As empresas de segurança Check Point e Malwarebytes divulgaram análises técnicas do "Dok", um novo vírus espião que ataca computadores com o sistema macOS, da Apple. Segundo a Check Point, a praga foi enviada por e-mail e tinha alvo principal internautas na Europa.

O nome da praga deriva do nome do arquivo anexado aos e-mails, chamado "Dokument". Apesar de parecer um documento, o arquivo era na verdade um programa de macOS, com uma assinatura digital válida do programa de desenvolvedores da Apple. A assinatura digital já foi revogada pela empresa, e a Apple também incluiu uma "vacina" no antivírus embutido no macOS para detectar a praga.

Após ser executado, o vírus exibe uma janela de erro falsa informando que não foi possível abrir o "Dokument".

O que acontece depois disso depende da versão da praga, pois já foram identificadas duas versões. A primeira versão trava totalmente o uso do computador com uma tela que obriga a vítima a instalar uma suposta atualização de segurança do macOS.

Caso a vítima interaja com esta janela, a senha de administração será solicitada e o vírus modificará diversas configurações do sistema, de modo que todo o tráfego web - inclusive dos sites seguros "HTTPS" - seja interceptado pelo vírus, permitindo o roubo de senhas.

A segunda versão do vírus não exibe a janela sobre as atualizações. Em vez disso, ela executa um vírus de código aberto chamado Bella. Esse vírus é capaz de obter privilégios administrativos em versões mais antigas do macOS sem solicitar a senha (macOS 10.12.1 e anteriores) e também foi projetado para roubar diversos dados, incluindo senhas e mensagens do iMessage.

A recomendação para os internautas, como sempre, é ter cuidado com arquivos que chegam por e-mail, sejam eles anexos ou links. Além disso, é importante manter o sistema operacional atualizado para evitar que brechas permitam que vírus causem estragos maiores sem precisar da senha de administração. A senha também não deve ser fornecida para a maioria dos aplicativos.

Embora exista uma percepção de que computadores da Apple não pegam vírus - um fato que já foi inclusive tema das propagandas da Apple -, a realidade é que o sistema pode ser alvo de pragas digitais. O uso de certificados digitais ilegítimos, como no caso do Dok, mostra que até mesmo usuários que usam o Gatekeeper podem estar em risco, dependendo da configuração adotada.

Vítimas do "Dok" que digitaram a senha administrativas devem solicitar auxílio de um especialista para desfazer as alterações feitas pelo vírus. Se isso não for possível, é recomendado reinstalar o sistema operacional.

Imagem: Dok solicitando senha de administrador em tela que promete atualização do sistema. (Foto: Reprodução/Malwarebytes)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O metrô da cidade de São Francisco, nos Estados Unidos, deixou passageiros utilizaram o sistema de transporte gratuitamente em diversas estações neste fim de semana depois de um vírus de resgate deixar pontos de venda inoperantes. O hacker responsável pelo ato também diz ter obtido 30 GB de dados e que pretende vazar as informações caso o resgate não seja pago.

A Agência Municipal de Transporte de São Francisco, a "Muni", responsável pelo sistema, confirmou a invasão, mas disse que a prestação do serviço não foi prejudicada. A liberação das catracas teria sido uma "precaução" para evitar transtornos para os passageiros, de acordo com um porta-voz da agência.

Segundo o Twitter da Muni, o sistema foi normalizado nesta segunda-feira (28).

De acordo com o site de tecnologia britânico "The Register", o ataque teria contaminado 2.112 sistemas e o resgate solicitado pelos criminosos somava 100 bitcoins (aproximadamente R$ 250 mil). Ainda de acordo com o "The Register", o vírus responsável seria o HDDCryptor.

Versões mais recentes do HDDCryptor são também conhecidas como Mamba. Essa versão da praga foi identificada e analisada em setembro pela Morphus Labs, uma empresa brasileira.

A Muni não confirmou esses detalhes técnicios do ataque. O caso ainda está em investigação.

