Jump to content
Apoie a Mente Binária e ajude a garantir a disponibilidade de conteúdo de qualidade em português sobre computação e segurança!

News

Show all categories

Google lança nova seção sobre transparência e privacidade de aplicativos

O Google anunciou nesta quinta-feira, 6 de maio, uma nova seção de segurança no Google Play que tem o objetivo de ajudar as pessoas a entender os dados que um aplicativo coleta ou compartilha, se esses dados estão protegidos, e detalhes adicionais que afetam a privacidade e a segurança.
"Trabalhamos em estreita colaboração com os desenvolvedores para manter o Google Play um espaço seguro e confiável para bilhões de pessoas aproveitarem os aplicativos Android mais recentes", diz Suzanne Frey, VP de produtos, segurança e privacidade Android, em publicação no Droid News.
Segundo Suzanne, os desenvolvedores de apps querem maneiras simples de comunicar a segurança do aplicativo, que sejam fáceis de entender e ajudem os usuários a fazer escolhas informadas sobre como seus dados são tratados. Ela afirma que os desenvolvedores também desejam fornecer contexto adicional para explicar o uso de dados e como as práticas de segurança podem afetar a experiência do aplicativo. 
Para isso, além dos dados que um aplicativo coleta ou compartilha, o Google introduziu na seção de segurança informações se:
O aplicativo tem práticas de segurança, como criptografia de dados; O aplicativo segue a política do Google para famílias; O aplicativo precisa desses dados para funcionar ou os usuários têm a opção de compartilhá-los; A seção de segurança do aplicativo é verificada por um terceiro independente; O aplicativo permite que os usuários solicitem a exclusão de dados, se decidirem desinstalá-lo. O Google pedirá ainda que os desenvolvedores que compartilhem:
Que tipo de dados são coletados e armazenados. Entre eles, opções potenciais são localização aproximada ou precisa, contatos, informações pessoais (por exemplo, nome, endereço de e-mail), fotos e vídeos, arquivos de áudio e arquivos de armazenamento; Como os dados são usados (por exemplo, para funcionalidade e personalização do aplicativo). Semelhante aos detalhes do aplicativo, como capturas de tela e descrições, os desenvolvedores são responsáveis pelas informações divulgadas em sua seção. O Google Play apresentará uma política que exige que eles forneçam informações precisas, e caso um desenvolvedor tenha deturpado os dados que forneceu, violando a política, o Google pedirá a correção do problema. Os aplicativos que não forem compatíveis estarão sujeitos à aplicação de políticas, diz Suzanne.
Todos os aplicativos do Google Play, incluindo os próprios aplicativos do Google, serão obrigados a compartilhar essas informações e fornecer uma política de privacidade. "Estamos empenhados em garantir que os desenvolvedores tenham muito tempo para se preparar", destaca Suzanne, informando que a partir do segundo trimestre de 2022, os novos envios e atualizações de aplicativos já devem incluir essas informações.
Bruna Chieco

Livro aborda programação funcional: entenda a importância desse tema 

O professor, analista de sistemas e economista José Augusto N. G. Manzano lançou o livro "Algoritmos Funcionais - Introdução minimalista à lógica de programação funcional pura aplicada à teoria dos conjuntos". 
O livro busca fundamentar, dentro de seu escopo, diversas ações matemáticas e de programação importantes dentro do universo funcional. "Este livro foi escrito exclusivamente para uso em sala de aula. É um material voltado à apresentação e estudo da 'Lógica de Programação Funcional', que vem tomando grandes posições dentro do universo comercial no desenvolvimento de software", escreveu o autor em publicação no seu LinkedIn.
Paradigma funcional – O paradigma funcional tem um jeito de programar específico, diferenciado do tradicional, com algumas vantagens para certas aplicações. Uma das áreas em que o paradigma funcional se destaca é a ciência de dados, que tem sido uma grande aposta das empresas, especialmente startups, na busca de profissionais.
Dentro do paradigma funcional, há várias linguagens de programação. O Nubank, por exemplo, utiliza bastante uma linguagem chamada Clojure, e tem uma alta demanda por profissionais que programem nessa linguagem (saiba mais). 
Este livro, portanto, é uma introdução para quem quer adentrar nesse mundo das linguagens funcionais. Qualquer futuro programador em uma dessas linguagens funcionais vai se beneficiar deste conteúdo. 

Clique e veja como comprar
O professor Manzano se destaca também por produzir muitos materiais da área, se mantendo sempre atualizado sobre o que o mercado está precisando no momento. Já divulgamos outros trabalhos de sua autoria aqui no Mente Binária, entre eles o livro 'Fundamentos em Programação Assembly':
 
Inclusive, o canal do professor Manzano no YouTube possui mini aulas sobre programação de computadores e outros assuntos relacionados à área da computação e tecnologia da informação. Vale conferir!
Bruna Chieco

Pesquisadores descobrem vulnerabilidades de décadas da Dell

Pesquisadores da SentinelOne descobriram que, desde 2009, vulnerabilidades nos drivers da Dell afetam potencialmente centenas de milhões de máquinas. Os atacantes podem usar os bugs para iniciar uma série de ataques. As cinco falhas de alta gravidade no driver de atualização de firmware da Dell afetam desktops, laptops, notebooks e tablets da fabricante.
As descobertas do SentinelLabs foram relatadas à Dell em 1º de dezembro de 2020 e são rastreadas como CVE-2021-21551. A Dell, por sua vez, lançou uma atualização de segurança para seus clientes para resolver a vulnerabilidade.
Em publicação no Blog do SentinelLabs, o pesquisador relata o processo de investigação da postura de segurança do módulo de driver de atualização de firmware versão 2.3 (dbutil_2_3.sys). O componente vem pré-instalado na maioria das máquinas Dell que executam o Windows e máquinas Windows recém-instaladas que foram atualizadas. 
O driver chamou a atenção do pesquisador devido ao uso do Process Hacker, que tem um recurso que exibe uma mensagem de notificação toda vez que um serviço é criado ou excluído. Isso o levou à descoberta dos cinco bugs de alta gravidade que permaneceram ocultos por 12 anos. 
As falhas de alta gravidade podem permitir que qualquer um aumente privilégios e execute o código no modo kernel. Entre os abusos das vulnerabilidades está o fato de que elas podem ser usadas para contornar produtos de segurança. Um invasor com acesso à rede de uma organização também pode executar código em sistemas Dell sem patch e usar essa vulnerabilidade para obter elevação local de privilégio. 
(Crédito da imagem: Wikipedia)
Bruna Chieco

