Há muitos fatores que devem ser levados em conta quando você está tentando encontrar a melhor solução antivírus para suas necessidades. Com a segurança dos seus dados, a identidade digital e as transações financeiras em risco, vale a pena investir um tempo avaliando cada produto antivírus.

Além disso, se você usar bastante a Internet, e-mail, mensagens e outros serviços da Web, considere uma solução que inclua um software de segurança de Internet e tecnologias que deixem suas atividades on-line mais seguras.

Critérios para conseguir a melhor proteção contra vírus

Infelizmente, nem todos os produtos antivírus oferecem uma solução confiável e fácil de usar, com um nível adequado de proteção contra malware. Quando os critérios a seguir são comparados, até mesmo as dez melhores soluções antivírus do mercado têm classificações diferentes:

  • Confiabilidade
    Até a solução antivírus mais completa é capaz de se provar absolutamente sem eficácia se entrar em conflito com outros programas de software executados no seu computador. Se esses conflitos interferirem na operação ou suspenderem temporariamente os processos de proteção do antivírus, você poderá ficar vulnerável.
  • Usabilidade
    Se a operação diária de uma solução antivírus exigir habilidades especiais, não será muito prática para os usuários. Todo produto antivírus que seja estranho de usar, que faça perguntas complexas ou precise que o usuário tome decisões difíceis tende a aumentar as chances de “erros por parte do operador”. Em alguns casos, se o software antivírus for muito difícil de executar, o usuário poderá desativá-lo.
  • Proteção abrangente
    Uma solução antivírus deve oferecer proteção constante para todos os domínios do computador, todos os tipos de arquivos e todos os elementos de rede sujeitos a ataques por um vírus de computador ou outros tipos de malware. O programa deve ser capaz de detectar código malicioso e ainda proteger todos os canais ou pontos de entrada do computador, inclusive e-mail, Internet, FTP e muito mais.
  • Qualidade da proteção
    Independentemente de você precisar de uma solução de segurança antivírus da Apple ou para o Windows, as duas precisam operar em um ambiente agressivo, dinâmico, com novos vírus de computador, worms e cavalos de Troia muito mais complexos do que os tipos de malware conhecidos antes, e que podem oferecer novas maneiras de evitar as ações dos programas antivírus. A qualidade da proteção depende parcialmente do seguinte:

Fonte: Kasperskay

O Dia do Consumidor acontece em 15 de março, mas os descontos geralmente são tão bons que a maioria das lojas transforma o evento em semana do consumidor, disponibilizando preços especiais durante o período todo.

A Semana do Consumidor é um momento oportuno para garantir celulares, notebooks, smart TVs e outras categorias interessantes, de eletrônicos a mercado. Como o número de produtos em promoção é alto, o Canaltech Ofertas está aqui para te ajudar:

 

Quando é a Semana do Consumidor?

Como falamos acima, as promoções aparecem durante a semana inteira, que este ano acontece de 13 a 19 de março

 

Por que o Dia do Consumidor foi criado

O dia do consumidor é uma data criada para relembrar a importância da defesa dos direitos do consumidor, levando em consideração fatores como a segurança, liberdade de escolha e atendimento. 

É uma data que tem tudo a ver com a digitalização do Brasil, e também está diretamente relacionada ao Canaltech Ofertas, cuja missão é levar até você os melhores preços dos melhores produtos, listando preços baixos nas lojas seguras do país.

Como pagar mais barato

Como serão centenas de produtos com desconto, entre nos grupos do CT Ofertas no Telegram e WhatsApp para não perder nada, pois as ofertas podem esgotar a qualquer momento. É possível escolher em quais grupos deseja entrar, eles são dividos em categorias para ser mais fácil de encontrar as promoções desejadas:

  • Geral (todas as ofertas)
  • Tecnologia (celulares, notebooks, games, etc)
  • Celulares e Smartphones
  • Notebooks e informática
  • Eletro e Smart TV
  • Linha Apple (iPhone, iPad, etc)
  • Linha Galaxy (produtos Samsung)
  • Mercado

O Canaltech Ofertas fará a cobertura completa durante toda a semana, comunicando as melhores promoções e as melhores de condições de pagamento, seja por meio de cupons, ofertas parceladas, pagamento à vista ou outros tipos de descontos. Fique de olho.

