Hackers se organizam para ataques altamente direcionados. Por outro lado, empresas se unem em coalizões de cibersegurança e derrubam algumas das maiores ameaças do mundo.
O que você vai ler hoje:
- Google remove 240 games maliciosos da Play Store
- Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento
- Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo
- Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo
Google remove 240 games maliciosos da Play Store
Pesquisadores de segurança revelaram que 240 aplicativos maliciosos têm bombardeado os usuários do Android com anúncios irrelevantes e suspeitos.
Apelidados de RAINBOWMIX, em homenagem aos jogos retros disponíveis uns anos atrás, os aplicativos mapeados pela campanha parecem, a princípio, legítimos, visto que funcionam como deveriam, apesar da qualidade seja ruim.
Muitos deles são emuladores Nintendo (NES), extraídos de fontes legítimas, ou jogos de baixa qualidade, disse a equipe da White Ops responsável pela pesquisa. Os próprios anúncios também parecem ser legítimos – parecem vir de aplicativos e serviços confiáveis, como o Chrome ou YouTube.
Isso permitiu que os fraudadores contornassem certos protocolos de segurança e se mantivessem sob o radar, levando a milhões de downloads e impressões de anúncios por dia no pico da campanha.
E para evitar serem detectados pelo sistema de segurança da Play Store, os fraudadores usaram um software chamado “empacotador” (packer) – que comprime os arquivos utilizados, de modo que a carga final parece menor, e, em seguida, “desempacota” seu código malicioso em momentos oportunos.
Para isso, o RAINBOWMIX rastreava quando os usuários ligavam e desligavam a tela, para determinar o melhor momento para exibir um anúncio, garantindo que a impressão contasse e também que um anúncio não fosse renderizado quando a tela estivesse desligada.
Desde a descoberta, o Google excluiu todos os aplicativos de sua loja.
“Tínhamos detectado anteriormente a maioria dos aplicativos em questão e elogiamos a White Ops por compartilhar suas descobertas, que pudemos confirmar de forma independente”, declarou um porta-voz da empresa à Forbes.
“Quando encontramos violações da política, tomamos medidas, e o Google continua a fazer investimentos significativos para proteger nossos usuários e suas experiências.”
Sites falsos da Amazon exploram Prime Day na tentativa de roubar credenciais de pagamento
De acordo com um grupo de pesquisadores da Check Point, a Amazon removeu um número excepcionalmente alto de domínios maliciosos projetados para imitar o marketplace dias antes de seu “saldão online” que deve movimentar milhões mundialmente, o Prime Day.
Esses domínios maliciosos tentam imitar a gigante do comércio eletrônico incluindo as palavras “Amazon” e “Prime” em seus sites e URLs, na tentativa de enganar os consumidores para que forneçam seus dados pessoais.
Para se ter uma ideia da rápida movimentação dos cibercriminosos, nos últimos 30 dias, por exemplo, houve um aumento de 21% no número de registros de domínios que contêm a palavra “Amazon”, afirmam os pesquisadores, sendo 28% deles maliciosos e 10%, suspeitos.
Além disso, o número de domínios registrados contendo as palavras “Amazon” e “Prime” dobrou no último mês, e 20% desses domínios são maliciosos.
“Este ano, vimos um aumento significativo no interesse de hackers na Amazon. No primeiro trimestre, a Amazon representou apenas 1% de todos os ataques de phishing associados a marcas. No segundo trimestre, porém, a Amazon chegou ao topo das marcas mais copiadas por hackers, ao lado do Google”, disse Maya Levine, engenheira de segurança da Check Point.
“Espera-se que essa tendência continue, durante e após o Amazon Prime Day. Os compradores devem ser especialmente cautelosos ao navegar em sites fraudulentos. Nossa pesquisa indica que os navegadores da web foram visados em 61% de todos os ataques de phishing no segundo trimestre.”
Coalizão formada pela Microsoft e parceiros derruba uma das maiores botnets de malware do mundo
Uma coalizão de empresas de tecnologia anunciou hoje um esforço coordenado para derrubar a infraestrutura de back-end do botnet de malware TrickBot.
