(11) 3323-3323

CompugrafCompugraf

  • A Compugraf
    • Sobre
    • Talentos
  • Soluções
    • Segurança da Informação
      • Applications
      • Cloud
      • Endpoint
      • Mobile
      • Network
    • Privacidade de Dados
      • LGPD
    • Redes Corporativas
      • WAN e SD-WAN
      • Consultoria e Gestão
    • Item do menu
    • Serviços
      • Automações e Integrações
      • Serviços Gerenciados
      • Treinamento e Consultoria
    • Segmentos
      • Educação
      • Financeiro
      • Saúde
      • Varejo
      • Indústria
  • Parceiros
  • Materiais
  • Blog
  • Contato
  • Restrito

DCRat: malware barato e “caseiro” é surpreendentemente eficaz e preocupa pesquisadores de segurança

sexta-feira, 20 maio 2022 by Anna Carolina Rizzon
DCrat

O novo malware DCRat tem como alvo dispositivos Windows e, de acordo com pesquisadores de segurança, é “barato e popular”, o que o torna excepcionalmente problemático

Uma poderosa variação de malware do tipo trojan, cuja ameaça é o acesso remoto a sistemas completos do Windows, está sendo vendida em fóruns clandestinos a “preço de banana”, alertam pesquisadores. E o mais curioso: essa variação está sendo desenvolvida e mantida por uma única pessoa.

Conhecido como DCRat, o malware existe desde 2018, mas foi redesenhado e relançado recentemente, em um modelo de negócio bastante intrigante.

Isso porque, quando o malware é barato, geralmente está associado a uma entrega limitada de recursos. Mas o DCRat – que é oferecido nos fóruns da Dark Web por apenas 5 dólares – está equipado com uma variedade de funções, incluindo a capacidade de roubar nomes de usuário, senhas, detalhes de cartão de crédito, histórico do navegador, credenciais de login do Telegram, contas da Steam, tokens do Discord e muito mais.

Além disso, o DCRat pode tirar prints da tela do usuário e roubar conteúdo da área de transferência; ele também contém um keylogger que pode rastrear qualquer coisa que a vítima digita em seu computador. Em última análise, o malware fornece aos criminosos cibernéticos acesso total a quase tudo que a vítima faz após o download da carga maliciosa.

Como o DCRat funciona

Malwares tão poderosos costumam ser fruto do trabalho de grupos cibercriminosos sofisticados e com uma ampla variedade de recursos, mas, de acordo com a análise de pesquisadores de segurança cibernética da BlackBerry, o DCRat é desenvolvido e mantido por um único usuário, que comercializa ativamente seu produto em vários fóruns clandestinos de língua russa, bem como em um canal de Telegram.

“Esse trojan de acesso remoto (RAT) parece ser o trabalho de um agente solo, que desenvolveu uma ferramenta caseira surpreendentemente eficaz para abrir backdoors com orçamento limitado”, alertam os pesquisadores.

A natureza anônima das contas não revela muito sobre o criador do DCRat, mas os pesquisadores presumem que, apesar das características poderosas do malware, a manutenção da ameaça não é seu trabalho integral.

Aliás, a condição financeira do agente por trás do malware pode ser a razão pela qual o DCRat está disponível a um preço tão baixo, em comparação com outras ferramentas com recursos semelhantes.

“Um operador único teria baixos custos operacionais e, dada a complexidade associada do DCRat, baixos custos para hospedagem de infraestrutura de back-end”, informa a análise do malware.

O programa malicioso é escrito na linguagem de programação JPHP, uma variação do PHP que roda em uma máquina virtual Java. A linguagem de codificação é frequentemente usada por desenvolvedores de jogos multiplataforma porque é fácil de usar e flexível o bastante para se adaptar a diferentes necessidades.

Isso faz com que os recursos da JPHP sejam ideais para o autor da ameaça desenvolver e atualizar seu malware. Tanto que os pesquisadores detacam que pequenas atualizações e correções são anunciadas quase todos os dias.

Além disso, como o JPHP não é tão amplamente usado quanto outras linguagens de programação, é potencialmente mais difícil detectar suas ameaças e proteger sistemas.

DCRat não deve ser ignorado, apesar de suas características “caseiras”

Ainda não se sabe quão aderente o malware é, no mercado do cibercrime. Mas, por enquanto, o DCRat deve ser considerado uma potente ameaça à segurança cibernética, fornecendo aos criminosos cibernéticos a capacidade de roubar grandes quantidades de informações de outros indivíduos e – pior ainda – de organizações.

Mais preocupante ainda é que o malware segue em contínuo desenvolvimento, com novos recursos sendo adicionados.

“Nós prevemos que as organizações que não contam com soluções de segurança de endpoint, ou que tenham uma postura de segurança interna desestruturada, são os alvos prováveis e/ou de maior risco”, informa a análise.

Ainda não está claro como o DCRat é realmente entregue às vítimas, mas os pesquisadores observam que a implantação do malware geralmente coincide com o uso do Cobalt Strike, uma ferramenta legítima de teste de penetração que costuma ser muito explorada por criminosos cibernéticos.

Embora o DCRat seja uma ameaça potente à segurança cibernética, existem medidas que indivíduos e organizações podem tomar para ajudar a se proteger.

Os pesquisadores sugerem que a aplicação de autenticação multifator pode ajudar a evitar que as contas sejam invadidas, mesmo que as senhas tenham sido roubadas, enquanto os departamentos de TI devem monitorar a rede para detectar – e prevenir – atividades potencialmente suspeitas.

A Compugraf oferece uma vasta gama de ferramentas de segurança cibernética para ajudar você e a sua empresa a se protegerem. Conheça nossas soluções!

malwarenotícias
Read more
  • Published in Noticias
No Comments

Malware Borat RAT: uma ameaça tripla que combina RAT, spyware e ransomware

segunda-feira, 25 abril 2022 by Anna Carolina Rizzon

O malware combina acesso remoto, spyware e ransomware em um pacote inspirado no clássico personagem “Borat”

Um novo Trojan de Acesso Remoto (RAT) pode até ter um nome divertido para alguns, mas sua combinação única de ameaças mostra que o malware não tem nada de engraçado.

Apelidado de Borat RAT, o Cyble Research Labs divulgou, em uma análise recente do malware, que a nova ameaça não se restringe aos recursos padrão de acesso remoto; em vez disso, o Borat RAT também inclui funções de spyware e ransomware – evoluções de malware que tornam a ameaça especialmente nociva.

De acordo com os pesquisadores de segurança cibernética, o Trojan, que leva o nome do personagem adotado pelo comediante Sacha Baron Cohen e protagonista da série de clássicos da comédia norte-americana, “Borat!”, cujo primeiro filme “O Segundo Melhor Repórter do Glorioso País Cazaquistão Viaja à América” foi sucesso mundial de bilheteria, é colocado à venda para cibercriminosos em fóruns clandestinos.

A ameaça possui um painel de controle centralizado e sua estrutura conta com módulos de construção de código e de recursos e um certificado de servidor.

Por dentro do malware Borat RAT

Os recursos do malware são vastos e incluem um keylogger, um componente de criptografia e descriptografia de ransomware – bem como a opção para os usuários gerarem suas próprias notas de resgate – e um recurso opcional de negação de serviço distribuído (DDoS) para “interromper o tráfego habitual de um servidor de destino”, de acordo com o relatório da Cyble.

