Não demorou muito para que os bankers se aproveitasse da curiosidade humana, e da desgraça alheia para lançar mais uma tentativa de phishing.

Porém nessa ha de se destacar a audácia dos bandidos, que registraram um domínio nacional, – .com.br – para tentar se passar por um site de fofocas muito conhecido. O site O Fuxico verdadeiro é este:

http://www.ofuxico.terra.com.br

O conteúdo do email vocês podem visualizar na imagem abaixo:

Como vocês podem observar o e-mail induz a pessoa a acessar o site citado no email, no caso é:  hxxp://tvofuxicoweb.com.br <– Advertência: não acesse este site.

O site por sua vez é uma pagina fake (idêntica a original) e quando acessado para ver o tal vídeo é exibido um  aviso dizendo que você não tem o plugin para ver o vídeo. Veja abaixo o falso aviso:

Ao clicar para baixar o “plugin” você na verdade estará baixando um trojan.banker que irá capturar suas senhas bancarias e outras.

Este trojan por sua vez esta hospedado em outro site.

Portanto, caso você receba este e-mail apague-o e não clique em nada. Como eu sempre digo aqui, nunca abra um e-mail de um remetente desconhecido. Isso evita que você caia nestes golpes.

Em todo caso se você já foi infectado por este virus tenha um antivirus atualizado e faça um scan completo. E se você tiver recebido algum email do qual desconfia, encaminhe pra mim que irei examinar o mesmo. O email é ...

Respondo todos os emails para ajudar a vocês a se livrarem de qualquer risco.

Qualquer dúvida deixe um comentário que irei responder

Existe uma nova vulnerabilidade  ao XSS (cross-site scripting)  no Facebook, e  está sendo amplamente utilizado para automaticamente enviar mensagens nos murais dos outros usuários. A vulnerabilidade foi utilizada durante algum tempo, em alguns casos menores, no entanto, agora sendo amplamente utilizada pela primeira vez por muitos grupos diferentes, especialmente na Indonésia, onde é possível ver  milhares de mensagens infectadas sendo postadas por usuários desconhecidos.

A vulnerabilidade existe na versão móvel API do Facebook, devido à insuficiência filtragem JavaScript. Ela permite a qualquer site  incluir, por exemplo, um elemento iframe maliciosamente preparados que contém o JavaScript ou use o atributo http-equiv de valor “refresh” para redirecionar o browser para a URL contendo a JavaScript.

Qualquer usuário que estiver logado no Facebook e visitar a um site que contenha esse elemento ira automaticamente postar uma mensagem arbitrária em seu mural. Não é necessária  nenhuma interação do usuário, e não há truques envolvidos, como clickjacking. Basta visitar um site infectado para enviar uma mensagem de que o atacante escolheu.

Assim, deveria ser nenhuma surpresa que algumas dessas mensagens estão se espalhando muito rapidamente através do Facebook. Alguns estão postando links para sites infectados, criando XSS worms que se espalham de usuário para usuário.

Infelizmente, este tipo de  ataque é muito fácil de recriar, o que torna o problema ainda maior.

O Facebook informou que esta trabalhando para corrigir esta falha, mas até o momento desta postagem não havia sido corrigida.

Você pode evitar este ataque com medidas simples, como usar o add-on Noscript para o navegador Firefox, este add-on detecta o ataque, e o bloqueia evitando assim que você seja infectado.

Ontem a tarde a Microsoft lançou um alerta de segurança, que revela vulnerabilidade em vários de seus produtos de segurança que usam o engine Anti-Malware.

A falha permitia a um atacante que tivesse uma conta padrão no sistema operacional, criar uma chave de registro a qual quando escaneada   por uma das ferramentas anti-malwares afetadas, realizava a escalada de privilégios ao atacante transformando sua conta padrão em uma conta LocalSystem

Contas LocalSystem são predefinidas no sistema operacional e atua para o computador na rede, e tem privilégios substanciais. Sendo assim um atacante poderia em tese causar muito estrago.

