Bug de memória da Intel representa risco para centenas de produtos
Diversos produtos da Intel foram afetados por um bug cujas vulnerabilidades foram classificadas como de “alto risco” pelo sistema mundial de classificação ameaças CVSS
A Intel, fabricante de chips e gigante da tecnologia mundial, relatou, recentemente, um bug de memória que afeta o firmware do microprocessador usado em centenas de seus produtos.
De acordo com um comunicado emitido pela empresa no começo de maio, o bug é classificado como de “alto risco” pelos especialistas em segurança, com uma pontuação de 7 (do total de 10) no Common Vulnerability Scoring System (CVSS).
A vulnerabilidade reside em alguns dos produtos Intel Optane SSD e Intel Optane Data Center (DC), cujo impacto permite o escalonamento de privilégios, negação de serviço (DoS) ou divulgação de informações confidenciais.
Junto ao comunicado, a empresa lançou as atualizações de firmware e orientações prescritivas para bugs de SSD Optane, que foram observados pela primeira vez há um ano.
O que é o SSD Optane
Solid-state drives (SSD), ou “drives sólidos”, em tradução livre, são unidades utilizadas para armazenamento de dados. Já a Intel Optane é uma solução de aceleração do sistema usada para melhorar o tempo de resposta às solicitações do usuário final. A memória é instalada entre o processador e os dispositivos de armazenamento mais lentos (SATA HDD, SSHD, SSD), e armazena dados e programas mais utilizados mais próximo do processador.
Por fim, O SSD Intel Optane Data Center é usado para eliminar gargalos de armazenamento do data center e fornece armazenamento para conjuntos de dados maiores e mais acessíveis, otimizando, assim, o desempenho geral.
Detalhes da vulnerabilidade
Estas foram as vulnerabilidades associadas ao bug na memória da Intel:
De acordo com a Intel, essa vulnerabilidade tem uma pontuação de base CVSS de 7,9 e é descrita como uma condição Race dentro de uma thread nos produtos Intel Optane SSD e Intel Optane SSD DC. Sendo assim, um invasor com acesso privilegiado de usuário pode realizar um ataque de negação de serviço por meio de acesso local.
A condição Race ocorre quando duas threads tentam acessar uma variável compartilhada ao mesmo tempo.
Essa vulnerabilidade é descrita como um gerenciamento de fluxo de controle insuficiente no firmware de produtos Intel SSD e Intel SSD DC. Um usuário não-autenticado pode aproveitar essa vulnerabilidade para executar o escalonamento de privilégios por meio de acesso físico.
Tem uma pontuação de base CVSS de 7,3.
Essa vulnerabilidade é causada devido à exposição de dados confidenciais por conta de informações de depuração pouco claras no firmware. Um invasor pode realizar a divulgação de informações ou o escalonamento de privilégios por meio de acesso físico nos produtos Intel SSD DC, Intel Optane SSD e Intel Optane SSD DC.
Tem uma pontuação base CVSS de 7,3
A Intel também revelou cinco vulnerabilidades adicionais que são classificadas como médias, conforme a listagem abaixo:
Produtos afetados
A Intel também divulgou uma lista de seus produtos que são afetados por essas vulnerabilidades.
Eles incluem todas as versões do Intel Optane SSD DC D4800X e P4800X/P4801X Series, bem como a versão anterior deste, a E2010600. Versões do SSD Intel Optane Série P5800X anteriores à versão L3010200, bem como a Série 905P/900P, também foram afetadas.
Além disso, todas as versões das memórias Intel Optane H10 e H20 com o recurso Solid State Storage Series também devem ser consideradas comprometidas.
Clientes que utilizem os produtos Intel SSD ou Intel SSD DC NAND afetados devem consultar o aviso de segurança ou entrar em contato com a empresa.
Recomendações e atualizações para o bug de memória da Intel
As atualizações foram lançadas pela Intel e podem ser baixadas aqui.
A empresa também emitiu um comunicado que inclui uma possível solução alternativa para a CVE-2021-33082, e que também deve ser consultada.
Além disso, medidas holísticas de segurança ajudam a prevenir incidentes.
Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar a se proteger!
- Published in Noticias, Segurança da Informação
DCRat: malware barato e “caseiro” é surpreendentemente eficaz e preocupa pesquisadores de segurança
O novo malware DCRat tem como alvo dispositivos Windows e, de acordo com pesquisadores de segurança, é “barato e popular”, o que o torna excepcionalmente problemático
Uma poderosa variação de malware do tipo trojan, cuja ameaça é o acesso remoto a sistemas completos do Windows, está sendo vendida em fóruns clandestinos a “preço de banana”, alertam pesquisadores. E o mais curioso: essa variação está sendo desenvolvida e mantida por uma única pessoa.
Conhecido como DCRat, o malware existe desde 2018, mas foi redesenhado e relançado recentemente, em um modelo de negócio bastante intrigante.
Isso porque, quando o malware é barato, geralmente está associado a uma entrega limitada de recursos. Mas o DCRat – que é oferecido nos fóruns da Dark Web por apenas 5 dólares – está equipado com uma variedade de funções, incluindo a capacidade de roubar nomes de usuário, senhas, detalhes de cartão de crédito, histórico do navegador, credenciais de login do Telegram, contas da Steam, tokens do Discord e muito mais.
Além disso, o DCRat pode tirar prints da tela do usuário e roubar conteúdo da área de transferência; ele também contém um keylogger que pode rastrear qualquer coisa que a vítima digita em seu computador. Em última análise, o malware fornece aos criminosos cibernéticos acesso total a quase tudo que a vítima faz após o download da carga maliciosa.
