Bruna Chieco

Cibercriminosos têm aumentado o roubo de informações financeiras de vítimas que utilizam sites terceirizados para acessar bancos. Tudo isso é facilitado se você escolher senhas fracas e as reutilizar em mais de uma conta. Segundo o KrebsOnSecurity, os principais alvos desses ataques têm sido plataformas de acesso a bancos, como Mint, Plaid, Yodlee, YNAB e outras. Por meio delas, os atacantes buscam contas de clientes protegidas por senhas fracas ou recicladas. ? Na maioria das vezes, o invasor utiliza listas de endereços de e-mail e senhas roubadas em massa de sites invadidos. Depois, ele tenta colocar as mesmas credenciais para acessar contas on-line em vários bancos. Assim, os criminosos conseguem pegar os logins bem-sucedidos e inseri-los em aplicativos que dependem de interfaces de programação de aplicativos (APIs) de um desse agregadores de dados financeiros pessoais que ajudam os usuários a acompanhar seus saldos, orçamentos e gastos em vários bancos. Apesar dos bancos oferecerem autenticação multifator, que é um código único enviado por mensagem de texto ou aplicativo, essas instituições permitem que os aplicativos terceirizados que agregam dados financeiros de clientes visualizem saldos e transações recentes sem exigir essa autenticação. Isso facilita a vida dos atacantes: se eles conseguirem acessar uma conta bancária por meio de um serviço agregador ou API, eles poderão visualizar o saldo do cliente e decidir se vale a pena torná-lo alvo de um ataque, podendo até vincular suas contas bancárias a outras contas controladas por eles mesmos. Interessante notar que, em comparação com os bancos brasileiros, essas instituições de outros países estão bem atrás de nós no quesito segurança. Mesmo assim, sabemos que o número de fraudes bancárias é alto no Brasil. Mesmo com o alto padrão de segurança implementado pelos bancos, há um número absurdo de malwares que conseguem, de algum jeito, contornar as barreiras de segurança impostas. ?

Dois membros do Project Zero, equipe de pesquisadores do Google, descobriram falhas de segurança que impactam o iOS, sistema operacional da Apple, por meio de uma exploração via iMessage. Segundo o ZDNet, ao todo foram seis falhas encontradas na semana do dia 22 de julho e que já foram corrigidas com o lançamento da versão 12.4 do iOS. De acordo com uma das pesquisadoras do projeto, Natalie Silvanovich, as vulnerabilidades "sem interação" não foram levadas à público antes pois a atualização do sistema ainda não as resolvia completamente. Quatro dos seis bugs encontrados levam à execução de um código malicioso em um dispositivo remoto da Apple, sem que seja necessária a interação do usuário - por isso as falhas foram chamadas de "sem interação". O atacante apenas envia uma mensagem para o aparelho da vítima e o código é executado assim que o usuário abre e visualiza os itens recebidos. As quatro falhas receberam os códigos CVE-2019-8647, CVE-2019-8660, CVE-2019-8662 e CVE-2019-8641, sendo que esta última ainda permanece com detalhes privados. Já as outras duas falhas, sob código CVE-2019-8624 e CVE-2019-8646, permitem que atacantes vazem dados da memória de um aparelho e leiam arquivos remotamente, sem necessidade de interação com o usuário. A Apple divulgou o conteúdo de segurança do iOS 12.4 e os detalhes sobre as atualizações do sistema. Fica a dica para atualizar! ⬆️

Uma campanha que afeta principalmente instituições financeiras e organizações governamentais da América do Sul foi descoberta pela empresa de segurança Trend Micro. O alvo principal tem sido a Colômbia, segundo o blog da companhia, e as atividades aparentemente partem de um grupo envolvido em comprometimento de e-mail comercial ou cibercrime utilizando YOPMail. ✉️ A invasão do malware inicia quando um e-mail é enviado à vítima por meio de servidores abertos ou comprometidos. O atacante se conecta a esses servidores por meio de endereços IP que estão vinculados a nomes de domínio dinâmicos utilizados por um servidor command and control (C&C) pelos payloads enviados. Assim, o atacante utiliza a mesma infraestrutura para enviar e-mails e controlar as vítimas. O remetente do e-mail geralmente é falsificado e os assuntos levam o destinatário a abrir o anexo, que é um arquivo RTF com uma linha de texto e um link. O texto está relacionado ao assunto do e-mail, e o link para o malware utiliza o encurtador de URL cort.as, que pertence ao jornal El País. Clicar no link redireciona a vítima a um arquivo infectado dentro de um serviço de compartilhamento de arquivos. A Colômbia é o país mais visado para esse ataque, mas há outros na região adicionados à lista, já que o atacante utiliza a língua espanhola em todos os documentos de spear phishing observados. A Trend Micro também identificou que entre os alvos está o Brasil. ?

