Por um lado, cada vez mais desenvolvidas, ameaças oriundas da onda de ransomware continuam causando dores de cabeça às grandes empresas. Por outro, são as ameaças mais simples que mais causam prejuízos a usuários – e as redes sociais são um campo minado de ameaças, alerta uma nova pesquisa.

O que você vai ler:

• Apple lança patches para dezenas de vulnerabilidades em seus dispositivos, incluindo dois zero-day exploits
• Google lança novo código open-source de segurança em Python para desenvolvedores
• Novo ransomware oferece fatia de até 90% de lucro para afiliados e é a sétima maior ameaça de RaaS até o momento
• Redes sociais são um campo minado de golpes, alertam pesquisadores

Apple lança patches para dezenas de vulnerabilidades em seus dispositivos, incluindo dois zero-day exploits

No dia 13 de janeiro, a Apple lançou um conjunto de patches para erros graves de segurança do macOS e 10 correções de falhas no iOS/iPadOS, incluindo dois zero-day exploits.

O primeiro (CVE-2022-22587) é um problema de corrupção de memória que pode ser explorado por um aplicativo malicioso para executar código arbitrário com privilégios de kernel. O bug existe especificamente no IOMobileFrameBuffer – uma extensão do kernel que permite aos desenvolvedores controlar como a memória de um dispositivo lida com a exibição da tela, também conhecida como framebuffer. Isso afeta dispositivos iOS, iPadOS e macOS Monterey, e a Apple resolveu o problema com validação de acesso aprimorada.

A Apple também disse que está ciente de um relatório que indica que essa vulnerabilidade pode ter sido ativamente explorada por cibercriminosos.

O segundo zero-day é uma falha do WebKit, amplamente utilizado no navegador Safari. A vulnerabilidade é rastreada como CVE-2022-22594 e afeta navegadores de macOS, iOS e iPadOS.

Esse bug é uma violação de política de origem cruzada na API IndexDB – uma API JavaScript fornecida por navegadores da web para gerenciar um banco de dados NoSQL de objetos JSON – que a Apple também resolveu com validação de acesso aprimorada.

Os patches estão disponíveis nas atualizações do macOS Monterey 12.2 e iOS/iPadOS 15.3. O iOS 15.3 também trouxe correções para problemas de segurança que podem levar os aplicativos a obter privilégios de root – isto é, a capacidade de executar código arbitrário com privilégios de kernel e a capacidade dos aplicativos de acessar arquivos do usuário por meio do iCloud.

Google lança novo código open-source de segurança em Python para desenvolvedores

No fim de janeiro, o Google divulgou um novo produto, desenvolvido junto à OpenMined, uma open-source focada em pesquisa e desenvolvimento de soluções de segurança, que permite que qualquer desenvolvedor Python processe dados com privacidade diferenciada.

Os dois grupos estão trabalhando no projeto há um ano, e o Google disse que a infraestrutura de privacidade disponível gratuitamente ajudará milhões de desenvolvedores na “comunidade global de DEVs – ou seja, pesquisadores, governos, organizações sem fins lucrativos, empresas e muito mais – a criar e lançar novos aplicativos para privacidade diferenciada, que possibilitará fornecer informações e serviços úteis sem revelar nenhuma informação sobre seus usuários.”

O Google iniciou esses esforços de privacidade em 2019 e chamou a atenção da comunidade de desenvolvedores, levando-os a lançar o novo produto de código aberto em Python de forma gratuita.

O trabalho do Google com a OpenMined incluiu esforços para treinar especialistas terceirizados para educar qualquer pessoa que queira aprender como aproveitar a tecnologia de privacidade diferenciada em seus projetos pessoais ou profissionais.

Novo ransomware oferece fatia de até 90% de lucro para afiliados e é a sétima maior ameaça de RaaS até o momento

A Unit 42, da Palo Alto Networks, lançou um relatório altamente aprofundado sobre o ransomware BlackCat. A ameaça surgiu em meados de novembro de 2021 como um grupo inovador de ransomware como serviço (RaaS), que aproveita a linguagem de programação Rust e oferece aos afiliados de sua solução entre 80% a 90% dos pagamentos de resgate. É a maior fatia de lucro já oferecida por um grupo de ransomware até hoje.

