Bruna Chieco

A ferramenta V8 versão 7.3.492.17, presente no Google Chrome (e derivados), usada para interpretar JavaScript, possui uma vulnerabilidade de corrupção de memória que permite que um atacante execute um código arbitrário na máquina da vítima. O Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, trabalhou em conjunto com o Google para garantir que a falha fosse resolvida e uma atualização oferecida aos clientes. Segundo o Talos, a vulnerabilidade foi corrigida em março e liberaram o patch em abril, mas o Google apenas a incluiu na política de divulgação de vulnerabilidades no dia 26 de junho. O código dado à vulnerabilidade foi o CVE-2019-5831. Para acioná-la no Chrome, a vítima precisaria apenas visitar uma página web maliciosa. ?

O Microsoft Security Response Center (MSRC), divisão de segurança da Microsoft, confirmou a presença de um malware ativo no Linux que explorava uma vulnerabilidade crítica de Execução Remota de Código (RCE), sob o código CVE-2019-10149. A falha foi identificada nas versões 4.87 e 4.91 dos servidores de e-mail Exim. Apenas as instâncias de clientes que utilizam infraestrutura como serviço (IaaS) da Linux foram afetados pela vulnerabilidade. Os clientes Azure não são afetados. A Microsoft recomenda a atualização urgente dos sistemas afetados, independente se utilizam ou não o bloqueio de tráfego de rede por meio dos Network Security Groups (NSGs), que pode atenuar a disseminação do malware ou ameaças avançadas que podem explorar a vulnerabilidade. Os sistemas afetados ainda estarão vulneráveis à exploração do RCE se o endereço IP do invasor não for bloqueado pelo NSG.

A desenvolvedora e distribuidora de jogos Electronic Arts (EA) corrigiu falhas em sua plataforma de distribuição digital Origin, identificadas pela Check Point Research, divisão de análise de ameaças da Check Point Software Technologies, e pela CyberInt, provedora de serviços de segurança cibernética. A cadeia de vulnerabilidades foi divulgada pelas empresas nesta quarta-feira, 26 de junho, e poderia ter afetado 300 milhões de jogadores ao redor do mundo, cujos dados de contas ficariam expostos para roubo. Após o alerta da Check Point Research e da CyberInt, as falhas foram rapidamente corrigidas pela EA, que é detentora de grandes jogos onlines como FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer e Medal of Honor. As vulnerabilidades encontradas na plataforma Origin não exigiam que o usuário fornecesse nenhuma informação sobre seu login. A brecha, na verdade, aproveitava os subdomínios abandonados e o uso de tokens de autenticação da EA Games em conjunto com o mecanismo OAuth Single Sign-On (SSO) e TRUST embutidos no processo de login do usuário. A falha foi corrigida, mas a recomendação que fica é que os usuários habilitem a autenticação de dois fatores (2FA) e usem apenas o site oficial da EA para fazer o download ou comprar jogos. ?

Uma falha dupla no macOS foi encontrada pela empresa de segurança Trend Micro, que divulgou na semana passada que a vulnerabilidade, causada por uma brecha no componente de memória da AMD, pode facilitar atacantes a executar códigos maliciosos em sistemas com privilégios administrativos. A falha recebeu o código CVE-2019-8635 e na verdade abrange duas vulnerabilidades: uma no método discard_StretchTex2Tex e outra no processamento de tokens de banda lateral em uma classe da AMD Radeon chamada AMDRadeonX400_AMDSIGLContext, que é usada para renderizar gráficos nos computadores com macOS. No primeiro caso, a vulnerabilidade permite que o atacante execute um código malicioso na área do usuário. Já no segundo, há uma vulnerabilidade double-free (liberar uma área de memória duas vezes) no processamento de sideband tokens na mesma classe de componentes AMD. A vulnerabilidade permite que atacantes locais executem código arbitrário em instalações afetadas do sistema operacional macOS. As duas falhas são semelhantes, e nos dois casos o invasor deve primeiro obter a capacidade de executar código com poucos privilégios no sistema-alvo. A única diferença entre as explorações é a função a ser aproveitada. No fim, a memória do dispositivo é compartilhada. Os atacantes podem usar a vulnerabilidade double-free para atacar sistemas macOS sem patches e comprometer máquinas com privilégios elevados. A Apple forneceu uma correção para o problema por meio de uma atualização de segurança disponível para o macOS Mojave 10.14.4. Atualizem seu macOS o mais rápido possível! ?‍♀️