Acusado de participar da distribuição do malware Kronos, o entusiasta de cibersegurança Marcus Hutchins conseguiu escapar da condenação da Justiça americana por ter ajudado a impedir a disseminação do famoso ransomware WannaCry, em 2017. De acordo com o KrebsOnSecurity, Hutchins registrou e afundou um nome de domínio que, mais tarde, entenderam ser o "kill switch" escondido dentro do WannaCry, ransomware que se propagou através de uma vulnerabilidade explorada do Microsoft Windows. Ainda em agosto de 2017, agentes do FBI prenderam Hutchins, suspeito de ter criado e divulgado o trojan bancário Kronos e uma ferramenta de malware relacionada, chamada UPAS Kit, que ajudava cibercriminosos a roubar dados bancários de vítimas. Hutchins foi libertado logo após sua prisão, ordenado a permanecer nos Estados Unidos aguardando julgamento. Quase dois anos depois, no último dia 26 de julho, um juiz distrital disse que a ação de Hutchins em deter a propagação do WannaCry foi muito mais consequente do que os dois malwares que ele admitiu ter escrito. Ao longo dos últimos dois anos, muitas pessoas ligadas à comunidade de segurança defenderam Marcus Hutchins, observando que o caso do FBI parecia frágil e que Hutchins havia trabalhado incansavelmente em seu blog para expor os cibercriminosos e suas ferramentas maliciosas. Ele recebeu, inclusive, doações para um fundo de defesa legal. Hutchins foi liberado sob supervisão, mas não poderá mais permanecer ou visitar os Estados Unidos, a menos que consiga perdão presidencial. Após a sentença, ele escreveu, no Twitter, um agradecimento a todos o ajudaram financeiramente e emocionalmente. “Planejo focar nos posts educacionais e em transmissões ao vivo novamente”.

Um ataque de ransomware em um provedor de energia na cidade de Joanesburgo, na África do Sul, causou apagão em alguns pontos da capital. Segundo o site ZDNet, invasores criptografaram a base de dados, rede interna, aplicativos e site oficial da City Power, empresa de energia elétrica pré-paga por moradores e empresas locais. O nome do ransomware que impactou os sistemas da empresa não foi divulgado. A companhia informou sobre o ataque via Twitter. Clientes não conseguiram comprar unidades de energia elétrica, nem mesmo vender de volta à rede sua energia elétrica, produzida a partir de painéis solares por alguns residentes. A City Power disse ainda que o ransomware dificultou a resposta às interrupções devido à falta de acesso aos aplicativos internos. Nos últimos dias, a empresa atualizou, também via Twitter, o status de restabelecimento de energia em alguns pontos da cidade. ? Casos de ataques a redes de municípios têm sido cada vez mais comuns. Algumas cidades infectadas nos Estados Unidos, como Riviera Beach City e Lake City, na Flórida, e Jackson County, na Geórgia, pagaram pelo resgate dos arquivos criptografados por ransomwares. Quem opta pelo não pagamento acaba arcando com despesas para reconstruir suas redes de TI. Recentemente, divulgamos um texto questionando se valeria a pena pagar a cibercriminosos para restabelecer o acesso aos dados infectados. Leia mais! ?

A empresa de segurança ESET divulgou a descoberta de um novo ransomware que ataca aparelhos com sistema Android via SMS. Denominado Android/Filecoder.C, o ransomware utiliza a lista de contatos da vítima para enviar mensagens com links maliciosos. Ele foi distribuído por meio de mensagens no Reddit, em um tópico relacionado a pornografia, além de também ter aparecido no XDA Developers, fórum destinado a desenvolvedores Android. Apesar do perfil utilizado para distribuição da campanha do ransomware ter sido divulgado pela ESET, ele ainda está ativo, mas as publicações maliciosas foram removidas dos fóruns. Aparentemente, o ransomware é quase inofensivo. A empresa de segurança ressalta que a campanha é pequena e relativamente amadora, pois o próprio ransomware contém falhas e, inclusive, foi mal encriptado. "Todos os arquivos criptografados podem ser recuperados sem a ajuda dos invasores", diz a ESET no comunicado oficial, em inglês. Entre as falhas do Android/Filecoder.C está a exclusão de grandes arquivos, acima de 50 MB e de imagens pequenas, menores que 150 KB. Além disso, a lista dos arquivos para criptografar contém muitas entradas não relacionadas a Android, e também excluem algumas das extensões típicas do sistema operacional. A ESET acredita que a lista de arquivos foi copiada do famoso ransomware WannaCry. O Android/Filecoder.C também não bloqueia a tela, o que impediria que o usuário acesse o dispositivo após a invasão. ?‍♀️ Uma novidade do ransomware é que o resgate dos dados não possui um valor definido, mas sim é criado dinamicamente utilizando o UserID atribuído pelo ransomware à vítima específica, resultando em um valor exclusivo para o resgate. Apesar de ter um perfil diferente dos ransomwares tradicionais e apresentar falhas, a ESET alerta que se elas forem corrigidas e a distribuição do ransomware avançar, ele pode se tornar uma séria ameaça. ?

