Jump to content

  • News

    • Bruna Chieco
      A Intel corrigiu 57 vulnerabilidades de segurança, incluindo as de alta gravidade que afetavam Drivers de Gráficos. Segundo o BleepingComputer, 40 delas foram encontradas internamente pela empresa, enquanto outras 17 foram relatadas externamente, quase todas por meio do programa de bug bounty da Intel.
      Os bugs de segurança são detalhados em avisos de segurança publicados pela Intel com atualizações de segurança e funcionais entregues aos usuários por meio do processo Intel Platform Update (IPU).
      A Intel inclui uma lista de todos os produtos afetados e recomendações para produtos vulneráveis no final de cada comunicado. A empresa fornece detalhes de contato para usuários e pesquisadores que desejam relatar outros problemas de segurança ou vulnerabilidades encontradas em produtos ou tecnologias da marca Intel.
    • Uma gangue com 10 criminosos foi presa por coordenar ataques de SIM-swapping, clonagem do SIM card (chip) de celulares, contra celebridades. Segundo a Europol, mais de US$ 100 milhões em criptomoedas foram roubados através do sequestro de números de telefone.
      A ação foi resultado de uma investigação internacional sobre uma série de ataques direcionados a vítimas de alto perfil nos Estados Unidos, onde foram presos oito homens. Essas detenções seguem-se às anteriores, sendo uma corrida em Malta e uma na Bélgica, sendo os criminosos membros pertencentes à mesma rede criminosa, totalizando, assim, 10 prisões.
      Os ataques orquestrados por essa gangue criminosa visaram milhares de vítimas ao longo de 2020, incluindo influenciadores famosos da Internet, estrelas do esporte, músicos e suas famílias. A investigação de um ano foi conduzida conjuntamente por autoridades policiais do Reino Unido, Estados Unidos, Bélgica, Malta e Canadá, com atividades internacionais coordenadas pela Europol.
      A Europol alerta que não são apenas as celebridades que estão sob esse tipo de ataque; qualquer pessoa com um telefone celular pode ser vítima de SIM-swapping. Para evitar esse tipo de ataque, mantenha o software de seus dispositivos atualizado; não responda a e-mails suspeitos nem interaja pelo telefone com pessoas que solicitam informações pessoais; limite a quantidade de dados pessoais que você compartilha online; utilize a autenticação de dois fatores para seus serviços online; e quando possível, não associe o seu número de telefone a contas online confidenciais.
      O vídeo abaixo (em inglês), publicado pela Europol, explica um pouco mais sobre como os ataques acontecem:
       
    • A mais nova release do capa, framework de código aberto com foco em analisar as funcionalidades maliciosas de arquivos/shellcodes, veio com uma quantidade gigantesca de novas regras, melhorias e correções.
      Além de 50 novas regras também foi adicionado suporte à SMDA utilizando python3, classificação e mapeamento de TTPs (Tactics, Techniques and Procedures) em algumas das regras, scripts de exemplo utilizando capa como uma biblioteca em python dentre outras funcionalidades:

      Dentre as novas regras adicionadas estão criação tarefas agendadas via linha de comando, alocação de memória com permissão de leitura e escrita, captura de IP público, patching da linha de comando do processo e muito mais!

