Bruna Chieco

A analista de malware polonesa hasherezade atualizou duas de suas ferramentas de engenharia reversa/análise de malware. O PE-Sieve é uma ferramenta que analisa processos, identifica possíveis atividades maliciosas e faz o dump das atividades em questão, tais como Injeção de Processo, Process Hollowing, Hooking, shellcodes, dentre outros patches em memória. Esta ferramenta tem como objetivo ser leve e rodar em um processo de cada vez, mas ainda assim é possível utilizá-la como uma biblioteca e importar suas funções da forma que quiser. Veja as principais atualizações realizadas na PE-Sieve: Novo Parâmetro: /refl permite que você procure por process reflection antes de escanear o processo. Suporta escanear arquivos PE que não possuam seções (packeados com o Crinkler, por exemplo) (Issue #46) Permite que o PE-Sieve seja compilado como uma biblioteca estática. Obter o report sobre os hooks mesmo se o dumping dos módulos falhar. Além das novas funcionalidades também houve a correção de alguns bugs. Veja o change log completo. Já o hollows_hunter é uma ferramenta que utiliza o PE-Sieve como biblioteca para verificar todos os processos em execução e identificar possíveis patches em memória. Enquanto o PE-Sieve foca na análise unitária dos módulos, o hollows_hunter é a melhor solução para escanear todo o sistema. Entre as principais atualizações realizadas nesta ferramenta estão: Escaneia caves em memória. Correção na opção /mignore (utilizada para filtrar quais módulos não serão escaneados pela ferramenta). Acesse o changelog completo. E se você curte análise de malware e quer aprender mais sobre o assunto, está rolando o nosso curso AMO – Análise de Malware Online. Já estamos na Aula 08. Dá uma olhada:

O WhatsApp anunciou que a partir desta segunda-feira, 15 de junho, o recurso de pagamentos está liberado para usuários do Brasil. A ferramenta permite o envio de dinheiro, além de realização de pagamentos no comércio local diretamente por meio de conversas no app. "Com o recurso de pagamentos no WhatsApp, além de ver os produtos no catálogo, os clientes também poderão fazer o pagamento do produto escolhido sem sair do WhatsApp. Ao simplificar o processo de pagamento, esperamos ajudar a trazer mais empresas para a economia digital e gerar mais oportunidades de crescimento", diz o comunicado. A princípio, os usuários poderão utilizar cartões de débito e crédito das bandeiras Visa e Mastercard emitidos pelo Banco do Brasil, Nubank e Sicredi. A entrada de mais participantes está prevista para o futuro. "Um dos pilares da criação do recurso de pagamentos é a segurança, e para evitar transações não autorizadas, será necessário informar um PIN de 6 dígitos ou usar a biometria do celular para autorizar cada transação", informa o WhatsApp. Exemplo do serviço (Fonte: Blog do WhatsApp) Segurança – Será que é seguro iniciar um serviço de envio de dinheiro pelo WhatsApp no Brasil? A engenharia social ainda é um problema que área de segurança deve lidar já que, independentemente de sistemas computacionais, software ou plataformas utilizadas, o elemento mais vulnerável de qualquer sistema é o ser humano. Muitos problemas de crimes ou golpes envolvendo extorsão estão ligados à manipulação psicológica de pessoas para a execução de ações ou divulgação informações confidenciais. Até mesmo em instituições financeiras que utilizam de todas as ferramentas de segurança possíveis, como token, autenticação multifator (2FA), etc., os criminosos conseguem, com engenharia social, pegar dados das vítimas ou extorqui-las para receberem dinheiro. Saiba mais sobre esse tipo de golpe, que já relatamos aqui no Mente Binária e serve como alerta, e veja também como se proteger desses riscos.

A Honda confirmou que um ciberataque paralisou parte de suas operações. No dia 8 de junho, a companhia publicou no Twitter que o atendimento ao cliente enfrentava dificuldades técnicas e estavam indisponíveis. Após divulgar o comunicado, a companhia não atualizou mais o status da operação. De acordo com o TechCrunch, um relatório anterior sugere que o ransomware Snake é o provável causador do problema. O Snake, mantém arquivos reféns de um resgate, que deve ser pago em criptomoeda. Mas a Honda disse não haver evidências que seus dados foram exfiltrados. Apesar de não ter sinalizado se, de fato, a paralisação ocorreu por um ataque de ransomware, um analista de ameaças da empresa de segurança Emsisoft disse ao TechCrunch que uma amostra do malware que criptografa arquivos foi carregada no VirusTotal – serviço de análise de malware – fazendo referência a um subdomínio interno da Honda. O ransomware é uma ameaça perigosa, e seus ataques têm sido cada vez mais sofisticados e comuns. Nesse vídeo, explicamos um pouco sobre como eles funcionam e o que fazer em caso de infecção:

A pandemia do novo coronavírus (COVID-19) gerou um impacto negativo sobre muitas empresas. Para se resguardar e se manter de pé, algumas acabaram demitindo parte de seus funcionários, impactando, assim, o mercado de trabalho. Por outro lado, há alguns profissionais serão cada vez mais requisitados, especialmente na área de tecnologia, e um deles é o profissional de cibersegurança. Segundo essa reportagem do InfoMoney, que conversou com especialistas em recrutamento e seleção, em recursos humanos e na área de educação, cibersegurança está entre as 10 profissões que vêm ganhando destaque, seguida pelo profissional de customer experience e pelo especialista em nuvem, ambos atuando também na área de tecnologia. Na verdade, a área já estava em alta antes da crise, e agora ainda mais, já que a necessidade da segurança em tecnologia se tornou um fato principalmente após a migração de processos das empresas para o home office. A segurança dos dados das companhias é um assunto que tende a ser ainda mais abordado também com o advento da Lei Geral de Proteção de Dados (LGPD). Ou seja, tudo converge para uma necessidade de mais profissionais de cibersegurança capacitados para atender a essa demanda! Se você gostaria de atuar nessa área, mas acredita que ainda não tem conhecimento o suficiente, pode começar a pensar em se especializar mesmo durante essa fase de isolamento social. Sabemos da dificuldade em encontrar cursos para a área de segurança, que tem bastante nuances. Há materiais disponíveis por aí, mas nem tantos em língua portuguesa e de qualidade. Nós, do Mente Binária, tentamos suprir esse gap entre as necessidades da área e o ensino brasileiro por meio de treinamentos gratuitos. Também estamos constantemente produzindo conteúdo por meio de artigos e notícias. Temos ainda um livro sobre Engenharia Reversa para quem quer adentrar nesse universo. E aí vai uma dica: Se ainda assim você não sabe nem por onde começar, e quer muito aproveitar esses dias de distanciamento social para se especializar, esse vídeo dá dicas sobre algumas coisas que são necessárias para sentar na cadeira e começar a estudar, de maneira efetiva:

Depois de 15 anos, foi lançada uma nova versão do txt2regex, um assistente de expressão regular para a linha de comando. Com ele, é possível criar expressões regulares, com pouco ou nenhum conhecimento, respondendo a perguntas em uma interface interativa simples, baseada em texto. O txt2regex é um único script de shell feito 100% com comandos internos do bash. O único requisito é o próprio bash, pois nenhum comando como grep, find, sed ou qualquer outro do sistema é usado. A versão 0.9, lançada em 21 de maio, traz, dentre outras, as seguintes novidades: Adicionado suporte a expressões regulares CHICKEN Novo testador de expressões regulares que roda os programas em um container Docker. Usando expressão regulares especialmente escritas para o testador, ele verifica como os programas se comportam na "vida real". Isso remove a necessidade de testes manuais ou de ter que ler a documentação do programa sobre expressões regulares. Veja o change log completo. O autor do txt2regex é Aurelio Jargas. Além de criar o programa ele também é escritor, e lançou um dos melhores livros sobre regex encontrados em língua portuguesa: Expressões Regulares - Uma abordagem divertida. E você também pode assistir ao vídeo sobre grep, publicado pelo Mente Binária, e entender um pouco mais sobre o assunto:

Uma variante do malware Tekya foi descoberta pela Trend Micro e continua atacando aplicativos do Google Play. A primeira versão do malware foi encontrada pela CheckPoint em março, e era utilizada para realizar fraudes em anúncios. Desde então, esses aplicativos foram removidos da loja, mas cinco apps maliciosos carregam a variante recentemente descoberta. Os aplicativos já foram removidos, mas a variante do Tekya compartilha muitas semelhanças com a versão encontrada anteriormente. Uma das semelhanças é que a criptografia permanece essencialmente idêntica; os mesmos algoritmos e chaves são usados nas duas versões, diz a Trend Micro. Mas nessa variante, o malware registra um receptor que responde às ações "com.tenjin.RECEIVE" ou "android.intent.action.BOOT_COMPLETED". A última ação dá ao malware a capacidade de ativar após a inicialização do dispositivo. Código de criptografia da nova versão do Tekya. (Fonte: Trend Micro) O Tekya teria como alvo até 11 redes de publicidade, incluindo Admob, Facebook e Unity. Os anúncios dessas redes seriam exibidos e os movimentos de toque do usuário copiados pelo InputManager. Assim, o Tekya tenta convencer as vítimas que esses anúncios foram abertos por outros aplicativos, alterando seu ícone e rótulo. Vários desses aplicativos no Google Play estavam infectados, mas o Google os removeu enquanto a pesquisa da Trend Micro estava em andamento. A companhia de segurança continua procurando ameaças semelhantes que possam surgir por aí. Veja a análise completa do malware, em inglês, aqui.

Pesquisadores de segurança encontraram uma vulnerabilidade que afeta quase todas as versões do Android. Segundo o TechCrunch, a falha é chamada StrandHogg 2.0 (CVE-2020-0096) e permite que malwares imitem aplicativos legítimos para roubar senhas e outros dados confidenciais. De acordo com a empresa de segurança Promon, o StrandHogg 2.0 funciona enganando a vítima, que pensa estar inserindo suas senhas em um aplicativo legítimo. A falha também permite o roubo de outras permissões de aplicativos para extrair dados confidenciais do usuário, como contatos, fotos, além de rastrear a localização em tempo real da vítima. Quando uma vítima digita sua senha na sobreposição falsa, suas senhas são desviadas para os servidores do cibercriminoso. O StrandHogg 2.0 não precisa de permissões do Android para ser executado. O bug é "quase indetectável", segundo depoimento de Tom Tech Lysemose Hansen, fundador e diretor de tecnologia da Promon, ao TechCrunch, mas não há evidências de que cibercriminosos o tenham em campanhas ativas. Ainda assim, "não há boas maneiras" de detectar um ataque. O Google lançou um boletim com correções da vulnerabilidade classificada como crítica. Além disso, o Google Play Protect, um serviço de triagem de aplicativos embutido em dispositivos Android, passou a bloquear os aplicativos que exploram a vulnerabilidade StrandHogg 2.0. Atualizar os dispositivos Android com as mais recentes atualizações de segurança corrige a vulnerabilidade.