Uma vulnerabilidade no aplicativo Walkie Talkie, do Apple Watch, permitia que uma pessoa ouvisse o conteúdo de outro iPhone sem permissão. Após a identificação da falha, a própria Apple desativou o recurso. Mas não se preocupe, a falha já foi corrigida. O aplicativo Walkie Talkie permite que dois usuários que aceitaram um convite um do outro recebam conversas de áudio por meio de uma interface "push to talk", lembrando celulares mais antigos. Após ser informada da vulnerabilidade, a Apple desativou a função enquanto resolvia o problema, o que ocorreu nas últimas duas semanas. O aplicativo já está em pleno funcionamento novamente a partir da atualização do sistema do Apple Watch, o watchOS 5.3. Se você usa Apple Watch, atualize seu sistema, pois outras falhas devem ter sido corrigidas nessa nova versão. ?

Uma onda de ataques de phishing tem utilizado o serviço de transferência de arquivos via nuvem WeTransfer para envio de URLs maliciosas. De acordo com a Cofense, empresa especializada em defesa desse tipo de ataque, o método tenta se desviar das verificações feitas por gateways de e-mail. Os ataques funcionam da seguinte maneira: o corpo de e-mail normalmente contém uma notificação genuína do WeTransfer informando o compartilhamento de um arquivo. Para isso, os atacantes se utilizam de uma conta de e-mail aparentemente comprometida, e os links legítimos do WeTransfer passam despercebidos por qualquer checagem de segurança. Ao clicar para receber o arquivo, o usuário é redirecionado a uma página de download do WeTransfer que, ao abrir, é novamente redirecionada à página de phishing. A vítima ainda é solicitada a inserir suas credenciais para acessar o Office365. Além da Microsoft, outras marcas também são afetadas por esses ataques, e os principais alvos são empresas dos setores bancário, de energia e de mídia. ?

A Federal Trade Commission (FTC - Comissão Federal de Comércio dos Estados Unidos) determinou que o Facebook desembolse US$ 5 bilhões como penalização por ter violado as políticas de privacidade do usuário. ? Em 2012, a FTC acusou a rede social de enganar os usuários sobre sua capacidade de controlar a privacidade de suas informações pessoais. Alguns dados foram compartilhados com aplicativos de terceiros que eram baixados pelos "amigos" dos usuários no Facebook, sem que eles soubessem ou pudessem controlar isso. De acordo com a FTC, a multa do Facebook alcançou um valor recorde, sendo que o montante mais alto já pago até então foi de US$ 275 milhões em um caso de violação de dados envolvendo a Equifax. Além do pagamento da multa, a rede social deverá também se submeter a novas restrições e modificar sua estrutura corporativa, se responsabilizando pelas decisões que são feitas sobre a privacidade dos usuários. O acordo com o Facebook restringe as operações de negócios da rede social e cria vários canais de compliance, e as definições da companhia sobre privacidade ficarão sujeitas a uma supervisão significativa a partir de agora. ? Uma revisão na privacidade de todos os produtos e serviços da companhia, incluindo Instagram e WhatsApp, também faz parte do acordo, e todas decisões tomadas deverão ser documentadas em um relatório trimestral. Segundo o presidente da FTC, Joe Simons, a decisão mais importante nesse caso não foi a multa para punir o Facebook, mas sim a alteração de toda a cultura de privacidade da rede social para diminuir a probabilidade de violações contínuas. ?

A escola francesa de programação École 42 chegou ao Brasil com a abertura de duas unidades que começarão a operar a partir de agosto: uma em São Paulo e outra no Rio de Janeiro. A escola foi fundada como uma instituição sem fins lucrativos pelo bilionário francês Xavier Niel junto a diversos sócios. A École 42 nasceu em Paris em 2013, e desde então oferece um curso intensivo de programação, sem custo, e aberto para qualquer pessoa acima de 18 anos que pode se inscrever após completar alguns testes de lógica como pré-requisito. Uma característica da escola - e que será mantida nas unidades brasileiras - é que não há professores e nem turmas, ou seja, não há aulas. "Você será responsável pelo seu sucesso e de seus colegas", diz o website da École 42. A escola também não oferece diploma. O treinamento é inspirado em novos métodos modernos de ensino que incluem pedagogia de pessoa para pessoa e projetos baseados em ensino. "Programação é como qualquer outro trabalho: você só aprende fazendo. Ao invés de aprender teorias que podem não ser aplicadas na vida real, você tem desafios de programação cada vez mais difíceis de resolver individualmente ou em equipes", diz ainda o texto no website. O Brasil é o 14º país a receber a École 42. De acordo com uma reportagem do Estadão, as unidades brasileiras poderão receber mais de 800 alunos, sendo 450 no Rio de Janeiro e 360 em São Paulo. A escola também é popular no vale do Silício, nos Estados Unidos. Os campus de todas as unidades são abertos 24 horas por dia, 7 dias por semana. O programa da École 42 foi desenhado para durar em média três anos, embora seja possível concluir os 21 níveis em apenas 1 ano. Entrar na 42 pode ser um desafio. As inscrições estão abertas até 31 de julho, e para ingressar é preciso fazer um teste com três etapas: um jogo de memória, ao estilo do Genius, uma apresentação e um pré-curso de imersão, apelidado de “piscina”. Bóra programar! ?

