Bruna Chieco

Pesquisadores do ClearSky Research Team divulgaram relatório sobre uma campanha de espionagem iraniana chamada Fox Kitten. Segundo a empresa de segurança, a campanha está ativa nos últimos três anos contra dezenas de empresas e organizações, e o foco principal em Israel, mas atinge também o restante do mundo. Os principais alvos são os setores de TI, Telecomunicações, Petróleo e Gás, Aviação, Governo e Segurança. O relatório da ClearSky revela ainda que além do malware, a campanha envolve uma infraestrutura inteira dedicada a garantir a capacidade duradoura de controlar e acessar totalmente os alvos escolhidos pelos iranianos. O objetivo é roubar informações valiosas das organizações-alvo; manter uma presença duradoura nas organizações visadas; e violar empresas adicionais através de ataques à cadeia de suprimentos. A campanha foi conduzida usando uma variedade de ferramentas ofensivas, a maioria baseada em código-fonte aberto. Ainda segundo a empresa de segurança, o vetor de ataque mais bem-sucedido e significativo usado pelos atacantes foi a exploração de vulnerabilidades conhecidas em sistemas com serviços VPN e RDP sem patches. Assim, os criminosos se infiltram e assumem o controle de informações corporativas críticas armazenadas.

O Google Play divulgou um balanço dos resultados de seus esforços para mitigar a entrada de aplicativos maliciosos em sua loja de apps. Em 2019, a empresa iniciou uma colaboração com parceiros do setor de segurança e lançou a App Defense Alliance. Também foi lançada uma experiência atualizada do Google Play Protect, que é a proteção integrada contra malware para dispositivos Android que verifica diariamente mais de 100 bilhões de aplicativos, fornecendo aos usuários informações sobre possíveis problemas de segurança e ações que eles podem executar para manter seus dispositivos seguros. No ano passado, o Google Play Protect impediu mais de 1,9 bilhão de instalações de malware. O Google Play já atuava com uma política para impedir que aplicativos acessem desnecessariamente dados de SMS e registros sensíveis à privacidade. Por meio dessa iniciativa, a empresa diz ter observado uma redução significativa de 98% nos aplicativos que acessam dados de SMS e de registro de chamadas. Os mecanismos de verificação do Google também impediram mais de 790 mil envios de aplicativos que violam suas políticas, antes mesmo deles serem publicados na Play Store.

Uma campanha de malware identificada pelo Cisco Talos usa uma nova versão do Loda, um trojan (cavalo de tróia) de acesso remoto escrito em AutoIT – linguagem de automação (scripting) do sistema Windows. O Loda é um malware que foi descoberto pela primeira vez em 2017 e possui várias capacidade de espionagem. Ele, inicialmente, se espalha através de ataques de phishing. A nova campanha está atingindo alvos principalmente nas Américas Central e do Sul, incluindo o Brasil; além dos Estados Unidos. Os atacantes utilizam websites que hospedam, além do Loda, documentos maliciosos que iniciam uma cadeia de infecção em vários estágios e, em última análise, serve um arquivo MSI malicioso. Explorando a vulnerabilidade CVE-2017-11882 – encontrada no Microsoft Office 2007 Service Pack 3, Microsoft Office 2010 Service Pack 2, Microsoft Office 2013 Service Pack 1, e Microsoft Office 2016 – para baixar e executar o arquivo MSI, lá está o Loda versão 1.1.1. Segundo o Talos, vários mecanismos de persistência foram empregados para garantir que o Loda continue em execução no host infectado após a reinicialização. ?

A Trend Micro lançou este mês um programa especial de incentivo para pesquisadores que encontrarem vulnerabilidades em seus softwares. O Targeted Incentive Program (TIP), ou Programa de Incentivo Direcionado, oferece aos pesquisadores prêmios monetários especiais por envios de bugs em produtos específicos da Trend Micro. Os prêmio valem para falhas encontradas em servidores, mas apenas para a primeira entrada bem-sucedida. Os produtos a serem analisados são Apex One; OfficeScan; e Deep Security. Os produtos estão disponíveis no Trend Micro Download Center e apenas fazem parte da lista inicial do programa. A Trend Micro oferecerá pagamentos diferentes com base no tipo de bug e na qualidade do envio fornecido pelo pesquisador. O pagamento mais alto, de US$ 7,5 mil, será fornecido por explorações totalmente funcionais que demonstram uma execução arbitrária de código. Também será premiada a escalação de privilégio local, falhas na divulgação de informações e vulnerabilidades que ignoram a autenticação. Envios que incluem uma prova de conceito serão aceitos, mas apenas uma exploração completa receberá o prêmio máximo. As vulnerabilidades devem ser de dia zero e afetar o destino selecionado. A Trend Micro já possui outros programas de recompensa para caçadores de vulnerabilidades, como o TippingPoint e a Zero Day Initiative, adquiridos em 2016. Nos primeiros três anos após a aquisição desses programas, 310 bugs relacionados à Trend Micro foram encontrados pelos pesquisadores. No entanto, em 2019, apenas um bug que afeta a empresa foi encontrado. Por isso, a companhia de segurança decidiu ampliar seu programa e torná-lo mais específico, com o objetivo de encontrar e eliminar o maior número possível de falhas em seus softwares.