No último dia 31 de maio, foi lançada a v2.13.0b3 do HexFiend, um editor hexadecimal para macOS. O programa de código aberto permite: Inserir, deletar e rearranjar bites nos arquivos, trabalhando arquivos de vários tamanhos. Ele possui uma capacidade de diferenciação de binários, mostrando a diferença entre arquivos, levando em consideração inserções e deleções. Basta abrir dois arquivos e ir no menu File > Compare. Ele ainda interpreta dados como inteiros ou pontos flutuantes, com ou sem sinal, big ou little endian. Dá suporte à templates, dando visualização de estruturas de arquivos com suporte a scripting. Mais detalhes na documentação do projeto. O que mudou no HexFiend? Entre as principais mudanças da versão v2.13.0b3 estão: Adicionada a preferência para controlar um agrupamento de bytes quando copiando dados como hexadecimal. Adicionado suporte a encodings personalizados de 2 bytes. Adicionados comandos para ler dados de data e hora de sistemas de arquivos FAT (File Allocation Table). Melhorias no destaque em cores dos bytes para o "Dark Mode" do macOS. Veja o change log completo e faça o download neste link. Se você quiser entender para que serve um editor hexadecimal, pode assistir ao vídeo sobre Visualizadores Hexadecimais no nosso canal:

No último sábado, 30 de maio, foi realizada a terceira versão da MBConf@Home. A conferência on-line, promovida pelo Mente Binária, foi criada para disseminar conteúdo sobre segurança da informação durante o período de isolamento social causado pela pandemia do novo coronavírus (COVID-19). Fernando Mercês abriu o evento destacando que o objetivo desse projeto é suprir o gap entre a educação oferecida na área e as necessidades de profissionais qualificados o mercado tem. "Notamos que a universidade, os estudos, a educação não são o suficiente para a área de segurança, que tem bastante nuances. E a gente tenta suprir", disse. "A MBConf@Home surgiu durante a quarentena, pois deveríamos ter eventos na área no primeiro semestre, e felizmente tivemos outros também", complementou Mercês. O MBConf@Home v3 levou quatro palestrantes do setor para falar sobre suas experiências em decodificação e exploração de malwares. É possível assistir a todo o evento através do canal do Mente Binária no Youtube. Aqui, a gente traz um resumo do que rolou. Decodificando malwares web: uma história de dor e sofrimento Fio Cavallari, que é Threat Research Manager na GoDaddy, abriu a grade de palestras falando sobre desofuscação de malware web. Fio "cutuca" malware desde 2003, e é focado em web malware desde 2012. Segundo ele, PHP e JavaScript dominam a Internet. "Você sempre vai ver malware escrito em PHP e em JavaScript. Isso porque eles têm uma linguagem muito simples. A diferença entre o código vulnerável e o malicioso é a intenção", disse. Ele deu um exemplo de um código malicioso que foi, de fato, detectado em PHP e explicou ainda como funciona a ofuscação do código, com objetivo de confundir, tirando a atenção de quem não é familiarizado com o código. "Ao limpar, é possível verificar a intenção do código. Mas para confundir, dá para incluir, por exemplo, strings em base64". Ele demonstrou como é possível usar técnicas para evitar uma detecção por um antivírus, por exemplo. Ele destrinchou um código ofuscado em PHP e mostrou como identificar se um código é ou não malicioso. "Trabalhar com strings, inclusive usando base64, é importante para identificar pontos comuns entre malware e código válido, mas mesmo assim, a chance de gerar um falso positivo é grande", disse Cavallari. Ele ainda ensinou técnicas de desofuscação a partir de ferramentas como Sucuri decoder; ddecode; unphp.net, entre outras. Fio deixou ainda um desafio para quem quiser tentar uma vaga no time de pesquisa de vulnerabilidades e malware da GoDaddy: http://x.co/mbconf2020 Técnicas de ofuscação de malware em Windows Seguindo a mesma linha da primeira palestra, Thiago Marques, que é Security Researcher no Kaspersky Lab, demonstrou as técnicas que criadores de malware têm utilizado para ofuscar seus códigos no Windows. Thiago compartilhou um conteúdo completo em um post de 2016 publicado no sercurelist.com. "As técnicas utilizadas continuam a funcionar da mesma forma, basta saber como realizar a análise para poder aplicá-la em vários cenário", disse. Ele fez ao vivo uma desofuscação de malware para Windows (x86) utilizando o IDA. Segundo Thiago, antigamente, era possível analisar um malware com um funcionamento dentro das strings, e hoje é difícil encontrar um malware que nao tenha algum tipo de ofuscação, seja de string ou de código, e a criação de scripts faz você criar ferramentas que ajudam em análises futuras. "É um tempo que você gasta, mas aquilo vai te servir por muito tempo. É quase uma obrigatoriedade a criação de scripts para que poder seguir com a análise". Na conclusão, Thiago reiterou que desenvolvedores de malware sempre irão buscar novas formas para dificultar a análise. Ele alertou ainda que o uso de detecções de ambiente muitas vezes atrapalham a análise dinâmica. "A criação de scripts e ferramentas são praticamente obrigatórios em muitos casos", destacou. Análise de malware automatizada em larga escala com Aleph Para falar do projeto Aleph, que envolve threat hunting com big data e análise de malware automatizada, foi convidado o pesquisador de segurança Jan Seidl. O projeto do Aleph começou em 2010, quando ainda era um monte de script em bash, e a ideia foi sempre a mesma: ter um pipeline onde se coloca um malware numa ponta e a análise sai na outra. "A premissa do Aleph é automatizar o processo inicial de triagem de um arquivo", explicou Jan. Segundo ele, para quem não trabalha com análise de malware diariamente, a ferramenta pode ajudar. "Venho de um background de programação, era um desenvolvedor sênior, e muitos conceitos estavam na minha cabeça. Como profissional de segurança, segui desenvolvendo ferramentas para o meu trabalho e para os meus colegas", disse. "A motivação da criação do Aleph foi baixar o nível requerido de conhecimento técnico para pesquisadores ingressarem no mundo da engenharia reversa", complementou A nova versão do Aleph segue o estilo batteries included, com inteligência sobre a informação incluída no relatório. "O Aleph nunca substitui o pesquisador, mas economiza tempo na análise de arquivos suspeitos por times, principalmente com um arquivo desconhecido", reiterou Jan. O Aleph era um bash script monolítico, e a segunda versão foi criada para ser multiprocesso, escalada. Ele usa o Celery como base e é feito em Python para usar aplicação distribuída. Jan mostrou ainda um screenshot da parte do código onde é possível configurar filas. O Aleph é ainda multiplataforma, podendo ser usado de maneira que rode ferramentas em cada um dos sistemas operacionais. Segundo Jan, o Aleph teve também que ser reconstruído para ser mais modular. "Ele é uma grande experimentação ao longo de anos, e nem tudo está decidido sobre as tecnologias utilizadas. Cada um dos componentes tem uma interface falando e linguagem de orientação". É também possível escolher a tecnologia que mais agrada ao pesquisador. O Aleph é distribuído e escalável, e faz o data science em cima do malware. "Ainda faltam testes, acertos no código, debug em geral, colocar mais gerenciamento de login, mais sistemas de usuário, fazer correção na própria interface, mais analisadores, etc. Tem muita ideia para o futuro", complementou. Modern Windows Exploitation - A Tale of a CVE Bruno Oliveira, mestre em engenharia de computação e Principal Security Consultant no SpiderLabs da Trustwave, encerrou o ciclo de palestras abordando o CVE-2020-0796 e fazendo a análise técnica da vulnerabilidade do SMBv3. Ele também revisou o patch, identificado os bugs relacionados no código e caracterizando os desafios da exploração. Bruno mostrou a análise do patch para observar características que facilitem a compreensão da vulnerabilidade, identificou a vulnerabilidade, construiu uma prova de conceito para que se tenha um efeito desejado sobre o sistema, partindo para exploração. Ele contou como explorou o CVE-2020-0796. "Identificamos que qualquer usuário da Microsoft poderia explorar o servidor SMBv3", disse. "A primeira coisa foi comparar os drivers responsáveis, a versão vulnerável com a patcheada". Após conhecer o binário responsável pelo servidor, Bruno viu que é possível descompactar o patch, pegar um arquivo com versão vulnerável, e fazer a comparação. Ele mostrou ainda que a primeira PoC (Proof of Concept ou Prova de Conceito) que surgiu demonstrou onde exatamente ficava a vulnerabilidade. "Quis trazer a metodologia usada para a análise de 1-day vulnerability, como baixar o patch e olhar qual das funções foram corrigidas, e o que, dentro da função, foi corrigido, além do que parece ser a vulnerabilidade e todo o aspecto e metodologia trazida, desde a análise até olhar o protocolo do caso", explicou, "Tudo demanda conhecimento específico sobre o que você está explorando", complementou. Se quiser tirar dúvidas com os palestrantes, basta entrar no fórum do Mente Binária e fazer seus comentários sobre cada palestra. Lá você também pode votar nos assuntos da próxima! ?

