Campanha de phishing compromete compartilhamento de arquivos pelo SharePoint

Pesquisadores da Microsoft descobriram que cibercriminosos falsificam endereços de e-mail de remetentes de arquivos em uma campanha engenhosa que pode passar despercebida por sistemas de defesa nativos

Diversos cibercriminosos estão usando endereços de e-mail falsificados e iscas do Microsoft SharePoint em uma nova campanha de phishing que, de acordo com especialistas, se destacar por ser “mais sorrateira do que o normal”, uma vez que pode passar despercebida pelas proteções usuais e por sistemas de segurança nativos dos dispositivos (isto é, aqueles que já vêm pré-instalados).

O objetivo da campanha divulgada recentemente é enganar usuários do compartilhador de arquivos para que eles forneçam suas credenciais, que depois poderão ser aproveitadas em ataques mais graves, descobriram pesquisadores da Microsoft.

O grupo de agentes de segurança filiados ao Microsoft Security Intelligence descobriram, também, que a campanha visa sobretudopara organizações que usam o Microsoft Office 365. Detalhes foram revelados em um tweet no fim de julho.

Detalhes da campanha baseada em SharePoint

As falsificações características da campanha exibem endereços de remetentes que contêm nomes de usuário e domínios-alvo relevantes, de corporações visadas, bem como nomes de fachada “que imitam serviços legítimos para tentar escapar de filtros de segurança de e-mail”, disseram os pesquisadores.

Além disso, os cibercriminosos enviam e-mails que “se fazem passar pelos serviços do Sharepoint no nome de exibição e na mensagem enviada no corpo dos e-mails”, disseram os pesquisadores. “Esta campanha está ativa com vários temas sendo usados como bait”, eles tuitaram.

Por exemplo: o e-mail geralmente alerta um destinatário sobre uma solicitação de compartilhamento de arquivo de alguém que parece ser um colega de sua empresa, que pode ter perdido o arquivo em questão, e inclui um link para uma página de phishing. Para parecer autêntica, a mensagem indica que o arquivo contém algum tipo de conteúdo comercial legítimo, como relatórios de equipe, arquivos estratégicas ou planilhas orçamentárias, observaram os pesquisadores.

Se um usuário “morde a isca”, ele acaba sendo direcionado para uma segunda página, que exige que ele faça login no Office 365 com suas credenciais legítimas, completa a Microsoft.

Por que o SharePoint?

Devido ao seu amplo uso entre muitos clientes corporativos, a plataforma de colaboração do SharePoint é um alvo popular para os agentes de ameaças não é de hoje.

Mais do que isso, o serviço de compartilhamento de arquivos, quando combinado a estratégias de falsificação, é uma maneira particularmente eficaz de induzir as vítimas a revelar credenciais, observam agentes de segurança.

“Quando se trata de spoofing de e-mail, sistemas de segurança podem considerar que, se o e-mail recebido veio de uma entidade confiável, de um domínio considerado seguro, então o e-mail está ‘limpo’; mas, infelizmente, quaisquer links existentes no e-mail podem acabar infectando você com malware”, comentou uma especialista em cibersegurança em uma postagem sobre o tema.

Sinais suspeitos que colaboradores e executivos devem levar em consideração

Apesar da astúcia desta última campanha, existem alguns sinais bastante significativos de que os e-mails não são confiáveis, de acordo com a Microsoft.

Por um lado, os endereços do remetente original usam vários domínios de nível superior, incluindo o domínio com[.]com, que é popularmente usado por campanhas de phishing para spoofing e typosquatting, pesquisadores observaram no Twitter.

Outras pistas para a intenção maliciosa da campanha são encontradas no uso de URLs que levam as vítimas potenciais à página de phishing para inserir suas credenciais, pois os invasores usam dduas URLs com cabeçalhos HTTP malformados.

A URL de phishing principal é um recurso de armazenamento do Google que direciona para um domínio AppSpot exigindo que o usuário faça login “antes de finalmente servir outro domínio de conteúdo com uma página de phishing do Office 365”, disseram os pesquisadores.

A segunda URL usada na campanha é encontrada nas configurações de notificação. Ela leva a um site do SharePoint comprometido, “que os invasores usam para adicionar legitimidade ao ataque”, de acordo com a Microsoft.

Ambas as URLs exigem que vítimas em potencial façam login para avançar para a página final, “contornando muitos sistemas de proteção” no caminho, disseram os pesquisadores.

Por fim, os agentes de segurança forneceram uma string de consulta no GitHub, que pode ser executada através do Microsoft 365 Defender para sinalizar qualquer e-mail da campanha que pode ter passado por outros gateways.