A Prefeitura de São Paulo abriu inscrições para o programa StarTI, que conta com 450 vagas para cursos gratuitos de introdução à programação web. Há ainda cursos de montagem e manutenção de computadores e atendimento ao cliente por meio da plataforma ZenDesk. São 160 horas em aulas de segunda a sexta-feira, nos turnos da manhã, tarde e noite. Os interessados devem ter entre 15 e 29, cursando ou concluído o ensino médio, preferencialmente na rede pública, e residir no município de São Paulo. Para se inscrever é preciso comparecer até o dia 13 de fevereiro a um dos locais onde será realizado o curso – Sede IOS, em Santana; ou Escola Linneu Prestes, em Santo Amaro – e fazer uma redação e um teste de matemática. Os alunos que concluírem o curso receberão certificados e poderão ainda participar do Programa IOS de Oportunidades, podendo se candidatar a vagas de trabalho das empresas parceiras do programa. O Cate – Centro de Apoio ao Trabalho e Empreendedorismo também fará captação de vagas de emprego no setor. O programa, que será realizado pelo período de oito meses, é oferecido pela Secretaria de Desenvolvimento Econômico e Trabalho, por meio da Fundação Paulistana e do Instituto da Oportunidade Social – IOS, e com apoio da Secretaria Municipal da Educação. O curso ainda incentiva a formação de mulheres e afrodescendentes e, para tentar atender a um público com menos acesso aos locais, o StarTI arcará com os custos de transportes de até 20% dos participantes. Para obter o benefício, o candidato deve comprovar renda de até um quarto do salário mínimo per capta na sua residência. Para se inscrever é necessário apresentar os seguintes documentos: RG e CPF do aluno; RG e CPF dos pais ou responsáveis; comprovante de Eescolaridade; comprovante de residência (conta de água, luz e telefone – levar as três); comprovante de renda de todos os moradores da residência (cópias legíveis). Para pessoas com deficiência, levar laudo médico atualizado. Saiba mais sobre o programa StarTI! Sede IOS Av. Gal. Ataliba Leonel - 245 - Santana Próximo a estação Santana do Metrô Tel: (11) 2503 2617 WhatsApp: (11) 97343 9010 Escola Linneu Prestes Av. Adolfo Pinheiro, 511 - Santo Amaro Próximo a estação Adolfo Pinheiro do Metrô Tel: (11) 2503 2617 WhatsApp: (11) 99674 2986

Quatro membros do Exército de Libertação Popular da China foram acusados pela Justiça dos Estados Unidos de liderarem uma campanha de três meses para roubar informações pessoais sensíveis ao invadir a empresa de crédito Equifax. Os ataques ocorreram em 2017 e afetaram quase 150 milhões de americanos. Nove acusações, conduzidas em conjunto pelo Ministério Público dos EUA no Distrito Norte da Geórgia, pelas Divisões de Segurança Criminal e Nacional do Departamento de Justiça, pelo Escritório de Campo de Atlanta do FBI, e pela Divisão Cibernética do FBI, alegam que Wu Zhiyong (吴志勇), Wang Qian (王), Xu Ke (许可) e Liu Lei (刘磊) eram membros do 54º Instituto de Pesquisa do Exército, um componente das forças armadas chinesas, e supostamente conspiraram entre si para invadir as redes de computadores da Equifax, manter acesso não autorizado e roubar informações sensíveis de vítimas americanas. De acordo com a acusação, os réus exploraram uma vulnerabilidade no software Apache Struts Web Framework, da Adobe, usado pelo portal de disputas online da Equifax. O The Wired diz que, em maio de 2017, a Adobe anunciou que algumas versões do software tinham uma vulnerabilidade que poderia permitir a execução remota de código em um aplicativo da web direcionado, e logo ofereceu um patch e instruções sobre como corrigir o problema. A publicação afirma que a Equifax ignorou as correções. A partir daí, os quatro acusados conduziram o ataques. Por meio desse acesso, os invasores fizeram o reconhecimento do portal e obtiveram credenciais de login que poderiam ser usadas para navegar ainda mais na rede da empresa. Assim, passaram várias semanas executando consultas para identificar a estrutura do banco de dados da Equifax e buscando informações sensíveis e identificáveis pessoalmente no sistema. Após acessar os arquivos de interesse, os conspiradores armazenaram as informações roubadas em arquivos temporários, compactaram e dividiram os arquivos e conseguiram baixar e exportar os dados da rede para computadores fora dos Estados Unidos. Segundo o Departamento de Justiça dos EUA, foram feitas aproximadamente 9 mil consultas no sistema da Equifax pelos atacantes, que conseguiram nomes, datas de nascimento e números de previdência social das vítimas, que totalizam quase metade da população americana. E parece que os invasores ainda conseguiram roubar informações de segredos comerciais da Equifax. Para evitar que o ataque fosse detectado, os atacantes direcionaram o tráfego através de aproximadamente 34 servidores localizados em quase 20 países, ofuscando, assim, sua verdadeira localização. Além disso, eles usaram canais de comunicação criptografados na rede da Equifax para se misturar com a atividade normal da rede, e excluíram arquivos compactados, limpando-os diariamente em um esforço para eliminar registros de suas atividades.