Fonte: Canaltech

Imagine que você entra em um shopping e um estranho começa a segui-lo pelo local. Eles fazem anotações detalhadas de quais lojas você visita. Se você pega um folheto promocional, eles tentam olhar por cima do seu ombro para ver se você o leu com atenção. Quando você está em uma loja, eles usam um cronômetro para medir o tempo exato que você gasta em cada prateleira. Soa absurdo e um tanto desagradável, não é? Infelizmente, é exatamente isso que acontece toda vez que você visita um site, visualiza e-mails de lojas ou serviços online ou usa os respectivos aplicativos mobile oficiais. A pessoa com o cronômetro é um sistema analítico conectado a praticamente todos os sites, aplicativos e campanhas de e-mail.

Por que as empresas precisam desses dados? Existem vários motivos:

  • Conhecer melhor suas preferências e sugerir produtos e serviços com maior probabilidade de compra. É daí que vêm os anúncios irritantes de bicicletas, seguindo você por cerca de dois meses depois de visitar o site de um ciclista;
  • Adicionar texto e imagens mais eficazes a sites e mensagens de e-mail. As empresas testam diversas opções de legendas, cabeçalhos e banners, escolhendo aquelas em que os clientes mais focam;
  • Identificar as seções mais populares de um aplicativo móvel ou site e como você interage com elas;
  • Testar novos produtos, serviços e funcionalidades;
  • Vender o comportamento do usuário e dados de preferência para outras empresas.

Em uma postagem detalhada do Securelist, examinamos as estatísticas dos “espiões” mais ocupados: Google, Microsoft e Amazon – de longe, os mais famintos por (seus) dados.

Como funcionam os web beacons e os pixels de rastreio

As atividades de rastreamento descritas acima são baseadas em web beacons, também conhecidos como pixels rastreadores ou pixels espiões. A técnica de rastreamento mais popular é inserir uma imagem minúscula (tão pequena que fica praticamente invisível) – tamanho 1×1 ou mesmo 0x0 pixels – em um e-mail, aplicativo ou página da web. Quando sua tela exibe informações, seu cliente de e-mail ou navegador solicita o download da imagem do servidor, transmitindo informações sobre você, que o servidor registra: a hora, o dispositivo usado, o sistema operacional, o tipo de navegador e a página em que o pixel foi baixado. É assim que o operador do beacon fica sabendo que você abriu o e-mail ou a página da web e as condições gerais desse processo. Um pequeno pedaço de código (JavaScript) dentro da página da web, que pode coletar informações ainda mais detalhadas, geralmente é usado em vez de um pixel. De qualquer forma, o rastreador não fica visível na mensagem de e-mail ou no site de forma alguma: você simplesmente não pode vê-lo. No entanto, esses beacons colocados em todas as páginas ou telas de aplicativos permitem “seguir você” rastreando sua rota de navegação e o tempo que você gasta em cada etapa dessa rota.

Cibercriminosos e os web beacons

Agências de marketing e empresas de tecnologia não são as únicas que usam web beacons: os cibercriminosos também os usam. Web beacons são uma maneira conveniente de realizar reconhecimento preliminar para ataques de e-mail direcionados (como spear phishing ou o comprometimento de e-mail comercial). Eles ajudam os bandidos a descobrir a que horas suas vítimas verificam (ou não) seus e-mails para escolher o melhor horário para um ataque: é mais fácil invadir contas de usuários ou enviar e-mails falsos em seu nome enquanto o usuário está offline.

As informações do usuário, incluindo comportamento e dados de interesse, podem vazar após um ataque hacker. Mesmo líderes de mercado, como MailchimpKlaviyo ou ActiveCampaign, às vezes experimentam esses tipos de vazamentos. As informações roubadas podem ser usadas para vários golpes. Por exemplo, hackers que atacaram Klaviyo roubaram listas de usuários interessados ​​em investir em criptomoedas. Uma tática de phishing especializada pode então ser usada para atingir esse público e enganá-lo.