Foto: sfmta_muni/Twitter oficial/Divulgação

Vazamento de dados
O hacker responsável pela invasão entrou em contato com diversos veículos de imprensa e ameaça vazar um pacote com 30 GB de dados da Muni.  O pacote teria bancos de dados com informações pessoais de funcionários da agência.

O hacker não apresentou nenhuma prova. Para a Muni, as alegações não são verdadeira. A agência disse que não cogita realizar qualquer pagamento de resgate.

Especialistas em segurança também avaliam que a ameaça pode ser um ato de desespero do hacker. Agora que os sistemas já voltaram ao normal, é improvável que qualquer pagamento seja realizado.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O site do Banco do Estado do Rio Grande do Sul (Banrisul) teve um problema no sábado (22) que fez o endereço "Banrisul.com.br" ser redirecionado para um site controlado por terceiros. A página oferecia o download de um arquivo que, se executado, instalava um ladrão de senhas bancárias no computador e ainda tentava remover diversos programas antivírus, para que o código não fosse identificado. 

Procurado pela coluna Segurança Digital do G1, o Banrisul afirmou que "houve um problema externo à estrutura de tecnologia do Banrisul, relativo ao domínio de acesso à internet. O problema foi identificado e resolvido com as providências técnicas adotadas".

O caso foi relatado por volta do meio dia de sábado no Grupo de Trabalho de Engenharia e Operação de Redes (GTER), frequentado por administradores de redes. (veja). Fabio Assolini, analista de vírus da fabricante de antivírus Kaspersky Lab, publicou uma imagem do golpe no Twitter também no sábado, mostrando a fraude.

"Clientes do @Banrisul não instalem o arquivo oferecido na home, esse .ZIP não é plugin, mas um trojan bancário, o site foi comprometido", tuitou Assolini.

Página redirecionada no endereço 'banrisul.com.br'. (Foto: Reprodução/@assolini)

Para convencer os visitantes a baixarem e instalarem o arquivo malicioso, o site dizia que se tratava de um "mecanismo de segurança" oferecido pelo banco. Mas o arquivo oferecido não tinha ligação com o componente em questão. Em vez disso, era uma praga digital que rouba senhas.

De acordo com o analista da Kaspersky Lab e os frequentadores da lista GTER que acompanharam o caso, os invasores conseguiram acesso à conta usada para gerenciar o endereço "Banrisul.com.br" no serviço Registro.br. Esse acesso permitiu aos malfeitores alterar uma configuração de rede e levar visitantes para um site de sua escolha, fora da infraestrutura do banco.

Embora o comunicado do Banrisul tenha confirmado um problema no registro do domínio, o banco não revelou como os invasores conseguiram o acesso.


Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

As fabricantes de antivírus Eset e BitDefender lançaram alertas esta semana sobre pragas digitais que atacam computadores com sistemas da Apple: a Eset analisou a praga Keydnap, enquanto a BitDefender revelou a existência do vírus "EasyDoc Converter". Embora diferentes, as duas pragas fazem uso da rede Tor.

O Keydnap tem como foco roubar os dados do "Keychain", o programa de gerenciamento de senhas embutido no sistema da Apple. Já o " EasyDoc Converter" cria um sistema completo de administração remota no computador da vítima, permitindo ao invasor ler, apagar e modificar arquivos, bem como ordenar o computador a realizar tarefas que sejam de seu interesse.

Para cumprir suas funções e se comunicar com os responsáveis por sua criação, os vírus usam a rede "Tor". A rede Tor, desenvolvida para evitar a identificação de ativistas e controle governamental da rede, faz com que a comunicação passe por diversos computadores intermediários, dificultando a identificação dos computadores que estão de fato se comunicando.

Keydnap
A Eset diz que não sabe como o vírus Keydnap chega às vítimas, mas ele é distribuído em um arquivo ZIP. Dentro do ZIP encontra-se o arquivo do vírus, que usa a extensão ".jpg " ou ".txt " (com um espaço no final). Isso, junto de um ícone também presente no arquivo .ZIP, faz com que o arquivo do vírus tenha um ícone de texto ou imagem. Porém, quando ao clicar duas vezes no arquivo para abri-lo, ele é executado como um programa.