Mais de 120 organizações de proteção à criança, lideradas pela Sociedade Nacional para a Prevenção da Crueldade contra Crianças, enviaram uma carta aberta ao Facebook solicitando que a rede social interrompa seus planos de implementar mensagens fortemente criptografadas. Segundo o CNet, as empresas afirmam que isso facilitaria o abuso contra crianças na rede social, sem que os abusadores sejam identificados. Assim como o WhatsApp, as mensagens do Facebook Messenger e do Instagram seriam criptografadas de ponta a ponta, o que significa que as mensagens não podem ser visualizadas por ninguém fora do remetente e do destinatário, incluindo agentes da lei. Mas a carta, assinada por um grupo de 129 organizações, afirma que tal ação pode indicar que "um risco aumentado de abuso de crianças seja facilitado no Facebook". Os grupos estão pedindo à empresa que invista em "medidas de segurança" que mostrem que a criptografia não prejudicaria a segurança infantil, que compartilhe dados com especialistas do governo e de proteção infantil. Em resposta, o Facebook disse que proteger crianças é "extremamente importante" para seus planos de criptografia e que está trabalhando em estreita colaboração com organizações, governos, órgãos policiais e outras empresas de tecnologia para manter a segurança infantil no uso da rede social.

O governo dos Estados Unidos está tentando alternativas para construir redes celulares 5G de próxima geração rompendo laços com a Huawei. Segundo reportagem do The Verge, o objetivo é criar padrões comuns de engenharia para redes 5G permitindo que empresas de tecnologia e telecomunicações usem apenas equipamentos fabricados nos EUA. Apesar do alvo principal ser a Huawei, outras marcas como Nokia e Ericsson também podem ser afetadas. A rixa com a companhia chinesa ocorre por conta de acusações acerca de risco à segurança nacional por conta de supostas espionagens corporativas e vínculos diretos da Huawei com o governo chinês. No ano passado, a Casa Branca proibiu as empresas americanas de trabalharem com a marca. O processo de separar indústrias da gigante tecnológica chinesa, contudo, será difícil para os EUA, já que a Huawei já está anos à frente da concorrência quando se trata de construir a infraestrutura necessária para o 5G, e as empresas americanas precisam concordar com padrões comuns e construir um hardware comparável.

Para tentar extorquir empresas a recuperarem seus dados, os autores de ataques do ransomware estão ameaçando expor informações roubadas das vítimas, caso não paguem pelo resgate. Segundo o site Ars Technica, o grupo responsável pelo ransomware Maze tem feito essa ameaça. Pouco antes do Natal, 2Gb de dados dos sistemas da cidade de Pensacola roubados foram expostos, e os atacantes alegam que isso é apenas 10% do que foi obtido dos sistemas. Já a empresa italiana de alimentos Fratelli Beretta viu todos os dados extraídos de 53 sistemas, totalizando de 3Gb publicados on-line pelo Maze. A Stockdale Radiology, uma clínica de radiologia em Bakersfield, na Califórnia, sofreu com a exposição de capturas de tela dos sistemas e dados do servidor de fax da clínica, incluindo dados de pacientes transmitidos de outra clínica de ressonância magnética. Cerca de 25 outras vítimas estão listadas pelo Maze com conjuntos de dados menores publicados, incluindo informações de clientes. E parece que o grupo de atacantes não é o único que está adotando essa prática para tentar extorquir ainda mais dinheiro de suas vítimas. Os autores do ransomware REvil/Sodinokibi também ameaçam revelar dados de quem não paga.

O Elon Musk usou o Twitter para anunciar o recrutamento de uma equipe de Inteligência Artificial na Tesla. "Na Tesla, o uso da IA para resolver a condução autônoma não é apenas a cereja no topo do bolo, é o bolo. Junte-se à AI na Tesla! Se reportará diretamente a mim e nos encontraremos/trocaremos e-mail/mensagem de texto quase todos os dias. Minhas ações, não apenas palavras, mostram quão criticamente vejo a (benigna) IA", diz o tweet de Musk. Para trabalhar no departamento de inteligência artificial da Tesla não é preciso um diploma específico. Segundo Musk, a empresa também está procurando designers de chips de classe mundial para se juntarem à sua equipe, com sede em Palo Alto e Austin. "A formação educacional é irrelevante, mas todos devem passar em um teste hardcore de codificação". Musk disse ainda que, em breve, a Tesla terá mais de um milhão de veículos conectados em todo o mundo, com sensores e computação necessários para uma direção completa, oferecendo o melhor conjunto de dados possível para trabalhar!