Como se proteger contra rastreamento

Não podemos controlar vazamentos e hacks, mas podemos garantir que os servidores dos gigantes da tecnologia coletem o mínimo possível de dados sobre nós. As dicas abaixo podem ser usadas separadamente ou combinadas:

  1. Bloqueie o carregamento automático de imagens no e-mail. Ao configurar o e-mail em seu telefone, computador ou em um cliente baseado na Web, certifique-se de habilitar a configuração que bloqueia a exibição automática de imagens. Afinal, a maior parte dos e-mails faz sentido mesmo sem que as imagens sejam carregadas. A maioria dos clientes de e-mail adiciona um botão “mostrar imagens” logo acima do corpo do e-mail, então carregar as imagens realmente necessários demanda apenas um clique;

  2. Bloqueie rastreadores da web. A maioria dos web beacons pode ser impedida de carregar. Você pode encontrar as configurações de navegação privada nos [placeholder K Premium]produtos de segurança Kaspersky [placeholder]. O navegador Firefox permite ativar e ajustar a proteção aprimorada contra rastreamento. Plugins de privacidade especializados estão disponíveis nos catálogos do Chrome, Firefox e Safari, entre as extensões oficialmente recomendadas. Você pode encontrá-los inserindo privacidade ou proteção de rastreamento na barra de pesquisa;

  3. Proteja sua conexão com a Internet. A proteção contra rastreamento funciona bem no nível do sistema operacional ou do roteador doméstico. Se você bloquear web beacons em seu roteador, eles pararão de funcionar não apenas em seu e-mail e em páginas da web, mas também em aplicativos e até mesmo em sua smart TV. Para fazer isso, recomendamos que você ative o DNS Seguro no sistema operacional ou nas configurações do roteador e especifique um servidor DNS que bloqueie os rastreadores. Às vezes, uma conexão VPN também pode fornecer proteção contra rastreamento. Se esta for a opção mais prática para você, certifique-se de que seu provedor de VPN realmente oferece um serviço de bloqueio de rastreio.

Fonte: Karsperskay

Uma falsa “taxa associativa” relacionada a cadastros do MEI é a isca de um golpe conhecido, que tenta atingir microempreendedores individuais para obter pagamentos fraudulentos em um período de maior atenção a tributos. As cobranças são enviadas por e-mail e indicam o atraso no pagamento do suposto tributo, com um boleto ou código QR do Pix que enviam os valores diretamente para as contas de golpistas envolvidos nessa campanha.

No caso da cobrança realizada no golpe, o valor original da “taxa associativa”, que era de R$ 99, foi corrigido para R$ 138,98 devido a multas por atraso e enviado para um suposto departamento jurídico. O boleto ou código QR também acompanha a ameaça de que, caso o novo valor não seja acertado até o vencimento, a dívida será enviada para protesto, podendo gerar restrições sobre o CNPJ cadastrado.

Trata-se de uma prática comum, que costuma circular com mais frequência no início do ano, na medida em que se aproxima o prazo para declaração do Imposto de Renda. Os microempreendedores sabem que não podem realizar o processo sem estarem em dia com os pagamentos mensais do MEI, o que acaba gerando certa credibilidade adicional à fraude.

A cobrança simplesmente não existe, pelo menos, sem a anuência do empreendedor. Taxas anuais desse tipo costumam ser cobradas por associações com as quais o MEI pode realizar uma adesão de forma voluntária; no momento da abertura da empresa, entretanto, não existe nenhum tipo de filiação automática a órgãos assim, que também não é obrigatória para que o CNPJ continue ativo e possa atuar.

O governo federal é claro quanto a isso: a única cobrança obrigatória para os registrados no MEI é a contribuição mensal, cujo pagamento deve ser feito por meio do DAS (Documento de Arrecadação do Simples Nacional). O valor garante acesso a benefícios previdenciários e inclui diferentes tributos, podendo variar de R$ 67 até R$ 72 de acordo com a ocupação do CNPJ. Antes de declarar o Imposto de Renda anualmente, o microempreendedor deve estar com esse carnê em dia.

Qualquer outra cobrança, então, deve ser encarada como golpe ou, então, ser realizada de forma voluntária. Esse aspecto, inclusive, chega a ser usado em boletos enviados por e-mail ou correio para empresas registradas no MEI, em nome de contribuições espontâneas ou ofertas de filiação, mas com termos que confundem o cidadão e podem levar a um pagamento indevido caso ele acredite se tratar de um tributo governamental.

Ignorar as cobranças, cheguem elas por e-mail ou correio, é o melhor caminho para a proteção. Apenas o pagamento do DAS MEI deve ser realizado, com o documento emitido a partir de domínios oficiais do governo federal. Qualquer outra contribuição deve ser voluntária, com a cobrança de multas, associações em atraso ou taxas sendo ilegal.