Mantenha sua empresa segura e seus colaboradores protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Valor médio de resgate de ransomware cresce mais de 150% em um ano

Novas ameaças, vulnerabilidades não-corrigidas e evolução de estratégias de ransomware preocupam agentes de segurança. O que você vai ler hoje:

REvil saiu de cena, mas um novo ransomware já ocupa seu lugar

A gangue de ransomware REvil – também conhecida como Sodinokibi – saiu de cena em julho, logo depois de chamar a atenção do governo dos EUA com um ataque massivo de ransomware que afetou 1.500 organizações em todo o mundo.

Não se sabe se o REvil sumiu de vez, mas cibercriminosos adeptos de esquemas de ransomware não vão esperar para descobrir: eles estão migrando para outros fornecedores e, de acordo com análises feitas por pesquisadores de segurança cibernética, o ransomware LockBit se tornou a alternativa preferida de invasores.

Embora o LockBit não seja tão conhecido quanto algumas outras formas de ransomware, aqueles que o usam têm atingido seu objetivo e lucrado milhares de Bitcoins em pedidos de resgate.

Além disso, os pesquisadores observam que muitos dos que agora recorrem ao LockBit estão usando as mesmas táticas, ferramentas e procedimentos que usavam anteriormente, quando trabalhavam com o REvil.

Cibercriminosos usam extorsão quádrupla para fazer vítimas pagarem por resgates mais caros

O valor médio de resgate de ransomware aumentou 82% ao longo dos últimos anos, e agora está acima de meio milhão de dólares, de acordo com um relatório que analisa o impacto dessa ameaça no primeiro semestre de 2021.

Publicado pela Unidade 42 da Palo Alto Networks, em agosto deste ano, o relatório mostra que especialistas em cibersegurança associados à empresa identificaram e analisaram 121 incidentes de ransomware até agora em 2021 – um aumento de 64% nos ataques do ano passado para cá.

Além disso, alerta que o que ajudou a intensificar os pagamentos de extorsão é os cibercriminosos estarem investindo bastante o dinheiro em “operações de ransomware altamente lucrativas”, escalando de uma estratégia de extorsão dupla para uma extorsão quádrupla.

A extorsão dupla existe há mais de um ano e é quando os agentes da ameaça não só paralisam os sistemas e/ou dados da vítima, mas também ameaçam vazar os dados comprometidos ou usá-los em futuros ataques de spam se as vítimas se recusarem a pagar as demandas de extorsão.

Mas, durante a primeira metade de 2021, os pesquisadores observaram grupos de ransomware geralmente usando até quatro técnicas para fazer as vítimas pagarem:

  1. Criptografia: as vítimas pagam para recuperar o acesso a dados e sistemas de computador comprometidos;
  2. Roubo de dados: os hackers divulgam informações confidenciais se o resgate não for pago;
  3. DoS: gangues de ransomware lançam ataques DoS que bloqueiam os sites públicos da vítima;
  4. Assédio moral: os cibercriminosos entram em contato com clientes, parceiros, funcionários e mídia para informar que a organização foi hackeada.

Essas táticas “cada vez mais agressivas” inflaram resgates que já vinham se tornando cada vez mais custosos. No ano passado, o pagamento médio subiu 171%, para mais de 312 mil dólares. Durante o primeiro semestre deste ano, porém, esse valor disparou para um recorde de 570 mil dólares, em média.

Novo cavalo de Troia atinge usuários de Android e rouba contas de redes sociais

Um novo cavalo de Troia visando usuários do Android, que atende pelo codinome FlyTrap, atingiu pelo menos 140 países desde março de 2021 e atingiu mais de 10.000 vítimas por meio de sequestro de mídia social, lojas de aplicativos e aplicativos de sideload.

A evidência forense desse ataque ativo aponta para agentes de ameaça do Vietnã, que, ao que tudo indica, estão executando esta campanha de sequestro de sessão desde o primeiro trimestre do ano.

As ameaças foram inicialmente distribuídas por meio do Google Play e de lojas de aplicativos de terceiros. Uma empresa especializada em segurança cibernética relatou as descobertas ao Google, que verificou a pesquisa fornecida e removeu os aplicativos maliciosos da Google Play Store. No entanto, os aplicativos maliciosos ainda estão disponíveis em repositórios de aplicativos terceirizados.