Em dezembro de 2021, a família de ransomware, também conhecida como ALPHV, acumulava pelo menos 10 vítimas, tornando-se a sétima maior ameaça, em número de vítimas, rastreadas pela Unit 42.

Além de ser escrito em russo e codificado na linguagem de programação Rust, o malware se destacou por vários outros motivos, como o uso de um token de acesso privado. A maioria dos grupos observados no passado inclui um link direto e as chaves incorporadas nas amostras de malware, o que facilita a visualização e confirmação das vítimas de ransomware por parte dos profissionais de segurança.

Porém, no caso do BlackCat, “as amostras de ransomware não incluem as chaves. Em vez disso, elas precisam ser enviadas pelo operador, [de forma privada]. Sem isso, não há como uma entidade externa obter acesso ao seu site de negociação ou identificar a vítima, a menos que tenha uma cópia exata de uma nota de resgate com a chave exata usada para executar o ransomware”, observou a Unit42.

O grupo também extorque as vítimas roubando seus dados antes de implantar o ransomware, ameaçando vazar as informações e lançar ataques distribuídos de negação de serviço (DDoS) caso a quantia de resgate não seja paga.

O BlackCat foi visto mirando em sistemas Windows e Linux, de acordo com a Unit 42, que acrescentou que observou afiliados pedindo quantias de resgate de até US$ 14 milhões. Em alguns casos, os afiliados oferecem descontos de US$ 9 milhões se o resgate for pago antes do prazo estabelecido. Eles permitem que o resgate seja pago em Bitcoin e Monero.

Os alvos públicos têm sido grandes organizações, e eles parecem ser muito agressivos ao lidar com negociadores e seus afiliados. Por exemplo, eles têm uma regra que proíbe a afiliação se os criminosos ultrapassarem 2 semanas de inatividade.

Porém, as porcentagens atraentes que estão oferecendo compensam seu comportamento excepcionalmente rígido, deduzem especialistas. O ransomware certamente não desaparecerá tão cedo.

Redes sociais são um campo minado de golpes, alertam pesquisadores

No mês passado, um novo relatório da Federal Trade Commission mostrou quão graves se tornaram os golpes nas redes sociais em 2021.

De acordo com a FTC, mais de uma em cada quatro pessoas que perderam dinheiro com fraude em 2021 disseram que o golpe começou nas redes sociais, em forma de um anúncio, postagem ou mensagem privada. As descobertas também mostram que a mídia social foi mais lucrativa para os golpistas no ano passado do que qualquer outro meio – superando, até, os e-mails.

“Mais de 95.000 pessoas relataram cerca de US$ 770 milhões em perdas por fraude iniciada em plataformas de mídia social em 2021”, disse a FTC. “Essas perdas representam cerca de 25% de todas as perdas relatadas por fraude em 2021 e representam um impressionante aumento de dezoito vezes em relação às perdas relatadas em 2017. Os relatórios são para todas as faixas etárias, mas as pessoas de 18 a 39 anos eram duas vezes mais suscetíveis ​​do que os adultos mais velhos a se tornarem vítimas desses golpes”.

Os principais golpes identificados incluem fraudes de investimento, catfishing (fraude de identidade com o objetivo de enganar alguém se valendo de relacionamentos românticos) e fraude de compras online.

No entanto, os golpes de investimento representam a maior parte dos golpes.

“Mais da metade das pessoas que relataram prejuízo em golpes de investimento em 2021 disseram que o golpe começou nas mídias sociais”, disse a FTC. “As pessoas enviam dinheiro, muitas vezes criptomoedas, com promessas de grandes retornos, mas acabam de mãos – e bolsos – vazios”.

Formas simples de reduzir o risco de golpes em redes sociais incluem limitar quem vê suas postagens e informações configurando controles de privacidade, optar por não receber publicidade direcionada e verificar qualquer empresa ou usuários nas redes sociais antes de interagir com os perfis.

Mantenha sua empresa e seus colaboradores protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Atualmente, uma das maiores ameaças presentes no cenário digital é o phishing.