As empresas e organizações que participaram da derrubada incluíram a equipe Defender da Microsoft, FS-ISAC, ESET, Black Lotus Labs da Lumen, NTT e a divisão de segurança cibernética da Broadcom, Symantec.
Em uma estratégia conjunta que durou meses, todos os participantes realizaram investigações aprofundadas sobre a infraestrutura de back-end de servidores e módulos de malware do TrickBot.
Foram mais de 125.000 amostras de malware coletadas. Em seguida, os membros da coalizão se demoraram analisando seu conteúdo e extraindo e mapeando informações sobre o funcionamento interno do malware, incluindo todos os servidores que o botnet usou para controlar computadores infectados e servir módulos adicionais.
Com essas informações em mãos, a Microsoft foi ao tribunal em outubro de 2020 e pediu a um juiz que lhe concedesse controle sobre os servidores TrickBot.
“Diante das evidências, o tribunal concedeu aprovação para a Microsoft e nossos parceiros desabilitarem os endereços de IP, tornarem o conteúdo armazenado nos servidores de comando e controle inacessíveis, suspender todos os serviços para os operadores de botnet e bloquear qualquer esforço dos operadores TrickBot para comprar ou alugar servidores adicionais “, disse a Microsoft em um comunicado à imprensa.
Esforços estão sendo feitos em conjunto com provedores de serviços de Internet (ISPs) e equipes de prontidão de emergência de computadores (CERTs) em todo o mundo para notificar todos os usuários infectados.
De acordo com os membros da coalizão, o botnet TrickBot havia infectado mais de um milhão de computadores no momento de sua queda. Alguns desses sistemas infectados também incluem dispositivos da Internet das Coisas (IoT).
Grupo mercenário de hackers desenvolve ataques extremamente personalizados a alvos ao redor do mundo
Autointitulado Bahamut, um grupo mercenário de hackers tem realizado extensas operações em todo o mundo, se valendo de ataques multifacetados, que foram recentemente detalhados por pesquisadores de segurança cibernética da BlackBerry.
As campanhas parecem estar em operação desde pelo menos 2016.
“O grupo não é apenas responsável por uma variedade de casos não resolvidos que atormentaram os pesquisadores por anos. Nós também descobrimos que o Bahamut está por trás de uma série de campanhas de phishing e coleta de credenciais extremamente direcionadas e elaboradas, centenas de novas amostras de malware do Windows, zero-day exploits, táticas de evasão de antivírus forense e muito mais.”
Em alguns casos, o Bahamut é conhecido por monitorar seus alvos por um ano ou mais antes de finalmente chegar ao que eles consideram o melhor momento para ataque.
E uma das estratégias pelas quais o grupo tem comprometido suas vítimas é por meio de uma rede de sites, aplicativos e até mesmo personas inteiras meticulosamente elaboradas. Tudo isso é projetado para se adaptar a alvos em potencial, a fim de obter uma noção mais clara das notícias em que eles estão interessados - e nas quais poderiam clicar – a fim de, eventualmente, realizar um ataque de phishing ou malware.
Mas além de malware e engenharia social, o Bahamut também emprega o uso de aplicativos móveis maliciosos para usuários de iPhone e Android, projetados de forma personalizada para atrair certos grupos e usuários de um determinado idioma.
Ao instalar um dos aplicativos maliciosos – a lista completa é detalhada no relatório oficial da BlackBerry – o usuário está instalando uma porta dos fundos em seu dispositivo que os invasores podem usar para monitorar todas as atividades das vítimas, como a capacidade de ler seus mensagens, ouvir suas chamadas, monitorar sua localização e outras atividades de espionagem.
Divulgando suas descobertas, a BlackBerry espera ser capaz de ajudar a conter a atividade do grupo. Porém, é preciso estar alerta, pois a melhor forma de combatê-lo é evitando que eles tenham acessos às vulnerabilidades das redes corporativas de seus potenciais alvos.
Mantenha sua empresa segura. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!