Com a pandemia do novo coronavírus (COVID-19), o uso de máscaras ampliou, e as empresas de reconhecimento facial estão se esforçando para acompanhar essa nova tendência. As máscaras faciais cobrem uma parte significativa do que o reconhecimento facial precisa para identificar e detectar pessoas. Segundo o CNet, fotos de pessoas mascaradas são utilizadas por essas empresas para treinar seus algoritmos e adaptá-los ao momento atual. Em abril, pesquisadores publicaram o COVID19 Mask Image Dataset no Github, usando mais de 1,2 mil imagens coletadas do Instagram. Um mês antes, pesquisadores da China compilaram um banco de dados com mais de 5 mil fotos de pessoas mascaradas que foram coletadas on-line. Empresas de reconhecimento facial já utilizavam imagens das pessoas sem consentimento para treinar seus algoritmos. Os defensores da liberdade civil afirmam que a tecnologia de reconhecimento facial ameaça a privacidade e a liberdade de expressão, alertando também que quase não existem leis que impeçam o abuso das ferramentas de vigilância. Alguns provedores de reconhecimento facial passaram também a pedir a seus funcionários que enviem selfies com máscara, além de editar máscaras em cima das fotos que eles já possuem para testar algoritmos de reconhecimento facial. As empresas também precisam de um conjunto diversificado de imagens para que os algoritmos possam reconhecer melhor mulheres, pessoas de diferentes idades, ou até uma variedade de tipos de máscara. ?

Os ataques de ransomware tiveram um crescimento grande nos últimos dois anos, com os ciberatacantes ampliando suas operações a tal ponto que a demanda média de resgate aumentou mais de 10 vezes em um ano. As informações são do BleepingComputer. Segundo a publicação, existe mais de uma dúzia de operadoras de ransomware como serviço (RaaS), cada uma com uma série de afiliadas que se concentram em alvos empresariais em todo o mundo. Um relatório da empresa de segurança cibernética Group-IB analisa como essa ameaça mudou em apenas um ano desde 2018. Os atacantes começaram a roubar arquivos das vítimas antes da criptografia para aumentar a alavancagem e forçar um pagamento. De acordo com o relatório, os ataques de ransomware aumentaram 40% em 2019, e o foco em metas maiores elevou o preço do resgate de US$ 6 mil para US$ 84 mil. Em 2020, o valor aumentou ainda mais. Dados da Coveware mostram que a média no primeiro trimestre do ano foi de US$ 111,6 mil, sendo que há casos em que as demandas de resgate chegam a US$ 1 milhão. As famílias de ransomware mais gananciosas são a Ryuk e o REvil, também conhecido como Sodin ou Sodinokibi. Entre as técnicas de ataque mais comuns está o comprometimento via kits de exploração (EKs), serviços remotos externos (principalmente RDP) e spear phishing. As redes que distribuem e-mails maliciosos como Emotet, Trickbot (Ryuk) ou QakBot (ProLock, MegaCortex) são usadas para acessar a rede de destino. Os alvos mais valiosos são a cadeia de suprimentos. Os atacantes também aproveitam a exploração de vulnerabilidades não corrigidas em aplicativos voltados ao público ou comprometimento de MSPs (Provedores de Serviços Gerenciados). Os criminosos também começaram a vazar arquivos roubados das vítimas caso não recebessem o resgate. Pelo menos 12 operadores de ransomware têm sites de vazamento onde publicam dados roubados das vítimas, enquanto outros usam fóruns para compartilhar links para download.