É importante ficar atento, pois os registros relacionados a CNPJs são públicos e podem ser consultados por qualquer um, dando acesso a informações como nomes, endereços e e-mails das empresas cadastradas. São estes dados que são usados para a aplicação de golpes, bem como ofertas indevidas que também podem chegar por e-mail, mensagem ou ligação. O ideal, aqui, também é ignorar tais contatos e evitar pagamentos e transferências fora do caráter oficial ou voluntário citado.

Aposentados e pensionistas seguem como alvo constante

Números da Polícia Civil do Rio de Janeiro apontam que, em 2023, pelo menos uma central clandestina voltada para golpes com empréstimos consignados foi fechada no estado. Os trabalhos também já levaram à prisão de 141 pessoas apenas neste ano, indiciadas por crimes como estelionato e organização criminosa.

Os call centers têm aparência profissional, com direito a manuais de abordagem às supostas vítimas a partir de pesquisas prévias em dados pessoais e situação financeira. As conversas envolvem investimentos, grandes retornos ou taxas de juros mais baixas, com o empréstimo sendo consignado a aposentadorias ou pensões recebidas, principalmente, por idosos.

Entre a conduta citada pelos criminosos, está a realização de chamadas constantes e uma demonstração de que a oportunidade oferecida vale a pena. Algumas das vítimas falam em ligações diárias por diferentes representantes e condições cada vez mais vantajosas, incluindo ainda a emissão de cartões de crédito com limites altos e boas condições de pagamento, que podem interessar, principalmente, quem está passando por dificuldades financeiras.

Em outros casos citados em reportagem do jornal O Globo, os bandidos também citaram supostos valores altos para receber como benefícios do INSS (Instituto Nacional do Seguro Social) ou cartões que teriam sido emitidos indevidamente no CPF da vítima. O objetivo, sempre, era fazer com que os cidadãos comparecessem aos escritórios das quadrilhas para assinar documentos e autorizar a emissão de empréstimos sem a devida anuência.

Seja como for, ao obterem sucesso, as quadrilhas incitam as vítimas a realizarem a transferência do valor creditado na conta para que o investimento em nome delas seja realizado. Após o segundo ou terceiro mês, as devoluções deixam de acontecer e os criminosos desaparecem, bloqueando contato dos clientes fraudados e os deixando, apenas, com as parcelas do empréstimo para serem quitadas.

As centrais de atendimento também estavam engajadas na instalação de malware nos celulares das vítimas, para captação de dados pessoais e bancários para a realização de novas fraudes, envolvendo transferências pelo Pix ou a contratação de crédito. As vítimas, muitas sem intimidade com a tecnologia, só percebiam o rombo quando já era tarde demais.

A recomendação dos especialistas é a procura por instituições reconhecidas para negociações de empréstimo, emissão de cartões, consignados e outras atividades financeiras. O ideal é não atender a chamados não solicitados por telefone, mesmo que sejam constantes e citem dados legítimos.

Cadastros não devem ser preenchidos e informações jamais devem ser repassadas por estes meios. Desconfie, também, de condições boas demais para serem verdade, assim como propostas de investimentos com alto retorno financeiro. Recuse, ainda, a instalação de aplicativos no celular ou a realização de configurações a partir de contatos desse tipo.

Fonte: Canaltech

Microsoft tem recomendado que usuários do Windows 10 instalem o Windows 11… Em computadores não compatíveis. Usuários do sistema operacional de 2015 relatam notificações promovendo o novo software no computador, mas não podem aceitar a oferta por não terem componentes necessários para rodá-lo.

Os relatos foram destacados pelo site MSPowerUser e foram encontrados em máquinas que não possuem o módulo TPM 2.0 ou os 2 GB de RAM necessários para rodar o Windows 11. Assim como toda publicidade que empurra o update para os usuários, essa foi igualmente confusa de contornar, com botões pouco intuitivos e a opção “Recusar upgrade” escondida num dos menus.

 

Ao tentar aceitar a atualização, porém, o processo falha pela falta de requisitos mínimos, o que torna o anúncio ainda mais incômodo.

