Jump to content

  • News

    • Bruna Chieco
      Um pesquisador de segurança encontrou um bug "crítico" no mecanismo de jogo da desenvolvedora de jogos Valve, que alimenta, entre outros jogos, o Counter Strike. Segundo reportagem da Vice, a partir dessa falha, atacantes poderiam assumir o controle dos computadores das vítimas apenas enganando-as para que cliquem em um convite do software de gestão Steam. 
      O pesquisador diz ter alertado a Valve sobre a falha em junho de 2019. Embora o bug tenha sido corrigido em alguns jogos que usam o motor Source, ele ainda está presente no Counter Strike: Global Offensive. Outro pesquisador também encontrou o mesmo bug meses depois.
      Por meio dessa falha, atacantes poderiam espalhá-la automaticamente, quase como um worm. Ou seja, depois de infectar alguém, a pessoa pode ser transformada em "arma" para infectar seus amigos e assim por diante.
    • Bancos digitais são cada vez mais comuns, com instituições financeiras aumentando suas ofertas em plataformas online para otimizar a eficiência e melhorar a experiência do cliente. Por outro lado, isso torna essas ferramentas expostas a um nível maior de risco de malware. A SecurityScorecard, empresa de segurança da informação focada em entidades corporativas, listou os principais tipos de malwares bancários que hoje ameaçam o sistema financeiro:
      1. Zeus
      Atuante no cenário digital desde 2007, o Zeus entrou está entre os malwares bancários mais antigos e que originalmente roubava credenciais do usuário, manipulava formulários de página ou redirecionava usuários para sites não autorizados. Com sua evolução, o malware passou a ser capaz de escapar da detecção por longos períodos e até mesmo gerar receita. O Zeus é um dos malwares bancários mais comuns e difundidos, embora sua versão original tenha sido neutralizada. Muitas ameaças de malware bancário vêm da família Zeus.
      2. Gozi
      O Gozi também é uma das ameaças de malware bancário mais antigas, e continua sendo uma das principais ameaças para o setor de serviços financeiros. O malware engana os usuários para que enviem informações confidenciais ou concluam transações financeiras em contas que não pertencem a eles. Em constante evolução e implementação de novas técnicas de evasão avançadas, o Gozi se conecta com outras ameaças de malware, como DanaBot ou Tinba.
      3. Citadel
      Descendente do Zeus, o Citadel foi identificado pela primeira vez em 2011, tendo como alvo de credenciais de login armazenadas em gerenciadores de senha. O malware não é uma ameaça tão ativa quanto era há quase 10 anos, mas sua ampla distribuição nos primeiros anos de atuação significa que essa ameaça pode reaparecer a qualquer momento.
      4. Emotet
      O Emotet entrou no setor bancário em 2014 e começou como um malware relativamente simples, normalmente usado para obter acesso a sistemas não autorizados, vendendo-os a outros cibercriminosos. Mas ele evoluiu nos anos seguintes, se tornando capaz de liberar pedaços adicionais de malware. 
      5. SpyEye
      O SpyEye rouba credenciais de usuário e fundos de contas bancárias online. Seu alvo mais frequente são usuários do Windows em navegadores da Internet comuns. O principal objetivo desse malware é, normalmente, roubar informações altamente confidenciais, identidades de usuários e cometer furtos financeiros. O SpyEye é o único malware que tentou remover seu concorrente, Zeus, incluindo um recurso que removeria o malware de uma máquina já infectada.
      6. Panda
      Variante do Zeus, o Panda aproveita técnicas como ataques man-in-the-brows (MITB) ou registro de pressionamento de tecla. No entanto, seu principal diferencial é a capacidade de escapar da detecção, existindo pelo menos 23 ferramentas analíticas forenses conhecidas que o Panda pode detectar. 
       
      Como os bancos podem se proteger contra ameaças de malware
      A SecurityScorecard alerta que o setor bancário continua a adotar tecnologias emergentes e fornecer novos serviços aos clientes, o que faz com que a segurança cibernética deva permanecer em alta. Para garantir que as políticas e programas de segurança corretos estejam em vigor, as organizações devem considerar o seguinte:
      1. Implementar um programa de gerenciamento de risco de segurança cibernética
      Um programa de gerenciamento de risco de segurança cibernética eficaz deve ser desenvolvido de acordo com os objetivos de negócios da organização em mente. A primeira etapa é avaliar todos os dados que precisam ser protegidos e, em seguida, identificar quaisquer vulnerabilidades nesses ativos. A partir daí, a equipe de segurança de TI pode priorizar as ameaças com base em seu impacto potencial geral e determinar um plano de ação para estabelecer os controles de segurança adequados no futuro.
      2. Treinamento de funcionários
      Os funcionários são a primeira linha de defesa para as organizações, e por isso é fundamental que eles entendam as ameaças enfrentadas por sua organização ou setor específico, bem como como reagir a elas. Com a recente mudança para ambientes de trabalho mais remotos, os ataques de engenharia social estão aumentando, e a conscientização e o treinamento dos funcionários são uma necessidade crescente para as organizações.
