Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      Usuários da Microsoft estão sendo alvos de um ataque de phishing que utiliza um sistema reCAPTCHA falso. Segundo o ThreatPost, o objetivo de roubar suas credenciais do Office 365. Aparentemente, os atacantes adicionam um ar de legitimidade à campanha com páginas de destino de domínio que incluem os logotipos das empresas das vítimas.
      O ThreatPost diz ainda que pelo menos 2,5 mil e-mails foram enviados sem sucesso para funcionários de nível sênior no setor bancário e de TI nos últimos três meses. Os e-mails levam os destinatários a uma página falsa do sistema reCAPTCHA, do Google, que ajuda a proteger sites contra spam usando um teste de Turing para diferenciar humanos e bots.
      Se as vítimas “passarem” no teste reCAPTCHA, elas são redirecionadas para uma página de destino de phishing, que solicita as credenciais do Office 365. Segundo pesquisadores da equipe de pesquisa de segurança ThreatLabZ, o ataque tem como alvo líderes empresariais seniores com títulos como vice-presidente e diretor administrativo, e o objetivo dessas campanhas é roubar as credenciais de login dessas vítimas para permitir que os atacantes acessem ativos valiosos da empresa.
      Os e-mails de phishing fingem ser e-mails automatizados das ferramentas de comunicação unificada das vítimas, informando que há, em anexo, uma mensagem de correio de voz. Ao clicar no anexo, elas encontram a tela falsa do reCAPTCHA e, depois de preencher o sistema falso, as vítimas são direcionadas para o que parece ser uma tela de login da Microsoft. As páginas de login também contêm logotipos diferentes das empresas para as quais as vítimas trabalham. Isso significa que os atacantes estão personalizando suas páginas de destino de phishing na tentativa de fazer o ataque parecer mais legítimo.
      O Office 365 tem sido alvo de ataques de phishing com frequência. Na semana passada, o Mente Binária divulgou notícia informando que uma campanha denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365 aproveitando a popularidade crescente do Zoom para atingir seus alvos.
    • No ano passado, o Google anunciou que Chrome removeria o suporte para cookies de terceiros, mas ainda com intenção de criar inovações que protejam o anonimato e, ao mesmo tempo, forneçam resultados para anunciantes que se utilizam desse rastreamento  para coletar dados do usuário por meio de cookies de terceiros. Em publicação realizada esta semana, o Google informou que uma vez que os cookies de terceiros sejam eliminados, não serão criados identificadores alternativos para rastrear indivíduos enquanto navegam na web.
      Essa é mais uma iniciativa de navegadores em tentar proteger a privacidade de usuários na navegação, impedindo, assim, que sejam rastreados de site para site por meio de cookies. Em fevereiro, a Mozilla Foundation lançou o Firefox 86, última versão do navegador, com o Total Cookie Protection, que confina os cookies ao site onde foram criados, impedindo que empresas de rastreamento os utilizem para rastrear a navegação de um site para outro.
      "Nossos produtos da web serão alimentados por APIs [Interface de programação de aplicações] que preservam a privacidade, que evitam o rastreamento individual e, ao mesmo tempo, fornecem resultados para anunciantes e editores", diz David Temkin Diretor de gerenciamento de produtos, privacidade de anúncios e confiança do Google, na publicação. "As pessoas não deveriam ter que aceitar ser rastreadas na web para obter os benefícios de uma publicidade relevante. E os anunciantes não precisam rastrear consumidores individuais na Internet para obter os benefícios de desempenho da publicidade digital", continua.
      A ideia do Google é retirar cookies de terceiros da publicidade e, em vez disso, ocultar indivíduos em meio a grandes multidões de pessoas com interesses em comum. Para isso, o Chrome pretende disponibilizar os chamados Federated Learning of Cohorts, um método para rastrear os interesses dos usuários da Internet e veicular anúncios relevantes a esses interesses, agrupando milhares de usuários. 
      O método, contudo, foi criticado por grupos como a Electronic Frontier Foundation. Segundo reportagem da Vice, o grupo afirma que a proposta é o oposto da tecnologia de preservação de privacidade. 
    • Uma campanha de phishing denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365. Segundo pesquisadores da WMC Global, a campanha utiliza domínios confiáveis para garantir a entrega de e-mails de phishing e impedir o bloqueio de páginas falsas. 
