continuamnte a atividade e o comportamento de suas estações de trabalho. Com um servidor proxy, as empresas podem bloquear certos sites, por exemplo, nos quais não há compras disponíveis, detectando os usuários que tentam burlar as políticas implementadas. Em resumo: se permitir, monitore. Se não permitir, certifique-se de bloquear o acesso.

4. Controle sobre a largura de banda – Com o aumento do tráfego e da concentração de usuários da Internet procurando promoções de fim de ano, essa tendência provavelmente afetará a largura de banda da rede. Não perca de vista os sites mal intencionados que vão atacar enquanto você faz de tudo para manter sua rede funcionando. Fique alerta, monitorando a largura de banda e o tráfego da rede. Além disso, tome ações adequadas ao identificar os usuários que abusam de seus privilégios.

Fonte: Portal dos administradores

Empresas podem lutar contra ataques direcionados?

Existem várias razões pelas quais ataques direcionados podem acontecer com quase qualquer empresa. Uma das maiores é o roubo de informações confidenciais. A propriedade intelectual é muitas vezes a primeira coisa que vem à mente, mas outros itens, menos óbvios em termos de valor, podem ser obtidos, como informações financeiras, dados de vendas, ofertas financeiras. No entanto, as empresas também podem ser alvejadas por razões que nada têm a ver com os seus produtos ou informações.

Uma dessas formas é quando a empresa é usada como uma plataforma de lançamento para um parceiro. Os criminosos podem alvejar uma empresa para usar sua recém-comprometida infraestrutura como base de lançamento para ataques contra outras organizações. Em certos casos, os agressores podem querer usar as contas de e-mail da vítima para ganhar legitimidade em uma campanha de spear-phishing. Outra razão pode se relacionar às conexões da empresa. Um pequeno vendedor pode fornecer peças para um integrador maior e isto o obriga a ter acesso à rede do integrador.

Quando falamos em proteção aos ataques, infelizmente, o tempo e a probabilidade pendem para o lado do criminoso. Não importa quão boas são as defesas de uma empresa, um erro de configuração ou um usuário abrindo um arquivo malicioso é suficiente para que a empresa seja infectada. Uma vez que um intruso está dentro de uma rede, o objetivo deve ser detectado e contido o mais rápido possível.

A solução pode consumir muito tempo, mas existem duas áreas que podem ajudar previamente a minimizar os danos. A primeira envolve mudanças nas políticas de infraestrutura: políticas de login adequadas, ajuste das políticas de segurança e proteção de dados críticos. A segunda área envolve equipe. É importante ter seu próprio grupo de inteligência de ameaças, bem como uma equipe forense já treinada e operando.

Para ajudar a melhorar a postura de segurança, testes de penetração podem ser úteis para empresas. Depois de concluídos, os testes podem ser usados como uma ferramenta de treinamento para a equipe forense, fornecendo lições já aprendidas para o restante da empresa.

Sempre existe um custo associado a estas preparações, mas eles serão minimizados quando comparados ao custo de uma única investigação extensa de um ataque alvejado. É simplesmente muito caro para as empresas ignorar os riscos de se tornar vítima de um ataque direcionado.

 

Fonte: B2B magazine

Milhões de logins e senhas de Facebook, Twitter e Google são roubados

Pesquisadores descobriram uma base de dados que armazena mais de dois milhões de credenciais de logins e senhas de usuários de Facebook, Twitter, Google e outros. A descoberta foi publicada na terça-feira (3) no blog da Trustwave's Spider Labs.

O grupo descobriu um banco de dados on-line lotado de informações da contas de serviços populares como redes sociais e plataformas de e-mail. São mais de 1,58 milhão de nomes de usuários e senhas no servidor. Deste total, 318.121 são do Facebook, 21.708 são do Twitter, 54.437 são de contas baseados na plataforma Google e 59.549 logins do Yahoo. Outras 320 mil logins também foram roubados de serviços de e-mail. O número restante de contas comprometidas são de acesso ao LinkedIn, a FTPs e outros serviços online.

Dos logins e senhas roubados, 97% pertencem a usuários da Holanda, seguido por Tailândia, Alemanha, Cingapura e Indonésia. Usuários dos Estados Unidos tiveram menos de duas mil credenciais roubadas. Porém, há mais de 90 países na lista e sabe-se que foi usado um sistema para enganar o IP real dos contaminados.

Há também uma presença notável de endereços vk.com e odnoklassniki.ru, dois sites sociais mais populares na Europa e que operam também em russo, o que provavelmente indica que uma parcela razoável de vítimas do roubo de logins e senhas também foi composta de falantes da língua, diz o grupo de segurança web.

Quem estaria por trás do ataque seria o controlador da botnet Pony. A versão 1.9 da rede tem um poderoso sistema espião e de keylogging que captura senhas e credenciais de login dos usuários infectados quando eles acessam aplicativos e sites da Internet. Um botnet pode ser construído e hospedado diretamente em um site e armazenar automaticamente todos dados colhidos de usuários infectados como logins, senhas, endereços de e-mail e outras informações digitadas.

Senhas eram "terríveis"

Ainda segundo os pesquisadores, a investigação também descobriu hábitos péssimos dos usuários cujas senhas mais comuns eram "123456 ", "123456789 ", "1234" e "password ". Dos códigos, 6% foram consideradas "terríveis", 28% ruins, 44% razoáveis, 1% boas e apenas 5% excelentes.

Na análise, as senhas consideradas ótimas são aquelas que usam todos os tipos de caracteres e somam mais de oito dígitos, e as senhas com quatro ou menos caracteres são consideradas "terríveis".

Fonte: Techtudo