Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      Uma variante do malware Mirai, identificada como Backdoor.Linux.MIRAI.VWIPT, foi detectada pela Trend Micro. De acordo com comunicado divulgado hoje pela companhia de segurança, a nova versão do malware, que infecta roteadores, usa 13 exploits diferentes, quase todas já utilizadas nos ataques anteriores do Mirai. Variantes típicas do Mirai possuem backdoors e capacidades para ataques distribuídos de negação de serviço (DDoS). Todavia, este caso surge como a primeira vez que uma variante usa 13 exploits juntos numa única campanha.
      O novo ataque ocorre apenas algumas semanas após a Trend Micro ter relatado as últimas atividades do Mirai, que afetaram diversos roteadores. Vários exploits do ataque anterior também foram usados nessa variante. O malware usou diferentes meios de propagação e também revelou o uso de três chaves XOR para criptografar dados. A companhia também identificou diferentes URLs usadas por esta variante, sendo que a primeira serviu como um servidor de comando e controle (C&C), enquanto as outras eram links de download e dropper. 
      A Trend Micro identificou ainda como a variante se espalha. Os três primeiros exploits são scanners de vulnerabilidades específicas encontradas no framework de desenvolvimento web ThinkPHP e em alguns roteadores Huawei e Linksys. Os scanners para as outras 10 vulnerabilidades foram encontradas dentro da função exploit_worker(). A companhia divulgou uma lista dos exploits e outros ataques, sendo que 11 deles já haviam sido usados em 2018 pela variante Omni. Também foi publicada uma lista com URLs maliciosas relacionadas aos ataques.
    • Uma base de dados com informações de contatos de milhões de influenciadores no Instagram, celebridades e marcas foi encontrada na Internet. Segundo o site TechCrunch, a base de dados, que é hospedada pela Amazon Web Services, foi exposta sem senha, permitindo a qualquer pessoa o acesso às informações. Foram cerca de 49 milhões de registros vazados que, segundo o TechCrunch, aumentavam a cada hora. ?
      Cada registro continha dados públicos extraídos de contas de influenciadores do Instagram, incluindo a biografia, foto do perfil, número de seguidores, se eles são verificados e a localização por cidade e país. Além disso, também foram divulgadas informações privadas, como o endereço de e-mail e o número de telefone do proprietário da conta do Instagram. O TechCrunch disse ainda que rastreou a origem da base de dados. É de uma empresa localizada em Mumbai chamada Chtrbox, que paga influenciadores para publicar conteúdo patrocinado em suas contas. Cada conta continha informações sobre o valor daquele perfil com base em número de seguidores, engajamento, alcance, likes e compartilhamentos. A métrica é utilizada para determinar quando a companhia poderia pagar uma celebridade ou influenciador para publicar um anúncio.
      A Chtrbox já desativou o acesso ao banco de dados. Procurada pelo TechCrunch, a empresa não respondeu ao pedido de comentários e a várias perguntas, incluindo como obteve endereços de e-mail e números de telefone privados de contas do Instagram. O caso ocorre dois anos depois o Instagram admitir que um bug de segurança na API de desenvolvimento permitiu que atacantes obtivessem endereços de e-mail e números de telefone de seis milhões de contas do Instagram. Os invasores venderam os dados em troca de bitcoins.
      O Facebook, dono do Instagram, enviou comunicado ao TechCrunch informando que está analisando a questão para entender se os dados descritos, incluindo e-mail e números de telefone, são do Instagram ou de outras fontes. "Também estamos questionando a Chtrbox para entender de onde esses dados vieram e como se tornaram disponíveis publicamente", acrescentou.
    • A Ticketmaster está introduzindo o sistema SafeTix para proteger seus ingressos e evitar fraudes. O sistema dá ao comprador um código de barras único e criptografado que é atualizado a cada segundo. De acordo com o site SportBusiness, o sistema está pronto para ser usado em 500 locais até o final deste ano, sendo que sua implantação ocorrerá na temporada de 2019 da NFL (National Football League).
      O ingresso "mutante", com atualização contínua de códigos de barras criptografados, foi projetado para combater fraudes que ocorrem por meio do famoso print screen, ou seja, as capturas de tela ou outras cópias de códigos de barras estáticos. Toda vez que um ingresso for vendido ou transferido, um novo ingresso digital será emitido e vinculado à conta e ao telefone celular do destinatário, com um processo contínuo de atualização do código de barras. 
      O plano da Ticketmaster é expandir o novo ingresso para shows de diversos artistas e introduzir a tecnologia near-field communications (NFC), conjunto de protocolos de comunicação que permite que dois dispositivos eletrônicos estabeleçam comunicação a 4cm de distância um do outro. Futuramente, o ingresso também poderá ser escaneado via Apple Wallet. 
    • O Stack Overflow, famoso site de perguntas e repostas para programadores, informou que está investigando ataques ocorridos desde o dia 5 de maio em uma camada de desenvolvimento do site (stackoverflow.com). De acordo com comunicado divulgado pela VP de Engenharia do Stack Overflow, Mary Ferguson, o bug permitiu ao atacante entrar na camada de desenvolvimento do site e estender seu acesso à versão de produção do stackoverflow.com. 