O Facebook enviou comunicado informando seus usuários que está contribuindo para limitar a disseminação de informações erradas e conteúdo prejudicial sobre o coronavírus. Para evitar fake news sobre o assunto, a empresa conta com uma rede global de verificadores de fatos de terceiros que revisa conteúdo e desmistifica alegações falsas que se espalham relacionadas ao vírus. Se esse grupo classifica alguma informação como falsa, o Facebook limita sua disseminação na rede social, incluindo o Instagram. No caso de alguém compartilhar uma fake news sobre o assunto, a empresa ainda notifica o usuário para alertá-lo de que a informação foi verificada e classificada como falsa. Além disso, alguns conteúdos que já foram sinalizados pelas principais organizações globais de saúde e autoridades locais como prejudiciais em termos de informações não verdadeiras estão sendo excluídos. "Isso inclui alegações relacionadas a curas falsas ou métodos de prevenção, ou afirmações que criam confusão sobre os recursos de saúde disponíveis", disse a empresa em comunicado. Hashtags usadas para espalhar informações erradas no Instagram também serão bloqueadas. O Facebook se propõe ainda a ajuda na disseminação de informações úteis sobre o vírus. "Nossas plataformas já são usadas para ajudar as pessoas a se conectarem com informações precisas sobre a situação, inclusive de organizações de saúde globais e regionais", afirmou a empresa. Informações relevantes e atualizadas dos parceiros serão divulgadas por meio de mensagens no topo do feed de notícias do Facebook, com base nas orientações da Organização Mundial da Saúde (OMS). Uma equipe de pesquisadores líderes da Escola de Saúde Pública da Universidade de Harvard e da Universidade Nacional de Tsinghua, em Taiwan, está sendo capacitada para compartilhar dados de mobilidade e mapas de densidade populacional de alta resolução para ajudar a informar sobre a previsão para a propagação do vírus. O Facebook ressaltou que nem todas essas etapas estão totalmente implementadas, mas que a empresa está trabalhando para aprimorar os métodos de aplicação de todo o programa. Twitter e Google – O Twitter também está engajado em ajudar as pessoas a encontrarem informações confiáveis sobre o coronavírus. Em comunicado, a rede social afirmou que mais de 15 milhões de tweets sobre esse tópico foram disseminados nas últimas quatro semanas e essa tendência parece continuar. "No momento, não estamos vendo tentativas coordenadas significativas de espalhar desinformação em escala sobre esse problema. No entanto, permaneceremos vigilantes e investimos significativamente em nossas habilidades proativas para garantir que as tendências, as pesquisas e outras áreas comuns de serviço sejam protegidas contra comportamentos maliciosos", disse. Assim como o Facebook, a rede social lançou um novo prompt de pesquisa dedicado para garantir que quando o usuário tentar obter informações sobre o #coronavírus, encontre primeiro informações credíveis e autorizadas. "Além disso, estamos interrompendo os resultados de sugestão automática que provavelmente direcionarão indivíduos para conteúdo não credível no Twitter". Já o Google anunciou que, quando as pessoas pesquisarem informações sobre o coronavírus, receberão um aviso especial com atualizações da OMS. O YouTube, de propriedade da empresa, disse que promoverá vídeos de fontes confiáveis quando as pessoas pesquisarem sobre o vírus. ?

A Apple lançou essa semana uma série de patches (correções) de segurança para algumas vulnerabilidades do iOS, entre elas falhas de alto risco, segundo o Threat Post. Uma dessas falhas pode permitir a execução remota de código. Para os usuários do iPhone 11, há ainda uma atualização do iOS 13.3.1 que permite que os usuários desativem o rastreamento de dispositivo U1 Ultra-Wideband. As correções abordam vulnerabilidades no Xcode, watchOS, Safari, iTunes para Windows, iOS, iPadOS, macOS e tvOS. Os erros mais graves incluem quatro falhas de execução remota de código no sistema operacional da Apple TV, tvOS. Um dos bugs possui uma pontuação de gravidade de de 8,8 em 10, a mais alta entre as que foram corrigidas, e está associado a vários problemas de corrupção de memória no mecanismo de navegador da Apple, o WebKit. No caso dessa falha, um atacante poderia convencer uma vítima a visitar um site falso e, através dele, explorar a vulnerabilidade para executar um código arbitrário no sistema ou causar uma negação de serviço. Outra falha que estava preocupando usuários era encontrada no mecanismo de rastreamento dos aparelhos iPhone 11. Inclusive, divulgamos em dezembro uma notícia sobre a busca constante pela localização de usuário que ocorre nesses aparelhos, mesmo quando todos os aplicativos e serviços do sistema no telefone são configurados individualmente para não solicitar esses dados. O recurso de rastreamento estava vinculado ao uso do chip U1 da Apple, que foi introduzido em 2019 e usado pela primeira vez no iPhone 11S. Com os patches lançados no iOS 13.3.1, a Apple adicionou uma opção para desativar o rastreamento de local para funções de rede e sem fio. Veja aqui a lista de correções disponibilizadas pela Apple!