Um grupo de romenos é suspeito de subornar técnicos para instalar skimmers – o famoso "chupa-cabra" de cartão de crédito – sofisticados baseados em Bluetooth em caixas eletrônicos no México. Segundo o KrebsOnSecutiry, os suspeitos estão sob proteção legal de um alto funcionário anticorrupção do escritório do procurador-geral do México. As informações foram divulgadas pelo jornal mexicano Reforma. Autoridades federais, estaduais e municipais do México entraram com uma queixa, pois aparentemente, um dos chefe do Ministério Público Especial do México, responsável pelo combate à corrupção, tem um conflito de interesses inerente porque seu irmão escoltou e advogou a favor do renomado chefe de um sindicato romeno do crime, que foi acusado de administrar uma rede de skimmers de caixas eletrônicos. O acusado atende por Florian Tudor. O KrebsOnSecurity apurou em 2015 que Tudor esteve envolvido em atividades de uma quadrilha de criminosos que, segundo boatos, subornava ou coagia técnicos de caixas eletrônicos a instalar "chupa-cabra" baseado em Bluetooth em caixas eletrônicos em destinos turísticos populares e em torno da Península de Yucatán no México – incluindo Cancún, Cozumel, Playa del Carmen e Tulum. Em setembro de 2019, os promotores do Distrito Sul de Nova York abriram acusações e anunciaram a prisão de 18 pessoas acusadas de dirigir uma operação de lavagem de dinheiro e skimmers em caixas eletrônicos que arrecadou US$ 20 milhões.

Uma carta aberta assinada por algumas personalidades como ministros de Relações Exteriores, ex-presidentes, ganhadores do Prêmio Nobel, e diretores de empresas de tecnologia solicita ao governo e à Organização das Nações Unidas (ONU) que ajudem a impedir ataques cibernéticos direcionados a instalações médicas e de pesquisa durante a disseminação do novo coronavírus (COVID-19). De acordo com o Cybersecurity Insiders, a carta é liderada pelo CyberPeace Institute – organização estabelecida pela Microsoft, fundada em 2019, com apoio da Mastercard e da Hewlett Foundation – e apoiada pelo Comitê Internacional da Cruz Vermelha. O pedido é para que todos os governos de todo o mundo se unam no combate a ataques cibernéticos a hospitais e organizações de saúde pública. "É preciso haver um plano de regras internacionais a serem seguidas pelos governos para combater o cibercrime", acrescenta a carta. Entre os nomes que assinaram a carta está o presidente da Microsoft, Brad Smith; o dono da empresa russa de segurança cibernética Kaspersky, Eugene Kaspersky; o ex-presidente mexicano Ernesto Zedillo; o secretário geral da ONU, Ban ki-Moon; e alguns agentes da Interpol.

O cavalo de tróia (trojan) AnarchyGrabber foi atualizado por cibercriminosos para roubar senhas e tokens de usuários, desativar a autenticação de dois fatores (2FA) e espalhar malware para contatos da vítima. De acordo com o BleepingComputer, esse trojan já é popular e geralmente distribuído gratuitamente em fóruns e vídeos do YouTube. O alvo dos ataques é o Discord, um aplicativo de voz projetado para comunidades de jogos. Os atacantes distribuem o trojan no Discord, fingindo ser um truque de jogo, ferramenta de hacking ou software protegido por direitos autorais, e quando instalado, os arquivos JavaScript do cliente Discord são modificadas e viram um malware que rouba o token de usuário do Discord da vítima. A nova versão do malware foi denominada AnarchyGrabber3. A única maneira de remover o malware é desinstalando e instalando o Discord novamente. Para verificar a possibilidade de estar infectado, é possível abrir o abrir o arquivo AppData%\Discord\[version]\modules\discord_desktop_core\index.js file with no Bloco de Notas e verificar se há modificações. Um arquivo normal e não modificado terá a seguinte linha única: module.exports = require('./core.asar');

O aplicativo Todos Unidos, criado de maneira independente por funcionários do C6 Bank, tem como objetivo conectar pessoas nesta época de pandemia do novo coronavírus (COVID-19). Segundo artigo, o app já tem 145 projetos listados. Apesar de ter sido criado por funcionários do C6 Bank, a empresa destaca que não tem participação na iniciativa do Todos Unidos. "Os funcionários estão conduzindo o trabalho do app de maneira independente e como um projeto pessoal de voluntariado", diz o artigo. Desde instituições que assistem comunidades em situação de vulnerabilidade até pequenos negócios que buscam novas formas de seguir com as atividades, como vendedores de legumes, verduras e carnes, já cadastraram seu projeto em busca de ajuda para realizá-lo durante a crise. É possível também oferecer ajuda aos projetos por meio de doações, ou outro tipo de auxílio. O dono do projeto tem um espaço livre para escrever qual tipo de necessidade ele tem, e há ainda planos do app passar a fazer uma conexão entre a demanda e a oferta de ajuda, o que seria um mecanismo semelhante a um match de aplicativo de relacionamento. O app Todos Unidos está disponível para Android, com lançamento para iPhone previsto para esta semana.