Caso o recurso de segurança Gatekeeper esteja ativo, ele bloqueará a execução do vírus. Do contrário, a praga passa para o estágio seguinte, quando o verdadeiro vírus é baixado e instalado no computador. Uma vez em execução, ele rouba as informações do "Keychain", o programa de gerenciamento de senhas do OS X. As senhas são enviadas ao servidor de controle usando a rede de anonimato "Tor".

O servidor de controle pode ainda baixar mais códigos maliciosos ao computador, o que permite ao criminoso realizar várias tarefas.

Segundo a Eset, o programa abre um arquivo falso para enganar o usuário enquanto o vírus é instalado. Em alguns casos, esses arquivos falsos eram dados referentes a pragas digitais e números de cartões de crédito, o que significa que o vírus pode estar sendo distribuído para atacar criminosos ou pesquisadores de segurança interessados nesse tipo de informação.

Visão do criminoso ao acessar lista de arquivos de computador infectado com o EasyDoc (Foto: BitDefender)

EasyDoc Converter
Segundo a BitDefender, o EasyDoc Converter está sendo distribuído em sites legítimos que oferecem programas para Mac. Apesar de prometer a fácil conversão de arquivos, o programa na verdade não faz nada e apenas baixa o verdadeiro programa malicioso para o computador.

O programa cria um serviço oculto do Tor na máquina da vítima, permitindo que o criminoso acesse remotamente e de forma anônima todas as informações presentes no computador.

Como o programa também não tem a assinatura digital da Apple, usuários com o Gatekeeper ativado verão um aviso de que a execução do programa foi bloqueada, caso tentem utilizá-lo.

Vírus para Mac
Usuários de Windows têm muito mais problemas com vírus do que usuários de Mac, mas há cada vez mais registros de pragas diferentes criadas para atacar usuários da plataforma da Apple. Muitos dos ataques podem ser evitados com recursos do próprio sistema operacional, como o Gatekeeper. A Apple também inclui um antivírus simples no sistema para barrar os ataques mais comuns.

Ainda que o problema não seja tão grave quanto no sistema da Microsoft, quem tem um computador com OS X (ou, em breve, com o macOS, já que o sistema foi renomeado pela Apple) precisa ter cuidado ao baixar programas na internet.

O criador do vírus de resgate TeslaCrypt liberou uma "chave mestra" capaz de decifrar arquivos codificados pelos vírus. A chave permite abrir arquivos embaralhados com as versões 3 e 4 do TeslaCrypt, que usam as extensões .xxx, .ttt, .micro, .mp3, sem que seja necessário pagar o "resgate" exigido pela praga digital.

Vírus de resgate são pragas digitais que embaralham o conteúdo dos arquivos no disco rígido e depois exige que o usuário pague uma certa quantia em dinheiro (normalmente 500 dólares) para receber uma chave que poderá decifrar os arquivos. Por conta da maneira que esses vírus funcionam, na maioria dos casos é praticamente impossível restaurar os dados sem fazer o pagamento. Muitas empresas e instituições têm optado pagar por ser muitas vezes o meio mais barato e mais rápido para resolver o problema, mesmo quando existe um backup.

A chave do TeslaCrypt foi liberada após um especialista da empresa de antivírus Eset entrar em contato anonimamente com o criador do vírus e tentar persuadi-lo a liberar a chave. O especialista fez isso quando percebeu que vários dos desenvolvedores e distribuidores do TeslaCrypt estavam deixando de utilizar o vírus, substituindo-o por uma nova praga digital chamada de CryptXXX.

Em outras palavras, o TeslaCrypt já estava sendo abandonado pelos criminosos.

O contato ocorreu no chat de suporte técnico mantido pelo criador de vírus na página que recebe os pagamentos na moeda virtual Bitcoin. A página agora pede "desculpas" e divulga a chave mestra, que já foi incorporada em duas ferramentas que prometem decifrar o vírus, o "ESETTeslaCryptDecoder", da Eset (baixe aqui) e o TeslaDecoder (baixe aqui).

