Bruna Chieco

Um pesquisador de segurança encontrou um bug "crítico" no mecanismo de jogo da desenvolvedora de jogos Valve, que alimenta, entre outros jogos, o Counter Strike. Segundo reportagem da Vice, a partir dessa falha, atacantes poderiam assumir o controle dos computadores das vítimas apenas enganando-as para que cliquem em um convite do software de gestão Steam. O pesquisador diz ter alertado a Valve sobre a falha em junho de 2019. Embora o bug tenha sido corrigido em alguns jogos que usam o motor Source, ele ainda está presente no Counter Strike: Global Offensive. Outro pesquisador também encontrou o mesmo bug meses depois. Por meio dessa falha, atacantes poderiam espalhá-la automaticamente, quase como um worm. Ou seja, depois de infectar alguém, a pessoa pode ser transformada em "arma" para infectar seus amigos e assim por diante.

Bancos digitais são cada vez mais comuns, com instituições financeiras aumentando suas ofertas em plataformas online para otimizar a eficiência e melhorar a experiência do cliente. Por outro lado, isso torna essas ferramentas expostas a um nível maior de risco de malware. A SecurityScorecard, empresa de segurança da informação focada em entidades corporativas, listou os principais tipos de malwares bancários que hoje ameaçam o sistema financeiro: 1. Zeus Atuante no cenário digital desde 2007, o Zeus entrou está entre os malwares bancários mais antigos e que originalmente roubava credenciais do usuário, manipulava formulários de página ou redirecionava usuários para sites não autorizados. Com sua evolução, o malware passou a ser capaz de escapar da detecção por longos períodos e até mesmo gerar receita. O Zeus é um dos malwares bancários mais comuns e difundidos, embora sua versão original tenha sido neutralizada. Muitas ameaças de malware bancário vêm da família Zeus. 2. Gozi O Gozi também é uma das ameaças de malware bancário mais antigas, e continua sendo uma das principais ameaças para o setor de serviços financeiros. O malware engana os usuários para que enviem informações confidenciais ou concluam transações financeiras em contas que não pertencem a eles. Em constante evolução e implementação de novas técnicas de evasão avançadas, o Gozi se conecta com outras ameaças de malware, como DanaBot ou Tinba. 3. Citadel Descendente do Zeus, o Citadel foi identificado pela primeira vez em 2011, tendo como alvo de credenciais de login armazenadas em gerenciadores de senha. O malware não é uma ameaça tão ativa quanto era há quase 10 anos, mas sua ampla distribuição nos primeiros anos de atuação significa que essa ameaça pode reaparecer a qualquer momento. 4. Emotet O Emotet entrou no setor bancário em 2014 e começou como um malware relativamente simples, normalmente usado para obter acesso a sistemas não autorizados, vendendo-os a outros cibercriminosos. Mas ele evoluiu nos anos seguintes, se tornando capaz de liberar pedaços adicionais de malware. 5. SpyEye O SpyEye rouba credenciais de usuário e fundos de contas bancárias online. Seu alvo mais frequente são usuários do Windows em navegadores da Internet comuns. O principal objetivo desse malware é, normalmente, roubar informações altamente confidenciais, identidades de usuários e cometer furtos financeiros. O SpyEye é o único malware que tentou remover seu concorrente, Zeus, incluindo um recurso que removeria o malware de uma máquina já infectada. 6. Panda Variante do Zeus, o Panda aproveita técnicas como ataques man-in-the-brows (MITB) ou registro de pressionamento de tecla. No entanto, seu principal diferencial é a capacidade de escapar da detecção, existindo pelo menos 23 ferramentas analíticas forenses conhecidas que o Panda pode detectar. Como os bancos podem se proteger contra ameaças de malware A SecurityScorecard alerta que o setor bancário continua a adotar tecnologias emergentes e fornecer novos serviços aos clientes, o que faz com que a segurança cibernética deva permanecer em alta. Para garantir que as políticas e programas de segurança corretos estejam em vigor, as organizações devem considerar o seguinte: 1. Implementar um programa de gerenciamento de risco de segurança cibernética Um programa de gerenciamento de risco de segurança cibernética eficaz deve ser desenvolvido de acordo com os objetivos de negócios da organização em mente. A primeira etapa é avaliar todos os dados que precisam ser protegidos e, em seguida, identificar quaisquer vulnerabilidades nesses ativos. A partir daí, a equipe de segurança de TI pode priorizar as ameaças com base em seu impacto potencial geral e determinar um plano de ação para estabelecer os controles de segurança adequados no futuro. 2. Treinamento de funcionários Os funcionários são a primeira linha de defesa para as organizações, e por isso é fundamental que eles entendam as ameaças enfrentadas por sua organização ou setor específico, bem como como reagir a elas. Com a recente mudança para ambientes de trabalho mais remotos, os ataques de engenharia social estão aumentando, e a conscientização e o treinamento dos funcionários são uma necessidade crescente para as organizações. 3. Monitore continuamente o risco cibernético de terceiros Com regulamentações cada vez mais rigorosas no setor bancário, especificamente quando se trata de monitorar fornecedores terceirizados, há diretrizes cada vez mais rígidas que devem ser seguidas para gerenciar o risco de terceiros. É importante observar essas regulações de maneira a garantir que todo o ecossistema de TI se mantenha em conformidade com os mandatos relevantes da indústria. 4. Aproveite a inteligência sobre ameaças de segurança cibernética Inteligência de ameaças de cibersegurança são vários dados coletados para ajudar as organizações a obter uma melhor compreensão do cenário de ameaças e outras tendências na segurança cibernética. Ao fazer isso, as equipes de segurança podem analisar ameaças do passado, presente e futuro, tomando, assim, decisões mais baseadas em dados sobre como melhorar a higiene cibernética da organização.