O FlyTrap representa um risco para usuários ao sequestrar suas contas do Facebook por meio de um Trojan que infecta o dispositivo Android. As informações coletadas do dispositivo Android da vítima incluem:

  • ID do Facebook
  • Localização
  • Endereço de e-mail e endereço de IP
  • Cookie e tokens associados à conta do Facebook

Essas sessões sequestradas do Facebook podem ser usadas para espalhar o malware abusando da credibilidade social da vítima por meio de mensagens pessoais com links para o Trojan, bem como propagação de propaganda ou campanhas de desinformação usando os detalhes de geolocalização da vítima.

Novas vulnerabilidades em driver de impressão do Windows se somam a outras ainda não-corrigidas

Em junho, informações técnicas e uma exploração de prova de conceito (Proof of Concept, ou PoC) vazaram acidentalmente, detalhando uma vulnerabilidade não-corrigida do Windows que permite a execução remota de código por parte de invasores.

Apesar da necessidade de autenticação, a gravidade do problema é crítica, pois os agentes da ameaça podem usá-lo para assumir o controle de um servidor de domínio do Windows para implantar facilmente malware na rede de uma empresa.

O problema afeta o Windows Print Spooler e, devido à longa lista de bugs que afetaram esse componente ao longo dos anos, os pesquisadores que detalharam a vulnerabilidade o chamaram de PrintNightmare.

Agora, a Microsoft publicou um comunicado para outra vulnerabilidade zero-day do spooler de impressão do Windows, rastreada como CVE-2021-36958, que permite que invasores locais obtenham privilégios de sistema em um computador.

Esta vulnerabilidade usa a diretiva de registro CopyFile para copiar um arquivo DLL que abre um prompt de comando para o cliente junto com um driver de impressão quando o usuário se conecta a uma impressora. Embora as atualizações de segurança recentes da Microsoft tenham alterado o procedimento de instalação do novo driver de impressora para que ele exija privilégios de administrador, não é preciso inserir privilégios de administrador se o driver já estiver instalado em um dispositivo.

Além disso, a conexão com uma impressora remota ainda executará a diretiva CopyFile para usuários não-administradores. Este ponto fraco permite que a DLL do Delpy seja copiada para o usuário e executada para abrir um prompt de comando a nível de sistema.

A Microsoft ainda não lançou uma atualização de segurança para esta falha, mas afirma que é possível remover o vetor de ataque desabilitando o Spooler de Impressão.

Mas como desativar o spooler de impressão impedirá que seu dispositivo imprima qualquer coisa, um método mais eficaz é permitir que seu dispositivo instale apenas impressoras de servidores autorizados.

Essa restrição pode ser feita usando a política “Apontar e imprimir – servidores aprovados”, evitando que usuários não-administrativos instalem drivers de impressão usando essa configuração.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Os hackers do hiper-destrutivo ransomware REvil sumiram. Isso é bom?

O grupo REvil é conhecido por lançar algumas das campanhas de ransomware mais onerosas para diversas empresas. Recentemente, eles desapareceram da Internet – mas isso não parece ser boa notícia.

A equipe de hackers por trás dos destrutivos ciberataques à indústria de alimentos e aos clientes do fornecedor de tecnologia Kaseya, ao que tudo indica, desapareceu da Internet. O grupo também é responsável pelos ataques mais custosos ao redor do mundo, sendo conhecidos por pedir milhões de dólares às empresas em troca da chave da descriptografia.

Fora do ar no início da manhã do dia 13 de julho, o darksite do grupo REvil, apelidado de “Happy Blog”, parece ser um indício que o grupo fará uma pausa em suas atividades.

Autores da Forbes fizeram repetidas tentativas de acessar a página do grupo, e falharam, recebendo um aviso que dizia que “a causa mais provável é que o onionsite está off-line”.

As outras páginas do REvil, incluindo a página que o grupo usa para pagamento de resgate, também estão inacessíveis, e seus representantes não aparecem em fóruns de hackers – outro canal frequentado pelo grupo – desde o final da semana anterior, de acordo com vários pesquisadores de segurança cibernética.

O desaparecimento do grupo REvil não necessariamente é uma boa notícia

Não há informações sobre o motivo pelo qual o REvil – que se acredita ter origem russa, mas opera fora do país – possa ter desaparecido. Pode ser devido a uma ação de aplicação da lei, embora nenhuma agência ainda tenha reivindicado o sucesso em derrubar o grupo.

O FBI não quis comentar o caso. No mês passado, o presidente Biden e o líder russo Vladimir Putin discutiram questões de segurança cibernética, incluindo a possibilidade de o Kremlin apoiar mais os esforços para conter os cibercriminosos que lançam ataques devastadores contra empresas dos EUA.

A equipe do REvil também pode ter se escondido devido à atenção dada a seus ataques recentes. Ou seus sites podem simplesmente ter caído devido a um problema técnico.