As empresas de telecomunicação brasileiras têm até o início de julho para implementar uma lista nacional e única de consumidores que não querem receber chamadas de telemarketing. A exigência da Agência Nacional de Telecomunicações (Anatel), que divulgou comunicado no dia 13 de junho, se estende aos serviços de telefonia, TV por assinatura e internet oferecidos pela Algar, Claro/Net, Nextel, Oi, Sercomtel, Sky, TIM e Vivo. A medida é complementar à implementação de mecanismos que já haviam sido propostos pelas próprias prestadoras de serviço. Em março, as empresas se comprometeram a implementar, até setembro, um código de conduta e mecanismos de autorregulação das práticas de telemarketing, incluindo uma lista de “não perturbe”. O Procon também possui um sistema de cadastro para bloqueio do recebimento de ligações de telemarketing e pode impor sanções no caso de transgressão ou violação das regras por parte das empresas do setor. Além da lista, as companhias devem, dentro do mesmo prazo, criar e divulgar amplamente um canal por meio do qual o consumidor possa manifestar o seu desejo de não receber as ligações. A partir do momento que o consumidor optar pelo não recebimento das chamadas, as empresas em questão não poderão mais efetuar ligações telefônicas com o objetivo de oferecer seus pacotes ou serviços de telecom para os números registrados na lista nacional a ser criada. ?

A Huawei está se movimentando para registrar oficialmente a marca do seu sistema operacional próprio, o "Hongmeng", para substituir o Android. De acordo com o CNet, a gigante chinesa já iniciou o movimento no Peru e pretende estender para diversos países. A empresa também contesta o banimento dos Estados Unidos em relação ao uso do sistema operacional. Em maio, o Google bloqueou a Huawei de suas atualizações do Android, embora o Departamento de Comércio dos Estados Unidos tenha concedido uma licença geral de três meses para atualizar os dispositivos existentes. Os aparelhos da Huawei rodam atualmente com Android e a empresa declarou que não tinha planos imediatos de lançar um sistema operacional próprio, somente se o Android fosse permanentemente removido de seus dispositivos. A companhia chinesa enviou um memorando à Comissão Federal de Comunicações, órgão regulador de telecomunicações dos Estados Unidos, contestando o banimento. Os equipamentos de rede da Huawei foram colocados na lista negra pelo governo dos Estados Unidos sob alegações de preocupações com a segurança nacional. O governo americano afirma que a Huawei mantém relações estreitas com o governo chinês, o que a empresa negou. Segundo a carta da Huawei, forçar operadoras de redes a eliminar e substituir seus equipamentos existentes representaria uma ameaça maior à estabilidade e segurança da rede.

A China pode estar desenvolvendo um sistema operacional customizado que virá para substituir o Windows em meio às tensões políticas que o país enfrenta contra os Estados Unidos. De acordo com o site ZDNet, a informação não foi confirmada pelos canais de imprensa oficiais do governo chinês, mas foi reportada pela revista militar Kanwa Asian Defence, baseada no Canadá. A reportagem diz que as autoridades militares chinesas não querem simplesmente migrar de Windows para Linux, e sim desenvolver um sistema operacional próprio. A iniciativa foi motivada principalmente pelas informações de que os Estados Unidos possuem um grande arsenal de ferramentas de hacking que pode afetar desde smart TVs até servidores Linux, roteadores e sistemas operacionais comuns como Windows e macOS. As informações foram reveladas nos vazamentos promovidos por Edward Snowden, Shadow Brokers, e o Vault7, que detalharam as atividades da Agência de Segurança Nacional dos Estados Unidos (NSA) e da CIA em relação a vigilância eletrônica e atividades cibernéticas. Desde esses vazamentos, a China planejaria adotar um sistema operacional personalizado que dificulta a espionagem dos agentes estrangeiros sobre as operações militares chinesas. Essa tarefa seria executada por um novo grupo chamado "Internet Security Information Leadership Group", que responderia diretamente ao Comitê Central do Partido Comunista Chinês, segundo as publicações.

