Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      O software de suporte remoto TeamViewer corrigiu uma falha de alta gravidade em seu aplicativo de desktop para Windows. Segundo o ThreatPost, se explorada, a falha pode permitir que atacantes remotos não autenticados executem códigos nos sistemas dos usuários ou quebrem suas senhas.
      A falha recentemente descoberta (CVE-2020-13699) origina-se do aplicativo Desktop para Windows que não cita corretamente o identificador uniforme de recurso (URI). Os aplicativos precisam identificar os URIs dos sites mas, como os aplicativos podem receber dados de fontes não confiáveis, os valores de URI passados podem conter dados maliciosos que tentam explorar o aplicativo. Nesse caso específico, os valores não são “citados” pelo aplicativo – o que significa que o TeamViewer os tratará como comandos em vez de valores de entrada.
      Assim, um invasor pode incorporar um iframe malicioso em um site com um URL criado que iniciaria o TeamViewer e o forçaria para abrir um compartilhamento SMB remoto. Para iniciar o ataque, o invasor pode simplesmente persuadir uma vítima com o TeamViewer instalado em seu sistema a clicar em uma URL. O URI, então, enganará o aplicativo para criar uma conexão com o protocolo SMB remoto controlado pelo invasor. SMB é um protocolo de rede usado por computadores baseados no Windows que permite que sistemas na mesma rede compartilhem arquivos.
      Depois que o aplicativo TeamViewer da vítima inicia o compartilhamento SMB remoto, o Windows faz a conexão usando o NT LAN Manager (NTLM), que usa um protocolo criptografado para autenticar um usuário sem transferir a senha. As credenciais NTLM são baseadas em dados obtidos durante o processo de logon interativo e consistem em um nome de domínio, um nome de usuário e um hash unilateral da senha do usuário.
      Nesse cenário de ataque, a solicitação NTLM pode ser retransmitida por invasores usando uma ferramenta que captura sessões de autenticação SMB em uma rede interna e as retransmite para uma máquina de destino. Isso pode conceder aos atacantes acesso à máquina da vítima automaticamente e também permite que eles capturem hashes de senha, que podem, então, ser quebradas.
      As versões do TeamViewer anteriores a 15.8.3 são vulneráveis e o bug afeta várias versões do TeamViewer, incluindo: teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 e tvvpn1. O problema foi corrigido em 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350, e 15.8.3, disseram pesquisadores.
    • A fabricante de chips Intel está investigando uma violação de segurança depois de mais de 20GB de documentos internos, sendo alguns marcados como "confidenciais" ou "secretos restritos", serem divulgados on-line em um site de compartilhamento de arquivos chamado MEGA. Notícia do ZDNet conta que os dados foram publicados por um engenheiro de software suíço que afirmou ter recebido os arquivos de um hacker anônimo. O suposto hacker alega ter atacado a Intel no início deste ano.
      Aparentemente, o vazamento representa a primeira parte de uma série de vazamentos relacionados à Intel. O ZDNet revisou o conteúdo dos arquivos com pesquisadores de segurança que analisaram as CPUs Intel em trabalhos anteriores, e eles consideraram o vazamento autêntico. Aparentemente, os arquivos vazados contém propriedade intelectual da Intel para o design interno de vários chipsets, com especificações técnicas, guias de produtos e manuais de CPUs datadas de 2016.
      Nenhum dos arquivos vazados contém dados confidenciais sobre clientes ou funcionários da Intel, segundo o ZDNet. No entanto, não se sabe a que mais o suposto hacker teve acesso. Em uma declaração enviada ao site, a Intel negou ser "hackeada" e diz que um indivíduo com acesso ao seu Centro de Recursos e Design pode ter baixado os dados confidenciais sem autorização, compartilhando-os com o pesquisador suíço. "Estamos investigando essa situação. As informações parecem vir do Intel Resource and Design Center, que hospeda informações para uso de nossos clientes, parceiros e outras partes externas registradas. Acreditamos que um indivíduo com acesso baixou e compartilhou os dados", diz a nota.