Como observa Brett Callow, rastreador de ransomware de uma empresa privada de segurança cibernética , o Happy Blog já caiu antes e voltou a funcionar, de modo que é “muito cedo para deduzir qualquer coisa a respeito”.

Em um caso semelhante e recente , os hackers do grupo de ransomware DarkSide desapareceram da Internet não muito depois de seu malware ter sido usado no enorme hack ao oleoduto da Colonial Pipeline, que levou ao fechamento de linhas de gás na costa leste dos Estados Unidos. Nesse caso, alguns dos os fundos entregues no resgate de 4 milhões de dólares, pagos em Bitcoin, foram recuperados pelo Departamento de Justiça.

Fora o hack à JBS, um dos maiores fornecedores de carne mundiais, que resultou em um pagamento de 11 milhões de dólares, o grupo causou grande impacto em um ataque que explorou uma vulnerabilidade zero-day que não havia sido corrigida em uma tecnologia feita pela Kaseya.

Visando a ferramenta, os hackers invadiram diversos clientes da Kaseya, bloqueando arquivos de até 1.500 empresas diferentes. Seu pedido de resgate e a liberação da chave para desbloquear as informações em todas as empresas afetadas chegou a 70 milhões de dólares, embora tenha caído para 50 milhões de dólares durante as negociações. Não está claro se algum pagamento foi feito.

Nos últimos meses, o REvil também hackeou: o fornecedor de energia renovável Invenergy, o fabricante de PCs, Acer, e o fornecedor da Apple, Quanta Computer.

Além disso, de acordo com dados da empresa de segurança cibernética Check Point, foram realizados, por semana, 15 ataques cibernéticos cuja autoria é associada à REvil ao longo dos últimos dois meses.

Se o grupo está apenas escondido para não chamar ainda mais a atenção, ou se está apenas fazendo uma pausa antes de seu próximo hiper-ataque, descobriremos em breve. O sumiço, contudo, dificilmente será motivo de celebração e de tranquilidade por parte das empresas, que devem continuar aderindo às medidas de segurança a fim de prevenir potenciais ataques.

Mantenha seu negócio protegido. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

700 milhões de dados de usuários de LinkedIn estão vulneráveis

Conforme alguns países afrouxam as medidas de segurança para contenção da COVID-19, colaboradores retornam ao escritório abrindo brechas para ameaças. Em paralelo, usuários do LinkedIn tem 700 milhões de registros à venda – e vulneráveis – na dark web.

O que você vai ler hoje:

Desenvolvedora de soluções de TI sofre ataque de ransomware por vulnerabilidade em um de seus fornecedores

Kaseya, uma das principais desenvolvedoras de soluções de TI para MSPs (provedores de serviços gerenciados) e para o setor B2B, anunciou que foi vítima de um ataque cibernético no dia 2 de julho de 2021, durante o fim de semana do Dia da Independência dos Estados Unidos.

De acordo com as primeiras pesquisas, cibercriminosos realizaram um ataque de ransomware à cadeia de suprimentos, se aproveitando de uma vulnerabilidade no software VSA da Kaseya (que realiza análise vetorial de sinais para diagnosticar a qualidade de um sinal) com o objetivo de atingir diversos provedores de serviços gerenciados e seus clientes.

O ataque lembra o caso SolarWinds, no qual invasores foram capazes de comprometer o software de um fornecedor para enviar uma atualização maliciosa a milhares de clientes. No entanto, ainda não se sabe quão difundido será o incidente de ransomware da Kaseya – mas é provável que sua repercussão seja igualmente preocupante.

O responsável por anunciar o ataque foi o CEO da empresa, às 14h do dia 02 de julho, que declarou ter sido de vítima de “um ataque potencial contra o VSA, limitado a um pequeno número de clientes locais”. Contudo, por cautela, representantes da Kaseya pediram a seus clientes que desligassem imediatamente seus servidores VSA.

Em uma atualização de 5 de julho, a Kaseya disse que uma correção está sendo desenvolvida e que seria implantada primeiro em ambientes SaaS.

“Estamos desenvolvendo o novo patch para clientes locais, em paralelo com a restauração do Data Center SaaS”, disse a empresa, em comunicado oficial. “Estamos implantando em SaaS primeiro, pois controlamos todos os aspectos desse ambiente. Uma vez que o trabalho se prove bem-sucedido, a empresa vai publicar o cronograma de distribuição do patch para clientes locais e possíveis afetados.

