Cloudflare é vítima de ataque direcionado de phishing
O ataque só foi impedido devido ao uso de hard keys, e a empresa alerta que os cibercriminosos responsáveis vão mirar em outras organizações
A Cloudflare, provedora de serviços em nuvem, detalhou recentemente o que foi descrito como um “ataque de phishing direcionado” contra sua equipe – que só foi impedido de causar danos significativos à organização porque todos os funcionários são obrigados a usar autenticação multifator (MFA) na forma de chaves de segurança físicas para acessar seus aplicativos.
Assim, mesmo com os nomes de usuário e senhas corretos, os invasores não podiam acessar as contas e nenhum sistema foi comprometido.
De acordo com pesquisadores de segurança cibernética da Cloudflare, foi um ataque sofisticado, direcionado a funcionários e sistemas: “de tal forma que acreditamos que a maioria das organizações provavelmente seria violada”.
A Cloudflare detalhou o ocorrido porque acreditam que o cibercriminoso ainda está visando várias organizações e pode fazer novas vítimas.
O incidente na Cloudflare
O incidente começou em 20 de julho, quando pelo menos 76 funcionários da Cloudflare receberam mensagens de phishing em seus telefones corporativos ou pessoais apontando para o que parecia ser a página de login Okta da Cloudflare. Estranhamente, algumas das mensagens de phishing também foram enviadas para familiares de alguns dos funcionários.
Não se sabe como o invasor conseguiu os números de telefone, mas as mensagens – todas enviadas em menos de um minuto – alegaram que “sua programação do Cloudflare foi atualizada”. Além disso, instruíram os alvos a clicar em um link oficial do Okta para Cloudflare, que pedia a qualquer pessoa que o visitasse para inserir seu nome de usuário e senha. Se alguém que clicou no link fez isso, passou seu nome de usuário e senha para os invasores.
De acordo com a Cloudflare, três funcionários que receberam a mensagem de phishing inseriram suas credenciais. No entanto, os invasores não puderam fazer nada com os detalhes de login roubados devido à exigência da Cloudflare de que os funcionários usem uma chave de hardware ao entrar.
Havia também um elemento adicional de mensagens de phishing projetadas para baixar software de acesso remoto na máquina da vítima, o que permitiria que o invasor o controlasse remotamente. No entanto, a Cloudflare diz que nenhuma das vítimas da empresa chegou a esse estágio e seus sistemas de segurança de endpoint impediriam a instalação de software não-autorizado.
Após detectar o ataque, a Cloudflare bloqueou o domínio de phishing para impedir que os funcionários pudessem acessá-lo.
A empresa também identificou os funcionários que receberam as mensagens de texto de phishing e seguiram o link para inserir suas credenciais. Esses funcionários tiveram suas senhas redefinidas e foram desconectados de todas as sessões ativas para evitar qualquer acesso não-autorizado.
A Cloudflare também agiu rapidamente para derrubar o domínio usado nos ataques de phishing – configurado menos de uma hora antes do início da campanha. A empresa também usou o incidente para incorporar mecanismos de detecção adicionais em suas defesas para ajudar a identificar quaisquer campanhas futuras dos mesmos invasores – essas informações também foram compartilhadas com outras organizações visadas.
O que a Cloudflare gostaria que outras empresas soubessem
Embora o ataque de phishing tenha sido impedido com sucesso, a Cloudflare diz que ainda há lições que podem ser aprendidas com o incidente, incluindo por exemplo “ter uma cultura ‘paranoica’, mas livre de culpa, é fundamental para a segurança”.
A empresa também diz que o incidente demonstra o quão eficaz é o uso de chaves físicas para proteger pessoas e redes, porque apesar de os invasores obterem acesso a credenciais de login legítimas, a falta de uma chave significava faz com que não possam explor. “Não vimos nenhum ataque de phishing bem-sucedido desde a implantação das hard keys”, disse a Cloudflare.
Os pesquisadores sugerem que aqueles por trás dessa campanha ainda podem estar por aí, tentando atingir outras pessoas – e a Cloudflare espera que, ao compartilhar o que aconteceu, ajude outras vítimas a se protegerem de ataques.
Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Cibercriminosos exploram vulnerabilidades de segurança antigas no Microsoft Office
Falhas que ainda não foram corrigidas por empresas continuam a representar alto risco para as organizações
Cibercriminosos estão explorando vulnerabilidades de segurança no Microsoft Office, conhecidas há anos por infectar PCs com malware. Os ataques reforçam a importância de se aplicar atualizações de segurança cibernética.
Conforme detalhado por pesquisadores de segurança cibernética da Fortinet, os cibercriminosos estão aproveitando essas falhas não-corrigidas para distribuir SmokeLoader, uma forma de malware que é instalada em dispositivos Windows. A intenção é entregar uma carga adicional de malware que inclui o já conhecido Trickbot, uma variedade de backdoors e trojans.
