A botnet Koobface lançou um novo componente que automatiza as seguintes acções:

1. Regista um nova conta no Facebook
2. Confirma e activa registo usando um email do Gmail
3. Entra num grupo aleatório do Facebook
4. Adiciona amigos no Facebook
5. Publica mensagens no Facebook desses amigos

No geral, este novo componente tem um comportamento igual a um utilizador normal quando entra pela primeira vez no Facebook. Este processo é tão similar ao humano que todas estas contas criadas pela botnet têm os dados completos, como por exemplo, foto, dia de nascimento, músicas favoritas, livros favoritos, etc. Inclusive, todas as contas são criadas com informação diferente.

Koobface realiza estas operações maliciosas usando um Internet Explorar automática para criar e registas as contas.

Algo que também está incorporado neste componente, é a capacidade de detectar os pedidos máximos da rede de amigos para não alarmar administradores do Facebook.

Fonte: Trend Micro

GZ

Outros sites que usam PHP mais complexo também ser afectados.

Graças a um erro dos autores do botnet Gumblar, muitos webmasters encontraram uma mensagem de erro nos seus sites.

Milhares de websites, muitos deles pequenos sites a correrem o software de blogue Wordpress, apresentaram um mensagem “fatal error” nas últimas semanas. De acordo com especialistas de segurança estas mensagens foram geradas por um código malicioso com bug invadido pelos autores do Gumblar.

Gumblar chamou atenção nos média em Maio quando apareceu em milhares de sites legítimos, colocando código “drive-by download” que ataca visitantes infectados com um vários ataques online. Este botnet esteve desaparecido alguns meses, mas voltou ao ataque recentemente infectando milhares de websites todos os dias.

De acordo com o analista de segurança Denis Sinegubko, aparentemente algumas alterações feitas no código do Gumblar causaram o problema. Estas alterações não foram testadas correctamente o que levou que efectivamente quebrasse os blogues Wordpress.

Fonte: Network World

GZ

Cerca de $30 ou €20 é o preço médio actual de um serviço de um dia contratado para ataques DDoS.

Analistas de segurança dizem que o custo destes serviços do cibercrime, como o DDoS, sofreram uma queda nos últimos meses. A razão? O mercado económico.

Segundo Jose Nazario, analista de segurança da Arbor Networks:

The barriers to entry in that marketplace are so low you have people basically flooding the market…
The way you differentiate yourself is on price.

Os ciber-criminosos estão a invadir cada vez mais computadores sem serem notados, levando a uma ligação às redes botnet. Estes redes podem servir posteriormente para envio de spam, roubo de passwords e na maioria das vezes, para lançar ataques DDoS. As redes botnets no cibercrime estão a ser alugadas como se tratasse de um software/serviço para terceiros, geralmente sondados em fóruns de discussão.

Ataques DDoS estão a ser usados por exemplo para censurar críticos, meter empresas rivais indisponíveis, chantagem online, etc. No inicio deste ano um ataque lançado contra os EUA e a Coreia do Sul, colocaram offline milhares de websites.

Fonte: Network World
Podcast de Jose Nazario sobre botnets [.mp3]

GZ

Muitos utilizadores da web provavelmente ainda não conhecem este termo – Scareware. Basicamente, é uma táctica usada no cibercrime para provocar pânico, medo ou ansiedade com o intuito de infectar um utilizador menos experiente com malware.
Algumas formas de spyware e adware usam o scareware como via de propagação.

Referindo algumas teorias sobre controlar o pânico, que penso que se aplicam perfeitamente ao scareware, antes de qualquer acto imediato e irracional, devemos relaxar, controlar a respiração, pensar, analisar e actuar com inteligência para chegarmos à conclusão de que se trata de um esquema para usufruir dos nossos dados privados. Entrarmos em pânico só vai alimentar com mais força o scareware.

Um exemplo prático desta ramificação do malware, se é que posso chamar assim, são os avisos de que um utilizador está infectado com um vírus perigoso capaz de destruir por completo os dados [de notar: pânico] e a única salvação possível é a instalação de um anti-vírus(fictício) que na realidade é, na maiorias das vezes, malware.

Este método tem sido bastante rentável para o cibercrime, tanto a nível monetário, porque alguns desses anti-vírus falsos são pagos, como a nível de máquinas controláveis ligadas entre si – botnets, para lançar ataques DoS. Segundo o Anti-Phishing Working Group, o scareware cresceu quase 3 vezes num espaço de 6 meses e está a ganhar cada vez mais força.

Os scareware’s mais conhecidos dos últimos anos, foram o “AntiVirus XP 2008″ e o “WinAntiSpyware 2008″. Dois programas que alegadamente forneciam protecção mas que após a instalação, roubavam dados confidenciais e abriam janelas para alertar de problemas no equipamento.

Mas não é só o Microsoft Windows que é o alvo das redes do cibercrime, também o sistema operativo Mac OSX já é atingido por scareware, muito devido ao crescimento das vendas da Apple nos últimos tempos. O recente caso de software falso de vídeo oferecido aos utilizadores de Mac, vem reforçar que não vai ficar por aqui os ataques a sistemas alternativos ao Windows.

Existem várias maneiras de prevenir scareware:

• Ter conhecimento de como funciona o seu anti-vírus porque assim irá perceber como este tipo de programas  procede quando detecta algo perigoso.
• Quando desconfiar de qualquer janela popup que possa ser um esquema/scam, feche imediatamente o browser, tendo em conta que não deve clicar em nada dessa janela.
• Verificar regularmente o seu anti-vírus por actualizações e garantir que está protegido contra spyware e adware.
• Verificar sempre ao clicar em links se a caixa de endereço se mantém fiável e não uma página no qual desconfia ser perigosa.

Claro que existem diversas maneiras de dar a volta a estes quatro pontos que lhe forneci, mas enquanto não se mudar a mentalidade de certos utilizadores que não se preocupam em actualizar o software, existem várias maneiras de poder ser infectado sem se aperceber usando, por exemplo, falhas no Adobe Reader, Flash, aplicações no Facebook, etc.

Para terminar este artigo, relembro os tempos em que o  scareware era inofensivo. Quem é que não se lembra de programar pequenas aplicações na escola para brincar com os colegas ou professores, em que abria uma janela e que se movia cada vez que se aproximava no botão de fechar…

DS

Mais uma alternativa no mercado negro do crimeware. Neste caso, uma aplicação web desenvolvida em PHP e com a sua origem na Europa Oriental – Phoenix Exploit’s Kit.

Este pacote consiste em nove exploits:

• IE6 MDAC
• MS Office Snapshot
• Adobe Reader PDF Collab / printf / getIcon
• IE7 MEMCOR
• FF Embed
• Flash 9
• IE6/IE7 DSHOW
• JAVA em JRE
• Flash Player  v10.0.12.36 e 10.0.22.87

Este pacote não é novo no mercado crimeware mas só agora é que começou a ter mais notoriedade na área. O custo deste produto ronda os $400 quando comprado com um domínio.

Assim o Phoenix entra na colecção e no “arsenal de armas” do mundo do crime informático que avança a toda a velocidade nos negócios ilegais do mercado russo do crimeware.

Fonte: EvilFingers

DS