Colaboradores voltam ao escritório – e levam ameaças consigo

A volta aos escritórios em países com medidas mais maleáveis de contenção do coronavírus, bem como a desinformação dos usuários a respeito das medidas de segurança da informação, criou um risco sem precedentes de ataques corporativos.

É o que mostra uma nova pesquisa da Armis, empresa de segurança localizada em Palo Alto, na Califórnia. De acordo com os resultados da pesquisa, as equipes de segurança têm muito trabalho pela frente, não só bloqueando os sistemas de suas organizações, mas também evitando que usuários sejam enganados por esquemas de phishing e abram as portas para ameaças ainda mais severas.

A Armis entrevistou 2.000 usuários finais nos EUA e descobriu que os perigos para a infraestrutura crítica, serviços públicos e para indústria de alimentos – ou seja, serviços essenciais – têm início na falta de conhecimento. Mais de 20% dos entrevistados não tinham ouvido falar de ataques em grande escala a seu setor e também não achavam que haveria quaisquer consequências de longo prazo para a cadeia de suprimentos após ataques diretamente associados a seus serviços, como foi o caso do ataque à JBS Foods ou à Colonial Pipeline.

Além disso, a pesquisa descobriu que 71% dos trabalhadores que voltam ao escritório planejam trazer importas documentos de dispositivos domésticos de volta para dispositivos corporativos – ou devem seguir usando dispositivos domésticos em ambientes corporativos -, enquanto 54% não acham que haja qualquer risco associado a isso.

Mas, infelizmente, o risco é real.

A Armis encomendou um relatório de outra empresa de segurança, que descobriu que, nos últimos dois anos, 63% das empresas de prestação de serviços de saúde foram violadas devido a um dispositivo IoT não-gerenciado. No entanto, mais de 60% dos funcionários da área de saúde pesquisados ​​não achavam que seus dispositivos pessoais representavam qualquer risco, e mais de um quarto das organizações não têm políticas em vigor que descrevam o uso apropriado de dispositivos pessoais em ambientes de negócio.

O mais impressionante do estudo, porém, é que 82% dos entrevistados que planejam trazer seus dispositivos pessoais de volta ao trabalho são profissionais encarregados da segurança cibernética em suas corporações.

Existe uma grande defasagem na educação de colaboradores a respeito dos riscos de segurança e ela precisa ser corrigida o quanto antes, ou pode se tornar uma brecha de significativa e altamente custosa para as empresas.

Grupo de hackers se passa pelo presidente do Afeganistão para infectar dispositivos do alto escalão do país

Um grupo de hackers que se comunicam em chinês está realizando ataques cibernéticos contínuos contra o governo do Afeganistão, se passando pelo presidente do país.

Acredita-se que um grupo de ameaças persistentes avançadas (APT) denominado IndigoZebra seja o responsável. Os ciberataques já miraram em ex-repúblicas soviéticas, por exemplo, conforme observado pela equipe de pesquisa da Kaspersky.

Em e-mails forjados, os cibercriminosos fingem ser do gabinete do presidente afegão, Ashraf Ghani, e pedem uma revisão urgente das modificações em um documento relacionado a uma entrevista realizada durante suposta coletiva à imprensa. Os pesquisadores dizem que esses e-mails são enviados de caixas de entrada de e-mail comprometidas de vítimas de alto perfil que sofreram ataques anteriormente.

O arquivo que serve como isca é um arquivo protegido por senha denominado NSC Press conference.rar. Se a vítima abre o arquivo, ela recebe um executável do Windows (NSC Press conference.exe), que implanta um dropper de malware no dispositivo do usuário, bem como um backdoor que garante a continuidade do ataque.

O backdoor é capaz de fazer download e upload de arquivos, executar comandos emitidos por meio de um servidor de comando e controle (C2) e roubar dados.

Entidades de segurança dizem que, se confirmada a autoria do ataque, a APT em questão também é provavelmente a responsável por ataques que datam de 2014, nos quais entidades políticas no Quirguistão e no Uzbequistão foram alvo.

700 milhões de registros contendo dados de usuários do LinkedIn estão à venda na dark web

Uma postagem com 700 milhões de registros de usuários do LinkedIn apareceu em um popular fórum de hackers da dark web, revelam pesquisadores.

Analistas do Privacy Sharks encontraram os dados colocados à venda no RaidForums por um hacker que se autodenomina “GOD User TomLiner”. O anúncio, postado em 22 de junho de 2021, ainda inclui uma amostra de 1 milhão de registros como prova da “legitimidade” da oferta.

Os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações a respeito do setor em que os usuários atuam. Não está clara a origem dos dados – mas o scraping a partir de perfis públicos é uma fonte provável.