Como o DCRat funciona
Malwares tão poderosos costumam ser fruto do trabalho de grupos cibercriminosos sofisticados e com uma ampla variedade de recursos, mas, de acordo com a análise de pesquisadores de segurança cibernética da BlackBerry, o DCRat é desenvolvido e mantido por um único usuário, que comercializa ativamente seu produto em vários fóruns clandestinos de língua russa, bem como em um canal de Telegram.
“Esse trojan de acesso remoto (RAT) parece ser o trabalho de um agente solo, que desenvolveu uma ferramenta caseira surpreendentemente eficaz para abrir backdoors com orçamento limitado”, alertam os pesquisadores.
A natureza anônima das contas não revela muito sobre o criador do DCRat, mas os pesquisadores presumem que, apesar das características poderosas do malware, a manutenção da ameaça não é seu trabalho integral.
Aliás, a condição financeira do agente por trás do malware pode ser a razão pela qual o DCRat está disponível a um preço tão baixo, em comparação com outras ferramentas com recursos semelhantes.
“Um operador único teria baixos custos operacionais e, dada a complexidade associada do DCRat, baixos custos para hospedagem de infraestrutura de back-end”, informa a análise do malware.
O programa malicioso é escrito na linguagem de programação JPHP, uma variação do PHP que roda em uma máquina virtual Java. A linguagem de codificação é frequentemente usada por desenvolvedores de jogos multiplataforma porque é fácil de usar e flexível o bastante para se adaptar a diferentes necessidades.
Isso faz com que os recursos da JPHP sejam ideais para o autor da ameaça desenvolver e atualizar seu malware. Tanto que os pesquisadores detacam que pequenas atualizações e correções são anunciadas quase todos os dias.
Além disso, como o JPHP não é tão amplamente usado quanto outras linguagens de programação, é potencialmente mais difícil detectar suas ameaças e proteger sistemas.
DCRat não deve ser ignorado, apesar de suas características “caseiras”
Ainda não se sabe quão aderente o malware é, no mercado do cibercrime. Mas, por enquanto, o DCRat deve ser considerado uma potente ameaça à segurança cibernética, fornecendo aos criminosos cibernéticos a capacidade de roubar grandes quantidades de informações de outros indivíduos e – pior ainda – de organizações.
Mais preocupante ainda é que o malware segue em contínuo desenvolvimento, com novos recursos sendo adicionados.
“Nós prevemos que as organizações que não contam com soluções de segurança de endpoint, ou que tenham uma postura de segurança interna desestruturada, são os alvos prováveis e/ou de maior risco”, informa a análise.
Ainda não está claro como o DCRat é realmente entregue às vítimas, mas os pesquisadores observam que a implantação do malware geralmente coincide com o uso do Cobalt Strike, uma ferramenta legítima de teste de penetração que costuma ser muito explorada por criminosos cibernéticos.
Embora o DCRat seja uma ameaça potente à segurança cibernética, existem medidas que indivíduos e organizações podem tomar para ajudar a se proteger.
Os pesquisadores sugerem que a aplicação de autenticação multifator pode ajudar a evitar que as contas sejam invadidas, mesmo que as senhas tenham sido roubadas, enquanto os departamentos de TI devem monitorar a rede para detectar – e prevenir – atividades potencialmente suspeitas.
A Compugraf oferece uma vasta gama de ferramentas de segurança cibernética para ajudar você e a sua empresa a se protegerem. Conheça nossas soluções!
- Published in Noticias
A maioria das medidas de segurança de e-mails não consegue deter ameaças comuns
89% das organizações ao redor do mundo sofreram uma ou mais violações de e-mail bem-sucedidas entre 2021 e 2022, gerando prejuízos significativos
Boa parte das equipes globais de segurança acredita que os sistemas de detecção e mitigação de riscos de seus provedores de e-mail são ineficazes contra ameaças cibernéticas mais graves – como o ransomware, por exemplo.
Os dados são de uma pesquisa conduzida pela Osterman Research e realizada com clientes corporativos que usam o Microsoft 365 como provedor de e-mail. A pesquisa examinou os níveis de preocupação com ameaças comuns de e-mail, como phishing, comprometimento de e-mails corporativos (business e-mail compromise, ou BEC), ameaças de ransomware, dentre outras. Mediu, também, o grau de preparação para a lidar com ataques e incidentes cibernéticos.
“Os gerentes de equipes de segurança estão mais preocupados com o fato das soluções atuais de segurança de e-mail não impedirem ameaças graves (particularmente o ransomware), o que retarda o tempo de resposta e remediação da equipe de segurança”, informa o relatório divulgado em maio.
Menos da metade dos pesquisados disseram que suas organizações conseguem bloquear a transferência de ameaças por e-mail. E, da mesma forma, menos da metade das organizações classificam suas soluções de segurança de e-mail atualmente implantadas como eficazes.
As mais vulneráveis, de acordo com os entrevistados, são as proteções contra ameaças de falsificação de identidade (acesso não-autorizado), seguidas pelas medidas para detectar e bloquear e-mails de phishing e spam enviados em massa.
Assim, tampouco é surpresa que quase todas as organizações pesquisadas tenham sofrido um ou mais tipos de violações de e-mail.