O Google pagou um valor recorde de US$ 6,5 milhões em 2019 para os caçadores de vulnerabilidade que se inscreveram em seu bug bounty — programa de recompensa para quem encontrar falhas de segurança nos produtos da empresa. Segundo comunicado do Google, os pesquisadores também doaram US$ 500 mil para caridade após o pagamento das recompensas. O aumento no volume de pagamentos se deve principalmente ao fato da empresa ter expandido seu programa de recompensa desde 2010, cobrindo áreas adicionais de produtos, incluindo Chrome, Android e, mais recentemente, Abuse. Os aplicativos populares de terceiros, disponíveis no Google Play, também fazem parte do programa. Assim, pesquisadores podem ajudar a identificar e divulgar vulnerabilidades para desenvolvedores de aplicativos impactados. O programa do Chrome triplicou o valor máximo da recompensa da linha de base de US$ 5 mil para US$ 15 mil, dobrando de US$ 15 mil para US$ 30 mil o valor máximo da recompensa para relatórios de alta qualidade. O bônus adicional concedido aos bugs encontrados no Chrome Fuzzer Program dobrou para US$ 1 mil. Já o programa de recompensa do Android criou novas categorias de exploração, com recompensas mais altas. O prêmio principal agora é de US$ 1 milhão por uma execução remota de código em cadeia completa com persistência, que compromete o elemento seguro Titan M nos dispositivos Pixel. Se essa exploração foi encontrada em versões específicas de pré-visualização do desenvolvedor do Android, será adicionado um bônus de 50% ao prêmio. Por fim, o programa de segurança do Google Play expandiu o escopo para qualquer aplicativo com mais de 100 milhões de instalações, resultando em mais de US$ 650 mil em recompensas no segundo semestre de 2019. ?

Uma nova tentativa de roubar o WhatsApp, ativando-o em outro dispositivo com o envio de um código, agora envolve o nome de artistas. O Mente Binária recebeu o relato de um caso em que o nome de um músico foi envolvido em um golpe, no qual o golpista se passava por seu assessor de imprensa e oferecia ingressos de uma festa de confraternização em nome do artista. Na ligação, o falso assessor diz que a vítima foi sorteada por meio do Instagram e tinha direito a um ingresso com mais dois acompanhantes para uma festa do músico. Para receber o ingresso, contudo, a vítima teria que confirmar um código enviado para seu celular. Ao confirmar esse código, o golpista consegue o acesso ao WhatsApp da vítima, e usa o número para tentar extorquir seus contatos pedindo dinheiro. Segundo o músico envolvido nesse caso, cujo nome será preservado, alguns amigos entraram em contato com ele para confirmar se a festa estava, de fato, sendo organizada por sua assessoria. Assim, ele ficou sabendo do envolvimento de seu nome no golpe. Ele conta ainda que esse tipo de golpe tem sido comum no meio artístico. "As pessoas que foram contactadas por esse falso assessor são pessoas que me seguem no Instagram e tinham o telefone público no perfil", diz o artista. Ou seja, a menos que seja importante por motivos profissionais, não é recomendável a divulgação pública do número de telefone pessoal ou endereço de e-mail nos perfis das redes sociais. Outro ponto de alerta justamente é a abordagem do assessor, que solicita a confirmação de um código para que os convites da "festa" sejam enviados. "Ninguém vai pedir pra confirmar código via Whatsapp, essa não é uma prática comum dentro de um convite de uma festa ou um show", diz o músico. Desconfie de qualquer situação em que seja solicitado qualquer código enviado a seu celular, seja por WhatsApp ou SMS! ⚠️

