Jump to content
  • News

    • Bruna Chieco
      Uma gangue de ransomware levou cinco dias para criptografar milhares de dispositivos QNAP utilizando o programa de arquivamento 7zip. Segundo o BleepingComputer, por meio desse mecanismo de criptografia, os atacantes conseguiram extorquir um total de US$ 260 mil das vítimas.
      A operação de ransomware chamada Qlocker explorou vulnerabilidades nos dispositivos QNAP NAS sem precisar criar seu próprio programa de malware. A gangue procurou dispositivos conectados à Internet e os exploraram usando as vulnerabilidades divulgadas recentemente, o que permitiu a execução remota do utilitário de arquivamento 7zip para proteger com senha todos os arquivos nos dispositivos de armazenamento NAS das vítimas.
      Em apenas cinco dias, estima-se que mais de mil, senão milhares de dispositivos foram criptografados. Para isso, os atacantes utilizaram um algoritmo de criptografia embutido no utilitário de arquivamento 7zip.
      Como os alvos do Qlocker eram consumidores e proprietários de pequenas e médias empresas que utilizam dispositivos QNAP NAS para armazenamento de rede, os pedidos de resgate foram de apenas 0,01 Bitcoins, o que representa cerca de US$ 500, fazendo com que os pagamentos rendessem aos criminosos um retorno considerável em alguns dias de atividade.
      O BleepingComputer diz que essa campanha de ransomware ainda está em andamento, com novas vítimas aparecendo todos os dias. Portanto, todos os usuários do QNAP devem atualizar as versões mais recentes dos aplicativos Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync para corrigir as vulnerabilidades e se proteger contra esses ataques.

    • O aplicativo de mensagens Telegram está sendo utilizado para distribuir um cavalo de Tróia de acesso remoto (RAT) denominado ToxicEye. O malware pode assumir o controle de sistemas de arquivos, instalar ransomware e vazar dados dos computadores das vítimas, de acordo com pesquisadores da Check Point Software Technologies que rastrearam mais de 130 ataques cibernéticos nos últimos três meses que alavancaram o ToxicEye. Os invasores usam o Telegram para se comunicar com seu próprio servidor, exfiltrando dados para ele.
      A plataforma de mensagens instantâneas baseada na nuvem teve um aumento na popularidade devido a mudanças polêmicas nas configurações de privacidade do seu rival, o WhatsApp, sendo o aplicativo mais baixado em todo o mundo em janeiro de 2021, com mais de 63 milhões de instalações, ultrapassando os 500 milhões de usuários ativos mensais, diz a Check Point. 
      Essa popularidade também se estende à comunidade cibercriminosa, que utiliza o Telegram como um sistema de comando e controle (C&C) pronto para seus produtos maliciosos. Mas por que o Telegram tem sido cada vez mais utilizado para atividades cibercriminosas?
      Segundo a CheckPoint, o Telegram é um serviço legítimo, fácil de usar e estável, e não é bloqueado por mecanismos antivírus corporativos, nem por ferramentas de gerenciamento de rede. Além disso, os invasores podem permanecer anônimos, pois o processo de registro requer apenas um número de celular.
      Os recursos de comunicação exclusivos do Telegram permitem que os invasores facilmente exfiltrem dados dos computadores das vítimas ou transfiram novos arquivos maliciosos para máquinas infectadas. O Telegram também permite que os invasores usem seus dispositivos móveis para acessar computadores infectados de quase qualquer local do mundo.
      ToxicEye – No caso do ToxicEye, malware mais recente monitorado pela Ckeck Point, o invasor cria uma conta 'bot' do Telegram, que é uma conta remota especial com a qual os usuários podem interagir pelo chat do Telegram, adicionando-os a grupos ou enviando solicitações diretamente do campo de entrada digitando o nome de usuário. 
      A bot é incorporada ao arquivo de configuração RAT do ToxicEye e compilada em um arquivo executável. Qualquer vítima infectada com essa carga maliciosa pode ser atacada por meio da bot do Telegram, que conecta o dispositivo do usuário de volta ao C&C do atacante via Telegram. O trojan também pode ser baixado e executado abrindo um documento malicioso.
      A Check Point identificou uma série de recursos-chave que caracterizam a maioria dos ataques recentes: recursos de roubo de dados; controle do sistema de arquivos; captura de entrada e saída; e recursos de ransomware, com a capacidade de criptografar e descriptografar arquivos das vítimas.
      "Dado que o Telegram pode ser usado para distribuir arquivos maliciosos, ou como um canal C&C para malware controlado remotamente, esperamos que ferramentas adicionais que exploram esta plataforma continuem a ser desenvolvidas no futuro", diz a Check Point.