Cibercriminosos estão avançando nas suas técnicas de ataque a informações de organizações que, por outro lado, enfrentam dificuldades em encontrar profissionais qualificados para garantir a segurança de seus dados. Segundo informações compiladas pelo site DarkReading, phishing e engenharia social foram os métodos mais utilizados para comprometimento de informações de empresas em 2018, servindo como porta de entrada para atacantes em mais de 60% dos ciberataques realizados em ambientes de nuvem e pontos de venda, além de ter sido utilizada em 46% das violações de redes corporativas e internas. A publicação ainda mostra que as vulnerabilidades dentro das empresas aumentam conforme o volume de dados cresce exponencialmente e de maneira descentralizada, dificultando a garantia de uma proteção mais otimizada. Dados do IDC mostram que o volume de dados mundial deve crescer em dez vezes até 2025, chegando a 163 zettabytes, principalmente por meio da proliferação da inteligência artificial, Internet das Coisas e outras tecnologias machine-to-machine de empresas. Isso significa que haverá uma superfície de ataque maior, com novos vetores e mais pontos de vulnerabilidade para as organizações protegerem. Diante desses desafios, as empresas enfrentam ainda uma dificuldade que é comum no ambiente corporativo ao redor do mundo: encontrar profissionais de cibersegurança bem qualificados e reter esses talentos. Um estudo da (ISC)² Cybersecurity Workforce Study com dados de 2018 mostra que há escassez de quase 3 milhões de trabalhadores na área de segurança cibernética globalmente. Nos Estados Unidos, uma empresa leva de três a seis meses para preencher uma posição nessa área. Para tentar reduzir esse gap entre demanda das empresas e profissionais qualificados no mercado de segurança, é recomendável treinamentos para quem atua na área de segurança. O Mente Binária oferece treinamentos gratuitos para que todos possam acessar um conteúdo tão importante e atual, e que está sendo extremamente necessário em organizações mundialmente. Veja nossos treinamentos aqui!

A Microsoft divulgou recentemente a versão final de seu baseline de segurança para o Windows 10 versão 1903 (também conhecido por "19H1") e Windows Server versão 1903. Entre as principais alterações está a remoção da necessidade do usuário redefinir suas senhas periodicamente. Segundo a própria Microsoft, apesar da segurança das senhas ser problemática, já que normalmente elas são muito fáceis de prever, quando usuários são obrigados a alterar essas senhas, as redefinições incluem pequenas alterações nas senhas já existentes - isso quando o usuário não esquece a senha. ? Eles detectaram que há alternativas melhores do que políticas de expiração de senhas para garantir maior segurança, como imposição de listas de senhas proibidas e autenticação de vários fatores, mas elas não podem ser expressas ou aplicadas nas bases de configuração de segurança recomendadas pela Microsoft. A empresa, então, decidiu remover essa configuração por verificar que não é uma estratégia de segurança completa para o gerenciamento de credenciais do usuário. "A expiração periódica de senha é uma mitigação antiga e obsoleta, de valor muito baixo, e não acreditamos que valha a pena para nossa baseline impor qualquer valor específico a isso. Ao removê-la de nossa baseline, as organizações podem escolher o que melhor atende às suas necessidades", diz a Microsoft no comunicado. A National Cyber Security Centre (NCSC), divisão de cibercrime do Governo do Reino Unido, apoiou a decisão da Microsoft e recomendou a usuários que desejam melhorar sua segurança a se concentrarem no uso de senhas fortes, diferentes, implementando a autenticação de dois fatores (2FA). Eles recomendam ainda o uso de um gerenciador de senhas para ajudar. Há dois anos, lançamos um vídeo no Papo Binário sobre a autenticação de dois fatores que você pode assistir aqui. ?

O FBI emitiu um alerta nesta semana dizendo que websites com certificado SSL, o famoso HTTPS (Hypertext Transfer Protocol Secure), podem não ser tão seguros quanto parecem - ou deveriam. Isso porque cibercriminosos encontraram um jeito de incorporar certificados de websites ao enviar e-mails que imitam empresas confiáveis ou contatos das próprias vítimas. Os atacantes fazem isso se aproveitando na confiança que as pessoas já desenvolveram na presença do "https" e do ícone do cadeado antes do endereço do website, que devem indicar que o tráfego da Internet está criptografado e os visitantes daquele site podem compartilhar dados com segurança. Os esquemas de phishing desenvolvidos pelos cibercriminosos são usados para adquirir logins sensíveis ou outras informações, atraindo as vítimas a sites maliciosos que parecem seguros. O FBI recomenda, portanto, não confiar apenas em um e-mail que contém um link com "https" na frente, e sim olhar atentamente ao conteúdo do e-mail e verificar se quem enviou foi mesmo aquele contato. Eles também incentivam a denúncia de atividades suspeitas por meio do link www.ic3.gov.