Essa foi a estratégia por trás da venda de 500 milhões de registros do LinkedIn em abril desse ano. Ele continha uma “agregação de dados de vários sites e empresas”, bem como “dados de perfil de membros visíveis ao público”, disse o LinkedIn na época.

Mas, de acordo com porta-vozes do LinkedIn, nenhuma violação de suas redes ocorreu desta vez.

“Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes”, diz o comunicado da empresa à imprensa. “Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto. A coleta de dados do LinkedIn é uma violação de nossos Termos de Serviço e estamos constantemente trabalhando para garantir que a privacidade de nossos membros seja protegida.”

Existem mais 200 milhões de registros disponíveis desta vez, então é provável que novos dados tenham surgido e que seja mais do que uma “reaquecida” nos registros anteriores, concluem os pesquisadores. O que cibercriminosos farão em posse desses dados ainda não se sabe, mas já preocupa.

Quer manter seus dados seguros? Consulte as soluções de segurança da informação da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Brasil sofre mais de 3 bilhões de tentativas de ciberataques só no primeiro trimestre de 2021

Ameaças de malware se espalham de diferentes formas por dispositivos ao redor do mundo e continuam representando um dos principais inimigos da segurança cibernética.

O que você vai ler hoje:

30 milhões de dispositivos Dell sofrem com vulnerabilidades de alta gravidade

Quatro vulnerabilidades de alta gravidade podem permitir que invasores realizem execução arbitrária de código em ambientes de pré-inicialização de alguns dispositivos Dell, descobriram, recentemente, pesquisadores de cibersegurança.

Tais ameaças afetam cerca de 30 milhões de endpoints da Dell em todo o mundo.

Ao todo, são 129 modelos de laptops, tablets e desktops vulneráveis aos bugs – incluindo dispositivos corporativos e de uso pessoal protegidos pelo padrão de segurança da Dell, que visa assegurar que um dispositivo seja inicializado apenas por softwares confiáveis. As ameaças permitem que cibercriminosos contornem essas proteções, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores.

Atualmente, a pontuação desses bugs no Common Vulnerability Scoring System (CVSS, que avalia a gravidade das vulnerabilidades de segurança) acumula 8,3 de um total de 10 pontos.

Trata-se de mais um indicativo de como cibercriminosos podem transformar soluções de segurança em armas, uma vez que as ameaças, na verdade, exploram processos de atualização remota que visam tornar o mais fácil possível para clientes Dell manterem seu firmware atualizado.

Porém, como pontuam os pesquisadores, em relatório, “a combinação da capacidade de exploração remota com altos privilégios provavelmente tornará a funcionalidade de atualização remota um alvo atraente para invasores no futuro”.

Ataques à indústria de games cresce mais de 300% em 2020

Os ataques à indústria de videogames dispararam durante a pandemia, com ataques a aplicativos da web crescendo impressionantes 340% ao longo de 2020.

De acordo com o relatório “Gaming in a Pandemic”, são mais de 240 milhões de ataques só no ano passado – e um aumento de 415% nos ataques a aplicativos da web na indústria de jogos desde 2018.

Além disso, ataques de preenchimento de credenciais cresceram 224% durante a pandemia.

Um dos principais motivos para esse “boom” no setor é o dinheiro. De acordo com uma análise citada no relatório, o mercado global de games deve atingir US$ 175 bilhões de faturamento em 2021 – uma fonte altamente rentável para diversos tipos de ameaças, seja contra empresas ou usuários de jogos online.

Outro motivo que favorece os ataques é a maior adesão a jogos online durante a pandemia, e a vulnerabilidade crescente de dispositivos pessoais ou corporativos em função do modelo de trabalho remoto.

Campanhas direcionadas que visam explorar essa combinação de fatores já fizeram vítimas entre usuários da Steam e do Discord, por exemplo. Mas os ataques a plataformas de gaming promete ser ainda mais rentável, uma vez que as transações financeiras para aquisição de skins ou recursos para melhorias dentro dos jogos, por exemplo, é muito incentivada e comum entre os jogadores.

Malware de mineração usa modo de segurança do Windows para infectar dispositivos

Pesquisadores descobriram uma variedade de malware de mineração de criptomoedas que explora o modo de segurança do Windows durante os ataques.

Apelidado de Crackonosh, a ameaça se espalha por meio de softwares pirateados e crackeados, frequentemente encontrados em torrents, fóruns e sites na dark web.

O Crackonosh está em circulação pelo menos desde junho de 2018, de acordo com especialistas em segurança: a vítima executa um arquivo que acredita ser uma versão crackeada de um software legítimo e o malware é implantado no dispositivo.