Os custos arcados pelas vítimas de ataques de ransomware dobraram no final do ano passado. Segundo dados divulgados pela Coveware, empresa especializada na recuperação desses ataques, no quarto trimestre de 2019, o pagamento médio de resgate aumentou em 104%, para US$ 84,1 mil, contra US$ 41,1 mil no terceiro trimestre. Esse aumento reflete a diversidade dos atores de ameaças que estão atacando ativamente as empresas. A Coveware explica em seu relatório que algumas variantes de ransomware, como Ryuk e Sodinokibi, estão migrando para atacar o espaço corporativo, concentrando seus ataques em grandes empresas. Por exemplo, os pagamentos de resgate do ransomware Ryuk atingiram uma nova alta de US$ 780 mil para empresas impactadas. Já variantes menores de ransomware, como Dharma, Snatch e Netwalker, continuam atingindo pequenas empresas com um alto número de ataques, contudo, com resgates menores, de até US$ 1,5 mil. O Bitcoin é usado quase exclusivamente em todas as formas de extorsão cibernética, o que dificulta um pouco o pagamento para as vítimas, que devem adquirir essas moedas. Além do aumento nos custos para recuperação após ataque, o tempo médio de inatividade de uma empresa afetada também aumentou, subindo de 12,1 dias no terceiro trimestre de 2019 para 16,2 dias no quarto trimestre, segundo o relatório. Isso foi impulsionado por uma maior incidência de ataques contra grandes empresas, que geralmente passam semanas corrigindo e restaurando totalmente seus sistemas. Como essas empresas têm redes mais complexas, a restauração de dados por meio de backups ou descriptografia leva mais tempo que a de uma pequena empresa. No quarto trimestre, as organizações do setor público foram os principais alvos dos ataques.

Uma vulnerabilidade de execução remota de código no Internet Explorer está sendo ativamente explorada. A Microsoft enviou comunicado alertando sobre a falha. Aparentemente, a vulnerabilidade CVE-2020-0674 atua na maneira como o mecanismo de script manipula objetos na memória no Internet Explorer. A Microsoft explicou que a falha pode levar à corrupção da memória, permitindo que um invasor execute um código arbitrário no contexto do usuário atual. Ou seja, se um invasor explorar com êxito a vulnerabilidade, ele poderá obter os mesmos direitos do usuário atual. Se o usuário atual estiver conectado com direitos administrativos, um atacante pode até assumir o controle de um sistema afetado, instalar programas, visualizar, alterar ou excluir dados, ou criar novas contas. Além disso, o atacante pode hospedar um site especialmente criado para explorar a vulnerabilidade através do Internet Explorer e convencer um usuário a exibir o site através do envio de um e-mail, por exemplo. O bug foi listado como crítico em gravidade para a versão do Internet Explorer 11, e moderado para as versões 9 e 10.

Um curso de engenharia reversa com foco em Windows de 64-bits (x64) foi disponibilizado de maneira de maneira gratuita, em inglês, no Github. O usuário com o nickname "0xZ0F" é o autor do curso que, segundo ele, ainda está em desenvolvimento inicial e será reformulado em breve. "Pretendo adicionar uma quantidade significativa de conteúdo. Por enquanto, este curso será realizado aqui no Github, no entanto, isso provavelmente mudará no futuro", diz. O objetivo do curso é ensinar a qualquer pessoa como fazer a engenharia reversa do Windows x64. Ele é dividido em sete capítulos: Introduction; Wording; BinaryBasics; Assembly; Tools; BasicReversing; DLL; e Windows. Inicialmente, o curso aborda algumas noções básicas de binários. Depois, será possível reverter algumas amostras pequenas, reverter uma DLL e a implementar em um programa próprio, e reverter alguns malwares, examinando situações realistas, conforme explica o autor do curso. Para 0xZ0F, a ideia de lançar um curso gratuito é uma forma de facilitar o acesso a recursos didáticos de engenharia reversa. "A maioria dos conteúdos está desatualizada, muito cara, difícil de seguir ou possui baixa qualidade", explica. Ele considera a engenharia reversa difícil de aprender, porque o acesso a conteúdos que a ensinam é restrito. Ele explica ainda que, ao longo do seu aprendizado, leu vários livros, inúmeras postagens em blogs e documentação extensa, seguiu vários "tutoriais" do YouTube e agora quer retribuir todo o aprendizado adquirido através de um curso dedicado. "Eu amo essa área e queria retribuir à comunidade". ? Acesse o curso completo aqui!

Aparentemente ser o homem mais rico do mundo não impede de ter seu celular hackeado. Foi o que aconteceu com Jeff Bezos, CEO da Amazon. Uma reportagem da CNN tenta explicar como Bezos caiu nessa armadilha. Segundo a reportagem, Bezos foi hackeado em maio de 2018 após receber uma mensagem do WhatsApp do príncipe herdeiro saudita Mohammed bin Salman. A conclusão foi de acordo com uma análise forense conduzida por uma equipe da FTI Consulting, contratada pelo próprio CEO da Amazon, e revisada por investigadores da ONU. Segundo as descobertas dos especialistas, a mensagem suspeita continha um arquivo de vídeo, e logo após a entrega, o dispositivo transferiu centenas de megabytes de dados do telefone, aparentemente sem o conhecimento de Bezos. O vídeo em si não tinha nada de errado, de acordo com a avaliação da ONU, mas o restante da mensagem incluía um código adicional que seria inofensivo, mas como o WhatsApp embaralha suas mensagens – usando uma tecnologia chamada criptografia – os pesquisadores não foram capazes de dizer se, desta vez, o código também continha software malicioso escrito por hackers. Ao que parece, a partir desse código malicioso, foram roubados mais de 6 gigabytes de informações. A Arábia Saudita negou responsabilidade pela invasão. O ocorrido com Jeff Bezos levantou uma preocupação entre pessoas influentes, ativistas, altos executivos, funcionários do governo e políticos, sendo potenciais alvos de futuros ataques desse tipo. Mas parece que o WhatsApp já lançou outra atualização abordando uma vulnerabilidade que parece semelhante ao ataque que teria comprometido o telefone de Bezos. A falha permitia que invasores comprometessem um usuário enviando um "arquivo MP4 especialmente criado". Não está claro, contudo, se Bezos foi vítima dessa vulnerabilidade ou de outra. ?‍♀️