Atacantes exploram falha grave no macOS

Atacantes estavam explorando um bug grave no sistema operacional da Apple, o macOS, conseguindo contornar a maioria dos mecanismos de segurança do sistema. Segundo a Vice, o bug era, até então, desconhecido e foi utilizado para invadir um número não identificado de computadores Mac. O problema foi relatado à Apple em 25 de março, e a empresa já lançou um patch na versão mais recente do MacOS Big Sur, corrigindo a falha.
Pesquisadores de segurança que encontraram a vulnerabilidade e a analisaram dizem que a falha permitia que os atacantes criassem um malware que poderia assumir o controle do computador da vítima, contornando as proteções de segurança da Apple no macOS, como Gatekeeper, Quarentena de Arquivos e requisitos de autenticação de aplicativos. Em teoria, esses mecanismos bloqueiam o acesso de arquivos baixados da Internet aos arquivos do usuário, a menos que sejam assinados por desenvolvedores conhecidos e tenham sido verificados pela Apple. 
Um pesquisador independente especializado em macOS afirmou à Vice que esse é o pior ou potencialmente o mais impactante bug para os usuários diários do macOS. Apesar da vítima em potencial ter que clicar duas vezes em um arquivo malicioso para infectar seu computador, o sistema não mostra nenhum alerta, prompt, nem bloqueia a execução do aplicativo, de acordo com os pesquisadores.
Um porta-voz da Apple disse que a empresa implantou regras para detectar malwares que abusam desse bug em seu aplicativo antivírus XProtect. Essas regras são instaladas automaticamente em segundo plano, o que significa que todos os dispositivos macOS, incluindo os que executam versões anteriores, também terão essa proteção.
Bruna Chieco

AirDrop tem falha que, se explorada, pode vazar e-mails e números de telefone

O AirDrop, recurso que permite que usuários de Mac e iPhone transfiram arquivos sem fio entre dispositivos da Apple, está com uma falha que permite o vazamento de e-mails e números de telefone dos usuários. 
Segundo o Ars Technica, o AirDrop, que usa Wi-Fi e Bluetooth para estabelecer conexões diretas com dispositivos próximos e transferir fotos, documentos, etc., entre um dispositivo iOS ou macOS para outro, funciona em três modos: um que permite que apenas contatos se conectem, um segundo que permite que qualquer pessoa se conecte, e o terceiro, que não permite nenhuma conexão.
Para determinar se o dispositivo de um possível remetente deve se conectar a outros dispositivos próximos, o AirDrop transmite anúncios Bluetooth que contêm um hash criptográfico parcial do número de telefone e endereço de e-mail do remetente. Se qualquer um dos hashes truncados corresponder a qualquer número de telefone ou endereço de e-mail no catálogo de endereços do dispositivo receptor, ou se o dispositivo estiver configurado para receber de qualquer pessoa, os dois dispositivos entrarão em autenticação mútua via Wi-Fi, trocando os hashes SHA-256 completos dos números de telefone e endereços de e-mail dos usuários.
O Ars Technica explica que atacantes conseguem descobrir os hashes executando um ataque de força bruta, que lança um grande número de suposições e espera por aquele que gera o hash procurado. Quanto menor a imprevisibilidade ou força no texto não criptografado, mais fácil de adivinhar ou quebrar o hash.
"Esta é uma descoberta importante, pois permite que os invasores obtenham informações bastante pessoais dos usuários da Apple que, em etapas posteriores, podem ser abusadas para ataques de spear phishing, golpes, etc. ou simplesmente serem vendidos", diz ao Ars Technica um dos pesquisadores na Universidade Técnica de Darmstadt, na Alemanha, que encontrou as vulnerabilidades, Christian Weinert. 
Os pesquisadores dizem que notificaram a Apple em particular sobre suas descobertas em maio de 2019. Um ano e meio depois, eles apresentaram o "PrivateDrop", um AirDrop reformulado que desenvolveram e que usa interseção de conjuntos privados, uma técnica criptográfica que permite que as duas partes façam contato sem revelar hashes vulneráveis. A implementação do PrivateDrop está publicamente disponível no GitHub.
Segundo o Ars Technica, até o momento, a Apple não indicou se tem planos de adotar o PrivateDrop ou empregar alguma outra forma de corrigir o vazamento. 
Bruna Chieco

Coalizão divulga recomendações para a interrupção de ransomwares

A Força-Tarefa de Ransomware (Ransomware Task Force – RTF), ampla coalizão de especialistas da indústria, governo, agentes da lei, organizações sem fins lucrativos, empresas de seguro de segurança cibernética e organizações internacionais, compartilhou uma estrutura de ações para interromper o modelo de negócios do ransomware. 
O grupo foi formado no final do ano passado com a proposta de fazer um sprint de dois a três meses para avaliar as soluções existentes em vários níveis da cadeia de eliminação do ransomware, identificando lacunas na aplicação da solução e criando um roteiro de objetivos concretos e marcos acionáveis para tomadores de decisão de alto nível. 
Em relatório divulgado nesta quinta-feira, 29 de abril, o grupo elencou recomendações informadas por uma ampla bancada de especialistas, imediatamente acionáveis, formando uma estrutura para reduzir o empreendimento criminoso chamado ransomware. "Ransomware não é mais apenas um crime financeiro; é um risco urgente à segurança nacional que ameaça escolas, hospitais, empresas e governos em todo o mundo", diz a RTF.
Entre as recomendações prioritárias para combater ataques de ransomware estão:
Esforços internacionais diplomáticos e policiais coordenados devem priorizar proativamente o ransomware por meio de uma estratégia abrangente e com recursos, incluindo o uso de uma abordagem de incentivo e punição para impedir que os estados-nação forneçam refúgios seguros aos criminosos do ransomware. Os Estados Unidos deveriam liderar pelo exemplo e executar uma campanha anti-ransomware sustentada, agressiva, de todo o governo, impulsionada pela inteligência, coordenada pela Casa Branca. Nos EUA, isso deve incluir o estabelecimento de 1) um Grupo de Trabalho Interagências liderado pelo Conselho de Segurança Nacional em coordenação com o nascente Diretor Nacional de Cibernética; 2) uma Força-Tarefa Conjunta de Ransomware interna do Governo dos Estados Unidos; e 3) um Centro de Foco em Ameaças de Ransomware informal, colaborativo e privado, liderado pelo setor privado. Os governos devem estabelecer fundos de resposta e recuperação cibernética para apoiar a resposta a ransomware e outras atividades de segurança cibernética; exigir que as organizações relatem pagamentos de resgate; e exigir que as organizações considerem alternativas antes de fazer pagamentos. Um esforço coordenado internacionalmente deve desenvolver uma estrutura clara, acessível e amplamente adotada para ajudar as organizações a se prepararem e responderem a ataques de ransomware. Em alguns setores com poucos recursos e mais críticos, incentivos (como redução de multas e financiamento) ou regulamentação podem ser necessários para impulsionar a adoção. O setor de criptomoedas que permite o crime de ransomware deve ser regulamentado de forma mais rigorosa. Os governos devem exigir que as trocas de criptomoedas, quiosques de criptografia e "balcões" de negociação (OTC) cumpram as leis existentes. A RTF diz ainda que essa estrutura estratégica visa ajudar os formuladores de políticas e líderes da indústria a tomarem medidas em nível de sistema, por meio de legislação potencial, financiamento de novos programas ou lançamento de novas colaborações em nível de indústria. "Isso ajudará a comunidade internacional a construir resistência, interromper o modelo de negócios de ransomware e desenvolver resiliência para essa ameaça", diz o relatório.
A estrutura foi organizada em torno de quatro objetivos: impedir ataques de ransomware por meio de uma estratégia abrangente coordenada nacional e internacionalmente; interromper o modelo de negócios do ransomware, reduzindo os lucros criminosos; ajudar as organizações a se prepararem para ataques de ransomware; e responder a ataques de ransomware de forma mais eficaz."Será necessário nada menos do que nosso esforço coletivo total para mitigar o flagelo do ransomware", diz a RTF no relatório.
Bruna Chieco