Página de pagamento do TeslaCrypt agora afirma: "projeto fechado". (Foto: Reprodução/Eset)

Quem decidiu não pagar o resgate do TeslaCrypt, mas guardou os arquivos criptografados agora pode reaver os dados cifrados sem pagar nada. Segurança Digital continua recomendando que usuários guardem os arquivos criptografados por vírus de resgate, já que o TeslaCrypt não é o primeiro cujas chaves para decifrar os arquivos foram liberadas.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Mesmo um vírus de computador que apenas "atrapalha" um pouco pode causar grandes prejuízos se infectar muitos computadores. Pragas que realmente danificam sistemas tendem a não se espalhar muito, porque danificam os computadores que elas mesmas poderiam usar para se espalhar.

O blog Segurança Digital elencou 10 pragas que, independentemente da sua capacidade de se disseminar, foram bastante destrutivas - intencionalmente.

10. Bugbear
O Bugbear ou Tanatos é um vírus que se espalhou por e-mail em 2002. Ele não se espalhou tanto quanto outros worms do gênero, nem mesmo pragas da mesma época, como o Klez ou LoveLetter (também conhecido como "I Love You"). Mesmo assim, ele conseguiu inundar a internet com mensagens e causar lentidão na entrega de e-mails - um inconveniente que acompanhou as principais as epidemias até a primeira metade da década de 2000.

Mas o Bugbear é lembrado por uma característica peculiar: por não reconhecer impressoras compartilhadas na rede, ele as tratava como pastas compartilhadas. Assim, ele enviava o código do programa para impressoras, que então imprimiam símbolos e caracteres aparentemente sem significado. Não era possível usar a impressora sem limpar o vírus das máquinas. Em uma rede, todas as impressoras poderiam começar a realizar a impressão dos estranhos códigos ao mesmo tempo. Assustador, não?

9. Blaster
O Blaster foi o primeiro vírus inconveniente a se espalhar automaticamente por computadores domésticos na internet, em 2003. Servidores já tinham sido contaminados por outras pragas e o vírus Opaserv passou despercebido por muitos ao infectar silenciosamente as máquinas com Windows ME, 98 e 95. Mas o Blaster não era nada silencioso: ser infectado pelo Blaster significava ver um aviso dizendo que o sistema seria reiniciado em 60 segundos. O computador ficava inutilizável, já que precisava ser constantemente reiniciado, e a icônica contagem regressiva foi parar (acidentalmente) até em transmissões de TV.

8. Witty
Apesar de ter o emoticon "(^.^)" em seu código, o Witty não era muito amigável. Ele se espalhou de um computador para outro em 2004 tirando proveito de falhas em softwares de segurança da Internet Security Systems, sendo até hoje o ataque de maiores proporções contra um programas de proteção. Passado um tempo e depois de algumas tentativas de contaminar outros computadores na rede, o vírus começa a intercalar as tentativas de ataque com a remoção de dados aleatórios no disco, corrompendo arquivos e programas silenciosamente.

7. CryptoLocker
O CryptoLocker trouxe a "solução definitiva" (do ponto de vista dos criminosos) para os ransomware, ou "vírus de resgate". Em vírus anteriores, a chave era gerada no computador da vítima ou era fixa. No CryptoLocker, cada sistema contaminado criptografa os arquivos com uma chave específica e a chave para decifrar é diferente da chave usava para embaralhar os arquivos. Com isso, a chave necessária para reaver os arquivos jamais tem contato com o computador e não há meio para recuperar os dados sem pagar o resgate (ou até que a polícia recupere a chave diretamente dos autores da praga).

O CryptoLocker deu origem a outros vírus do gênero, que ainda estão ativos. Um deles é o CryptoWall, que é a versão de ransomware mais comum na América Latina, segundo dados da FireEye.