O exército francês está formando uma equipe de escritores de ficção científica para prever possíveis ameaças do futuro. A notícia divulgada pela BBC conta que a Defense Innovation Agency (DIA), agência do governo da França focada em inovação em defesas, vai reunir visionários que devem propor cenários de disrupção que estrategistas militares não conseguiriam pensar sozinhos. A França tem investido em uma abordagem mais inovadora em termos de defesa, e o trabalho altamente confidencial da equipe ajudará as Forças Armadas do país a lutar contra elementos maliciosos. A equipe denominada "red team" será composta por apenas quatro ou cinco escritores de ficção científica. Esse grupo deverá pensar de forma mais criativa do que os membros mais tradicionais do exército, ou seja, através de dramatizações e outras técnicas, a equipe tentará imaginar como organizações terroristas ou Estados estrangeiros poderiam usar tecnologia avançada para atacar. ? Além dessa abordagem "futurista", a França investiu recentemente e outro aparatos tecnológicos na defesa do país. Foi exibido nas comemorações da Queda da Bastilha, em 14 de julho, o aparelho de microondas Nerod F5, uma arma em forma de rifle, de aparência futurista, projetada para atacar drones bloqueando os sinais do piloto. Há ainda a ideia de colocar robôs como apoio às tropas francesas no Mali, e aparentemente já há experimentos desse tipo em andamento.

O grupo de cibercriminosos conhecido por "Magecart" está colocando skimmers de cartões de crédito digitais em sites de e-commerce, e o número de fornecedores afetados é muito maior do que o previsto. A empresa de segurança americana RiskIQ identificou as atividades em maio, e descobriu que sete fornecedores terceirizados de e-commerce foram infectados com códigos skimmers, afetando milhares de outros sites que utilizam seus serviços. Contudo, o alcance dessa campanha é ainda maior, pois o atacantes automatizaram o processo de comprometimento dos websites ao buscar ativamente por buckets do Amazon S3 mal configurados. Ou seja, isso permite que uma conta da Amazon Web Services seja afetada. ? Funciona assim: os atacantes verificam automaticamente se os buckets estão configurados incorretamente, e ao identificá-los, o examinam em busca de qualquer arquivo JavaScript que termine em .js. Em seguida, eles fazem o download desses arquivos, anexam o código skimming e sobrescrevem o script, o que é possível de ser feito devido às permissões mal configuradas do bucket, que concedem a qualquer pessoa a permissão para edição. Os atacantes usam um skimmer para extrair dados de pagamento para seus próprios servidores. Um roubo de informações foi bem-sucedido quando os dados roubados são enviados na forma de uma imagem falsa que é incluída numa URL no padrão <domínio>/img. Esses atacantes começaram a comprometer os buckets não protegidos do Amazon S3 no início de abril e, de acordo com dados do RiskIQ, o grupo conseguiu impactar mais de 17 mil domínios, incluindo 2 mil dos melhores sites rankeados pela Alexa. Há uma possibilidade, porém, dos cibercriminosos não conseguirem nada com isso. Como eles usaram essa técnica para alcançar uma rede mais ampla possível, muitos dos scripts comprometidos não são carregados nas páginas de pagamento. Ou seja, se o skimming script não for carregado, os atores não conseguem coletar dados de pagamento da vítima. ? O recomendável é que os administradores monitorem seus controles de acesso a conteúdo, limitem as permissões dos buckets e bloqueiem o acesso público para impedir que qualquer pessoa abra um bucket, independentemente da política do Amazon S3.

Desde sua descoberta, em 2016, o malware TrickBot continua afetando ativamente as contas de milhões de pessoas. De acordo com a empresa americana Deep Instinct, a família de malware, focada no roubo de informações de dados financeiros, pode agora ter também uma nova variante - além da adição recente de um módulo de roubo de cookies, foi criado um módulo malicioso de infecção e distribuição de e-mail que compartilha certificados de assinatura digital. Esse novo módulo coleta credenciais de e-mails e contatos do catálogo de endereços, caixa de entrada e caixa de saída da vítima, enviando spams maliciosos por meio da conta comprometida pelo malware. Posteriormente, essas mensagens são deletadas sem deixar rastros ao usuário. A Deep Instinct identificou uma base de dados contendo 250 milhões de contas de e-mail coletadas por operadores do TrickBot. Essas contas provavelmente foram empregadas como listas-alvos de infecções maliciosas, incluindo milhões de endereços de e-mail de departamentos e agências governamentais nos Estados Unidos e no Reino Unido. A base de e-mails recuperada contém quantidades massivas de endereços de provedores comumente usados, como Gmail, Yahoo, Hotmail, entre outros, não se limitando a apenas estes. A empresa de segurança explica o passo a passo de como a infecção ocorre no texto original, em inglês. Eles destacam a sofisticação do TrickBot como muito bem-sucedida pelo aumento da capacidade de distribuir seu próprio malware, além de encobrir seus rastros, o que faz com que ele seja ignorado por quase todos os fornecedores de varredura. ?