Um arquivo contendo dados supostamente retirados de 500 milhões de perfis do LinkedIn foi colocado à venda em um fórum de hackers popular, segundo informa o CyberNews. Os arquivos vazados contêm informações sobre os usuários da rede social cujos dados foram supostamente copiados pelo atacante, incluindo seus nomes completos, endereços de e-mail, números de telefone, informações sobre o local de trabalho e mais. Os dados estão sendo vendidos por cerca de US$ 2 em créditos no fórum, e o ator da ameaça parece estar leiloando o banco de dados de usuários por pelo menos uma soma de 4 dígitos, provavelmente em bitcoin. O autor da postagem afirma que os dados foram copiados do LinkedIn, o que foi confirmado pela equipe do CyberNews após análise das amostras fornecidas no fórum de hackers. Os arquivos vazados parecem conter apenas informações de perfil do LinkedIn, não sendo encontrado nenhum dado profundamente sensível, como detalhes de cartão de crédito ou documentos legais na amostra postada pelo ator da ameaça. Não está claro, contudo, se o ator da ameaça está vendendo perfis atualizados do LinkedIn ou se os dados foram obtidos ou agregados de uma violação anterior sofrida pela rede social ou por outras empresas. Uma declaração do LinkedIn afirma que os dados para venda não foram adquiridos como resultado de uma violação de dados, sendo na verdade uma agregação de dados de vários sites e empresas. O CyberNews disponibilizou um verificador de vazamento de dados pessoais com mais de 780 mil endereços de e-mail associados a esse vazamento. Acesse aqui.