Tucker Preston, da Geórgia, EUA, foi co-fundador de um serviço projetado para proteger as empresas de ataques distribuídos de negação de serviço (DDoS). Acontece que ele se declarou culpado, na semana passada, em um tribunal de Nova Jersey, por danificar computadores protegidos através da transmissão de um programa, código ou comando. A notícia é do KrebsOnSecurity. De acordo com uma declaração do Departamento de Justiça dos EUA, o crime pelo qual Tucker Preston se declarou culpado pode levar a um máximo de 10 anos de prisão e uma multa de até US$ 250 mil. Ele será sentenciado em maio. Entenda a história – Em 2016, a empresa de mitigação de DDoS co-fundada por Tucker Preston, BackConnect Security LLC, sequestrava endereços da Internet de um provedor de serviços europeu para coletar informações sobre atacantes. No mesmo ano, Brian Krebs expôs os co-administradores do vDOS – serviço DDoS por locação – e obteve uma cópia de todo o banco de dados, incluindo um registro dos ataques pelos quais usuários pagaram. Vários endereços de e-mail estavam vinculados a um domínio registrado por Preston e foram usados para criar uma conta vDOS. Essa conta está relacionada a ataques a um grande número de destinos, incluindo empresas que trabalhariam com a BackConnect Security LLC.

Uma vulnerabilidade de desvio de autenticação crítica afeta diretamente os logins de usuário administrador em sites WordPress. Segundo o BleepingComputer, a falha, identificada por pesquisadores da equipe de segurança de aplicativos da WebARX, permite que qualquer pessoa efetue esse login se executar uma versão afetada do InfiniteWP Client. O plug-in InfiniteWP, de código-fonte aberto, está atualmente instalado em mais de 300 mil sites, ou seja, um número considerável de usuários pode ser afetado pela falha. O InfiniteWP Client permite que seus usuários gerenciem um número ilimitado de sites WordPress a partir de um local central. A vulnerabilidade foi corrigida pela Revmakx, fabricante do plug-in, em 8 de janeiro, com o lançamento do InfiniteWP Client 1.9.4.5. Os administradores que ainda estão usando a versão 1.9.4.4 ou anterior devem a atualizar suas instalações o mais rápido possível para evitar que seus sites sejam comprometidos. ⬆️

A Apple recusou os pedidos do FBI para desbloquear o iPhone de um homem acusado de ser responsável por um tiroteio ocorrido na Estação Aérea Naval de Pensacola, na Flórida. Segundo o Threat Post, a empresa declarou que não ajudará o FBI a invadir dois iPhones pertencentes ao suspeito, Mohammed Saeed Alshamrani. O procurador-geral William Barr pediu recentemente à Apple que ajudasse a desbloquear os iPhones usados pelo suspeito no mês passado. Apesar de recusar o pedido, a Apple alega que está respondendo "prontamente" aos pedidos de assistência e "compartilhando informações com os escritórios do FBI em Jacksonville, Pensacola e Nova York", segundo comunicado. Especialistas em segurança concordam que o acesso ao iPhone do suspeito pode comprometer a segurança dos milhões de dispositivos em uso em todo o mundo. O ponto crucial do problema quando se trata de desbloquear um iPhone ou ignorar sua criptografia, de acordo com os especialistas em privacidade, é que, uma vez que a Apple cria um backdoor (porta de acesso ao sistema), há um risco de que ele possa ser usado de maneira imprevisível e, em alguns casos, prejudicial, se cair nas mãos erradas. A Apple não poderia simplesmente criar a ferramenta apenas para fins de investigação sem afetar os demais dispositivos. Além disso, o trabalho não seria simples e exigiria uma equipe dedicada da empresa para criar um software capaz de acessar os dados armazenados no dispositivo. As autoridades podem ainda pedir auxílio de um terceiro para desbloquear os dispositivos, ou continuar insistindo, judicialmente, para que a Apple forneça a assistência. ?‍♀️