A falha não chegou a ser divulgada ou explorada, pois a Microsoft foi alertada antes que qualquer ataque fosse registrado. A Microsoft informou que a falha foi relatada em sigilo a ela.

Em seu alerta a Microsoft diz que as ferramentas foram atualizadas automáticamente, porém não informou qual foi a data em que lançou a atualização. Mas informou que  os produtos irão receber tais atualizações após 48 do lançamento da atualização, sendo assim pode-se dizer que a atualização foi liberada a dois dias.

Os produtos afetados por essa vulnerabilidade são:

* Windows Live OneCare
* Microsoft Security Essentials
* Windows Defender Microsoft
* O Microsoft Forefront Client Security
* Microsoft Forefront Endpoint Protection 2010
* Ferramenta de Remoção de Software Mal-Intencionado da Microsoft

Portanto se você utiliza alguma dessas ferramentas, esteja em dia com as atualizações para ficar livre dessa vulnerabilidade.

Mas vale lembrar que as chances de um ataque destes ocorrer são muito remotas, porém não é impossível.

Oracle esta semana lançou uma versão atualizada do seu ambiente de execução Java que corrige 21 vulnerabilidades, sendo que 19 das quais permitem que os atacantes possa instalar remotamente um software malicioso em máquinas dos usuários finais.

A empresa recomenda aos utilizadores instalar o Java 6 Update 24, logo que possível, mas antes que os leitores sigam essa recomendação, permita-nos oferecer uma proposta modesta: Tente desinstalar completamente o Java. Isto irá diminuir dramaticamente a superfície de ataque da sua máquina, ea menos que você use um punhado de aplicações específicas sob JAVA, você nunca vai notar a diferença.

Era uma vez, Java, com o seu mantra de “write once, run anywhere“, que seria o cavaleiro branco que ia salvar a humanidade das garras predatórias do Microsoft Windows. Nunca se trabalhou desse jeito – pelo menos não em Desktops- mas a perspectiva foi suficiente para “assustar o inferno” de Bill Gates.

Apesar da campanha publicitária sobre o modelo superior de segurança Java, o quadro para alguns clientes ultrapassou os aplicativos da Adobe como o pacote de software mais explorados, com milhões de ataques registrados a cada trimestre. Embora a grande maioria das plataformas afetadas sejam o Windows, os ataques, embora os timidos, por agora, estão começando a meta Mac OS X. E dada a insistência de Steve Jobs de pensar diferente, a Apple não costuma lançar atualizações de segurança do Java mesmo  meses depois da publicação da Oracle.

Até ataques Java  contra o Linux já foram registrados.

Nós não vamos gastar muito tempo falando sobre o lado legal da Oracle no sistema operacional Android, mas isso é outra razão pela qual você pode querer evitar Java.

Então vá em frente, experimentá-lo e desinstalar o Java completamente. Você pode sempre reinstalá-lo se for necessário, embora, como já dissemos, se você for como a maioria das pessoas, há pouca chance que você vai precisar.

Nota de esclarecimento:
Não, o OpenOffice não requer Java. Na wiki doOpenOffice é dito:
Java é exigido apenas para completar o OpenOffice. A maioria das funções do OpenOffice funcionam muito bem em máquinas que não possuem o Java instalado.

Texto extraído e traduzido por: Silas Martins da fonte: http://www.theregister.co.uk

Para finalizar uma ilustração que define bem o que Java tem significado ultimamente para usuários finais:

A BitDefender é uma das melhores desenvolvedoras de solução para segurança do seu PC. E agora esta oferecendo uma licença Free do Internet Security 2011.

Todos sabemos o risco  que corremos a navegar na internet, e o prejuízo que podemos ter, caso nossos dados sigilosos sejam descobertos. Pensando nisso a BitDefender lançou uma Suite de segurança que te protege totalmente, para você poder desfrutar da net, sem se preocupar.

E o que era bom ficou ainda melhor, pois agora a suite do Internet Security 2011 que antes era paga, agora é free.

