Campanhas direcionadas usando estratégias tradicionais continuam fazendo vítimas ao redor do mundo. Gangue de ransomware desaparece abruptamente – mas isso não é bom sinal.
O que você vai ler hoje:
Campanhas exploram proxywares em ataques silenciosos
Microsoft emite alerta de campanha direcionada a clientes do Office 365
Gangue de ransomware Ragnarok desaparece sem explicações e deixa ferramentas de descriptografia disponíveis para vítimas
48 milhões de pessoas têm seus dados violados em hack à T-Mobile
Campanhas exploram proxywares em ataques silenciosos
Cibercriminosos estão mirando em conexões de Internet para lucrar discretamente após infectar dispositivos de usuários com malware.
Os proxywares, também conhecidos como aplicativos de compartilhamento de Internet, são serviços legítimos, que possibilitam aos usuários dividir parte de sua conexão com outros dispositivos, geralmente cobrando uma taxa para isso. Nesses serviços, estão inclusos firewalls e antivírus.
Agora, de acordo com pesquisadores de cibersegurança, recursos de proxyware estão sendo explorados, seguindo lógica semelhante à de ataques cryptojacking – isto é, um software é instalado silenciosamente, seja como componente secundário ou como carga útil principal, aplicando esforços para tentar impedir que a vítima perceba sua presença no dispositivo.
Nos casos documentados, o proxyware é incluído em ataques de vários estágios. A cadeia de ataque geralmente começa quando um software legítimo é agrupado a um instalador de Trojan que contém código malicioso. Quando o software é instalado, o malware é executado paralelamente, instalando um minerador de criptomoeda que rouba recursos do computador sem que seja detectado.
“Essa é uma tendência ainda recente, mas o potencial de crescimento é enorme”, dizem os pesquisadores. “Já é possível observar uma série de abusos por parte de cibercriminosos, que podem ganhar uma quantia significativa de dinheiro com esses ataques. Essas plataformas também representam novos desafios para os pesquisadores, uma vez que não há como identificar uma conexão por meio desse tipo de rede”, concluem.
Microsoft emite alerta de campanha direcionada a clientes do Office 365
Recentemente, a Microsoft emitiu um alerta para os clientes do Office 365, informando-os de que poderiam ser alvo de uma ampla campanha de phishing com o objetivo de roubar credenciais de login e senhas.
A campanha, em andamento, está usando vários tipos de link. Clicar neles resulta em uma série de redirecionamentos, que levam as vítimas a uma página do Google reCAPTCHA, que, por sua vez, leva a uma página de login falsa, onde as credenciais do Office 365 são roubadas.
Esse ataque específico se baseia em um recurso de vendas e e-mail marketing chamado de “redirecionamentos abertos” – amplamente explorado para redirecionar um visitante de um destino confiável para um site malicioso. O Google não classifica os redirecionamentos abertos para URLs do Google como uma vulnerabilidade de segurança, mas exibe um aviso de redirecionamento no navegador.
Além disso, a Microsoft identificou mais de 350 domínios de phishing exclusivos nesta campanha, incluindo domínios de e-mail gratuitos, domínios comprometidos e domínios criados automaticamente pelo algoritmo de geração de domínio do invasor.
Os cabeçalhos de assunto do e-mail foram adaptados à ferramenta que o invasor estava utilizando como isca; podiam ser um alerta de calendário para uma reunião do Zoom, ou uma notificação de spam do Office 365 ou um aviso sobre a política de expiração de senha.
Embora os redirecionamentos abertos não sejam novos, a Microsoft abordou o problema depois de perceber uma campanha de phishing em agosto, que dependia de URLs falsificados da Microsoft. Como medida preventiva, a empresa aconselha usuários a estarem atentos a qualquer e-mail que pareça suspeito, mesmo que redirecione para um domínio confiável da Microsoft.
Gangue de ransomware Ragnarok desaparece sem explicações e deixa ferramentas de descriptografia disponíveis para vítimas
Vítimas da gangue de ransomware Ragnarok dormiram aliviadas no fim de agosto. A gangue – conhecida por ataques em grande escala – encerrou suas operações de forma abrupta e divulgou publicamente as ferramentas necessárias para recuperar os arquivos que seus ataques haviam criptografado.
A gangue ficou conhecida sobretudo por utilizar uma abordagem de dupla extorsão a fim de induzir suas vítimas a pagarem os milhões solicitados como resgate: além de criptografar os arquivos sequestrados, o grupo Ragnarok também roubava os dados e ameaçava publicá-los em um site de vazamento próprio.
Há poucos dias, esse site listava mais de uma dúzia de vítimas. A mais recente havia sido adicionada no dia 16 de agosto.
Agora, porém, ele foi removido. Tudo o que resta é um link para as ferramentas de descriptografia e instruções muito breves sobre como usá-las para recuperar arquivos criptografados.
As razões para o desligamento repentino são desconhecidas e podem nunca vir à tona. Apesar de estar ativo há pouco mais de um ano e meio, o número de ataques bem-sucedidos realizados pela gangue resultou em vários pagamentos substanciais.
É possível que o grupo tenha atingido sua meta e quisesse sair de cena antes de chamar muita atenção das autoridades. Mas se os criminosos desapareceram de vez, também é um mistério.
48 milhões de pessoas têm seus dados violados em hack à T-Mobile
A T-Mobile, uma das maiores empresas de telecomunicações dos Estados Unidos, foi hackeada em agosto e viu informações confidenciais de mais de 50 milhões de clientes atuais, antigos e potenciais serem vazadas.
Nomes, endereços pessoais, CPFs, carteiras de motorista e outros dados identitários de cerca de 48 milhões de pessoas foram violados, em um ataque que veio à tona no dia 16 de agosto.
A T-Mobile divulgou um comunicado uma semana depois confirmando que informações de cerca de 7,8 milhões de clientes foram roubadas na violação. Em seguida, disse que outras 667.000 contas de ex-clientes da T-Mobile tiveram suas informações roubadas junto a um conjunto de dados de 850.000 clientes pré-pagos ativos da T-Mobile, cujos nomes, números de telefone e PINs de contas foram expostos.
O autor do ataque é um cidadão americano de 21 anos chamado John Binns, que revelou sua identidade ao The Wall Street Journal dias depois. Binns não disse se vendeu os dados que roubou, mas informou à Bleeping Computer que já havia vários compradores em potencial interessados nas informações pessoais da base da T-Mobile.
O caso está sendo investigado, mas Binns ainda não foi detido.
Mantenha sua empresa segura. Consulte as soluções da Compugraf e saiba como podemos te ajudar!
