Jump to content

Bruna Chieco

Mente Binária
  • Content Count

    251
  • Joined

  • Last visited

  • Country

    Brazil

Community Reputation

0 Neutral

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. No último dia 31 de maio, foi lançada a v2.13.0b3 do HexFiend, um editor hexadecimal para macOS. O programa de código aberto permite: Inserir, deletar e rearranjar bites nos arquivos, trabalhando arquivos de vários tamanhos. Ele possui uma capacidade de diferenciação de binários, mostrando a diferença entre arquivos, levando em consideração inserções e deleções. Basta abrir dois arquivos e ir no menu File > Compare. Ele ainda interpreta dados como inteiros ou pontos flutuantes, com ou sem sinal, big ou little endian. Dá suporte à templates, dando visualização de estruturas de arquivos com suporte a scripting. Mais detalhes na documentação do projeto. O que mudou no HexFiend? Entre as principais mudanças da versão v2.13.0b3 estão: Adicionada a preferência para controlar um agrupamento de bytes quando copiando dados como hexadecimal. Adicionado suporte a encodings personalizados de 2 bytes. Adicionados comandos para ler dados de data e hora de sistemas de arquivos FAT (File Allocation Table). Melhorias no destaque em cores dos bytes para o "Dark Mode" do macOS. Veja o change log completo e faça o download neste link. Se você quiser entender para que serve um editor hexadecimal, pode assistir ao vídeo sobre Visualizadores Hexadecimais no nosso canal:
  2. No último sábado, 30 de maio, foi realizada a terceira versão da MBConf@Home. A conferência on-line, promovida pelo Mente Binária, foi criada para disseminar conteúdo sobre segurança da informação durante o período de isolamento social causado pela pandemia do novo coronavírus (COVID-19). Fernando Mercês abriu o evento destacando que o objetivo desse projeto é suprir o gap entre a educação oferecida na área e as necessidades de profissionais qualificados o mercado tem. "Notamos que a universidade, os estudos, a educação não são o suficiente para a área de segurança, que tem bastante nuances. E a gente tenta suprir", disse. "A MBConf@Home surgiu durante a quarentena, pois deveríamos ter eventos na área no primeiro semestre, e felizmente tivemos outros também", complementou Mercês. O MBConf@Home v3 levou quatro palestrantes do setor para falar sobre suas experiências em decodificação e exploração de malwares. É possível assistir a todo o evento através do canal do Mente Binária no Youtube. Aqui, a gente traz um resumo do que rolou. Decodificando malwares web: uma história de dor e sofrimento Fio Cavallari, que é Threat Research Manager na GoDaddy, abriu a grade de palestras falando sobre desofuscação de malware web. Fio "cutuca" malware desde 2003, e é focado em web malware desde 2012. Segundo ele, PHP e JavaScript dominam a Internet. "Você sempre vai ver malware escrito em PHP e em JavaScript. Isso porque eles têm uma linguagem muito simples. A diferença entre o código vulnerável e o malicioso é a intenção", disse. Ele deu um exemplo de um código malicioso que foi, de fato, detectado em PHP e explicou ainda como funciona a ofuscação do código, com objetivo de confundir, tirando a atenção de quem não é familiarizado com o código. "Ao limpar, é possível verificar a intenção do código. Mas para confundir, dá para incluir, por exemplo, strings em base64". Ele demonstrou como é possível usar técnicas para evitar uma detecção por um antivírus, por exemplo. Ele destrinchou um código ofuscado em PHP e mostrou como identificar se um código é ou não malicioso. "Trabalhar com strings, inclusive usando base64, é importante para identificar pontos comuns entre malware e código válido, mas mesmo assim, a chance de gerar um falso positivo é grande", disse Cavallari. Ele ainda ensinou técnicas de desofuscação a partir de ferramentas como Sucuri decoder; ddecode; unphp.net, entre outras. Fio deixou ainda um desafio para quem quiser tentar uma vaga no time de pesquisa de vulnerabilidades e malware da GoDaddy: http://x.co/mbconf2020 Técnicas de ofuscação de malware em Windows Seguindo a mesma linha da primeira palestra, Thiago Marques, que é Security Researcher no Kaspersky Lab, demonstrou as técnicas que criadores de malware têm utilizado para ofuscar seus códigos no