Ambas as vulnerabilidades foram divulgadas há quase cinco anos, mas o fato de estarem sendo usadas para distribuir o SmokeLoader demonstra que ainda são eficazes e que muitas organizações ainda não realizaram os patches necessários.
Vulnerabilidades na Microsoft exploradas por cibercriminosos
A primeira é a CVE-2017-0199, uma vulnerabilidade no Microsoft Office que surgiu pela primeira vez em 2017 e que permite que invasores baixem e executem scripts do PowerShell em redes comprometidas, fornecendo-lhes a capacidade de obter acesso adicional aos sistemas.
A segunda é a CVE-2017-11882, um buffer overflow (transbordamento de dados) no Microsoft Office que permite a execução remota de códigos maliciosos.
Os patches de segurança para ambas as vulnerabilidades estão disponíveis desde que foram divulgados publicamente, há cinco anos.
Phishing é o ataque inicial para distribuição de malware
Como em muitas outras campanhas de malware, os criminosos cibernéticos usam e-mails de phishing para coagir as vítimas a cair no ataque.
Nesse caso, os pesquisadores detalham que o e-mail solicita que o destinatário revise um pedido de compra e prazo de envio para confirmar se estão corretos. O e-mail tenta parecer o mais legítimo possível, incluindo uma assinatura completa com detalhes de contato relacionados.
Para ver o que é supostamente uma ordem de compra, o usuário é solicitado a abrir um documento do Microsoft Office que possui “proteções” em vigor. O usuário, então, é solicitado a habilitar a edição para vê-lo e é isso que permite que o documento malicioso execute o código necessário para explorar as vulnerabilidades, infectando o dispositivo da vítima com malware.
“Embora a CVE-2017-0199 e a CVE-2017-11882 tenham sido descobertas em 2017, elas ainda estão sendo explorados ativamente nesta e em outras campanhas de malware”, informa o relatório. “Isso demonstra que os criminosos ainda atingem seus objetivos confiando em vulnerabilidades antigas, muitas vezes vários anos depois de serem descobertas, e apostando que as soluções afetadas não tenham sido corrigidas”.
As vulnerabilidades de segurança não-corrigidas continuam sendo um dos vetores de ataque mais comuns para cibercriminosos, muitos dos quais buscam ativamente sistemas e servidores vulneráveis.
Os pesquisadores observam que o SmokeLoader é usado para entregar variações de ameaças, como o ransomware, que podem causar prejuízos gigantescos às vítimas.
Portanto, é vital que as organizações apliquem as atualizações de segurança o mais rápido possível para evitar ataques de malware.
Você pode contar com camadas adicionais de segurança na sua empresa. Conheça as soluções da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Hackers recorrem a serviços de armazenamento em nuvem para esconder seus ataques
Pesquisadores de segurança cibernética detalham ataques que exploram serviços de nuvem legítimos na tentativa de acessar dados confidenciais
Uma campanha de invasão e espionagem cibernética está abusando de serviços de nuvem legítimos como parte de uma operação para roubar informações confidenciais de alvos importantes.
Organizações em todo o mundo usam serviços em nuvem para realizar operações diárias, principalmente após a adesão ao trabalho remoto ou híbrido como consequência da pandemia do novo coronavírus.
No entanto, não são apenas as empresas e os colaboradores que estão usufruindo dos serviços em nuvem.
APT explora serviços como Dropbox e Google Drive para ataques
De acordo com pesquisadores de segurança cibernética da Unit 42, da Palo Alto Networks, é exatamente isso que os hackers que trabalham em nome de um grupo de ameaças persistentes avançadas (APT) apelidado de Cloaked Ursa – também conhecido como APT29, Nobelium e Cozy Bear – estão fazendo.
Acredita-se que o grupo esteja ligado ao Serviço de Inteligência Estrangeira da Rússia (SVR), responsável por vários ataques cibernéticos importantes, incluindo o ataque à cadeia de suprimentos contra a SolarWinds, o hack do Comitê Nacional Democrata dos EUA (DNC) e campanhas de espionagem direcionadas a governos e embaixadas ao redor do mundo.
Agora, eles estão tentando usar serviços de nuvem legítimos, como o Google Drive e o Dropbox – e já usaram essa tática como parte de ataques que ocorreram entre maio e junho deste ano.
Os ataques começam com e-mails de phishing enviados para alvos em embaixadas europeias, se passando por convites para reuniões com embaixadores e com uma suposta agenda anexada em PDF.