      3. Monitore continuamente o risco cibernético de terceiros
      Com regulamentações cada vez mais rigorosas no setor bancário, especificamente quando se trata de monitorar fornecedores terceirizados, há diretrizes cada vez mais rígidas que devem ser seguidas para gerenciar o risco de terceiros. É importante observar essas regulações de maneira a garantir que todo o ecossistema de TI se mantenha em conformidade com os mandatos relevantes da indústria.
      4. Aproveite a inteligência sobre ameaças de segurança cibernética
      Inteligência de ameaças de cibersegurança são vários dados coletados para ajudar as organizações a obter uma melhor compreensão do cenário de ameaças e outras tendências na segurança cibernética. Ao fazer isso, as equipes de segurança podem analisar ameaças do passado, presente e futuro, tomando, assim, decisões mais baseadas em dados sobre como melhorar a higiene cibernética da organização.
    • Um arquivo contendo dados supostamente retirados de 500 milhões de perfis do LinkedIn foi colocado à venda em um fórum de hackers popular, segundo informa o CyberNews. Os arquivos vazados contêm informações sobre os usuários da rede social cujos dados foram supostamente copiados pelo atacante, incluindo seus nomes completos, endereços de e-mail, números de telefone, informações sobre o local de trabalho e mais.
      Os dados estão sendo vendidos por cerca de US$ 2 em créditos no fórum, e o ator da ameaça parece estar leiloando o banco de dados de usuários por pelo menos uma soma de 4 dígitos, provavelmente em bitcoin. O autor da postagem afirma que os dados foram copiados do LinkedIn, o que foi confirmado pela equipe do CyberNews após análise das amostras fornecidas no fórum de hackers. 
      Os arquivos vazados parecem conter apenas informações de perfil do LinkedIn, não sendo encontrado nenhum dado profundamente sensível, como detalhes de cartão de crédito ou documentos legais na amostra postada pelo ator da ameaça. 
      Não está claro, contudo, se o ator da ameaça está vendendo perfis atualizados do LinkedIn ou se os dados foram obtidos ou agregados de uma violação anterior sofrida pela rede social ou por outras empresas. Uma declaração do LinkedIn afirma que os dados para venda não foram adquiridos como resultado de uma violação de dados, sendo na verdade uma agregação de dados de vários sites e empresas. 
      O CyberNews disponibilizou um verificador de vazamento de dados pessoais com mais de 780 mil endereços de e-mail associados a esse vazamento. Acesse aqui.
    • Um pesquisador encontrou uma falha no Editor de Texto, aplicativo de edição de texto pré-instalado em Macs, que poderia revelar o endereço IP do usuário a um hacker. Segundo a Vice, o bug, que já foi corrigido pela Apple, potencialmente permitia que um atacante enganasse o Mac de uma vítima para revelar seu endereço IP apenas baixando um arquivo .txt e abrindo-o com o Editor de Texto. 
      A falha fazia com que o aplicativo analisasse e interpretasse automaticamente o código HTML. Para acionar essa vulnerabilidade, o atacante teria que inserir algum código HTML malicioso no arquivo de texto para fazer o Editor de Texto acessar um servidor remoto controlado pelo atacante.
      O pesquisador disse também que o bug encontrado poderia ter sido usado junto com outras falhas para causar muito mais danos do que apenas revelar o endereço IP da vítima, podendo inclusive assumir o controle da máquina da vítima. 
      Ele revelou ainda que o Editor de Texto tinha recursos como chamar para outros arquivos e pastas locais no disco rígido e até fazer uma solicitação para um servidor remoto, podendo fazer com que um atacante tirasse proveito desses recursos com algum código HTML escondido em um arquivo de texto aparentemente inocente. Além disso, o sistema de proteção contra malware da Apple basicamente tratava todos os arquivos .txt baixados como seguros. 
      Para evitar ser afetado por este bug basta manter o sistema macOS atualizado, mas o pesquisador afirma que possivelmente existem outras falhas no Editor de Texto que estão sendo analisadas e serão relatadas à Apple.
    • O EtterSilent é um novo malware criador de documentos maliciosos que tem utilizado o DocuSign para enganar vítimas. Segundo descoberta do Intel 471, o “produto” tem sido alavancado por vários grupos de crimes cibernéticos, e à medida que cresceu em popularidade, foi atualizado constantemente para evitar a detecção. 
      O grupo de inteligência em cibersegurança diz que o malware foi anunciado pela primeira vez em um fórum russo de crimes cibernéticos, onde o vendedor ofereceu dois tipos de documentos do Microsoft Office como arma aos usuários: um que explora uma vulnerabilidade conhecida no Microsoft Office (CVE-2017-8570) e outro que usa uma macro maliciosa, sendo essa a escolha mais popular do cibercriminosos.