    • Os operadores do ransomware REvil estão exigindo que a Apple pague um pedido de resgate para evitar que informações confidenciais da empresa vazem na dark web. Segundo a empresa de segurança Recorded Future, a equipe do REvil afirma que tem a posse dos dados de produtos da Apple após violar a Quanta Computer, empresa taiwanesa fabricante de laptops e uma das empresas que montam produtos oficiais da Apple.
      A Recorded Future teve acesso a uma mensagem publicada em um portal da dark web onde a gangue do ransomware geralmente ameaça as vítimas e vaza seus dados. Na mensagem, a gangue do REvil diz que a Quanta se recusou a pagar para obter seus dados roubados de volta e, como resultado, o próximo alvo será o cliente principal da empresa.
      A gangue publicou ainda 21 screenshots falando sobre o novo MacBook da Apple, ameaçando publicar novos dados todos os dias até que a própria companhia ou a Quanta pagassem o resgate. Além disso, há possibilidade de que dados de outras empresas também vazem online. Os clientes conhecidos da Quanta Computer incluem, além da Apple, a HP, a Dell, a Microsoft, a Toshiba, a LG, a Lenovo, entre outros, diz a Recorded Future.
      O resgate pedido à Quanta foi de US$ 50 milhões, mas não está claro quanto dinheiro a gangue está tentando extorquir da Apple agora. A tentativa de extorsão também foi planejada para ter máxima visibilidade coincidindo com o evento Spring Loaded, realizado no dia 20 de abril, onde a Apple anunciou novos produtos e atualizações de software.
      Ainda segundo a Recorded Future, a gangue do REvil disse que a Apple tem até o dia 1º de maio para tentar obter seus arquivos de volta por meio do pagamento de resgate. 

    • Pesquisadores da Sayfer fizeram engenharia reversa no WhatsApp Web e acabaram encontrando "sem querer" um recurso desabilitado por padrão, ou seja, que ainda não está liberado. A função pre-released descoberta permite que a velocidade de um áudio seja acelerada. 
      Os pesquisadores, na verdade, estavam fazendo uma pesquisa sobre outro projeto quando descobriram acidentalmente que o WhatsApp tem um sinalizador para o recurso oculto que permite aos usuários alterar a taxa de reprodução de mensagens de voz.
      Uma das ferramentas de pesquisa utilizadas pelos pesquisadores permitiu essa alteração, sendo cada mensagem de voz é essencialmente uma marca de áudio com um blob de uma fonte de áudio. Para alterar a velocidade, contudo, foi necessário fazer engenharia reversa no código-fonte minimizado do WhatsApp para a web.
      Eles descobriram que o WhatsApp tem três velocidades pré-determinadas para os áudios, porém, desabilitadas. Em publicação, os pesquisadores explicam o passo a passo do que fizeram para conseguir alterar a taxa de reprodução dos áudios.
      E se você quiser saber mais sobre engenharia reversa, o Mente Binária tem um curso com 24 aulas que pode ser acessado por meio do nossos canal no YouTube:
       

    • Pesquisadores descobriram um novo conjunto de aplicativos falsos para Android na Google Play Store. Os apps sequestram notificações de mensagens SMS para realizarem fraudes de faturamento, segundo informações do The Hacker News.
      Os aplicativos em questão tem como alvo principal usuários no sudoeste da Ásia e na Península Arábica, atraindo um total de 700 mil downloads antes de serem descobertos e removidos da plataforma. As descobertas foram relatadas de forma independente pelas empresas de segurança Trend Micro e McAfee.
      Se passando por apps de editores de fotos, papéis de parede, quebra-cabeças, e outros aplicativos relacionados a câmeras, eles possuem um malware embutido que sequestra notificações de mensagens SMS e, em seguida, faz compras não autorizadas, disseram pesquisadores.
      Os aplicativos falsos aparentemente pertencem ao malware Joker (também conhecido como Bread). A McAfee, no entanto, está rastreando a ameaça com um apelido separado chamado Etinu. O malware é conhecido por realizar fraudes de faturamento, roubando de mensagens SMS, listas de contato e informações do dispositivo. 
      Os autores de malware normalmente empregam uma técnica chamada controle de versão, que se refere ao upload de uma versão limpa do aplicativo na Play Store para criar confiança entre os usuários e, em seguida, adicionam sorrateiramente um código malicioso por meio de atualizações do aplicativo, em uma tentativa de escapar do processo de revisão do app na loja.