O PDF é malicioso e, se funcionasse como pretendido, chamaria uma conta do Dropbox administrada pelos invasores para entregar secretamente o Cobalt Strike – uma ferramenta de teste de penetração popular entre cibercriminosos – ao dispositivo da vítima. No entanto, essa chamada inicial não teve sucesso no início deste ano, algo que os pesquisadores sugerem que se deve a políticas restritivas em redes corporativas sobre o uso de serviços de terceiros.
Mas os invasores se adaptaram, enviando e-mails de phishing semelhantes como uma segunda isca, mas usando a comunicação com as contas do Google Drive para ocultar suas ações e implantar o Cobalt Strike e cargas úteis de malware nos ambientes de destino. Parece que essa greve não foi bloqueada, provavelmente porque muitos locais de trabalho usam aplicativos do Google como parte das operações diárias, portanto, bloquear o Drive seria visto como ineficiente para a produtividade.
“Os invasores continuarão a inovar e encontrar maneiras de evitar a detecção para atingir seus objetivos. Usar o Google Drive e o DropBox é uma maneira de baixo custo para alavancar aplicativos confiáveis”, disse um pesquisador da Unit 42.
“Em termos simples, significa que você pode facilmente obter um número X de contas do Google gratuitamente e usá-las para coletar informações e hospedar malware. Você não precisa mais comprar sua infraestrutura C2 típica, que pode ser facilmente bloqueada”.
É preciso estar alerta para as ameaças a sistemas em nuvem
Como muitas campanhas dessa natureza, é provável que a intenção fosse usar malware para criar um backdoor em uma rede infectada e roubar informações confidenciais, seja para uso em novos ataques ou para serem exploradas de outras maneiras. A Unit 42 não detalhou se as campanhas se infiltraram com sucesso nas redes ou não.
A Unit 42 alertou tanto o Dropbox quanto o Google sobre abuso de seus serviços e medidas foram tomadas contra as contas usadas como parte de ataques.
“O Grupo de Análise de Ameaças do Google acompanha de perto a atividade do APT29 e troca informações regularmente com outras equipes de inteligência de ameaças, como a Palo Alto Networks, para o bem do ecossistema de segurança global. Nesse caso, estávamos cientes da atividade identificada neste relatório e já havíamos medidas proativas para proteger quaisquer alvos em potencial”, disse Shane Huntley, diretor sênior do Grupo de Análise de Ameaças do Google, à imprensa.
“Podemos confirmar que trabalhamos com nossos parceiros do setor e os pesquisadores sobre esse assunto e desativamos as contas de usuário imediatamente”, declarou um porta-voz do Dropbox.
O uso de serviços em nuvem oferece muitos benefícios para empresas e funcionários, mas é importante garantir que a segurança de aplicativos e serviços em nuvem seja gerenciada adequadamente para evitar que essas ferramentas sejam exploradas por criminosos cibernéticos.
Quer manter sua empresa protegida? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Novo malware se torna uma das principais ameaças para Android
O MaliBot surgiu em junho, mas já se tornou uma das variações mais prolíficas de malware voltada para usuários de Android
Descoberto pela primeira vez em junho, o MaliBot – uma variação poderosa de malware bancário – rouba senhas, detalhes financeiros e o conteúdo de carteiras de criptomoedas dos usuários. Pior do que isso, extrai esses dados ignorando as proteções de autenticação multifator.
O malware também pode acessar mensagens de texto, roubar cookies de navegadores e fazer capturas de tela dos dispositivos Android infectados.
Além disso, o MaliBot também pode se espalhar sequestrando recursos de SMS para enviar mensagens maliciosas a outros usuários – uma técnica semelhante à que permitiu que outro malware prolífico, o FluBot, se tornasse tão bem-sucedido antes de ser derrubado por uma ação coordenada da força legislativa europeia, em maio de 2022.
Apesar de recente, MaliBot é uma forma altamente avançada de malware
De acordo com pesquisadores de segurança cibernética da Check Point, MaliBot foi o terceiro malware mais perigoso direcionado aos usuários do Android, preenchendo a lacuna deixada pelo FluBot.
“Embora seja sempre bom ver a aplicação da lei bem-sucedida em derrubar grupos de crimes cibernéticos ou malwares como o FluBot, infelizmente não demorou muito para que um novo malware tomasse seu lugar”, disse Maya Horowitz, vice-presidente de pesquisa da Check Point.
Antes do MaliBot, o malware para Android mais comumente detectado pela Check Point em junho de 2022 foi o AlienBot, uma família de malware-as-a-service que permite que invasores remotos injetem código malicioso em aplicativos financeiros legítimos, permitindo que eles acessem informações confidenciais em contas e, eventualmente, tomem o controle total do dispositivo.
O segundo malware para Android mais detectado no mês foi o Anubis, um trojan bancário, que foi descoberto pela primeira vez em 2016 e continua sendo uma ameaça ativa.
