Jump to content
    • Bruna Chieco
      Os analistas de malware do Doctor Web descobriram aplicativos maliciosos no Google Play que roubam logins e senhas de usuários do Facebook. Esses cavalos de Troia (trojans) foram espalhados como softwares inofensivos e instalados mais de 5.856.010 vezes, dizem os pesquisadores.
      Os aplicativos maliciosos foram detectados com os nomes Android.PWS.Facebook.13, Android.PWS.Facebook.14, Android.PWS.Facebook.17 ou Android.PWS.Facebook.18, de acordo com a empresa. Todas são pequenas variações do mesmo código. No total, os especialistas descobriram 10 desses aplicativos de trojan, sendo que nove estavam disponíveis no Google Play. Veja abaixo quais são os apps:
      Software de edição de fotos Processing Photo. Ele é detectado pelo Dr.Web Anti-Virus como Android.PWS.Facebook.13 e foi espalhado pelo desenvolvedor chikumburahamilton, sendo instalado mais de 500 mil vezes; Aplicativos que permitiam limitações de acesso para usar outro software instalado em dispositivos Android: App Lock Keep do desenvolvedor Sheralaw Rence, App Lock Manager do desenvolvedor Implummet col e Lockit Master do desenvolvedor Enali mchicolo – todos detectados como Android.PWS.Facebook.13. Eles foram baixados pelo menos 50 mil, 10 e 5 mil vezes, respectivamente; Limpador de lixo do desenvolvedor SNT.rbcl – um utilitário para otimizar o desempenho do dispositivo Android. Ele foi baixado mais de 100 mil vezes. O Dr.Web o detecta como Android.PWS.Facebook.13.; Programas de astrologia Horoscope Daily do desenvolvedor HscopeDaily momo, e Horoscope Pi do desenvolvedor Talleyr Shauna, também detectados como Android.PWS.Facebook.13. O primeiro teve mais de 100 mil instalações, enquanto o último, mais de mil instalações; Programa de condicionamento físico chamado Inwell Fitness e detectado como Android.PWS.Facebook.14 do desenvolvedor Reuben Germaine. Possui mais de 100 mil instalações; Aplicativo de edição de imagens chamado PIP Photo foi divulgado pela desenvolvedora Lillians. Suas várias versões são detectadas como Android.PWS.Facebook.17 e Android.PWS.Facebook.18. Este aplicativo tem mais de 5 milhões de downloads. Após o relatório dos especialistas do Doctor Web ao Google, parte desses aplicativos maliciosos foi removida do Google Play.

    • O ataque cibernético da gangue de ransomware Revil a empresas da cadeia de suprimentos da companhia americana Kaseya pode ter atingido até 1,5 mil negócios. A informação foi fornecida pela própria Kaseya em comunicado divulgado nesta terça-feira, 6 de julho.
      O ataque coordenado ocorreu na última sexta-feira e afetou empresas usuárias do produto da Kaseya chamado VSA, que oferece uma série de funções típicas de administração remota. Saiba mais na edição do 0news desta segunda-feira.
      Segundo o comunicado da companhia, cerca de 800 mil a 1 milhão de pequenas empresas ou empresas locais são gerenciadas pelos clientes da Kaseya, e apenas cerca de 800 a 1,5 mil foram comprometidas. A Kaseya afirma ainda que respondeu rapidamente ao ataque de ransomware, mitigando o impacto.
      O comunicado conta que a Kaseya foi alertada sobre um possível ataque de fontes internas e externas no dia 2 de julho, fechando imediatamente o acesso ao software em questão, o que fez com que apenas aproximadamente 50 dos mais de 35 mil clientes da Kaseya fossem violados.
      Depois disso, uma equipe interna de resposta a incidentes, em parceria com especialistas do setor em investigações forenses, entrou em ação para determinar a natureza do ataque. Agências governamentais de segurança cibernética e de aplicação da lei, incluindo o FBI e a Agência de Segurança Cibernética e Infraestrutura (CISA), foram notificadas.
      A maioria dos clientes da Kaseya são provedores de serviços gerenciados, usando a tecnologia da companhia para gerenciar a infraestrutura de TI para empresas locais e pequenas com menos de 30 funcionários, como consultórios de dentistas, pequenos escritórios de contabilidade e restaurantes locais.“Nossas equipes globais estão trabalhando 24 horas por dia para colocar nossos clientes de volta em operação”, disse Fred Voccola, CEO da Kaseya, no comunicado. 
      (Imagem: Divulgação/Facebook)