      Segundo a empresa de segurança, os agentes por trás da Compact aproveitaram a popularidade crescente do Zoom para atingir seus alvos. A equipe da WMC Threat Intelligence analisou o ataque, incluindo o código PHP utilizado no site, e recuperou credenciais roubadas coletadas pelos atores da ameaça. A análise vinculou endereços de e-mail aos atores responsáveis pela campanha, encontrando um histórico de ataques desde o início de 2020.
      Na análise, a empresa destaca que o método de entrega era feito via isca de phishing enviada por e-mail, e os atacantes aparentemente estavam usando uma extensa lista de spam para atingir as vítimas. "Estima-se que até 11% dos usuários caiam em campanhas de phishing e, dado o tamanho desse ataque, é lógico que um grande número de usuários tenha sido vítima", diz a WMC.
      A maioria dos e-mails foi enviada usando contas SendGrid comprometidas. A WMC Global informa ainda que trabalhou em estreita colaboração com o SendGrid para encerrar as contas de envio que foram restauradas aos seus legítimos proprietários. Em campanhas posteriores, os agentes da ameaça passaram a usar o MailGun para enviar os e-mails comprometidos. 
      A equipe do WMC Global Threat Intelligence também monitorou e detectou os sites de phishing utilizados na campanha, sendo que dois sites de destino estavam em uso entre dezembro de 2020 e janeiro de 2021. Em dezembro, a página de destino personificou a marca Outlook Web App para enganar os alvos, induzindo-os a inserir suas credenciais. Em janeiro, os ataques mudaram para imitar a marca Office 365, provavelmente para capturar mais credenciais de funcionários.
      A análise detalhada da WMC Global também explica sobre as técnicas de exfiltração utilizadas. 
    • Documentos da Qualys foram vazados em um site da dark web, o que indica que a empresa de segurança pode ter sofrido um ataque do ransomware Cl0p. Quem relatou o possível ataque foi o DarkTracer.
      Os documentos vazados incluem contratos recentes e confidenciais da companhia, que estariam sendo colocados à venda pelos operadores do Cl0p pela falta de pagamento do ransomware. Até o momento, a empresa não se manifestou publicamente sobre o suposto ataque.
      Infelizmente, não é a primeira vez que uma empresa de segurança sofre um ataque. Em dezembro do ano passado, a FireEye foi hackeada por um atacante altamente sofisticado, que roubou várias ferramentas de seu red team. Na ocasião, a própria empresa comunicou o ocorrido.
    • Pesquisadores detectaram que uma variante do ransomware Ryuk pode se propagar como um worm nas redes locais. Segundo o ThreatPost, a nova versão surgiu pela primeira vez em campanhas voltadas para o Windows no início de 2021. A descoberta foi da Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI), que disse que a variante alcança a auto-replicação por meio da varredura de compartilhamentos de rede e, em seguida, copiando uma versão exclusiva do executável do ransomware para cada um deles à medida que são encontrados.
      Uma vez iniciado, o Ryuk se espalhará em todas as máquinas acessíveis nas quais os acessos de Chamada de Procedimento Remoto do Windows sejam possíveis, dizem os pesquisadores. A nova versão do Ryuk também lê as tabelas do protocolo de resolução de endereços (ARP) dos dispositivos infectados, que armazenam os endereços IP e endereços MAC de todos os dispositivos de rede com os quais as máquinas se comunicam. Em seguida, ele envia um pacote “Wake-On-LAN” para cada host, com o objetivo de despertar os computadores desligados.
      Para cada host identificado, o Ryuk tentará montar possíveis compartilhamentos de rede usando Server Message Block (SMB), de acordo com o relatório da Agência. O SMB é uma função do Windows que permite compartilhar, abrir ou editar arquivos  em computadores e servidores remotos.
      Assim que todos os compartilhamentos de rede disponíveis forem identificados ou criados, a carga é instalada nos novos destinos, sendo autoexecutada usando uma tarefa agendada. Isso permite que o Ryuk criptografe o conteúdo dos destinos e exclua quaisquer cópias para evitar a recuperação de arquivos.
      O malware também interrompe vários programas com base em listas codificadas, incluindo uma lista de 41 processos a serem eliminados e uma lista de 64 serviços a serem interrompidos.
      O ponto de infecção inicial é uma conta de domínio privilegiado. A análise mostra que a propagação de worms desta versão do Ryuk não pode ser impedida através do ponto de infecção inicial, sendo que uma conta privilegiada do domínio é usada para propagação de malware. Se a senha deste usuário for alterada, a replicação continuará. Uma maneira de lidar com uma infecção ativa, segundo a ANSSI, seria alterar a senha ou desabilitar a conta do usuário privilegiado e, em seguida, forçar uma alteração de senha de domínio. 