Atualização pode trazer problemas

Se o Windows Update não encontrasse inconsistências e continuasse o processo de instalação, o usuário poderia ter problemas no computador assim que ele fosse reinicializado pela primeira vez — e a própria Microsoft sabe disso. Instalar o Windows 11 em PCs não compatíveis “não é recomendado” pela empresa e, se o usuário fizer a instalação mesmo assim, deve estar ciente de que pode encontrar problemas de compatibilidade e de desempenho.

Além disso, a Microsoft não se compromete a entregar atualizações ou correções para computadores não compatíveis com o Windows 11. A instalação indevida poderia gerar problemas no futuro, como a exibição da marca d’água no canto superior direito da tela.

Não foi a primeira vez

Essa não é a primeira vez que a Microsoft anuncia o upgrade para Windows 11 em computadores incompatíveis. No fórum de suporte da empresa, há queixas de usuários alvos de publicidade do novo SO em máquinas que não atingem os requisitos mínimos.

O problema se torna ainda mais grave quando os anúncios são encaminhados para usuários sem conhecimento profundo em informática ou mais desatentos quanto aos requisitos mínimos. Encontrar uma mensagem de erro durante a instalação de um sistema operacional divulgado como superior e mais moderno pela Microsoft pode ser assustador e fazê-lo tomar decisões por impulso.

Fonte: Canaltech

Frequentemente analisamos ameaças direcionadas a países e regiões específicas. Aproveitei este início de ano para analisar um pouco mais as campanhas de phishing e ameaças focadas no Brasil, e alguns pontos chamaram a minha atenção.

O primeiro ponto de atenção é que a quantidade de campanhas maliciosas focadas em criar sites falsos da Americanas foi significativamente maior que a de outras lojas de e-commerce. Geralmente os criminosos criam campanhas de diversas lojas conhecidas, sem demonstrar nenhuma “preferência”, mas neste início de ano o cenário foi diferente. A quantidade de lojas falsas que se faziam passar pela Americanas foram, em alguns casos, somaram um total de 40% a mais que outras lojas do mesmo setor.

Não identifico outro motivo para essa preferência por parte dos criminosos que não seja o grade destaque na mídia que a loja recebeu devido aos problemas financeiros apresentados pela empresa. Uma das possíveis lógicas dos criminosos é usar a visibilidade, mesmo que negativa, gerada pela loja para despertar o interesse por falsas promoções presentes em sites que se fazem passar pela página oficial.

O segundo ponto de atenção é qualidade com que os criminosos elaboraram este golpe. Como todos os golpes, essa campanha também possui pontos que permitem identificar que se trata de um conteúdo malicioso. No entanto, é evidente que os criminosos responsáveis por esta campanha desprenderam diferentes esforços para que a página falsa se torna-se mais realista.

Ao iniciar a análise desta campanha percebi que a estrutura do site falso é extremamente parecida com a do verdadeiro, porém possui botões que não realizam função alguma como é o caso do “todos os departamentos” e o botão para realizar o login.

Como de costume, independentemente de quão bem feito seja um golpe, os criminosos costumam não conseguir alterar certos pontos, como o endereço do site (por exemplo) que sempre será diferente do site oficial da loja.

Fonte: WeliveSecurity

A Lei Geral de Proteção de Dados é a principal legislação sobre segurança de informações no ambiente digital no Brasil. Nos últimos dois anos, empresas de todo o país tiveram que adequar seus processos de tratamento de dados para se manterem em dia com as normas previstas na lei. A partir deste cenário, um profissional passou a ter mais relevância nas companhias: o Oficial de Proteção de Dados Pessoais (DPO, da sigla em inglês para Data Protection Officer).

Segundo Antonielle Freitas, DPO do escritório Viseu Advogados, o art. 41 da LGPD prevê a obrigatoriedade do controlador de dados designar uma pessoa ao cargo. Para a especialista, ter um Oficial de Proteção de Dados Pessoais na equipe significa dedicação total à proteção de dados na organização, garantindo a segurança dos colaboradores, e da própria instituição.

“Ele empenhará seus melhores esforços e expertise profissional para assegurar que os tratamentos de dados pessoais estejam em conformidade com os regulamentos globais de privacidade de dados, estabelecendo o padrão e tutelando as informações dos usuários por meio de práticas e padrões éticos”, afirma Freitas.

 

O que faz o DPO?

