-
Notícias
-
Segundo investigação do Guardicore Labs, 20 versões diferentes de payloads foram lançadas e implementadas ao longo da campanha. A empresa entrou em contato com o provedor de hospedagem dos servidores atacantes, bem como com o emissor do certificado digital utilizado pelos binários do rootkit, que foram removidos e revogado, respectivamente. Ainda de acordo com a empresa, a campanha Nansh0u não é um caso típico de ataque de mineração de criptomoeda - nesse caso, eles usaram técnicas normalmente vistas em APTs - ataques dirigidos avançados persistentes, como certificados falsos ou escalação de privilégios. As ferramentas avançadas de ataque normalmente pertencem a atacantes altamente qualificados, mas essa campanha mostra que essas ferramentas podem cair facilmente nas mãos de invasores menores que os de primeira linha.
O Guardicore Labs publicou o cronograma de criação dos payloads e como cada ataque foi executado. ?
-
-
O Gatekeeper é um mecanismo desenvolvido pela Apple que impõe a assinatura de código e verifica os aplicativos baixados antes de permitir que eles sejam executados. Como o Gatekeeper considera drives externos e compartilhamentos de rede como sendo ambientes seguros, que não necessitam de verificação de permissão para executar um aplicativo, um invasor pode enganar o usuário e executar um aplicativo com arquivo ZIP contendo códigos maliciosos e um link simbólico correto. Isso direcionaria a vítima a um site controlado pelo invasor, mas confiável pelo Gatekeeper. Além disso, o MacOS X possui um recurso legal, o automount (também conhecido como autofs), que permite ao usuário aceitar automaticamente um compartilhamento de rede apenas acessando um caminho "especial". Neste caso, qualquer caminho que comece com "/ net /".
Ainda segundo Cavallarin, A Apple foi contatada em 22 de fevereiro de 2019 e está ciente do problema, que deveria ter sido resolvido em 15 de maio de 2019, mas a Apple aparentemente ignorou os avisos do pesquisador, que resolveu tornar a vulnerabilidade pública. Cavallarin alerta que nenhuma solução para a vulnerabilidade está disponível. ?
Contudo, é possível desabilitar o automount:
1. Edite o arquivo /etc/auto_master
2. Comente a linha que começa com "/net"
3. Reinicie o computador
Aliás, se você quiser mais sobre exploração de vulnerabilidade, tipo essa que o Filippo Cavallarin fez, dá uma olhada no nosso Curso de Exploração de Binários! ?
-
O incidente coincidiu com o roubo do banco de dados de usuários do fórum e com a limpeza dos discos rígidos. Em 16 de maio, o administrador da comunidade rival RaidForums anunciou que disponibilizou o banco de dados OGusers para qualquer um baixar gratuitamente.
De acordo com o KrebsOnSecurity, o vazamento do banco de dados poderia ajudar investigadores das forças federais e estaduais a ir atrás de atacantes, já que o OGusers é uma comunidade online famosa por atrair pessoas envolvidas em clonagem de números de telefone como método de assumir as contas redes sociais, e-mail e contas financeiras de vítimas e depois revender o acesso a outras pessoas no próprio fórum. ?♀️
-
A versão alfa do navegador foi lançada em setembro do ano passado, e desde então o Tor Project vem fazendo melhorias para priorizar usuários que sofrem muita vigilância e censura online, como ativistas ou jornalistas que precisam evitar o monitoramento do governo.
O Tor Browser é baseado no Firefox, contendo as mesmas conveniências do navegador, como a navegação com guias, mas não se conecta diretamente a sites. Segundo o Engadget, ele usa uma rede de servidores criptografados que envia solicitações em vários links intermediários, ocultando seu endereço IP e identidade. O navegador não está disponível para o sistema iOS, por conta de restrições da Apple, mas o Tor recomenda o uso do Onion Browser para usuários de iPhone e iPad.
-
O novo ataque ocorre apenas algumas semanas após a Trend Micro ter relatado as últimas atividades do Mirai, que afetaram diversos roteadores. Vários exploits do ataque anterior também foram usados nessa variante. O malware usou diferentes meios de propagação e também revelou o uso de três chaves XOR para criptografar dados. A companhia também identificou diferentes URLs usadas por esta variante, sendo que a primeira serviu como um servidor de comando e controle (C&C), enquanto as outras eram links de download e dropper.
A Trend Micro identificou ainda como a variante se espalha. Os três primeiros exploits são scanners de vulnerabilidades específicas encontradas no framework de desenvolvimento web ThinkPHP e em alguns roteadores Huawei e Linksys. Os scanners para as outras 10 vulnerabilidades foram encontradas dentro da função exploit_worker(). A companhia divulgou uma lista dos exploits e outros ataques, sendo que 11 deles já haviam sido usados em 2018 pela variante Omni. Também foi publicada uma lista com URLs maliciosas relacionadas aos ataques.
-