Maioria esmagadora das organizações sofreu algum tipo de incidente cibernético via e-mail
Cerca de 90% das organizações registraram um ou mais tipos de violação de e-mail bem-sucedidos entre 2021 e 2022. O registro anual de violações via e-mail praticamente dobrou desde 2019, de acordo com o relatório, a maioria devido a ataques de phishing bem-sucedidos que comprometeram as credenciais do Microsoft 365.
De modo geral, de acordo com a pesquisa, ataques bem-sucedidos de ransomware cresceram 71% nos últimos três anos, o comprometimento de credenciais do Microsoft 365 aumentou em 49% e os ataques de phishing bem-sucedidos aumentaram em 44%.
Abordagens defensivas ineficazes
Investigando onde as defesas de e-mail falham, as empresas descobriram que, surpreendentemente, o uso de plug-ins para que os usuários denunciem mensagens suspeitas continua a aumentar. Metade das organizações agora está usando um plug-in automatizado para reportar e-mails suspeitos, que então são enviados para análise por profissionais de segurança treinados. Em 2019, esse recurso era utilizado por apenas 37% das organizações.
Analistas de um centro de operações de segurança, administradores de e-mail e um fornecedor de segurança ou provedor de serviços de segurança são os grupos que lidam com mais frequência com esses relatórios, embora 78% das organizações notifiquem dois ou mais desses grupos.
Além disso, o treinamento de usuários sobre ameaças de e-mail agora é oferecido na maioria das empresas, segundo a pesquisa: mais de 99% das organizações oferecem algum tipo de treinamento anualmente, e uma em cada sete organizações oferece treinamentos mensalmente ou com mais frequência.
“O treinamento mais frequente reduz uma série de incidentes de segurança. Entre as empresas que oferecem treinamento a cada 90 dias, pelo menos, a probabilidade de os funcionários serem vítima de uma ameaça de phishing, BEC ou ransomware é menor do que nas organizações que treinam apenas uma ou duas vezes por ano”, informa o relatório.
Além disso, a pesquisa descobriu que o treinamento mais frequente resulta em mais mensagens relatadas como suspeitas e uma parcela maior dessas mensagens suspeitas se revelando maliciosas após a análise de um profissional de segurança.
Então, onde está o problema?
As lacunas no ecossistema de segurança de e-mails
Os pesquisadores fizeram uma descoberta preocupante, ao investigar mais a fundo a cadeia de segurança de e-mails: apenas cerca de um quinto (22%) das organizações analisam todas as mensagens relatadas em busca de mensagens maliciosas.
“Não fica claro como os colaboradores devem agir quando não existe clareza se as mensagens são maliciosas, o que pode ocorrer por falta de um veredito dos grupos de segurança”, dizem as empresas.
Em geral, a pesquisa também mostrou que as organizações estão usando pelo menos uma ferramenta de segurança adicional para complementar as proteções de e-mail básicas oferecidas pelo Microsoft 365. No entanto, a eficácia de implementação varia.
“As ferramentas adicionais vão desde o Microsoft 365 Defender, um gateway de e-mail terceirizado ou uma extensão anti-phishing fornecida por terceiros”, explicou o relatório. “Existe uma ampla gama de padrões de implantação com o uso dessas ferramentas”.
As empresas concluíram que esses tipos de lacunas e defesas ineficazes resultam em custos significativos para as organizações.
Afinal, “os custos incluem remediação pós-incidente, remoção manual de mensagens maliciosas das caixas de entrada dos colaboradores, além do tempo desperdiçado em mitigar mensagens relatadas como suspeitas mas que, após análise, resultam ser benignas”, informa o relatório.
As organizações também enfrentam uma série de outros custos “invisíveis”, incluindo exaustão de alertas, rotatividade de analistas de segurança cibernética e multas regulatórias, caso sejam vítimas de incidentes cibernéticos.
Quer proteger sua empresa e seus colaboradores de forma eficaz? Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Resgates de ransomware continuam crescendo, mas organizações estão mais preparadas para se proteger
O valor dos resgates continuam subindo, porém há sinais de que as empresas estão mais atentas às medidas de segurança
Vítimas de ataques de ransomware estão pagando valores de resgate mais altos do que nunca; porém, há indícios de que as organizações estão começando a prestar atenção às recomendações de segurança cibernética, tornando-se mais resistentes aos ciberataques.
Ainda assim, de acordo com a análise dos pesquisadores de segurança cibernética da Sophos, o valor médio de resgate pago pelas vítimas aumentou para US$ 812.260 – um aumento de quase cinco vezes em comparação com a média de 2020, de US$ 170.000. Em troca, essas vítimas recebem dos criminosos cibernéticos por uma chave de descriptografia para restaurar seus arquivos e servidores – que, aliás, corre o risco de não funcionar.
Além disso, a proporção de vítimas que paga resgates de mais de US$ 1 milhão também aumentou substancialmente, de 4% dos pagamentos de resgate em 2020 para 11% em 2021 – o que significa que um em cada dez ataques de ransomware bem-sucedidos está rendendo aos criminosos cibernéticos no mínimo um pagamento de um milhão de dólares.
A forma como empresas encaram ataques de ransomware está mudando
De acordo com a análise da Sophos, pouco menos da metade das vítimas de ransomware paga o resgate, percebendo que é a maneira mais rápida de restaurar a rede – mesmo que as chaves de descriptografia fornecidas por criminosos cibernéticos não sejam confiáveis e o pagamento de um resgate possa mostrar que a vítima é um alvo fácil, que cede à extorsão.