O DPO é responsável por diversas atividades, não só limitadas ao setor tecnológico e jurídico. Conforme explica a especialista, além de assegurar o cumprimento da legislação local aplicável, ele atua como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Antonielle ainda cita que o § 2º do mesmo artigo, lista as atividades do DPO do seguinte modo:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências e orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Sendo assim, este profissional deve lidar simultaneamente com a segurança das informações que envolvem desde os colaboradores até os vários fornecedores de uma companhia, além de possuir habilidades de gestão e conhecimento de governança.

Diferença entre controlador e operador?

Vale ressaltar que a diferença entre controlador e operador de dados está no poder de decisão. O controlador é o responsável pelas informações, enquanto o operador é quem, a partir das ordens dadas pelo controlador, atua sobre os dados.

Vazamento de Dados

No caso de um vazamento de dados, o DPO participa desde a identificação do incidente até a neutralização da ameaça — é o que explica Antonielle. Ao detectar o vazamento, o profissional deve:

  1. Realizar uma avaliação inicial detalhada do incidente;
  2. Engajar especialistas dos setores afetados para colaborar a qualquer momento que julgar adequado e viável;
  3. Caso seja concluído que o incidente acarretou risco ou dano relevante aos titulares de dados pessoais, o DPO, possivelmente assessorado pela Assessoria de Comunicação, deverá fazer as comunicações obrigatórias por Lei. Essas comunicações podem incluir: (i) agradecimentos ao notificador, (ii) informações para os titulares de dados, (iii) informações à imprensa, bem como (iv) relatórios formais para a ANPD e outras autoridades competentes;
  4. Com o incidente contido e sua resolução encaminhada, o DPO deve agendar e conduzir uma reunião de lições aprendidas, com convidados a seu critério, visando discutir erros e dificuldades encontradas, propor melhorias para os sistemas e processos – inclusive deste Plano de Resposta a Incidentes;
  5. Documentar o incidente em base de conhecimentos apropriada, detalhando as informações obtidas, linha de tempo, atores envolvidos, evidências, conclusões, decisões, autorizações e ações executadas, inclusive as da reunião de lições aprendidas;
  6. Após a neutralização da ameaça, o encarregado (DPO) deve elaborar um relatório circunstanciado de todas as medidas que foram adotadas, apresentando todas as informações relevantes, tais como, informações sobre o incidente em si (quando foi identificado, qual sua natureza, danos ou potenciais danos causados, a extensão, a relevância e a repercussão desses danos, etc).

Previsão de mercado para os DPOs

O mercado de dados está em crescimento, devido à alta demanda de profissionais do setor. Segundo a especialista, a figura do DPO obteve atenção a partir de 2018, com a publicação da LGPD, e foi aumentando com o tempo. Um levantamento do PageGroup de 2021 aponta que estes profissionais recebem até R$ 20 mil por mês — valor bem acima da realidade nacional.

“Com a publicação do Regulamento de dosimetria de sanções neste primeiro trimestre de 2023, possivelmente a aplicação fática das multas pecuniárias evidenciará ainda mais a necessidade deste profissional nas organizações. Daí em diante, é provável que, com a construção de uma cultura nacional em privacidade e proteção de dados, as ofertas de oportunidades na área aumentem ainda mais”, conclui Antonielle.

Fonte: Canaltech

Você precisa de um DPO? Fale com a CITIS.

Divulgação/Palo Alto Networks

Um vírus “à moda antiga” voltou a circular, usando drives USB contaminados como forma de contaminar e roubar dados até mesmo de dispositivos que estejam desconectados da internet. A praga chamada PlugX, que circula pelo menos desde 2008 e já foi usada em ataques com fins políticos, aparece agora em uma nova variante, com técnicas que a permitem escapar até mesmo do próprio usuário.

A versão analisada pelos especialistas da Unit 42, divisão de cibersegurança da Palo Alto Networks, se aproveita de uma versão maliciosa de uma ferramenta de desenvolvimento chamada x32dbg. De código aberto, ela chega em um drive USB contaminado acompanhada de uma DLL maliciosa, que traz o PlugX em seu interior; o vírus busca outros dispositivos conectados e se implanta em todos que conseguir.