    • A Canon sofreu um ataque de ransomware afetando serviços como seu e-mail, o Microsoft Teams, o site dos Estados Unidos e outros aplicativos internos. Uma fonte entrou em contato com o BleepingComputer e compartilhou a imagem de uma notificação enviada pela empresa intitulada "Mensagem do Centro de Serviços de TI". A notificação declara que a Canon está enfrentando "problemas amplos no sistema que afetam vários aplicativos, Teams, e-mail, e outros sistemas podem não estar disponíveis no momento". O site da Canon EUA está em manutenção, e há ainda uma lista de domínios que parecem ser afetados por essa interrupção.
      O BleepingComputer obteve também uma captura de tela parcial da suposta nota de resgate da Canon, identificada como sendo do ransomware Maze. Depois de entrar em contato com os operadores de ransomware, o Maze informou ao BleepingComputer que o ataque foi realizado e eles roubaram "10 terabytes de dados, bancos de dados privados, etc.". 
      O Maze é um ransomware direcionado a empresas e que compromete e se espalha lateralmente através de uma rede até obter acesso a uma conta de administrador e ao controlador de domínio do sistema Windows. Durante esse processo, o Maze rouba arquivos não criptografados de servidores e backups, e os carrega nos servidores do atacante.
      Assim, o Maze implanta o ransomware em toda a rede para criptografar os dispositivo, e se uma vítima não pagar o resgate, o Maze pode distribuir publicamente os arquivos roubados em um site de vazamento de dados. Em comunicado ao BleepingComputer, a Canon diz que "está, atualmente, investigando a situação".
    • A versão 3.00 do Detect It Easy (DIE) foi lançada no início do mês e nós já testamos. O DIE é  um programa para determinar tipos de arquivos, multiplataforma (C++/Qt), com versões para Windows, Linux e macOS. Ele possui uma arquitetura totalmente aberta de assinaturas e permite adicionar facilmente seus próprios algoritmos de detecção ou modificar os que já existem usando scripts. A linguagem de script é muito semelhante ao JavaScript e qualquer pessoa que entenda o básico da programação saberá facilmente como ela funciona.
      O DIE possui três versões: Versão básica ("DIE"), versão Lite ("DIEL") e versão do console ("DIEC"). Todas usam as mesmas assinaturas, localizadas na pasta "db". Esta pasta contém subpastas como "Binary" e "PE". Os nomes das subpastas correspondem aos tipos de arquivos. 
      O DIE determina o tipo de arquivo e, em seguida, carrega sequencialmente todas as assinaturas que estão na pasta correspondente. Atualmente, o programa suporta os seguintes tipos de arquivos:
      Arquivos executáveis MS-DOS Arquivos executáveis PE Arquivos executáveis ELF Arquivos executáveis Mach-O Arquivos binários em geral Na versão 3.00, a interface foi remodelada. As mudanças que percebemos foram:
      Novo botão Hash que calcula diferentes hashes, incluindo MD5, SHA1 e SHA-256 de partes do binário (seções, cabeçalhos, etc.) e também dele todo. Remoção do engine do Yara, que não se popularizou muito já que as assinaturas do DIE já são muito boas. Voltamos a ter duas opções: DIE e Nauz File Detector. Novo botão Memory map que mostra uma visualização integrada das seções e disassembla seu conteúdo também. Disassembler com suporte a labels. Achamos tudo muito legal, no entanto sentimos falta do suporte a scripts e a função de encontrar constantes que sugerem implementações criptográficas, recurso acessado na opção Search -> Crypto (Botão S) nas versões anteriores à 3.00. Por enquanto, recomendamos ter ambas as versões instaladas. ?