A analista de malware polonesa hasherezade, que desenvolveu uma ferramenta para engenharia reversa/análise de malware chamada PE-Sieve, adicionou uma opção para reconstruir a IAT (Import Address Table) de executáveis PE na última versão da ferramenta, mas ao testar o recurso com um executável comprimido com UPX, ela percebeu que não estava funcionando muito bem. Ela descobriu, porém, que a importação de uma função da USER32.DLL não se dava diretamente. Ao invés disso, o loader do Windows resolveu uma chamada intermediária (processo conhecido como shimming) e isso impedia que a importação fosse reconstruída na IAT pelo PE-Sieve ou qualquer outro programa que tentasse a reconstrução. No texto, em inglês, ela mostra como resolveu esse problema mexendo na estrutura do arquivo PE (olha aí a importância de conhecer a estrutura destes executáveis), o que alterou a forma como o loader o interpretou. Em sua explicação, hasherezade descreve todos os testes que fez. Vai lá dar uma olhada nesse passo a passo incrível e explicativo! ?‍♀️

Recentemente, os cibercriminosos por trás do conhecido ransomware GrandCrab anunciaram que estão encerrando suas atividades após, supostamente, faturar mais de $ 2 bilhões em pagamentos de vítimas que foram extorquidas. O GrandCrab é uma ameaça de computador que leva a corrupção ou perda de dados invadindo secretamente um dispositivo e exibindo anúncios ao mesmo tempo que rouba informações e dados sensíveis das vítimas. Apesar do comunicado de que terminaram as invasões com essa ameaça, os mesmos cibercriminosos podem ter migrado para outro ransomware mais exclusivo e avançado chamado de Revil, também conhecido como Sodin e Sodinokibi. Em abril, o Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, divulgou que uma nova família de ransomware estaria usando vulnerabilidades do Oracle WebLogic para infectar computadores. Um mês depois, o GrandCrab anunciou seu encerramento. Em meados de maio, conforme aponta o site KrebsOnSecurity, um indivíduo utilizando o nickname "Unknow" começou a fazer depósitos de mais de US$ 130 mil em moedas virtuais em dois fóruns de cibercrime, o que seria uma oferta para contratar pessoas em um novo programa de ransomware, ainda sem nome. Na oferta, cinco afiliados poderiam participar do programa, mas não foram divulgados seus detalhes técnicos. Uma das evidências de que o REvil/Sodinokibi e o GrandCrab vieram da mesma equipe é que ambos incluíram a Síria na lista de países que devem ser evitados de infectar. Após um ataque específico no país e que chamou a atenção da mídia e dos desenvolvedores do ransomware, uma chave de descriptografia foi desenvolvida permitindo que todas as vítimas do GrandCrab na Síria abrissem seus arquivos gratuitamente. Outra semelhança entre as ameaças está na forma como o GandCrab e o REvil geram as URLs usadas como parte do processo de infecção. Esses são alguns indicativos de que a equipe do GandCrab não se aposentou, mas talvez tenha se reagrupado e mudou de marca para evitar investigações, já que o ransomware chamava muita atenção de pesquisadores de segurança e investigadores da lei. ?

Mas calma, o recurso é opcional e só funciona se o arquivo/diretório em questão estiver dentro de um diretório que tenha uma opção específica habilitada. Isso significa que no ext4 os nomes de diretório e arquivos serão reconhecidos independente de conter letras maiúsculas ou minúsculas, se a opção for habilidada. Por exemplo, antes um DIRETORIO era diferente de diretorio ou Diretorio. Agora não há mais essa diferenciação se você habilitar o suporte. ?? A mudança está disponível para o Linux 5.2, de acordo com o Phoronix, e vem sendo desenvolvida há muito tempo para suportar nomes de arquivos sem distinção entre caixa alta e baixa e ter suporte à codificação UTF-8. A implementação é válida apenas para Ext4, não afetando outros sistemas de arquivos. Há apenas uma limitação dos diretórios e nomes de arquivos que não diferenciam letras maiúsculas de minúsculas: eles não suportam a codificação e a criptografia por diretório no mesmo sistema de arquivos ao mesmo tempo. Eventualmente, o suporte a ambos os recursos concomitantemente deve ser oferecido.