Também deve-se considerar que os ataques de ransomware continuam sendo bem-sucedidos porque os criminosos cibernéticos ainda podem explorar vulnerabilidades comuns de segurança cibernética para entrar em redes pessoais e corporativas e mobilizar campanhas. Mas, embora o ransomware ainda seja um grande problema de segurança cibernética, há sinais de que a situação pode estar prestes a melhorar.
Chester Wisniewski, um dos principais pesquisadores da Sophos, disse à imprensa que está “um pouco otimista, pela primeira vez em anos, sobre as perspectivas do ransomware. Podemos estar no auge do nosso pior agora, mas espero que comecemos a virar a esquina”.
O cientista também citou o papel de órgãos governamentais como a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), que intervieram de “maneira significativa” fornecendo conselhos acessíveis e úteis sobre como melhorar a segurança cibernética ao redor do mundo.
Além disso, provedores de seguro cibernético, no Brasil e afora, estão exigindo melhores estruturas de segurança por parte das empresas antes de emitir apólices. O cientista também disse que as sanções dos EUA contra a Rússia, após a invasão da Ucrânia, tiveram um impacto nas empresas americanas que não querem pagar resgates a criminosos cibernéticos, que geralmente trabalham nessa região.
“Estamos vendo isso como um motivador muito sério para as empresas e seguradoras não pagarem resgates”, disse ele.
Mas, embora haja alguns sinais encorajadores, é improvável que o ransomware desapareça tão cedo.
Ransomware continuará fazendo vítimas
A razão pela qual o ransomware é tão lucrativo para os criminosos cibernéticos é porque existem vítimas que pagam os resgates milionários.
Enquanto houver organizações vulneráveis a ataques cibernéticos, e que estejam dispostas a pagar demandas de resgate de seis dígitos, haverá grupos de ransomware tentando explorar essa oportunidade.
“É difícil deter os grupos de ransomware porque há muito dinheiro a ser ganho quando eles fazem uma vítima”, conluiu Wisniewski. “Os criminosos não vão fechar os olhos para isso. Mesmo que seja uma chance em vinte, ainda é um milhão de dólares”.
Se proteger o máximo que puder e, se afetado pelo malware, não pagar o resgate: essas são as principais recomendações dos especialistas. Para manter sua empresa segura, conheça as soluções da Compugraf e veja como podemos te ajudar!
- Published in Noticias
Log4shell: empresas que não aplicaram patches continuam vulneráveis
A ameaça baseada na Apache Log4j continua sendo ativamente explorada – e fazendo vítimas significativas, por falta de rotinha de correção de vulnerabilidades
Meses após a vulnerabilidade zero-day na amplamente utilizada biblioteca de Java Apache Log4j ser divulgada – e ter causado pânico geral, ficando conhecida como ameaça Log4shell – um número significativo de softwares e servidores ainda estão vulneráveis a ataques cibernéticos oriundos dessa ameaça porque os patches de segurança não foram aplicados.
Detalhada pela primeira vez em dezembro, a vulnerabilidade CVE-2021-44228 permite que invasores executem código remotamente e obtenham acesso a sistemas que usam o Log4j.
Não apenas a vulnerabilidade é relativamente simples de ser explorada, mas a natureza quase que onipresente do Log4j significa que ele pode ser encontrado em uma vasta gama de aplicativos, serviços e ferramentas empresariais, usadas por organizações e indivíduos em todo o mundo.
É por isso que a Agência de Segurança Cibernética e Infraestrutura dos EUA, CISA, descreveu a vulnerabilidade como “uma das mais graves que já vistas em toda a história, se não a mais grave”.
Mas, apesar dos avisos e das urgências impostas pela vulnerabilidade, ainda há uma grande quantidade de instâncias Log4j operando e expostas a ataques cibernéticos.
Milhares de aplicativos e servidores estão vulneráveis ao Log4shell
De acordo com pesquisadores da empresa de segurança cibernética Rezilion, existem mais de 90.000 aplicativos vulneráveis e mais de 68.000 servidores que ainda estão expostos publicamente, operando sem as correções necessárias.
As instâncias expostas foram descobertas executando pesquisas no mecanismo de pesquisa de dispositivos IoT, Shodan – e os pesquisadores alertam que o que foi descoberto provavelmente é “apenas a ponta do iceberg” em termos da superfície de ataque vulnerável real.
Riscos do Log4shell para as organizações não diminuíram
As vulnerabilidades do Log4j deixam as organizações expostas aos mais diferentes tipos de ataques cibernéticos e a criminosos cibernéticos que podem facilmente verificar as vulnerabilidades a serem exploradas.
Tanto é que, pouco tempo depois que o Log4j foi divulgado, foram feitas milhares de tentativas de implantar ransomware e malware de mineração em servidores vulneráveis.
Grupos de hackers financiados pelo Estado também foram flagrados tentando tirar proveito das vulnerabilidades do Log4j. Estes incluem os grupos de espionagem chineses Hafnium e APT41, bem como grupos de hackers iranianos – APT35 e Tunnel Vision.
Embora esses grupos de hackers se beneficiem de recursos abundantes e investimento estatal para bancar suas operações, a capacidade de explorar vulnerabilidades comuns é particularmente útil, pois os ataques são menos propensos a deixar rastros que possam estar vinculados a um grupo de hackers específico.
Como se proteger dos ataques baseados no Log4j
Uma das razões pelas quais as vulnerabilidades do Log4j ainda persistem é porque a falha pode estar profundamente arraigada nos aplicativos, a ponto de não ficar claro que a biblioteca de log Java seja parte desse sistema.