      Entre os dias 5 e 11 de maio, o invasor se manteve escondido, moderando suas atividades de invasão. A partir do dia 11 de maio, contudo, o atacante fez uma modificação no sistema do Stack Overflow, conseguindo acesso privilegiado no ambiente de produção, o que foi rapidamente identificado pela equipe do site. "Nós revogamos o acesso do invasor em toda nossa rede, começamos a investigar o ataque e demos os primeiros passos para remediar o problema", diz o comunicado.
      Como procedimento de segurança do site para proteger dados confidenciais de clientes, o Stack Overflow mantém infraestrutura de redes separadas para clientes dos produtos Teams, Business e Enterprise. "Não encontramos nenhuma evidência que esses sistemas e dados de clientes foram acessados". O site diz ainda que as áreas de Advertising e Talent também não foram afetadas.
      Embora o banco de dados não tenha sido comprometido, o site alerta que foram identificadas requisições web do invasor que podem ter retornado endereços IP, nomes ou e-mails de cerca de 250 usuários da rede pública do Stack Exchange. Os usuários afetados serão notificados.
    • Pesquisadores estão identificando um ataque remoto que pode, potencialmente, permitir uma invasão ao roteador Cisco 1001-X e comprometer dados e comandos que passam por ele. O problema é que esse roteador não é um roteador comum, que as pessoas costumam ter em casa. É muito maior e mais caro, responsável pela conectividade confiável de bolsas de valores, escritórios corporativos, shoppings, entre outros, tendo assim um papel importante em instituições, incluindo aquelas que lidam com dados hipersensíveis.
      De acordo com o site de notícias Wired, a empresa de segurança Red Balloon identificou duas vulnerabilidades. Uma é um bug no sistema operacional IOS da Cisco que permite ao atacante obter acesso remoto aos dispositivos. Essa falha pode ser relativamente fácil de ser resolvida através da aplicação de um patch (correção) de software.
      A segunda vulnerabilidade permite que os atacantes tenham acesso com privilégios administrativos, ignorando a proteção de segurança mais fundamental do roteador, o Trust Anchor. O recurso de segurança da Cisco foi implementado em quase todos os dispositivos corporativos da empresa desde 2013, só que agora foi descoberta uma maneira de contorná-lo, o que afetaria centenas de milhões de unidades Cisco em todo o mundo, desde roteadores corporativos até switches de rede e firewalls. 
      A Cisco informou que vai disponibilizar uma atualização de software para corrigir a falha. 
    • A Microsoft tem adotado uma medida não muito comum: está lançando atualizações para versões ainda amplamente utilizadas do Windows, mas que não são mais suportadas pela empresa: XP e 2003. De acordo com o blog KrebsOnSecurity, esse movimento é para tentar corrigir uma falha que permite a propagação de um worm que a empresa diz que poderia ser usado para propagar uma ameaça ainda mais rápido, como ocorreu com os ataques do ransomware WannaCry em 2017 e que afetou cerca de 2 mil sistemas Windows em 150 países.
      Segundo a Microsoft, a vulnerabilidade com o código CVE-2019-0708 está no componente “serviços de área de trabalho remota” incorporado em versões ainda suportadas do Windows, incluindo o Windows 7, Windows Server 2008 R2 e Windows Server 2008, mas também presente em computadores com Windows XP e Windows 2003, que são  sistemas operacionais para os quais a Microsoft parou de lançar atualizações de segurança há bastante tempo.
      Ainda segundo o blog, a Microsoft não detectou evidências de ataques contra a falha de segurança, mas está tentando impedir uma ameaça séria e iminente. Aqui a empresa informa quais são as atualizações de segurança disponíveis. A falha não afeta os últimos sistemas operacionais Windows 10, Windows 8.1, Windows 8, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, ou Windows Server 2012.
    • A empresa de segurança israelense ClearSky divulgou na semana passada o vazamento de uma série de documentos de grupos iranianos de APTs - ataques dirigidos avançados persistentes. Os atacantes foram os alvos do vazamento. Os documentos vazados foram divulgados em três canais: Lab Dookhtegam, que publicou documentos relacionados ao grupo 'OilRig'; Green Leakers, que divulgou vazamentos relacionados ao grupo 'MuddyWatter'; e o Black Box, que vazou vários documentos confidenciais relacionados a atividades de grupos de atacantes iranianos.
      Entre os documentos vazados estão informações do Ministério da Inteligência iraniano, semelhante ao FBI ou à CIA, sobre um grupo conhecido como 'Rana'. As informações vazadas incluem listas de vítimas, estratégias de ciberataque, áreas de acesso, listas de funcionários e imagens de websites que contêm sistemas relevantes de espionagem.
      Segundo a ClearSky, a identidade por trás do vazamento é atualmente desconhecida, mas com base no escopo e na qualidade dos documentos e informações divulgadas, eles parecem profissionais altamente capacitados. 
      Dessa vez, os próprios atacantes foram pegos, o que mostra que não somente as empresas estão vulneráveis a esses ataques; invasores também podem ser vítimas. ?
×
×
  • Criar Novo...