Jump to content
  • News

    • Bruna Chieco
      Golpistas têm procurado vítimas nos servidores de criptomoeda do Discord enviando mensagens privadas que parecem vir de uma plataforma de negociação promissora que distribui criptomoedas. Segundo a Kaspersky, a suposta generosidade varia de mensagem para mensagem, mas no geral diz que o destinatário sortudo foi escolhido aleatoriamente para receber um pagamento impressionante em Bitcoin ou Ethereum.
      A mensagem, repleta de emoji, contém instruções detalhadas e um código para aceitar o presente, bem como um link para se registrar na bolsa de criptomoedas:

                                                                                                                                      Mensagem fraudulenta prometendo Ethereum grátis (Fonte: Kaspersky)
       
      O link abre um site que se parece com uma bolsa de criptomoedas, com um layout adaptável, design inteligente e informações sobre a taxa de câmbio, gráficos, livros de pedidos e histórico de negociação que os comerciantes de criptomoedas esperariam ver em uma plataforma de negociação. Os visitantes também encontrarão suporte técnico e várias opções de idiomas: 

      Página inicial de uma bolsa de criptomoeda falsa onde os usuários do Discord receberam a promessa de Bitcoin e Ethereum (Fonte: Kaspersky)
       
      Os golpistas até mesmo oferecem às vítimas autenticação de dois fatores para proteger suas contas, além de proteção antiphishing, tentando parecer o mais real possível, quanto o verdadeiro propósito do site é transferir dinheiro da vítima para o criminoso. Para concluir o registro, a vítima precisa fazer um pequeno depósito em criptomoeda ou passar por uma verificação de identidade do Know Your Customer (KYC). 
      Os golpistas parecem estar coletando um banco de dados para vender, pois muitos serviços legítimos, incluindo financeiros, usam esses conjuntos de dados pessoais para confirmar as identidades dos usuários. Após o registro, a vítima deve ativar a chave do prêmio da mensagem no Discord e receber o pagamento. O sistema aceita o código e as moedas Bitcoin ou Ethereum prometidas aparecem em suas contas. Quando a vítima tenta mover as moedas da bolsa para sua própria carteira, no entanto, ela encontra apenas obstáculos.
      A Kaspersky alerta para que nunca se confie em estranhos, especialmente aqueles que oferecem dinheiro de graça; nunca compartilhar informações pessoais com sites nos quais você não confia 100%; tomar especial cuidado com os documentos oficiais e nunca envie fotos deles a ninguém; e definir as configurações de privacidade do Discord para evitar tais ofertas; usar uma solução de segurança confiável.
       

    • Autoridades do Reino Unido prenderam um homem de 20 anos que supostamente operava um serviço online para o envio de campanhas de phishing de alto volume por meio de mensagens de texto (SMS). Segundo o KrebsOnSecurity, o serviço é comercializado no submundo sob o nome de "SMS Bandits" e foi responsável por utilizar grandes volumes de iscas de phishing falsificando desde instituições responsáveis por informações sobre a pandemia de Covid-19 até o PayPal, provedores de telecomunicações e agências de impostos.
      A National Crime Agency (NCA) do Reino Unido não divulgou o nome do suspeito, mas confirmou ao KrebsOnSecurity que a unidade de crimes cibernéticos do Metropolitan Police Service deteve um indivíduo que tinha conexão com uma empresa que fornecia "serviços criminosos relacionados a crimes de phishing".
      O SMS Bandits oferece um serviço de phishing de SMS (conhecido como “smishing”) para o envio em massa de mensagens de texto destinadas a aplicar golpes em credenciais de contas de diferentes sites populares, roubando dados pessoais e financeiros para revenda. O KrebsOnSecurity informa ainda que o volume de phishing baseado em SMS disparou em 2020 em mais de 328%, de acordo com um relatório da empresa de segurança Proofpoint.

    • O Google está financiando um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, escrito em linguagem C.
      A linguagem C, contudo, pode ser insegura, se tornando mais passível de bugs que representam falhas de segurança. De olho nisso e buscando tornar a Internet um local mais seguro, o Google decidiu financiar o projeto para desenvolver um novo módulo para substituir o mod_ssl do Apache. O módulo será responsável por suportar as operações criptográficas necessárias para estabelecer conexões HTTPS em um servidor web Apache.
      Assim, será utilizada uma alternativa mais segura de linguagem chamada Rust. O Internet Security Research Group afirma que planeja desenvolver um novo módulo chamado mod_tls que funcionará com o o mod_ssl, mas usará essa nova linguagem de programação Rust em vez de C.
      Segundo o ZDNet, a Rust é uma maneira simples e rápida de garantir que bilhões de usuários sejam mantidos em segurança nos próximos anos. Leia mais detalhes sobre o projeto (em inglês).

    • Um usuário de um fórum cibercriminoso de baixo nível está vendendo acesso a um banco de dados de números de telefone pertencentes a 500 milhões de usuários do Facebook. Segundo a Vice, os dados têm vários anos, mas ainda assim representam um risco de segurança cibernética e privacidade para quem teve os números expostos. O Facebook informou que os dados são referentes a uma vulnerabilidade que a empresa corrigiu em agosto de 2019.
      Os números vazados podem ser pesquisados por meio de um bot automatizado do Telegram, permitindo que usuários insiram um número de telefone para receber o ID do usuário correspondente no Facebook ou vice-versa. Os resultados iniciais do bot são restringidos, mas os usuários podem comprar créditos para revelar o número de telefone completo. Os preços que chegam a US$ 5 mil por 10 mil créditos. O bot afirma conter informações sobre usuários do Facebook dos EUA, Canadá, Reino Unido, Austrália e 15 outros países.
      O Facebook alega que os dados continham IDs do Facebook que foram criados antes da correção da vulnerabilidade . A rede social disse que também testou o próprio bot com dados mais recentes, alegando que o bot não retornou nenhum resultado.