Mas há passos que podem – e devem – ser dados para garantir que a rede esteja protegida contra ataques que tentam explorar o Log4j. O mais importante é, sem dúvidas, identificar e corrigir instâncias inseguras do Log4j.
A rede também deve ser examinada regularmente para ajudar a identificar possíveis vulnerabilidades.
“Você precisa ter processos que monitorem continuamente seu ambiente em busca de vulnerabilidades críticas com ênfase em código de terceiros”, disseram os pesquisadores.
Se um ativo Log4j vulnerável for identificado, é recomendável que as equipes de segurança da informação ajam com base no comprometimento do sistema, para procurar sinais de atividade maliciosa em potencial e se preparar para agir.
As soluções de segurança da Compugraf ajudam a manter seus dispositivos e sistemas protegidos. Conheça!
- Published in Noticias
Hackers usam mensagens de voz do WhatsApp para roubar informações em campanha de phishing
O objetivo dos cibercriminosos é conseguir informações do Office 365 e do Google Workspace, em uma nova campanha que usa um domínio legítimo russo para enviar golpes de WhatsApp
Criminosos estão falsificando notificações de mensagens de voz do WhatsApp em uma campanha de phishing direcionada a usuários comuns e que utiliza um domínio legítimo da Rússia para espalhar malware de roubo de dados pessoais, descobriram pesquisadores de segurança.
A campanha maliciosa tem como objetivo contas do Office 365 e do Google Workspace e utiliza mensagens enviadas de um domínio associado ao Centro de Segurança Rodoviária, uma instituição que se acredita estar localizada na região de Moscou, na Rússia.
O site em si é legítimo, pois está conectado às operações estaduais de segurança rodoviária de Moscou e pertence ao Ministério de Assuntos Internos da Federação Russa, de acordo com o relatório publicado em abril. Porém, acredita-se que a ameaça seja global, e utiliza o domínio apenas para contornar medidas de segurança tradicionais.
Até agora, os criminosos atingiram cerca de 27.660 caixas de entrada com a campanha, que falsifica o popular aplicativo de mensagens para “informar às vítimas que elas têm uma nova mensagem de voz privada” no WhatsApp. A mensagem inclui um link que permite que a vítima reproduza a mensagem de voz, disseram os pesquisadores.
As organizações-alvo incluem empresas do setor de saúde, educação e varejo, alerta o relatório.
O ataque “emprega uma gama de técnicas para passar pelos filtros tradicionais de segurança de e-mail e passar nos testes de verificação dos usuários mais inocentes”, explica o relatório.
As táticas incluem estratégias de engenharia social, gerando confiança e urgência nos e-mails enviados às vítimas; personificação de marca, falsificando o WhatsApp; a exploração de um domínio legítimo para enviar os e-mails; e a replicação de fluxos de trabalho existentes, ou seja, receber uma notificação por e-mail de uma mensagem de voz.
Como funciona a campanha de phishing via WhatsApp
As vítimas potenciais da campanha recebem um e-mail com o título “nova mensagem de voz recebida”; o e-mail inclui um cabeçalho que reitera a mensagem, criando um senso de urgência.
O corpo do e-mail falsifica uma mensagem segura do WhatsApp e informa à vítima que ela recebeu uma nova mensagem privada, inserindo um botão de “reproduzir” para que o usuário possa ouvir a mensagem.
O domínio do remetente do e-mail é “mailman.cbddmo.ru”, que os pesquisadores vincularam à página do centro de segurança rodoviária da região de Moscou – um site legítimo, o que permite que os e-mails passem pelas verificações de autenticação da Microsoft e do Google.
No entanto, é possível que os criminosos tenham explorado uma versão obsoleta ou antiga do domínio raiz dessa organização para enviar os e-mails maliciosos.
Se o destinatário clicar no botão “reproduzir” do e-mail, ele será redirecionado para uma página que tenta instalar um trojan JS/Kryptik – um código JavaScript incorporado em páginas HTML que redireciona o navegador para um URL malicioso e implementa um exploit específico, de acordo com o relatório.
Quando o alvo chega à página maliciosa, um prompt solicita a confirmação de que a vítima não é um robô. Então, se a vítima clicar em “permitir” no pop-up na URL, um serviço de anúncios do navegador pode instalar a carga maliciosa como um aplicativo do Windows, permitindo que ele ignore o Controle de Conta de Usuário.
“Uma vez que o malware foi instalado, ele pode roubar informações confidenciais, como credenciais armazenadas no navegador”, informam os pesquisadores.
Usuários desavisados podem abrir as portas para redes corporativas
Embora a campanha pareça estar focada em consumidores, e não nas empresas, a campanha pode ser uma ameaça às redes corporativas se as vítimas caírem no golpe e o malware for instalado.
Isso porque o roubo das credenciais pode incluir dados corporativos, sobretudo em tempos de trabalho remoto e de dispositivos compartilhados para atividades pessoais e profissionais. Como o foco é em usuários do Office 365 e do Google Workspace, é provável que esse seja o passo seguinte da campanha,
Mirar nos consumidores é um caminho de sucesso para os cibercriminosos, pois as pessoas parecem baixar a guarda com a comunicação eletrônica, sobretudo quando se trata de um aplicativo tão comumente usado como o WhatsApp. Além disso, com táticas cada vez mais sofisticadas, tem se tornado especialmente complexa a detecção de ameaças pelos usuários comuns.