    • Um novo ransomware autodenominado NitroRansomware criptografa arquivos da vítima e exige um código Discord Nitro para descriptografá-los. Segundo o BleepingComputer, o ransomware parece ser distribuído como uma ferramenta falsa, afirmando que pode gerar códigos Nitro gratuitos.
      Embora o Discord seja gratuito, há um complemento de assinatura do Nitro por US$ 9,99 que oferece vantagens adicionais, como uploads maiores, streaming de vídeo em HD, emojis aprimorados e a capacidade de aumentar seu servidor favorito. Ao comprar uma assinatura do Nitro, os usuários podem aplicá-la em sua própria conta ou dar de presente para outra pessoa. 
      Quando executado, o NitroRansomware criptografa os arquivos de uma pessoa e anexa a extensão .givemenitro aos arquivos criptografados. Depois, uma tela de ransomware é exibida exigindo um código Nitro dentro de três horas, sob a ameaça de excluir os arquivos criptografados da vítima. As amostras de ransomware vistas pelo BleepingComputer, contudo, não excluem nenhum arquivo quando o cronômetro chega a zero.
      Ainda assim, além de criptografar os arquivos, o ransomware também executa outras atividades maliciosas no computador da vítima, e os atacantes tentam, inclusive, roubar os tokens do Discord da vítima. Quando o NitroRansomware é iniciado, ele procura o caminho de instalação do Discord do usuário afetado e, em seguida, extrai tokens de usuário que são enviados de volta ao ator da ameaça por meio de um webhook do Discord.
      Como parte desse processo, o malware também tenta roubar dados do Google Chrome, Brave Browser e Yandex Browser. O BleepingComputer recomenda que os usuários infectados por este ransomware alterem sua senha do Discord.

    • Uma família de malware específica que foca em roubo de criptomoedas, chamada HackBoss, está sendo estudada por pesquisadores da Avast. O malware é considerado simples, mas muito eficaz, tendo possivelmente roubado mais de US$ 560 mil das vítimas até agora. 
      Transmitido principalmente via Telegram, o HackBoss tem um ganho monetário significativo, segundo a Avast, sendo que os autores do malware possuem um canal de Telegram usado como a principal fonte para espalhá-lo. Ele é promovido como uma fonte de fornecimento "do melhor software para hackers (hack bank/dating/bitcoin)". 
      Embora seja prometido que cada aplicativo promovido no canal seja de hacker ou cracker, a verdade é que cada postagem publicada contém apenas um malware para roubo de criptomoedas oculto como um aplicativo de hacking ou cracking. Além disso, nenhum aplicativo postado neste canal oferece o comportamento prometido, ou seja, todos são falsos.
      O canal Hack Boss do Telegram foi criado em 26 de novembro de 2018, diz a Avast, e tem mais de 2,5 mil assinantes até o momento, fazendo uma média de 7 postagens por mês. As publicações geralmente contêm um link para armazenamento de arquivos criptografados ou anônimos a partir do qual o aplicativo pode ser baixado, além de uma descrição falsa da suposta funcionalidade do aplicativo e capturas de tela. 
      Depois de baixar o aplicativo como um arquivo .zip, é possível executar o arquivo .exe, e uma user interface simples será exibida, sendo somente ela que pode abrir um diretório de arquivo ou pop-up de uma janela. Sua funcionalidade principal e maliciosa é acionada quando a vítima clica em qualquer botão. Depois disso, uma carga maliciosa é descriptografada e executada.
      A carga maliciosa verifica regularmente o conteúdo da área de transferência em busca de um formato de carteira de criptomoeda e, se houver um endereço de carteira, ele a substitui por uma de suas próprias carteiras. A carga maliciosa continua em execução no computador da vítima mesmo depois que o aplicativo é fechado. 
      Uma lista de mais de 100 endereços de carteira criptomoeda pertencentes aos autores do HackBoss foi identificada pelos pesquisadores da Avast, que afirmam que as criptomoedas são Bitcoin, Ethereum, Dogecoin, Litecoin e Monero. 

×
×
  • Create New...