    • A Fireeye liberou faz pouco tempo uma ferramenta extremamente interessante de instrumentação e emulação de arquivos. Conhecida como speakeasy esta ferramenta emula arquivos dinamicamente tanto em kernel-land quanto em user-land. Sua última release adicionou novas chamadas de API em sua engine de emulação como por exemplo GetLogicalDrives e WNetGetConnection, assim como melhorias na emulação de shellcodes.
      Ao contrário de uma sandbox, que precisa virtualizar todo o sistema operacional, esta ferramenta emula apenas componentes específicos do Windows (chamadas de API, objetos, threads, registros, etc) a fim de entender o comportamento do arquivo executado e tentar identificar as ação relevante executadas:

      Além de arquivos completos podemos emular também um ambiente que será responsável pela execução de shellcodes:

      A ferramenta é feita em Python3 e pode ser executada tanto como uma ferramenta de linha de comando como também uma biblioteca, abrindo espaço para instrumentação/automação. Além disso, a ferramenta também pode se executada via container utilizando docker e também em qualquer ambiente em cloud, tendo em vista que não precisamos configura-la, apenas instalar e rodar.
      Pelo fato do sistema operacional não ser emulado por completo nem todas as chamadas de API serão suportados no ponto de vista de emulação. Com esta "limitação" em mente os desenvolvedores criaram uma forma bem prática de adicionar os hooks que estão faltando (não sendo emulados), permitindo que qualquer pessoa que tenha interesse possa mitigar este problema. Para mais informações vale dar uma olhada no REAME do projeto 😉.
      E para aqueles que nos acompanharam semana passada quando falamos do IntelOwl vale lembrar que ele também utiliza o speakeasy!

    • Uma série de vulnerabilidades no Kindle da Amazon poderia ter permitido que atacantes assumissem o controle dos dispositivos das vítimas. Segundo a Vice, um pesquisador da empresa de segurança Realmode Labs analisou no ano passado a segurança de Kindles, em particular o recurso Send to Kindle da Amazon, que permite que usuários enviem e-books ou artigos para o dispositivo. 
      O pesquisador descobriu três vulnerabilidades diferentes que, se combinadas, poderiam levar um criminoso a assumir o controle do Kindle de uma vítima e gastar dinheiro com seu cartão de crédito na Kindle Store, bem como acessar qualquer informação pessoal armazenada no dispositivo, como nome completo e endereço.
      O ataque poderia começar por meio de um e-book malicioso enviado a uma vítima. Um fator atenuante é que o criminoso precisaria falsificar o endereço de e-mail usado para corresponder ao endereço de e-mail @ kindle.com usado pelo alvo. Após enviar o e-book para a vítima, ele apareceria automaticamente na biblioteca do Kindle, e ao abri-lo, ao clicar em um link no índice, o Kindle abriria uma página HTML no navegador que conteria um arquivo de imagem malicioso. Isso daria permissão ao hacker para assumir o controle do dispositivo.
      Um porta-voz da Amazon confirmou à Vice que os bugs foram corrigidos e foi lançada uma atualização automática de software pela Internet que corrige o problema para todos os modelos do Amazon Kindle lançados depois de 2014. Outros modelos de Kindle afetados também receberão essa correção. 

    • Ao longo de 2020, mais de 90 bilhões de tentativas de login maliciosas ao WordPress foram bloqueadas. Essas tentativas foram provenientes de mais de 57 milhões de endereços IP únicos. Isso se refere a uma taxa de 2,8 mil ataques por segundo direcionados ao WordPress. Os dados são da Wordfence Threat Intelligence.
      Segundo a empresa, as tentativas mal-intencionadas de login foram o vetor de ataque mais comum para sites WordPress no ano passado, incluindo ataques de credential stuffing, no qual os criminosos usam listas de credenciais roubadas para tentar entrar em um sistema.
      A Wordfence classifica os ataques ao WordPress em três categorias principais: tentativas de login mal-intencionadas; ataques de exploração de vulnerabilidade; e malware de plugins nulled – versões piratas de um plugin premium.
      Mais de 4,3 bilhões de tentativas de explorar vulnerabilidades vindas de mais de 9,7 milhões de endereços IP exclusivos também foram bloqueadas pela Wordfence em 2020. Os ataques Directory Traversal – ataque de passagem de diretório –, incluindo caminhos relativos e absolutos, representaram 43% de todas as tentativas de exploração de vulnerabilidade, com 1,8 bilhão de ataques. 
      SQL Injection foi a segunda categoria de vulnerabilidades mais comumente atacada, com 21% de todas as tentativas (909,4 milhões de ataques). Uploads de arquivos mal-intencionados com o objetivo de alcançar a Execução Remota de Código (RCE) foram a terceira categoria de vulnerabilidades mais comumente atacada em 11% de todas as tentativas, com 454,8 milhões de ataques.
      Cross-Site Scripting (XSS) foi a quarta categoria de vulnerabilidades mais comumente atacada, com 8% de todas as tentativas, comando 330 milhões de ataques. As vulnerabilidades do Bypass de autenticação foram a quinta categoria de falhas mais comumente atacada, com 3% de todas as tentativas e 140,8 milhões de ataques.
      O scanner Wordfence também detectou mais de 70 milhões de arquivos maliciosos em 1,2 milhão de sites WordPress no ano passado. A grande maioria desses sites foi limpa no final do ano e apenas 132 mil sites infectados no início de 2020 ainda estavam infectados no final do ano. O malware WP-VCD foi a ameaça mais comum para o WordPress, representando 154.928 ou 13% de todos os sites infectados em 2020. 

×
×
  • Create New...