O uso de “RAT” no nome – além de inspirar o trocadilho com “Borat” – também dá um indicativo dos recursos remotos e de vigilância desse malware altamente elaborado.

O Borat RAT pode gravar remotamente o áudio de uma máquina, comprometendo seu microfone, capturar imagens da webcam e também disponibiliza uma série de alternativas de controle remoto: sequestro de mouse ou teclado, captura de tela, adulteração de configurações do sistema e roubo e exclusão de arquivos.

O Borat RAT também utiliza o esvaziamento de processos para comprometer processos legítimos no dispositivo da vítima e também pode permitir que proxies reversos permaneçam sob o radar enquanto são realizadas atividades maliciosas.

Como o malware funciona

Se o ataque for bem-sucedido, o malware coletará dados, incluindo informações do sistema operacional, antes de enviá-los para um servidor de comando e controle (C2) controlado pelo invasor.

Além disso, o Borat RAT extrairá informações do navegador, como cookies, históricos de navegação, marcadores e favoritos e credenciais dos usuários. Tokens do Discord também podem ser roubados. A ameaça afeta navegadores como o Chrome e o Microsoft Edge baseado em Chromium.

O relatório que detalha a ameaça informa que o malware também pode executar outras funções com o objetivo de “perturbar” suas vítimas, incluindo reproduzir áudios, trocar as funções dos botões do mouse, mostrar ou ocultar uma área de trabalho e barra de tarefas, congelar o mouse, adulterar as luzes da webcam, desligar um monitor e muito mais. Essas perturbações muito provavelmente também foram inspiradas no personagem que lhe empresta o nome.

Trata-se de uma das ameaças mais complexas e disruptivas já vista nos últimos tempos, destacam os pesquisadores. Embora ainda se tenha poucos detalhes de ataques que exploram o malware, é certo que eles ocorrerão em breve.

Mantenha sua empresa e seus dispositivos seguros. Consulte as soluções da Compugraf e saiba como podemos te ajudar!

malwarenotíciassegurança da informação
Read more
  • Published in Noticias
No Comments

Conhecido, malware TrickBot volta a atacar após um período incomum de inatividade

sexta-feira, 18 março 2022 by Anna Carolina Rizzon
Conhecido, malware TrickBot volta a atacar após um período incomum de inatividade

O grupo por trás do conhecido malware TrickBot está de volta após uma pausa excepcionalmente longa entre suas campanhas de ataque. Mas, de acordo com pesquisadores de segurança, agora a gangue opera com atividade reduzida.

A suspeita é de que a pausa se deve ao fato de o grupo ter mobilizado uma significativa mudança operacional, focada em explorar malwares de parceiros, como o do grupo Emotet. Com isso, ficaria mais fácil escalar os ataques.

Confira a seguir mais detalhes da descoberta:

TrickBot está de volta: o que isso significa?

Um relatório publicado pela Intel 471 em fevereiro deste ano sinalizou um período “estranho” de relativa inatividade da gangue. De acordo com eles, “de 28 de dezembro de 2021 a 17 de fevereiro de 2022, os pesquisadores da Intel 471 não observaram novas campanhas do TrickBot”.

Antes da calma, um incidente, que ocorreu em novembro de 2021, indicava que o botnet do TrickBot havia sido usado para distribuir o malware Emotet – indicando que a colaboração com o grupo por trás do Emotet estaria em andamento. O relatório da Intel 471 também associa o TrickBot a um terceiro grupo – os operadores da família de malware Bazar – cujos controladores “enviaram comandos para baixar e executar o TrickBot (em meados de 2021) e o Emotet (em novembro de 2021)”.

De modo geral, os pesquisadores especulam que, desta vez, “é provável que os membros do grupo tenham eliminado o malware TrickBot de suas operações, explorando outras plataformas, como o Emotet”.

A “turbulenta” história do malware TrickBot

O TrickBot foi originalmente criado como um trojan bancário, em 2016. De lá para cá, porém, ele evoluiu para um ecossistema completo de malware, recheado de recursos para espionagem e roubo de dados, verificação de vulnerabilidades para invasão de rede, antidepuração – que serve para travar os navegadores dos pesquisadores antes de que eles tenham a chance de identificar sua presença – e identificando e contornando firmwares, dentre outras operações.

Por conta disso, o TrickBot recebeu uma atenção especial das autoridades nos últimos anos. Em 2020, a Microsoft obteve uma ordem judicial dos EUA que permitia apreender servidores do grupo por trás do malware. No ano passado, vários membros desse grupo foram presos e acusados, podendo passar anos na prisão.

Apesar desses esforços, o TrickBot permaneceu ativo.

Isto é, até o final de dezembro de 2021, quando novos ataques foram interrompidos e instaurou-se um período curioso de “silêncio” por parte do grupo.

De acordo com o relatório, a campanha mais recente do Trickbot “aconteceu em 28 de dezembro de 2021. Essa foi uma das três campanhas de malware ativas durante o mês. Apenas para fins de comparação, oito [campanhas] diferentes foram descobertas em novembro de 2021.”

“Embora tenha havido inatividade de tempos em tempos”, observou o relatório, “uma pausa tão longa pode ser considerada incomum”.

Além disso, os arquivos de configuração de malware integrados do TrickBot, que contêm uma lista de endereços de controladores aos quais o bot pode se conectar, “não foram acessados por longos períodos”, disseram os pesquisadores.

Surpreendentemente, esses arquivos já foram atualizados com certa frequência, mas estão recebendo cada vez menos atualizações, disseram os pesquisadores. Por outro lado, a infraestrutura de comando e controle (C2) associada ao TrickBot permanece ativa, com atualizações para “plugins adicionais, injeções da web e configurações adicionais para bots na botnet”.

Os pesquisadores agora concluíram que “essa pausa se deve parcialmente a uma grande mudança dos operadores do TrickBot”.

Uma aliança antiga

Como observado, a colaboração com o Emotet (e o Bazar) não é nova. Mas os pesquisadores disseram à imprensa que a natureza da parceria pode estar evoluindo.

“É difícil dizer o que poderia resultar da colaboração”, escreveu Hank Schless, gerente sênior de soluções de segurança da Lookout, ao Threatpost. “Sabemos que o Emotet recentemente começou a testar como o malware poderia instalar excertos de Cobalt Strike em dispositivos previamente infectados, então talvez eles possam combinar a funcionalidade com o TrickBot.”

Cobalt Strike é uma ferramenta de teste de penetração usada tanto por analistas cibernéticos quanto por invasores. Tendo sucesso no teste, fica ainda mais fácil escalar os ataques.

“Cibercriminosos estão compartilhando seus malwares em fóruns da Dark Web e outras plataformas, o que ajuda toda a comunidade do cibercrime a evoluir suas táticas”, comenta Schless.

Às vezes, as gangues de crimes cibernéticos nutrem parcerias ou relacionamentos comerciais muito parecidos com o que acontece nos negócios convencionais. E, neste caso, parece que a equipe por trás do TrickBot decidiu que era mais fácil “comprar” do que “construir” seu malware, se aproveitando do desenvolvimento de outras gangues.

Alguns acham que o malware original do grupo pode, inclusive, sair de cena.

Afinal, o TrickBot agora tem cinco anos – uma vida inteira em termos de segurança cibernética. “Talvez”, escreveram os pesquisadores da Intel 471, “uma combinação de atenção indesejada ao e a disponibilidade de recursos de malware mais novos e aprimorados tenha convencido os operadores do TrickBot a abandoná-lo de vez”.