Windows. Thiago compartilhou um conteúdo completo em um post de 2016 publicado no sercurelist.com. "As técnicas utilizadas continuam a funcionar da mesma forma, basta saber como realizar a análise para poder aplicá-la em vários cenário", disse. Ele fez ao vivo uma desofuscação de malware para Windows (x86) utilizando o IDA. Segundo Thiago, antigamente, era possível analisar um malware com um funcionamento dentro das strings, e hoje é difícil encontrar um malware que nao tenha algum tipo de ofuscação, seja de string ou de código, e a criação de scripts faz você criar ferramentas que ajudam em análises futuras. "É um tempo que você gasta, mas aquilo vai te servir por muito tempo. É quase uma obrigatoriedade a criação de scripts para que poder seguir com a análise". Na conclusão, Thiago reiterou que desenvolvedores de malware sempre irão buscar novas formas para dificultar a análise. Ele alertou ainda que o uso de detecções de ambiente muitas vezes atrapalham a análise dinâmica. "A criação de scripts e ferramentas são praticamente obrigatórios em muitos casos", destacou. Análise de malware automatizada em larga escala com Aleph Para falar do projeto Aleph, que envolve threat hunting com big data e análise de malware automatizada, foi convidado o pesquisador de segurança Jan Seidl. O projeto do Aleph começou em 2010, quando ainda era um monte de script em bash, e a ideia foi sempre a mesma: ter um pipeline onde se coloca um malware numa ponta e a análise sai na outra. "A premissa do Aleph é automatizar o processo inicial de triagem de um arquivo", explicou Jan. Segundo ele, para quem não trabalha com análise de malware diariamente, a ferramenta pode ajudar. "Venho de um background de programação, era um desenvolvedor sênior, e muitos conceitos estavam na minha cabeça. Como profissional de segurança, segui desenvolvendo ferramentas para o meu trabalho e para os meus colegas", disse. "A motivação da criação do Aleph foi baixar o nível requerido de conhecimento técnico para pesquisadores ingressarem no mundo da engenharia reversa", complementou A nova versão do Aleph segue o estilo batteries included, com inteligência sobre a informação incluída no relatório. "O Aleph nunca substitui o pesquisador, mas economiza tempo na análise de arquivos suspeitos por times, principalmente com um arquivo desconhecido", reiterou Jan. O Aleph era um bash script monolítico, e a segunda versão foi criada para ser multiprocesso, escalada. Ele usa o Celery como base e é feito em Python para usar aplicação distribuída. Jan mostrou ainda um screenshot da parte do código onde é possível configurar filas. O Aleph é ainda multiplataforma, podendo ser usado de maneira que rode ferramentas em cada um dos sistemas operacionais. Segundo Jan, o Aleph teve também que ser reconstruído para ser mais modular. "Ele é uma grande experimentação ao longo de anos, e nem tudo está decidido sobre as tecnologias utilizadas. Cada um dos componentes tem uma interface falando e linguagem de orientação". É também possível escolher a tecnologia que mais agrada ao pesquisador. O Aleph é distribuído e escalável, e faz o data science em cima do malware. "Ainda faltam testes, acertos no código, debug em geral, colocar mais gerenciamento de login, mais sistemas de usuário, fazer correção na própria interface, mais analisadores, etc. Tem muita ideia para o futuro", complementou. Modern Windows Exploitation - A Tale of a CVE Bruno Oliveira, mestre em engenharia de computação e Principal Security Consultant no SpiderLabs da Trustwave, encerrou o ciclo de palestras abordando o CVE-2020-0796 e fazendo a análise técnica da vulnerabilidade do SMBv3. Ele também revisou o patch, identificado os bugs relacionados no código e caracterizando os desafios da exploração. Bruno mostrou a análise do patch para observar características que facilitem a compreensão da vulnerabilidade, identificou a vulnerabilidade, construiu uma prova de conceito para que se tenha um efeito desejado sobre o sistema, partindo para exploração. Ele contou como explorou o CVE-2020-0796. "Identificamos que qualquer usuário da Microsoft poderia explorar o servidor SMBv3", disse. "A primeira coisa foi comparar os drivers responsáveis, a versão vulnerável com a patcheada". Após conhecer o binário responsável