      Na nossa Aula 02 do curso de Análise de Malware Online – AMO, mostramos a diferença da análise estática de arquivos suspeitos com o pestudio e o DIE. Dá uma olhada:
       
    • Um adolescente de Tampa está preso acusado de ser o “mentor” por trás do golpe envolvendo conta de personalidades no Twitter. Segundo o WFLA, portal de notícia da Flórida, um procurador de Hillsborough, nos Estados Unidos, apresentou 30 acusações criminais contra o adolescente, o conectando com o golpe ocorrido em 15 de julho que utilizou dezenas de contas de perfis importantes para roubo de criptomoedas. Entre as contas afetadas estão a de Bill Gates, Jeff Bezos, Elon Musk, Mike Bloomberg, Warren Buffett, de Barack Obama e de Joe Biden, além de startups de tecnologia e sites relacionados a criptomoedas (leia mais). 
      As acusações que ele enfrenta incluem inúmeras de fraudes organizadas, 17 acusações de fraude de comunicação, uso fraudulento de informações pessoais com mais com 30 ou mais vítimas, uso fraudulento de informações pessoais e acesso a computadores ou dispositivos eletrônicos sem autorização. O esquema de fraude roubou a identidade de pessoas proeminentes e postou mensagens em seus nomes induzindo as vítimas a enviarem Bitcoin para contas associadas ao adolescente. Segundo o advogado do estado, o esquema colheu mais de US$ 100 mil em Bitcoin em apenas um dia. 
      De acordo com a Procuradoria dos EUA no Distrito Norte da Califórnia, o adolescente é uma das três pessoas acusadas de participar do golpe. O FBI e o Departamento de Justiça dos EUA fizeram a investigação em todo o país até chegar aos suspeitos, diz a reportagem.
    • A DEF CON 2020, uma das maiores conferências hacker do mundo, inicia nesta quinta-feira, dia 6 de agosto, e vai até domingo, dia 9 de agosto, totalmente on-line. Toda a programação do evento, batizado de DEF CON Safe Mode, está neste link. No novo formato, uma série de workshops gratuitos serão realizados ao longo desses dias, tantos de defesa (Blue Team) quanto de ataque (Red Team). 
      Na Blue Team Village, serão 18 workshops que abordarão desde introdução ao OpenSOC até monitoramento de segurança em nuvem. Já a Red Team Village terá uma série de treinamentos durante três dias (7, 8 e 9 de agosto) , passando por exploração, hacking, e até metodologias para caçadores de bugs. 
      Todos os workshops serão em inglês. As vagas estão concorridas e já esgotando, então corre lá e garanta sua inscrição:
      Blue Team Village Red Team Village
    • Um hacker vigilante desconhecido vem sabotando as operações da botnet Emotet. Segundo o ZDNet, o malware foi recentemente revivido, mas o hacker está substituindo suas cargas úteis por GIFs animados, impedindo efetivamente as vítimas de serem infectadas.
      A botnet funciona enviando aos alvos um spam, via e-mail, com um documento mal-intencionado do office ou um link para um arquivo mal-intencionado que os usuários precisam baixar. Quando os usuários abrem um desses arquivos ou clicam nos links dentro do arquivo e ativam o recurso "Ativar edição" para permitir a execução de macros (scripts automatizados), eles baixam o malware Emotet e vários de seus componentes da Internet.
      Os componentes de malwares ficam em "sites WordPress invadidos" controlados via web shells. Mas a gangue Emotet usa scripts de código-fonte aberto e também emprega a mesma senha para todos os seus shells da web, expondo sua infraestrutura a ataques fáceis, se alguém adivinhar a senha. Assim, após mais de cinco meses em silêncio, o Emotet voltou à vida na semana passada, e um vigilante desconhecido parece ter descoberto essa senha comum e sabotado o retorno. 
      Quando as vítimas do Emotet abrem os arquivos maliciosos do Office, elas não são infectadas, pois o malware não será baixado e executado em seus sistemas, mas sim um GIF animado. Cerca de um quarto de todos os links diários de carga útil do Emotet estão sendo substituídos por GIFs. Veja alguns exemplos:

       
×
×
  • Criar Novo...