      Obviamente não podemos considerar a análise como verdade sempre, tendo em vista que existem funções que podem ser utilizadas por softwares legítimos, mas ainda assim a ferramenta ajuda e muito tendo em vista que o processo é todo automático e estático!
      Lembrando que por enquanto a ferramenta suporta apenas análise de arquivos no formato PE e a limitação de sua funcionalidade é baseada nas regras das quais o capa utiliza.
      Se você vive em outro planeta e não testou esta ferramenta ainda essa é a sua chance! Se você já testou/usa no seu dia a dia vale a pena atualizar e continuar utilizando?! 😄
    • A equipe de desenvolvimento do NextGEN Gallery corrigiu duas vulnerabilidades graves para proteger os sites de possíveis ataques de controle. O plugin do WordPress é usado para criar galerias de imagens e, segundo o BleepingComputer, tem atualmente mais de 800 mil instalações ativas.
      As falhas encontradas no plugin são de cross-site request forgery (CSRF), que permite que comandos não autorizados sejam transmitidos a partir de um usuário em quem a aplicação confia. Assim, a atualização de segurança deve ser uma prioridade para todos os proprietários de sites que têm o NextGEN Gallery instalado.
      As duas vulnerabilidades de segurança são classificadas como de severidade alta e crítica pela equipe de Threat Intelligence do Wordfence que as descobriu, segundo o BleepingComputer. Atacantes podem explorar essas falhas enganando os administradores do WordPress para que eles cliquem em links ou anexos especialmente criados para executar códigos maliciosos em seus navegadores.
      Após a exploração bem-sucedida, as vulnerabilidades podem permitir que os invasores configurem um redirecionamento malicioso, injetem spam, abusem de sites comprometidos para phishing e, em última análise, assumam completamente o controle dos sites.
      O editor do plugin, Imagely, enviou patches para revisão em 16 de dezembro e publicou a versão 3.5.0, corrigida, em 17 de dezembro de 2020. Ainda assim, a nova versão tinha esta semana pouco mais de 266 mil novos downloads, conforme informa o BleepingComputer, o que significa que mais de 530 mil sites WordPress com instalações do NextGEN Gallery ativas estão potencialmente expostas a ataques de controle se os invasores começarem a explorar os bugs. 😬
    • Um curso da JA Brasil, com apoio do Google.org e do BID Lab, oferece gratuitamente 2 mil vagas para preparar jovens para entrar no mercado de TI. Os beneficiados receberão capacitação básica necessária para iniciar uma carreira na área, com conteúdo de Suporte Técnico e capacitação em habilidades socioemocionais requisitadas pelos empregadores deste mercado. 
      Para se inscrever, não é necessário nenhum conhecimento ou experiência anterior. Basta ter entre 18 e 29 anos, ter Ensino Médio completo concluído em escola pública, não estar trabalhando, estudando e não ter graduação completa, e ter tempo disponível para os estudos durante o período do curso. 
      O formato do curso é online, com dedicação de 3 horas por dia, 5 vezes por semana durante 5 meses. Caso o interessado não tenha recursos como computador e internet em casa, é possível solicitar esse auxílio para a JA Brasil. As inscrições estão abertas até o dia 23 de fevereiro.
      O projeto acontecerá em: Belo Horizonte (MG), Brasília (DF), Curitiba (PR), Florianópolis (SC), Fortaleza (CE), Manaus (AM), Porto Alegre (RS), Recife (PE), Rio de Janeiro (RJ), São Paulo (SP) e Vitória (ES).
      Confira a grade do curso:
      Fundamentos de suporte técnico Os bits e bytes de redes de computadores Sistemas operacionais Administração de sistema e serviços de infraestrutura de TI Segurança em TI Autoconhecimento Currículo e entrevista Ética, cidadania e empatia Comunicação, empatia e criatividade Iniciativa e confiança Marketing pessoal Atendimento ao cliente Linguagem corporal Empreendedorismo Finanças pessoais Visitas técnicas à empresas do segmento Conversas com profissionais de TI
        Ao concluir o curso, o participante recebe ainda um Certificado de Profissional de Suporte em TI do Google e um Certificado JA Brasil. Inscreva-se!
    • A FireEye lançou nesta sexta-feira a release da versão 1.70 da flare-floss (FireEye Labs Obfuscated String Solver), ferramenta focada em identificar e desofuscar strings escondidas dentro de um arquivo, utilizando desde reconhecimento baseado em heurística até brute-forcing e emulação. Até o momento a ferramenta suporta apenas análise de binários Windows (PE).
      A ideia da ferramenta veio do fato de que os malwares atuais utilizam diversas técnicas diferentes para proteger strings importantes de um malware, como por exemplo URL, IP, configuração, paths, etc:

      Dentre os novos itens desta release está a adição de um um parâmetro para saída em JSON e correções em funcionalidades como suporte para IDA 7.4+ e no algoritmo de reconhecimento de strings. A funcionalidade de output em JSON é particularmente interessante no ponto de vista de automação, onde poderíamos usar todas as strings desofuscadas pela ferramenta como input para um script do qual se conecta com outra ferramenta, por exemplo:

      A ferramenta possui várias outras funcionalidades como por exemplo desofuscar strings em shellcodes e funções específicas do binário e também criação de scripts para o radare e IDA à fim de serem utilizados em seus arquivos ".r2" e ".idb":

    • A família de malware Agent Tesla, um trojan de acesso remoto (RAT) ativo há mais de 7 anos, continua sendo uma das ameaças mais comuns aos usuários do Windows, evoluindo constantemente. Uma descoberta recente da empresa de segurança Sophos identificou um aumento no número de aplicativos direcionados ao roubo de credenciais, incluindo navegadores da web, clientes de e-mail, clientes de rede privada virtual e outros softwares que armazenam nomes de usuário e senhas. 
      A evolução da ferramenta também se estende ao seu pacote de entrega, com uma versão que agora visa a Interface de Software Anti-Malware da Microsoft (AMSI) em uma tentativa de derrotar o software de proteção de endpoint.
      O malware é utilizado para roubar credenciais do usuário e outras informações de vítimas por meio de capturas de tela, registro do teclado e captura da área de transferência. O SophosLabs rastreou cibercriminosos usando o Agente Tesla e detectou novas variantes em um número crescente de ataques nos últimos 10 meses. Até dezembro de 2020, o Agente Tesla era responsável por 20% dos anexos de e-mail de malware detectados na telemetria de clientes da Sophos.
      Duas versões atualmente ativas do malware, identificadas pela Sophos como Agente Tesla versão 2 e versão 3, empregam vários tipos de evasão de defesa e ofuscação para evitar a detecção, incluindo opções para instalar e usar o Tor e a API de mensagens Telegram para comunicações de comando e controle (C2). As diferenças vistas entre a v2 e v3 do Agente Tesla parecem estar focadas em melhorar a taxa de sucesso do malware contra defesas sandbox e scanners de malware, além de fornecer mais opções C2 para seus clientes invasores.
      Veja o relatório completo da Sophos (em inglês).
×
×
  • Create New...