Essa técnica de engenharia social consiste em “pescar” usuários desavisados, enganando-os para conseguir informações confidenciais, como senhas e dados de cartões de crédito, por exemplo.

No Brasil, esse tipo de ataque é utilizado amplamente por cibercriminosos, tanto que, somos recordistas no número de casos bem-sucedidos.

Para cometer as fraudes, os criminosos criam mensagens aparentemente reais, geralmente relacionadas a redes sociais, bancos, lojas ou serviços de computador. Entre eles, e-mails de bancos podem ser considerados os mais comuns.

Utilizando-se de mensagens extremamente bem-estruturadas, são feitas solicitações como recadastramento de dados, alterações de senha ou quaisquer outros pedidos do tipo, munidos de recursos visuais tão próximos às instituições reais que fica difícil duvidar de sua autenticidade.

No post de hoje, te daremos algumas dicas para não se tornar vítima desse tipo de ameaça e evitar que suas informações caiam em mãos erradas. Vamos lá?

Dica 1: Não confie no nome que está sendo exibido

Uma tática de phishing muito usada entre os cibercriminosos é falsificar o nome de exibição de um e-mail. Basicamente, se um hacker quiser se passar pela marca hipotética “Service”, ele consegue.

Para isso, ele altera o nome de exibição do e-mail, e ao enviar, faz com que pareça legítimo, pois a maioria das caixas de entrada dos e-mails apresentam apenas o nome de exibição.

Por isso, sempre verifique o endereço de e-mail no cabeçalho, assim será possível visualizar o real remetente.

Dica 2: Fique atento aos links

Os cibercriminosos adoram inserir links maliciosos em cópias que parecem legítimas.

Passe o mouse sobre todos os links que encontrar incorporados no corpo do seu e-mail. Se o endereço do link parecer estranho, não clique nele.

Se você tiver alguma dúvida sobre o link, envie o e-mail diretamente para sua equipe de segurança.

Dica 3: Verifique se há erros de ortografia

As organizações levam muito a sério a ortografia de seus e-mails.

As mensagens legítimas geralmente não trazem erros ortográficos ou gramaticais.

Leia os e-mails com atenção e relate qualquer coisa que pareça suspeita.

Dica 4: Analise a saudação

O e-mail é endereçado a um vago “prezado, senhor”? Nesse caso, muito cuidado!

As empresas legítimas costumam usar uma saudação pessoal com seu nome e sobrenome, porém, também existe casos de spear phishings, que possuem um alvo/organização específica e trata pelo nome pessoal.

Dica 5: Cuidado com e-mails de urgência ou que contenham ameaças no assunto.

Submeter um senso de urgência ou medo é uma tática comum do phishing.

Cuidado com os assuntos que afirmam que sua “conta foi suspensa” ou que pedem uma “solicitação de pagamento urgente”.

Ou seja, desconfie!

Com as nossas dicas, com certeza você estará melhor preparado para não cair em ataques de phishing e a maior lição que fica disso tudo é que desconfiar de conteúdos que recebe pela internet é indispensável.

Com os golpes crescendo a cada dia, os cibercriminosos precisam se reinventar constantemente na criação de novas abordagens, o que deixa a tarefa de se proteger cada vez mais difícil.

Mas nem tudo está perdido! Mantenha seu senso crítico sempre em dia e suspeite daquela “oferta imperdível” ou contatos com solicitações duvidosas.

Até a próxima!

Quer manter sua empresa protegida dessa e de outras ameaças? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Com ou sem vulnerabilidades, empresas são alvos de ataques diversificados e altamente paralisantes. Gigabyte é a vítima mais recente de um ataque de ransomware.

O que você vai ler:

• Criminosos vendem dados de acesso inicial de empresas de transporte e logística globais
• Vulnerabilidade da Apple possibilitava ataques de malware a usuários de macOS
• Apps maliciosos para Android são usados para distribuir malware
• Rede da Gigabyte é invadida e milhares de dados altamente confidenciais são vazados

Criminosos vendem dados de acesso inicial de empresas de transporte e logística globais

Cibercriminosos estão vendendo dados de acesso inicial das redes dos principais representantes da cadeia de suprimentos global, alertam pesquisadores.

