conecte-se conosco

Tecnologia

Praga digital ataca brasileiros com mensagens sobre o coronavírus e comandos escondidos em canais do YouTube

Publicado

Especialistas em segurança identificaram uma nova versão do Astaroth, um programa malicioso que rouba informações dos computadores. A praga digital chamou a atenção por usar uma rede de canais do YouTube para receber “comandos” dos criminosos e ser propagada por e-mails com o tema do coronavírus e da Covid-19.

O Astaroth rouba senhas digitadas nos sistemas contaminados. Ele não é uma praga digital nova, mas vem recebendo diversos aprimoramentos dos seus criadores.

A análise mais recente do código foi publicada pelo Talos, uma equipe de especialistas em segurança digital da Cisco, nesta segunda-feira (11).

Os analistas observaram que a praga digital possui uma série de mecanismos para evitar o estudo do seu funcionamento. O código interrompe sua própria execução caso detecte um ambiente virtual ou a presença de ferramentas de monitoramento que poderiam rastrear as operações realizadas pelo programa.

Coronavírus e canais falsos no YouTube

De acordo com a análise do Talos, o Astaroth vem atacando usuários no Brasil há pelo menos nove meses, embora seja possível que a atividade tenha começado até um ano atrás.

O software é propagado por e-mails enviados em massa, que recentemente passaram a utilizar o tema do coronavírus e da Covid-19. O tema de boletos em atraso também é muito comum.

Uma das mensagens, por exemplo, promete um “portfólio” de recomendações para se proteger do coronavírus. A mensagem pode ter erros de português, mas essa não é uma característica obrigatória.

Leia mais:  Prazo para bloqueio de celular pirata após notificação pode cair de 75 para 15 dias, diz Anatel

E-mail falso que propaga a praga digital Astaroth usando o tema do novo coronavírus e a Covid-19. — Foto: Reprodução/Cisco TalosE-mail falso que propaga a praga digital Astaroth usando o tema do novo coronavírus e a Covid-19. — Foto: Reprodução/Cisco Talos

E-mail falso que propaga a praga digital Astaroth usando o tema do novo coronavírus e a Covid-19. — Foto: Reprodução/Cisco Talos

Os e-mails sempre incluem um link para um arquivo – normalmente um arquivo “.ZIP”. Dentro do arquivo compactado, os criminosos colocam um arquivo “.lnk”, que é um atalho do Windows – ou seja, um arquivo muito pequeno. Esse “atalho” executa um comando que realiza o download do próximo estágio da contaminação.

Depois que o Astaroth se estabelece no sistema, ele “visita” uma série de canais no YouTube. O usuário não verá nenhum sinal de que esse acesso aconteceu, mas as descrições dos canais – que parecem ser apenas um código sem sentido – são interpretadas como comandos para que o ladrão de senhas saiba o que deve fazer em seguida.

A estratégia de usar perfis em redes sociais para abrigar comandos de pragas digitais não é nova. Ela dificulta a ação de especialistas que tentam derrubar a infraestrutura dessas pragas digitais, já que os perfis, por si só, são normalmente inofensivos.

O blog procurou o Google para perguntar qual seria a postura da empresa em relação aos canais identificados pelo Telos. Até a publicação deste texto, o Google ainda não havia se pronunciado e os canais estavam on-line.

E-mails com cobranças falsas também são usados na propagação do Astaroth. — Foto:  Reprodução/Cisco TalosE-mails com cobranças falsas também são usados na propagação do Astaroth. — Foto:  Reprodução/Cisco Talos

E-mails com cobranças falsas também são usados na propagação do Astaroth. — Foto: Reprodução/Cisco Talos

Sofisticação técnica

O Astaroth tem diversas características técnicas avançadas. Além de tentar “fugir” da atenção de analistas e de sistemas de detecção automática, o código também foi programado de tal maneira a evitar que usuários suspeitem da presença de um programa nocivo.

Leia mais:  Ladrão de senhas brasileiro para Android chegou à Play Store disfarçado de solução de segurança, alerta empresa

Praticamente todas operações do programa são realizadas a partir de programas legítimos do Windows – mas nenhum arquivo do Windows é modificado. Os criadores do ladrão de senhas utilizam técnicas para injetar o código diretamente na memória de outros programas, ou então se aproveitam de utilitários que foram projetados para executar comandos especificados por outros programas.

Para o Talos da Cisco, o Astaroth é um “exemplo do nível de sofisticação técnica que está sendo alcançada por crimeware”. O termo “crimeware”, usado pelos especialistas, se refere aos programas maliciosos usados por criminosos – como é o caso do Astaroth – e que normalmente não possuem a mesma sofisticação dos softwares de espionagem patrocinados por governos.

Cada versão do Astaroth é identificada por um número e um nome, que normalmente faz alusão a um demônio. De acordo com os analistas, esta versão é identificada pelo número “157” e pelo codinome “Gomory”, associado a um demônio chamado “Gremory”. Essas informações estão dentro do próprio código da praga digital.