É por isso que, além das soluções de segurança, empresas que querem se manter seguras precisam investir na educação e treinamento de colaboradores, a fim de que eles possam identificar ameaças de phishing e outros ataques comuns que, embora, a princípio, não mirem redes corporativas, podem abrir as portas para uma invasão em larga escala.
Quer proteger sua empresa dos diversos ataques e golpes cibernéticos em circulação atualmente? Conheça as soluções de segurança da Compugraf e saiba como podemos ajudar os seus colaboradores a se manterem seguros!
- Published in Noticias
Centenas de pacotes maliciosos foram encontrados em “fábrica” de npm
Mais de 700 pacotes maliciosos foram publicados em apenas cinco dias em campanha escalável e complexa, visando desenvolvedores
Em março deste ano, pesquisadores da empresa de softwares JFrog divulgaram uma campanha que indicava que um criminoso, ainda não-identificado, havia publicado pelo menos 200 pacotes maliciosos no Node Package Manager (npm) – a plataforma de gerenciamento de softwares subsidiária do GitHub.
A equipe disse que esses repositórios foram detectados pela primeira vez em 21 de março e cresceram rapidamente em volume, com cada pacote npm deliberadamente nomeado de modo a imitar um software legítimo.
Após continuidade da investigação, a contagem de pacotes maliciosos publicado ultrapassou os 700.
O que é e para que serve o npm
De forma bastante sucinta, npm é o gerenciador de pacotes para a plataforma Node.js, um software open-source e multiplataforma para desenvolvimento e execução de códigos JavaScript.
O npm serve para organizar módulos para que o Node possa encontrá-los de forma facilitada, bem como gerenciar conflitos de dependência de forma inteligente nos códigos. O npm é altamente customizável, a fim de apoiar uma ampla variedade de possibilidades de uso. Mais comumente, é usado para publicar, descobrir, instalar e desenvolver programas em Java.
Por isso, quando utilizado para fins maliciosos, pode se tornar uma arma bastante perigosa.
A campanha de npm é complexa e escalável
No dia 28 de marçod, pesquisadores da Checkmarx, empresa de segurança de software, disseram que a equipe de Supply Chain Security (SCS) da empresa também está rastreando essas atividades e registrou mais de 600 pacotes maliciosos publicados em cinco dias, elevando o total de pacotes para mais de 700.
Para tentar manter a discrição dos ataques, o criminoso tem usado contas de usuário únicas para subir os pacotes.
“Isso é incomum para a maioria dos ataques automatizados; geralmente, os invasores criam um único usuário e expandem seus ataques a partir dele”, dizem os pesquisadores. “A partir desse comportamento, podemos concluir que o invasor construiu um processo de automação de ponta a ponta, incluindo o registro de usuários e a aprovação das autenticações OTP”.
De acordo com a Checkmarx, a “fábrica” do invasor está desenvolvendo pacotes npm maliciosos que contam com uma confusão proposital na dependência de tipo para enganar os desenvolvedores e roubar seus dados com sucesso.
Como a fábrica de npm funciona
Conforme observado anteriormente pela JFrog, o método de ataque depende de typosquatting – isto é, sequestro de URLs – e de nomenclaturas que simulam pacotes confiáveis, geralmente removendo partes do nome de um pacote para parecer mais legítimo.
O servidor de comando e controle (C2) usado para gerenciar a infraestrutura geral da onda de ataque, “rt11[.]ml”, também é o endereço do destinatário para as informações roubadas. O C2 parece estar executando o Interactsh, uma ferramenta de código aberto escrita na linguagem de programação Go para extração de dados.
A Checkmarx configurou seu próprio domínio e servidor a fim de entender melhor o método do invasor. Escreveram, então, um script que abre contas npm mediante solicitação, usando o software de teste SeleniumLibrary. O script pode gerar nomes de usuário e endereços de e-mail aleatoriamente no domínio de teste e inicia automaticamente o processo de inscrição.
É aí que entra o Interactsh. Para ignorar a verificação de senha de uso único (OTP) usada pelo npm, o Interactsh extrai automaticamente o OTP e o envia de volta ao formulário de inscrição, permitindo que a solicitação de criação de conta seja bem-sucedida, se esquivando das medidas de segurança.
“Vale ressaltar que, uma vez criada a conta de usuário, é possível configurá-la de forma a não exigir OTP para publicar um pacote”, disseram os pesquisadores. “Isso pode ser feito usando um token de autenticação e configurando-o para funcionar sem 2FA. Presumimos que é assim que os invasores que publicaram pacotes maliciosos foram capazes de automatizar seu processo sem configurar o mecanismo descrito.”
A Checkmarx, assim como a JFrog, relataram os pacotes maliciosos à equipe de segurança do npm. Além disso, a empresa que fornece o servidor C2 também foi notificada.
“Ao distribuir os pacotes por meio de vários nomes de usuário, o invasor torna mais difícil para os defensores derrubá-los de forma assertiva e eficaz”, observaram os pesquisadores. “Com isso, é claro, aumentam as chances de infecção.”
Quer manter sua empresa protegida de diferentes tipos de ataques cibernéticos? Confira as soluções de segurança da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Malware Borat RAT: uma ameaça tripla que combina RAT, spyware e ransomware
O malware combina acesso remoto, spyware e ransomware em um pacote inspirado no clássico personagem “Borat”
Um novo Trojan de Acesso Remoto (RAT) pode até ter um nome divertido para alguns, mas sua combinação única de ameaças mostra que o malware não tem nada de engraçado.
