Jump to content
  • News

    • Bruna Chieco
      Uma campanha de phishing que falsifica as notificações da Xerox induz as vítimas a clicarem em anexos HTML maliciosos. Por meio deste ataque, mais de mil credenciais foram roubadas. O ThreatPost destaca que essas credenciais ficaram disponíveis online devido a um "erro" da campanha.
      Iniciada em agosto de 2020, a campanha usou e-mails que falsificam notificações da Xerox para induzir as vítimas a clicarem em anexos HTML maliciosos. Os principais alvos abrangem empresas de setores como varejo, manufatura, saúde e TI, com interesse especial em empresas de energia e construção, observaram pesquisadores da Check Point. 
      A campanha começou com um e-mail usando um dos vários modelos de phishing que imitam uma notificação da Xerox com o nome do alvo ou o título da empresa na linha de assunto. O e-mail incluía um arquivo HTML que, uma vez clicado, exibia ao usuário uma página de login semelhante a da Xerox. Assim, um código JavaScript era executado no fundo do documento, fazendo verificações de senha simples, enviando os dados para o servidor dos invasores e redirecionando o usuário para uma página de login legítima do Office 365.
      A Check Point trabalhou com a empresa de segurança Otorio para descobrir a campanha e revelou que os invasores cometeram um "erro simples em sua cadeia de ataque", deixando as credenciais roubadas expostas na Internet pública.
      Isso ocorreu porque os invasores armazenaram as credenciais roubadas em páginas da web designadas em servidores comprometidos, e como o Google indexa constantemente a Internet, o mecanismo de busca também indexou essas páginas, disponibilizando-as para qualquer pessoa que consultasse o Google sobre um endereço de e-mail roubado. 🤷‍♀️

    • Bancos de dados de usuário do Nitro PDF e do Pixlr foram expostos por cibercriminosos. Endereços de e-mail, nomes e senhas de mais de 77 milhões de registros de usuários do serviço Nitro PDF foram submetidos ao vazamento, enquanto 1,9 milhão de registros de usuários do Pixlr também vazaram, contendo informações que poderiam ser usadas para realizar ataques direcionados de phishing e preenchimento de credenciais.
      Segundo o BleepingComputer, um cibercriminoso que afirma ser parte do ShinyHunters vazou os bancos de dados gratuitamente em um fórum de hackers.
      O banco de dados de 14 Gb do Nitro PDF foi adicionado ao serviço Have I Been Pwned, que permite aos usuários verificar se suas informações também foram comprometidas nesta violação de dados e vazadas na Internet. Os usuários do serviço são fortemente aconselhados a alterar suas senhas para uma senha forte e exclusiva.
      Já o suposto banco de dados do Pixlr vazado pelo ShinyHunters contém 1.921.141 registros de usuários que consistem em endereços de e-mail, nomes de login, senhas com hash SHA-512, país do usuário, se ele se inscreveu no boletim informativo e outras informações internas. 
      Também é altamente recomendável que todos os usuários do Pixlr alterem imediatamente suas senhas no site por precaução, usando uma senha única e forte que não seja usada em nenhum outro site.
       

    • Uma campanha maliciosa ativa atualmente utiliza o malware FreakOut para atingir dispositivos Linux que executam software com vulnerabilidades críticas. Segundo o BleepingComputer, pesquisadores da Check Point descobriram que esses softwares normalmente alimentam dispositivos de armazenamento conectado à rede (NAS) ou são usados para desenvolver aplicativos e portais da web. 
      O objetivo é infectar máquinas com versões vulneráveis do sistema operacional TerraMaster, do Zend Framework ou do Liferay Portal. Os pesquisadores dizem que dispositivos Linux infectados se juntam a uma botnet que pode ajudar a implantar outros ataques cibernéticos, e o controlador poderia usar as máquinas infectadas para minerar criptomoedas, se espalhar lateralmente por uma rede da empresa ou mirar em outros alvos, se escondendo por trás da empresa comprometida.
      As três soluções de software visadas na campanha FreakOut em andamento têm uma grande base de usuários e corrigiram problemas críticos recentemente. No entanto, um código de exploração de prova de conceito ainda existe em todos eles e é fácil de encontrar.
      O Zend Framework, por exemplo, é uma coleção de pacotes PHP profissionais que oferecem mais de 570 milhões de instalações. A versão 3.0.0, porém, tem um bug crítico (CVE-2021-3007) que pode ser explorado para obter a execução remota de código.
      O Liferay Portal é uma plataforma para desenvolvedores Java criarem serviços, interfaces de usuário, aplicativos personalizados ou para implementar aplicativos prontos. As versões open-source Community Edition anteriores à 7.2.1 têm uma vulnerabilidade crítica (CVE-2020-7961) que também permite a execução remota de código.
      Já o TerraMaster é o sistema operacional que alimenta os dispositivos NAS com o mesmo nome. As versões 4.2.06 e inferiores sofrem de um bug de execução de comando remoto, rastreado como CVE-2020-28188, também de gravidade crítica e que permite o controle completo do dispositivo.
      O FreakOut ainda está nos estágios iniciais, mas a Check Point avisa que a botnet cresceu significativamente em um curto período e destaca que os outros recursos do malware podem ser usados para ataques mais prejudiciais.