Quer proteger sua empresa dos riscos de malware? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

malwarenotíciassegurança da informação
Read more
  • Published in Noticias
No Comments

Bug em navegador expõe ID do Google

quinta-feira, 17 fevereiro 2022 by lmita@compugraf.com.br

Membros do REvil são detidos na Rússia, mas o fim dos malwares está longe.

O que você vai ler:

  • Sistema Linux é o principal alvo de 3 grupos ativos de malware
  • Rússia detêm 14 membros da gangue de ransomware REvil
  • Criminosos usam Adobe Creative Cloud para roubar dados de usuários do Office 365
  • Bug em navegador permite a criminosos roubar ID do Google de usuários, e outras informações

Sistema Linux é o principal alvo de 3 grupos ativos de malware

Sistemas baseados em Linux são uma parte essencial da infraestrutura cibernética da maioria dos equipamentos que utilizamos diariamente. Mas, recentemente, dispositivos IoT baseados em Linux se tornaram o principal alvo de cepas de malware direcionadas para esse sistema operacional.

A principal estratégia adotada pelos criminosos é a mobilização de ataques distribuídos de negação de serviço (DDoS), conduzidas, sobretudo, por três famílias de malware principais.

Em um novo relatório de segurança, publicado pela CrowdStrike, pesquisadores identificaram que as famílias de malware baseadas em Linux mais prevalentes em 2021 foram a XorDDoS, a Mirai e a Mozi, que, coletivamente, representaram 22% de todos os ataques de malware a IoTs baseados em Linux. Também foram o principal fator de malware direcionado a todos os sistemas baseados em Linux, que cresceram 35% em 2021, comparado com 2020.

Além disso, havia 10 vezes mais amostras do Mozi em 2021 em comparação com 2020, enquanto as amostras de malware XorDDoS aumentaram quase 123% em 2021.

Já as variantes Mirai mais prevalentes, hoje, são a Sora, a IZIH9 e a Rekai, que cresceram em 33%, 39% e 83%, respectivamente, em 2021. Este malware, em específico, visa sistemas Linux com senhas fracas, ou pré-programadas.

Rússia detêm 14 membros da gangue de ransomware REvil

Membros da gangue cibercriminosa de ransomware REvil foram detidos e o grupo foi desmantelado após uma ação do Serviço Federal de Segurança da Rússia (FSB), anunciou o governo de Moscou.

A ação conjunta do FSB e do Ministério de Assuntos Internos da Rússia foi realizada em 25 propriedades de várias regiões da Rússia, incluindo Moscou, São Petersburgo e Lipetsk; as regiões estão vinculadas a 14 membros do grupo de ransomware REvil.

De acordo com um comunicado do FSB, “vários membros do REvil foram detidos e incriminados” pela agência. Equipamentos de informática foram apreendidos, bem como carteiras de criptomoedas,mais de 426 milhões de rublos, 600 mil dólares americanos e 500 mil euros. 20 carros de luxo comprados com o dinheiro obtido de ataques de ransomware também foram apreendidos.

As invasões ocorreram a pedido dos Estados Unidos, que tem sido uma das principais vítimas de ataques de ransomware da gangue. No ano passado, os EUA e outros países do G7 alertaram a Rússia de que o país precisava assumir a responsabilidade pelo aumento do número de ataques de ransomware e pelos grupos de criminosos cibernéticos que operam dentro de suas fronteiras.

Ao total, foram 14 detidos e 8 incriminados pela FBS.

Criminosos usam Adobe Creative Cloud para roubar dados de usuários do Office 365

Pesquisadores identificaram que invasores estão explorando a Adobe Creative Cloud para enviar links maliciosos a usuários do Office 365 a fim de roubar credenciais de acesso inicial.

A Adobe Creative Cloud é um conjunto popular de aplicativos para compartilhamento de arquivos pessoais e corporativos e inclui aplicativos amplamente usados, como o Photoshop e o Adobe Acrobat.

Embora os invasores tenham como alvo principal os usuários do Office 365, pesquisadores observaram que caixas de entrada do Gmail também foram atingidas.

O ataque funciona assim: um invasor cria uma conta gratuita na Adobe Cloud e, em seguida, cria uma imagem ou um arquivo PDF com um link incorporado, que é compartilhado por e-mail com um usuário do Office 365 ou do Google.

Embora os links dentro dos documentos enviados aos usuários sejam maliciosos, eles próprios não estão hospedados na Adobe Cloud, mas sim em outro domínio controlado por invasores. Os invasores podem usar esse modelo para enviar vários documentos ou imagens da Adobe Cloud de aparência legítima para usuários desavisados.

Para se prevenir, os pesquisadores sugerem inspecionar todas as páginas da Adobe hospedadas na nuvem em busca de erros gramaticais e ortográficos, além de passar o mouse sobre os links (sem clicar) para verificar se o destino é confiável e que a página pretendida é legítima.

Bug em navegador permite a criminosos roubar ID do Google de usuários, e outras informações

Um bug encontrado no Safari 15 pode estar vazando informações sobre os sites que um usuário visita online. Pior ainda, pode estar expondo o ID exclusivo do Google e informações de perfil.

O bug foi descoberto pela primeira vez no final de novembro de 2021 pela FingerprintJS, uma empresa de Chicago especializada em prevenção de fraudes online. De acordo com o anúncio publicado, o problema decorre de um sistema que o Safari 15 e todos os outros principais navegadores da Web usam para armazenar em cache as informações de navegação em telefones, tablets ou computadores, chamado IndexedDB.

Normalmente, as informações armazenadas no IndexedDB só podem ser acessadas por uma página de um mesmo domínio que as criou. Se o Google criar um site, por exemplo, as informações armazenadas em cache só poderão ser acessadas por outra página da web do Google. Essa política de “mesma origem” foi criada para proteger um usuário de sites maliciosos que podem tentar roubar informações do seu navegador.

O que a FingerprintJS descobriu, porém, é que a versão atual do WebKit, o mecanismo de navegador que alimenta o Safari em Macs, bem como todos os navegadores no iOS e iPadOS, pode ser enganado para ignorar a verificação de mesma origem.

Em vez disso, de acordo com o pesquisador, “ele permite que sites arbitrários aprendam quais sites [você visita] em diferentes guias ou janelas”. Além disso, “[alguns] sites usam identificadores únicos e específicos do usuário em um banco de dados [o que] significa que os usuários autenticados podem ser identificados de forma precisa [pelos criminosos]”.

Os desenvolvedores da Apple desenvolveram uma correção e marcaram o problema como resolvido. A mudança não entrará em vigor imediatamente, no entanto. As atualizações levam tempo para serem lançadas e pode demorar até que a maioria dos dispositivos receba a correção.

Mantenha sua empresa protegida! Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar

malwarenotíciassegurança da informação
Read more
  • Published in Noticias
No Comments

Log4Shell está gerando mutações cada vez piores, mostram pesquisas

terça-feira, 28 dezembro 2021 by lmita@compugraf.com.br

Chamada de “a pior catástrofe de segurança cibernética de 2021”, a exploração da biblioteca de registro Apache Log4j gerou 60 mutações maiores em menos de um dia, disseram os pesquisadores

Recentemente, a internet enfrenta uma ameaça que, tal qual um câncer altamente maligno, sofre mutações e avança rapidamente. Conhecido como exploit de biblioteca de registro Apache Log4j, a vulnerabilidade atrai enxames de cibercriminosos desde que foi anunciada publicamente em dezembro de 2021.