O nome “Astaroth”, que é usado para identificar todas as versões dessa praga, também se refere um demônio.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

Por: G1

Comentários Facebook
publicidade

Tecnologia

Invasão ao WhatsApp: alteração de PIN protege a conta? Acesso ao WhatsApp Web é espionagem? Tire suas dúvidas

Publicado

Troca do PIN do WhatsApp bloqueia invasores?

Em caso de suspeita de fraude, se trocarmos o código PIN (aquele segundo que escolhemos) do WhatsApp, o eventual fraudador perde acesso ao nosso WhatsApp, aos nossos contatos? – Ricardo Antonio

Ricardo, você deve tomar três medidas para que um fraudador seja bloqueado da sua conta:

  1. Tenha certeza de que seu celular está livre de programas espiões (redefina o seu aparelho para os padrões de fábrica, em caso de suspeita);
  2. Ative sua conta do WhatsApp no seu aparelho. Se o seu aplicativo do WhatsApp está funcionando, você já fez isso. Isso automaticamente desconecta uma sessão aberta em outro smartphone;
  3. Limpe as sessões do WhatsApp Web.

Lembre-se que dados obtidos no momento da invasão podem ter sido guardados pelos invasores. Como diz o ditado, “não adianta chorar sobre o leite derramado”. Porém, o acesso à conta do WhatsApp em si não dá acesso ao histórico de mensagens, apenas aos contatos e grupos. O hacker apenas terá suas mensagens se puder acessar sua conta Google ou ID Apple (com backups das mensagens), invadindo sua conta pelo WhatsApp Web ou instalando um aplicativo espião em seu celular.

O PIN do WhatsApp faz parte da autenticação em duas etapas que protege sua conta. Se você pode alterá-lo, é porque você já está com acesso à sua conta do WhatsApp em seu telefone, ou seja, os invasores já não têm mais acesso recorrente à sua conta. O WhatsApp só pode ser ativado em um aparelho por vez – então, se você está com ele ativado, ninguém mais está.

A alteração do PIN também não tem efeito sobre o WhatsApp Web. Para desconectar sessões abertas do WhatsApp Web, você precisa acessar a tela específica no aplicativo e usar o botão “Sair de todas as sessões” para desconectar todas as sessões abertas do WhatsApp Web.

Mas, se você teve sua conta invadida, não seria preciso alterar o PIN? Na verdade, o WhatsApp o obriga a fazer isso.

Quando os invasores entram uma conta de WhatsApp, é muito comum que eles próprios adicionem ou alterem um PIN de acesso para impedir que você recupere sua conta. Isso obriga você a aguardar até que o próprio WhatsApp remova o PIN para conseguir ativar o WhatsApp, ou tentar a recuperação por e-mail, que também remove o PIN.

Para recuperar uma conta invadida – em que você não tem mais nenhum acesso ao seu WhatsApp –, você deve iniciar a ativação do WhatsApp e digitar o código recebido por SMS. Isso vai derrubar o acesso dos invasores, mas você não poderá completar a o procedimento sem o PIN que eles configuraram.

Sua conta do WhatsApp ficará suspensa e inativa (todas as mensagens ficarão pendentes de entrega). Depois de 7 dias nessa condição, a conta poderá ser reativada sem o PIN.

Quando sua conta for reativada nessa circunstância, ela já estará sem o PIN. Sendo assim, você terá de configurar um novo PIN para reativar a autenticação em duas etapas.

Em resumo, alterar o PIN não vai bloquear nenhum invasor, porque sua conta já está com você. E, caso a conta não esteja com você porque alguém a invadiu, você terá que reconfigurar o PIN após recuperá-la (usando um PIN novo). Se houver um software espião no seu celular, nenhuma medida do WhatsApp (seja o PIN ou outra) terá efeito.

Leia mais:  Você emprestaria seu rosto a milhares de robôs por R$520 mil?

Mas afinal, existe algum cenário em que você precisa trocar o PIN? Até existe: se você cedeu seu PIN a um golpista ou alguém conseguiu descobrir o código por acaso, é uma boa prática trocá-lo, por precaução. Perceba, no entanto, que essa é uma medida preventiva.

Em diversas plataformas e serviços, a alteração da senha muitas vezes é acompanhada de uma “redefinição” das sessões, ou seja, todos os dispositivos logados são desconectados. Isso não existe no WhatsApp, já que apenas um celular pode estar ativado por vez e as demais sessões são autorizadas no recurso Web.

Fraude com restaurante no Instagram

Recebi uma mensagem no meu Instagram de um restaurante que costumo pedir comida.Ele oferecia um desconto e enviaria o código por SMS para ativar. Enviei o código e agora percebi que pode ser o golpe do WhatsApp, mas tenho a verificação em duas etapas e minha conta está funcionando normalmente. Estou segura? O que mais devo fazer? – Tatiana

As mensagens de SMS do WhatsApp costumam ser identificadas (normalmente, há um link para “v.whatsapp.com”, além do código). Então, é fácil de saber se o SMS que chegou para você era na verdade um código de ativação do WhatsApp.