Mas fique esperto pois é por tempo limitado. Leia abaixo como fazer para entrar nessa.

Para ganhar é muito simples, basta acessar o link abaixo e fazer o download.

http://www.malwarecity.com/site/DownloadBitDefender2011/36617442

Pronto você esta usando o que há de melhor em segurança.

Oferta válida por pouco tempo, então aproveite.

Caso o link não funcione clique no banner na lateral do blog ->

Atenção: A licença tem duração de 90 dias.

Saiba como proteger seus dados de logins em sites como Twitter, Facebook e outros.

Na semana passada muito foi falado sobre um add-on (Firesheep) que possibilita o sequestro de logins e senhas de usuários que utilizam redes sem fio –Wi-Fi – porém no dia 28, um jovem universitário da Islândia desenvolveu  uma solução.

Um jovem islandês criou um programa chamado FireShepherd que inunda o trafego de informações na rede sem fio anulando a ação do Firesheep, pois o programa emite uma sequência de caracteres o que congestiona a rede periodicamente. O que torna inviável o uso do firesheep.

Lembrando que o FireShepherd é uma solução voltada para usuários que tem vários computadores em rede. Para usuários domésticos existe outras soluções como o HTTPS Everywhere que é um plugin o qual encripta e protege seus dados.

Download: Firesheepherd

Licensa:  Freeware

Saiba aqui as pragas virtuais que mais tem sido utilizadas em golpes e fraudes.

O GFI anunciou o top 10 ameaças de malware mais relevantes para o mês de setembro de 2010.

As estatísticas mostram um ataque incrivelmente consistente principalmente pelos mesmos Trojans que persistem por vários meses. Várias das principais ameaças não foram alteradas a partir dos últimos dois meses.

O cavalo de Tróia detectado como Trojan.Win32.Generic! BT ainda é o líder do raking, um pouco baixo de 23,54 por cento do total de detecções.

Esta detecção genérica inclui mais de 120 mil traços de aplicativos maliciosos e tem sido o top1 por muitos meses: em agosto, com 25,11 por cento, em Julho com 29,08 por cento e em junho, com 27,16 por cento do total de detecções.

O número dois de detecção não mudou no ranking do mês passado também. Trojan-Spy.Win32.Zbot.gen é a detecção de roubo de senhas, e redes zumbis, com muitas versões.

A terceira colocada é  a Trojan.Win32.Generic SB.0!, Subiu de quinto lugar no mês passado esta praga foi desenvolvida para roubo de senhas e a instalação de programas cavalo de tróia. Estes por sua vez são  keyloggers que grava e envia os dados para os  programadores  que distribui o malware.

Os Top 10 maiores ameaças de malware para o mês de setembro são:

1. Trojan.Win32.Generic!BT 23.54%
2. Trojan-Spy.Win32.Zbot.gen 4.27%
3. Trojan.Win32.Generic!SB.0 4.06%
4. Trojan.Win32.Generic.pak!cobra 3.04%
5. INF.Autorun (v) 2.3%
6. Worm.Win32.Downad.Gen (v) 1.44%
7. Trojan.HTML.FakeAlert.e (v) 1.09%
8. PlaySushi 1.08%
9. FraudTool.Win32.FakeAV.gen!droppedData (v) 0.91%
10. Trojan.Win32.Malware.a 0.83%

No dia 28 o pesquisador de segurança Jerome Segura, detectou um anuncio no site http://thepiratebay.org que esta infectando quem por ali navega.

Até o momento não se soube determinar de onde esta partindo o malware, o pesquisador de segurança, disse ter encontrado o anúncio por acaso, e que só percebeu que havia algo errado quando o ícone do Java surgiu na taskbar. Pois geralmente ele só surge quando algum Javascript é executado no site. O arquivo ASX parte daqui: hxxp://noisont.com/super/tmp/u.asx

O malware cria um arquivo chamado u.asx e este arquivo seta para uma pagina com o conteúdo ofuscado vejam:

Veja o conteúdo da pagina hcp.html mostrada imagem acima. O código foi ofuscado para dificultar sua identificação, vejam:

código ofuscado

Portanto fica aqui o alerta para todos, e indico desabilitar o Javascript na pagina, assim se evita uma contaminação. Indico o add-on NoScript

Até o momento o site The PirateBay não se pronunciou sobre o assunto.