A maioria dos ataques se concentra na mineração de criptomoedas, conforme observado pela Sophos, Microsoft e outras empresas de segurança. No entanto, os invasores também estão ativamente tentando instalar malwares muito mais perigosos em sistemas vulneráveis, podendo elevar o perigo para outro nível.

Pesquisadores da Microsoft informam que, além de mineradores de moedas, eles também viram instalações de Cobalt Strike, que os criminosos podem usar para roubar senhas, penetrar ainda mais em redes comprometidas com movimento lateral e extrair dados.

Mas tudo pode ficar ainda pior. Pesquisadores de segurança cibernética da Check Point alertaram que a evolução já levou a mais de 60 mutações maiores e mais potentes, todas geradas em menos de um dia.

A falha, que é “super fácil de explorar”, de acordo com especialistas, foi chamada de Log4Shell. Ela reside na onipresente biblioteca de registro Java Apache Log4j e pode permitir a execução remota de código não autenticado (RCE) e o controle completo do servidor. Ele apareceu pela primeira vez em sites voltados para o maior jogo online da atualidade, o Minecraft, e, poucas horas após sua divulgação, estava sendo explorada em alta escala.

Mutações podem permitir que explorações contornem proteções anteriores

Em seu relatório, a Check Point relatou que a nova mutação maligna do Log4Shell agora pode ser explorada por HTTP ou HTTPS (a versão criptografada de navegação).

De modo geral, quanto mais formas de explorar a vulnerabilidade, mais alternativas os invasores terão para escapar das novas proteções que foram freneticamente ativadas desde a divulgação da ameaça, disse a Check Point. “Isso significa que uma camada de proteção não é suficiente e apenas as posturas de segurança em várias camadas forneceriam uma proteção efetiva”.

Por causa de sua enorme superfície de ataque, alguns especialistas em segurança estão chamando o Log4Shell de “a maior calamidade de segurança cibernética de 2021”, equiparando-se à família Shellshock de bugs de segurança de 2014, que foi explorada por botnets de computadores comprometidos para executar ataques de negação de serviço distribuído (DDoS) e varredura de vulnerabilidade poucas horas após sua divulgação inicial.

Mudanças de estratégia

Além de variações que podem contornar proteções, os pesquisadores também estão vendo novas táticas sendo aplicadas na exploração da vulnerabilidade.

As tentativas iniciais de exploração eram chamadas de “retornos básicos”, partindo dos nodos do TOR. Eles geralmente apontavam para “bingsearchlib [.] com,” e a exploração era passada para o Agente do Usuário ou o Identificador Uniforme de Recursos (URI) da solicitação.

Mas, desde a onda inicial de tentativas de exploração, especialistas rastrearam muitas mudanças nas táticas dos agentes de ameaças que estão explorando a vulnerabilidade. Notavelmente, houve uma mudança nos comandos usados, à medida que os criminosos começaram a esconder suas estratégias.

“Isso originalmente incluía encher o agente do usuário ou URI com uma string, que quando decodificada pelo sistema vulnerável, fazia com que o host baixasse um dropper malicioso da infraestrutura do invasor”, explicou um especialista à imprensa. Em seguida, os invasores começaram a ofuscar a própria string, aproveitando outros recursos de tradução dos processos Java.

Todas as variações atingem o mesmo objetivo, porém: “baixar um arquivo malicioso e soltá-lo no sistema de destino ou vazar credenciais de sistemas baseados em nuvem”, disse o especialista.

O bug foi direcionado para ataques ao longo de dezembro

Os invasores estão explorando a vulnerabilidade Log4Shell desde pelo menos 1º de dezembro, ao que parece, e assim que o CVE-2021-44228 foi divulgado publicamente no final da semana passada, os invasores começaram a se aglomerar em torno dos honeypots (recurso computacional de segurança dedicado a detectar, desviar ou, de alguma maneira, neutralizar tentativas de uso não-autorizado da rede).

Pesquisadores da Sophos disseram que “já detectaram centenas de milhares de tentativas desde 9 de dezembro de executar código remotamente usando esta vulnerabilidade”, observando que pesquisas de log por outras organizações (incluindo Cloudflare) sugerem que a vulnerabilidade pode ter sido explorada abertamente por semanas.

“A evidência mais antiga que encontramos até agora da exploração do # Log4J é 2021-12-01 04:36:50 UTC”, twittou o CEO da Cloudflare, Matthew Prince, no sábado. “Isso sugere que a ameaça estava sendo explorada pelo menos nove dias antes de ser divulgada publicamente. No entanto, não veja evidências de exploração em massa até depois da divulgação pública. ”

Um relatório da Cisco Talos concordou que a ameaça esteve ativa por um período semelhante: o laboratório observou pela primeira vez uma atividade de invasão relacionada ao CVE-2021-44228 a partir de 2 de dezembro. “É recomendado que as organizações expandam sua busca por atividades de exploração e exploração até esta data”, aconselhou.

Exploits foram mobilizadas em 40% das redes corporativas

A Check Point disse, em seu relatório, que frustrou mais de 845.000 tentativas de exploração, com mais de 46% dessas tentativas tendo sido realizadas por grupos conhecidos.

Mais do que isso: foram mais de 100 tentativas de explorar a vulnerabilidade por minuto, que aconteceram em 40% das redes corporativas em todo o mundo.

A hipérbole em torno do caso não é um problema, portanto. Todas as organizações empresariais usam Java e o Log4j é um dos mais populares frameworks de registro para Java, observam os especialistas.

Mas, por outro lado, todas as organizações que executam Java têm a capacidade de protegê-lo, configurá-lo e gerenciá-lo. Se o Java estiver sendo usado em sistemas de produção, as equipes de segurança de TI devem priorizar as campanhas de risco e mitigação e seguir as diretrizes de remediação do projeto Apache Log4j o mais rápido possível, recomendam os pesquisadores.

Lista crescente de fabricantes e componentes afetados

Uma lista cada vez maior de crowdsourcing, hospedada no GitHub, mostra alguns dos milhões de aplicativos e fabricantes que usam log4j. A lista indica se eles são afetados pelo Log4Shell e fornece links para evidências, se forem.

Preocupantemente, a maioria é:

  • Amazon
  • Apache Druid
  • Apache Solr
  • Apache Struts2
  • Apple
  • Baidu
  • CloudFlare
  • DIDI
  • ElasticSearch
  • Google
  • JD
  • LinkedIn
  • NetEase
  • Speed camera LOL
  • Steam
  • Tesla
  • Tencent
  • Twitter
  • VMWare
  • VMWarevCenter
  • Webex

Sua empresa pode se proteger das ameaças mais diversas. Consulte as soluções de segurança da Compugraf e saiba como!

exploitmalwarenotícias
Read more
  • Published in Noticias
No Comments

Quase 50% dos rootkits são usados para ataques cibernéticos contra o governo, diz pesquisa

quinta-feira, 16 dezembro 2021 by lmita@compugraf.com.br

Institutos de pesquisa também estão na linha de fogo dessa estratégia cibercriminosa

Um rootkit é um conjunto de softwares criado de modo a permanecer oculto no computador de um usuário ao mesmo tempo em que fornece controle e acesso remotos a operadores externos. De modo geral, os cibercriminosos utilizam rootkits para controlar um computador sem o conhecimento ou consentimento do usuário.