Um pesquisador encontrou uma falha no Editor de Texto, aplicativo de edição de texto pré-instalado em Macs, que poderia revelar o endereço IP do usuário a um hacker. Segundo a Vice, o bug, que já foi corrigido pela Apple, potencialmente permitia que um atacante enganasse o Mac de uma vítima para revelar seu endereço IP apenas baixando um arquivo .txt e abrindo-o com o Editor de Texto. A falha fazia com que o aplicativo analisasse e interpretasse automaticamente o código HTML. Para acionar essa vulnerabilidade, o atacante teria que inserir algum código HTML malicioso no arquivo de texto para fazer o Editor de Texto acessar um servidor remoto controlado pelo atacante. O pesquisador disse também que o bug encontrado poderia ter sido usado junto com outras falhas para causar muito mais danos do que apenas revelar o endereço IP da vítima, podendo inclusive assumir o controle da máquina da vítima. Ele revelou ainda que o Editor de Texto tinha recursos como chamar para outros arquivos e pastas locais no disco rígido e até fazer uma solicitação para um servidor remoto, podendo fazer com que um atacante tirasse proveito desses recursos com algum código HTML escondido em um arquivo de texto aparentemente inocente. Além disso, o sistema de proteção contra malware da Apple basicamente tratava todos os arquivos .txt baixados como seguros. Para evitar ser afetado por este bug basta manter o sistema macOS atualizado, mas o pesquisador afirma que possivelmente existem outras falhas no Editor de Texto que estão sendo analisadas e serão relatadas à Apple.

O EtterSilent é um novo malware criador de documentos maliciosos que tem utilizado o DocuSign para enganar vítimas. Segundo descoberta do Intel 471, o “produto” tem sido alavancado por vários grupos de crimes cibernéticos, e à medida que cresceu em popularidade, foi atualizado constantemente para evitar a detecção. O grupo de inteligência em cibersegurança diz que o malware foi anunciado pela primeira vez em um fórum russo de crimes cibernéticos, onde o vendedor ofereceu dois tipos de documentos do Microsoft Office como arma aos usuários: um que explora uma vulnerabilidade conhecida no Microsoft Office (CVE-2017-8570) e outro que usa uma macro maliciosa, sendo essa a escolha mais popular do cibercriminosos. O documento malicioso, quando aberto, mostra um modelo que se apresenta como DocuSign, popular software que permite que indivíduos e organizações assinem documentos de maneira digital. Ele então aproveita as macros do Excel 4.0 armazenadas em uma planilha oculta, o que permite que uma carga hospedada externamente seja baixada, gravada em disco e executada usando regsvr32 ou rundll32. O Intel 471 diz ainda que o EtterSilent está sendo utilizado em muitas campanhas de malware familiares para a maioria dos especialistas em segurança cibernética, entre elas uma campanha de spam recente para lançar uma versão atualizada do Trickbot. O documento malicioso foi anexado em um e-mail que fingia ser de um conhecido fabricante multinacional de eletrodomésticos, alegando ser uma fatura de pagamento. Em 19 de março de 2021, o EtterSilent foi usado como parte de uma campanha do malware Bazar. O documento malicioso, neste caso, não usava um modelo DocuSign, mas a planilha principal do Excel era chamada de “DocuSign®”. Ele baixa, então, a carga útil do Bazar, que por sua vez se conecta a outro URL que baixa a backdoor do Bazar. Três cavalos de Troia bancários – BokBot, Gozi ISFB e QBot – também usaram o EtterSilent em conjunto com seus esquemas. O Intel 471 rastreou ainda uma campanha específica ligada ao BokBot contendo URLs de distribuição embutidos nos documentos maliciosos do EtterSilent.