Onde há sucesso na contaminação, uma pasta oculta é criada, com atalhos do Windows que simulam ser o destkop ou a lixeira do sistema operacional, com cópias do vírus em seu interior. Quando executada, a praga pode buscar dados salvos no próprio drive USB, com preferência por arquivos nos formados PDF ou compatíveis com o Word, o que indica uma preferência dos criminosos por documentos corporativos e pessoais, que possam conter informações sensíveis para uso em vazamentos, extorsão ou golpes de engenharia social.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Enquanto isso, a disseminação do PlugX para outros drives USB também faz com que ela se espalhe rapidamente e de forma offline, podendo chegar até mesmo a dispositivos desconectados. Novamente, temos um elemento relacionado à espionagem, com a Unit 42 afirmando não saber exatamente como os criminosos responsáveis recuperam os dispositivos com arquivos desviados, mas indicando o acesso físico como a principal maneira para isso.

Enquanto a associação a estados-nação é clara desde os primeiros dias do PlugX, há quase 15 anos, sua versatilidade a tornou uma ferramenta revendida com frequência em fóruns cibercriminosos, o que acabou ampliando seu escopo. Os especialistas não associaram a nova atividade a países ou operações de espionagem específicas, mas não descartam essa possibilidade.

Os pesquisadores também apontam a baixa detecção do PlugX, com apenas 9 dos mais de 60 antivírus listados na plataforma VirusTotal identificando a praga positivamente. Por isso, a recomendação é de atenção na conexão de dispositivos USB desconhecidos e a criação de regras no ambiente corporativo para o uso de aparelhos desse tipo, principalmente em corporações onde também estão presentes sistemas desconectados que podem ser contaminados desta maneira.

Fonte: Canaltech

Python é uma linguagem muito versátil que ganhou bastante destaque nos últimos anos. Acessível para desenvolvedores menos experientes, com centenas de bibliotecas disponíveis ao público e apoiado por uma grande comunidade, o número de desenvolvedores que o utilizam cresceu consideravelmente.

Neste contexto, embora o Python não seja uma das linguagens mais tradicionais para o desenvolvimento de malwares, ele tem sido adotado por muitos cibercriminosos para este fim. Um exemplo disso é o Machete, um backdoor utilizado para fins de espionagem, que visa principalmente órgãos governamentais na América Latina.

Python é uma linguagem interpretada, o que significa que seu código pode ser executado em qualquer plataforma para a qual exista um intérprete. À primeira vista, isto pode parecer benéfico para os cibercriminosos, mas na verdade é um empecilho. Isto porque, para que o malware seja executado no PC da vítima, é necessário que a vítima conte com um intérprete instalado. Alguns sistemas operacionais Linux vêm com uma instalação Python por padrão; entretanto, este não é o caso dos sistemas operacionais Windows, que são os mais visados por cibercriminosos.

Portanto, os desenvolvedores de malware precisam de uma alternativa para poder executar seu código malicioso escrito em Python nos sistemas operacionais Windows, e a solução escolhida para este problema é o uso de software de empacotamento; capaz de pegar um script .py e um .exe executável.

Ao ser independente, este executável conterá toda a funcionalidade maliciosa do script e pode ser executado sem a necessidade de contar com o intérprete Python instalado. Os softwares mais utilizados pelos cibercriminosos para este fim são:

  • Py2exe
  • PyInstaller

Deve-se notar que ambos os programas são legítimos e são usados principalmente pela comunidade de desenvolvedores Python que tentam distribuir facilmente seus desenvolvimentos. Em outras palavras, há muito software benigno que também usa esses programas.

Como os compiladores funcionam?

O objetivo destes programas é pegar um arquivo .py e gerar um .exe executável capaz de rodar no Windows sem nenhum problema. Para conseguir isso, eles compilam o script Python .py para Python .pyc bytecode. Este código .pyc pode ser executado por intérpretes Python. Então, o software também empacota dentro do executável .exe o código correspondente a um intérprete rodando no Windows. Finalmente, o script .py pode usar dependências e bibliotecas específicas, que também devem ser compiladas e incluídas no .exe resultante.

Entretanto, a fim de analisar os malwares que passaram por este processo, será necessário realizar o processo inverso. Comece extraindo o script .pyc compilado contido no executável malicioso com software como unpy2exe ou pyinsxtractor. Em seguida, realize a descompilação do arquivo .pyc extraído usando um descompilador como o Uncompyle6. Desta forma, será possível obter o script malicioso (.py) em texto simples, podendo assim analisá-lo com mais conforto e eficiência.