    • Organizações estão perdendo milhões de dólares em receita a cada ano devido ao vazamento de códigos de infraestrutura, credenciais e tokens. Um relatório da 1Password aponta que o gerenciamento deficiente desses segredos está tornando mais fácil para os invasores encontrarem seu caminho e, depois que eles entram, ter recompensas grandes. As empresas que experimentaram vazamento de segredos, resultando em prejuízos financeiros, perderam em média US$ 1,2 milhão em receita, diz o estudo.
      O levantamento feito com 500 empresas de TI e DevOps sobre como lidam com os segredos que alimentam sua infraestrutura digital diz ainda que quatro em cada cinco empresas não estão gerenciando bem seus segredos, o que as deixa vulneráveis a ataques. Por conta disso, 60% das empresas pesquisadas experimentaram vazamento de segredos de algum tipo. Além disso, mais de três em cada quatro funcionários de TI e DevOps ainda têm acesso aos segredos de infraestrutura de seu antigo empregador. 
      A falta de foco na segurança é uma decorrência do aumento do ritmo de entrega de software e a busca por cronogramas acelerados, diz o estudo, o que faz com que os desenvolvedores geralmente sejam forçados a escolher entre velocidade e segurança, deixando os segredos de infraestrutura, como tokens de API, chaves SSH e certificados privados em arquivos de configuração ou próximos ao código-fonte para fácil acesso. Quanto mais fácil for para os desenvolvedores acessar esses segredos, mais fácil será também para os invasores acessá-los.
      Cerca de 80% das empresas pesquisadas admitem não gerenciar bem seus segredos, e 52% dos funcionários de TI e DevOps admitem que a explosão dos aplicativos em nuvem tornou o gerenciamento de segredos mais difícil. Na falta de uma solução ou estrutura de gerenciamento de segredos dedicada, eles precisam lidar com os segredos de maneira aleatória e ad hoc, gastando cerca de 25 minutos por dia apenas no gerenciamento de segredos a um custo coletivo de US$ 8,5 bilhões por ano.

    • A gangue Babuk parece ter voltado ao antigo hábito de criptografar redes corporativas. Segundo o BleepingComputer, os criminosos tinham anunciado sua saída do negócio em abril, mas estão atualmente usando uma nova versão de seu malware de criptografia de arquivos e mudaram a operação para um novo site de vazamento.
      O grupo de ransomware Babuk ficou conhecido no início do ano, mas alega que seus ataques começaram em meados de outubro de 2020, visando empresas em todo o mundo e exigindo resgates entre $ 60 mil e $ 85 mil em Bitcoin. 
      Uma das vítimas mais divulgadas é o Departamento de Polícia Metropolitana (MPD) de Washinton DC. O BleepingComputer diz que esse ataque provavelmente levou a gangue a anunciar sua aposentadoria do negócio de ransomware apenas para adotar outro modelo de extorsão que não incluía criptografia.
      A gangue também anunciou planos de lançar seu malware para que outros cibercriminosos pudessem iniciar uma operação de ransomware como serviço, e acabou publicando seu construtor, uma ferramenta que gera ransomware personalizado. O pesquisador de segurança Kevin Beaumont o encontrou no VirusTotal e compartilhou as informações para ajudar a comunidade de segurança na detecção e descriptografia.

