Jump to content
    • Bruna Chieco
      O Siloscape é o primeiro malware que tem como alvo os contêineres do Windows – tecnologia para empacotamento e execução de aplicativos. Segundo o ThreatPost, o malware implanta backdoors e nós de invasão para obter credenciais de usuários.
      A campanha em andamento perfura os clusters do Kubernetes – sistema de orquestração de contêineres open-source – para a implantação de backdoors, permitindo que os invasores roubem dados e credenciais do usuário ou sequestrem bancos de dados inteiros hospedados em um cluster.
      Segundo a reportagem, o malware foi descoberto pelo pesquisador de segurança da Unidade 42, Daniel Prizmant, que o apelidou de Siloscape, ou "Fuga do Silo". O malware explora vulnerabilidades conhecidas em servidores da web e bancos de dados para comprometer os nós do Kubernetes e os clusters de backdoor. 
      Prizmant fez um trabalho de engenharia reversa para conseguir se conectar ao servidor de comando e controle (C2) do Siloscape, onde descobriu que estava hospedando um total de 313 usuários. Isso implica que o Siloscape é uma pequena parte de uma campanha mais ampla, observou ele. Prizmant destaca que o Siloscape é um malware fortemente ofuscado. 
      Os pesquisadores da Unidade 42 identificaram 23 vítimas do Siloscape e disseram que as evidências indicam que a campanha foi lançada há mais de um ano, podendo ter iniciado em janeiro de 2020. 
      A recomendação é que os usuários sigam o conselho da Microsoft para não usar contêineres do Windows como um recurso de segurança. Em vez disso, a Microsoft recomenda o uso estritamente de contêineres Hyper-V para qualquer coisa que dependa da conteinerização como limite de segurança. 

    • As empresas Apple, Google, Microsoft e Mozilla, donas dos navegadores Safari, Chrome, Microsoft Edge e Firefox, respectivamente, anunciaram o lançamento do WebExtensions Community Group (WECG), que tem como objetivo desenvolver uma plataforma de extensão de navegador comum.
      A ideia é explorar como os fornecedores de navegadores e outras partes interessadas podem trabalhar juntos para desenvolver essa plataforma, já que há vários navegadores adotando um modelo amplamente compatível para extensões nos últimos anos. Outros fabricantes de navegadores, desenvolvedores de extensões e partes interessadas são bem-vindos a se juntarem ao projeto, diz publicação do grupo.
      "Este grupo de comunidade busca alinhar-se em uma visão comum para extensões de navegador e trabalhar para padronização futura", destaca o post. Especificamente, o planejamento envolve facilitar a criação de extensões para desenvolvedores, especificando um modelo consistente e um núcleo comum de funcionalidade, APIs e permissões; e descrever uma arquitetura que aprimore o desempenho e seja ainda mais segura e resistente a abusos.
      O grupo destaca que o trabalho será guiado por um conjunto comum de princípios centrado no usuário, compatibilidade, desempenho, segurança, privacidade, portabilidade, manutenção e comportamento bem definido. "Usando o modelo de extensões existente e APIs suportados pelo Chrome, Microsoft Edge, Firefox e Safari como base, começaremos trabalhando em uma especificação. Nosso objetivo é identificar um terreno comum, trazer implementações em um alinhamento mais próximo e traçar um curso para evolução futura", destaca a publicação.
      Os aspectos da plataforma de extensões da web ou das implementações existentes não serão especificados, pois a intenção é que navegadores continuem inovando e enviando APIs que podem servir de base para melhorias adicionais na plataforma de extensões da web, diz o grupo. Além disso, não há planos de especificar, padronizar ou coordenar a assinatura ou entrega da extensão. "Cada fornecedor de navegador continuará a operar sua loja de extensões de forma totalmente independente, com suas próprias políticas técnicas, de revisão e editoriais".
      O grupo mantém ainda um regulamento e uma página no GitHub para quem quiser acompanhar o trabalho. "Assim que tivermos o primeiro rascunho da especificação do editor, estaremos convidando a comunidade de extensões a contribuir com ele".

    • Depois de muita espera a NSA anunciou oficialmente a inclusão de um debugger no Guidra na sua versão 10.0. Depois de muita discussão sobre esta possibilidade o time de desenvolvimento do framework lançou uma release beta da versão 10.0 ontem!
      Neste momento o debugger suporta analisar aplicações em userland e consegue debuggar tanto binários Windows quanto Linux (utilizando o gdb neste caso). Para quem quer começar logo de cara o Guidra disponibiliza um tutorial de início rápido em Help -> Guidra Functionality -> Debugger -> Getting Started:

      Existem várias formas de iniciar o debugger, desde clicando com o Botão direito -> Open With -> Debugger até direto da sua Project Window do Guidra clicando no ícone de "bug" debaixo de "Tool Chest", como mostrado abaixo:

      Uma vez que a ferramenta é inicializada você deve importar o arquivo a ser depurado para a ferramenta. Uma das formas de fazer isto é simplesmente o arrastando da Project Window. Uma fez carregado podemos ver a cara do mais novo debugger do Guidra:

      Algumas das funcionalidades são: debugging remoto utilizando GDB e windbg, rodar o debugger direto no programa do qual você está analizando estaticamente e tracing de memória.
      Além disso ele também conta com as funcionalidades básicas de um debugger como utilização de breakpoints, listagem de regiões de memória mapeadas, estados dos registradores e uma interface de linha de comando própria.
      Todas as funcionalidades listadas aqui possuem sua própria View, isto é, sua própria janela dentro da ferramenta:


      Vale lembrar que esta release está em sua versão beta e tem como objetivo principal coletar o feedback da comunidade. Caso queira dar uma testada e/ou dar um feedback pra galera do Guidra basta baixar a release clicando no botão abaixo ?.


    • A multinacional japonesa Fujifilm confirmou oficialmente que sofreu um ataque de ransomware no início desta semana, interrompendo as operações de negócios. A empresa publicou em seu site um comunicado atualizado em 3 de junho de 2021 informando que o ataque ocorreu no dia 1º deste mês.
      "Em 1º de junho, a Fujifilm Corporation em Tóquio tomou conhecimento da possibilidade de um ataque de ransomware. Por excesso de cautela, a Fujifilm Corporation imediatamente tomou a medida preventiva de desligar sua rede e servidores em todas as regiões", diz o aviso.
      Após uma investigação inicial, a empresa diz não haver evidências de qualquer impacto na rede ou em quaisquer servidores ou outros equipamentos ou sistemas de rede na região das Américas, incluindo e-mail, e que não detectou nenhuma perda, destruição, alteração ou uso não autorizado de dados de sistemas nesta região. "Dessa forma, colocamos a rede, os servidores e os sistemas eletrônicos das Américas novamente online em 3 de junho", informou. "Esperamos que nossos negócios na região das Américas estejam totalmente operacionais em 4 de junho", complementa o comunicado.
      Em conversas com funcionários da Fujifilm, o BleepingComputer soube anteriormente que o problema já era conhecido internamente como um ataque causado por ransomware e que a empresa foi forçada a derrubar partes de sua rede em todo o mundo. A interrupção da rede impediu o acesso ao e-mail, ao sistema de faturamento e a um sistema de relatórios. Não se sabe se a Fujifilm pagou o resgate.

    • Com o crescimento da indústria de videogames, os atacantes voltaram suas atenções para esse universo, com diversos sites e fóruns clandestinos compartilhando ferramentas ilegais que exploram uma maneira de trapacear nos jogos. Uma reportagem da Vice conta sobre como as trapaças são consideradas pela indústria de games uma espiral negativa que pode matar um jogo. 
      Elas fazem com que os jogadores saiam dos jogos, especialmente os gratuitos, onde os jogadores são mais propensos a comprar itens para continuar jogando, prejudicando os resultados financeiros dos editores. 
      Muitos desenvolvedores de jogos têm equipes anti-cheat dedicadas que tentam detectar e banir trapaceiros e tentar corrigir as vulnerabilidades que eles estavam explorando. Apesar dos esforços dos criadores de jogos, trapacear ainda é um problema em jogos online, porque os jogadores estão dispostos a pagar pelos cheats, alimentando uma indústria lucrativa. "Existem desenvolvedores de trapaça que conhecemos que ganham mais de US$ 2 milhões por mês", disse o funcionário de uma empresa de videogames com conhecimento de organizações trapaceiras à Vice. 
      Segundo a reportagem, 7 anos atrás, um desenvolvedor de truques alegou que estava ganhando US$ 1,25 milhão por ano; mais recentemente, um hacker revelou que por 20 anos viveu trapaceando e explorando vulnerabilidades em jogos. As empresas de videogames processaram vários fabricantes de truques, reivindicando milhões de dólares em perdas e, em alguns desses processos, os juízes condenaram os fabricantes de cheats a pagarem milhões.
      Membros de grupos de cheats são presos – Desenvolver e vender cheats na China é considerado crime de hacking. No ano passado, as autoridades condenaram cinco homens a seis a nove meses de prisão por desenvolver e vender fraudes do Peacekeeper Elite (nome do jogo PUBG Mobile na China). No início deste ano, um homem foi condenado a 3 anos de prisão e multa de 100 mil yuans chineses (cerca de US$ 15 mil) por desenvolver e vender cheats para Knives Out, outro jogo mobile. 
      O Chicken Drumstick, um grupo de trapaça de games que ganhou mais de US$ 70 milhões apenas vendendo cheats para o jogo PUBG Mobile, também foi desmantelado em uma operação da polícia chinesa que trabalhava em uma investigação junto à Tencent, empresa de tecnologia chinesa e editora do PUBG Mobile. 
      Isso fez com que a operação que continha cerca de 600 mil usuários ativos por mês fosse encerrada, sendo que o principal desenvolvedor dos cheats literalmente destruiu seus discos para evitar ser pego.