Vulnerabilidade no Linux permite que atacantes acessem pilha de memória do kernel

O Cisco Talos, grupo global de inteligência de ameaças de cibersegurança da Cisco, descobriu uma vulnerabilidade de divulgação de informações no kernel do Linux.
A vulnerabilidade, rastreada como CVE-2020-28588, pode permitir que um invasor visualize a pilha de memória do kernel, o que significa que dados ou informações que não deveriam ser vistas possam ser acessadas. O problema foi visto pela primeira vez pelo Cisco Talos em um dispositivo Azure Sphere (versão 20.10), um dispositivo ARM de 32 bits que executa um kernel do Linux corrigido.
O kernel do Linux é o núcleo livre e de código aberto dos sistemas operacionais do tipo Unix. A vulnerabilidade existe especificamente na funcionalidade /proc/pid/syscall de dispositivos ARM de 32 bits executando Linux.
Um invasor pode explorá-la lendo /proc/<pid>/syscall, um arquivo legítimo do sistema operacional Linux, podendo aproveitar esse vazamento de informações para explorar com êxito vulnerabilidades adicionais não corrigidas.
O Cisco Talos trabalhou com o Linux para garantir que esse problema seja resolvido e uma atualização já está disponível para os clientes afetados. Os usuários são incentivados a atualizar esses produtos afetados o mais rápido possível para o Kernel Linux versões 5.10-rc4, 5.4.66 e 5.9.8.
Bruna Chieco

Gangue criptografa mais de mil de dispositivos QNAP utilizando o 7zip

Uma gangue de ransomware levou cinco dias para criptografar milhares de dispositivos QNAP utilizando o programa de arquivamento 7zip. Segundo o BleepingComputer, por meio desse mecanismo de criptografia, os atacantes conseguiram extorquir um total de US$ 260 mil das vítimas.
A operação de ransomware chamada Qlocker explorou vulnerabilidades nos dispositivos QNAP NAS sem precisar criar seu próprio programa de malware. A gangue procurou dispositivos conectados à Internet e os exploraram usando as vulnerabilidades divulgadas recentemente, o que permitiu a execução remota do utilitário de arquivamento 7zip para proteger com senha todos os arquivos nos dispositivos de armazenamento NAS das vítimas.
Em apenas cinco dias, estima-se que mais de mil, senão milhares de dispositivos foram criptografados. Para isso, os atacantes utilizaram um algoritmo de criptografia embutido no utilitário de arquivamento 7zip.
Como os alvos do Qlocker eram consumidores e proprietários de pequenas e médias empresas que utilizam dispositivos QNAP NAS para armazenamento de rede, os pedidos de resgate foram de apenas 0,01 Bitcoins, o que representa cerca de US$ 500, fazendo com que os pagamentos rendessem aos criminosos um retorno considerável em alguns dias de atividade.
O BleepingComputer diz que essa campanha de ransomware ainda está em andamento, com novas vítimas aparecendo todos os dias. Portanto, todos os usuários do QNAP devem atualizar as versões mais recentes dos aplicativos Multimedia Console, Media Streaming Add-on e Hybrid Backup Sync para corrigir as vulnerabilidades e se proteger contra esses ataques.
Bruna Chieco

Telegram é cada vez mais utilizado para atividades cibercriminosas

O aplicativo de mensagens Telegram está sendo utilizado para distribuir um cavalo de Tróia de acesso remoto (RAT) denominado ToxicEye. O malware pode assumir o controle de sistemas de arquivos, instalar ransomware e vazar dados dos computadores das vítimas, de acordo com pesquisadores da Check Point Software Technologies que rastrearam mais de 130 ataques cibernéticos nos últimos três meses que alavancaram o ToxicEye. Os invasores usam o Telegram para se comunicar com seu próprio servidor, exfiltrando dados para ele.
A plataforma de mensagens instantâneas baseada na nuvem teve um aumento na popularidade devido a mudanças polêmicas nas configurações de privacidade do seu rival, o WhatsApp, sendo o aplicativo mais baixado em todo o mundo em janeiro de 2021, com mais de 63 milhões de instalações, ultrapassando os 500 milhões de usuários ativos mensais, diz a Check Point. 
Essa popularidade também se estende à comunidade cibercriminosa, que utiliza o Telegram como um sistema de comando e controle (C&C) pronto para seus produtos maliciosos. Mas por que o Telegram tem sido cada vez mais utilizado para atividades cibercriminosas?
Segundo a CheckPoint, o Telegram é um serviço legítimo, fácil de usar e estável, e não é bloqueado por mecanismos antivírus corporativos, nem por ferramentas de gerenciamento de rede. Além disso, os invasores podem permanecer anônimos, pois o processo de registro requer apenas um número de celular.
Os recursos de comunicação exclusivos do Telegram permitem que os invasores facilmente exfiltrem dados dos computadores das vítimas ou transfiram novos arquivos maliciosos para máquinas infectadas. O Telegram também permite que os invasores usem seus dispositivos móveis para acessar computadores infectados de quase qualquer local do mundo.
ToxicEye – No caso do ToxicEye, malware mais recente monitorado pela Ckeck Point, o invasor cria uma conta 'bot' do Telegram, que é uma conta remota especial com a qual os usuários podem interagir pelo chat do Telegram, adicionando-os a grupos ou enviando solicitações diretamente do campo de entrada digitando o nome de usuário. 
A bot é incorporada ao arquivo de configuração RAT do ToxicEye e compilada em um arquivo executável. Qualquer vítima infectada com essa carga maliciosa pode ser atacada por meio da bot do Telegram, que conecta o dispositivo do usuário de volta ao C&C do atacante via Telegram. O trojan também pode ser baixado e executado abrindo um documento malicioso.
A Check Point identificou uma série de recursos-chave que caracterizam a maioria dos ataques recentes: recursos de roubo de dados; controle do sistema de arquivos; captura de entrada e saída; e recursos de ransomware, com a capacidade de criptografar e descriptografar arquivos das vítimas.
"Dado que o Telegram pode ser usado para distribuir arquivos maliciosos, ou como um canal C&C para malware controlado remotamente, esperamos que ferramentas adicionais que exploram esta plataforma continuem a ser desenvolvidas no futuro", diz a Check Point.
Bruna Chieco