A Natura teve um vazamento de dados. O pesquisador da SafetyDetective, Anurag Sen, descobriu no mês passado que dois servidores hospedados na Amazon pertencentes à Natura estavam sem proteção. Segundo o The Hacker News, os servidores, com 272 GB e 1,3 TB de tamanho, guardavam mais de 192 milhões de registros. Os dados expostos incluem informações de identificação pessoal de 250 mil clientes, além dos cookies de login de suas contas e arquivos contendo registros dos servidores e usuários. Cerca de 90% dos usuários afetados são clientes brasileiros, embora outras nacionalidades também estejam presentes. O servidor comprometido continha logs de API de sites e sites móveis, expondo todas as informações do servidor de produção, descobriu o pesquisador. Além disso, vários "nomes de buckets da Amazon" foram mencionados no vazamento, incluindo documentos em PDF referentes a acordos formais entre várias partes. Ainda segundo a notícia, as informações vazadas também incluem detalhes da conta de pagamento Moip com tokens de acesso para quase 40 mil usuários do wirecard.com.br que o integraram às suas contas Natura. As informações pessoais sensíveis vazadas dos clientes incluem nome completo; nome de solteira da mãe; data de nascimento; nacionalidade; gênero; senhas de login com hash com sais; nome de usuário e apelido; detalhes da conta MOIP; credenciais de API com senhas não criptografadas; compras recentes; número de telefone; e-mail e endereços físicos; e token de acesso para wirecard.com.br. O servidor desprotegido também possuía um arquivo de certificado .pem secreto que contém a chave/senha do servidor Amazon EC2 onde o site Natura está hospedado. Se explorada, a chave do servidor permite que atacantes injetem diretamente um skimmer digital no site da empresa para roubar os detalhes do cartão de crédito dos usuários em tempo real. A recomendação para quem possui uma conta na Natura é manter-se vigilante contra roubo de identidade, alterar a senha da conta e acompanhar de perto as transações do cartão de pagamento para detectar sinais de qualquer atividade suspeita.

Computadores de alto desempenho (HPCs) e data centers usados para projetos de pesquisa foram desligados esta semana em toda a Europa devido a ataques. Segundo o Bleeping Computer, cerca de uma dúzia desses computadores foram afetados na Alemanha, Reino Unido e na Suíça. Os supercomputadores são sistemas poderosos construídos no hardware tradicional para executar cálculos de alta velocidade, usados principalmente para trabalhos científicos e testes de modelos matemáticos para projetos físicos e matemáticos complexos. O projeto de computação de alto desempenho de Baden-Württemberg (bwHPC), na Alemanha, anunciou que o incidente de segurança indisponibilizou cinco de seus clusters, e não há prazo para a retomada das operações. Já o Serviço Nacional de Supercomputação do Reino Unido (ARCHER) ficou indisponível para os pesquisadores em 11 de maio devido à exploração de segurança em seu login. O serviço ainda está bloqueado para acesso externo. O Leibniz Supercomputing Center, centro europeu de supercomputação em Garching, notificou os usuários que um incidente de segurança afetou seus computadores de alto desempenho, levando o instituto a isolá-los do mundo exterior. O Jülich Supercomputing Center (JSC), também na Alemanha, informou que seus supercomputadores JURECA, JUDA e JUWELS ficaram indisponíveis devido a um incidente. Até o final da semana, pelo menos nove supercomputadores na Alemanha foram impactados por ataques cibernéticos. Além disso, o Centro Suíço de Computações Científicas (CSCS) informou aos seus usuários que vários computadores de alto desempenho e data centers acadêmicos não poderiam ser acessados devido a atividades maliciosas detectadas nos sistemas. O objetivo do ataque ainda não ficou claro, mas a European Grid Infrastructure (EGI), que reúne especialistas de mais de 50 países, comunicou detalhes sobre dois ataques cibernéticos atingindo data centers acadêmicos que parecem ser o trabalho do mesmo ator. Nos dois casos, o invasor usa credenciais SSH (Secure Shell) comprometidas para ir de um host para outro, além de utilizar os recursos da CPU para minerar a criptomoeda Monero.

O Doom Eternal se tornou o jogo mais recente a utilizar um driver no kernel para ajudar a detectar trapaceiros em partidas multiplayer. O novo driver e ferramenta anti-fraude do jogo são da Irdeto, empresa ligada à Denuvo, conhecida por proteger contra pirataria vários jogos com sua tecnologia anti-cheat. A nova proteção Denuvo Anti-Cheat é completamente separada da tecnologia Denuvo Anti-Tamper da empresa, que usa ofuscação de código para impedir crackers. Segundo o Arstechnica, a Denuvo Anti-Cheat é uma ferramenta lançada para jogadores do Doom Eternal após "inúmeras horas e milhões de sessões de jogo" durante um programa de acesso antecipado de dois anos. O driver Denuvo Anti-Cheat não possui ícones ou telas de apresentação, permitindo que os jogadores monitorem o uso em seu sistema. A tecnologia é executada apenas quando o jogo está ativo. O uso do driver no modo kernel começa quando o jogo é iniciado, e cessa quando o jogo pausa por qualquer motivo. Os proprietários do driver destacam também que nenhum monitoramento ou coleta de dados acontece fora das partidas multiplayer, e a Denuvo não tenta manter a integridade do sistema, não bloqueia truques, mods de jogos ou ferramentas de desenvolvedor; ele apenas detecta cheats. Além disso, o driver é aparentemente mais seguro que outros que são mais expostos à Internet, já que o Denuvo Anti-Cheat não baixa código pela internet. Ou seja, os invasores não podem enviar malware para as máquinas dos jogadores ao comprometer um servidor do jogo, por exemplo.