Uma vulnerabilidade que afeta VPNs da Fortinet está sendo explorada por uma nova cepa de ransomware operada por humanos, o Cring, que viola e criptografa redes de empresas do setor industrial. De acordo com o BleepingComputer, o ransomware Cring, também conhecido como Crypt3r, Vjiszy1lo, Ghost e Phantom, foi descoberto em janeiro e detectado pela equipe CSIRT do provedor de telecomunicações suíço Swisscom. Relatório da Kaspersky revelou que os invasores têm explorado servidores Fortigate SSL VPN expostos à Internet e não corrigidos contra a vulnerabilidade CVE-2018-13379, permitindo a violação da rede de seus alvos. A partir do dispositivo Fortinet VPN, os operadores Cring movem-se lateralmente na rede corporativa de destino, roubando credenciais de usuário do Windows, usando Mimikatz para obter o controle da conta do administrador de domínio. As cargas úteis do ransomware são entregues aos dispositivos nas redes das vítimas usando a estrutura de emulação de ameaças Cobalt Strike implantada por meio de um script PowerShell malicioso. O ransomware criptografa apenas arquivos específicos nos dispositivos comprometidos usando algoritmos de criptografia robustos após remover os arquivos de backup e eliminar os processos do Microsoft Office e do Oracle Database. Em seguida, ele envia notas de resgate avisando as vítimas de que sua rede foi criptografada e que elas precisam pagar o resgate. As vítimas têm usado o serviço ID-Ransomware para verificar se seus sistemas foram atingidos pelo ransomware Cring desde que a operação apareceu pela primeira vez, em dezembro de 2020. Desde o final de janeiro, 30 amostras de ransomware Cring foram enviadas até o momento, diz o BleepingComputer.

Um malware recém-descoberto para Android foi encontrado na Play Store do Google disfarçado de uma ferramenta do Netflix. Segundo o BleepingComputer, ele foi projetado para se espalhar automaticamente para outros dispositivos usando respostas automáticas do WhatsApp às mensagens recebidas. Os pesquisadores da Check Point Research descobriram o novo malware, que se disfarça de um aplicativo chamado FlixOnline e tenta atrair vítimas em potencial com promessas de acesso gratuito ao conteúdo da Netflix. Os pesquisadores revelaram seus resultados de pesquisa ao Google, que rapidamente retirou o aplicativo malicioso da Play Store. Ainda assim, o app malicioso foi baixado cerca de 500 vezes ao longo dos dois meses em que estava disponível para download na loja. Depois que o aplicativo é instalado em um dispositivo Android, o malware inicia um serviço que solicita sobreposição, ignorar a otimização da bateria e permissões de notificação. Quando as permissões são concedidas, o malware gera sobreposições em qualquer janela de aplicativo para roubar credenciais, impedir que o dispositivo desligue seu processo para otimizar o consumo de energia, obter acesso a notificações de aplicativo e gerenciar ou responder a mensagens. Em seguida, ele começa a monitorar novas notificações do WhatsApp para responder automaticamente a todas as mensagens recebidas usando cargas de texto personalizadas recebidas do servidor de comando e controle criadas por seus operadores. A Check Point diz ainda que a técnica é sequestrar a conexão com o WhatsApp capturando notificações, realizando ações predefinidas, como 'dispensar' ou 'responder' por meio do gerenciador de notificações. Os pesquisadores reforçam que o fato de que o malware foi capaz de ser disfarçado tão facilmente e, em última análise, contornar as proteções da Play Store, levanta alguns sinais de alerta graves.

O Facebook lançou, no ano passado, um novo Red Team que tem como objetivo investigar produtos de terceiros cujas fraquezas podem afetar a própria segurança da rede social. O chamado Red Team X trabalha independentemente do Red Team original do Facebook. Segundo reportagem da Wired, a equipe passou o último ano procurando vulnerabilidades nos produtos que a empresa usa, o que poderia tornar toda a Internet mais segura. A maioria das grandes empresas de tecnologia tem um Red Team que atua planejando ataques como atacantes reais fariam para ajudar a evitar invasões em potencial. O Red Team X do Facebook se concentra na avaliação de hardware e software dos quais a rede social depende, mas não desenvolve sozinho. Tudo começou quando o Red Team original do Facebook grupo recebeu, no ano passado, muitos pedidos para pesquisar produtos que estavam fora de seu escopo tradicional. Com o Red Team X, a rede social colocou recursos dedicados para eliminar essas consultas. O objetivo é examinar a segurança de praticamente qualquer coisa que tenha consequências para o Facebook como empresa. O grupo conta com seis hackers de hardware e software com ampla experiência dedicada a essa verificação. Ainda segundo a Wired, em 13 de janeiro, o Red Team X divulgou publicamente uma vulnerabilidade pela primeira vez. Era um problema com o AnyConnect VPN da Cisco, que já foi corrigido. Depois, publicou mais duas vulnerabilidades: um bug da nuvem Amazon Web Services que envolvia o módulo PowerShell de um serviço AWS e duas vulnerabilidades em um controlador de sistema de energia do fabricante de controle industrial Eltek chamado Smartpack R Controller. Veja aqui.