Gangue do ransomware REvil tenta extorquir a Apple 

Os operadores do ransomware REvil estão exigindo que a Apple pague um pedido de resgate para evitar que informações confidenciais da empresa vazem na dark web. Segundo a empresa de segurança Recorded Future, a equipe do REvil afirma que tem a posse dos dados de produtos da Apple após violar a Quanta Computer, empresa taiwanesa fabricante de laptops e uma das empresas que montam produtos oficiais da Apple.
A Recorded Future teve acesso a uma mensagem publicada em um portal da dark web onde a gangue do ransomware geralmente ameaça as vítimas e vaza seus dados. Na mensagem, a gangue do REvil diz que a Quanta se recusou a pagar para obter seus dados roubados de volta e, como resultado, o próximo alvo será o cliente principal da empresa.
A gangue publicou ainda 21 screenshots falando sobre o novo MacBook da Apple, ameaçando publicar novos dados todos os dias até que a própria companhia ou a Quanta pagassem o resgate. Além disso, há possibilidade de que dados de outras empresas também vazem online. Os clientes conhecidos da Quanta Computer incluem, além da Apple, a HP, a Dell, a Microsoft, a Toshiba, a LG, a Lenovo, entre outros, diz a Recorded Future.
O resgate pedido à Quanta foi de US$ 50 milhões, mas não está claro quanto dinheiro a gangue está tentando extorquir da Apple agora. A tentativa de extorsão também foi planejada para ter máxima visibilidade coincidindo com o evento Spring Loaded, realizado no dia 20 de abril, onde a Apple anunciou novos produtos e atualizações de software.
Ainda segundo a Recorded Future, a gangue do REvil disse que a Apple tem até o dia 1º de maio para tentar obter seus arquivos de volta por meio do pagamento de resgate. 
Bruna Chieco

Recurso secreto no WhatsApp permite acelerar a reprodução de áudios

Pesquisadores da Sayfer fizeram engenharia reversa no WhatsApp Web e acabaram encontrando "sem querer" um recurso desabilitado por padrão, ou seja, que ainda não está liberado. A função pre-released descoberta permite que a velocidade de um áudio seja acelerada. 
Os pesquisadores, na verdade, estavam fazendo uma pesquisa sobre outro projeto quando descobriram acidentalmente que o WhatsApp tem um sinalizador para o recurso oculto que permite aos usuários alterar a taxa de reprodução de mensagens de voz.
Uma das ferramentas de pesquisa utilizadas pelos pesquisadores permitiu essa alteração, sendo cada mensagem de voz é essencialmente uma marca de áudio com um blob de uma fonte de áudio. Para alterar a velocidade, contudo, foi necessário fazer engenharia reversa no código-fonte minimizado do WhatsApp para a web.
Eles descobriram que o WhatsApp tem três velocidades pré-determinadas para os áudios, porém, desabilitadas. Em publicação, os pesquisadores explicam o passo a passo do que fizeram para conseguir alterar a taxa de reprodução dos áudios.
E se você quiser saber mais sobre engenharia reversa, o Mente Binária tem um curso com 24 aulas que pode ser acessado por meio do nossos canal no YouTube:
 
Bruna Chieco

Apps falsos encontrados na Google Play Store foram baixados 700 mil vezes 

Pesquisadores descobriram um novo conjunto de aplicativos falsos para Android na Google Play Store. Os apps sequestram notificações de mensagens SMS para realizarem fraudes de faturamento, segundo informações do The Hacker News.
Os aplicativos em questão tem como alvo principal usuários no sudoeste da Ásia e na Península Arábica, atraindo um total de 700 mil downloads antes de serem descobertos e removidos da plataforma. As descobertas foram relatadas de forma independente pelas empresas de segurança Trend Micro e McAfee.
Se passando por apps de editores de fotos, papéis de parede, quebra-cabeças, e outros aplicativos relacionados a câmeras, eles possuem um malware embutido que sequestra notificações de mensagens SMS e, em seguida, faz compras não autorizadas, disseram pesquisadores.
Os aplicativos falsos aparentemente pertencem ao malware Joker (também conhecido como Bread). A McAfee, no entanto, está rastreando a ameaça com um apelido separado chamado Etinu. O malware é conhecido por realizar fraudes de faturamento, roubando de mensagens SMS, listas de contato e informações do dispositivo. 
Os autores de malware normalmente empregam uma técnica chamada controle de versão, que se refere ao upload de uma versão limpa do aplicativo na Play Store para criar confiança entre os usuários e, em seguida, adicionam sorrateiramente um código malicioso por meio de atualizações do aplicativo, em uma tentativa de escapar do processo de revisão do app na loja.
Bruna Chieco