A análise foi publicada no fim de outubro e reflete sobre as tendências atuais do mercado negro da deepweb, revelando exemplos de corretores de acesso inicial (IABs) que oferecem acesso a empresas de transporte e logística internacional terrestres, marítimas e aéreas.

O acesso é normalmente obtido por meio de vulnerabilidades no Remote Desktop Protocol (RDP), redes virtuais privadas (VPN), configurações incorretas, roubo de credenciais e ataques de força bruta.

Uma crise de segurança cibernética em uma dessas empresas de logística e transporte pode ter um impacto calamitoso na economia de consumo global, dizem os pesquisadores.

Há vários casos dignos de nota, tanto de IABs já conhecidos quanto de novos no mercado. Em julho, dois traders alegaram ter garantido o acesso às redes de uma empresa de navegação japonesa, além de ter roubado credenciais de colaboradores. O caso, depois, foi ampliado para mais de 50 organizações.

“O setor de logística é constantemente visado e as ramificações de um ataque cibernético podem ter um efeito-cascata paralisante na economia global […] É extremamente necessário que as equipes de segurança no setor de transporte marítimo monitorem e rastreiem adversários, suas ferramentas e seus comportamentos maliciosos, para impedir ataques. Abordar vulnerabilidades de forma proativa em tempos de alerta máximo evita mais estresse nas operações de negócios”, concluem os pesquisadores.

Vulnerabilidade da Apple possibilitava ataques de malware a usuários de macOS

A Apple corrigiu uma falha de segurança no macOS que pesquisadores da Microsoft descobriram abrir margem para que se instalasse um driver malicioso do kernel, também conhecido como “rootkit”.

A falha residia na proteção de integridade do sistema do macOS (SIP) e possibilitava que um invasor em potencial instalasse uma interface de hardware que permitia “sobrescrever arquivos de sistema ou instalar malware persistente e indetectável”.

A SIP, também conhecido como “rootless”, bloqueia o sistema desde a raiz usando a sandbox da Apple para proteger o macOS. Ele contém várias variáveis ​​baseadas em memória que não são modificadas no modo de não-recuperação. Mas a SIP pode ser desligada após a inicialização no modo de recuperação, permitindo que um invasor ignore as proteções.

“Uma das restrições mais notáveis da SIP ​​é a do sistema de arquivos. Essa condição é especialmente importante para hackers e agentes mal-intencionados, já que a quantidade de danos que alguém pode causar aos componentes críticos de um dispositivo é diretamente baseada em sua capacidade de gravar dados irrestritos no disco.”

A falha que a Microsoft encontrou nas restrições SIP da Apple estava relacionada às atualizações do sistema, que exigem acesso irrestrito a diretórios protegidos por SIP. A Apple introduziu um conjunto específico de diretrizes que contornam as verificações SIP e informa que já corrigiu a falha, rastreada como CVE-2021-30892.

Apps maliciosos para Android são usados para distribuir malware

Cibercriminosos estão usando aplicativos maliciosos de Android para enganar usuários e fazer com que se inscrevam em um falso serviço de assinatura de premium via SMS, o que resulta em grandes cobranças em suas contas telefônicas.

Essencialmente, a campanha – que parece ter começado em maio e está em andamento desde então – é composta por pelo menos 151 aplicativos que, em um período ou outro, já estiveram disponíveis na Google Play Store; coletivamente, eles foram baixados mais de 10,5 milhões de vezes.

De lá para cá, o Google removeu os apps denunciados, mas provavelmente há outros que ainda passam despercebidos. Aliás, a Play Store tem sido persistentemente atormentada por aplicativos falsos que espalham malware.

Todas as ofertas são “essencialmente cópias do mesmo aplicativo falso usado para espalhar a campanha de SMS premium”, explicam os pesquisadores que analisaram a campanha.

Embora os aplicativos sejam anunciados por meio de perfis que parecem legítimos, uma investigação mais detalhista aponta para indícios suspeitos. Por exemplo, eles tendem a incluir declarações de política de privacidade genéricas e apresentam perfis básicos de desenvolvedor, incluindo endereços de e-mail genéricos, bem como várias análises negativas que os identificam como fraudulentos.