A fabricante taiwanesa de eletrônicos e computadores Acer foi atingida por um ataque do ransomware REvil. Segundo informações obtidas pelo BleepingComputer, os atacantes estão exigindo um resgate de US$ 50 milhões. O BleepingComputer teve acesso a informações do site da gangue de ransomware dizendo que a Acer havia sofrido o ataque, compartilhando algumas imagens de arquivos supostamente roubados como prova. Em resposta às perguntas do BleepingComputer, a Acer não declarou se sofreu um ataque do ransomware REvil, dizendo apenas que "relataram situações anormais recentes". A Acer disse ainda que monitora rotineiramente seus sistemas de TI e a maioria dos ataques cibernéticos está bem defendida. "Empresas como nós estão constantemente sob ataque e relatamos situações anormais recentes observadas às autoridades policiais e de proteção de dados relevantes em vários países". A Acer complementou dizendo que "há uma investigação em andamento" e que por questões de segurança não poderia comentar os detalhes.

O Google Threat Analysis Group (TAG) documentou em janeiro uma campanha cujo alvo são pesquisadores de segurança. Na época, a empresa associou a campanha a uma entidade apoiada pelo governo norte-coreano. O Google TAG disse ainda que, para construir credibilidade e se conectar com os pesquisadores de segurança, os atores estabeleceram um blog de pesquisa e vários perfis no Twitter para interagir com alvos em potencial. O blog contém relatórios e análises de vulnerabilidades que foram divulgadas publicamente, incluindo postagens de “convidados” de pesquisadores de segurança aparentemente legítimos. O Google TAG alega que essa é provavelmente uma tentativa de construir credibilidade adicional com outros pesquisadores de segurança. Agora no mês de março, o Google TAG identificou que os mesmos atores por trás desses ataques criaram um novo site com perfis de mídia social associados para uma empresa falsa chamada “SecuriElite”. O novo site afirma que a empresa é da área de segurança ofensiva, localizada na Turquia, oferecendo pentests, avaliações de segurança de software e exploits. O site tem um link para sua chave pública PGP na parte inferior da página e em janeiro, pesquisadores relataram que a chave hospedada no blog agiu como uma isca para visitar o site onde uma exploração do navegador estava esperando para ser acionada. A falsa equipe do SecuriElite também mantém perfis em mídias sociais, como o LinkedIn. O Google TAG afirma ter identificado duas contas que se fazem passar por recrutadores de empresas de antivírus e segurança. Os perfis foram denunciados, diz o Google. "Após nossa postagem no blog de janeiro, os pesquisadores de segurança identificaram com sucesso esses atores usando um 0-day do Internet Explorer. Com base em sua atividade, continuamos a acreditar que esses atores são perigosos. Encorajamos qualquer pessoa que descobrir uma vulnerabilidade do Chrome a relatar essa atividade por meio do processo de envio do programa de recompensas para vulnerabilidades do Chrome", diz o Google TAG.