Um golpe envolve um e-mail falso de cobrança de fatura atrasada da NET. O e-mail é enviado para os clientes da NET com nome e CPF corretos, o que indica que pode ter havido um vazamento do banco de dados dos clientes. O que entrega a falsidade do e-mail é o nome do domínio. Veja exemplo: Fatura com código de barras, CPF e nome do cliente, aparentemente legítima, mas com nome de domínio de envio do e-mail falso O nome de domínio fatura-net.email é completamente falso. O golpe já ocorre há algum tempo, tanto que a própria NET deixa em seu site, na categoria de perguntas e respostas, qual é o e-mail oficial para envio de faturas. "O único e-mail que a NET utiliza para envio de faturas é o fatura.net@suafaturanet.com.br. Caso você receba sua fatura de outro remetente, desconsidere", informa a empresa. Isso serve de alerta para qualquer e-mail de cobrança ou qualquer documento e link recebido por e-mail. Sempre verifique o domínio do remetente para não cair em um golpe ou em um ataque de phishing, com links maliciosos escondidos nos e-mails! ⚠️

Atacantes se passam por representantes da Noruega na Organização das Nações Unidas (ONU) para enviar um e-mail com suposto contrato, mas que na verdade é um ataque de phishing. O Bleeping Computer informou esta semana que a empresa de segurança Cofense descobriu a campanha de phishing com segmentação altamente específica, enviada para 600 endereços de email exclusivos na ONU. Os atacantes são operadores do ransomware Emotet. O e-mail falso informa que os representantes da Noruega encontraram um problema com um contrato assinado e que o destinatário deve analisá-lo para descobrir o problema. Anexado a esses e-mails está um documento do Microsoft Word que imita um contrato assinado que supostamente enviado pela Missão Permanente da Noruega. Ao abrir o documento, há um aviso de que ele está disponível apenas para versões de desktop ou laptop do Microsoft Office Word. Em seguida, é solicitado ao usuário que clique em 'Ativar edição' ou 'Ativar conteúdo' para visualizar o documento. Se o usuário abrir o documento e ativar seu conteúdo, serão executadas macros maliciosas do Word que baixam e instalam o Emotet no computador. O efeito é devastador: o Emotet pode instalar outros payloads, como o trojan TrickBot, que tentará coletar dados do computador, cookies, credenciais de login, arquivos do computador e possivelmente se espalhar para outros computadores na rede. Após a coleta de informações, o TrickBot é conhecido por abrir um shell reverso aos operadores do ransomware Ryuk, e assim criptografar todos os dispositivos da rede. Felizmente, não houve vítimas deste ataque, mas é um alerta para grandes organizações se protegerem – e para que usuários sempre verifiquem o remetente antes de abrir um e-mail.

O aplicativo TikTok possui uma falha que pode expor dados pessoais de usuários. A notícia do DarkReading informa que pesquisadores da empresa de segurança Check Point descobriram um bug que permite atacantes falsificarem mensagens de SMS do app, explorando uma falha na API. Se explorada, os invasores conseguem obter as informações dos usuários do TikTok. O desenvolvedor de aplicativo, ByteDance, já implantou correções para a falha. O TikTok, que conta com mais de 1 bilhão de usuários globais, permite que sua base grave, salve e compartilhe vídeos que eles podem tornar públicos ou manter privados. "Encontramos uma cadeia de vulnerabilidades", disse Oded Vanunu, chefe de pesquisa de vulnerabilidade de produtos da Check Point. "Toda a lógica de negócios de aplicativos tinha uma grande falta de segurança. Vimos que facilmente, invasores podem assumir o controle de uma conta, alterar vídeos de privados para públicos e vazar informações privadas", destacou. ? A falsificação de links SMS foi o principal vetor desses ataques. Um bug na infraestrutura do aplicativo possibilitou o envio de uma mensagem SMS para qualquer número de telefone em nome do TikTok. Além disso, um link mal-intencionado era enviado à vítima, a redirecionado para um site falso. O TikTok tem sido tema de discussão sobre privacidade e segurança os Estados Unidos. O Exército e a Marinha dos EUA proibiram o uso do aplicativo em telefones do governo, seguindo orientações do Pentágono, conforme divulgamos na semana passada.

A Mozilla divulgou na semana passada uma nova versão do navegador Firefox. O lançamento do Firefox 72.0.1 corrige uma vulnerabilidade explorada ativamente que pode permitir que invasores assumam o controle dos computadores dos usuários. Algumas explorações dessa vulnerabilidade, indexada como CVE-2019-17026, foram detectadas pela Agência de Segurança Cibernética e Infraestrutura dos EUA. O erro é potencialmente crítico e pode resultar na gravação ou leitura de dados nos locais de memória. Essas leituras podem permitir que os invasores descubram locais de memória onde o código malicioso é armazenado, para que proteções sejam ignoradas. A Mozilla divulgou um comunicado sobre a falha e a correção realizada. É recomendada a instalação da nova versão o quanto antes!