Jump to content
  • News

    • Bruna Chieco
      A empresa de segurança israelense ClearSky divulgou na semana passada o vazamento de uma série de documentos de grupos iranianos de APTs - ataques dirigidos avançados persistentes. Os atacantes foram os alvos do vazamento. Os documentos vazados foram divulgados em três canais: Lab Dookhtegam, que publicou documentos relacionados ao grupo 'OilRig'; Green Leakers, que divulgou vazamentos relacionados ao grupo 'MuddyWatter'; e o Black Box, que vazou vários documentos confidenciais relacionados a atividades de grupos de atacantes iranianos.
      Entre os documentos vazados estão informações do Ministério da Inteligência iraniano, semelhante ao FBI ou à CIA, sobre um grupo conhecido como 'Rana'. As informações vazadas incluem listas de vítimas, estratégias de ciberataque, áreas de acesso, listas de funcionários e imagens de websites que contêm sistemas relevantes de espionagem.
      Segundo a ClearSky, a identidade por trás do vazamento é atualmente desconhecida, mas com base no escopo e na qualidade dos documentos e informações divulgadas, eles parecem profissionais altamente capacitados. 
      Dessa vez, os próprios atacantes foram pegos, o que mostra que não somente as empresas estão vulneráveis a esses ataques; invasores também podem ser vítimas. ?

    • O WhatsApp informou na última segunda-feira, 13 de maio, que foi identificada uma vulnerabilidade em algumas versões de seu aplicativo. O estouro de buffer permite execução remota de código, ou seja, atacantes podem invadir e tomar o controle de aparelhos celulares a partir do envio de certos pacotes. O problema recebeu o código CVE-2019-3568.
      Segundo o comunicado do Facebook, dono do WhatsApp, as versões afetadas do app são: 
      WhatsApp para Android, versões anteriores à v2.19.134;  WhatsApp Business para Android, versões anteriores à v2.19.44;  WhatsApp para iOS, versões anteriores à v2.19.51; WhatsApp Business para iOS, versões anteriores à v2.19.51; WhatsApp para Windows Phone, versões anteriores à v2.18.348; WhatsApp para Tizen, versões anteriores à v2.18.15. De acordo com o National Cyber Security Centre (NCSC), órgão de ciber segurança do Reino Unido, algumas contas foram afetadas pela vulnerabilidade. Portanto, é importante manter suas versões do WhatsApp sempre atualizadas para evitar esse tipo de invasão. ?

    • Uma gangue formada por oito americanos e um irlandês foi acusada de SIM-swapping, clonagem do SIM card (chip) de celulares. De acordo com o blog KrebsOnSecurity, os golpistas teriam sequestrado os números de celulares via clonagem do SIM card. O golpe funciona da seguinte maneira: os golpistas subornam ou enganam vendedores dos aparelhos celulares e tomam o controle do número do aparelho da vítima. Assim, eles conseguem desviar todo o conteúdo de mensagens e ligações para seus próprios aparelhos, trocando senhas para outras contas vinculadas ao número invadido, mesmo protegidas por autenticação de dois fatores (2FA).
      Os membros da gangue, conhecida como "The Community", supostamente conseguiram arrecadar mais de US$ 2,4 milhões roubando informações e extorquindo pessoas em troca da redefinição das senhas de suas redes sociais.
      Esse golpe também ocorre no Brasil e está ficando cada vez mais comum. É importante priorizar o uso do duplo fator de autenticação por aplicativo (Google Authenticator, Authy, etc.) em vez de SMS (mensagens de texto), pois ninguém está a salvo da clonagem do número, já que funcionários corruptos de operadoras e lojas de venda e habilitação de telefones celulares parecem participar do esquema. Todo cuidado é pouco. ?

    • Apesar do Dharma ransomware circular desde 2016, ele segue com ataques bem sucedidos entre usuários e organizações ao redor do mundo. Segundo notícia publicada pela Trend Micro, o último ataque mais sério realizado por esse ransomware foi em novembro de 2018 e o alvo foi um hospital no Texas, nos Estados Unidos. A Trend Micro descobriu que novas versões do Dharma estão usando uma nova técnica: a instalação de um software de antivírus como forma de distrair o usuário e ocultar atividades maliciosas.
      Essas versões do ransomware estão sendo distribuídas por e-mail, via spam, o que normalmente faz com que o usuário baixe arquivos. Se o usuário clicar no link, ele recebe uma senha antes de abrir o arquivo de extração automática, que é denominado Defender.exe. Esse arquivo também contém o arquivo malicioso taskhost.exe e o instalador de uma versão antiga do ESET AV Remover renomeado como Defender_nt32_enu.exe. É justamente o antigo instalador do antivírus da ESET que distrai o usuário enquanto o ransomware criptografa os arquivos da vítima. A Trend Micro alerta que o ransomware será executado mesmo se a instalação da ferramenta não for acionada. O processo de instalação é só uma forma de distrair a vítima. A ESET foi informada do problema.

    • Uma nova família de ransomware está usando vulnerabilidades do Oracle WebLogic para infectar computadores. De acordo o Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, a nova variante do ransomware, denominado Sodinokibi, tenta criptografar dados de um usuário e excluir os backups das informações para dificultar sua recuperação. Os invasores vêm tentando se utilizar desse tipo de ataque pelo menos desde o dia 17 de abril, e no dia 25 do mesmo mês iniciaram os ataques em forma de teste para ver se o servidor era explorável. A Oracle corrigiu o problema no dia 26 de abril e atribuiu a ele o código CVE-2019-2725.
      O Talos alerta que essa vulnerabilidade é fácil de ser explorada, já que qualquer pessoa com acesso HTTP ao servidor WebLogic pode realizar um ataque. Historicamente, a maioria dos ransomwares exige alguma interação com o usuário para invasão, como abrir um anexo de e-mail, clicar em um link malicioso ou executar um malware no dispositivo. Nesse caso, os invasores simplesmente aproveitaram a vulnerabilidade do Oracle WebLogic, que acaba fazendo o download de uma cópia do ransomware dos endereços IP controlados pelo invasor. Por conta dessa facilidade, o bug recebeu uma pontuação de 9,8. ?

    • Saiu hoje uma nova versão do poderoso ScyllaHide, plugin com o objetivo de esconder o debugger de protectors que o detectam. Tem versões para  x64dbg, IDA, OllyDbg, além de uma versão genérica. 

      Além de já contar com perfis específicos para os protectors VMProtect, Obsidium, Themida e Armadillo, o ScyllaHide permite configurar cada opção individualmente. Não é um plugin para iniciantes, mas a documentação em PDF contida no pacote para download ajuda muito. ?
      Acha que vale um vídeo no Papo Binário explicando algumas de suas opções? Comenta aí! ?

    • Engenharia reversa em jogos não está nada distante da Engenharia Reversa utilizada em Análise de Malware, correção de bugs, etc, até porque os conceitos que ela envolve são os mesmo, não importa o local onde é aplicada.
      Falando em jogos, você conhece o Mega Drive? Sim, aquele console da Sega de 16 bits, lançado em 88 e com sucesso nos anos 90. Foi lançado em um blog uma espécie de CTF para o SEGA Genesis (nome popular para o Mega drive) que se resume à "apenas" um desafio: reverter o jogo criado pelo autor e quebrá-lo utilizando um emulador.
      O autor disponibilizará o código fonte daqui um tempo, mas até lá você pode mandar um e-mail e/ou twitter com sua resolução!!
      Se pararmos para pensar este desafio parte de uma abordagem ofensiva, mas será que além de burlar há uma maneira de defender este ou outro jogo? ?

×
×
  • Create New...