Rede da Gigabyte é invadida e milhares de dados altamente confidenciais são vazados

A Gigabyte, conhecida gigante da tecnologia, supostamente sofreu uma grave violação de rede. Uma amostra de seus arquivos foi postada no site onion da AvosLocker, gangue de cibercriminosos, e parece conter detalhes confidenciais sobre negócios com empresas terceirizadas e informações pessoais de seus funcionários.

O vazamento foi divulgado pelo grupo de ransomware, responsável pela violação, em 20 de outubro. Eles ameaçaram vazar ainda amais dados se a empresa taiwanesa se recusasse a negociar.

Até agora, não houve uma resposta da Gigabyte. No entanto, como os documentos de amostra contêm muitas informações confidenciais, incluindo senhas e currículos candidatos, o vazamento é altamente preocupante para a empresa.

AvosLocker é bastante conhecido no cibercrime por vender dados de grandes corporações – o que se repete neste caso.

O arquivo .zip postado como um “preview” no site do grupo contém 14,9 MB de dados roubados, que incluem:

• Detalhes de cartão de crédito (datados de 2014)
• Informações de senha e nome de usuário
• Detalhes da folha de pagamento dos funcionários
• Contratos de RH
• 10 documentos PDF em um arquivo denominado “Passaportes”
• Informações sobre mais de 1.500 candidatos a vagas na empresa, incluindo nome completo, currículos e aplicações
• Uma pasta chamada “Mailchimp” contendo informações do banco de dados da conta GSM e que pode incluir endereços de e-mail
• Uma pasta zip contendo um documento NDA e informações sobre uma negociação com a Barracuda Networks no valor de 100 mil dólares
• Dados de empresas parceiras, como Blizzard, Black Magic, Intel, Kingston, Amazon e BestBuy
• Um arquivo .txt denominado “Tree” contendo 133.352 linhas de nomes de pastas e arquivos roubados na violaçã
• Despesas de viagens, como “Havaí 2019”, incluindo dados sobre o dinheiro gasto em bebidas, deslocamento e restaurantes
• Imagens de eventos da empresa, incluindo festas de Natal, festas de Halloween e aniversário de colaboradores

Os dados vazados contêm arquivos que datam desde maio de 2021. Isso indica que se trata de um vazamento recente com novos dados. Não só isso, mas a data dos arquivos significa que alguns dos dados de identificação pessoal (como informações dos entrevistados, senha e credenciais de nome de usuário, etc.) podem estar atualizados e, portanto, correm o risco de serem comprometidos.

Mantenha os dados da sua empresa protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Pesquisadores de segurança alertam sobre novas e antigas ameaças. Microsoft divulga ação recente de hackers que visa Internet Explorer. Grupo cibercriminoso faz milhares de vítimas com nova campanha.

O que você vai ler:

• Pesquisadores descobrem novo Trojan bancário em atividade desde 2018
• Microsoft revela ação recente de hackers que explorou vulnerabilidades do Internet Explorer
• Cibercriminosos fingem ser do Departamento de Transporte dos EUA para infectar vítimas
• Nova campanha de grupo de cibercriminosos faz mais de 5 mil vítimas

Pesquisadores descobrem novo Trojan bancário em atividade desde 2018

Pesquisadores de segurança cibernética descobriram um novo Trojan, ativo desde 2018, chamado Numando. Escrito em Delphi, o malware financeiro exibe janelas de sobreposição falsas para enganar as vítimas, a fim de induzi-las a enviarem dados confidenciais, como credenciais usadas para acessar serviços financeiros.

Similar a muitas variantes de Trojans bancários, o Numando se espalha quase que exclusivamente por meio de campanhas de spam e phishing.

No entanto, essas tentativas de infecção não são exatamente sofisticadas, de acordo com os pesquisadores: apenas algumas centenas de vítimas do malware foram localizadas ao redor do mundo – um número bastante baixo, se comparado a campanhas de sucesso. Ao que tudo indica, o Numando é “consideravelmente mais malsucedido” do que outros cavalos de Tróia latino-americanos, como Mekotio e Grandoreiro.