    • O Facebook processou dois desenvolvedores do Chrome por roubar dados de perfis de usuários – incluindo nomes, IDs de usuário e muito mais. Segundo o ThreatPost, a ação legal foi contra dois desenvolvedores de extensões do Chrome que, segundo a empresa, estavam roubando esses dados e outras informações relacionadas ao navegador.
      Os dois desenvolvedores não foram identificados, apenas seu nome comercial (Oink and Stuff). A acusação é que eles desenvolveram extensões de navegador mal-intencionadas do Chrome, que na verdade continham um código oculto “que funcionava como spyware”, alega o Facebook.
      As extensões maliciosas incluem: Blue Messenger, que se apresenta como um aplicativo de alerta de notificação para o recurso de comunicação do Messenger do Facebook; Green Messenger, aplicativo de mensagens para WhatsApp; Emoji Keyboard, um aplicativo de teclado de atalho; e Web para Instagram mais DM, que oferece ferramentas para os usuários enviarem mensagens diretas a outras pessoas no Instagram.
      Segundo o Facebook, os desenvolvedores “enganaram os usuários para que instalassem as extensões com uma política de privacidade que alegava que eles não coletavam nenhuma informação pessoal”. Várias das extensões oferecidas pela empresa (incluindo Green Messenger e Blue Messenger) parecem ainda estar disponíveis. 

    • O Google removeu 164 aplicativos da Play Store no ano passado após pesquisadores de segurança apontarem que os apps estavam bombardeando usuários com anúncios fora de contexto – o termo técnico se refere a anúncios para celular exibidos em um pop-up ou em toda a tela, separados do aplicativo original. Os apps foram desativados nos dispositivos, mas os usuários ainda precisam removê-los manualmente de seus telefones.
      Segundo o ZDNet, a maioria desses 164 aplicativos imitou aplicativos mais populares, copiando funções e nomes de aplicativos estabelecidos para obter downloads rápidos. A empresa de segurança White Ops, que descobriu os aplicativos que abusaram de anúncios fora de contexto, diz que os apps foram baixados mais de 10 milhões de vezes antes de serem descobertos e relatados à equipe de segurança do Google. A lista completa de apps pode ser encontrada no relatório da White Ops.
      Esses tipos de anúncios foram proibidos na Play Store desde fevereiro de 2020. O Google declarou que esses anúncios tornam impossível para os usuários determinar de onde eles partiram, abrindo uma brecha nos dispositivos Android para spam de anúncios silenciosos. A proibição original de anúncios fora de contexto atingiu 600 aplicativos Android, mas ainda assim os desenvolvedores não pararam de utilizar esse mecanismo.
      O ZDNet aponta ainda que em junho e em outubro de 2020, o Google foi forçado a intervir novamente e banir uma onda de 38 e 240 aplicativos, respectivamente, que continuaram abusando desse mecanismo. 