pelo servidor, Bruno viu que é possível descompactar o patch, pegar um arquivo com versão vulnerável, e fazer a comparação. Ele mostrou ainda que a primeira PoC (Proof of Concept ou Prova de Conceito) que surgiu demonstrou onde exatamente ficava a vulnerabilidade. "Quis trazer a metodologia usada para a análise de 1-day vulnerability, como baixar o patch e olhar qual das funções foram corrigidas, e o que, dentro da função, foi corrigido, além do que parece ser a vulnerabilidade e todo o aspecto e metodologia trazida, desde a análise até olhar o protocolo do caso", explicou, "Tudo demanda conhecimento específico sobre o que você está explorando", complementou. Se quiser tirar dúvidas com os palestrantes, basta entrar no fórum do Mente Binária e fazer seus comentários sobre cada palestra. Lá você também pode votar nos assuntos da próxima! 🙂
  3. Com a pandemia do novo coronavírus (COVID-19), o uso de máscaras ampliou, e as empresas de reconhecimento facial estão se esforçando para acompanhar essa nova tendência. As máscaras faciais cobrem uma parte significativa do que o reconhecimento facial precisa para identificar e detectar pessoas. Segundo o CNet, fotos de pessoas mascaradas são utilizadas por essas empresas para treinar seus algoritmos e adaptá-los ao momento atual. Em abril, pesquisadores publicaram o COVID19 Mask Image Dataset no Github, usando mais de 1,2 mil imagens coletadas do Instagram. Um mês antes, pesquisadores da China compilaram um banco de dados com mais de 5 mil fotos de pessoas mascaradas que foram coletadas on-line. Empresas de reconhecimento facial já utilizavam imagens das pessoas sem consentimento para treinar seus algoritmos. Os defensores da liberdade civil afirmam que a tecnologia de reconhecimento facial ameaça a privacidade e a liberdade de expressão, alertando também que quase não existem leis que impeçam o abuso das ferramentas de vigilância. Alguns provedores de reconhecimento facial passaram também a pedir a seus funcionários que enviem selfies com máscara, além de editar máscaras em cima das fotos que eles já possuem para testar algoritmos de reconhecimento facial. As empresas também precisam de um conjunto diversificado de imagens para que os algoritmos possam reconhecer melhor mulheres, pessoas de diferentes idades, ou até uma variedade de tipos de máscara. 😷
  4. Os ataques de ransomware tiveram um crescimento grande nos últimos dois anos, com os ciberatacantes ampliando suas operações a tal ponto que a demanda média de resgate aumentou mais de 10 vezes em um ano. As informações são do BleepingComputer. Segundo a publicação, existe mais de uma dúzia de operadoras de ransomware como serviço (RaaS), cada uma com uma série de afiliadas que se concentram em alvos empresariais em todo o mundo. Um relatório da empresa de segurança cibernética Group-IB analisa como essa ameaça mudou em apenas um ano desde 2018. Os atacantes começaram a roubar arquivos das vítimas antes da criptografia para aumentar a alavancagem e forçar um pagamento. De acordo com o relatório, os ataques de ransomware aumentaram 40% em 2019, e o foco em metas maiores elevou o preço do resgate de US$ 6 mil para US$ 84 mil. Em 2020, o valor aumentou ainda mais. Dados da Coveware mostram que a média no primeiro trimestre do ano foi de US$ 111,6 mil, sendo que há casos em que as demandas de resgate chegam a US$ 1 milhão. As famílias de ransomware mais gananciosas são a Ryuk e o REvil, também conhecido como Sodin ou Sodinokibi. Entre as técnicas de ataque mais comuns está o comprometimento via kits de exploração (EKs), serviços remotos externos (principalmente RDP) e spear phishing. As redes que distribuem e-mails maliciosos como Emotet, Trickbot (Ryuk) ou QakBot (ProLock, MegaCortex) são usadas para acessar a rede de destino. Os alvos mais valiosos são a cadeia de suprimentos. Os atacantes também aproveitam a exploração de vulnerabilidades não corrigidas em aplicativos voltados ao público ou comprometimento de MSPs (Provedores de Serviços Gerenciados). Os criminosos também começaram a vazar arquivos roubados das vítimas caso não recebessem o resgate. Pelo menos 12 operadores de ransomware têm sites de vazamento onde publicam dados roubados das vítimas, enquanto outros usam fóruns para compartilhar links para download.
