Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      Cibercriminosos têm aumentado o roubo de informações financeiras de vítimas que utilizam sites terceirizados para acessar bancos. Tudo isso é facilitado se você escolher senhas fracas e as reutilizar em mais de uma conta. Segundo o KrebsOnSecurity, os principais alvos desses ataques têm sido plataformas de acesso a bancos, como Mint, Plaid, Yodlee, YNAB e outras. Por meio delas, os atacantes buscam contas de clientes protegidas por senhas fracas ou recicladas. ?
      Na maioria das vezes, o invasor utiliza listas de endereços de e-mail e senhas roubadas em massa de sites invadidos. Depois, ele tenta colocar as mesmas credenciais para acessar contas on-line em vários bancos. Assim, os criminosos conseguem pegar os logins bem-sucedidos e inseri-los em aplicativos que dependem de interfaces de programação de aplicativos (APIs) de um desse agregadores de dados financeiros pessoais que ajudam os usuários a acompanhar seus saldos, orçamentos e gastos em vários bancos.
      Apesar dos bancos oferecerem autenticação multifator, que é um código único enviado por mensagem de texto ou aplicativo, essas instituições permitem que os aplicativos terceirizados que agregam dados financeiros de clientes visualizem saldos e transações recentes sem exigir essa autenticação. Isso facilita a vida dos atacantes: se eles conseguirem acessar uma conta bancária por meio de um serviço agregador ou API, eles poderão visualizar o saldo do cliente e decidir se vale a pena torná-lo alvo de um ataque, podendo até vincular suas contas bancárias a outras contas controladas por eles mesmos. 
      Interessante notar que, em comparação com os bancos brasileiros, essas instituições de outros países estão bem atrás de nós no quesito segurança. Mesmo assim, sabemos que o número de fraudes bancárias é alto no Brasil. Mesmo com o alto padrão de segurança implementado pelos bancos, há um número absurdo de malwares que conseguem, de algum jeito, contornar as barreiras de segurança impostas. ?
    • Dois membros do Project Zero, equipe de pesquisadores do Google, descobriram falhas de segurança que impactam o iOS, sistema operacional da Apple, por meio de uma exploração via iMessage. Segundo o ZDNet, ao todo foram seis falhas encontradas na semana do dia 22 de julho e que já foram corrigidas com o lançamento da versão 12.4 do iOS. De acordo com uma das pesquisadoras do projeto, Natalie Silvanovich, as vulnerabilidades "sem interação" não foram levadas à público antes pois a atualização do sistema ainda não as resolvia completamente. 
      Quatro dos seis bugs encontrados levam à execução de um código malicioso em um dispositivo remoto da Apple, sem que seja necessária a interação do usuário - por isso as falhas foram chamadas de "sem interação". O atacante apenas envia uma mensagem para o aparelho da vítima e o código é executado assim que o usuário abre e visualiza os itens recebidos. 
      As quatro falhas receberam os códigos CVE-2019-8647, CVE-2019-8660, CVE-2019-8662 e CVE-2019-8641, sendo que esta última ainda permanece com detalhes privados. Já as outras duas falhas, sob código CVE-2019-8624 e CVE-2019-8646, permitem que atacantes vazem dados da memória de um aparelho e leiam arquivos remotamente, sem necessidade de interação com o usuário.
      A Apple divulgou o conteúdo de segurança do iOS 12.4 e os detalhes sobre as atualizações do sistema. Fica a dica para atualizar! ⬆️
    • Uma campanha que afeta principalmente instituições financeiras e organizações governamentais da América do Sul foi descoberta pela empresa de segurança Trend Micro. O alvo principal tem sido a Colômbia, segundo o blog da companhia, e as atividades aparentemente partem de um grupo envolvido em comprometimento de e-mail comercial ou cibercrime utilizando YOPMail. ✉️
      A invasão do malware inicia quando um e-mail é enviado à vítima por meio de servidores abertos ou comprometidos. O atacante se conecta a esses servidores por meio de endereços IP que estão vinculados a nomes de domínio dinâmicos utilizados por um servidor command and control (C&C) pelos payloads enviados. Assim, o atacante utiliza a mesma infraestrutura para enviar e-mails e controlar as vítimas.
      O remetente do e-mail geralmente é falsificado e os assuntos levam o destinatário a abrir o anexo, que é um arquivo RTF com uma linha de texto e um link. O texto está relacionado ao assunto do e-mail, e o link para o malware utiliza o encurtador de URL cort.as, que pertence ao jornal El País. Clicar no link redireciona a vítima a um arquivo infectado dentro de um serviço de compartilhamento de arquivos.
      A Colômbia é o país mais visado para esse ataque, mas há outros na região adicionados à lista, já que o atacante utiliza a língua espanhola em todos os documentos de spear phishing observados. A Trend Micro também identificou que entre os alvos está o Brasil. ?
    • Acusado de participar da distribuição do malware Kronos, o entusiasta de cibersegurança Marcus Hutchins conseguiu escapar da condenação da Justiça americana por ter ajudado a impedir a disseminação do famoso ransomware WannaCry, em 2017. De acordo com o KrebsOnSecurity, Hutchins registrou e afundou um nome de domínio que, mais tarde, entenderam ser o "kill switch" escondido dentro do WannaCry, ransomware que se propagou através de uma vulnerabilidade explorada do Microsoft Windows.
