Jump to content
  • News

    • Bruna Chieco
      Duas ferramentas foram criadas por pesquisadores para derrotar proteções em serviços onlines protegidos por autenticação de dois fatores (2FA). O nome delas é Muraena e NecroBrowser, de acordo com o site CSO. Isso significa que os ataques de phishing que podem derrotar o 2FA podem ser feitos por um número maior de invasores! ???
      As ferramentas foram criadas por Michele Orru, um antigo desenvolvedor do Browser Exploitation Framework Project (BeEF), e Giuseppe Trotta, um membro do projeto Bettercap.
      O Muraena é escrito na linguagem de programação criada pelo Google, a Go, ou seja, pode ser compilada e rodar em qualquer plataforma onde a Go está disponível. Uma vez implantada, o atacante pode configurar o domínio e obter um certificado legítimo, e a ferramenta contém um servidor da Web mínimo que atua como proxy reverso e um rastreador que determina automaticamente quais recursos de proxy serão procurados no site legítimo. A vítima, portanto, chega ao site cujo processo de login funciona exatamente como no site real. Quando o usuário fornece o código 2FA, a autenticação é concluída e o proxy rouba o cookie da sessão.
      Além de tudo, o Muraena se comunica com o NecroBrowser, passando as os cookies coletados para essa ferramenta, que pode ser controlada por meio de uma API e executar ações por meio de um navegador Chrome zumbi, que pode tirar screenshots de e-mails, tentar redefinir senha, fazer o upload de chaves não autorizadas para o GitHub ou adicionar endereços às caixas de correio, tudo de maneira automatizada. O navegador pode ainda coletar informações sobre contatos de redes sociais e enviar mensagens de phishing para eles. O site destaca que poucas soluções bloqueiam completamente esse ataque.

    • A Trend Micro divulgou hoje, 3 de junho, a descoberta de uma nova família de malware que ataca servidores, unidades de rede e drives removíveis utilizando oito exploits e ataques de força bruta. A empresa de segurança nomeou o malware como BlackSquid. Eles alertam que o ataque é perigoso já que emprega métodos de anti-virtualização, anti-debugging e anti-sandboxing para determinar se deve continuar com a instalação ou não. O malware tem uma propagação lateral e se utiliza de exploits como EternalBlue; DoublePulsar; e exploits para CVE-2014-6287, CVE-2017-12615 e CVE-2017-8464; e três exploits do ThinkPHP para várias versões.
      Ao infectar o servidor, o BlackSquid pode obter acesso a dados e informações de empresas e clientes de maneira silenciosa e simultânea. São três pontos de entrada iniciais: uma página infectada visitada devido a servidores infectados; exploits como ponto de entrada inicial para infectar servidores da Web; ou por drives removíveis ou de rede. A Trend Micro explica o passo a passo da infecção, que instala um cryptominer como payload final.
      O maior número de tentativas identificadas de ataques utilizando esse malware até o momento foi na Tailândia e nos Estados Unidos durante o mês de maio. Os atacantes estão, possivelmente, testando os potenciais dessa nova técnica para ver até onde o malware pode chegar, diz a Trend Micro, tentando, assim, lucrar melhor com os ataques. ?

    • Uma vulnerabilidade nas versões mais recentes do web servidor gratuito Nginx foi descoberta e divulgada pela especialista em segurança Alisa "Esage" Shevchenko via Twitter. Ela destacou que os burburinhos em torno da falha é "desproporcional e deveria ser interrompido imediatamente". Ainda não há detalhes técnicos sobre o problema, mas várias vulnerabilidades nesse servidor já foram corrigidas anteriormente. No site do Nginx não há nenhum posicionamento sobre as novas falhas, mas a empresa respondeu ao tweet de Alisa dizendo que nenhum bug parece ser explorável. Aguardamos atualizações sobre essa possível falha! ?

    • O Guardicore Labs, laboratório de pesquisa da empresa de segurança Guardicore, tem acompanhado uma campanha baseada na China, denominada Nansh0u, que visava infectar servidores Windows MS-SQL e phpMyAdmin ao redor do mundo. De acordo com a empresa, há mais de 50 mil servidores pertencentes a empresas dos setores de saúde, telecomunicações, mídia e TI com a falha. Os servidores vulneráveis foram infectados com payloads maliciosos que criam um cryptominer e instalam um rootkit sofisticado em modo kernel para impedir que o malware fosse eliminado.
      Segundo investigação do Guardicore Labs, 20 versões diferentes de payloads foram lançadas e implementadas ao longo da campanha. A empresa entrou em contato com o provedor de hospedagem dos servidores atacantes, bem como com o emissor do certificado digital utilizado pelos binários do rootkit, que foram removidos e revogado, respectivamente. Ainda de acordo com a empresa, a campanha Nansh0u não é um caso típico de ataque de mineração de criptomoeda - nesse caso, eles usaram técnicas normalmente vistas em APTs - ataques dirigidos avançados persistentes, como certificados falsos ou escalação de privilégios. As ferramentas avançadas de ataque normalmente pertencem a atacantes altamente qualificados, mas essa campanha mostra que essas ferramentas podem cair facilmente nas mãos de invasores menores que os de primeira linha.
      O Guardicore Labs publicou o cronograma de criação dos payloads e como cada ataque foi executado. ?