Ransomware exige código Discord Nitro para descriptografar arquivos

Um novo ransomware autodenominado NitroRansomware criptografa arquivos da vítima e exige um código Discord Nitro para descriptografá-los. Segundo o BleepingComputer, o ransomware parece ser distribuído como uma ferramenta falsa, afirmando que pode gerar códigos Nitro gratuitos.
Embora o Discord seja gratuito, há um complemento de assinatura do Nitro por US$ 9,99 que oferece vantagens adicionais, como uploads maiores, streaming de vídeo em HD, emojis aprimorados e a capacidade de aumentar seu servidor favorito. Ao comprar uma assinatura do Nitro, os usuários podem aplicá-la em sua própria conta ou dar de presente para outra pessoa. 
Quando executado, o NitroRansomware criptografa os arquivos de uma pessoa e anexa a extensão .givemenitro aos arquivos criptografados. Depois, uma tela de ransomware é exibida exigindo um código Nitro dentro de três horas, sob a ameaça de excluir os arquivos criptografados da vítima. As amostras de ransomware vistas pelo BleepingComputer, contudo, não excluem nenhum arquivo quando o cronômetro chega a zero.
Ainda assim, além de criptografar os arquivos, o ransomware também executa outras atividades maliciosas no computador da vítima, e os atacantes tentam, inclusive, roubar os tokens do Discord da vítima. Quando o NitroRansomware é iniciado, ele procura o caminho de instalação do Discord do usuário afetado e, em seguida, extrai tokens de usuário que são enviados de volta ao ator da ameaça por meio de um webhook do Discord.
Como parte desse processo, o malware também tenta roubar dados do Google Chrome, Brave Browser e Yandex Browser. O BleepingComputer recomenda que os usuários infectados por este ransomware alterem sua senha do Discord.
Bruna Chieco

HackBoss: malware que rouba criptomoedas é distribuído por meio do Telegram

Uma família de malware específica que foca em roubo de criptomoedas, chamada HackBoss, está sendo estudada por pesquisadores da Avast. O malware é considerado simples, mas muito eficaz, tendo possivelmente roubado mais de US$ 560 mil das vítimas até agora. 
Transmitido principalmente via Telegram, o HackBoss tem um ganho monetário significativo, segundo a Avast, sendo que os autores do malware possuem um canal de Telegram usado como a principal fonte para espalhá-lo. Ele é promovido como uma fonte de fornecimento "do melhor software para hackers (hack bank/dating/bitcoin)". 
Embora seja prometido que cada aplicativo promovido no canal seja de hacker ou cracker, a verdade é que cada postagem publicada contém apenas um malware para roubo de criptomoedas oculto como um aplicativo de hacking ou cracking. Além disso, nenhum aplicativo postado neste canal oferece o comportamento prometido, ou seja, todos são falsos.
O canal Hack Boss do Telegram foi criado em 26 de novembro de 2018, diz a Avast, e tem mais de 2,5 mil assinantes até o momento, fazendo uma média de 7 postagens por mês. As publicações geralmente contêm um link para armazenamento de arquivos criptografados ou anônimos a partir do qual o aplicativo pode ser baixado, além de uma descrição falsa da suposta funcionalidade do aplicativo e capturas de tela. 
Depois de baixar o aplicativo como um arquivo .zip, é possível executar o arquivo .exe, e uma user interface simples será exibida, sendo somente ela que pode abrir um diretório de arquivo ou pop-up de uma janela. Sua funcionalidade principal e maliciosa é acionada quando a vítima clica em qualquer botão. Depois disso, uma carga maliciosa é descriptografada e executada.
A carga maliciosa verifica regularmente o conteúdo da área de transferência em busca de um formato de carteira de criptomoeda e, se houver um endereço de carteira, ele a substitui por uma de suas próprias carteiras. A carga maliciosa continua em execução no computador da vítima mesmo depois que o aplicativo é fechado. 
Uma lista de mais de 100 endereços de carteira criptomoeda pertencentes aos autores do HackBoss foi identificada pelos pesquisadores da Avast, que afirmam que as criptomoedas são Bitcoin, Ethereum, Dogecoin, Litecoin e Monero. 
Bruna Chieco

Bug no Counter Strike permite que atacantes assumam o controle do PC 

Um pesquisador de segurança encontrou um bug "crítico" no mecanismo de jogo da desenvolvedora de jogos Valve, que alimenta, entre outros jogos, o Counter Strike. Segundo reportagem da Vice, a partir dessa falha, atacantes poderiam assumir o controle dos computadores das vítimas apenas enganando-as para que cliquem em um convite do software de gestão Steam. 
O pesquisador diz ter alertado a Valve sobre a falha em junho de 2019. Embora o bug tenha sido corrigido em alguns jogos que usam o motor Source, ele ainda está presente no Counter Strike: Global Offensive. Outro pesquisador também encontrou o mesmo bug meses depois.
Por meio dessa falha, atacantes poderiam espalhá-la automaticamente, quase como um worm. Ou seja, depois de infectar alguém, a pessoa pode ser transformada em "arma" para infectar seus amigos e assim por diante.
Bruna Chieco

Conheça 6 trojans bancários de alcance mundial

Bancos digitais são cada vez mais comuns, com instituições financeiras aumentando suas ofertas em plataformas online para otimizar a eficiência e melhorar a experiência do cliente. Por outro lado, isso torna essas ferramentas expostas a um nível maior de risco de malware. A SecurityScorecard, empresa de segurança da informação focada em entidades corporativas, listou os principais tipos de malwares bancários que hoje ameaçam o sistema financeiro:
1. Zeus
Atuante no cenário digital desde 2007, o Zeus entrou está entre os malwares bancários mais antigos e que originalmente roubava credenciais do usuário, manipulava formulários de página ou redirecionava usuários para sites não autorizados. Com sua evolução, o malware passou a ser capaz de escapar da detecção por longos períodos e até mesmo gerar receita. O Zeus é um dos malwares bancários mais comuns e difundidos, embora sua versão original tenha sido neutralizada. Muitas ameaças de malware bancário vêm da família Zeus.
2. Gozi
O Gozi também é uma das ameaças de malware bancário mais antigas, e continua sendo uma das principais ameaças para o setor de serviços financeiros. O malware engana os usuários para que enviem informações confidenciais ou concluam transações financeiras em contas que não pertencem a eles. Em constante evolução e implementação de novas técnicas de evasão avançadas, o Gozi se conecta com outras ameaças de malware, como DanaBot ou Tinba.
3. Citadel
Descendente do Zeus, o Citadel foi identificado pela primeira vez em 2011, tendo como alvo de credenciais de login armazenadas em gerenciadores de senha. O malware não é uma ameaça tão ativa quanto era há quase 10 anos, mas sua ampla distribuição nos primeiros anos de atuação significa que essa ameaça pode reaparecer a qualquer momento.
4. Emotet
O Emotet entrou no setor bancário em 2014 e começou como um malware relativamente simples, normalmente usado para obter acesso a sistemas não autorizados, vendendo-os a outros cibercriminosos. Mas ele evoluiu nos anos seguintes, se tornando capaz de liberar pedaços adicionais de malware. 
5. SpyEye
O SpyEye rouba credenciais de usuário e fundos de contas bancárias online. Seu alvo mais frequente são usuários do Windows em navegadores da Internet comuns. O principal objetivo desse malware é, normalmente, roubar informações altamente confidenciais, identidades de usuários e cometer furtos financeiros. O SpyEye é o único malware que tentou remover seu concorrente, Zeus, incluindo um recurso que removeria o malware de uma máquina já infectada.
6. Panda
Variante do Zeus, o Panda aproveita técnicas como ataques man-in-the-brows (MITB) ou registro de pressionamento de tecla. No entanto, seu principal diferencial é a capacidade de escapar da detecção, existindo pelo menos 23 ferramentas analíticas forenses conhecidas que o Panda pode detectar. 
 