Apelidado de Borat RAT, o Cyble Research Labs divulgou, em uma análise recente do malware, que a nova ameaça não se restringe aos recursos padrão de acesso remoto; em vez disso, o Borat RAT também inclui funções de spyware e ransomware – evoluções de malware que tornam a ameaça especialmente nociva.
De acordo com os pesquisadores de segurança cibernética, o Trojan, que leva o nome do personagem adotado pelo comediante Sacha Baron Cohen e protagonista da série de clássicos da comédia norte-americana, “Borat!”, cujo primeiro filme “O Segundo Melhor Repórter do Glorioso País Cazaquistão Viaja à América” foi sucesso mundial de bilheteria, é colocado à venda para cibercriminosos em fóruns clandestinos.
A ameaça possui um painel de controle centralizado e sua estrutura conta com módulos de construção de código e de recursos e um certificado de servidor.
Por dentro do malware Borat RAT
Os recursos do malware são vastos e incluem um keylogger, um componente de criptografia e descriptografia de ransomware – bem como a opção para os usuários gerarem suas próprias notas de resgate – e um recurso opcional de negação de serviço distribuído (DDoS) para “interromper o tráfego habitual de um servidor de destino”, de acordo com o relatório da Cyble.
O uso de “RAT” no nome – além de inspirar o trocadilho com “Borat” – também dá um indicativo dos recursos remotos e de vigilância desse malware altamente elaborado.
O Borat RAT pode gravar remotamente o áudio de uma máquina, comprometendo seu microfone, capturar imagens da webcam e também disponibiliza uma série de alternativas de controle remoto: sequestro de mouse ou teclado, captura de tela, adulteração de configurações do sistema e roubo e exclusão de arquivos.
O Borat RAT também utiliza o esvaziamento de processos para comprometer processos legítimos no dispositivo da vítima e também pode permitir que proxies reversos permaneçam sob o radar enquanto são realizadas atividades maliciosas.
Como o malware funciona
Se o ataque for bem-sucedido, o malware coletará dados, incluindo informações do sistema operacional, antes de enviá-los para um servidor de comando e controle (C2) controlado pelo invasor.
Além disso, o Borat RAT extrairá informações do navegador, como cookies, históricos de navegação, marcadores e favoritos e credenciais dos usuários. Tokens do Discord também podem ser roubados. A ameaça afeta navegadores como o Chrome e o Microsoft Edge baseado em Chromium.
O relatório que detalha a ameaça informa que o malware também pode executar outras funções com o objetivo de “perturbar” suas vítimas, incluindo reproduzir áudios, trocar as funções dos botões do mouse, mostrar ou ocultar uma área de trabalho e barra de tarefas, congelar o mouse, adulterar as luzes da webcam, desligar um monitor e muito mais. Essas perturbações muito provavelmente também foram inspiradas no personagem que lhe empresta o nome.
Trata-se de uma das ameaças mais complexas e disruptivas já vista nos últimos tempos, destacam os pesquisadores. Embora ainda se tenha poucos detalhes de ataques que exploram o malware, é certo que eles ocorrerão em breve.
Mantenha sua empresa e seus dispositivos seguros. Consulte as soluções da Compugraf e saiba como podemos te ajudar!
- Published in Noticias
Spring4Shell: Microsoft pede que seus usuários corrijam com urgência este perigoso bug
Microsoft pede que clientes de seus serviços corrijam o bug Spring4Shell Java, derivado do altamente malicioso Log4Shell
O bug Spring4Shell é uma falha descoberta recentemente no Spring Framework para Java, um framework open source amplamente utilizado ao redor do mundo.
Em um alerta de segurança emitido em abril, a Microsoft pede, com urgência, que clientes de seu serviço baseado em nuvem, o Azure, corrijam o bug – uma vulnerabilidade de execução remota de código (RCE) de classificação crítica, que foi marcada como CVE-2022-22965 e apelidada de SpringShell ou Spring4Shell – uma reviravolta no altamente danoso bug Log4Shell que afeta outro utilitário de criação de logs de aplicativos baseados em Java.
Embora, inicialmente, tenha havido um debate e algumas discordâncias sobre a gravidade do bug, investigações feitas por pesquisadores de segurança nos dias seguintes à descoberta da falha revelaram que o Spring4Shell era de fato um bug sério que merecia atenção.
Agência de segurança dos Estados Unidos emite alerta contra o Spring4Shell
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), no dia 1º de abril, instou todas as organizações, incluindo agências federais, a corrigir o bug imediatamente. Em 4 de abril, a CISA adicionou o bug ao seu catálogo de vulnerabilidades exploradas conhecidas, o que exige que as agências federais o corrijam dentro do prazo estipulado pela agência.
O que torna a ameaça tão grave é o fato de o Spring Framework ser “o framework de código aberto leve mais amplamente usado para Java”, observa a Microsoft. O bug reside no Java Development Kit (JDK) da versão 9.0 e superior se o sistema também estiver usando Spring Framework versões 5.3.0 a 5.3.17, 5.2.0 a 5.2.19 e anteriores.
“No Java Development Kit (JDK) versão 9.0 ou posterior, um invasor remoto pode obter acesso via AccessLogValve, por meio do recurso de vinculação de parâmetros da estrutura e usar valores de campo maliciosos para acionar o mecanismo de pipeline e gravar em um arquivo em um caminho arbitrário, se determinadas condições são atendidas”, relata a equipe de inteligência de ameaças do Microsoft Defender.
Outras condições necessárias para a exploração incluem que o Apache Tomcat (servidor web Java) sirva como o contêiner principal e que o aplicativo seja empacotado como um arquivo web Java tradicional (WAR) e implantado em uma instância Tomcat independente.