No dia 1º de junho de 1999 nasceu o Napster, primeira ferramenta criada na Internet para compartilhar arquivos entre milhões de pessoas. Você sabe como começou a história dessa plataforma que revolucionou a indústria da música? O site TorrentFreak contou um pouco sobre como o Napster nasceu no seu aniversário de 20 anos. ? Um ano antes do Napster introduzido na Internet, um usuário homônimo entrou no canal w00w00 IRC, um chat da rede EFnet que era frequentado por hackers de elite. Esse usuário compartilhou com o grupo sua ideia de criar uma rede de computadores que pudessem compartilhar arquivos entre si, mais especificamente, faixas de música. A ideia, a princípio, pareceu loucura, mas o 'Napster' insistiu no projeto e o compartilhou com outro usuário chamado 'Man0War'. Seus verdadeiros nomes são Shawn Fanning e Sean Parker, respectivamente. Um ano depois, a ideia foi colocada em prática e o Napster foi introduzido em milhões de computadores ao redor do mundo. Em apenas três meses, a plataforma já fornecia acesso a quatro milhões de músicas e, em menos de um ano, 20 milhões de pessoas baixaram o aplicativo, chegando a 26,4 milhões de usuários em fevereiro de 2001. A empresa com sucesso relâmpago encontrou um obstáculo no caminho: a pirataria. Por muito tempo, o Napster ocultou a informação de que as pessoas não poderiam compartilhar suas músicas gratuitamente. Por conta desse pequeno probleminha, a Recording Industry Association of America (RIAA), organização que representa as gravadoras e distribuidoras dos Estados Unidos, processou o Napster, e logo depois, vários artistas moveram ação contra a empresa, incluindo o Metallica e o Dr. Dre. O banimento da plataforma começou fortemente nas universidades, que se tornaram ponto de encontro para download de arquivos de música. Em alguns campus, metade da largura de banda foi consumida pelo compartilhamento de MP3. Apesar do crescimento epidêmico e do apoio de investidores, o império do compartilhamento de arquivos não conseguiu superar os desafios legais. O processo movido pela RIAA resultou em uma liminar da Justiça que ordenou o fechamento da rede em julho de 2001, pouco mais de dois anos após o lançamento do Napster. Em setembro do mesmo ano, o caso foi liquidado por milhões de dólares e o Napster foi encerrado. ? Aplicativos com o mesmo propósito surgiram depois disso: Grokster, KaZaa, Morpheus, LimeWire, iMesh, entre outros que não duraram muito tempo. O BitTorrent também apareceu nesse período. Redes como Gnutella também surgiram com o eDonkey, eMule e outros programas. O Napster, porém, deixou um legado importante. Ele mostrou o interesse das pessoas em baixar música e impulsionou o aparecimento das primeiras lojas de download, como o iTunes, pioneiro nesse quesito. Ainda assim, nenhum portal de download alcançou o mesmo sucesso do Napster, já que as pessoas não necessariamente estão interessadas em comprar faixas de música. Isso despertou a atenção de um adolescente sueco chamado Daniel Ek, que foi atrás de alguma solução legal - juridicamente falando - para o compartilhamento de músicas. Aí que surgiu o Spotify, que provocou um boom nas assinaturas de streaming de música, que hoje é umas das fontes de renda mais importantes da indústria musical! A criação do Napster e de outros aplicativos e serviços são resultados daquela inconformidade que move o hacking, aquela vontade de resolver problemas de maneira criativa e revolucionária. Somos muito gratos aos empreendedores de projetos assim e esperamos que esta história sirva de motivação para os hackers daqui. ?

Em 2044, os dados encriptados agora com a criptografia RSA-2048 poderão ser quebrados em 8 horas. O que parecia quase impossível pode ser tornar mais viável após a descoberta do desenvolvedor de software da Google em Santa Barbara, Craig Gidney, e do pesquisador Martin Ekerå do KTH Royal Institute of Technology em Estocolmo, que perceberam que daqui alguns anos computadores quânticos podem quebrar a criptografia RSA de 2048 bits, uma das mais usadas, em poucas horas. A informação foi divulgada pela MIT Technology Review. Um computador comum clássico demoraria muito mais do que 25 anos para quebrar esse tipo de criptografia, o que torna o processo quase impossível e causa a desistência rápida de quem quiser obter as informações criptografadas. Porém, em 1994, o matemático americano Peter Shor descobriu um algoritmo quântico que superou seu equivalente clássico, mostrando que um computador quântico suficientemente poderoso pode executar essa tarefa com mais facilidade. Desde então, os computadores quânticos vêm aumentando seu poder e a descoberta recente de Gidney e Ekerå mostra que, por meio de um processo matemático chamado exponenciação modular, os dados criptografados pode ser quebrados de maneira mais otimizada, reduzindo significativamente os recursos necessários para executar o algoritmo. Isso pode não fornecer um risco tão grande para transações históricas, como as de cartão de crédito, pois uma máquina dessa magnitude só será possível daqui a 25 anos, mas para informações sigilosas de governos, organizações militares e de segurança, bancos e qualquer outra pessoa que precise proteger dados, a informação pode ser preocupante. Uma possível solução para se proteger da evolução das máquinas quânticas seria usar uma criptografia pós-quântica.