Software necessário para descompilar

unpy2exe: este é um script Python que pode ser baixado de seu repositório github ou instalado usando o comando “pip install unpy2exe”. Como consideração adicional, se você quiser usar este script em um .exe gerado a partir do código Python 2.x, será necessário ter que executá-lo com o Python 2.x. Por outro lado, se você quiser usá-lo em um .exe gerado a partir do código Python 3.x, é necessário executá-lo com o Python 3.x.

pyinstractor: este é um script Python e pode ser baixado de seu repositório github. Requer, para ser executado, uma versão de Python maior ou igual a 2.7 e, como para unpy2exe, é aconselhável executá-lo com a mesma versão de Python que a usada pelo executável a ser analisado.

Uncompyle6: desenvolvido em Python, este script é capaz de descompilar arquivos .pyc para a maioria das versões. Ele pode ser baixado de seu site oficial ou usando o comando “pip install uncompyle6”. Caso você tenha algum problema para descompilar as versões mais recentes do Python +3.7, há outro projeto derivado deste chamado Decompile3, que está focado nestas versões.

Descompilação de malware empacotado com Py2exe

O processo para descompilar pacotes de malware com Py2exe é muito simples. Começamos executando unpy2exe com o executável malicioso que queremos descompilar como parâmetro e ele irá extrair o código compilado.

Uma vez executado o comando, podemos ver que um novo arquivo com extensão .pyc foi criado. Este arquivo é o bytecode correspondente ao código Python compilado.

Neste ponto, resta descompilar o arquivo .pyc para obter o código fonte do malware em texto simples. Para isso, precisaremos executar o uncompyle6 passando como parâmetro o arquivo .pyc extraído na etapa anterior.

Como podemos ver, o código Python do executável malicioso foi extraído e descompilado com sucesso.

Descompilação de malware empacotados com PyInstaller

O processo de descompilação de malware empacotado com o PyInstaller é semelhante ao dos executáveis empacotados pelo Py2exe, mas requer algumas etapas adicionais.

Começamos executando o pyinstractor.py com o executável malicioso como parâmetro.

Aqui podemos ver que o pyinstractor extraiu com sucesso os arquivos .pyc do executável malicioso. Entre as informações que nos dá há um item que diz “Possible entry point”  e o valor deste será útil na próxima etapa.

Vamos para a pasta “*nomeexecutável*.exe_extraído”, que foi criada pelo pyinstractor, e lá poderemos ver todos os arquivos extraídos.

Entre todos os arquivos extraídos podemos observar um arquivo sem extensão cujo nome é o mesmo que o mencionado no item “Possible entry point” pelo pyinstractor. Geralmente, este arquivo contém o bytecode correspondente ao código principal do executável malicioso.

Entretanto, teremos que modificar o cabeçalho deste arquivo para adicionar o magic number correspondente ao formato .pyc. Para isso, vamos abri-lo com o software HxD.

Aqui podemos ver o conteúdo do arquivo e que o magic number está faltando no início do arquivo. Portanto, este valor deve ser adicionado à primeira posição do arquivo para completar o cabeçalho. O magic number pode variar dependendo da versão do Python usada por aquele bytecode e pode ser copiado e colado de um dos outros arquivos .pyc extraídos pelo pyinstractor (para ter certeza de que estamos adicionando o correto).

Uma vez feito isso, salve o arquivo e mude sua extensão para .pyc para proceder à descompilação usando o Uncompyle6. Basta executá-lo passando o arquivo .pyc recém editado como parâmetro.

Código obtido ao descompilar com o Uncompyle6 o arquivo .pyc reparado na etapa anterior.

Como podemos ver, o código Python do executável malicioso foi extraído e descompilado com sucesso.

Pós-descompilação

Cibercriminosos experientes estão frequentemente cientes de que geralmente é possível obter o código-fonte das ameaças desenvolvidas em linguagens de interpretação ou de script (JS, PS, VBS, Python, etc.). Por esta razão, a fim de tornar as tarefas dos analistas mais difíceis, muitos deles escolhem ofuscar o código antes de compilá-lo. Então, se ao final de todas estas etapas encontrarmos um código incompreensível, será necessário analisá-lo mais cuidadosamente em busca de padrões que correspondam à sintaxe do idioma para revelar a lógica oculta do idioma.

Fonte: Welive Security