A estratégia não é novidade, no meio da cibersegurança, mas uma pesquisa recente indicou que quase metade das campanhas de rootkit tem como foco comprometer sistemas governamentais.

O relatório sobre a evolução e aplicação de rootkits em ciberataques foi publicado em outubro de 2021 e observa que 77% dos rootkits são utilizados para ciberespionagem.

Por que os rootkits

Os rootkits são usados para obter privilégios em um sistema infectado, seja a nível de kernel (núcleo do sistema operacional) ou com base nos comportamentos do usuário. Alguns rootkits também podem combinar os dois recursos.

Depois que um rootkit é conectado a uma máquina, ele pode ser usado para sequestrar um PC, interceptar chamadas de sistema, substituir software e processos e também pode fazer parte de um kit de exploração mais amplo, contendo outros módulos, como keyloggers, malware de roubo de dados e mineradores de criptomoeda. Nesses casos, o rootkit é definido para disfarçar atividades maliciosas.

No entanto, os rootkits são difíceis de se desenvolver e podem demandar bastante tempo e dinheiro. Como resultado, a maioria dos ataques baseados em rootkit estão ligados a grupos de ameaças avançadas persistentes (APT), que têm os recursos e habilidades para desenvolver esse tipo de malware.

A amostra de análise dos pesquisadores foi composta por 16 tipos de malware; 38% sendo rootkits de modo kernel, 31% rootkits de modo de usuário e 31% rootkits de combinação. A maioria utilizada, hoje, é projetada para atacar sistemas Windows.

Como os rootkits estão sendo utilizados

De acordo com os pesquisadores, parece haver uma tendência geral para rootkits de modo de usuário na indústria de extração de dados, devido à dificuldade de criar variantes de modo de kernel; mas, apesar de a defesa contra rootkits em máquinas modernas ter evoluído, muitas vezes eles ainda são bem-sucedidos em ataques cibernéticos.

“Leva muito tempo para desenvolver ou modificar um rootkit e isso pode dificultar o trabalho dos cibercriminosos, que passam a lidar com restrições de tempo. Ele deve ser rápido ao explorar uma vulnerabilidade no perímetro de uma empresa, antes que ela seja notada e as atualizações de segurança sejam instaladas, ou outro grupo tire proveito disso”, afirma o relatório. “Por esse motivo, os cibercriminosos estão acostumados a agir rapidamente: pode levar menos de um dia do momento em que a exploração é identificada até as primeiras tentativas de aproveitá-la.

Além disso, a equipe diz que quaisquer erros na codificação de um rootkit em modo kernel podem levar à destruição de uma máquina e corrupção permanente, portanto, se uma demanda financeira estiver sendo feita – por exemplo, por operadores de ransomware – então o dano causado impediria o sucesso das tentativas de extorsão.

Os principais alvos dos cibercriminosos

Em 44% dos casos documentados desde 2011, os rootkits têm sido usados ​​para atingir agências governamentais em todo o mundo, seguidas por instituições acadêmicas e de pesquisa em 38% das campanhas conhecidas.

Os pesquisadores sugerem que, quando os rootkits entram em cena, o custo e tempo de desenvolvimento envolvido exigem um alvo de alto valor: e, na maioria dos casos, o objetivo é o roubo de dados, ainda que com fins financeiros.

Outros alvos relevantes para operadores de rootkits são empresas de telecomunicações, setor de manufatura e bancos ou serviços financeiros.

Os rootkits também podem ser empregados em ataques direcionados contra indivíduos considerados “altos funcionários, diplomatas e funcionários de organizações-vítimas”, de acordo com os pesquisadores. Nesses casos, é implementada uma estratégia de engenharia social.

Os rootkits disponíveis comercialmente costumam custar entre US $45.000 e US $100.000, dependendo do sistema operacional de destino, dos termos de assinatura e dos recursos.

“Apesar das dificuldades de desenvolver tais programas, todos os anos vemos o surgimento de novas versões de rootkits com um mecanismo operacional diferente daquele de malware conhecido”, comentou Alexey Vishnyakov, Chefe de Detecção de Malware do Positive Technologies Expert Security Center (PT ESC). “Isso indica que os cibercriminosos ainda estão desenvolvendo ferramentas para disfarçar atividades maliciosas e inventando novas técnicas para contornar a segurança dos dispositivos. Uma nova versão do Windows aparece e os desenvolvedores de malware imediatamente criam rootkits para ela.”

Como manter sua empresa segura, diante das ameaças em constante evolução? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

engenharia socialmalwarenotícias
Read more
  • Published in Noticias
No Comments

Série “Squid Game” é usada para espalhar malware

quinta-feira, 16 dezembro 2021 by lmita@compugraf.com.br

FBI alerta sobre novas estratégias implementadas por cibercriminosos. Operação internacional detém afiliados do prolífico ransomware REvil. Sucesso da Netflix, “Squis Game” vira ferramenta de malware. O que você vai ler:

  • Criminosos afiliados ao ransomware REvil são detidos
  • DarkSide ressurge como BlackMatter, mas volta à escuridão
  • Malwares inspirados em “Squid Game”, da Netflix, infectam milhares de usuários
  • FBI alerta: criminosos usam eventos financeiros e informações da Bolsa de Valores para alavancar seus ataques

Criminosos afiliados ao ransomware REvil são detidos

Autoridades romenas prenderam dois indivíduos suspeitos de lançar ataques cibernéticos usando o ransomware Sodinokibi / REvil. Eles são supostamente responsáveis ​​por 5.000 infecções, respondendo por € 500.000 em pagamentos de resgate, de acordo com a agência lesgislativa europeia, Europol.

O REvil foi um dos grupos de ransomware mais notórios de 2021, responsável por centenas de ataques de alto perfil em todo o mundo. Este ano, a gangue sumiu temporariamente do mapa, mas os ataques não deram quaisquer indícios de parar também.

Além dessas, a Operação GoldDust, como foi chamada, foi responsável por três prisõesm em fevereiro e abril, por autoridades na Coreia do Sul, de afiliados envolvidos com o ransomware REvil; outro afiliado foi preso na Europa, em outubro. No total, a operação resultou em sete detenções e é a primeira vez que elas são divulgadas publicamente pelas autoridades policiais.

A operação envolveu polícias de países de todo o mundo e agências internacionais, como a Europol, a Eurojust e a Interpol. As prisões decorrem de uma operação conjunta que conseguiu identificar e interceptar comunicações, bem como apreender infraestruturas utilizadas durante as campanhas.

A Europol apoiou a operação fornecendo suporte analítico, bem como análise de malware e criptomoeda. Os 17 países que participam da Operação GoldDust são Austrália, Bélgica, Canadá, França, Alemanha, Holanda, Luxemburgo, Noruega, Filipinas, Polônia, Romênia, Coréia do Sul, Suécia, Suíça, Kuwait, Reino Unido e Estados Unidos.

DarkSide ressurge como BlackMatter, mas volta à escuridão

O prolífico DarkSide, grupo de ransomware que desapareceu e ressurgiu das cinzas sob outro nome, aparentemente vai desaparecer de novo: BlackMatter, o novo alias da gangue, disse que vai interromper suas atividades “devido ao aumento da pressão das autoridades”, de acordo com uma mensagem postada em seu site.

O perfil VX-Underground – que agrega uma coleção de código-fonte de malware, amostras de ciberataques e recursos diversos – postou uma captura de tela da mensagem, em russo, em sua timeline do Twitter. Ele também postou uma tradução para o inglês.