Quando uma vítima cai no golpe, um .ZIP falso é baixado, junto com um .ZIP legítimo, que contém um arquivo .CAB – de um software legítimo -, um injetor e o Trojan. O malware está oculto em um grande arquivo de imagem .BMP. Se o aplicativo de software for executado, o injetor é carregado lateralmente e o malware é então descriptografado usando um algoritmo XOR e um códdigo-chave.

Após ser instalado em um dispositivo, o Numando cria falsas janelas de sobreposição quando a vítima visita seus serviços financeiros. Se os usuários enviarem suas credenciais, elas serão roubadas e enviadas para o servidor de comando e controle (C2) do malware.

O Numando também é capaz de simular cliques do mouse e ações do teclado, sequestrar funções de desligamento e reinicialização do PC, fazer capturas de tela e eliminar processos do navegador, alertam os pesquisadores.

Microsoft revela ação recente de hackers que explorou vulnerabilidades do Internet Explorer

A Microsoft detalhou uma observação recente de hackers explorando uma perigosa vulnerabilidade de execução de código remota no mecanismo de renderização MSHTML, também conhecido como Trident, do Internet Explorer, por meio de documentos Office manipulados e desenvolvedores direcionados.

A falha vinha sendo ativamente explorada nos sistemas Windows em agosto, mas na leva de patches divulgados pela empresa na metade de setembro foi incluído um patch para o bug até então desconhecido, rastreado como CVE-2021-40444.

Pelo menos uma organização que foi comprometida com sucesso por esta campanha, disse a Microsoft. Os invasores, neste caso, estavam usando a falha do mecanismo de renderização do IE para carregar um controle ActiveX malicioso por meio de um documento do Office.

A Microsoft considera este ataque como o trabalho de um ator de ameaça emergente ou “em desenvolvimento” e está rastreando o uso da infraestrutura Cobalt Strike como DEV-0365. A gigante do software sugere que pode se tratar de uma infraestrutura de comando e controle vendida como um serviço para outros criminosos cibernéticos e urge a instalação dos patches disponibilizados.

Cibercriminosos fingem ser do Departamento de Transporte dos EUA para infectar vítimas

Cibercriminosos se fizeram passar pelo Departamento de Transporte dos EUA (USDOT) em uma campanha de phishing de dois dias que usou uma combinação de táticas – incluindo a criação de novos domínios que imitam sites federais para parecer legítimos – para contornar sistemas de segurança.

Entre os dias 16 e 18 de agosto de 2021, pesquisadores do provedor de segurança de e-mail INKY detectaram 41 e-mails de phishing envolvendo uma isca de licitações para projetos que se beneficiam de um pacote de infraestrutura de US $ 1 trilhão aprovado recentemente pelo Congresso, de acordo com um relatório escrito por Roger Kay, vice-presidente da INKY.

A campanha – que teve como alvo empresas de setores como Engenharia, Energia e Arquitetura – enviou às vítimas em potencial um e-mail no qual elas são informadas de que o USDOT as está convidando a apresentar uma proposta para um projeto de departamento, induzindo-as a clicarem em um grande botão azul com as palavras “Clique aqui para participar”.

Os e-mails são lançados de um domínio transportegov [.]net, registrado pela Amazon em 16 de agosto, diz o relatório. A data de sua criação parece sinalizar que o site foi configurado especificamente para a campanha de phishing.

Para qualquer pessoa familiarizada com sites do governo, porém, o domínio parece suspeito, visto que esses sites geralmente utilizam o sufixo .gov. No entanto, nem todos os recipientes desse e-mail farão uma leitura crítica, e, em uma passada rápida de olhos, o domínio pode parecer legítimo.

Mas embora os invasores não tenham usado nenhuma estratégia de phishing inovadora em sua campanha, foi a combinação de táticas em um novo padrão que lhes permitiu obter os e-mails por meio de gateways de e-mail seguros. O uso de domínios recém-criados, em particular, permitia que os e-mails de phishing escapassem da autenticação de e-mail padrão, ou seja, SPF, DKIM e DMARC.