A cadeia de infecção começa com a queda de um instalador e um script que modifica o registro do Windows para permitir que o principal executável do malware seja executado no modo de segurança. Em seguida, o sistema infectado é configurado para inicializar no modo de segurança na próxima inicialização do sistema.

“Enquanto o sistema Windows está em modo de segurança, o software antivírus não funciona”, dizem os pesquisadores. O Crackonosh, então, uma vez instalado, verificará a existência de antivírus e tentará desativá-los ou excluí-los. Depois, os arquivos do sistema de log são apagados para cobrir os rastros da ameaça.

Aproximadamente 1.000 dispositivos estão sendo atingidos a cada dia e mais de 222.000 máquinas foram infectadas em todo o mundo. No geral, pesquisadores acreditam que o Crackonosh tenha gerado pelo menos 2 milhões de dólares para seus operadores, com mais de 9.000 moedas XMR sendo mineradas até o momento.

Brasil sofreu mais de 3 bilhões de tentativas de ciberataques só no começo de 2021

O Brasil sofreu mais de 3,2 bilhões de tentativas de ataques cibernéticos só no primeiro trimestre de 2021, de acordo com uma pesquisa realizada por uma desenvolvedora de soluções de segurança da informação.

Além disso, o país lidera o ranking de ameaças sofridas na América Latina, segundo o relatório “Threat Intelligence Insider”.

No começo de 2021, mostram os pesquisadores, houve um aumento significativo na distribuição de malwares via web, muito provavelmente por conta do aumento do uso de redes sociais como plataformas de campanhas de malware e de phishing. O WhatsApp e o Facebook também foram dois aplicativos altamente afetados pelo aumento de ameaças, que geralmente têm início na distribuição de phishing, antes de evoluir para disseminação de malware.

Outro dado identificado pelo estudo é que, durante o primeiro trimestre, foram feitas diversas tentativas de execução de código remoto a roteadores e redes domésticas.

Essas ameaças são reflexo direto da adoção de um modelo de trabalho remoto, por conta da pandemia, que deixa dispositivos pessoais e corporativos excepcionalmente vulneráveis.

Quer manter sua empresa e seus colaboradores seguros? Conheça as soluções da Compugraf e saiba como podemos te ajudar!

Read more
No Comments

Malware personalizado e desconhecido rouba bilhões dados

Um ameaça de malware personalizada e sem nome resultou no roubo massivo de dados de arquivos, credenciais, cookies e muito mais. Pesquisadores encontraram os dados coletados em um banco na nuvem e tentam rastrear os responsáveis prováveis.

Pesquisadores de cibersegurança descobriram um banco de dados contendo 1,2 TB de dados roubados. Os dados foram retirados de cerca de 3,2 milhões de computadores que utilizam o sistema operacional Windows e a extração se deu ao longo de dois anos, por um malware personalizado desconhecido, dizem os especialistas.

As informações roubadas incluem 6,6 milhões de arquivos, 26 milhões de credenciais e 2 bilhões de cookies – com 400 milhões dos últimos cookies ainda válidos no momento da descoberta do banco de dados.

O malware

De acordo com pesquisadores de cibersegurança, a ameaça é um malware furtivo e ainda sem nome, que se espalhou entre 2018 e 2020 por meio de versões crackeadas e infectadas com trojan do Adobe Photoshop, além de jogos pirateados e ferramentas de cracking do Windows. Porém, é improvável que os operadores fossem muito experientes na hora de extrair esses dados e realizar campanhas de colheita, pontuam.

“A verdade é que qualquer pessoa pode colocar as mãos em um malware personalizado. É barato, customizável e pode ser encontrado em toda a web ”, disseram os especialistas, ao divulgar a análise. Eles também comentam que existem anúncios rolando na Dark Web para esses vírus, revelando um mercado muito mais profundo e complexo. “Por exemplo, qualquer pessoa pode obter seu próprio malware personalizado e até aulas sobre como usar os dados roubados por apenas US $ 100. E quando se fala em customização, significa, literalmente, customização: os anunciantes prometem ter capacidade de criar um vírus para atacar praticamente qualquer aplicativo que o comprador precisar.”

A localização do banco de dados foi revelada acidentalmente por um grupo de hackers, ainda de acordo com os pesquisadores. O provedor de nuvem que hospeda os dados foi notificado para que o banco possa ser removido, e um consultor de segurança da web subiu os endereços de e-mail comprometidos ao seu famoso repositório HaveIBeenPwned, para que as pessoas possam verificar se foram afetadas pelo malware.