“Devido a certas circunstâncias insolúveis associadas à pressão das autoridades (como parte da equipe não estar mais disponível, após as últimas notícias) – o projeto está encerrado”, dizia a mensagem.

O BlackMatter, que geria uma operação robusta de ransomware como serviço (RaaS), ainda permitirá que sua infraestrutura envie correspondências para empresas, para comunicação futura, bem como permitirá que suas afiliadas obtenham um descriptografador para seu ransomware, de acordo com a mensagem. O intuito é que ataques associados ao BlackMatter ainda sejam passíveis de resgate e de negociação, mesmo com o fim do grupo.

“Desejamos a todos muito sucesso, é um prazer trabalhar”, encerra a mensagem.

Malwares inspirados em “Squid Game”, da Netflix, infectam milhares de usuários

No início deste mês, a Forbes compartilhou um aviso sobre malwares que se apoiavam no sucesso da série da Netflix, Squid Game, e que haviam se infiltrado na Google Play Store, infectando milhares de usuários antes de a loja de aplicativos derrubá-los.

No entanto, não são apenas os usuários do Android que precisam ser cautelosos. Muitos arquivos maliciosos, sites de phishing e lojas fraudulentas também surgiram online, explorando o tema da série.

A estratégia não é nova: muitas dessas lojas falsas fingiam estar vendendo fantasias inspiradas nos trajes dos personagens de Squid Game, que já se tornaram instantaneamente reconhecíveis. Aqueles que não conseguiram resistir à tentação e tentaram comprar quase certamente nunca receberão os produtos… E também entregaram, inadvertidamente, dados de cartões de crédito e/ou débito e outras informações pessoais a fraudadores.

Já outros sites afirmam estar realizando concursos inspirados no jogo mortal de Squid Game. Os usuários são levados a acreditar que podem jogar versões online de alguns dos jogos dos programas e ganhar prêmios importantes em criptomoedas.

Mas, na realidade, além de não haver prêmios, os jogos só oferecem malware e um grande risco de roubo de identidade no final do processo de inscrição.

Por fim, como nem todo mundo que deseja se inteirar do fenômeno Squid Game deseja assinar a Netflix, vários sites agora afirmam oferecer streaming gratuito do programa. Longe disso, porém: os downloads que eles oferecem – seja disfarçado como um player autônomo ou um codec de vídeo que permitirá a transmissão em seu navegador – são cavalos de Tróia.

FBI alerta: criminosos usam eventos financeiros e informações da Bolsa de Valores para alavancar seus ataques

O FBI divulgou um novo relatório dizendo que grupos de ransomware estão cada vez mais usando “eventos financeiros significativos” como alavanca para seus ataques.

De acordo com o FBI, grupos de ransomware estão usando eventos como, fusões e aquisições, para visar empresas e forçá-las a pagar resgates.

“Antes de um ataque, os criminosos pesquisam informações publicamente disponíveis, como a avaliação das ações da vítima na Bolsa de Valores, bem como informações financeiras não divulgadas publicamente. Se as vítimas não pagarem o resgate rapidamente, os cibercriminosos ameaçam vazar essas informações, causando uma potencial reação do investidor”, escreveu o FBI.

O FBI também observou que, embora os grupos de ransomware distribuam malware indiscriminadamente, eles geralmente selecionam cuidadosamente suas vítimas com base nas informações que obtêm das invasões iniciais.

Os grupos buscam dados ou informações que sabem que afetarão o preço das ações de uma empresa e “ajustam seu cronograma de extorsão em base desses eventos”, descobriu o FBI.

A agência também observou que, de março a julho de 2020, pelo menos três empresas americanas de capital aberto foram atacadas por grupos de ransomware enquanto passavam pelo processo de fusão e aquisição.

Duas dessas três estavam negociando os acordos financeiros em particular, indicando que os grupos de ransomware haviam obtido acesso a dados confidenciais.

Mantenha sua empresa segura: conheça as soluções da Compugraf e saiba como podemos te ajudar!

malwarenotícias
Read more
  • Published in Noticias
No Comments

Mais de 395 mil chaves Pix foram vazadas, e 50 empresas de Telecomunicação sofrem ataques DDoS

sexta-feira, 29 outubro 2021 by lmita@compugraf.com.br

Empresas e instituições brasileiras são alvo de ataques cibernéticos, e gamers estão na mira dos cibercriminosos.

O que você vai ler:

  • Mais de 395 mil chaves Pix vazadas em Sergipe
  • Hackers roubam fundos de 6 mil usuários da Coinbase
  • Novo malware visa gamers e plataformas como Steam, Origin e Bethesda
  • Mais de 50 empresas brasileiras de Telecomunicação sofreram ataques de DDoS

Mais de 395 mil chaves Pix vazadas em Sergipe

Mais de 395 mil números de telefone celular usados para cadastro como chave Pix foram vazados do Banco do Estado de Sergipe (Banese).

O incidente é consequência de uma campanha de engenharia social, que roubou os dados de um sistema interno do banco, o Diretório de Identificadores de Contas Transacionais (DICT). Esse mesmo sistema é responsável por armazenar informações pessoais de clientes, de acordo com comunicado da empresa ao Banco Central.

O diretório contém dados como nome, CPF, banco em que a chave está registrada, agência, conta, data da abertura da conta e data de registro da chave Pix. Porém, nenhum dado sensível – como senhas e informações bancárias – foi vazado, apesar da violação.

O Banco Central explicou que o número de telefone, mesmo que cadastrado como chave Pix, não basta para realizar transferências, movimentações de recursos e muito menos acessar as contas violadas.

Além disso, a agência responsável por divulgar o caso justificou ao Banco Central que o vazamento ocorreu por conta de “falhas pontuais” no DICT. Também informou que já tomou as providências necessárias e que vai investigar o caso para aplicar as “sanções previstas na LGPD”.

Hackers roubam fundos de 6 mil usuários da Coinbase

Mais de 6.000 usuários da casa de câmbio Coinbase tiveram fundos roubados de suas contas após hackers explorarem uma vulnerabilidade no sistema de autenticação de dois fatores baseado em SMS.

As invasões ocorreram no início deste ano, entre março e maio, disse a empresa em uma carta de notificação de violação de dados registrada junto à Procuradoria-Geral dos Estados Unidos.

“O invasor se aproveitou de uma falha no processo de recuperação de conta da Coinbase para receber um token de autenticação de dois fatores por SMS e obter acesso a contas de usuários”, informou a Coinbase. Além disso, ressaltou que os ataques poderiam explorar esse bug apenas se soubessem o nome de usuário e a senha da vítima.

“Não encontramos nenhuma evidência de que esses terceiros tenham obtido essas informações da própria Coinbase”, disse, e assegurou que reembolsaria todos os usuários que perderam fundos com essas invasões.

Novo malware visa gamers e plataformas como Steam, Origin e Bethesda

Um novo malware do tipo trojan está sendo vendido em fóruns cibercriminosos russos, aderindo a um modelo de negócio malware-as-a-service, que oferece planos de assinatura a preços irrisórios (como U$ 10 por mês de uso, ou U$ 40 por uma licença sem data de expiração) e atendimento ao “consumidor” via Telegram.

Os alvos são dados de acesso de usuários de plataformas de games, como a Steam.