    • Uma versão falsa do aplicativo de desktop remoto AnyDesk contendo um cavalo de Troia (trojan) apareceu em meio aos anúncios dos resultados de pesquisa do Google. A empresa de segurança CrowdStrike descobriu que a campanha está ativa desde abril e aparentemente superou a própria propaganda oficial do AnyDesk no Google.
      "O uso malicioso do Google Ads é uma maneira eficaz e inteligente de obter implantação em massa de shells, pois fornece ao agente da ameaça a capacidade de escolher livremente seus alvos de interesse", diz a empresa de segurança. "Além de direcionar ferramentas como AnyDesk ou outras ferramentas administrativas, o ator da ameaça pode direcionar usuários privilegiados/administrativos de uma maneira única". 
      Por esse motivo, a equipe CrowdStrike notificou o Google sobre a atividade observada para que tomassem medidas contra a campanha de malvertising – anúncio publicitário online geralmente usado para espalhar malware na Internet – e, aparentemente, o Google rapidamente tomou as medidas adequadas, já que o anúncio não está mais sendo veiculado, segundo a empresa.
      Os criminosos por trás do anúncio malicioso conseguiram, antes de serem descobertos, evitar o policiamento de triagem anti-malvertising do Google. Como resultado, 40% daqueles que clicaram no anúncio começaram a instalar o malware, sendo que 20% dessas instalações incluíam “atividades práticas no teclado”, de acordo com o relatório publicado pela CrowdStrike.
      Os pesquisadores dizem ainda que as vítimas que baixaram o programa foram induzidas a executar um binário chamado AnyDeskSetup.exe. Depois de executado, o malware tenta iniciar um script do PowerShell. O arquivo executável falso foi assinado por "Digital IT Consultants Plus Inc.", em vez dos criadores legítimos "philandro Software GmbH".
      A CrowdStrike informa que sua equipe de inteligência continua investigando e, no momento, não atribui essa atividade a um agente de ameaça ou vínculo específico. No entanto, dada a popularidade do AnyDesk, essa pode ser uma campanha generalizada que afeta uma ampla gama de clientes. 

    • A multinacional brasileira JBS Foods sofreu um ataque cibernético que interrompeu sua produção na Austrália e nos Estados Unidos. A JBS Foods é uma empresa líder em alimentos e a maior produtora de carne do mundo, presente em 15 países e com mais de 250 mil colaboradores atuando em cerca de 400 unidades produtivas e escritórios comerciais globalmente. 
      O CEO da JBS Austrália, Brent Eastwood, confirmou o ataque nesta segunda-feira, 31 de maio, de acordo com o site Beef Central. Eastwood não soube dizer quanto tempo a paralisação australiana poderia durar, no entanto, afirmou que as operações de processamento seriam impossíveis sem o acesso normal aos sistemas de TI e Internet. 
      A JBS USA também enviou comunicado informando que foi alvo de um ataque organizado de segurança cibernética, afetando alguns dos servidores que suportam seus sistemas de TI norte-americanos e australianos. "A empresa tomou medidas imediatas, suspendendo todos os sistemas afetados, notificando as autoridades e ativando a rede global da empresa de profissionais de TI e especialistas terceirizados para resolver a situação", diz o comunicado. Os servidores de backup da empresa não foram afetados e ela diz que está trabalhando ativamente com uma empresa de Resposta a Incidentes para restaurar seus sistemas o mais rápido possível.
      A empresa diz ainda que não tem conhecimento de nenhuma evidência neste momento de que dados de clientes, fornecedores ou funcionários tenham sido comprometidos ou utilizados indevidamente como resultado da situação. "A resolução do incidente levará tempo, o que pode atrasar certas transações com clientes e fornecedores", informa o comunicado da JBS USA.
      Até o momento não há informações sobre a natureza do ataque cibernético, mas com base na escolha dos invasores de atingir os sistemas da empresa no fim de semana, o BleepingComputer afirma que há uma grande chance de que um ransomware esteja envolvido.
      Ciberataque não afeta JBS Brasil – O Mente Binária entrou em contato com a JBS Brasil por meio de sua assessoria de imprensa, que informou estar ciente do ocorrido nas operações da Austrália e dos Estados Unidos, ambas sob o guarda-chuva da JBS USA, e reforçando que o ciberataque não afetou as operações na América do Sul e no Brasil, que estão funcionando normalmente.
       
      (Crédito da Imagem: JBS)

×
×
  • Create New...