Um novo malware chamado BazarCall utiliza call centers para distribuir alguns dos malwares mais prejudiciais do Windows. Segundo o BleepingComputer, o novo malware está sendo distribuído por call centers no final de janeiro e é utilizado para instalar o malware BazarLoader. A campanha começa com um e-mail de phishing, mas a partir daí se desvia para um novo método de distribuição, usando call centers para distribuir documentos Excel maliciosos que instalam malwares. Em vez de agrupar anexos, os e-mails do BazarCall solicitam aos usuários que liguem para um número de telefone para cancelar uma assinatura antes de serem cobrados automaticamente. Esses call centers direcionam os usuários a um site especialmente criado para baixar um "formulário de cancelamento" que instala o malware BazarCall. O BleepingComputer explica que os ataques BazarCall começam com um e-mail de phishing direcionado a usuários corporativos que afirmam que o teste gratuito do destinatário está prestes a acabar. No entanto, esses e-mails não fornecem detalhes sobre a suposta assinatura, solicitando que o usuário entre em contato com um número de telefone listado para cancelar a assinatura antes de ser cobrado. Quando um destinatário liga para o número, ele é atendido por uma pessoa. Quando ele solicita mais informações sobre como cancelar a assinatura, o agente do call center pede à vítima um ID de cliente exclusiva incluído no e-mail. Um pesquisador da Binary Defense disse ao BleepingComputer que esse ID é um componente central do ataque e é usado pelo call center para determinar se o chamador é uma vítima específica. Se um ID de cliente correto for fornecido, o agente do call center direciona o usuário a um site falso que finge ser a empresa de serviços. O agente telefônico permanece ao telefone com a vítima a guiando até uma página de cancelamento onde será solicitada a inserção de seu ID de cliente. Quando o usuário insere seu número de ID de cliente, o site automaticamente solicita ao navegador que faça download de um documento Excel. O agente do call center ajuda a vítima a abrir o arquivo e a clicar no botão 'Habilitar Conteúdo' para habilitar macros maliciosos. Quando os macros do Excel são habilitadas, o malware BazarCall é baixado e executado no computador da vítima.

Um fórum destinado a informações de roubo e troca de cartões de crédito chamado Carding Mafia foi hackeado, expondo quase 300 mil contas de usuários, de acordo com o serviço de notificação de violação de dados Have I Been Pwned. Segundo a Vice, a violação de dados supostamente expôs os endereços de e-mail, endereços IP, nomes de usuário e senhas com hash de 297.744 usuários. No fórum do Carding Mafia e em seu canal público Telegram não há sinal de que seus usuários tenham sido notificados sobre o vazamento. A Vice destaca que o fórum tem mais de 500 mil usuários, de acordo com as próprias estatísticas do fórum. O fundador do Have I Been Pwned disse à reportagem que conseguiu confirmar que o banco de dados hackeado é legítimo, e que nele havia endereços de e-mail Mailinator, um serviço que permite a qualquer pessoa criar endereços de e-mail descartáveis. Ele conseguiu validar os endereços do fórum usando o recurso Esqueci minha senha. A Vice aponta ainda que em outro fórum um usuário estava anunciando os dados supostamente roubados do Carding Mafia em janeiro deste ano.

O projeto PHP anunciou que atacantes invasores conseguiram obter acesso ao seu servidor Git principal, enviando dois commits com código malicioso, incluindo uma backdoor. Segundo o ThreatPost, eles foram descobertos antes de entrarem em produção. O PHP é uma linguagem de script de código aberto amplamente usada para desenvolvimento web, podendo ser incorporada em HTML. Os commits foram enviados para o repositório php-src, oferecendo aos atacantes uma oportunidade de infectar sites que pegam o código malicioso acreditando que seja legítimo. Ambos os commits alegaram “consertar um erro de digitação” no código-fonte. Eles foram enviados usando os nomes dos mantenedores do PHP, Rasmus Lerdorf e Nikita Popov, de acordo com uma mensagem enviada por Popov para a lista de discussão do projeto. Tudo aponta para um comprometimento do servidor git.php.net. Popov disse que enquanto a investigação ainda está em andamento, a infraestrutura git é um risco de segurança desnecessário e o servidor git.php.net será descontinuado. Assim, os repositórios no GitHub, que antes eram apenas espelhos, se tornarão canônicos, o que significa que as alterações devem ser enviadas diretamente para o GitHub em vez de para git.php.net.