  5. Um grupo de romenos é suspeito de subornar técnicos para instalar skimmers – o famoso "chupa-cabra" de cartão de crédito – sofisticados baseados em Bluetooth em caixas eletrônicos no México. Segundo o KrebsOnSecutiry, os suspeitos estão sob proteção legal de um alto funcionário anticorrupção do escritório do procurador-geral do México. As informações foram divulgadas pelo jornal mexicano Reforma. Autoridades federais, estaduais e municipais do México entraram com uma queixa, pois aparentemente, um dos chefe do Ministério Público Especial do México, responsável pelo combate à corrupção, tem um conflito de interesses inerente porque seu irmão escoltou e advogou a favor do renomado chefe de um sindicato romeno do crime, que foi acusado de administrar uma rede de skimmers de caixas eletrônicos. O acusado atende por Florian Tudor. O KrebsOnSecurity apurou em 2015 que Tudor esteve envolvido em atividades de uma quadrilha de criminosos que, segundo boatos, subornava ou coagia técnicos de caixas eletrônicos a instalar "chupa-cabra" baseado em Bluetooth em caixas eletrônicos em destinos turísticos populares e em torno da Península de Yucatán no México – incluindo Cancún, Cozumel, Playa del Carmen e Tulum. Em setembro de 2019, os promotores do Distrito Sul de Nova York abriram acusações e anunciaram a prisão de 18 pessoas acusadas de dirigir uma operação de lavagem de dinheiro e skimmers em caixas eletrônicos que arrecadou US$ 20 milhões.
  6. Uma carta aberta assinada por algumas personalidades como ministros de Relações Exteriores, ex-presidentes, ganhadores do Prêmio Nobel, e diretores de empresas de tecnologia solicita ao governo e à Organização das Nações Unidas (ONU) que ajudem a impedir ataques cibernéticos direcionados a instalações médicas e de pesquisa durante a disseminação do novo coronavírus (COVID-19). De acordo com o Cybersecurity Insiders, a carta é liderada pelo CyberPeace Institute – organização estabelecida pela Microsoft, fundada em 2019, com apoio da Mastercard e da Hewlett Foundation – e apoiada pelo Comitê Internacional da Cruz Vermelha. O pedido é para que todos os governos de todo o mundo se unam no combate a ataques cibernéticos a hospitais e organizações de saúde pública. "É preciso haver um plano de regras internacionais a serem seguidas pelos governos para combater o cibercrime", acrescenta a carta. Entre os nomes que assinaram a carta está o presidente da Microsoft, Brad Smith; o dono da empresa russa de segurança cibernética Kaspersky, Eugene Kaspersky; o ex-presidente mexicano Ernesto Zedillo; o secretário geral da ONU, Ban ki-Moon; e alguns agentes da Interpol.