Os desenvolvedores do aplicativo de videoconferência Zoom corrigiram, na semana passada, uma falha que deixava o app vulnerável a ataques para quem o utilizava em dispositivos Mac, da Apple. De acordo com comunicado do fundador e CEO da empresa, Eric S. Yuan, a falha foi divulgada por um um pesquisador de segurança no início da semana passada. Yuan destaca que sua equipe está fazendo várias alterações para evitar esses riscos, entre elas uma atualização para o aplicativo disponível para Mac. Também em comunicado, o diretor de segurança da informação da empresa, Richard Farley, explica que a vulnerabilidade encontrada é de negação de serviço para dispositivos Mac, o que permitiria a um atacante ter como alvo um usuário do Mac que já tenha o Zoom instalado com um loop infinito de solicitações de reunião de videoconferência, o que travaria o sistema. "Não temos evidência de que isso tenha ocorrido. Lançamos uma correção para o problema em maio de 2019, embora não tenhamos forçado nossos usuários a atualizar por ser, empiricamente, uma vulnerabilidade de baixo risco", diz Farley. Foi inserida ainda uma nova opção que permite a desinstalação do Zoom pelo próprio aplicativo, incluindo o servidor Web local. Além disso, a Apple divulgou uma atualização para garantir que o servidor da Web do Zoom seja removido de todos os Macs mesmo que o usuário não tenha atualizado o aplicativo ou o tenha excluído antes do patch (correção) divulgado em 9 de julho. Outra atualização realizada no dia 14 se estende a aplicativos Zoom em execução em Mac, Windows, Linux, Chrome OS, iOS (com aprovação pendente da App Store) e Android. O Zoom implementou um recurso de visualização de vídeo que aparece antes que qualquer participante inicie uma reunião. O participante pode optar por participar com ou sem vídeo, ou recusar a solicitação. Além disso, o participante também pode marcar uma caixa para sempre ter a pré-visualização do vídeo ao participar de uma videoconferência. O Zoom também pretende implantar um programa de divulgação de vulnerabilidades públicas nas próximas semanas, complementando o programa privado de recompensas de bugs. Mas se você é usuário do aplicativo, o importante para o momento é: faça suas atualizações! ⬆️

A corrida presidencial dos Estados Unidos começou, bem como a preocupação com vazamento de informações confidenciais durante a campanha eleitoral. Nas eleições de 2016, a disputa entre Donald Trump e Hillary Clinton foi marcada pelo suposto vazamento de emails da conta profissional de John Podesta, chefe de campanha de Hillary, publicados no Wikileaks. Para 2020, a segurança cibernética nas eleições evoluiu e há uma preocupação maior de empresas e governos para proteger informações confidenciais durante as campanhas. Em meio a um cenário de novas advertências das agências de inteligência norte-americanas sobre ataques cibernéticos iminentes contra candidatos na preparação para a corrida presidencial, a Comissão Federal Eleitoral dos EUA (FEC) permitiu que as campanhas políticas aceitem serviços de segurança cibernética de empresas sem entrar em conflito com as leis de financiamento de campanhas existentes, que proíbem contribuições corporativas. A FEC entendeu que tal assistência não constitui contribuição desde que a empresa de segurança cibernética já ofereça soluções para organizações não-políticas similares, como organizações sem fins lucrativos. A decisão vem na onda de uma série de comunicados da FEC relacionados a ofertas de segurança cibernética destinadas a candidatos federais e comitês políticos. Mais recentemente, a comissão permitiu que a organização sem fins lucrativos Defending Digital Campaigns ofereça serviços gratuitos de segurança cibernética a candidatos, mas essa decisão se aplica apenas a grupos não partidários e sem fins lucrativos que oferecem os mesmos serviços a todas as campanhas. A Area 1 Security também teve aval da FEC para fornecer esse tipo de serviço, cobrando dos candidatos federais qualificados e comitês políticos o mesmo que cobra de seus clientes não-políticos, o que não caracteriza uma contribuição proibida a tais candidatos e comitês.

O governo de duas cidades dos Estados Unidos decidiram pagar pelo resgate de seus dados após sofrer ataques de ransomware. Os casos citados ocorreram em Lake City e Riviera Beach, ambos na Flórida. As prefeituras das cidades pagaram um total combinado de US$ 1 milhão em Bitcoins. Já a cidade de Baltimore, no estado de Maryland, passou pelo mesmo tipo de ataque que dominou o sistema local por duas semanas, e o prefeito da cidade se recusou a pagar pelo resgate, embora a recuperação do ataque possa chegar a custar US$ 10 milhões à prefeitura. Ataques como esse também ocorreram recentemente em cidade brasileiras. O sistema interno da Prefeitura de São João da Barra, no Rio de Janeiro, ficou fora do ar após ter seus dados criptografados e o resgate solicitado foi de 5 mil Bitcoins. A Prefeitura de Santa Terezinha, em Mato Grosso, também teve seu sistema de bancos de dados sequestrado, e os atacantes exigiram US$ 4 mil a serem convertidos em Bitcoins. A pergunta que fica é: nesses casos, o governo deve ou não abrir mão aos atacantes e pagar pelo resgate dos dados? ? Especialistas do Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, em geral, são contra o pagamento. Segundo eles, o pagamento deve ser o último recurso de qualquer vítima de extorsão de cibercriminosos - até porque não dá para saber se os dados serão devolvidos em sua integridade, sem alterações pelo autor do ransomware. "Outro impacto negativo em torno de pagar o resgate é que você está literalmente financiando o orçamento para as pessoas que tentam comprometê-lo", diz Craig Williams, diretor da Talos Global Outreach. Joel Esler, gerente sênior da Talos Communities Division, também concorda que pagar resgate é ajudar o inimigo. "Você está financiando os bandidos com absolutamente nenhuma garantia de que obterá seus arquivos de volta". Os atacantes podem até devolver os dados após o pagamento, mas não é possível saber se deixaram alguma brecha aberta para realizar um novo ataque, alerta o especialista. A decisão de pagar pelo resgate só deve ser considerada nos casos mais extremos e vista como um fluxo de trabalho de continuidade de negócios ou recuperação de desastres. Alguns especialistas defendem que, ao optar pelo pagamento, isso deve ser considerado como uma decisão de negócios, e outras medidas devem ser tomadas posteriormente. Ataques de ransomware têm evoluído cada vez mais, principalmente em municípios e governos locais, por isso é importante adotar outras medidas para se proteger, e não financiar os atacantes com o pagamento de resgates. ?