O Escritório Federal de Segurança da Informação da Alemanha (Bundesamt für Sicherheit in der Informationstechnik - BSI) divulgou alguns alertas de segurança sobre um perigoso malware que foi encontrado em quatro tipos de modelos de smartphones vendidos no país. São eles o Doogee BL7000, o M-Horse Pure 1, o Keecoo P11, e o VKworld Mix Plus, todos de baixo custo e com sistema Android. De acordo com o site ZDnet, o firmware dos aparelhos foi infectado por um backdoor trojan chamado Andr/Xgen2-CY, malware que foi descoberto pela empresa de segurança do Reino Unido, Sophos, em outubro de 2018. Na época, a empresa explicou que o malware estava embutido em um aplicativo padrão de alguns smartphones, chamado SoundRecorder, e que foi projetado para funcionar como um backdoor não removível em telefones infectados. O malware começa a rodar assim que o telefone é ligado, coletando detalhes sobre o aparelho e informações como o número de telefone do dispositivo, localização - incluindo um endereço -, identificador de IMEI e ID do Android, resolução da tela, fabricante, modelo, marca, versão do sistema operacional, informações da CPU, tipo de rede, endereço MAC, RAM e tamanho da ROM, tamanho do cartão SD, idioma e país e prestador de serviços de telefonia móvel. Cerca de 20 mil endereços IP baseados na Alemanha estão conectados aos servidores de controle do malware diariamente. Usuários em outros países também podem ser afetados. Segundo o BSI, a remoção manual do malware não é possível devido à sua ancoragem na área interna do firmware. Ou seja, apenas uma atualização de firmware emitida pelos fabricantes dos aparelhos pode remover o software malicioso, e até então somente o modelo Keecoo P11 possui essa atualização. ?

Um engenheiro de software iniciou um projeto em 2016 para fazer engenharia reversa, somente com o IDA Pro (versão free), do jogo Duke Nukem II, antigo jogo de MS-DOS, e reimplementá-lo em código aberto. O jogo atualmente é baixável gratuitamente e roda em Mac OS X, Linux e Windows. O engenheiro conseguiu concluir seu projeto dois anos e meio depois, utilizando o mecanismo Rigel Engine. O mecanismo funciona como um substituto para o DOS originais (NUKEM2.EXE) e implementa a lógica do jogo, a maior parte do sistema de menus e jogos salvos e altas pontuações do jogo original também podem ser importados. Além disso, nenhum hardware emulador ou vintage é necessário. Não precisa ajustar configurações e não há telas de carregamento. Vários efeitos sonoros podem ser reproduzidos ao mesmo tempo, não há limitações quanto ao número de efeitos simultâneos, e é possível salvar arquivos por usuário. O engenheiro contou em seu blog como foi o processo de reimplementar o Duke Nukem II em código aberto. Para saber mais sobre engenharia reversa, dá uma olhada no nosso Curso de Ghidra, um framework de engenharia reversa de software lançado pela NSA é muito parecido com o IDA Pro. ?

O Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, descobriu recentemente uma série de documentos que podem ser parte de ciberataques coordenados que a empresa denominou como uma campanha Frankenstein devido à capacidade de reunir vários componentes não relacionados em uma coisa só. Isso porque os atacantes estão aproveitando quatro diferentes técnicas de código aberto para construir as ferramentas usadas durante a campanha, montando, assim, um "monstro" de vários pedaços. ? Segundo o grupo Talos, a campanha usou instruções de um artigo para detectar quando sua amostra está sendo executada em uma VM (máquina virtual); um projeto do GitHub que aproveita o MSbuild para executar um comando do PowerShell; um componente de um projeto do GitHub chamado "Fruityc2" para construir um stager; e um projeto do GitHub chamado "PowerShell Empire". Os invasores realizaram esses ataques entre janeiro e abril, tentando instalar um malware nas máquinas dos usuários por meio de documentos maliciosos. A atividade foi hiper-direcionada, pois havia um volume baixo desses documentos em vários repositórios de malware. Entre os vetores de infecção identificados estão o envio de documentos trojanizados do Microsoft Word, provavelmente por e-mail, sendo que um vetor depende de um documento que utiliza um modelo remoto e, em seguida, uma exploração conhecida, e o segundo vetor é um documento que solicita que a vítima habilite macros e execute um script em Visual Basic. O grupo alerta ainda que a preferência por soluções de código aberto parece ser uma tendência ampla entre atacantes e que essas técnicas exigirão que os defensores de rede modifiquem suas posturas e procedimentos para detectar essa ameaça. ?