Um comunicado conjunto do Centro Nacional de Cibersegurança (NCSC) do Reino Unido e da Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna dos Estados Unidos (DHS) alerta sobre a atividade contínua de grupos de APT contra organizações envolvidas no combate nacional e internacional à COVID-19. O comunicado conjunto detalha a exploração da pandemia do novo coronavírus por cibercriminosos e grupos de APT, com uma atualização das atividades de cibercriminosos em andamento relacionadas à pandemia. O alvo dos ataques incluem órgãos de saúde, empresas farmacêuticas, universidades, organizações de pesquisa médica e governos locais. Segundo as agências, os atacantes têm o objetivo de coletar informações pessoais em massa provenientes dessas organizações, além de roubar propriedade intelectual e inteligência alinhadas às prioridades nacionais. "A pandemia provavelmente levantou requisitos adicionais para os atores de APT coletarem informações relacionadas à COVID-19. Por exemplo, os atores podem procurar obter informações sobre políticas nacionais e internacionais de assistência médica ou adquirir dados sensíveis sobre pesquisas relacionadas ao coronavírus", diz o comunicado. Tanto o NCSC e quanto a CISA estão investigando uma série de incidentes nos quais os cibercriminosos estão mirando essas instituições. O alcance global e as cadeias de suprimentos internacionais dessas organizações aumentam a exposição a agentes maliciosos, e os atacantes veem essas cadeias de suprimentos como um elo fraco que eles podem explorar para obter acesso a alvos mais bem protegidos, segundo as agências. "Muitos elementos também foram afetados pela mudança para o trabalho remoto e novas vulnerabilidades que resultaram", complementam. Também estão ativas campanhas de password spraying em larga escala, conduzidas por grupos de APT que usam esse tipo de ataque para atingir entidades de saúde em vários países, bem como organizações internacionais de saúde. Leia o comunicado completo das agências, em inglês, com mais informações sobre os ataques.

Pesquisadores da Bitdefender descobriram um malware silencioso que infecta aparelhos Android. O Mandrake, segundo a empresa de segurança, conseguiu permanecer sem ser detectado em uma loja de aplicativos oficial por mais de 4 anos, e entre suas peculiaridades está o fato de que ele faz um esforço significativo para não infectar as vítimas. "Ele escolhe um punhado de dispositivos nos quais é instalado para exploração adicional". Aparentemente, os cibercriminosos por trás da campanha instruíram o malware a evitar países onde os dispositivos comprometidos não lhes trariam nenhum retorno de interesse. O malware também usa táticas avançadas de manipulação para atrair os usuários. Por exemplo, ele redesenha o que o usuário vê na tela para sequestrar os toques, diz a Bitdefender. "O que os usuários percebem como aceitando um Acordo de Licença de Usuário Final é na verdade uma série complexa de solicitação e recebimento de permissões extremamente poderosas. Com essas permissões, o malware obtém o controle completo do dispositivo e seus dados". A empresa divulgou as informações do Mandrake em um whitepaper sobre como o malware opera, qual é seu objetivo final e como ele conseguiu ficar tanto tempo sem ser detectado. Ao ZDNet, o diretor de pesquisa e relatórios de ameaças da Bitdefender, Bogdan Botezatu, disser que o objetivo final do malware é o controle completo do dispositivo, bem como o comprometimento da conta. "Esse é um dos tipos mais potentes de malware para Android que vimos até agora", declarou. Não está claro a extensão das campanhas, mas o malware não é spam. "Estimamos o número de vítimas em dezenas de milhares para a onda atual, e provavelmente centenas de milhares ao longo de todo o período de quatro anos", afirmou a empresa. ?

A Microsoft começou a lançar ontem as atualizações de segurança da Patch Tuesday de maio de 2020. Segundo o ZDNet, a empresa corrigiu 111 vulnerabilidades em 12 produtos diferentes, do Edge ao Windows e do Visual Studio, ao .NET Framework. A Microsoft informou que as atualizações do Windows 10 são cumulativas e que a versão mensal de segurança inclui todas as correções de segurança para vulnerabilidades que afetam o Windows 10. O portal oficial do Guia de Atualização de Segurança da Microsoft listou todas as atualizações de segurança em uma tabela filtrável.

A Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos publicou nesta terça-feira, 12 de maio, detalhes sobre três tipos de malware que supostamente foram usados por cibercriminosos patrocinados pelo governo da Coréia do Norte para atacar alvos em todo o mundo. Os malwares são: COPPERHEDGE; TAINTEDSCRIBE; e PEBBLEDASH. Segundo o ZDNet, COPPERHEDGE é um trojan (cavalo de tróia) de acesso remoto (RAT) capaz de executar comandos arbitrários, realizar reconhecimento do sistema e extrair dados, sendo que seis variantes diferentes foram identificadas. O TAINTEDSCRIBE também é um trojan que é instalado em sistemas invadidos para receber e executar comandos do invasor. Essas amostras usam o FakeTLS para autenticação de sessão e criptografia de rede utilizando um algoritmo Linear Feedback Shift Register (LFSR). O principal executável se disfarça do Narrador da Microsoft. Já o PEBBLEDASH é outro trojan com a capacidade de baixar, carregar, excluir e executar arquivos; habilitar o acesso das Interface de linha de comandos do Windows; criar e encerrar processos; e executar a enumeração do sistema de destino. O anúncio coincidiu com o aniversário de três anos do ransomware WannaCry, que as autoridades americanas também alegam ter sido criado em Pyongyang.