6. "100% Mexicano"
Conhecido pelo nome técnico de "Windang.B", esse vírus trata documentos do Word (arquivos ".doc") como programas, infectando-os e depois renomeando os arquivos. O código do vírus abre o documento que ainda está contido no arquivo, então, se a extensão do arquivo não for verificada, tudo parece normal. O vírus continua a contaminar arquivos, mas, depois de algumas horas, substitui o conteúdo de todos os arquivos no disco com uma mensagem em espanhol:

"O vírus MlourdesHReloaded atacou este computador (...) é um vírus 100% Mexicano, não muito perigoso, mas você foi um oponente muito fraco. Adeus! (...) Feliz 2004". Foi a mensagem, que aparecia em todos os arquivos substituídos pelo vírus, que rendeu a ele o apelido de "100% mexicano".

Só um programa de recuperação de dados pode tentar resgatar os arquivos: diferente dos vírus de resgate, o vírus não dá nenhuma possibilidade de desfazer a destruição. Por ser tão destrutivo, o vírus não se espalhou muito, mas fez várias vítimas no Brasil.

5. Michelangelo (Stoned)
O vírus Stoned criado em 1987 para atacar disquetes do MS-DOS é um dos mais notórios da época e deu origem a muitas variações. O vírus não danificava nada, exceto em circunstâncias específicas nas quais o código não funcionava direto. Mas a praga foi modificada e "variações" se espalharam. A mais notória é a "Michelangelo": criado em 1991, o vírus estava programado para apagar os primeiros setores do disco, impossibilitando o uso dos dados armazenados, sempre que a data fosse 6 de março. Houve até quem sugeriu mudar o relógio do computador para que a data nunca fosse 6 de março, só por garantia.

4. Wiper / MBR Wiper
O Wiper é a versão moderna dos programas maliciosos que apagam discos rígidos. Segundo autoridades americanas, o Wiper teria destruído dados no Irã. Variações do ataque foram usadas contra a Coreia do Sul, onde diversos computadores foram inutilizados após uma onda de ataques sofisticados que conseguiram se infiltrar em bancos, empresas de comunicação e em uma usina de energia em 2013 e 2014.

3. Morris
A primeira praga a se espalhar automaticamente de um computador para outro na internet, em 1988. Leva o nome do seu criador, Robert Tappan Morris. Morris foi o primeiro a ter uma condenação pela lei de cibercrime norte-americana (o "Computer Fraud and Abuse Act", de 1986). O vírus era bastante persistente, consumindo recursos em excesso dos computadores da época, o que o tornou ainda mais prejudicial, mas também fácil de identificar. Partes inteiras da internet (que não era tão grande, na época) foram desconectadas para evitar que o vírus voltasse antes da limpeza nas redes estar concluída.

Outras pragas que causaram estrago semelhante em servidores da internet foram a Code Red, Slammer e Slapper.

2. Chernobyl
O vírus Chernobyl tem duas características curiosas para a época (1998): a de conseguir contaminar arquivos preenchendo "espaços", de maneira que um arquivo contaminado tem o mesmo tamanho de antes da contaminação, e a de apagar o chip da BIOS de alguns modelos de placas-mãe no dia 26 de abril, aniversário do acidente na usina nuclear de Chernobyl (daí o nome do vírus). O vírus também apaga o primeiro megabyte do disco rígido, o que impede o computador de ligar mesmo que a placa-mãe não tenha sido danificada. A data de ativação do vírus foi uma coincidência: a data também é o aniversário da criação do código. Quem teve o azar de possuir uma placa-mãe vulnerável ao código do vírus teve que substituir a peça ou pagar um técnico para retirar o chip e usar um hardware especial para reprogramá-lo.

1. Stuxnet
O vírus Stuxnet conseguiu se infiltrar em usinas nucleares do Irã, provavelmente por meio de pen drives USB, e alterar a operação de centrífugas até danificá-las. Enquanto isso, a praga falsificava as informações que apareciam nos terminais de monitoramento, deixando engenheiros e técnicos sem entender o que acontecia. É o primeiro vírus (e até hoje o único) que conseguiu causar danos físicos. As ações da praga vieram a público em 2010.

Imagem: Robert Tappan Morris, criador do Morris Worm (Trevor Blackwell/Creative Commons)

SAIBA MAIS:
'Supervírus' Equation é capaz de infectar hardware do disco rígido

Siga a coluna no Twitter em @g1seguranca.