Duas ferramentas foram criadas por pesquisadores para derrotar proteções em serviços onlines protegidos por autenticação de dois fatores (2FA). O nome delas é Muraena e NecroBrowser, de acordo com o site CSO. Isso significa que os ataques de phishing que podem derrotar o 2FA podem ser feitos por um número maior de invasores! ??? As ferramentas foram criadas por Michele Orru, um antigo desenvolvedor do Browser Exploitation Framework Project (BeEF), e Giuseppe Trotta, um membro do projeto Bettercap. O Muraena é escrito na linguagem de programação criada pelo Google, a Go, ou seja, pode ser compilada e rodar em qualquer plataforma onde a Go está disponível. Uma vez implantada, o atacante pode configurar o domínio e obter um certificado legítimo, e a ferramenta contém um servidor da Web mínimo que atua como proxy reverso e um rastreador que determina automaticamente quais recursos de proxy serão procurados no site legítimo. A vítima, portanto, chega ao site cujo processo de login funciona exatamente como no site real. Quando o usuário fornece o código 2FA, a autenticação é concluída e o proxy rouba o cookie da sessão. Além de tudo, o Muraena se comunica com o NecroBrowser, passando as os cookies coletados para essa ferramenta, que pode ser controlada por meio de uma API e executar ações por meio de um navegador Chrome zumbi, que pode tirar screenshots de e-mails, tentar redefinir senha, fazer o upload de chaves não autorizadas para o GitHub ou adicionar endereços às caixas de correio, tudo de maneira automatizada. O navegador pode ainda coletar informações sobre contatos de redes sociais e enviar mensagens de phishing para eles. O site destaca que poucas soluções bloqueiam completamente esse ataque.

A Trend Micro divulgou hoje, 3 de junho, a descoberta de uma nova família de malware que ataca servidores, unidades de rede e drives removíveis utilizando oito exploits e ataques de força bruta. A empresa de segurança nomeou o malware como BlackSquid. Eles alertam que o ataque é perigoso já que emprega métodos de anti-virtualização, anti-debugging e anti-sandboxing para determinar se deve continuar com a instalação ou não. O malware tem uma propagação lateral e se utiliza de exploits como EternalBlue; DoublePulsar; e exploits para CVE-2014-6287, CVE-2017-12615 e CVE-2017-8464; e três exploits do ThinkPHP para várias versões. Ao infectar o servidor, o BlackSquid pode obter acesso a dados e informações de empresas e clientes de maneira silenciosa e simultânea. São três pontos de entrada iniciais: uma página infectada visitada devido a servidores infectados; exploits como ponto de entrada inicial para infectar servidores da Web; ou por drives removíveis ou de rede. A Trend Micro explica o passo a passo da infecção, que instala um cryptominer como payload final. O maior número de tentativas identificadas de ataques utilizando esse malware até o momento foi na Tailândia e nos Estados Unidos durante o mês de maio. Os atacantes estão, possivelmente, testando os potenciais dessa nova técnica para ver até onde o malware pode chegar, diz a Trend Micro, tentando, assim, lucrar melhor com os ataques. ?

Uma vulnerabilidade nas versões mais recentes do web servidor gratuito Nginx foi descoberta e divulgada pela especialista em segurança Alisa "Esage" Shevchenko via Twitter. Ela destacou que os burburinhos em torno da falha é "desproporcional e deveria ser interrompido imediatamente". Ainda não há detalhes técnicos sobre o problema, mas várias vulnerabilidades nesse servidor já foram corrigidas anteriormente. No site do Nginx não há nenhum posicionamento sobre as novas falhas, mas a empresa respondeu ao tweet de Alisa dizendo que nenhum bug parece ser explorável. Aguardamos atualizações sobre essa possível falha! ?

O Guardicore Labs, laboratório de pesquisa da empresa de segurança Guardicore, tem acompanhado uma campanha baseada na China, denominada Nansh0u, que visava infectar servidores Windows MS-SQL e phpMyAdmin ao redor do mundo. De acordo com a empresa, há mais de 50 mil servidores pertencentes a empresas dos setores de saúde, telecomunicações, mídia e TI com a falha. Os servidores vulneráveis foram infectados com payloads maliciosos que criam um cryptominer e instalam um rootkit sofisticado em modo kernel para impedir que o malware fosse eliminado. Segundo investigação do Guardicore Labs, 20 versões diferentes de payloads foram lançadas e implementadas ao longo da campanha. A empresa entrou em contato com o provedor de hospedagem dos servidores atacantes, bem como com o emissor do certificado digital utilizado pelos binários do rootkit, que foram removidos e revogado, respectivamente. Ainda de acordo com a empresa, a campanha Nansh0u não é um caso típico de ataque de mineração de criptomoeda - nesse caso, eles usaram técnicas normalmente vistas em APTs - ataques dirigidos avançados persistentes, como certificados falsos ou escalação de privilégios. As ferramentas avançadas de ataque normalmente pertencem a atacantes altamente qualificados, mas essa campanha mostra que essas ferramentas podem cair facilmente nas mãos de invasores menores que os de primeira linha. O Guardicore Labs publicou o cronograma de criação dos payloads e como cada ataque foi executado. ?