    • O Google está trabalhando para adicionar um modo Apenas HTTPS (HTTPS-Only) ao navegador Chrome para proteger o tráfego dos usuários de espionagem, atualizando todas as conexões para HTTPS. Segundo o Bleeping Computer, o novo recurso está sendo testado nas versões de pré-visualização do Chrome 93 Canary para Mac, Windows, Linux, Chrome OS e Android.
      Embora nenhum anúncio oficial tenha sido feito ainda, o modo HTTPS-Only provavelmente será lançado em 31 de agosto, diz o site. O Google já atualizou o Chrome para o padrão HTTPS em todos os URLs digitados na barra de endereço se o usuário não especificar nenhum protocolo.
      Para testar o recurso experimental, é preciso habilitar a sinalização "Configuração do modo somente HTTPS" acessando chrome://flags/#https-only-mode-setting. Uma vez ativada a opção "Sempre usar conexões seguras" às configurações de segurança do navegador, o Chrome vai atualizar automaticamente toda a navegação para HTTPS e exibir alertas antes de carregar sites que não o suportam.
      Ao atualizar todas as conexões de sites para HTTPS, o Google Chrome protegerá os usuários de ataques man-in-the-middle que tentam espionar dados trocados com servidores da Internet por meio do protocolo HTTP não criptografado. O HTTPS também garante que os invasores que tentam interceptar o tráfego da Web não alterem os dados trocados com sites da Internet sem serem detectados.

    • Em abril, um arquivo contendo dados supostamente retirados de 500 milhões de perfis do LinkedIn foi colocado à venda em um fórum de hackers popular. Agora uma nova publicação com 700 milhões de registros da rede foi encontrada por pesquisadores da PrivacySharks. 
      O anúncio dos dados colocados à venda foi postado em 22 de junho, incluindo uma amostra de 1 milhão de registros como "prova". A PrivacySharks examinou a amostra grátis e viu que os registros incluem nomes completos, gênero, endereços de e-mail, números de telefone e informações do setor de empresas. 
      Não está claro qual é a origem dos dados, mas o ThreatPost indica que a coleta de perfis públicos é uma fonte provável, pois esse foi o motor por trás da coleção dos 500 milhões de registros do LinkedIn que foram colocados à venda em abril. 
      O LinkedIn afirmou ao ThreatPost que nenhuma violação de suas redes ocorreu desta vez. "Embora ainda estejamos investigando esse problema, nossa análise inicial indica que o conjunto de dados inclui informações extraídas do LinkedIn, bem como informações obtidas de outras fontes", diz o comunicado da empresa. "Isso não foi uma violação de dados do LinkedIn e nossa investigação determinou que nenhum dado privado de membro do LinkedIn foi exposto". 

    • O Microsoft Threat Intelligence Center identificou atividades do agente de ameaças Nobelium em conta de um representante de suporte ao cliente. Segundo os pesquisadores, o ataque envolveu invasão de senha e ataques de força bruta a partir da implantação de um malware para roubo de informações. Depois disso, os atacantes usaram as informações para lançar ataques altamente direcionados como parte de uma campanha mais ampla. 
      A Microsoft informa que a maioria dos alvos não foi comprometida com sucesso, mas todos os clientes comprometidos ou visados estão sendo contatados por meio de seu processo de notificação. "Esta atividade foi direcionada a clientes específicos, principalmente empresas de TI (57%), seguido pelo governo (20%), e porcentagens menores para organizações não governamentais e think tanks, bem como serviços financeiros", dizem os pesquisadores. 
      Os alvos estão especialmente localizados nos EUA (45%), seguido por 10% no Reino Unido, e números menores da Alemanha e Canadá. Ao todo, 36 países foram visados, diz a Microsoft. "A investigação está em andamento, mas podemos confirmar que nossos agentes de suporte estão configurados com o conjunto mínimo de permissões necessárias como parte de nossa abordagem de “acesso menos privilegiado” Zero Trust [Modelo e Estrutura de Segurança de Confiança Zero da Microsoft]". 

×
×
  • Create New...