A ameaça foi encontrada pela primeira vez em março deste ano, em um anúncio que oferecia um “stealer” (trojan específico para coleta de informações) capaz de furtar dados como cookies de navegador, credenciais de acesso de diversos sites e plataformas, dados bancários, informações do sistema, capturas de tela, arquivos armazenados no desktop e logs das plataformas de games Bethesda, Epic Games, GOG, Origin, Steam além do Telegram e VimeWorld.

O anúncio também garantia que o malware era protegido contra engenharia reversa e análise de malware, em geral. Além do valor extremamente baixo, o empenho dos desenvolvedores em implementar ferramentas que escondem e camuflam o código-fonte do malware também chamou atenção dos pesquisadores.

Apelidado de BloodyStealer, a ameaça, segundo os pesquisadores, envia todos os dados capturados para um servidor de comando e controle (C&C), no qual os cibercriminosos podem acessar por meio do aplicativo de mensagens instantâneas Telegram ou por meio de um painel da web.

O malware infectou vítimas da Europa, América Latina e Ásia, continentes onde há grande quantidade de jogadores e onde o mercado de games é bastante prestigiado, e afeta principalmente usuários domésticos, concluíram os pesquisadores.

Mais de 50 empresas brasileiras de Telecomunicação sofreram ataques de DDoS

Mais de 50 empresas brasileiras do setor de telecomunicação sofreram ataques simultâneos de DDoS durante o primeiro semestre de 2021, de acordo com o novo Relatório de Inteligência de Ameaças da Netscout.

Esse aumento representa um crescimento de cerca de 16% no número de ataques do tipo, em comparação com o primeiro semestre de 2020.

Já em um cenário global, foram quase 5,4 milhões de ataques cibernéticos durante o primeiro semestre do ano – um aumento de 11% em relação ao mesmo período do ano passado.

Na América Latina, o crescimento é ainda mais expressivo, uma vez que o continente registrou mais de 555 mil ataques cibernéticos no primeiro semestre de 2021 – quase 40% a mais do que no ano passado.

Além desses indicadores, que colocam as ameaças contra a indústria de telecomunicação em um novo patamar, os pesquisadores também descobriram sete novos arquétipos de ataques de negação de serviço (DDoS). Ou seja, mais do que crescendo, as ameaças estão evoluindo.

Como precaução, o relatório alerta para os riscos corridos por dispositivos inteligentes (IoT) conectados à internet, que, por natureza, são mais vulneráveis e podem ser a porta de entrada para cibercriminosos.

“Não importa de onde ou para onde você olha, o cenário está ficando ainda mais complexo quando o assunto é como os hackers agem e constroem seus ataques”, conclui.

Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

malwarenotíciassegurança da informação
Read more
  • Published in Noticias
No Comments

Roubo de credenciais de companhias aéreas cresce rapidamente em campanha de ampliação

sexta-feira, 29 outubro 2021 by lmita@compugraf.com.br

Campanha de ampliação de spyware direcionado para roubo de cookies e logins está sendo conduzido por invasores pouco sofisticados, que lucram com o boom da corretagem de acesso inicial na dark web

Uma campanha de espionagem contra a indústria aérea está em andamento há pelo menos dois anos, com recursos como o AsyncRAT e outros Trojans de acesso remoto (RATs) sendo aplicados para fazer os esforços escalarem rapidamente.

E o pior: a campanha pode ser apenas o golpe inicial nas vítimas, uma vez que estes primeiros ataques tendem a resultar em vazamento de dados, fraude financeira e diversos ataques subsequentes.

Mas de acordo com Tiago Pereira e Vitor Ventura, da Cisco Talos, a “Operação Layover”, como foi apelidada pelos pesquisadores provavelmente se trata de um trabalho pouco sofisticado de um cibercriminoso da Nigéria, ativo no cenário do crime cibernético há pelo menos seis anos, tendo atuado em várias campanhas contra múltiplos setores.

“[O invasor] não parece ser tecnicamente sofisticado, usando uma espécie de ‘malware on demand’ desde o início de suas atividades, sem desenvolver seu próprio malware”, observaram os pesquisadores em uma postagem. “Ele também compra os criptografadores que lhe permitem usar esse malware sem ser detectado, [e], ao longo dos anos, utilizou vários criptografadores diferentes, a maioria comprada em fóruns online… Isso mostra que até mesmo uma pequena operação pode se manter de pé por anos, sem ser detectada, ao passo que causa sérios problemas para suas vítimas.”

O boom da corretagem de acesso inicial

O objetivo da campanha é roubar credenciais e cookies, que ele pode oferecer a cibercriminosos mais experientes, disseram os pesquisadores. Esse tipo de agente de ameaça usa os dados roubados para fornecer acesso inicial em ataques muito maiores, envolvendo ransomware ou hits de comprometimento de e-mail comercial (BEC).

E, de fato, o mercado clandestino para corretores de acesso inicial (IAB) está crescendo na dark web. A obtenção de acesso a organizações vulneráveis ​​e sua venda subsequente é, agora, um modelo de negócio que cresce vertiginosamente – sobretudo à medida que ataques utilizando ransomware como serviço também aumentam.

Esse mercado representa milhares de dólares mesmo para os cibercriminosos menos experientes.

“O mercado negro de cookies, tokens e credenciais é muito valioso, sobretudo para países em desenvolvimento, onde muitos desses criminosos estão”, observaram os pesquisadores. “Esses são os criminosos que alimentam o comércio clandestino de credenciais e cookies, cujos dados podem ser usados ​​por grupos maiores.”

Eles acrescentam: “essas pequenas operações tendem a passar despercebidas; mesmo após serem expostas, porém, os agentes de ameaça por trás delas não interrompem sua atividade. Eles abandonam os nomes de host de comando e controle (C2) – que, neste caso, são baseados em DNS gratuitamente e podem alterar o crypter e o vetor inicial, mas não interrompem sua atividade.”

Como as ameaças contra companhias aéres funcionam

Os ataques, como muitas campanhas de malware, começam com e-mails de engenharia social. O invasor envia e-mails às vítimas se fazendo passar por organizações aeroespaciais legítimas. Esses e-mails contêm um link para um arquivo PDF; os “arquivos” apresentam nomes relacionados a viagens aéreas, informando sobre “detalhes do itinerário da viagem”, por exemplo.

Contudo, os links, na verdade, enviam os usuários a um script .VBS hospedado no Google Drive, que criptografa a carga útil RAT final e a descarrega no computador da vítima. O script é o crypter Snip3, que permanece em desenvolvimento ativo e que é oferecido como um crypter-as-a-service, de acordo com pesquisas anteriores.

Em maio, a Microsoft sinalizou partes da campanha, oferecendo alguns detalhes técnicos adicionais sobre a cadeia de infecção.

“Os invasores usam os Trojans de acesso remoto para roubo de dados, acompanhamento e cargas úteis adicionais, como o Agente Tesla, que eles usam para extração de dados. Os trojans executam componentes de forma contínua, até que eles sejam capazes de injetar em processos como RegAsm, InstallUtil ou RevSvcs. Eles roubam credenciais, capturas de tela, dados da webcam, dados do navegador e dados da área de transferência e extraem informações frequentemente através da porta SMTP 587. ”

A equipe de pesquisa do Cisco Talos, entretanto, descobriu mais recentemente alguns domínios controlados por invasores usados ​​para comando e controle (C2) visando o setor de aviação, incluindo um bastante específico, que está sendo usado para hospedar a carga útil AsyncRAT. Como esse servidor estava usando TLS para criptografar as comunicações C2, os pesquisadores então realizaram uma busca por outros servidores usando a mesma impressão digital do certificado – e descobriram mais oito domínios vinculados à campanha, junto com mais de 50 amostras de malware individuais.