A Apple pode ter mais uma vulnerabilidade em seu Gatekeeper. De acordo com o blog do pesquisador Filippo Cavallarin, uma falha na versão MacOS X 10.14.5 pode permitir que atacantes instalem malwares ignorando o Gatekeeper e sem avisar ou pedir permissão explícita ao usuário. Cavallarin explica como o ataque funciona. O Gatekeeper é um mecanismo desenvolvido pela Apple que impõe a assinatura de código e verifica os aplicativos baixados antes de permitir que eles sejam executados. Como o Gatekeeper considera drives externos e compartilhamentos de rede como sendo ambientes seguros, que não necessitam de verificação de permissão para executar um aplicativo, um invasor pode enganar o usuário e executar um aplicativo com arquivo ZIP contendo códigos maliciosos e um link simbólico correto. Isso direcionaria a vítima a um site controlado pelo invasor, mas confiável pelo Gatekeeper. Além disso, o MacOS X possui um recurso legal, o automount (também conhecido como autofs), que permite ao usuário aceitar automaticamente um compartilhamento de rede apenas acessando um caminho "especial". Neste caso, qualquer caminho que comece com "/ net /". Ainda segundo Cavallarin, A Apple foi contatada em 22 de fevereiro de 2019 e está ciente do problema, que deveria ter sido resolvido em 15 de maio de 2019, mas a Apple aparentemente ignorou os avisos do pesquisador, que resolveu tornar a vulnerabilidade pública. Cavallarin alerta que nenhuma solução para a vulnerabilidade está disponível. ? Contudo, é possível desabilitar o automount: 1. Edite o arquivo /etc/auto_master 2. Comente a linha que começa com "/net" 3. Reinicie o computador Aliás, se você quiser mais sobre exploração de vulnerabilidade, tipo essa que o Filippo Cavallarin fez, dá uma olhada no nosso Curso de Exploração de Binários! ?

O OGusers, fórum conhecido por reunir pessoas envolvidas em ataques cibernéticos e clonagem do SIM card (chip) de celulares, teve exposta sua base de dados contendo endereços de e-mail, senhas, endereços IP e mensagens privadas. Cerca de 113 mil usuários do fórum foram afetados, de acordo com o blog KrebsOnSecurity. A nota publicada pelo blog diz ainda que no dia 12 de maio, o administrador do OGusers explicou que houve uma interrupção no fórum por conta de uma falha no disco rígido que teria apagado mensagens privadas de vários meses, publicações no fórum e pontos de prestígio. O administrador disse ainda que restaurou um backup de janeiro. O incidente coincidiu com o roubo do banco de dados de usuários do fórum e com a limpeza dos discos rígidos. Em 16 de maio, o administrador da comunidade rival RaidForums anunciou que disponibilizou o banco de dados OGusers para qualquer um baixar gratuitamente. De acordo com o KrebsOnSecurity, o vazamento do banco de dados poderia ajudar investigadores das forças federais e estaduais a ir atrás de atacantes, já que o OGusers é uma comunidade online famosa por atrair pessoas envolvidas em clonagem de números de telefone como método de assumir as contas redes sociais, e-mail e contas financeiras de vítimas e depois revender o acesso a outras pessoas no próprio fórum. ?‍♀️

O Tor Browser, navegador criado pelo Tor Project para oferecer aos usuários acesso privado à Internet, chegou à versão beta no mundo móvel e está disponível para Android na Google Play em um lançamento estável. O Tor Browser 8.5 está disponível para download com importantes atualizações de segurança para o Firefox. A versão alfa do navegador foi lançada em setembro do ano passado, e desde então o Tor Project vem fazendo melhorias para priorizar usuários que sofrem muita vigilância e censura online, como ativistas ou jornalistas que precisam evitar o monitoramento do governo. O Tor Browser é baseado no Firefox, contendo as mesmas conveniências do navegador, como a navegação com guias, mas não se conecta diretamente a sites. Segundo o Engadget, ele usa uma rede de servidores criptografados que envia solicitações em vários links intermediários, ocultando seu endereço IP e identidade. O navegador não está disponível para o sistema iOS, por conta de restrições da Apple, mas o Tor recomenda o uso do Onion Browser para usuários de iPhone e iPad.