Como os bancos podem se proteger contra ameaças de malware
A SecurityScorecard alerta que o setor bancário continua a adotar tecnologias emergentes e fornecer novos serviços aos clientes, o que faz com que a segurança cibernética deva permanecer em alta. Para garantir que as políticas e programas de segurança corretos estejam em vigor, as organizações devem considerar o seguinte:
1. Implementar um programa de gerenciamento de risco de segurança cibernética
Um programa de gerenciamento de risco de segurança cibernética eficaz deve ser desenvolvido de acordo com os objetivos de negócios da organização em mente. A primeira etapa é avaliar todos os dados que precisam ser protegidos e, em seguida, identificar quaisquer vulnerabilidades nesses ativos. A partir daí, a equipe de segurança de TI pode priorizar as ameaças com base em seu impacto potencial geral e determinar um plano de ação para estabelecer os controles de segurança adequados no futuro.
2. Treinamento de funcionários
Os funcionários são a primeira linha de defesa para as organizações, e por isso é fundamental que eles entendam as ameaças enfrentadas por sua organização ou setor específico, bem como como reagir a elas. Com a recente mudança para ambientes de trabalho mais remotos, os ataques de engenharia social estão aumentando, e a conscientização e o treinamento dos funcionários são uma necessidade crescente para as organizações.
3. Monitore continuamente o risco cibernético de terceiros
Com regulamentações cada vez mais rigorosas no setor bancário, especificamente quando se trata de monitorar fornecedores terceirizados, há diretrizes cada vez mais rígidas que devem ser seguidas para gerenciar o risco de terceiros. É importante observar essas regulações de maneira a garantir que todo o ecossistema de TI se mantenha em conformidade com os mandatos relevantes da indústria.
4. Aproveite a inteligência sobre ameaças de segurança cibernética
Inteligência de ameaças de cibersegurança são vários dados coletados para ajudar as organizações a obter uma melhor compreensão do cenário de ameaças e outras tendências na segurança cibernética. Ao fazer isso, as equipes de segurança podem analisar ameaças do passado, presente e futuro, tomando, assim, decisões mais baseadas em dados sobre como melhorar a higiene cibernética da organização.
Bruna Chieco

Atacantes colocam à venda dados de 500 milhões de perfis do LinkedIn

Um arquivo contendo dados supostamente retirados de 500 milhões de perfis do LinkedIn foi colocado à venda em um fórum de hackers popular, segundo informa o CyberNews. Os arquivos vazados contêm informações sobre os usuários da rede social cujos dados foram supostamente copiados pelo atacante, incluindo seus nomes completos, endereços de e-mail, números de telefone, informações sobre o local de trabalho e mais.
Os dados estão sendo vendidos por cerca de US$ 2 em créditos no fórum, e o ator da ameaça parece estar leiloando o banco de dados de usuários por pelo menos uma soma de 4 dígitos, provavelmente em bitcoin. O autor da postagem afirma que os dados foram copiados do LinkedIn, o que foi confirmado pela equipe do CyberNews após análise das amostras fornecidas no fórum de hackers. 
Os arquivos vazados parecem conter apenas informações de perfil do LinkedIn, não sendo encontrado nenhum dado profundamente sensível, como detalhes de cartão de crédito ou documentos legais na amostra postada pelo ator da ameaça. 
Não está claro, contudo, se o ator da ameaça está vendendo perfis atualizados do LinkedIn ou se os dados foram obtidos ou agregados de uma violação anterior sofrida pela rede social ou por outras empresas. Uma declaração do LinkedIn afirma que os dados para venda não foram adquiridos como resultado de uma violação de dados, sendo na verdade uma agregação de dados de vários sites e empresas. 
O CyberNews disponibilizou um verificador de vazamento de dados pessoais com mais de 780 mil endereços de e-mail associados a esse vazamento. Acesse aqui.
Bruna Chieco

Bug no Editor de Texto do Mac pode expor endereço IP

Um pesquisador encontrou uma falha no Editor de Texto, aplicativo de edição de texto pré-instalado em Macs, que poderia revelar o endereço IP do usuário a um hacker. Segundo a Vice, o bug, que já foi corrigido pela Apple, potencialmente permitia que um atacante enganasse o Mac de uma vítima para revelar seu endereço IP apenas baixando um arquivo .txt e abrindo-o com o Editor de Texto. 
A falha fazia com que o aplicativo analisasse e interpretasse automaticamente o código HTML. Para acionar essa vulnerabilidade, o atacante teria que inserir algum código HTML malicioso no arquivo de texto para fazer o Editor de Texto acessar um servidor remoto controlado pelo atacante.
O pesquisador disse também que o bug encontrado poderia ter sido usado junto com outras falhas para causar muito mais danos do que apenas revelar o endereço IP da vítima, podendo inclusive assumir o controle da máquina da vítima. 
Ele revelou ainda que o Editor de Texto tinha recursos como chamar para outros arquivos e pastas locais no disco rígido e até fazer uma solicitação para um servidor remoto, podendo fazer com que um atacante tirasse proveito desses recursos com algum código HTML escondido em um arquivo de texto aparentemente inocente. Além disso, o sistema de proteção contra malware da Apple basicamente tratava todos os arquivos .txt baixados como seguros. 
Para evitar ser afetado por este bug basta manter o sistema macOS atualizado, mas o pesquisador afirma que possivelmente existem outras falhas no Editor de Texto que estão sendo analisadas e serão relatadas à Apple.
Bruna Chieco