“Os criminosos cibernéticos estão bem cientes do papel central que os dispositivos móveis desempenham na vida de muitas pessoas e estão sempre adaptando e aprimorando suas táticas para corresponder às medidas de segurança. O cenário de ameaças está evoluindo rapidamente e o malware móvel é um perigo significativo para a segurança pessoal e corporativa “, pontua a Checkpoint.
Os dispositivos móveis são um alvo tentador para os criminosos cibernéticos porque contêm uma grande quantidade de dados pessoais que podem ser explorados – e muitos usuários não sabem que seu smartphone é algo que pode ser infectado por malware.
Para se proteger, os usuários devem suspeitar de qualquer mensagem de texto inesperada solicitando que eles cliquem em um link, pois essa é uma maneira comum de entrega de malware para dispositivos móveis.
Também é recomendável que os usuários baixem aplicativos de fontes confiáveis, como a Google Play Store, para ajudar a manter a segurança do seu dispositivo.
No entanto, o malware ocasionalmente ignora as proteções da Play Store e se disfarça entre aplicativos que parecem legítimos. Os usuários devem ser cautelosos ao baixar novos aplicativos de desenvolvedores que apenas fornecem algumas informações básicas, o que é um sinal de que o aplicativo pode ser um perfil cujo objetivo final é para distribuir malware.
Os usuários também devem estar atentos aos comentários: muitos comentários negativos podem sugerir que o aplicativo não está funcionando como anunciado e que ele pode ser um malware.
Mantenha os dispositivos da sua empresa seguros. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Violação de tokens expõe fotos de usuários da Amazon
Hackers violaram tokens de autenticação de usuários da Amazon e podem ter roubado ou criptografado fotos e documentos pessoais
O aplicativo Amazon Photos, para Android, deixou uma vulnerabilidade exposta e invasores violaram os tokens de acesso de seus usuários, de acordo com uma divulgação publicada no mês de julho de 2022.
Teoricamente, com esses tokens de acesso, um invasor pode roubar dados pessoais dos usuários de vários aplicativos diferentes da Amazon – por exemplo, o Amazon Drive. Eles também podem ter aproveitado o acesso para realizar um ataque de ransomware, bloqueando ou excluindo permanentemente fotos, documentos e outros arquivos importantes.
As descobertas foram relatadas pela primeira vez ao Programa de Pesquisa de Vulnerabilidade da Amazon, em 7 de novembro de 2021.
Em 18 de dezembro, a Amazon anunciou que os problemas haviam sido totalmente resolvidos.
Tokens soltos
Para autenticar usuários nos diversos aplicativos de seu ecossistema, a Amazon usa códigos de acesso (tokens) que funcionam como a “assinatura eletrônica” de cada usuário.
Embora seja altamente conveniente para os usuários, é, também, potencialmente útil para os cibercriminosos.
Em um relatório que descreve os potenciais riscos do vazamento desses tokens, pesquisadores mostram que eles vazaram “naturalmente” por meio de uma interface de programação de aplicativos (API) da Amazon devido a “uma configuração incorreta da com[.]amazon[.]gallery[.]thor[.]app[.]activity[ .]ThorViewActivity, que é exportado implicitamente no arquivo-manifesto do aplicativo”.
Os “arquivos-manifestos” descrevem informações críticas do aplicativo para o sistema operacional Android e para o Google Play – “permitindo, assim, que aplicativos externos o acessem. Sempre que essa atividade é iniciada, ela aciona uma solicitação HTTP que carrega um cabeçalho com o token de acesso do cliente.”
Em um vídeo explicativo, eles sugerem que é como “a senha sendo enviada para outros aplicativos em texto simples”.
Além de aplicativos de terceiros – o que possibilitou a violação -, o token desprotegido também foi compartilhado com o Amazon Drive – aplicativo da Amazon usado para armazenamento e compartilhamento de arquivos.
Cibercriminosos podem ter roubado e excluído dados
Existem várias formas de um invasor usar os tokens de acesso violados para mobilizar ataques cibernéticos.
Por exemplo, com um aplicativo malicioso instalado no telefone da vítima – usualmente via malware -, eles podem redirecionar o token de modo a “que efetivamente acione uma solicitação malicioso para ser enviada a um servidor controlado pelo invasor”. A partir daí, o invasor poderia acessar todos os tipos de informações pessoais que uma vítima armazenou no Amazon Photos.
Como os tokens também vazaram para o Amazon Drive, os criminosos podem ter encontrado, lido ou até mesmo excluído de forma irrecuperável arquivos e pastas na conta de uma vítima.
E “com todas essas opções disponíveis”, especularam os pesquisadores, “é fácil criar um cenário de ransomware como provável vetor de ataque. Um cibercriminosos precisaria simplesmente ler, criptografar e reescrever os arquivos do cliente enquanto apagava seu histórico.”