Uma variante do malware Mirai, identificada como Backdoor.Linux.MIRAI.VWIPT, foi detectada pela Trend Micro. De acordo com comunicado divulgado hoje pela companhia de segurança, a nova versão do malware, que infecta roteadores, usa 13 exploits diferentes, quase todas já utilizadas nos ataques anteriores do Mirai. Variantes típicas do Mirai possuem backdoors e capacidades para ataques distribuídos de negação de serviço (DDoS). Todavia, este caso surge como a primeira vez que uma variante usa 13 exploits juntos numa única campanha. O novo ataque ocorre apenas algumas semanas após a Trend Micro ter relatado as últimas atividades do Mirai, que afetaram diversos roteadores. Vários exploits do ataque anterior também foram usados nessa variante. O malware usou diferentes meios de propagação e também revelou o uso de três chaves XOR para criptografar dados. A companhia também identificou diferentes URLs usadas por esta variante, sendo que a primeira serviu como um servidor de comando e controle (C&C), enquanto as outras eram links de download e dropper. A Trend Micro identificou ainda como a variante se espalha. Os três primeiros exploits são scanners de vulnerabilidades específicas encontradas no framework de desenvolvimento web ThinkPHP e em alguns roteadores Huawei e Linksys. Os scanners para as outras 10 vulnerabilidades foram encontradas dentro da função exploit_worker(). A companhia divulgou uma lista dos exploits e outros ataques, sendo que 11 deles já haviam sido usados em 2018 pela variante Omni. Também foi publicada uma lista com URLs maliciosas relacionadas aos ataques.

Uma base de dados com informações de contatos de milhões de influenciadores no Instagram, celebridades e marcas foi encontrada na Internet. Segundo o site TechCrunch, a base de dados, que é hospedada pela Amazon Web Services, foi exposta sem senha, permitindo a qualquer pessoa o acesso às informações. Foram cerca de 49 milhões de registros vazados que, segundo o TechCrunch, aumentavam a cada hora. ? Cada registro continha dados públicos extraídos de contas de influenciadores do Instagram, incluindo a biografia, foto do perfil, número de seguidores, se eles são verificados e a localização por cidade e país. Além disso, também foram divulgadas informações privadas, como o endereço de e-mail e o número de telefone do proprietário da conta do Instagram. O TechCrunch disse ainda que rastreou a origem da base de dados. É de uma empresa localizada em Mumbai chamada Chtrbox, que paga influenciadores para publicar conteúdo patrocinado em suas contas. Cada conta continha informações sobre o valor daquele perfil com base em número de seguidores, engajamento, alcance, likes e compartilhamentos. A métrica é utilizada para determinar quando a companhia poderia pagar uma celebridade ou influenciador para publicar um anúncio. A Chtrbox já desativou o acesso ao banco de dados. Procurada pelo TechCrunch, a empresa não respondeu ao pedido de comentários e a várias perguntas, incluindo como obteve endereços de e-mail e números de telefone privados de contas do Instagram. O caso ocorre dois anos depois o Instagram admitir que um bug de segurança na API de desenvolvimento permitiu que atacantes obtivessem endereços de e-mail e números de telefone de seis milhões de contas do Instagram. Os invasores venderam os dados em troca de bitcoins. O Facebook, dono do Instagram, enviou comunicado ao TechCrunch informando que está analisando a questão para entender se os dados descritos, incluindo e-mail e números de telefone, são do Instagram ou de outras fontes. "Também estamos questionando a Chtrbox para entender de onde esses dados vieram e como se tornaram disponíveis publicamente", acrescentou.

A Ticketmaster está introduzindo o sistema SafeTix para proteger seus ingressos e evitar fraudes. O sistema dá ao comprador um código de barras único e criptografado que é atualizado a cada segundo. De acordo com o site SportBusiness, o sistema está pronto para ser usado em 500 locais até o final deste ano, sendo que sua implantação ocorrerá na temporada de 2019 da NFL (National Football League). O ingresso "mutante", com atualização contínua de códigos de barras criptografados, foi projetado para combater fraudes que ocorrem por meio do famoso print screen, ou seja, as capturas de tela ou outras cópias de códigos de barras estáticos. Toda vez que um ingresso for vendido ou transferido, um novo ingresso digital será emitido e vinculado à conta e ao telefone celular do destinatário, com um processo contínuo de atualização do código de barras. O plano da Ticketmaster é expandir o novo ingresso para shows de diversos artistas e introduzir a tecnologia near-field communications (NFC), conjunto de protocolos de comunicação que permite que dois dispositivos eletrônicos estabeleçam comunicação a 4cm de distância um do outro. Futuramente, o ingresso também poderá ser escaneado via Apple Wallet.