O malware que afeta Android, Anubis, foi identificado novamente em janeiro deste ano em dois servidores, contendo cerca de 17,5 mil amostras. De acordo com a Trend Micro, o malware fez parte do cenário de ameaças móveis de 2018, em que trojans bancários diversificaram suas táticas e técnicas para evitar sua detecção e ganhar dinheiro com ataques. O Anubis passou por várias mudanças desde sua primeira aparição, sendo usado para ciberespionagem e como um malware bancário, combinando roubo de informação e ataques de ransomware. A empresa de segurança identificou a nova versão do malware em meados de janeiro de 2019, utilizando uma infinidade de técnicas, incluindo o uso de sensores baseados em movimento para evitar análises de sandbox e sobreposições de telas para roubar informações pessoais. Entre os recursos de roubo de informações do Anubis está a captura de tela do dispositivo infectado; controle remoto do dispositivo via VNC; gravação de áudio; envio, recebimento e exclusão de SMS; ativação ou configuração de administração de dispositivos; obtenção das tarefas em execução do dispositivo; roubo da lista de contatos; execução de uma URL especificada; desligamento do Google Play Protect e bloqueio da tela do dispositivo. Os atacantes também podem criptografar arquivos, incluindo aqueles armazenados no cartão SD, encontrar ou localizar arquivos, obter a localização do dispositivo e recuperar comandos de controle remoto de mídias sociais. O Anubis também tem uma lista de aplicativos dos quais ele rouba dados pessoais e financeiros, sendo que o alvo do malware são 188 aplicativos relacionados a bancos e finanças, a maioria na Polônia, Austrália, Turquia, Alemanha, França, Itália, Espanha, EUA e Índia. Mesmo que o Brasil não esteja na lista, é recomendável verificar a segurança de qualquer aplicativo que for baixado no seu dispositivo móvel. ?

O Pentágono, sede do Departamento de Defesa dos Estados Unidos, adquiriu uma nova ferramenta para reconhecimento de pessoas à distância: um laser que identifica alguém pelo batimento cardíaco. ❤️ De acordo com o MIT Technology Review, o protótipo Jetson, desenvolvido a pedido das Forças Especiais dos EUA, pode identificar uma assinatura cardíaca exclusiva a 200 metros de distância, mesmo através de roupas. A ferramenta de identificação pode alcançar uma distância ainda maior, mas para isso, o laser deve passar por melhorias. O batimento cardíaco é igual a uma impressão digital - cada um tem o seu e pode ser utilizado para diferenciar as pessoas. Esse tipo de identificação de segurança já é utilizada em outros países, mas de maneira diferente. A empresa canadense Nymi desenvolveu um sensor de pulso como alternativa às impressões digitais, tecnologia que foi testada no Halifax, banco do Reino Unido. A diferença é que o Jeston é "invisível". Ele adapta um dispositivo geralmente usado para verificar a vibração à distância em estruturas como turbinas eólicas, e um ponto de laser invisível é mantido em um alvo. Demora cerca de 30 segundos para o laser obter um bom retorno, por isso o dispositivo só é eficaz quando o alvo de identificação está sentado ou em pé. Além disso, o Jetson pode alcançar mais de 95% de precisão se estiver em boas condições de medição, e isso pode ser melhorado, mas é provável que a ferramenta seja utilizada em conjunto com o reconhecimento facial ou outros métodos de identificação.