O filipino Onel de Guzman admitiu, 20 anos depois, ter criado o malware Love Bug, que infectou cerca de 50 milhões de computadores Windows ao redor do mundo em 2000. A pandemia do bug do amor começou em maio daquele ano. Conforme relembra a BBC, as vítimas receberam um anexo de e-mail intitulado LOVE-LETTER-FOR-YOU, que continha código malicioso que sobrescrevia arquivos, roubava senhas e enviava cópias automaticamente para todos os contatos do catálogo de endereços do Microsoft Outlook da vítima. O malware sobrecarregou os sistemas de e-mail de organizações, e alguns gestores de TI desconectaram partes de sua infraestrutura para evitar infecções, levando a grandes estimativas de danos e interrupções. Na época, investigadores já localizaram o vírus em um endereço de e-mail registrado em um apartamento em Manila, capital das Filipinas, levando as suspeitas a Onel de Guzman, um estudante de ciência da computação e membro de um grupo de hackers clandestinos chamado Grammersoft. Ele se tornou o principal suspeito de uma investigação policial, mas na época, as Filipinas não tinham lei sobre hacking de computadores, e de Guzman não foi processado. Segundo a BBC, depois de 20 anos, Onel de Guzman admitiu ter criado o Love Bug que, segundo ele, é uma versão renovada de um malware anterior que ele havia codificado para roubar senhas de acesso à Internet. Ele alega que inicialmente enviou o vírus apenas para as vítimas das Filipinas com quem se comunicou em salas de bate-papo, porque só queria roubar senhas de acesso à Internet que funcionavam em sua região. No entanto, na primavera de 2000 ele aprimorou o código, adicionando um recurso de propagação automática que envia cópias do vírus aos contatos do Outlook das vítimas, o que fez o malware se alastrar.

A Microsoft abriu esta semana o Azure Sphere Security Research Challenge, um desafio de segurança que tem como objetivo desencadear uma nova pesquisa de alto impacto no Azure Sphere. A solução de IoT fornece segurança de ponta a ponta em hardware, sistema operacional e nuvem. O Azure Sphere implementa segurança antecipadamente e, por padrão, a Microsoft reconhece que a segurança não é um evento único e riscos precisam ser mitigados de maneira consistente ao longo da vida útil de uma variedade crescente de dispositivos e serviços. O envolvimento da comunidade de pesquisa de segurança na pesquisa de vulnerabilidades de alto impacto antes que cibercriminosos as descubram ajudam a minimizar esse risco. O novo desafio é uma expansão do Azure Security Lab, anunciado na Black Hat em agosto de 2019 e no qual apenas um grupo seleto de pesquisadores foi convidado a emular hackers criminosos em um ambiente na nuvem seguro. Já o Azure Sphere Security Research Challenge é um desafio de pesquisa de segurança com duração de três meses e somente para aplicativos, oferecendo prêmios especiais e fornecendo recursos de pesquisa adicionais aos participantes do programa. A recompensa de até US$ 100 mil será oferecida para cenários específicos do desafio durante o período do programa, entre eles a capacidade de executar código no Pluton e de executar código no Secure World. Para apoiar a pesquisa, o Azure Sphere Security Research Challenge fornece recursos como kit de desenvolvimento do Azure Sphere (DevKit); acesso a produtos e serviços da Microsoft para fins de pesquisa; documentação do produto Azure Sphere; e canais de comunicação direta com a equipe da Microsoft. Para se inscrever no programa de pesquisa, é preciso enviar o formulário até o dia 15 de maio. As inscrições serão analisadas semanalmente e os pesquisadores aceitos serão notificados por e-mail. O desafio ocorre de 1º de junho de a 31 de agosto de 2020 para pesquisadores aceitos.

Um delegado da Delegacia de Polícia de Repressão aos Crimes Cibernéticos de Pernambuco publicou um vídeo alertando sobre golpes envolvendo a pandemia do novo coronavírus (COVID-19). Segundo o Delegado Meneses, o Ministério da Saúde está ligando para pessoas para pegar informações sobre o coronavírus, utilizando um sistema automatizado, mas alguns criminosos se aproveitaram da situação para gravar a ligação e eles mesmos ligam para as pessoas com a gravação do Ministério. No final, os criminosos pedem o envio de um código para validar o cadastro, o que na verdade é um código que permite com que eles obtenham o WhatsApp da vítima. O Delegado alerta ainda que a ligação do Ministério da Saúde é legítima e as chamadas são recebidas apenas através dos números 136, ou 0136. "Se for um número privado ou de celular, é golpe", diz. Além disso, nunca é pedido o envio de nenhum código para validação e cadastro. O próprio Ministério da Saúde divulgou o início do monitoramento à distância da saúde da população por meio do TeleSUS, mecanismo que permite a busca ativa para identificar antecipadamente pessoas vulneráveis, com sinais e sintomas de infecção por coronavírus, através do disparo de ligações com atendimento automatizado para encontrar possíveis casos. Segundo o comunicado, para que as pessoas tenham a certeza de que é o Ministério da saúde que está ligando, e não um trote ou golpe, aparecerá no identificador de chamadas o número 136, do Disque Saúde. "Essa ação também permitirá o monitoramento à distância das pessoas em isolamento domiciliar, permitindo o acompanhamento do estado de saúde durante todo o período". Em outra publicação, eles reiteraram que o Ministério da Saúde não pede nem recebe doações em dinheiro. Esse é um golpe muito comum utilizado por criminosos para tentar clonar WhatsApp de vítimas e, assim, ter acesso aos seus contatos, podendo, por exemplo, pedir dinheiro em nome da pessoa que teve sua conta roubada. O Mente Binária já alertou sobre golpes similares envolvendo o nome de artistas para roubar WhatsApp e divulgou até relatos de vítimas de extorsão por esse tipo de golpe.