A Microsoft, em parceria com a WOMCY, organização responsável pela capacitação e incentivo a mulheres na área de cibersegurança, lançaram o 'Momentum WOMCY & Microsoft: Porque eu Mereço!', uma iniciativa que selecionará 50 histórias de mulheres inspiradoras que atuam na área de cibersegurança. O objetivo é estimular a presença de mulheres no mercado de tecnologia, e as histórias selecionadas ganharão vouchers de certificação no mundo de Cloud – Microsoft Azure. Para participar, as profissionais devem acessar o link oficial da iniciativa, preencher todas as informações solicitadas até 31 de março, e contar um momento especial que passou em cibersegurança, explicando por que a história deve ser uma das ganhadoras do voucher. As histórias escolhidas por profissionais da Microsoft e WOMCY serão divulgadas no dia 19 de abril, pelas redes sociais da Microsoft e WOMCY. Depois disso, as mulheres selecionadas terão até 10 de dezembro para realizar os exames de certificação. Cada voucher poderá ser utilizado em uma das seguintes certificações: Exam AZ-900: Microsoft Azure Fundamentals, Exam DP-900: Azure Data Fundamentals e Exam AZ-500: Microsoft Azure Security Technologies. Inscreva-se!

O Microsoft Teams lançou esta semana o Bounty Awards para o Teams Desktop Client. Segundo comunicado da empresa, os prêmios podem chegar a US$ 30 mil, e o cliente de desktop Teams é o primeiro aplicativo no escopo do novo Programa de Recompensas de Apps da plataforma. "A parceria com a comunidade de pesquisa de segurança é uma parte importante da abordagem holística da Microsoft para a defesa contra ameaças à segurança. Como grande parte do mundo passou a trabalhar em casa no ano passado, o Microsoft Teams permitiu que as pessoas permanecessem conectadas, organizadas e colaborassem remotamente. A Microsoft e os pesquisadores de segurança em todo o planeta continuam fazendo parceria para ajudar a proteger os clientes e as tecnologias que usamos para colaboração remota", diz o comunicado sobre o programa de recompensas. O programa inclui 5 prêmios baseados em cenário para vulnerabilidades que têm o maior impacto potencial na privacidade e segurança do cliente. As recompensas para esses cenários variam entre US$ 6 mil a US$ 30 mil. Além disso, serão oferecidas recompensas por outros relatórios de vulnerabilidade válidos para o cliente de desktop do Teams que não se qualifica para os prêmios baseados em cenário. As recompensas para esses relatórios variam de US$ 500 a US$ 15 mil. Relatórios válidos para pesquisas do Microsoft Teams também são elegíveis para um multiplicador de bônus 2x no Programa de Reconhecimento de Pesquisador. Os pontos ganhos contribuem para uma qualificação na lista anual de Pesquisadores de Segurança Mais Valiosos do Microsoft Security Response Center.

Um novo vetor de infecção do malware Purple Fox coloca sistemas Windows voltados para a Internet em risco de ataques de força bruta. A Guardicore Labs emitiu comunicado informando que a campanha ativa de malware que visa máquinas Windows até então utilizada kits de exploração e e-mails de phishing para seus ataques. Agora, o novo vetor de infecção do Purple Fox tem como alvo máquinas Windows voltadas para a Internet, que estão sendo violadas por meio de ataques de força bruta de senha. A Guardicore Labs também identificou uma vasta rede de servidores comprometidos hospedando seu dropper e payloads, aparentando ser servidores Microsoft IIS 7.5. Além disso, o malware Purple Fox inclui um rootkit que permite aos agentes da ameaça oculta-lo na máquina, dificultando a sua detecção e a remoção. O Purple Fox foi descoberto em março de 2018, sendo classificado como um kit de exploração voltado para computadores com Internet Explorer e Windows com escalonamento de privilégios. No entanto, ao longo do final de 2020 e início de 2021, a Guardicore Global Sensors Network (GGSN) detectou a nova técnica de propagação por meio de varredura indiscriminada de portas e exploração de serviços SMB expostos com senhas fracas e hashes. Em maio de 2020, houve uma quantidade significativa de atividades maliciosas, e o número de infecções observados pela Guardicore aumentou cerca de 600%, atingindo um total de 90 mil ataques. Eles relatam que a funcionalidade do Purple Fox não mudou muito após a exploração, mas sim os seus métodos de propagação e distribuição, com um comportamento semelhante a um worm. A Guardicore Labs dá mais detalhes sobre a análise realizada sobre os ataques do Purple Fox.