    • Atacantes estão explorando sites, fornecendo a eles excelente otimização para mecanismo de busca (SEO), com o objetivo de implantar cargas malware para o maior número possível de vítimas. Segundo descoberta da Sophos, o método inclui truques de SEO e o abuso da psicologia humana para jogar sites comprometidos para o topo do ranking do Google.
      A técnica foi apelidada pelos pesquisadores de Gootloader, pois envolve a implantação da estrutura de infecção para o Gootkit Remote Access Trojan (RAT), que também oferece uma variedade de outras cargas de malware. Através dessa técnica, os criminosos entram nos resultados de pesquisa do Google e fazem com que um resultado malicioso pareça legítimo até mesmo para o Google, diz a Sophos. Para realizar o ataque, os operadores do Gootloader mantêm uma rede de servidores hospedando sites legítimos hackeados. A Sophos estima que cerca de 400 desses servidores estejam em operação. 
      A Sophos diz ainda que não está claro como atacantes obtêm acesso ao back-end dos sites mas, historicamente, esses tipos de comprometimento podem ser o resultado de uma série de métodos, entre eles roubo de senhas ou explorações de segurança nos plugins ou add-ons do sistema de gerenciamento de conteúdo (CMS). Aparentemente, operadores não sabem que seus sites estão sendo abusados desta forma.
      Aparentemente, a técnica está sendo utilizada para espalhar o trojan bancário Gootkit; Kronos; Cobalt Strike; e o ransomware REvil, entre outras variantes de malware, na Coreia do Sul, Alemanha, França e Estados Unidos. A empresa de segurança dá mais detalhes sobre como o ataque é realizado em publicação em seu blog (em inglês).
    • Um grupo de acadêmicos da Ruhr-Universität Bochum e da North Carolina State University descobriram riscos de privacidade e segurança no ecossistema de habilidades da assistente de voz Alexa, bem como inconsistências no processo de verificação dessas skills. Segundo o The Hacker News, foram analisadas 90.194 habilidades do ecossistema Alexa Skills, disponíveis em sete países, incluindo os EUA, Reino Unido, Austrália, Canadá, Alemanha, Japão e França.
      As falhas estão no processo de verificação de habilidades da Amazon para o ecossistema da Alexa. Essas vulnerabilidades podem permitir que um agente malicioso publique uma habilidade enganosa, em nome de qualquer desenvolvedor arbitrário, ou até mesmo faça alterações no código de back-end para induzir os usuários a fornecerem informações confidenciais.
      Isso acontece porque a Amazon permite que desenvolvedores terceirizados criem funcionalidades adicionais para dispositivos, como os alto-falantes Echo, configurando "habilidades" que são executadas em cima da assistente de voz. O objetivo seria facilitar que os usuários iniciem uma conversa com a habilidade e concluam uma tarefa específica. Contudo, a preocupação é que um usuário possa ativar uma habilidade errada. A armadilha vem do fato de que várias habilidades podem ter a mesma frase de invocação.
      Os pesquisadores alertam que a Amazon atualmente não emprega nenhuma abordagem automatizada para detectar infrações para o uso de marcas registradas de terceiros, dependendo de verificação manual para detectar tais tentativas maliciosas. 
      Eles afirmam ainda que um invasor pode fazer alterações no código após a aprovação de uma habilidade para persuadir um usuário a revelar informações confidenciais, como números de telefone e endereços. Por conta desses riscos, os usuários são aconselhados a ter cuidado com as habilidades que escolhem instalar em seus dispositivos.
      Amazon rejeita alegações sobre falha de segurança – O Threatpost informa que a Amazon enviou declaração afirmando conduzir análises de segurança como parte da certificação de habilidades, dizendo ainda que possui sistemas para monitorar continuamente habilidades ao vivo em busca de comportamento potencialmente malicioso. "A segurança de nossos dispositivos e serviços é uma prioridade máxima”, disse o porta-voz da Amazon. “Todas as habilidades ofensivas que identificamos são bloqueadas durante a certificação ou rapidamente desativadas. Estamos constantemente aprimorando esses mecanismos para proteger ainda mais nossos clientes. Agradecemos o trabalho de pesquisadores independentes que nos ajudam a trazer problemas em potencial".
       
      Notícia atualizada em 1/03/2021  às 14h10
×
×
  • Criar Novo...