Assim, a campanha passou despercebida pela maioria dos sistemas de segurança – um alerta importante no combate a ameaças em constante evolução.

Nova campanha de grupo de cibercriminosos faz mais de 5 mil vítimas

A AT&T Alien Labs descobriu uma nova campanha do grupo de ameaças TeamTNT, a qual visa diversos sistemas operacionais e aplicativos. A campanha usa uma variedade de scripts shell/batch, novas ferramentas de código aberto, um minerador de criptomoedas, o bot TeamTNT IRC e muito mais.

Além disso, pesquisa da Alien Labs indica que o servidor de comando e controle (C&C) usado na ameaça recém-descoberta contém estatísticas de infecção que sugerem que a TeamTNT está executando esta campanha desde 25 de julho de 2021 – e que ela é responsável por mais de 5 mil infecções em todo o mundo.

O grupo está usando novas ferramentas de código aberto para roubar nomes de usuário e senhas de máquinas infectadas e tem como alvo sistemas operacionais, como: Windows, diferentes distribuições Linux, AWS, Docker e Kubernetes.

Chamada de operação Chiamera, a campanha foi detalhada para o público em uma página exclusiva da AT&T Alien Labs. Entre as novas ferramentas do TeamTNT, encontram-se vários scripts que automatizam o furto de credenciais, bem como payloads, bots, e até o conhecido minerador de criptomoedas de código aberto, XMRig.

Você pode ler as informações completas aqui.

Mantenha sua empresa protegida contra qualquer tipo de ciberataque. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Campanhas direcionadas usando estratégias tradicionais continuam fazendo vítimas ao redor do mundo. Gangue de ransomware desaparece abruptamente – mas isso não é bom sinal.

O que você vai ler hoje:

Campanhas exploram proxywares em ataques silenciosos
Microsoft emite alerta de campanha direcionada a clientes do Office 365
Gangue de ransomware Ragnarok desaparece sem explicações e deixa ferramentas de descriptografia disponíveis para vítimas
48 milhões de pessoas têm seus dados violados em hack à T-Mobile

Campanhas exploram proxywares em ataques silenciosos

Cibercriminosos estão mirando em conexões de Internet para lucrar discretamente após infectar dispositivos de usuários com malware.

Os proxywares, também conhecidos como aplicativos de compartilhamento de Internet, são serviços legítimos, que possibilitam aos usuários dividir parte de sua conexão com outros dispositivos, geralmente cobrando uma taxa para isso. Nesses serviços, estão inclusos firewalls e antivírus.

Agora, de acordo com pesquisadores de cibersegurança, recursos de proxyware estão sendo explorados, seguindo lógica semelhante à de ataques cryptojacking – isto é, um software é instalado silenciosamente, seja como componente secundário ou como carga útil principal, aplicando esforços para tentar impedir que a vítima perceba sua presença no dispositivo.

Nos casos documentados, o proxyware é incluído em ataques de vários estágios. A cadeia de ataque geralmente começa quando um software legítimo é agrupado a um instalador de Trojan que contém código malicioso. Quando o software é instalado, o malware é executado paralelamente, instalando um minerador de criptomoeda que rouba recursos do computador sem que seja detectado.

“Essa é uma tendência ainda recente, mas o potencial de crescimento é enorme”, dizem os pesquisadores. “Já é possível observar uma série de abusos por parte de cibercriminosos, que podem ganhar uma quantia significativa de dinheiro com esses ataques. Essas plataformas também representam novos desafios para os pesquisadores, uma vez que não há como identificar uma conexão por meio desse tipo de rede”, concluem.

Microsoft emite alerta de campanha direcionada a clientes do Office 365

Recentemente, a Microsoft emitiu um alerta para os clientes do Office 365, informando-os de que poderiam ser alvo de uma ampla campanha de phishing com o objetivo de roubar credenciais de login e senhas.

A campanha, em andamento, está usando vários tipos de link. Clicar neles resulta em uma série de redirecionamentos, que levam as vítimas a uma página do Google reCAPTCHA, que, por sua vez, leva a uma página de login falsa, onde as credenciais do Office 365 são roubadas.

