Jump to content
  • News

    • Bruna Chieco
      A família de malware Agent Tesla, um trojan de acesso remoto (RAT) ativo há mais de 7 anos, continua sendo uma das ameaças mais comuns aos usuários do Windows, evoluindo constantemente. Uma descoberta recente da empresa de segurança Sophos identificou um aumento no número de aplicativos direcionados ao roubo de credenciais, incluindo navegadores da web, clientes de e-mail, clientes de rede privada virtual e outros softwares que armazenam nomes de usuário e senhas. 
      A evolução da ferramenta também se estende ao seu pacote de entrega, com uma versão que agora visa a Interface de Software Anti-Malware da Microsoft (AMSI) em uma tentativa de derrotar o software de proteção de endpoint.
      O malware é utilizado para roubar credenciais do usuário e outras informações de vítimas por meio de capturas de tela, registro do teclado e captura da área de transferência. O SophosLabs rastreou cibercriminosos usando o Agente Tesla e detectou novas variantes em um número crescente de ataques nos últimos 10 meses. Até dezembro de 2020, o Agente Tesla era responsável por 20% dos anexos de e-mail de malware detectados na telemetria de clientes da Sophos.
      Duas versões atualmente ativas do malware, identificadas pela Sophos como Agente Tesla versão 2 e versão 3, empregam vários tipos de evasão de defesa e ofuscação para evitar a detecção, incluindo opções para instalar e usar o Tor e a API de mensagens Telegram para comunicações de comando e controle (C2). As diferenças vistas entre a v2 e v3 do Agente Tesla parecem estar focadas em melhorar a taxa de sucesso do malware contra defesas sandbox e scanners de malware, além de fornecer mais opções C2 para seus clientes invasores.
      Veja o relatório completo da Sophos (em inglês).

    • Golpistas têm procurado vítimas nos servidores de criptomoeda do Discord enviando mensagens privadas que parecem vir de uma plataforma de negociação promissora que distribui criptomoedas. Segundo a Kaspersky, a suposta generosidade varia de mensagem para mensagem, mas no geral diz que o destinatário sortudo foi escolhido aleatoriamente para receber um pagamento impressionante em Bitcoin ou Ethereum.
      A mensagem, repleta de emoji, contém instruções detalhadas e um código para aceitar o presente, bem como um link para se registrar na bolsa de criptomoedas:

                                                                                                                                      Mensagem fraudulenta prometendo Ethereum grátis (Fonte: Kaspersky)
       
      O link abre um site que se parece com uma bolsa de criptomoedas, com um layout adaptável, design inteligente e informações sobre a taxa de câmbio, gráficos, livros de pedidos e histórico de negociação que os comerciantes de criptomoedas esperariam ver em uma plataforma de negociação. Os visitantes também encontrarão suporte técnico e várias opções de idiomas: 

      Página inicial de uma bolsa de criptomoeda falsa onde os usuários do Discord receberam a promessa de Bitcoin e Ethereum (Fonte: Kaspersky)
       
      Os golpistas até mesmo oferecem às vítimas autenticação de dois fatores para proteger suas contas, além de proteção antiphishing, tentando parecer o mais real possível, quanto o verdadeiro propósito do site é transferir dinheiro da vítima para o criminoso. Para concluir o registro, a vítima precisa fazer um pequeno depósito em criptomoeda ou passar por uma verificação de identidade do Know Your Customer (KYC). 
      Os golpistas parecem estar coletando um banco de dados para vender, pois muitos serviços legítimos, incluindo financeiros, usam esses conjuntos de dados pessoais para confirmar as identidades dos usuários. Após o registro, a vítima deve ativar a chave do prêmio da mensagem no Discord e receber o pagamento. O sistema aceita o código e as moedas Bitcoin ou Ethereum prometidas aparecem em suas contas. Quando a vítima tenta mover as moedas da bolsa para sua própria carteira, no entanto, ela encontra apenas obstáculos.
      A Kaspersky alerta para que nunca se confie em estranhos, especialmente aqueles que oferecem dinheiro de graça; nunca compartilhar informações pessoais com sites nos quais você não confia 100%; tomar especial cuidado com os documentos oficiais e nunca envie fotos deles a ninguém; e definir as configurações de privacidade do Discord para evitar tais ofertas; usar uma solução de segurança confiável.
       

    • Autoridades do Reino Unido prenderam um homem de 20 anos que supostamente operava um serviço online para o envio de campanhas de phishing de alto volume por meio de mensagens de texto (SMS). Segundo o KrebsOnSecurity, o serviço é comercializado no submundo sob o nome de "SMS Bandits" e foi responsável por utilizar grandes volumes de iscas de phishing falsificando desde instituições responsáveis por informações sobre a pandemia de Covid-19 até o PayPal, provedores de telecomunicações e agências de impostos.
      A National Crime Agency (NCA) do Reino Unido não divulgou o nome do suspeito, mas confirmou ao KrebsOnSecurity que a unidade de crimes cibernéticos do Metropolitan Police Service deteve um indivíduo que tinha conexão com uma empresa que fornecia "serviços criminosos relacionados a crimes de phishing".
      O SMS Bandits oferece um serviço de phishing de SMS (conhecido como “smishing”) para o envio em massa de mensagens de texto destinadas a aplicar golpes em credenciais de contas de diferentes sites populares, roubando dados pessoais e financeiros para revenda. O KrebsOnSecurity informa ainda que o volume de phishing baseado em SMS disparou em 2020 em mais de 328%, de acordo com um relatório da empresa de segurança Proofpoint.