  7. O cavalo de tróia (trojan) AnarchyGrabber foi atualizado por cibercriminosos para roubar senhas e tokens de usuários, desativar a autenticação de dois fatores (2FA) e espalhar malware para contatos da vítima. De acordo com o BleepingComputer, esse trojan já é popular e geralmente distribuído gratuitamente em fóruns e vídeos do YouTube. O alvo dos ataques é o Discord, um aplicativo de voz projetado para comunidades de jogos. Os atacantes distribuem o trojan no Discord, fingindo ser um truque de jogo, ferramenta de hacking ou software protegido por direitos autorais, e quando instalado, os arquivos JavaScript do cliente Discord são modificadas e viram um malware que rouba o token de usuário do Discord da vítima. A nova versão do malware foi denominada AnarchyGrabber3. A única maneira de remover o malware é desinstalando e instalando o Discord novamente. Para verificar a possibilidade de estar infectado, é possível abrir o abrir o arquivo AppData%\Discord\[version]\modules\discord_desktop_core\index.js file with no Bloco de Notas e verificar se há modificações. Um arquivo normal e não modificado terá a seguinte linha única: module.exports = require('./core.asar');
  8. O aplicativo Todos Unidos, criado de maneira independente por funcionários do C6 Bank, tem como objetivo conectar pessoas nesta época de pandemia do novo coronavírus (COVID-19). Segundo artigo, o app já tem 145 projetos listados. Apesar de ter sido criado por funcionários do C6 Bank, a empresa destaca que não tem participação na iniciativa do Todos Unidos. "Os funcionários estão conduzindo o trabalho do app de maneira independente e como um projeto pessoal de voluntariado", diz o artigo. Desde instituições que assistem comunidades em situação de vulnerabilidade até pequenos negócios que buscam novas formas de seguir com as atividades, como vendedores de legumes, verduras e carnes, já cadastraram seu projeto em busca de ajuda para realizá-lo durante a crise. É possível também oferecer ajuda aos projetos por meio de doações, ou outro tipo de auxílio. O dono do projeto tem um espaço livre para escrever qual tipo de necessidade ele tem, e há ainda planos do app passar a fazer uma conexão entre a demanda e a oferta de ajuda, o que seria um mecanismo semelhante a um match de aplicativo de relacionamento. O app Todos Unidos está disponível para Android, com lançamento para iPhone previsto para esta semana.
  9. A Natura teve um vazamento de dados. O pesquisador da SafetyDetective, Anurag Sen, descobriu no mês passado que dois servidores hospedados na Amazon pertencentes à Natura estavam sem proteção. Segundo o The Hacker News, os servidores, com 272 GB e 1,3 TB de tamanho, guardavam mais de 192 milhões de registros. Os dados expostos incluem informações de identificação pessoal de 250 mil clientes, além dos cookies de login de suas contas e arquivos contendo registros dos servidores e usuários. Cerca de 90% dos usuários afetados são clientes brasileiros, embora outras nacionalidades também estejam presentes. O servidor comprometido continha logs de API de sites e sites móveis, expondo todas as informações do servidor de produção, descobriu o pesquisador. Além disso, vários "nomes de buckets da Amazon" foram mencionados no vazamento, incluindo documentos em PDF referentes a acordos formais entre várias partes. Ainda segundo a notícia, as informações vazadas também incluem detalhes da conta de pagamento Moip com tokens de acesso para quase 40 mil usuários do wirecard.com.br que o integraram às suas contas Natura. As informações pessoais sensíveis vazadas dos clientes incluem nome completo; nome de solteira da mãe; data de nascimento; nacionalidade; gênero; senhas de login com hash com sais; nome de usuário e apelido; detalhes da conta MOIP; credenciais de API com senhas não criptografadas; compras recentes; número de telefone; e-mail e endereços físicos; e token de acesso para wirecard.com.br. O servidor desprotegido também possuía um arquivo de certificado .pem secreto que contém a chave/senha do servidor Amazon EC2 onde o site Natura está hospedado. Se explorada, a chave do servidor permite que atacantes injetem diretamente um skimmer digital no site da empresa para roubar os detalhes do cartão de crédito dos usuários em tempo real. A recomendação para quem possui uma conta na Natura é manter-se vigilante contra roubo de identidade, alterar a senha da conta e acompanhar de perto as transações do cartão de pagamento para detectar sinais de qualquer atividade suspeita.