Esse ataque específico se baseia em um recurso de vendas e e-mail marketing chamado de “redirecionamentos abertos” – amplamente explorado para redirecionar um visitante de um destino confiável para um site malicioso. O Google não classifica os redirecionamentos abertos para URLs do Google como uma vulnerabilidade de segurança, mas exibe um aviso de redirecionamento no navegador.

Além disso, a Microsoft identificou mais de 350 domínios de phishing exclusivos ​​nesta campanha, incluindo domínios de e-mail gratuitos, domínios comprometidos e domínios criados automaticamente pelo algoritmo de geração de domínio do invasor.

Os cabeçalhos de assunto do e-mail foram adaptados à ferramenta que o invasor estava utilizando como isca; podiam ser um alerta de calendário para uma reunião do Zoom, ou uma notificação de spam do Office 365 ou um aviso sobre a política de expiração de senha.

Embora os redirecionamentos abertos não sejam novos, a Microsoft abordou o problema depois de perceber uma campanha de phishing em agosto, que dependia de URLs falsificados da Microsoft. Como medida preventiva, a empresa aconselha usuários a estarem atentos a qualquer e-mail que pareça suspeito, mesmo que redirecione para um domínio confiável da Microsoft.

Gangue de ransomware Ragnarok desaparece sem explicações e deixa ferramentas de descriptografia disponíveis para vítimas

Vítimas da gangue de ransomware Ragnarok dormiram aliviadas no fim de agosto. A gangue – conhecida por ataques em grande escala – encerrou suas operações de forma abrupta e divulgou publicamente as ferramentas necessárias para recuperar os arquivos que seus ataques haviam criptografado.

A gangue ficou conhecida sobretudo por utilizar uma abordagem de dupla extorsão a fim de induzir suas vítimas a pagarem os milhões solicitados como resgate: além de criptografar os arquivos sequestrados, o grupo Ragnarok também roubava os dados e ameaçava publicá-los em um site de vazamento próprio.

Há poucos dias, esse site listava mais de uma dúzia de vítimas. A mais recente havia sido adicionada no dia 16 de agosto.

Agora, porém, ele foi removido. Tudo o que resta é um link para as ferramentas de descriptografia e instruções muito breves sobre como usá-las para recuperar arquivos criptografados.

As razões para o desligamento repentino são desconhecidas e podem nunca vir à tona. Apesar de estar ativo há pouco mais de um ano e meio, o número de ataques bem-sucedidos realizados pela gangue resultou em vários pagamentos substanciais.

É possível que o grupo tenha atingido sua meta e quisesse sair de cena antes de chamar muita atenção das autoridades. Mas se os criminosos desapareceram de vez, também é um mistério.

48 milhões de pessoas têm seus dados violados em hack à T-Mobile

A T-Mobile, uma das maiores empresas de telecomunicações dos Estados Unidos, foi hackeada em agosto e viu informações confidenciais de mais de 50 milhões de clientes atuais, antigos e potenciais serem vazadas.

Nomes, endereços pessoais, CPFs, carteiras de motorista e outros dados identitários de cerca de 48 milhões de pessoas foram violados, em um ataque que veio à tona no dia 16 de agosto.

A T-Mobile divulgou um comunicado uma semana depois confirmando que informações de cerca de 7,8 milhões de clientes foram roubadas na violação. Em seguida, disse que outras 667.000 contas de ex-clientes da T-Mobile tiveram suas informações roubadas junto a um conjunto de dados de 850.000 clientes pré-pagos ativos da T-Mobile, cujos nomes, números de telefone e PINs de contas foram expostos.

O autor do ataque é um cidadão americano de 21 anos chamado John Binns, que revelou sua identidade ao The Wall Street Journal dias depois. Binns não disse se vendeu os dados que roubou, mas informou à Bleeping Computer que já havia vários compradores em potencial interessados nas informações pessoais da base da T-Mobile.

O caso está sendo investigado, mas Binns ainda não foi detido.

Mantenha sua empresa segura. Consulte as soluções da Compugraf e saiba como podemos te ajudar!