Não está claro quantos aplicativos poderiam ter sido acessados com esses tokens, pois apenas um pequeno número de APIs da Amazon foi analisado para o relatório. O alcance real poderia ser um pouco maior.
Quer manter os arquivos da sua empresa protegidos? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Microsoft alerta sobre ataque de phishing que já atingiu mais de 10.000 empresas
Campanhas de phishing estão usando proxies da Web para imitar páginas de login corporativas, fazendo com que cibercriminosos consigam burlar a autenticação multifator
Recentemente, a Microsoft alertou sobre uma campanha de phishing de grande escala, que atingiu mais de 10.000 organizações desde setembro de 2021.
Utilizando recursos de AiTM (adversary-in-the-middle), esses sites de phishing podem ignorar medidas de segurança mesmo quando o usuário habilita a autenticação multifator (MFA).
O ataque envolve o sequestro da sessão de login de um usuário e o uso de credenciais roubadas e cookies de sessão para acessar o e-mail das vítimas via fraude de comprometimento de e-mail corporativo (BEC).
A MFA é uma das principais maneiras pelas quais as organizações podem se proteger contra ataques de phishing e roubo de credenciais. A administração do presidente Biden tornou a MFA obrigatória para agências federais, enquanto outras organizações, como a Python Software Foundation, estão tornando a MFA um requisito mínimo para projetos críticos. A Microsoft também está tentando facilitar a MFA entre organizações para evitar ataques à cadeia de suprimentos.
Mas mesmo essa medida de segurança já não parece o suficiente.
Como funciona o ataque de phishing AiTM
Os ataques de phishing AiTM envolvem a implantação de um servidor proxy entre a vítima e o site que a vítima pretende visitar. Esse servidor é gerido pelo criminoso.
Logo, não é que a MFA não funcione, nesse caso, mas como o cookie de sessão do navegador foi roubado, não importa como o usuário fez login em um site – o invasor ainda é autenticado graças ao cookie roubado.
“Todo serviço web moderno implementa uma sessão com um usuário após a autenticação bem-sucedida, para que o usuário não precise ser autenticado a cada nova página que visita”, explica a Microsoft.
“Esta funcionalidade de sessão é implementada através de um cookie de sessão fornecido por um serviço de autenticação após a autenticação inicial. O cookie de sessão é uma prova para o servidor web de que o usuário foi autenticado e tem uma sessão em andamento no site. No phishing AiTM, um invasor tenta obter o cookie de sessão de um usuário de destino para que ele possa pular todo o processo de autenticação subsequente”.
Nos ataques que a Microsoft destaca, os criminosos corromperam a página de entrada do Azure Active Directory (Azure AD). Depois que a vítima insere suas credenciais e se autentica, ela é redirecionada para a página legítima. Mas durante esse processo, o invasor intercepta as credenciais e também é autenticado em nome do usuário.
Como a Microsoft detalha em um diagrama, a página de phishing tem duas sessões diferentes de Transport Layer Security (TLS): a primeira sessão com o indivíduo-alvo e outra sessão com o site que a vítima deseja acessar.
“Essas sessões significam que a página de phishing praticamente funciona como um agente AiTM, interceptando todo o processo de autenticação e extraindo dados valiosos das solicitações HTTP, como senhas e, mais importante, cookies de sessão. em seu navegador para pular o processo de autenticação, mesmo se a MFA do alvo estiver habilitada”, observou a Microsoft.
A empresa também identificou uma campanha em que os invasores enviaram e-mails com um anexo de arquivo HTML instruindo as vítimas a abrir uma mensagem de voz. Esse estilo de ataque, uma forma de vishing ou phishing de voz, está em alta e é usado com mensagens gravadas no LinkedIn e WhatsApp.
Após abrir o arquivo HTML anexado, ele é carregado no navegador do usuário e exibe uma página informando que a mensagem de voz está sendo baixada. Nenhum arquivo MP3 está sendo baixado, porém, mas os invasores codificaram uma barra de progresso de download no arquivo para fazer parecer que isso estava acontecendo.
Embora os ataques de AiTM sejam difíceis de detectar, a Microsoft diz que os clientes devem configurar o Acesso Condicional no Azure AD para mitigá-los e monitorar e-mails e sites recebidos em busca de ameaças de phishing.
Você também pode manter sua empresa segura com medidas de proteção adicionais. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Novo malware para Linux rouba dados sem que o usuário perceba
Ameaça recém-descoberta, Orbit é um malware para Linux que infecta máquinas e rouba informações de forma sigilosa
Uma variação recém-descoberta de malware para sistemas Linux cria um backdoor em máquinas e servidores infectados, permitindo que criminosos cibernéticos roubem informações confidenciais, ao mesmo tempo em que mantêm a persistência na rede, sem que o usuário perceba que algo de errado está acontecendo.