  10. Computadores de alto desempenho (HPCs) e data centers usados para projetos de pesquisa foram desligados esta semana em toda a Europa devido a ataques. Segundo o Bleeping Computer, cerca de uma dúzia desses computadores foram afetados na Alemanha, Reino Unido e na Suíça. Os supercomputadores são sistemas poderosos construídos no hardware tradicional para executar cálculos de alta velocidade, usados principalmente para trabalhos científicos e testes de modelos matemáticos para projetos físicos e matemáticos complexos. O projeto de computação de alto desempenho de Baden-Württemberg (bwHPC), na Alemanha, anunciou que o incidente de segurança indisponibilizou cinco de seus clusters, e não há prazo para a retomada das operações. Já o Serviço Nacional de Supercomputação do Reino Unido (ARCHER) ficou indisponível para os pesquisadores em 11 de maio devido à exploração de segurança em seu login. O serviço ainda está bloqueado para acesso externo. O Leibniz Supercomputing Center, centro europeu de supercomputação em Garching, notificou os usuários que um incidente de segurança afetou seus computadores de alto desempenho, levando o instituto a isolá-los do mundo exterior. O Jülich Supercomputing Center (JSC), também na Alemanha, informou que seus supercomputadores JURECA, JUDA e JUWELS ficaram indisponíveis devido a um incidente. Até o final da semana, pelo menos nove supercomputadores na Alemanha foram impactados por ataques cibernéticos. Além disso, o Centro Suíço de Computações Científicas (CSCS) informou aos seus usuários que vários computadores de alto desempenho e data centers acadêmicos não poderiam ser acessados devido a atividades maliciosas detectadas nos sistemas. O objetivo do ataque ainda não ficou claro, mas a European Grid Infrastructure (EGI), que reúne especialistas de mais de 50 países, comunicou detalhes sobre dois ataques cibernéticos atingindo data centers acadêmicos que parecem ser o trabalho do mesmo ator. Nos dois casos, o invasor usa credenciais SSH (Secure Shell) comprometidas para ir de um host para outro, além de utilizar os recursos da CPU para minerar a criptomoeda Monero.
  11. O Doom Eternal se tornou o jogo mais recente a utilizar um driver no kernel para ajudar a detectar trapaceiros em partidas multiplayer. O novo driver e ferramenta anti-fraude do jogo são da Irdeto, empresa ligada à Denuvo, conhecida por proteger contra pirataria vários jogos com sua tecnologia anti-cheat. A nova proteção Denuvo Anti-Cheat é completamente separada da tecnologia Denuvo Anti-Tamper da empresa, que usa ofuscação de código para impedir crackers. Segundo o Arstechnica, a Denuvo Anti-Cheat é uma ferramenta lançada para jogadores do Doom Eternal após "inúmeras horas e milhões de sessões de jogo" durante um programa de acesso antecipado de dois anos. O driver Denuvo Anti-Cheat não possui ícones ou telas de apresentação, permitindo que os jogadores monitorem o uso em seu sistema. A tecnologia é executada apenas quando o jogo está ativo. O uso do driver no modo kernel começa quando o jogo é iniciado, e cessa quando o jogo pausa por qualquer motivo. Os proprietários do driver destacam também que nenhum monitoramento ou coleta de dados acontece fora das partidas multiplayer, e a Denuvo não tenta manter a integridade do sistema, não bloqueia truques, mods de jogos ou ferramentas de desenvolvedor; ele apenas detecta cheats. Além disso, o driver é aparentemente mais seguro que outros que são mais expostos à Internet, já que o Denuvo Anti-Cheat não baixa código pela internet. Ou seja, os invasores não podem enviar malware para as máquinas dos jogadores ao comprometer um servidor do jogo, por exemplo.
  12. Um comunicado conjunto do Centro Nacional de Cibersegurança (NCSC) do Reino Unido e da Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos (DHS) alerta sobre a atividade contínua de grupos de APT contra organizações envolvidas no combate nacional e internacional à COVID-19. O comunicado conjunto detalha a exploração da pandemia do novo coronavírus por cibercriminosos e grupos de APT, com uma atualização das atividades de cibercriminosos em andamento relacionadas à pandemia. O alvo dos ataques incluem órgãos de saúde, empresas farmacêuticas, universidades, organizações de pesquisa médica e governos locais. Segundo as agências, os atacantes têm o objetivo de coletar informações pessoais em massa provenientes dessas organizações, além de roubar propriedade intelectual e inteligência alinhadas às prioridades nacionais. "A pandemia provavelmente levantou requisitos adicionais para os atores de APT coletarem informações relacionadas à COVID-19. Por exemplo, os atores podem procurar obter informações sobre políticas nacionais e internacionais de assistência médica ou adquirir dados sensíveis sobre pesquisas relacionadas ao coronavírus", diz o comunicado. Tanto o NCSC e quanto a CISA estão investigando uma série de incidentes nos quais os cibercriminosos estão mirando essas instituições. O alcance global e as cadeias de suprimentos internacionais dessas organizações aumentam a exposição a agentes maliciosos, e os atacantes veem essas cadeias de suprimentos como um elo fraco que eles podem explorar para obter acesso a alvos mais bem protegidos, segundo as agências. "Muitos elementos também foram afetados pela mudança para o trabalho remoto e novas vulnerabilidades que resultaram", complementam. Também estão ativas campanhas de password spraying em larga escala, conduzidas por grupos de APT que usam esse tipo de ataque para atingir entidades de saúde em vários países, bem como organizações internacionais de saúde. Leia o comunicado completo das agências, em inglês, com mais informações sobre os ataques.