“Qualquer sistema usando JDK 9.0 ou posterior e usando o Spring Framework ou estruturas derivadas deve ser considerado vulnerável”, observa a Microsoft.
A Microsoft observa que a única exploração de trabalho, uma prova de conceito, só pode ser usada remotamente em um servidor Tomcat por meio de seu módulo de log usando determinados comandos. Um invasor pode alterar os logs de acesso padrão para qualquer arquivo que desejar, emitindo solicitações para ele pela web. O invasor pode, também, alterar o conteúdo de um servidor ou aplicativo da Web.
O impacto do Spring4Shell em softwares e hardwares
Assim como o Log4Shell, o impacto do Spring4Shell é sentido por meio de sua inclusão em outros produtos. A empresa de softwares VMware, por exemplo, alertou que a vulnerabilidade afetou seus serviços para dispositivos virtuais.
“O exploit atual aproveita o mesmo mecanismo do CVE-2010-1622 (Log4Shell), ignorando a correção de bug anterior. O Java 9 adicionou uma nova tecnologia chamada Java Modules”, avalia a Microsoft.
As equipes de segurança interessadas em pesquisar o assunto podem consultar esta postagem do usuário no GitHub. A equipe por trás do Spring também explicou o patch e a vulnerabilidade aqui.
Para se proteger, é fundamental contar com as últimas soluções de cibersegurança, além de uma política contínua de detecção e revisão de vulnerabilidades.
Nós podemos te ajudar! Conheça os produtos de segurança da informação da Compugraf ou entre em contato com nossos especialistas!
- Published in Noticias
Cibercriminosos miram em fontes de energia de infraestruturas críticas
Dispositivos criados para garantir o funcionamento ininterrupto de estruturas críticas de TI e sistemas de informação, em geral, são os novos alvos estratégicos de cibercriminosos
Novos ciberataques têm como alvo dispositivos de fonte de energia ininterrupta (uninterrupted power supply ou UPS), mais conhecidos na forma de no-breaks, por exemplo, que fornecem uma espécie de backup de bateria durante picos de uso e interrupções de energia.
Os dispositivos UPS são geralmente usados em ambientes de infraestrutura crítica, protegendo instalações, equipamentos de TI e importantes sistemas de organizações essenciais. Logo, os riscos de um ataque dessa magnitude podem ser catastróficos, dependendo da organização-alvo.
Essas informações foram divulgadas pela equipe de pesquisa da Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento de Energia dos EUA, que alertaram que agentes maliciosos estão mirando em versões conectadas à Internet de UPSs sobretudo por meio de nomes de usuários e senhas-padrão- embora vulnerabilidades, como bugs de dispositivo – também façam parte das muitas portas de entrada para invasores.
O risco de UPSs vulneráveis
“Nos últimos anos, os fornecedores de UPS adicionaram um recurso de Internet das Coisas [IoT] aos dispositivos, de modo que, agora, eles são rotineiramente conectados a redes cibernéticas para monitoramento de energia, manutenção de rotina e/ou conveniência”, informa o relatório de alerta da CISA, divulgado em março.
“As cargas de UPSs podem variar das mais baixas (por exemplo, alguns servidores) a grandes (por exemplo, um prédio) ou massivas (por exemplo, um data center)”, diz a CISA.
Se os invasores conseguirem controlar remotamente os dispositivos, eles poderão ser usados para uma série de fins potencialmente catastróficos.
Por exemplo, cibercriminosos podem usá-los como ponto de partida para violar a rede interna de uma empresa e roubar dados. Ou, em um cenário mais controverso, eles podem ser usados para cortar a energia de aparelhos, equipamentos ou serviços de infraestrutura crítica, o que pode causar danos físicos em um ambiente industrial ou interromper os serviços de negócios, levando a perdas financeiras significativas.
Além disso, os ciberataques também podem executar código remoto para alterar a operação dos próprios UPSs ou danificá-los fisicamente (ou danificar os dispositivos conectados a eles).
“É fácil esquecer que todos os dispositivos conectados à Internet correm maior risco de ataque”, observou Tim Erlin, vice-presidente da Tripwire, à imprensa. “Só porque um fornecedor oferece a possibilidade de conectar um dispositivo à Internet, não significa que ele esteja configurado para ser seguro. Cabe a cada organização garantir que os sistemas que utilizam sejam configurados com segurança.”
Corrigir a vulnerabilidade de UPSs não é difícil, porém…
Os responsáveis pela manutenção dos UPSs, que, de acordo com o que a CISA observou, pode incluir equipe de TI, equipe de operações, operadores de manutenção industrial ou terceirizados de serviços de monitoramento, têm uma solução fácil para o problema: enumerar todos os UPSs com IoT conectados e, simplesmente, deixá-los offline.
Se a manutenção de uma conexão IoT ativa for um requisito, os administradores devem alterar as credenciais padrão para uma combinação forte de nome de usuário e senha – e, de preferência, implementar também a autenticação multifator (MFA), acrescentou a CISA.
Outros recursos de mitigação, de acordo com o relatório, são: garantir que os UPSs estejam por trás de uma rede privada virtual (VPN) e adotar recursos de bloqueio de login após determinado período, para que os dispositivos não estejam continuamente online e vulneráveis.
Quer manter os dispositivos da sua empresa seguros? Conheça as soluções da Compugraf e saiba como podemos ajudar!
- Published in Noticias