Detalhado por pesquisadores de segurança cibernética em julho de 2022, o malware que ainda não havia sido identificado, embora não pareça tão recente assim, foi chamado de Orbit por conta dos nomes de arquivos usados para armazenar temporariamente a saída de comandos executados pelos cibercriminosos.
Malware para Linux é evolução de ameaças antigas e conhecidas
O Linux é um sistema operacional popular para servidores e infraestrutura em nuvem, o que o torna um alvo tentador para criminosos cibernéticos. Muitas empresas – incluindo grandes corporações do setor de tecnologia e de finanças – utilizam Linux como seu sistema principal.
O malware Orbit, em específico, possibilita acesso remoto a esses sistemas altamente estratégicos, permitindo que os criminosos roubem nomes de usuário e senhas e registrem comandos TTY – as entradas feitas no terminal Linux – de forma sigilosa.
Além disso, o malware pode infectar processos em execução na máquina, permitindo que os hackers assumam o controle do sistema necessário para monitorar e roubar informações, além de manter um backdoor para os sistemas comprometidos.
Como funciona o malware Orbit
Uma vez instalado, o Orbit configura uma conexão remota com o dispositivo e conecta funções no Linux Pluggable Authentication Module. Ao fazer isso, o malware pode roubar informações de conexões SSH (Secure Shell Protocol), fornecendo acesso remoto aos invasores, ao mesmo tempo em que oculta a atividade de rede da vítima.
O Orbit também foi projetado para ser altamente persistente, dificultando a remoção da ameaça de um dispositivo infectado durante sua execução. Ele faz isso adicionando instruções de que o malware deve ser carregado antes de qualquer outro processo.
O malware também está configurado para evitar a detecção, impedindo que informações que possam revelar a existência do Orbit sejam detectadas, manipulando as saídas para evitar detalhar atividades maliciosas.
“Ao contrário de outras ameaças, esse malware rouba informações de diferentes comandos e utilitários e as armazena em arquivos específicos na máquina”, disseram os pesquisadores de segurança que reportaram a ameaça.
Malwares que visam o Linux continuam a evoluir, mas permanecem sob o radar das ferramentas de segurança. E, agora, “o Orbit é mais um exemplo de como um novo malware evasivo e persistente pode comprometer as medidas de segurança”.
Para se proteger, as empresas devem garantir que sua configuração de nuvem seja gerenciada adequadamente para evitar pontos fracos como esse que podem permitir a entrada de invasores nas redes.
Também é importante contar com uma variedade de soluções de segurança, que protejam de forma holística o sistema e a rede das organizações.
Além disso, é fundamental que o time esteja preparado para lidar com arquivos suspeitos ou estratégias de phishing que podem acarretar na infecção de seus dispositivos por malware.
Quer manter seu negócio seguro? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Ministério da Justiça lança Operação 404 contra o crime no metaverso
Os aplicativos e serviços de streaming desativados como parte da operação de combate ao cibercrime também capturaram informações pessoais de usuários
O Ministério da Justiça e de Segurança Pública do Brasil anunciou que realizou sua primeira busca dentro do metaverso como parte de uma operação que visa combater a pirataria digital e crimes contra a propriedade intelectual, bem como o roubo de dados em ambientes digitais.
Apelidada de Operação 404, a iniciativa está em sua quarta iteração.
Centenas de sites, contas falsas e aplicativos foram desativados pela Operação 404
Em 21 de junho de 2022, as autoridades brasileiras prenderam pelo menos uma dúzia de indivíduos em vários estados do país, com vários perfis e páginas falsas nas redes sociais. Essas contas foram suspensas como parte da operação.
Além disso, cerca de 266 sites ilegais foram desativados, bem como 53 sites do Reino Unido e seis dos Estados Unidos, associados à pirataria. Mais de 700 aplicativos de streaming e 461 aplicativos de música, com milhões de usuários ativos, foram bloqueados. Quatro canais que transmitiam conteúdos ilegais também foram retirados do ar, além de 90 vídeos.
Pirataria e roubo de dados: os riscos que usuários correm no metaverso
Esta foi a primeira vez que as investigações da Operação 404 ocorreram no metaverso – realidade virtual à qual usuários podem se conectar de forma imersiva por meio de dispositivos digitais. O foco principal da operação é combater a violação de direitos autorais, que gera prejuízos anuais de 15 bilhões de reais (US$ 2,8 bilhões) ao redor do país, mas, sendo bem-sucedida, tem ajudado a combater também o cibercrime que já ocupa esses espaços digitais.