“A maioria dos domínios foi vista pela primeira vez em maio ou junho de 2021”, explicaram os pesquisadores que detalharam a campanha. “O mais antigo da lista pareceu estar ativo apenas por alguns dias, sem muitas amostras. No entanto, uma URL associada estava sempre ativa, com várias amostras usando-a como C2. ” Eles passaram a associá-la a 14 arquivos criptografados VBS maliciosos, usados ​​na campanha contra o setor de aviação.

Ataques a companhias aéreas provavelmente terão alto impacto

Apesar da relativa falta de sofisticação e perspicácia tecnológica dos ciberataques, eles representam uma grande ameaça para as organizações, concluiu a análise da campanha.

“Muitos cibercriminosos podem ter conhecimento técnico limitado, mas ainda assim serem capazes de operar RATs e orquestrar roubos de dados, o que representa um risco significativo para grandes corporações”, disseram os pesquisadores. “Neste caso, o que parecia ser uma campanha simples é, na verdade, uma operação contínua que está ativa há três anos, visando uma indústria inteira com malware pronto para uso disfarçado por meio de diferentes criptografadores.”

E embora cookies e credenciais possam ser os principais “ganhos” por enquanto, há uma oportunidade para ataques piores no futuro, visto que a indústria de viagens e transporte sempre será um alvo tentador para os agentes de ameaças, devido não só ao seu serviço essencial, mas, sobretudo, à quantidade de diferentes tipos de dados com os quais ela lida em larga escala.

Quer manter sua empresa protegida dos diversos tipos de ameaça cibernética? Consulte as soluções de segurança da Compugraf e saiba como podemos te ajudar!

malwaresegurança da informaçãovazamento de dados
Read more
  • Published in Noticias
No Comments

Campanha de phishing compromete compartilhamento de arquivos pelo SharePoint

terça-feira, 14 setembro 2021 by lmita@compugraf.com.br

Pesquisadores da Microsoft descobriram que cibercriminosos falsificam endereços de e-mail de remetentes de arquivos em uma campanha engenhosa que pode passar despercebida por sistemas de defesa nativos

Diversos cibercriminosos estão usando endereços de e-mail falsificados e iscas do Microsoft SharePoint em uma nova campanha de phishing que, de acordo com especialistas, se destacar por ser “mais sorrateira do que o normal”, uma vez que pode passar despercebida pelas proteções usuais e por sistemas de segurança nativos dos dispositivos (isto é, aqueles que já vêm pré-instalados).

O objetivo da campanha divulgada recentemente é enganar usuários do compartilhador de arquivos para que eles forneçam suas credenciais, que depois poderão ser aproveitadas em ataques mais graves, descobriram pesquisadores da Microsoft.

O grupo de agentes de segurança filiados ao Microsoft Security Intelligence descobriram, também, que a campanha visa sobretudopara organizações que usam o Microsoft Office 365. Detalhes foram revelados em um tweet no fim de julho.

Detalhes da campanha baseada em SharePoint

As falsificações características da campanha exibem endereços de remetentes que contêm nomes de usuário e domínios-alvo relevantes, de corporações visadas, bem como nomes de fachada “que imitam serviços legítimos para tentar escapar de filtros de segurança de e-mail”, disseram os pesquisadores.

Além disso, os cibercriminosos enviam e-mails que “se fazem passar pelos serviços do Sharepoint no nome de exibição e na mensagem enviada no corpo dos e-mails”, disseram os pesquisadores. “Esta campanha está ativa com vários temas sendo usados como bait”, eles tuitaram.

Por exemplo: o e-mail geralmente alerta um destinatário sobre uma solicitação de compartilhamento de arquivo de alguém que parece ser um colega de sua empresa, que pode ter perdido o arquivo em questão, e inclui um link para uma página de phishing. Para parecer autêntica, a mensagem indica que o arquivo contém algum tipo de conteúdo comercial legítimo, como relatórios de equipe, arquivos estratégicas ou planilhas orçamentárias, observaram os pesquisadores.

Se um usuário “morde a isca”, ele acaba sendo direcionado para uma segunda página, que exige que ele faça login no Office 365 com suas credenciais legítimas, completa a Microsoft.

Por que o SharePoint?

Devido ao seu amplo uso entre muitos clientes corporativos, a plataforma de colaboração do SharePoint é um alvo popular para os agentes de ameaças não é de hoje.

Mais do que isso, o serviço de compartilhamento de arquivos, quando combinado a estratégias de falsificação, é uma maneira particularmente eficaz de induzir as vítimas a revelar credenciais, observam agentes de segurança.

“Quando se trata de spoofing de e-mail, sistemas de segurança podem considerar que, se o e-mail recebido veio de uma entidade confiável, de um domínio considerado seguro, então o e-mail está ‘limpo’; mas, infelizmente, quaisquer links existentes no e-mail podem acabar infectando você com malware”, comentou uma especialista em cibersegurança em uma postagem sobre o tema.

Sinais suspeitos que colaboradores e executivos devem levar em consideração

Apesar da astúcia desta última campanha, existem alguns sinais bastante significativos de que os e-mails não são confiáveis, de acordo com a Microsoft.

Por um lado, os endereços do remetente original usam vários domínios de nível superior, incluindo o domínio com[.]com, que é popularmente usado por campanhas de phishing para spoofing e typosquatting, pesquisadores observaram no Twitter.

Outras pistas para a intenção maliciosa da campanha são encontradas no uso de URLs que levam as vítimas potenciais à página de phishing para inserir suas credenciais, pois os invasores usam dduas URLs com cabeçalhos HTTP malformados.

A URL de phishing principal é um recurso de armazenamento do Google que direciona para um domínio AppSpot exigindo que o usuário faça login “antes de finalmente servir outro domínio de conteúdo com uma página de phishing do Office 365”, disseram os pesquisadores.

A segunda URL usada na campanha é encontrada nas configurações de notificação. Ela leva a um site do SharePoint comprometido, “que os invasores usam para adicionar legitimidade ao ataque”, de acordo com a Microsoft.

Ambas as URLs exigem que vítimas em potencial façam login para avançar para a página final, “contornando muitos sistemas de proteção” no caminho, disseram os pesquisadores.

Por fim, os agentes de segurança forneceram uma string de consulta no GitHub, que pode ser executada através do Microsoft 365 Defender para sinalizar qualquer e-mail da campanha que pode ter passado por outros gateways.

Mantenha sua empresa segura e seus colaboradores protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

malwarenotíciasphishing
Read more
  • Published in Noticias
No Comments
  • 1
  • 2

Procurar Fóruns

Somos especialistas em segurança
digital e comunicação corporativa, oferecendo estratégias inovadoras e larga experiência em projetos de segurança da informação.

Endereço
Av. Angélica, 2346, São Paulo SP
Telefone
(11) 3323-3323
Central de Suporte
(11) 3323-3322 | 3003-4747
Onde nos encontrar
  • Home
  • A Compugraf
  • Parceiros
  • Blog
  • Contato
  • Contato DPO
  • Código de Conduta e Ética

2018 todos os direitos reservados - ® - Compugraf | Desenvolvido por Compugraf

TOP