“Este incidente foi sinalizado como ‘sensível’, por isso não pode ser pesquisado publicamente”, explicou o consultor.

Milhões de arquivos roubados

Foram milhões de credenciais de login roubadas, incluindo acessos para redes sociais, marketplaces, e-mails pessoais e sites de jogos, alertam os pesquisadores. E, se os usuários não tem o hábito de atualizar suas credenciais periodicamente, muitas delas podem continuar ativas – e vulneráveis.

Os pesquisadores também descobriram que o malware armazenou 6 milhões de arquivos no front-end. Dentre eles, havia 3 milhões de arquivos de texto, mais de 1 milhão de arquivos de imagem e mais de 600.000 arquivos Word e .PDF, junto a outros tipos de arquivos menos comumente utilizados.

“Mais de 50% dos arquivos roubados eram arquivos de texto”, de acordo com a análise. “É provável que grande parte desse dossiê contenha logs de software”.

Outro ponto preocupante tem a ver com hábitos pouco seguros de usuários. “Também é alarmante que algumas pessoas usam até o Bloco de Notas para guardar suas senhas, notas pessoais e outras informações confidenciais”, comentam os especialistas.

Além disso, o malware roubou 696 mil .PNG e 224 mil arquivos de imagem .JPG, fez uma captura de tela depois de infectar o computador e também tirou uma foto usando a webcam do dispositivo.

Porta para ataques mais complexos e mais graves

“O acesso a cookies ajuda os hackers a construírem uma imagem mais precisa dos hábitos e interesses dos usuários-alvo”, contam os pesquisadores. “Em alguns casos, os cookies podem até dar acesso às contas da pessoa, caso ela tenha o hábito de se manter logada em sites frequentes”.

Mas, dependendo de quão experiente for o invasor, os cookies podem abrir portas para ataques ainda mais graves. “[Por exemplo], os cookies de compras online são usados ​​para armazenar dados do carrinho de compras enquanto o usuário navega em uma loja. No entanto, eles podem ser usados ​​para sequestrar a sessão de um comprador, possibilitando a um hacker invadir sua conta e ter acesso a seu endereço residencial e detalhes de cartão de crédito, que podem estar armazenados na loja online”.

A equipe de pesquisa descobriu que foram roubados cookies de e-commerces, sites de jogos, plataformas de compartilhamento de arquivos, plataformas de streaming de vídeo e redes sociais.

Além disso, os ciberataques que se beneficiaram desse malware parecem ter feito bom uso do vírus para atingir soluções específicas, em campanhas direcionadas. O banco de dados contém uma série de credenciais, dados de preenchimento automático e informações de pagamento roubadas de 48 aplicativos e “a pesquisa mostra que o malware visava principalmente navegadores da web, para roubar a grande maioria dos dados”, de acordo com a análise.

Os 10 principais aplicativos-alvo foram os seguintes:

  • Google Chrome (19,4 milhões de registros)
  • Mozilla FireFox (3,3 milhões de registros)
  • Opera (2 milhões de registros)
  • Internet Explorer / Microsoft Edge (1,3 milhões de registros)
  • Chromium (1 milhão de registros)
  • CocCoc (451.962 registros)
  • Outlook (111.732 registros)
  • Navegador Yandex (79.530 registros)
  • Tocha (57.427 registros)
  • Thunderbird (42.057 registros)

Como se proteger contra malwares personalizados

Infelizmente, o malware personalizado é difícil de combater quando um dispositivo é infectado, disseram os pesquisadores, porque, como se trata de uma nova ameaça, o antivírus não consegue reconhecê-lo de imediato. Portanto, a prevenção é a melhor abordagem.

Estas são as práticas recomendadas para manter seus usuários e dispositivos seguros:

  • Não confie 100% nos navegadores da Web, pois eles, sozinhos, não asseguram a proteção dados confidenciais. Use gerenciadores de senha para proteger suas credenciais e informações de preenchimento automático;
  • Malwares não podem acessar arquivos criptografados, então esta pode ser uma boa prática para proteger dados sensíveis;
  • Alguns cookies são válidos por dias, enquanto outros não expiram antes de um ano. Por isso, faça da limpeza de cookies um hábito mensal;
  • Baixe apenas softwares diretamente do site do desenvolvedor ou de fontes conhecidas e confiáveis;
  • Todo malware é reconhecido eventualmente. Certifique-se de que seu antivírus esteja sempre atualizado para não ser vítima de uma ameaça antiga!

A Compugraf oferece diferentes soluções de segurança para sua empresa, protegendo seu negócio de ponta a ponta. Converse com nossos especialistas e saiba como podemos te ajudar!

Read more
No Comments