    • Existem várias ferramentas multiplataforma para assemblar e disassemblar código, mas a grande maioria são programas que precisam ser instalados no computador antes de serem utilizados. Isso até o shahril96 publicar seu Assembler e Disassembler online e de código aberto, baseado no Keystone.js e Capstone.js. Seu uso é muito simples e por enquanto há suporte a arquiteturas ARM, ARM64, MIPS, x86, x86-64, PowerPC, SPARC e SystemZ. O Assembler recebe o código e imprime os bytes em formato bruto (raw), de string, vetor em C e disassembly. Já o Disassembler recebe qualquer uma dessas saídas como entrada e imprime as mesmas saídas. É sem dúvida útil em casos onde se precisa estudar Assembly, uma das bases para engenharia reversa, e não se tem um software como este à mão. Lembrando que tanto nosso livro Fundamentos de Engenharia Reversa quanto nosso Curso de Engenharia Reversa Online (CERO) apresentam noções de Assembly x86 para quem está começando. Hora de estudar! ?

    • A Apple pode ter mais uma vulnerabilidade em seu Gatekeeper. De acordo com o blog do pesquisador Filippo Cavallarin, uma falha na versão MacOS X 10.14.5 pode permitir que atacantes instalem malwares ignorando o Gatekeeper e sem avisar ou pedir permissão explícita ao usuário. Cavallarin explica como o ataque funciona. 
      O Gatekeeper é um mecanismo desenvolvido pela Apple que impõe a assinatura de código e verifica os aplicativos baixados antes de permitir que eles sejam executados. Como o Gatekeeper considera drives externos e compartilhamentos de rede como sendo ambientes seguros, que não necessitam de verificação de permissão para executar um aplicativo, um invasor pode enganar o usuário e executar um aplicativo com arquivo ZIP contendo códigos maliciosos e um link simbólico correto. Isso direcionaria a vítima a um site controlado pelo invasor, mas confiável pelo Gatekeeper. Além disso, o MacOS X possui um recurso legal, o automount (também conhecido como autofs), que permite ao usuário aceitar automaticamente um compartilhamento de rede apenas acessando um caminho "especial". Neste caso, qualquer caminho que comece com "/ net /".
      Ainda segundo Cavallarin, A Apple foi contatada em 22 de fevereiro de 2019 e está ciente do problema, que deveria ter sido resolvido em 15 de maio de 2019, mas a Apple aparentemente ignorou os avisos do pesquisador, que resolveu tornar a vulnerabilidade pública. Cavallarin alerta que nenhuma solução para a vulnerabilidade está disponível. ?
      Contudo, é possível desabilitar o automount:
      1. Edite o arquivo /etc/auto_master
      2. Comente a linha que começa com "/net"
      3. Reinicie o computador
      Aliás, se você quiser mais sobre exploração de vulnerabilidade, tipo essa que o Filippo Cavallarin fez, dá uma olhada no nosso Curso de Exploração de Binários! ?

    • O OGusers, fórum conhecido por reunir pessoas envolvidas em ataques cibernéticos e clonagem do SIM card (chip) de celulares, teve exposta sua base de dados contendo endereços de e-mail, senhas, endereços IP e mensagens privadas. Cerca de 113 mil usuários do fórum foram afetados, de acordo com o blog KrebsOnSecurity. A nota publicada pelo blog diz ainda que no dia 12 de maio, o administrador do OGusers explicou que houve uma interrupção no fórum por conta de uma falha no disco rígido que teria apagado mensagens privadas de vários meses, publicações no fórum e pontos de prestígio. O administrador disse ainda que restaurou um backup de janeiro. 
      O incidente coincidiu com o roubo do banco de dados de usuários do fórum e com a limpeza dos discos rígidos. Em 16 de maio, o administrador da comunidade rival RaidForums anunciou que disponibilizou o banco de dados OGusers para qualquer um baixar gratuitamente.
      De acordo com o KrebsOnSecurity, o vazamento do banco de dados poderia ajudar investigadores das forças federais e estaduais a ir atrás de atacantes, já que o OGusers é uma comunidade online famosa por atrair pessoas envolvidas em clonagem de números de telefone como método de assumir as contas redes sociais, e-mail e contas financeiras de vítimas e depois revender o acesso a outras pessoas no próprio fórum. ?‍♀️

×
×
  • Create New...