“Os criminosos divulgavam eventos nas redes sociais e faziam transmissões ilegais. Nossa luta contra a pirataria é constante. Estamos cada vez mais nos especializando em coibir essas práticas e identificar novos crimes”, afirma Alessandro Barreto, coordenador do Laboratório de Operações Cibernéticas da Secretaria de Operações Integradas do Ministério da Justiça e Segurança (SEOPI).
E, de acordo com o Cyber Operations Lab da SEOPI, ou CyberLab, cerca de 75% dos aplicativos e serviços de streaming investigados capturavam informações do usuário sem autorização – o que, dependendo dos dados roubados e do que eles conseguem fazer com eles, também implicaria em sanções pela Lei Geral de Proteção de Dados em vigor no país.
Mais grave ainda, as autoridades constataram que, por meio da rede do usuário, é possível acessar dados como e-mail, senhas e cadastros bancários. Os indivíduos investigados também usaram dispositivos de transmissão e conteúdo conhecidos como “caixas” para roubar dados pessoais de milhares de usuários.
A pena para pirataria digital no Brasil é de dois a quatro anos de reclusão e multa.
Os indivíduos investigados na Operação 404 também podem ser indiciados por associação criminosa e lavagem de dinheiro, de acordo com as autoridades.
Mantenha-se atualizado nas principais novidade da segurança da informação. Compartilhe este artigo e acompanhe o blog da Compugraf!
- Published in Noticias
Google: metade dos bugs zero-day acontecem por conta de patches incompletos
Projeto que combate zero-days do Google descobre que soluções superficiais estão contribuindo para cenário catastrófico de ciberataques
Metade dos 18 bugs zero-day que foram explorados antes de um patch estar disponível publicamente em 2022 poderiam ter sido evitados se os principais fornecedores de software criassem patches mais completos e fizessem mais testes.
Esse é o veredicto de pesquisadores do Google Project Zero (GPZ), que, até agora, contabilizou cerca 20 bugs de afetando sistemas Windows, Apple iOS e WebKit, Chromium e Pixel do Google e o servidor Confluence da Atlassian.
O GPZ apenas coleta dados sobre falhas zero-day – ou bugs explorados por invasores antes que um patch esteja disponível – nos principais produtos de software do mercado, portanto, o número não abrange todas as ameaças do tipo soltas por aí.
Além disso, de acordo com o GPZ, houve apenas quatro zero-day verdadeiramente únicos este ano e isso ocorre porque os invasores podem apenas ajustar suas explorações para contornar patches superficiais.
“Pelo menos metade dos zero-day que vimos nos primeiros seis meses de 2022 poderia ter sido evitada com testes de correção e regressão mais abrangentes. Além disso, quatro dos zero-day de 2022 são variantes de 2021. Apenas 12 meses após a correção do bug original, os invasores voltaram com uma variante do bug”, escreve um membro do GPZ em um blogpost.
A postagem acrescenta que pelo menos metade dos zero-day “estão intimamente relacionados a bugs já vistos antes”.
Essa falta de originalidade respalda uma tendência que outros pesquisadores do Google destacaram recentemente para reformular as discussões sobre zero-days.
Mais zero-days foram encontrados em 2021 do que nos últimos cinco anos, de acordo com contagem do GPZ.
Vários fatores contribuem para isso: primeiro, os pesquisadores simplesmente poderiam detectá-los melhor conforme vão sendo explorados in-the-wild, em comparação com os 5 anos anteriores.
Por outro lado, as bases de código para navegadores tornaram-se tão complexas quanto os sistemas operacionais. Além disso, os navegadores se tornaram um dos principais alvos, graças ao desaparecimento de plugins de navegador, como o Flash Player.
Mas enquanto a detecção, divulgação e correção estão melhorando em todo o setor, o GPZ argumenta que o setor “não está dificultando o zero-day”.
Por exemplo, 67% dos 58 zero-days encontrados in-the-wild em 2021 foram vulnerabilidades de corrupção de memória.
A equipe de segurança do Chrome está trabalhando em soluções para falhas de memória decorrentes da enorme base de código do navegador escrita em C++, mas as atenuações têm um custo de desempenho. O Chrome praticamente não pode ser reescrito em Rust, que oferece melhores garantias de segurança de memória do que C e C++.
O GPZ também aponta que as equipes da Microsoft e do próprio Google Chrome forneceram patches que são meros “tapa-buraco”.
“Muitos dos 0 dias in-the-wild de 2022 são devidos à vulnerabilidade anterior não ter sido totalmente corrigida. No caso dos bugs do Windows win32k e do interceptor de acesso à propriedade Chromium, o fluxo de execução que a prova de conceito explora take foram corrigidos, mas o problema de causa raiz não foi resolvido: os invasores conseguiram voltar e acionar a vulnerabilidade original por um caminho diferente”, diz a pastagem do GPZ.