  13. Pesquisadores da Bitdefender descobriram um malware silencioso que infecta aparelhos Android. O Mandrake, segundo a empresa de segurança, conseguiu permanecer sem ser detectado em uma loja de aplicativos oficial por mais de 4 anos, e entre suas peculiaridades está o fato de que ele faz um esforço significativo para não infectar as vítimas. "Ele escolhe um punhado de dispositivos nos quais é instalado para exploração adicional". Aparentemente, os cibercriminosos por trás da campanha instruíram o malware a evitar países onde os dispositivos comprometidos não lhes trariam nenhum retorno de interesse. O malware também usa táticas avançadas de manipulação para atrair os usuários. Por exemplo, ele redesenha o que o usuário vê na tela para sequestrar os toques, diz a Bitdefender. "O que os usuários percebem como aceitando um Acordo de Licença de Usuário Final é na verdade uma série complexa de solicitação e recebimento de permissões extremamente poderosas. Com essas permissões, o malware obtém o controle completo do dispositivo e seus dados". A empresa divulgou as informações do Mandrake em um whitepaper sobre como o malware opera, qual é seu objetivo final e como ele conseguiu ficar tanto tempo sem ser detectado. Ao ZDNet, o diretor de pesquisa e relatórios de ameaças da Bitdefender, Bogdan Botezatu, disser que o objetivo final do malware é o controle completo do dispositivo, bem como o comprometimento da conta. "Esse é um dos tipos mais potentes de malware para Android que vimos até agora", declarou. Não está claro a extensão das campanhas, mas o malware não é spam. "Estimamos o número de vítimas em dezenas de milhares para a onda atual, e provavelmente centenas de milhares ao longo de todo o período de quatro anos", afirmou a empresa. 😬
  14. A Microsoft começou a lançar ontem as atualizações de segurança da Patch Tuesday de maio de 2020. Segundo o ZDNet, a empresa corrigiu 111 vulnerabilidades em 12 produtos diferentes, do Edge ao Windows e do Visual Studio, ao .NET Framework. A Microsoft informou que as atualizações do Windows 10 são cumulativas e que a versão mensal de segurança inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10. O portal oficial do Guia de Atualização de Segurança da Microsoft listou todas as atualizações de segurança em uma tabela filtrável.
  15. A Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos publicou nesta terça-feira, 12 de maio, detalhes sobre três tipos de malware que supostamente foram usados por cibercriminosos patrocinados pelo governo da Coréia do Norte para atacar alvos em todo o mundo. Os malwares são: COPPERHEDGE; TAINTEDSCRIBE; e PEBBLEDASH. Segundo o ZDNet, COPPERHEDGE é um trojan (cavalo de tróia) de acesso remoto (RAT) capaz de executar comandos arbitrários, realizar reconhecimento do sistema e extrair dados, sendo que seis variantes diferentes foram identificadas. O TAINTEDSCRIBE também é um trojan que é instalado em sistemas invadidos para receber e executar comandos do invasor. Essas amostras usam o FakeTLS para autenticação de sessão e criptografia de rede utilizando um algoritmo Linear Feedback Shift Register (LFSR). O principal executável se disfarça do Narrador da Microsoft. Já o PEBBLEDASH é outro trojan com a capacidade de baixar, carregar, excluir e executar arquivos; habilitar o acesso das Interface de linha de comandos do Windows; criar e encerrar processos; e executar a enumeração do sistema de destino. O anúncio coincidiu com o aniversário de três anos do ransomware WannaCry, que as autoridades americanas também alegam ter sido criado em Pyongyang.
×
×
  • Create New...