    • Em outubro de 2020, divulgamos uma pesquisa da Check Point dizendo que a Microsoft ficou no topo da lista de iscas dos ataques de phishing, saltando do quinto lugar para o primeiro com avanço da pandemia de COVID-19, e correspondendo a 19% de todas as tentativas de ataques de phishing do mundo. No último trimestre do ano passado, a Microsoft apareceu em 43% das tentativas deste tipo de ataque.
      De acordo com a nova análise da Check Point Research, a Microsoft permanece como uma das 10 principais marcas usadas como isca para vítimas de phishing, com muitos sites tentando se passar por telas de login da Microsoft para roubar credenciais de usuários.
      Além disso, marcas relacionadas a entregas e ao varejo configuram com as principais iscas, mais do que dobrando sua aparição nesses ataques após os meses de compras e feriados. As dez principais marcas usadas como isca de phishing no quarto trimestre de 2020 são:
       
      Microsoft (43%) DHL (18%) LinkedIn (6%) Amazon (5%) Rakuten (4%) IKEA (3%) Google (2%) Paypal (2%) Chase (2%) Yahoo (1%) A CheckPoint divulgou ainda exemplos de como os golpes de phishing relacionados a essas marcas ocorrem. Um e-mail de phishing malicioso usa a marca da DHL para tentar roubar as senhas dos usuários. O e-mail foi enviado pelo endereço falsificado parcel.docs@dhl.com, com o assunto “RE: Seu pacote DHL (disponível para retirada) - [<e-mail do destinatário>]”. 

      E-mail malicioso enviado com o assunto “RE: Seu pacote DHL (disponível para retirada) - [<e-mail do destinatário>]” (Fonte: Check Point)

      A tentativa do invasor é de que a vítima clique em um link malicioso, redirecionando o usuário para uma página de login fraudulenta onde ele precisa digitar sua senha, sendo assim enviado para o site selecionado pelo atacante.

      Página de login falsa (Fonte: Check Point)
       
      Outro e-mail de phishing malicioso tenta roubar credenciais de usuários de contas do Microsoft Office 365. O e-mail com o assunto “Doc(s) Entrega Diária #- <Número de ID>” possui conteúdo do serviço eFax personificado. Ao clicar no link, o usuário é direcionado para outro documento que os redireciona para uma página de login fraudulenta da Microsoft.

      Email malicioso enviado com o assunto Doc(s) Entrega Diária #- <Número de ID> (Fonte: Check Point)
       

      Documento enviado ao usuário redirecionado à pagina de login da Microsoft (Fonte: Check Point)
       

      Página falsa de login da Microsoft (Fonte: Check Point)

    • O Project Zero do Google divulgou nesta terça-feira, 12 de janeiro, a série In-the-Wild com 6 publicações detalhando um conjunto de vulnerabilidades encontradas e exploradas. 
      A série de publicações se refere a um ataque de watering hole, ocorrido no primeiro trimestre de 2020, e realizado por um ator altamente sofisticado. O projeto descobrou dois servidores de exploração que fornecem cadeias de exploração diferentes por meio de ataques watering hole, sendo um servidor direcionado aos usuários do Windows e outro direcionado ao Android. Os servidores Windows e Android usaram exploits do Chrome para a execução remota de código inicial, incluindo 0-days para Chrome e Windows. Para Android, as cadeias de exploit usaram exploits n-day conhecidas publicamente. 
      As quatro vulnerabilidade 0-day descobertas foram corrigidas pelos fornecedores. São elas:
      CVE-2020-6418 - Vulnerabilidade do Chrome no TurboFan (corrigido em fevereiro de 2020) CVE-2020-0938 - Vulnerabilidade de fonte no Windows (corrigido em abril de 2020) CVE-2020-1020 - Vulnerabilidade de fonte no Windows (corrigido em abril de 2020) CVE-2020-1027 - Vulnerabilidade Windows CSRSS (corrigido em abril de 2020) O Google explica que o Project Zero tem a meta de “tornar o (encontro de) 0-days difícil” usando, principalmente, a pesquisa de segurança ofensiva. "Um dos nossos esforços nesse sentido é o rastreamento de casos publicamente conhecidos de vulnerabilidades 0-day. Usamos essas informações para orientar a pesquisa", explica. Essa iniciativa é feita em parceria com o Google Threat Analysis Group (TAG).
      As postagens da série In-the-Wild compartilham os detalhes técnicos de diferentes partes da cadeia de exploit, focadas no que a equipe do Project Zero achou mais interessante. São elas:
      Chrome: Infinity Bug Chrome Exploits Android Exploits Android Post-Exploitation Windows Exploits Nos textos (em inglês) você encontra uma análise detalhada das vulnerabilidades sendo exploradas e cada uma das diferentes técnicas de exploração; uma análise profunda da classe de bug de uma das explorações do Chrome; e uma análise detalhada do código de pós-exploração do Android. 

×
×
  • Create New...