      O documento malicioso, quando aberto, mostra um modelo que se apresenta como DocuSign, popular software que permite que indivíduos e organizações assinem documentos de maneira digital. Ele então aproveita as macros do Excel 4.0 armazenadas em uma planilha oculta, o que permite que uma carga hospedada externamente seja baixada, gravada em disco e executada usando regsvr32 ou rundll32. 
      O Intel 471 diz ainda que o EtterSilent está sendo utilizado em muitas campanhas de malware familiares para a maioria dos especialistas em segurança cibernética, entre elas uma campanha de spam recente para lançar uma versão atualizada do Trickbot. O documento malicioso foi anexado em um e-mail que fingia ser de um conhecido fabricante multinacional de eletrodomésticos, alegando ser uma fatura de pagamento.
      Em 19 de março de 2021, o EtterSilent foi usado como parte de uma campanha do malware Bazar. O documento malicioso, neste caso, não usava um modelo DocuSign, mas a planilha principal do Excel era chamada de “DocuSign®”. Ele baixa, então, a carga útil do Bazar, que por sua vez se conecta a outro URL que baixa a backdoor do Bazar.
      Três cavalos de Troia bancários – BokBot, Gozi ISFB e QBot – também usaram o EtterSilent em conjunto com seus esquemas. O Intel 471 rastreou ainda uma campanha específica ligada ao BokBot contendo URLs de distribuição embutidos nos documentos maliciosos do EtterSilent. 
    • Uma vulnerabilidade que afeta VPNs da Fortinet está sendo explorada por uma nova cepa de ransomware operada por humanos, o Cring, que viola e criptografa redes de empresas do setor industrial. De acordo com o BleepingComputer, o ransomware Cring, também conhecido como Crypt3r, Vjiszy1lo, Ghost e Phantom, foi descoberto em janeiro e detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom.
      Relatório da Kaspersky revelou que os invasores têm explorado servidores Fortigate SSL VPN expostos à Internet e não corrigidos contra a vulnerabilidade CVE-2018-13379, permitindo a violação da rede de seus alvos. 
      A partir do dispositivo Fortinet VPN, os operadores Cring movem-se lateralmente na rede corporativa de destino, roubando credenciais de usuário do Windows, usando Mimikatz para obter o controle da conta do administrador de domínio.
      As cargas úteis do ransomware são entregues aos dispositivos nas redes das vítimas usando a estrutura de emulação de ameaças Cobalt Strike implantada por meio de um script PowerShell malicioso.
      O ransomware criptografa apenas arquivos específicos nos dispositivos comprometidos usando algoritmos de criptografia robustos após remover os arquivos de backup e eliminar os processos do Microsoft Office e do Oracle Database. Em seguida, ele envia notas de resgate avisando as vítimas de que sua rede foi criptografada e que elas precisam pagar o resgate.
      As vítimas têm usado o serviço ID-Ransomware para verificar se seus sistemas foram atingidos pelo ransomware Cring desde que a operação apareceu pela primeira vez, em dezembro de 2020. Desde o final de janeiro, 30 amostras de ransomware Cring foram enviadas até o momento, diz o BleepingComputer.
       
    • Um malware recém-descoberto para Android foi encontrado na Play Store do Google disfarçado de uma ferramenta do Netflix. Segundo o BleepingComputer, ele foi projetado para se espalhar automaticamente para outros dispositivos usando respostas automáticas do WhatsApp às mensagens recebidas.
      Os pesquisadores da Check Point Research descobriram o novo malware, que se disfarça de um aplicativo chamado FlixOnline e tenta atrair vítimas em potencial com promessas de acesso gratuito ao conteúdo da Netflix. Os pesquisadores revelaram seus resultados de pesquisa ao Google, que rapidamente retirou o aplicativo malicioso da Play Store.
      Ainda assim, o app malicioso foi baixado cerca de 500 vezes ao longo dos dois meses em que estava disponível para download na loja. Depois que o aplicativo é instalado em um dispositivo Android, o malware inicia um serviço que solicita sobreposição, ignorar a otimização da bateria e permissões de notificação.
      Quando as permissões são concedidas, o malware gera sobreposições em qualquer janela de aplicativo para roubar credenciais, impedir que o dispositivo desligue seu processo para otimizar o consumo de energia, obter acesso a notificações de aplicativo e gerenciar ou responder a mensagens.
      Em seguida, ele começa a monitorar novas notificações do WhatsApp para responder automaticamente a todas as mensagens recebidas usando cargas de texto personalizadas recebidas do servidor de comando e controle criadas por seus operadores. A Check Point diz ainda que a técnica é sequestrar a conexão com o WhatsApp capturando notificações, realizando ações predefinidas, como 'dispensar' ou 'responder' por meio do gerenciador de notificações.
      Os pesquisadores reforçam que o fato de que o malware foi capaz de ser disfarçado tão facilmente e, em última análise, contornar as proteções da Play Store, levanta alguns sinais de alerta graves.
×
×
  • Create New...