DocuSign é utilizado para ataques do malware EtterSilent

O EtterSilent é um novo malware criador de documentos maliciosos que tem utilizado o DocuSign para enganar vítimas. Segundo descoberta do Intel 471, o “produto” tem sido alavancado por vários grupos de crimes cibernéticos, e à medida que cresceu em popularidade, foi atualizado constantemente para evitar a detecção. 
O grupo de inteligência em cibersegurança diz que o malware foi anunciado pela primeira vez em um fórum russo de crimes cibernéticos, onde o vendedor ofereceu dois tipos de documentos do Microsoft Office como arma aos usuários: um que explora uma vulnerabilidade conhecida no Microsoft Office (CVE-2017-8570) e outro que usa uma macro maliciosa, sendo essa a escolha mais popular do cibercriminosos.
O documento malicioso, quando aberto, mostra um modelo que se apresenta como DocuSign, popular software que permite que indivíduos e organizações assinem documentos de maneira digital. Ele então aproveita as macros do Excel 4.0 armazenadas em uma planilha oculta, o que permite que uma carga hospedada externamente seja baixada, gravada em disco e executada usando regsvr32 ou rundll32. 
O Intel 471 diz ainda que o EtterSilent está sendo utilizado em muitas campanhas de malware familiares para a maioria dos especialistas em segurança cibernética, entre elas uma campanha de spam recente para lançar uma versão atualizada do Trickbot. O documento malicioso foi anexado em um e-mail que fingia ser de um conhecido fabricante multinacional de eletrodomésticos, alegando ser uma fatura de pagamento.
Em 19 de março de 2021, o EtterSilent foi usado como parte de uma campanha do malware Bazar. O documento malicioso, neste caso, não usava um modelo DocuSign, mas a planilha principal do Excel era chamada de “DocuSign®”. Ele baixa, então, a carga útil do Bazar, que por sua vez se conecta a outro URL que baixa a backdoor do Bazar.
Três cavalos de Troia bancários – BokBot, Gozi ISFB e QBot – também usaram o EtterSilent em conjunto com seus esquemas. O Intel 471 rastreou ainda uma campanha específica ligada ao BokBot contendo URLs de distribuição embutidos nos documentos maliciosos do EtterSilent. 
Bruna Chieco

Vulnerabilidade em VPN da Fortinet é explorada por ransomware

Uma vulnerabilidade que afeta VPNs da Fortinet está sendo explorada por uma nova cepa de ransomware operada por humanos, o Cring, que viola e criptografa redes de empresas do setor industrial. De acordo com o BleepingComputer, o ransomware Cring, também conhecido como Crypt3r, Vjiszy1lo, Ghost e Phantom, foi descoberto em janeiro e detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom.
Relatório da Kaspersky revelou que os invasores têm explorado servidores Fortigate SSL VPN expostos à Internet e não corrigidos contra a vulnerabilidade CVE-2018-13379, permitindo a violação da rede de seus alvos. 
A partir do dispositivo Fortinet VPN, os operadores Cring movem-se lateralmente na rede corporativa de destino, roubando credenciais de usuário do Windows, usando Mimikatz para obter o controle da conta do administrador de domínio.
As cargas úteis do ransomware são entregues aos dispositivos nas redes das vítimas usando a estrutura de emulação de ameaças Cobalt Strike implantada por meio de um script PowerShell malicioso.
O ransomware criptografa apenas arquivos específicos nos dispositivos comprometidos usando algoritmos de criptografia robustos após remover os arquivos de backup e eliminar os processos do Microsoft Office e do Oracle Database. Em seguida, ele envia notas de resgate avisando as vítimas de que sua rede foi criptografada e que elas precisam pagar o resgate.
As vítimas têm usado o serviço ID-Ransomware para verificar se seus sistemas foram atingidos pelo ransomware Cring desde que a operação apareceu pela primeira vez, em dezembro de 2020. Desde o final de janeiro, 30 amostras de ransomware Cring foram enviadas até o momento, diz o BleepingComputer.
 
Bruna Chieco

Malware para Android se disfarça de ferramenta do Netflix

Um malware recém-descoberto para Android foi encontrado na Play Store do Google disfarçado de uma ferramenta do Netflix. Segundo o BleepingComputer, ele foi projetado para se espalhar automaticamente para outros dispositivos usando respostas automáticas do WhatsApp às mensagens recebidas.
Os pesquisadores da Check Point Research descobriram o novo malware, que se disfarça de um aplicativo chamado FlixOnline e tenta atrair vítimas em potencial com promessas de acesso gratuito ao conteúdo da Netflix. Os pesquisadores revelaram seus resultados de pesquisa ao Google, que rapidamente retirou o aplicativo malicioso da Play Store.
Ainda assim, o app malicioso foi baixado cerca de 500 vezes ao longo dos dois meses em que estava disponível para download na loja. Depois que o aplicativo é instalado em um dispositivo Android, o malware inicia um serviço que solicita sobreposição, ignorar a otimização da bateria e permissões de notificação.
Quando as permissões são concedidas, o malware gera sobreposições em qualquer janela de aplicativo para roubar credenciais, impedir que o dispositivo desligue seu processo para otimizar o consumo de energia, obter acesso a notificações de aplicativo e gerenciar ou responder a mensagens.
Em seguida, ele começa a monitorar novas notificações do WhatsApp para responder automaticamente a todas as mensagens recebidas usando cargas de texto personalizadas recebidas do servidor de comando e controle criadas por seus operadores. A Check Point diz ainda que a técnica é sequestrar a conexão com o WhatsApp capturando notificações, realizando ações predefinidas, como 'dispensar' ou 'responder' por meio do gerenciador de notificações.
Os pesquisadores reforçam que o fato de que o malware foi capaz de ser disfarçado tão facilmente e, em última análise, contornar as proteções da Play Store, levanta alguns sinais de alerta graves.
Bruna Chieco

