Jump to content

  • News

    • Bruna Chieco
      Os desenvolvedores do ransomware Zeppelin retomaram suas atividades após um período de silêncio de alguns meses. Segundo o BleepingComputer, uma variante recente do malware foi disponibilizada em um fórum clandestino no final do mês passado e descoberta pela empresa de prevenção de ameaças e perdas Advanced Intel (AdvIntel).
      O ransomware Zeppelin também é conhecido como Buran e tem sua origem na família Vega/VegaLocker, um ransomware como serviço baseado em Delphi observado em fóruns de hackers de língua russa em 2019. A cepa Zeppelin é vendida em fóruns clandestinos, permitindo que os compradores decidam como querem usar o malware.
      Isso contrasta com as operações de ransomware como serviço clássicas, em que os desenvolvedores geralmente procuram parceiros para invadir a rede da vítima, roubar dados e implantar o malware de criptografia de arquivo, dividindo os resgates pagos.
      Os desenvolvedores anunciaram uma atualização para o ransomware junto com uma nova rodada de vendas pelo valor de US$ 2,3 mil por núcleo construído. Após a atualização, os desenvolvedores do Zeppelin lançaram a nova variante com poucas mudanças em termos de recursos, aumentando a estabilidade da criptografia.
      Características do Zeppelin – Segundo a AdvIntel, o Zeppelin é uma das poucas operações de ransomware no mercado que não adota o modelo como serviço puro. Os desenvolvedores trabalham supostamente em um escopo de operações mais amplo com parceiros próximos que compraram o malware.
      A empresa de segurança alerta que o Zeppelin pode dificultar o combate à ameaça do ransomware, pois o acesso ao malware permite que outros desenvolvedores roubem recursos de seus produtos. Ela afirma ainda que os usuários do Zeppelin são compradores individuais que não complicam seus ataques e contam com vetores de ataque iniciais comuns.
      Além disso, os operadores do Zeppelin não têm um site de vazamento, como a maioria dos grupos de ransomware como serviço. Eles se concentram em criptografar os dados, mas não em roubá-los. Assim, a AdvIntel pontua que o ransomware Zeppelin é preocupante, pois os ataques com essa cepa podem ser difíceis de detectar, especialmente quando novos downloaders são usados.
    • E lá vai mais uma do horsicq! No dia de hoje horsicq, criador de inúmeras ferramentas de análise incluindo o incrível Detect It Easy (DIE), lançou a primeira release do seu novo projeto, um analisador de arquivos MachO chamado XMachOViewer.

      Para quem já utilizou o DIE vai notar uma grande semelhança no design e usabilidade. Já aquelas que não estão familiarizados com as ferramentas do horsicq (deveriam, sério!) fiquem tranquilos, todas são bem simples e intuitívas de se usar.
      Ao contrário do DIE o XMachOViewer tem foco exclusivo em binários MachO. Em relação à funcionalidades a ferramenta consegue fazer tudo que o Detect It Easy faz e ainda mais, tudo isso com uma console exclusiva e mais detalhada: 

      Dentre as funcionalidades novas temos a busca por padrões de criptografia (Base64, RSA, etc), muito útil para análise de malware, por exemplo:

      Name demangling (precisamos dizer o quanto isso é útil? 😄) :

      E também uma funcionalidade de hashing (por que não, né?):

      Além disso, devido à natureza interativa da ferramenta ela permite você editar o arquivo diretamente, bastando apenas selecionar o campo que deseja e começar a digitar:

      A versão 0.01 está pronta para download e com certeza vale uma conferida:

    • O WP Statistics, plug-in do WordPress, tem uma vulnerabilidade de segurança de injeção de SQL que pode permitir que visitantes do site obtenham todos os tipos de informações confidenciais de bancos de dados, incluindo e-mails, dados de cartão de crédito, senhas e mais. Quem descobriu o bug foram os pesquisadores do Wordfence, e um patch já foi lançado para corrigir a falha.
      Segundo publicação da empresa de segurança, o plug-in já foi instalado em mais de 600 mil sites WordPress. Ele fornece aos proprietários de sites estatísticas detalhadas sobre os visitantes, incluindo quais páginas do site eles visitam. O administrador do site pode acessar o item de menu “Pages” e gerar uma consulta SQL para exibir estatísticas sobre quais páginas receberam mais tráfego. A falha de alta gravidade na função “Pages” abre brecha para que qualquer visitante do site, mesmo sem um login, faça uma consulta SQL.
      Para usuários com o plug-in instalado em seu site, a Wordfence recomenda a atualização para a versão corrigida 13.0.8 o mais rápido possível. 
    • Depois de examinar 23 aplicativos Android, a Check Point Research (CPR) percebeu que mais de 100 milhões de usuários foram expostos. Isso ocorreu por conta de uma variedade de configurações incorretas deitas em serviços em nuvem de terceiros. Os dados pessoais expostos incluem e-mails, mensagens de bate-papo, localização, senhas e fotos.
      A Check Point descobriu os dados confidenciais disponíveis publicamente em bancos de dados em tempo real de 13 aplicativos Android, com o número de downloads de cada aplicativo variando de 10 mil a 10 milhões. Os bancos de dados em tempo real permitem que os desenvolvedores de aplicativos armazenem dados na nuvem, garantindo que sejam sincronizados em tempo real para todos os clientes conectados. 
      O problema é que muitos desenvolvedores de aplicativos deixam seus dados e milhões de informações privadas de usuários expostos por não seguir as melhores práticas ao configurar e integrar serviços de nuvem de terceiros em seus aplicativos, diz a empresa de segurança. Essa configuração incorreta coloca em risco os dados pessoais dos usuários e os recursos internos dos desenvolvedores, como acesso a mecanismos de atualização, armazenamento e outros.
      Infelizmente, é comum que aplicativos altamente populares não imponham práticas básicas de segurança para proteger seus usuários e dados. A publicação completa da Check Point dá exemplos de alguns aplicativos com essa falha em sua configuração.
    • O Google está lançando um novo recurso do Chrome no Android para ajudar os usuários a alterar as senhas comprometidas em violações de dados. Já faz algum tempo que o Chrome está verificando a segurança das senhas de usuários, e a partir do novo recurso, sempre que ele detectar uma violação, também poderá corrigir qualquer senha comprometida.
      Segundo publicação de Patrick Nepper, gerente de produto sênior, Google Chrome, sempre que o usuário verificar suas senhas e o Chrome encontrar uma que ela possa ter sido comprometida, um botão "Alterar senha" aparecerá no Assistente Google. Ao tocar no botão, o Chrome navegará até o site e passará por todo o processo de alteração da senha.
       
       

      Demonstração: Chrome ajuda na alteração de senhas comprometidas automaticamente (Fonte: Google)
       
      O usuário pode controlar toda a experiência e optar por passar pelo processo de alteração de senha manualmente desde o início ou a qualquer momento durante o processo. E mesmo se um site ainda não for compatível, o gerenciador de senhas do Chrome pode ajudar a criar senhas fortes para várias contas.
      O Chrome está usando uma tecnologia chamada Duplex na Web para potencializar esse recurso. Ela foi apresentada em 2019 para que o Google Assistente pudesse ajudar o usuário a realizar tarefas na Web. 
      As alterações automatizadas de senha estão sendo implementadas gradualmente no Chrome no Android, para usuários que sincronizam suas senhas, começando nos Estados Unidos, sendo disponibilizada em mais sites e mais países nos próximos meses.
       
    • O valor de um cartão Mastercard clonado com PIN pode chegar a US$ 25 na dark web. É lá que dados roubados por cibercriminosos circulam após uma invasão e consequente vazamento de informações. A PrivacyAffairs mapeou o Índice de Preços da Dark Web e publicou recentemente sua pesquisa mais atualizada com os valores os quais essas informações são negociadas atualmente no lado obscuro da Internet. 
      Ataques de ransomware têm sido crescentes, impactando severamente o serviços de organizações, como foi o caso da Colonial Pipeline, um dos maiores oleodutos dos Estados Unidos que sofreu graves decorrências após um ataque cibernético, fechando seus 5.500 milhas de oleoduto responsável por 45% do abastecimento de combustível da costa leste do país (saiba mais). 
      Gigantes como a Apple também são alvos de extorsão de operadores de ransomware. No caso da empresa de tecnologia, operadores do REvil exigiram o pagamento de um pedido de resgate para evitar que informações confidenciais vazassem na dark web. A posse dos dados de produtos da Apple foram supostamente obtidas após violação da Quanta Computer, empresa taiwanesa fabricante de laptops. 
      Mas os ciberataques não impactam apenas as grandes companhias. Devido ao aumento desse tipo de ataque, dados de usuários também estão cada vez mais expostos por aí, e os pesquisadores da PrivacyAffairs notaram que há um volume muito maior dessas informações à venda na dark web agora em comparação com o ano passado, com identidades falsas e fornecedores de cartões de crédito computando vendas na casa dos milhares. Não apenas a quantidade, mas também a variedade de itens a serem comprados aumentou, incluindo carteiras de criptomoedas e serviços como Uber. 
      Veja abaixo as principais categorias de produtos e serviços roubados e que são vendidos na dark web, segundo a pesquisa da PrivacyAffairs. As informações refletem os dados coletados em 9 de maio de 2021.
       
      Dados de cartão de crédito

      Os preços dos cartões de crédito clonados e dos dados do portador do cartão estão aumentando constantemente. Em comparação com a pesquisa realizada em outubro de 2020, por exemplo, o valor sobre o Mastercard clonado com PIN subiu de US$ 15 para US$ 25. Segundo os pesquisadores da PrivacyAffairs, o aumento de preço é provavelmente devido a uma combinação de fatores como os riscos crescentes de obter as informações, o benefício para os compradores ao usarem as informações, o aumento da qualidade/precisão dos dados do cartão, ou pode ser apenas decorrência da inflação.
      Nesta categoria, também foram encontrados novos produtos na dark web, não abordados na pesquisa de 2020. São eles os detalhes de cartões de crédito hackeados tanto globalmente quanto especificamente em cada país, conforme listado na tabela acima. 
       