Um famoso espetáculo do Cirque du Soleil, Toruk, encerrou suas apresentações em Londres no final de junho - bem como sua experiência digital. O aplicativo do show, nomeado TORUK - The First Flight, disponível tanto para Android quanto para iOS, não será mais comercializado aos espectadores após o encerramento da turnê - o que é positivo, pois a empresa de segurança ESET detectou algumas falhas no app que teve mais 100 mil instalações no Google Play, mas não é atualizado desde 2016. A ESET avisou o desenvolvedor do aplicativo sobre os problemas, encontrados em março de 2019, mas guardou as informações a divulgação pública até o encerramento da turnê para não prejudicar o espetáculo, já que os riscos de segurança são moderados e a publicação das falhas geraria um efeito negativo ao show. Fofos, não? ? A ideia do aplicativo era que a plateia pudesse fazer parte da apresentação em uma experiência sincronizada com efeitos audiovisuais em seus dispositivos móveis. Contudo, o app não é muito seguro e, enquanto ele é executado, uma porta local é aberta permitindo que haja alterações remotas nas configurações de volume, além de descobrir dispositivos próximos com Bluetooth ativado, exibir animações, definir a posição do botão "Curtir" do Facebook no dispositivo e ler ou escrever algo para as preferências compartilhadas acessíveis ao aplicativo. A ESET publicou um vídeo demonstrando a execução remota possibilitada pelo bug. Isso significa que qualquer pessoa que esteja conectada à mesma rede de Wi-Fi que o usuário do aplicativo pode executar essas funções e enviar comandos ao dispositivo que carrega o app, permitindo que um invasor obtenha endereços IP de um aparelho com a porta aberta - neste caso, o aplicativo abre a porta 6161 no localhost. A porta é sempre a mesma. O recomendável é que os usuários desinstalem o aplicativo após a experiência no espetáculo - o que, aliás, é aconselhado para qualquer app que possui uma finalidade exclusiva! ?

A Trend Micro identificou uma campanha de adware, denominada AndroidOS_HiddenAd.HRXAA e AndroidOS_HiddenAd.GCLA, na qual 182 aplicativos de jogos e câmeras livres para download estavam infectados com adwares maliciosos. De acordo com a empresa de segurança, o adware pode esconder ícones de aplicativos infectados, exibindo anúncios de tela cheia e não permitindo que eles sejam imediatamente fechados, evitando a detecção do Sandbox. Dos 182 aplicativos carregados de adwares, 111 foram encontrados no Google Play Store. O restante está em lojas de aplicativos terceirizadas, incluindo 9Apps e PP Assistant. A Trend Micro identificou ainda que 43 dos 111 aplicativos hospedados no Google Play eram exclusivos ou tinham recursos distintos, enquanto os outros eram aplicativos duplicados. A campanha disfarçada de aplicativos de jogo e câmera foi detectada pela Trend Micro em meados de junho deste ano, e com base no comportamento dos aplicativos, foi feita uma análise sobre os nomes dos pacotes, rótulos, tempo de publicação, horários offline, estruturas de código, e estilos e recursos de código. Após essa análise, a Trend Micro concluiu que a campanha de adware está ativa desde 2018 e que os aplicativos são da mesma campanha, apesar de terem sido submetidos por diferentes desenvolvedores. Mas não se preocupe! Os aplicativos envolvendo a campanha de adware já foram removidos da plataforma Google Play ? - mas antes de serem removidos, os apps tiveram mais de 9,3 milhões de downloads! ?

Algumas das redes sociais mais populares, WhatsApp, Facebook e Instagram, estão fora do ar nesta quarta-feira, 3 de julho, pelo menos parcialmente. No caso do WhatsApp, usuários reportaram dificuldade em carregar vídeos e imagens e enviar áudios. O Facebook e o Instagram também estão com falhas na exibição de imagens. De acordo com o site DownDetector, as primeiras reclamações sobre falhas nas redes começou por volta das 10 horas da manhã. ? Os problemas afetam usuários do mundo todo e o motivo das interrupções no carregamento de mídias das redes não foi esclarecido. O Facebook e o Instagram enviaram comunicado via Twitter informando que estão cientes de que algumas pessoas estão com problemas para enviar imagens, vídeos e outros arquivos. Já o WhatsApp não se manifestou oficialmente sobre as falhas. Não é a primeira vez que isso ocorre. O problema pode afetar de maneira maior as empresas que utilizam esses aplicativos como ferramentas profissionais. A queda dessas redes por tempo indeterminado pode apresentar risco aos negócios. Enquanto isso, há outras alternativas, principalmente para o Whatsapp, como o Telegram. Contudo, a ferramenta foi alvo de escândalos recentes sobre sua segurança principalmente após o vazamento de conversas entre o Ministro da Justiça, Sérgio Moro, e o procurador Deltan Dallagnol. Outras alternativas são o Threema e Signal. ?

A Mozilla está adicionando ao navegador Firefox um gerador de senhas aleatórias. De acordo com o site ZDNet, a ferramenta deve estar disponível com o lançamento do Firefox 69, que deve ocorrer em setembro. O recurso é semelhante ao que o Google adicionou ao Chrome no ano passado, com o lançamento do Chrome/Chromium v69. Atualmente, apenas o Firefox Nightly - uma versão do navegador para testar novos recursos - possui o gerador de senhas aleatórias. Até que o recurso esteja totalmente disponível no Firefox 69, os usuários do Firefox Nightly podem ativá-lo, alterando as configurações mais do navegador através da URL about:config. Além dessa novidade, no início de junho a Mozilla lançou um gerenciador de senhas para dispositivos móveis. Chamado Firefox Lockwise, o projeto permite aos usuários acessar senhas que foram armazenadas dentro do Firefox a partir dos seus dispositivos móveis. ?