Red Team X do Facebook busca vulnerabilidades que extrapolam a rede social

O Facebook lançou, no ano passado, um novo Red Team que tem como objetivo investigar produtos de terceiros cujas fraquezas podem afetar a própria segurança da rede social. O chamado Red Team X trabalha independentemente do Red Team original do Facebook. Segundo reportagem da Wired, a equipe passou o último ano procurando vulnerabilidades nos produtos que a empresa usa, o que poderia tornar toda a Internet mais segura.
A maioria das grandes empresas de tecnologia tem um Red Team que atua planejando ataques como atacantes reais fariam para ajudar a evitar invasões em potencial. O Red Team X do Facebook se concentra na avaliação de hardware e software dos quais a rede social depende, mas não desenvolve sozinho. 
Tudo começou quando o Red Team original do Facebook grupo recebeu, no ano passado, muitos pedidos para pesquisar produtos que estavam fora de seu escopo tradicional. Com o Red Team X, a rede social colocou recursos dedicados para eliminar essas consultas. O objetivo é examinar a segurança de praticamente qualquer coisa que tenha consequências para o Facebook como empresa. O grupo conta com seis hackers de hardware e software com ampla experiência dedicada a essa verificação. 
Ainda segundo a Wired, em 13 de janeiro, o Red Team X divulgou publicamente uma vulnerabilidade pela primeira vez. Era um problema com o AnyConnect VPN da Cisco, que já foi corrigido. Depois, publicou mais duas vulnerabilidades: um bug da nuvem Amazon Web Services que envolvia o módulo PowerShell de um serviço AWS e duas vulnerabilidades em um controlador de sistema de energia do fabricante de controle industrial Eltek chamado Smartpack R Controller. Veja aqui.
Bruna Chieco

Acer é atingida por ataque de ransomware de US$ 50 milhões

A fabricante taiwanesa de eletrônicos e computadores Acer foi atingida por um ataque do ransomware REvil. Segundo informações obtidas pelo BleepingComputer, os atacantes estão exigindo um resgate de US$ 50 milhões.
O BleepingComputer teve acesso a informações do site da gangue de ransomware dizendo que a Acer havia sofrido o ataque, compartilhando algumas imagens de arquivos supostamente roubados como prova. Em resposta às perguntas do BleepingComputer, a Acer não declarou se sofreu um ataque do ransomware REvil, dizendo apenas que "relataram situações anormais recentes".
A Acer disse ainda que monitora rotineiramente seus sistemas de TI e a maioria dos ataques cibernéticos está bem defendida. "Empresas como nós estão constantemente sob ataque e relatamos situações anormais recentes observadas às autoridades policiais e de proteção de dados relevantes em vários países". A Acer complementou dizendo que "há uma investigação em andamento" e que por questões de segurança não poderia comentar os detalhes.
Bruna Chieco

Campanha mira pesquisadores de segurança

O Google Threat Analysis Group (TAG) documentou em janeiro uma campanha cujo alvo são pesquisadores de segurança. Na época, a empresa associou a campanha a uma entidade apoiada pelo governo norte-coreano. O Google TAG disse ainda que, para construir credibilidade e se conectar com os pesquisadores de segurança, os atores estabeleceram um blog de pesquisa e vários perfis no Twitter para interagir com alvos em potencial. 
O blog contém relatórios e análises de vulnerabilidades que foram divulgadas publicamente, incluindo postagens de “convidados” de pesquisadores de segurança aparentemente legítimos. O Google TAG alega que essa é provavelmente uma tentativa de construir credibilidade adicional com outros pesquisadores de segurança.
Agora no mês de março, o Google TAG identificou que os mesmos atores por trás desses ataques criaram um novo site com perfis de mídia social associados para uma empresa falsa chamada “SecuriElite”.
O novo site afirma que a empresa é da área de segurança ofensiva, localizada na Turquia, oferecendo pentests, avaliações de segurança de software e exploits. O site tem um link para sua chave pública PGP na parte inferior da página e em janeiro, pesquisadores relataram que a chave hospedada no blog agiu como uma isca para visitar o site onde uma exploração do navegador estava esperando para ser acionada.
A falsa equipe do SecuriElite também mantém perfis em mídias sociais, como o LinkedIn. O Google TAG afirma ter identificado duas contas que se fazem passar por recrutadores de empresas de antivírus e segurança. Os perfis foram denunciados, diz o Google.
"Após nossa postagem no blog de janeiro, os pesquisadores de segurança identificaram com sucesso esses atores usando um 0-day do Internet Explorer. Com base em sua atividade, continuamos a acreditar que esses atores são perigosos. Encorajamos qualquer pessoa que descobrir uma vulnerabilidade do Chrome a relatar essa atividade por meio do processo de envio do programa de recompensas para vulnerabilidades do Chrome", diz o Google TAG.
Bruna Chieco

BazarCall utiliza call centers para distribuir malware

Um novo malware chamado BazarCall utiliza call centers para distribuir alguns dos malwares mais prejudiciais do Windows. Segundo o BleepingComputer, o novo malware está sendo distribuído por call centers no final de janeiro e é utilizado para instalar o malware BazarLoader.
A campanha começa com um e-mail de phishing, mas a partir daí se desvia para um novo método de distribuição, usando call centers para distribuir documentos Excel maliciosos que instalam malwares. Em vez de agrupar anexos, os e-mails do BazarCall solicitam aos usuários que liguem para um número de telefone para cancelar uma assinatura antes de serem cobrados automaticamente. Esses call centers direcionam os usuários a um site especialmente criado para baixar um "formulário de cancelamento" que instala o malware BazarCall.
O BleepingComputer explica que os ataques BazarCall começam com um e-mail de phishing direcionado a usuários corporativos que afirmam que o teste gratuito do destinatário está prestes a acabar. No entanto, esses e-mails não fornecem detalhes sobre a suposta assinatura, solicitando que o usuário entre em contato com um número de telefone listado para cancelar a assinatura antes de ser cobrado. 
Quando um destinatário liga para o número, ele é atendido por uma pessoa. Quando ele solicita mais informações sobre como cancelar a assinatura, o agente do call center pede à vítima um ID de cliente exclusiva incluído no e-mail. Um pesquisador da Binary Defense disse ao BleepingComputer que esse ID é um componente central do ataque e é usado pelo call center para determinar se o chamador é uma vítima específica.
Se um ID de cliente correto for fornecido, o agente do call center direciona o usuário a um site falso que finge ser a empresa de serviços. O agente telefônico permanece ao telefone com a vítima a guiando até uma página de cancelamento onde será solicitada a inserção de seu ID de cliente. Quando o usuário insere seu número de ID de cliente, o site automaticamente solicita ao navegador que faça download de um documento Excel. O agente do call center ajuda a vítima a abrir o arquivo e a clicar no botão 'Habilitar Conteúdo' para habilitar macros maliciosos. Quando os macros do Excel são habilitadas, o malware BazarCall é baixado e executado no computador da vítima.
Bruna Chieco