Olá pessoal,

Esta semana foi uma semana muito agitada nos sites de relacionamento, Orkut, Youtube, e Twitter. Tudo começou no Twitter que sofreu com uma falha a qual permitia ataques XSS, isto ainda durante a semana.

Já no Sábado o Orkut sofreu um de seus maiores ataques, e assim como no Twitter a falha permitia o ataque o XSS. Já no domingo o Youtube foi a bola da vez e teve um ataque em massa, bobo porém que pertubava bastante.

Pois o atacante podia alterar o título de qualquer vídeo, e isso foi usado em grande escala para divulgar a falha ou apenas por molecagem.

Entrando em detalhes:

Sobre o ataque ao Orkut

No Orkut o que permitiu o ataque foi uma tag html não fechada, a tag STYLE, tendo isso em mãos usuários do Orkut criaram um worn que infectava as contas dos usuários que visualizassem scraps, tópicos e status dos perfis já infectado, criando assim um processo de bola de neve. Uma vez que não era preciso clicar em link algum para se infectar, bastava visualizar o conteúdo malicioso.

Veja um trecho do código utilizado no ataque ao Orkut:

Apesar do worn ter dado muita dor de cabeça para quem foi infectado, ele não oferecia nenhum risco para seu PC.

Sobre o ataque ao Youtube

Neste ataque diferente do que aconteceu no Orkut, ele apenas possibilitava a alteração do titulo de qualquer vídeo, e isto só foi possível por causa de uma falha grotesca por parte do Youtube, a qual permitia a edição do título sem verificar quem estava realizando a alteração.

Neste episódio uma pessoal se destacou por ter explorado o bug primeiro, e após ele vieram outros. Estou falando de Miguel Targa, este mesmo que esteve relacionado ao episódio do XSS do Twitter na semana passada.

Entrei em contato com Miguel e deu algumas palavras esclarecendo o que aconteceu, leiam:

Silas Martins:  Como você detectou a falha?

Miguel Targa: Usando o youtube.

Silas Martins: E porque aquele titulo? (@migueltarga e @saadzim_ Amaram seu video *-*)

Miguel Targa: Porque só queríamos alertar.

Silas Martins: Entendi, procede a informação de que “talvez” fosse possível alterar a titularidade da conta vinculada a determinado vídeo?

Miguel Targa: Desconheço

Silas Martins: Qual foi a participação do Saad?

Miguel Targa: coletar contas e me ajudar a executar meu script.

Silas Martins:  Você utilizava algum add-on para executar o pog?

Miguel Targa: Ferramenta utilizada: curiosidade.

Silas Martins: Após a correção da falha a equipe do Youtube entrou em contato com você, ou deletou sua conta?

Miguel Targa: Nada, pelo menos não chequei meu email.

Silas Martins: Fazendo um balanço dos ultimo mês, pode-se dizer que você anda envolvido quase que sempre nos ataques mais divulgados. Sejam eles no Twitter, Orkut ou You tube. Porque este seu interesse por essas redes sociais?

Miguel Targa: Curiosidade

Ao final da conversa Miguel disponibilizou um vídeo no Youtube onde fala mais sobre o ataque.

Miguel Targa ainda disponibilizou o código utilizado em seu ataque, para os interessados acessem o link: http://pastebin.com/G0SzRYFi

Estes ataques só tem demonstrado quão frágil é a segurança de grandes sites, e o descaso que o Google tem pela segurança de seus usuários. Porém a grande maioria dos portais Brasileiros tem brechas assim, só que não são tão exploradas.