      Serviços de processamento de pagamentos

      Os serviços de processamento de pagamentos incluem detalhes da conta do PayPal, sendo esses os itens mais abundantes listados nos mercados da dark web, e também os mais baratos. Os processadores de pagamento têm se tornado predominantes à medida que os varejistas aceitam pagamento móvel e outras formas de pagamento online. 
       
      Carteiras de criptomoedas

      Carteiras de criptomoedas hackeadas parecem ser um dos itens mais valiosos para compra segundo a pesquisa da PrivacyAffairs. Isso porque as contas invadidas podem conter grandes somas de dinheiro. Contas de alto valor combinadas com abundantes caixas eletrônicos para saques anônimos tornam as carteiras de criptomoedas um item muito importante para os cibercriminosos.
       
      Mídias sociais

      Já os preços das contas de mídia social invadidas parecem estar caindo em todas as plataformas, aponta o índice. Os valores referentes a contas do Facebook caíram de US$ 75 em outubro de 2020 para US$ 65 em maio deste ano. As contas do Gmail tiveram uma queda ainda mais expressiva: de US$ 156 para US$ 80 na mesma base de comparação.  
      Além disso, as ofertas para invadir contas específicas ou vendê-las estão relativamente escassas. Isso pode ter ocorrido devido ao recente aumento nas medidas de segurança implementadas por plataformas de mídia social, o que faz com que invasores tenham que recorrer a técnicas de engenharia social para obter credenciais de login.
       
      Serviços hackeados

      Serviços hackeados estão entre as categorias novas da pesquisa. Os fornecedores vendem acesso a serviços de assinatura online pagos a preços mais baixos para quem está disposto a correr o risco.
      Outros serviços – O Índice de Preços Dark Web 2021 da PrivacyAffairs também traz informações de preços referentes à venda de documentos falsificados, disponíveis tanto em formato digital ou físico. Dependendo do fornecedor, eles são altamente personalizáveis e podem ser feitos com todos os detalhes que o comprador desejar. Isso inclui desde carteira de habilitação para motoristas até passaporte.
      Também são vendidos bancos de dados de e-mail, notoriamente baratos devido à sua disponibilidade principal e baixa precisão; malwares que dão acesso total à máquina, podendo sequestrar recursos do computador por meio de ransomware ou roubar informações sobre o usuário; e ataques distribuídos de negação de serviço (DDoS), que enviam ao site de destino milhares de solicitações de conexão por segundo para sobrecarregar e travar o servidor do site, deixando assim um site offline, sendo que os valores para este tipo de serviço aumentaram significativamente desde outubro de 2020.
      A comunidade de segurança preza que esse tipo de informação não fique disponível para uso mal intencionado. Para isso, é preciso reforçar a segurança de dispositivos, evitando inclusive acesso a Wi-Fi públicos ou inseguros e mantendo informações privadas o mais protegidas o possível. 
      Mas sabemos que nem sempre isso é o suficiente. Devido à ampla divulgação de preços desses dados na Internet, é preciso articulação maior das autoridades dos diversos países para coibir esse tipo de comercialização, evitando, assim, que criminosos continuem disponibilizando dados pessoais de suas vítimas na dark web.
    • O pesquisador de segurança Konstantin Darutkin descobriu uma vulnerabilidade que permite que sites rastreiem usuários em vários navegadores de desktop diferentes, incluindo Apple Safari, Google Chrome, Microsoft Edge, Mozilla Firefox e Tor. 
      Ele publicou no FingerprintJS uma explicação sobre como a exploração funciona nos navegadores, destacando que a vulnerabilidade permite que os sites identifiquem usuários de forma confiável em diferentes navegadores de desktop e vinculem suas identidades. 
      A falha utiliza informações sobre aplicativos instalados no computador do usuário para atribuir a ele um identificador exclusivo permanente. Para gerar um identificador de dispositivo de navegador cruzado de 32 bits, um site pode testar uma lista de 32 aplicativos populares e verificar se cada um está instalado ou não. Em média, o processo de identificação leva alguns segundos e funciona em sistemas operacionais de desktop Windows, Mac e Linux.
      Esse identificador funciona mesmo se o usuário trocar de navegador, usar o modo de navegação anônima ou usar uma VPN. O navegador Tor, por exemplo, conhecido por oferecer proteção de privacidade, é afetado pela vulnerabilidade. Além disso, a vulnerabilidade permite o envio de anúncios direcionados e traça o perfil do usuário sem o seu consentimento.
      Na publicação, o pesquisador faz uma análise técnica detalhada de como a vulnerabilidade funciona, comparando ainda cada navegador.  Ele informa também que relatórios de bug foram enviados a todos os navegadores afetados, incluindo uma demonstração ao vivo e disponibilização de um repositório de código-fonte público no GitHub. "Acreditamos que vulnerabilidades como esta devem ser discutidas abertamente para ajudar os navegadores a corrigi-las o mais rápido possível", destaca. 
×
×
  • Create New...