      Ainda em agosto de 2017, agentes do FBI prenderam Hutchins, suspeito de ter criado e divulgado o trojan bancário Kronos e uma ferramenta de malware relacionada, chamada UPAS Kit, que ajudava cibercriminosos a roubar dados bancários de vítimas. Hutchins foi libertado logo após sua prisão, ordenado a permanecer nos Estados Unidos aguardando julgamento. Quase dois anos depois, no último dia 26 de julho, um juiz distrital disse que a ação de Hutchins em deter a propagação do WannaCry foi muito mais consequente do que os dois malwares que ele admitiu ter escrito. 
      Ao longo dos últimos dois anos, muitas pessoas ligadas à comunidade de segurança defenderam Marcus Hutchins, observando que o caso do FBI parecia frágil e que Hutchins havia trabalhado incansavelmente em seu blog para expor os cibercriminosos e suas ferramentas maliciosas. Ele recebeu, inclusive, doações para um fundo de defesa legal. Hutchins foi liberado sob supervisão, mas não poderá mais permanecer ou visitar os Estados Unidos, a menos que consiga perdão presidencial. Após a sentença, ele escreveu, no Twitter, um agradecimento a todos o ajudaram financeiramente e emocionalmente. “Planejo focar nos posts educacionais e em transmissões ao vivo novamente”.
    • Um ataque de ransomware em um provedor de energia na cidade de Joanesburgo, na África do Sul, causou apagão em alguns pontos da capital. Segundo o site ZDNet,  invasores criptografaram a base de dados, rede interna, aplicativos e site oficial da City Power, empresa de energia elétrica pré-paga por moradores e empresas locais. O nome do ransomware que impactou os sistemas da empresa não foi divulgado.
      A companhia informou sobre o ataque via Twitter. Clientes não conseguiram comprar unidades de energia elétrica, nem mesmo vender de volta à rede sua energia elétrica, produzida a partir de painéis solares por alguns residentes. A City Power disse ainda que o ransomware dificultou a resposta às interrupções devido à falta de acesso aos aplicativos internos. Nos últimos dias, a empresa atualizou, também via Twitter, o status de restabelecimento de energia em alguns pontos da cidade. ?
      Casos de ataques a redes de municípios têm sido cada vez mais comuns. Algumas cidades infectadas nos Estados Unidos, como Riviera Beach City e Lake City, na Flórida, e Jackson County, na Geórgia, pagaram pelo resgate dos arquivos criptografados por ransomwares. Quem opta pelo não pagamento acaba arcando com despesas para reconstruir suas redes de TI. Recentemente, divulgamos um texto questionando se valeria a pena pagar a cibercriminosos para restabelecer o acesso aos dados infectados. Leia mais! ?
    • A empresa de segurança ESET divulgou a descoberta de um novo ransomware que ataca aparelhos com sistema Android via SMS. Denominado Android/Filecoder.C, o ransomware utiliza a lista de contatos da vítima para enviar mensagens com links maliciosos. Ele foi distribuído por meio de mensagens no Reddit, em um tópico relacionado a pornografia, além de também ter aparecido no XDA Developers, fórum destinado a desenvolvedores Android. Apesar do perfil utilizado para distribuição da campanha do ransomware ter sido divulgado pela ESET, ele ainda está ativo, mas as publicações maliciosas foram removidas dos fóruns. 
      Aparentemente, o ransomware é quase inofensivo. A empresa de segurança ressalta que a campanha é pequena e relativamente amadora, pois o próprio ransomware contém falhas e, inclusive, foi mal encriptado. "Todos os arquivos criptografados podem ser recuperados sem a ajuda dos invasores", diz a ESET no comunicado oficial, em inglês. Entre as falhas do Android/Filecoder.C está a exclusão de grandes arquivos, acima de 50 MB e de imagens pequenas, menores que 150 KB. Além disso, a lista dos arquivos para criptografar contém muitas entradas não relacionadas a Android, e também excluem algumas das extensões típicas do sistema operacional. A ESET acredita que a lista de arquivos foi copiada do famoso ransomware WannaCry. O Android/Filecoder.C também não bloqueia a tela, o que impediria que o usuário acesse o dispositivo após a invasão. ?‍♀️
      Uma novidade do ransomware é que o resgate dos dados não possui um valor definido, mas sim é criado dinamicamente utilizando o UserID atribuído pelo ransomware à vítima específica, resultando em um valor exclusivo para o resgate. Apesar de ter um perfil diferente dos ransomwares tradicionais e apresentar falhas, a ESET alerta que se elas forem corrigidas e a distribuição do ransomware avançar, ele pode se tornar uma séria ameaça. ?
    • Uma vulnerabilidade no aplicativo Walkie Talkie, do Apple Watch, permitia que uma pessoa ouvisse o conteúdo de outro iPhone sem permissão. Após a identificação da falha, a própria Apple desativou o recurso. Mas não se preocupe, a falha já foi corrigida.
      O aplicativo Walkie Talkie permite que dois usuários que aceitaram um convite um do outro recebam conversas de áudio por meio de uma interface "push to talk", lembrando celulares mais antigos. Após ser informada da vulnerabilidade, a Apple desativou a função enquanto resolvia o problema, o que ocorreu nas últimas duas semanas. O aplicativo já está em pleno funcionamento novamente a partir da atualização do sistema do Apple Watch, o watchOS 5.3. Se você usa Apple Watch, atualize seu sistema, pois outras falhas devem ter sido corrigidas nessa nova versão. ?
×
×
  • Criar Novo...