Estes são os 0 dias que o GPZ rastreou este ano até 15 de junho:
Quer manter sua empresa segura? Conheça as soluções de segurança da Compugraf!
- Published in Noticias
Google lança atualização “urgente” para o Chrome após divulgação de ameaça
Google revela que ataques zero-day estão explorando CVEs em seu navegador, o Google Chrome, e recomenda atualização de software para usuários do Chrome no Windows e Android
O Google lançou uma atualização de seu navegador, o Chrome 103, para desktops Windows. A atualização corrige uma falha na implementação do WebRTC – a qual já vem sendo explorada por cibercriminosos.
O problema que a atualização 103.0.5060.114 do Chrome para Windows busca resolver é um “heap overflow no WebRTC”, isto é, quando o buffer alocado na porção de heap da memória pode ser substituído de forma maliciosa por criminosos cibernéticos.
WebRTC é o padrão web aberto para a construção de aplicativos de vídeo e voz para comunicações em tempo real (Real Time Communication, ou RTC). É habilitado por JavaScript no navegador e o padrão é suportado por todos os principais softwares de navegação.
Apesar do alerta, o Google não ofereceu nenhum detalhe sobre o bug, além do identificador CVE-2022-2294, que tem uma classificação de gravidade “alta” e que foi relatada pela equipe da Avast Threat Intelligence no dia 1º de julho de 2022.
A gigante da tecnologia, no entanto, reconheceu que há uma exploração para a vulnerabilidade circulando entre os cibercriminosos.
“O Google está ciente de que existe um exploit para o CVE-2022-2294”, diz uma postagem no blog da empresa, que anuncia a nova versão do Chrome para desktop
O Google também lançou uma correção para a mesma falha do WebRTC no Chrome para Android.
Por que um heap overflow é grave?
O MITRE – diretriz para classificar e descrever ataques cibernéticos – diz o seguinte sobre heap overflow de buffers: “esses comprometimentos de buffer baseados em heap overflow podem ser usados para sobrescrever funções de memória, apontando-as para o código do invasor.
Mesmo em aplicativos que não usam explicitamente esse recurso, o tempo de execução geralmente deixa muitos function pointers na memória. Por exemplo, métodos de objeto em C++ são geralmente implementados usando function pointers. Mesmo em programas C, geralmente há uma tabela de compensação global usada pelo tempo de execução subjacente.”
O comprometimento desses function pointers pode levá-los a redirecionar para códigos maliciosos.
A questão dos bugs explorados em zero-days
Sobre não divulgar todas as informações a respeito da CVE, o Google diz que não costuma revelar detalhes de bugs até que a maioria dos usuários seja atualizada com uma correção, como medida de segurança.
A empresa também pode reter restrições se o bug existir em uma biblioteca de terceiros, da qual outros projetos dependem, mas cujas propriedades ainda não foram corrigidas.
A atualização também corrige duas outras falhas de alta gravidade: a CVE-2022-2295, que é uma Type Confusion no mecanismo JavaScrip V8 do Chrome, e a CVE-2022-2296, que é um problema de memória use after release no Chrome OS Shell.
Em 15 de junho de 2022, o projeto de segurança do Google, Google Project Zero (GPZ), contava 18 zero-day este ano que foram explorados por cibercriminosos. Dois desses afetaram o Chrome.
A pesquisadora do GPZ, Maddie Stone, disse que pelo menos metade dos zerp-day que o projeto viu desde o início de 2022 “poderia ter sido evitado com testes de correção e regressão mais abrangentes”.
Muitos deles, ocorridos no primeiro semestre de 2022 eram apenas variantes de bugs corrigidos anteriormente no Microsoft Windows, Apple iOS, WebKit e Google Chrome. Como ela observou, o problema-raiz não foi resolvido, permitindo que os invasores revisitassem o bug original por um caminho diferente.
“O objetivo é forçar os invasores a começar do zero cada vez que detectamos uma de suas explorações: eles são forçados a descobrir uma vulnerabilidade totalmente nova, eles precisam investir tempo para aprender e analisar uma nova superfície de ataque, eles devem desenvolver uma método de exploração totalmente novo. Para fazer isso de forma eficaz, precisamos de correções corretas e abrangentes”, disse a representante do GPZ.
O problema com patches incompletos é que é uma oportunidade desperdiçada de “tornar as coisas mais difíceis” para os invasores.
A empresa recomenda que todos os usuários do Google Chrome e Windows façam a atualização do navegador para a versão mais recente, a fim de evitar serem vítimas de ciberataques.
Quer manter sua rede e sua organização seguras? Conheça as soluções da Compugraf e saiba como podemos te ajudar!
- Published in Noticias