    • O Google está financiando um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, escrito em linguagem C.
      A linguagem C, contudo, pode ser insegura, se tornando mais passível de bugs que representam falhas de segurança. De olho nisso e buscando tornar a Internet um local mais seguro, o Google decidiu financiar o projeto para desenvolver um novo módulo para substituir o mod_ssl do Apache. O módulo será responsável por suportar as operações criptográficas necessárias para estabelecer conexões HTTPS em um servidor web Apache.
      Assim, será utilizada uma alternativa mais segura de linguagem chamada Rust. O Internet Security Research Group afirma que planeja desenvolver um novo módulo chamado mod_tls que funcionará com o o mod_ssl, mas usará essa nova linguagem de programação Rust em vez de C.
      Segundo o ZDNet, a Rust é uma maneira simples e rápida de garantir que bilhões de usuários sejam mantidos em segurança nos próximos anos. Leia mais detalhes sobre o projeto (em inglês).

    • Um usuário de um fórum cibercriminoso de baixo nível está vendendo acesso a um banco de dados de números de telefone pertencentes a 500 milhões de usuários do Facebook. Segundo a Vice, os dados têm vários anos, mas ainda assim representam um risco de segurança cibernética e privacidade para quem teve os números expostos. O Facebook informou que os dados são referentes a uma vulnerabilidade que a empresa corrigiu em agosto de 2019.
      Os números vazados podem ser pesquisados por meio de um bot automatizado do Telegram, permitindo que usuários insiram um número de telefone para receber o ID do usuário correspondente no Facebook ou vice-versa. Os resultados iniciais do bot são restringidos, mas os usuários podem comprar créditos para revelar o número de telefone completo. Os preços que chegam a US$ 5 mil por 10 mil créditos. O bot afirma conter informações sobre usuários do Facebook dos EUA, Canadá, Reino Unido, Austrália e 15 outros países.
      O Facebook alega que os dados continham IDs do Facebook que foram criados antes da correção da vulnerabilidade . A rede social disse que também testou o próprio bot com dados mais recentes, alegando que o bot não retornou nenhum resultado.

    • A Fireeye liberou faz pouco tempo uma ferramenta extremamente interessante de instrumentação e emulação de arquivos. Conhecida como speakeasy esta ferramenta emula arquivos dinamicamente tanto em kernel-land quanto em user-land. Sua última release adicionou novas chamadas de API em sua engine de emulação como por exemplo GetLogicalDrives e WNetGetConnection, assim como melhorias na emulação de shellcodes.
      Ao contrário de uma sandbox, que precisa virtualizar todo o sistema operacional, esta ferramenta emula apenas componentes específicos do Windows (chamadas de API, objetos, threads, registros, etc) a fim de entender o comportamento do arquivo executado e tentar identificar as ação relevante executadas:

      Além de arquivos completos podemos emular também um ambiente que será responsável pela execução de shellcodes:

      A ferramenta é feita em Python3 e pode ser executada tanto como uma ferramenta de linha de comando como também uma biblioteca, abrindo espaço para instrumentação/automação. Além disso, a ferramenta também pode se executada via container utilizando docker e também em qualquer ambiente em cloud, tendo em vista que não precisamos configura-la, apenas instalar e rodar.
      Pelo fato do sistema operacional não ser emulado por completo nem todas as chamadas de API serão suportados no ponto de vista de emulação. Com esta "limitação" em mente os desenvolvedores criaram uma forma bem prática de adicionar os hooks que estão faltando (não sendo emulados), permitindo que qualquer pessoa que tenha interesse possa mitigar este problema. Para mais informações vale dar uma olhada no REAME do projeto 😉.
      E para aqueles que nos acompanharam semana passada quando falamos do IntelOwl vale lembrar que ele também utiliza o speakeasy!

    • Uma série de vulnerabilidades no Kindle da Amazon poderia ter permitido que atacantes assumissem o controle dos dispositivos das vítimas. Segundo a Vice, um pesquisador da empresa de segurança Realmode Labs analisou no ano passado a segurança de Kindles, em particular o recurso Send to Kindle da Amazon, que permite que usuários enviem e-books ou artigos para o dispositivo. 
      O pesquisador descobriu três vulnerabilidades diferentes que, se combinadas, poderiam levar um criminoso a assumir o controle do Kindle de uma vítima e gastar dinheiro com seu cartão de crédito na Kindle Store, bem como acessar qualquer informação pessoal armazenada no dispositivo, como nome completo e endereço.
      O ataque poderia começar por meio de um e-book malicioso enviado a uma vítima. Um fator atenuante é que o criminoso precisaria falsificar o endereço de e-mail usado para corresponder ao endereço de e-mail @ kindle.com usado pelo alvo. Após enviar o e-book para a vítima, ele apareceria automaticamente na biblioteca do Kindle, e ao abri-lo, ao clicar em um link no índice, o Kindle abriria uma página HTML no navegador que conteria um arquivo de imagem malicioso. Isso daria permissão ao hacker para assumir o controle do dispositivo.
      Um porta-voz da Amazon confirmou à Vice que os bugs foram corrigidos e foi lançada uma atualização automática de software pela Internet que corrige o problema para todos os modelos do Amazon Kindle lançados depois de 2014. Outros modelos de Kindle afetados também receberão essa correção. 

×
×
  • Create New...