Sendo esse mesmo o caso, a autenticação em duas etapas deve ter bloqueado os invasores. Eles teriam que aplicar um novo golpe em você para convencê-la a ceder o PIN de acesso. Como isso não aconteceu, sua conta está segura. No máximo, você terá que reativar a conta usando um novo código e seu PIN.

Se isso foi mesmo um golpe, trata-se de uma situação muito traiçoeira. Pode ser que a conta do restaurante no Instagram foi invadida por criminosos e eles usaram o acesso para aplicar golpes nos clientes.

Não é incomum que hackers se aproveitem da relação de confiança entre pessoas e perfis em redes sociais, mas é o primeiro relato que este blog recebe de um golpe de WhatsApp intermediado por invasões no Instagram.

Pode ser uma boa ideia entrar em contato com o restaurante para questionar o que houve ou até avisá-los do ocorrido. Ao contrário do WhatsApp, o Instagram não bloqueia acessos de múltiplos dispositivos. O restaurante pode nem ter percebido a invasão.

De qualquer forma, esse é sem dúvida um ataque possível. O código de ativação de qualquer aplicativo não deve ser compartilhado com ninguém. O código deve ser apenas digitado no aplicativo, no momento da ativação ou cadastramento de telefone.

Conexão ao WhatsApp de sistema desconhecido

Olhando a aba de notificações do meu celular, vi que ele estava conectado ao WhatsApp Web de um Linux, sistema que nunca utilizei. Tentei fechar e ele já estava desconectado. Posso estar sendo hackeada? Gostaria de saber como faço pra descobrir se sim. – Keyla Lima

Infelizmente, sim. Se havia uma sessão ativa a partir de um computador que você desconhece, especialmente em um momento no qual você não estava utilizando o WhatsApp Web, alguém provavelmente estava acessando sua conta naquele momento.

Leia mais:  Veja como usar o filtro do Coringa nos Stories do Instagram

O que você deve fazer é encerrar todas as sessões que aparecem na lista do WhatsApp Web.

Em muitos casos, essas sessões são autorizadas por pessoas próximas que conseguem acesso físico momentâneo ao seu aparelho. É importante que você configure um bloqueio de tela para evitar que o acesso físico ao smartphone também dê acesso a todos os apps que estão instalados.

Se você utiliza biometria (reconhecimento facial ou de digital), pode ser necessário usar o recurso de “Bloqueio total” (Android) ou “SOS” (iPhone) para desligar a biometria durante a noite. Quando estamos desacordados, é possível que pessoas próximas se aproveitem disso para desbloquear o aparelho.

Dados de sessões do WhatsApp podem aparecer cortados dependendo da orientação da tela. — Foto: Reprodução

Dados de sessões do WhatsApp podem aparecer cortados dependendo da orientação da tela. — Foto: Reprodução

Sessões ‘cortadas’ no WhatsApp Web

Eu comecei a usar o WhatsApp ano passado, mas nunca encerrei uma sessão. Sempre achei que essa ferramenta só funcionava com o celular do lado. Erro meu. Nos últimos dias, venho desconfiando que meu WhatsApp estava sendo monitorado por alguém do meu convívio. O que me fez pensar sobre isso foi:

  1. Meus acessos do WhatsApp Web estavam estranhos, pois eu estou em Feira de Santana-Ba desde que começou a pandemia e só apareciam os acessos que fiz em Brasília, que é a cidade atual onde resido.
  2. Todos os últimos acessos apareciam o ano de 2019, mas existia uma única máquina que não aparecia o ano. Não sei se foi removido propositalmente.

Eu comecei a me questionar o motivo pelo qual não estava aparecendo meus acessos da Bahia, apenas os de Brasília, como também dessa máquina com o ano sem estar visível. Acessei várias vezes no ano de 2020 do meu computador e não estava aparecendo. Tentei pedir informações ao próprio WhatsApp, mas não me cederam informações acerca da máquina que desconfio. Existe a possibilidade de um bug?

Encerrei todas as sessões, mas gostaria de saber se minha suspeita seria plausível? – S.C. (nome omitido pelo blog)

Vamos começar pela parte mais fácil: a data “cortada” na lista de sessões ativas no WhatsApp – faltando a informação do ano, no seu caso. Isso ocorre simplesmente por falta de espaço. Você deve conseguir visualizar a informação completa virando seu telefone para ver os dados em formato em “paisagem”.

Quanto aos seus acessos recentes feitos em uma cidade diferente daquelas que estão aparecendo nas sessões, o motivo mais provável – pela sua descrição dos fatos é que você está usando o botão “Sair” dentro do WhatsApp Web. Quando você utiliza esse botão, a sessão é encerrada e desaparece da lista no aplicativo.

É sempre importante lembrar que as informações de localização são apenas uma estimativa. Nesse caso específico, o Distrito Federal e a Bahia ficam bem longe um do outro, é menos provável que haja um erro de geolocalização. Além disso, como os registros todos parecem ser mais antigos, eles certamente não se referem aos acessos da Bahia.

Por: G1

Comentários Facebook
Continue lendo

Mais Lidas da Semana