Mais uma empresa da área de tecnologia foi vítima de um ataque de ransomware. A Stratus Technologies informou que sofreu o incidente no dia 17 de março. "Ao detectar atividades suspeitas, colocamos vários sistemas offline para isolar o problema e iniciamos nosso plano de continuidade de negócios", diz comunicado da companhia. A empresa informa ainda que as autoridades policiais federais foram notificadas sobre o ataque, e especialistas no assunto recrutados para avaliar a natureza e o escopo do incidente. "Como medida de precaução, colocamos offline o Active Service Network (ASN) e o Stratus Service Portal. Com relação ao ASN, entramos em contato com nossos clientes e parceiros para fornecer mais suporte", diz o comunicado assinado por Dave Laurello, Presidente e CEO da Stratus Technologies. Os produtos Stratus são comumente usados por bancos, provedores de telecomunicações, call centers de emergência e serviços de saúde. Seu principal foco é a produção de servidores e software de computadores tolerantes a falhas.

A Shell foi impactada por um incidente de segurança de dados envolvendo o File Transfer Appliance da Accellion, empresa de soluções em nuvem. Segundo a companhia de energia, o dispositivo é utilizado para transferir com segurança grandes arquivos de dados. "Ao saber do incidente, a Shell abordou as vulnerabilidades com seu provedor de serviços e equipe de segurança cibernética e iniciou uma investigação para entender melhor a natureza e a extensão do incidente", diz comunicado da empresa. Não há evidências de qualquer impacto nos principais sistemas de TI da Shell, segundo o comunicado. "A investigação em andamento mostrou que uma parte não autorizada obteve acesso a vários arquivos durante um período de tempo limitado", diz a Shell, informando que alguns arquivos continham dados pessoais e outros incluíam dados de empresas do grupo e alguns de seus acionistas. A Shell diz ainda que está em contato com os indivíduos afetados e partes interessadas, trabalhando para tratar de possíveis riscos. "Também entramos em contato com reguladores e autoridades relevantes e continuaremos a fazê-lo à medida que a investigação continuar", continua o comunicado. O BleepingComputer divulgou que uma declaração conjunta publicada pela Accellion e pela Mandiant no mês passado liga os ataques ao grupo de crimes cibernéticos FIN11. A gangue do ransomware Clop também tem usado uma vulnerabilidade 0-day do Accellion FTA, divulgada em meados de dezembro de 2020, para comprometer e roubar dados de várias empresas. A Accellion disse ainda que 300 clientes estavam usando o software FTA antigo, de 20 anos. Além da Shell, outras organizações podem ter sido afetadas por ataques contra o Accellion FTA. O BleepingComputer relacionou estes ataques com o incidente ocorrido com a empresa de segurança Qualys, além de incidentes envolvendo a rede de supermercados Kroger, o Banco da Reserva da Nova Zelândia, a Comissão de Valores Mobiliários e Investimentos da Austrália (ASIC), entre outros.

Um malware de roubo de contas tem como alvo os usuários dos principais provedores de serviços, incluindo Google, Facebook, Amazon e Apple. Segundo o BleepingComputer, o malware, apelidado de CopperStealer por pesquisadores da Proofpoint, é um ladrão de senhas e cookies desenvolvido ativamente com um recurso de download que permite que seus operadores forneçam cargas maliciosas adicionais aos dispositivos infectados. O CopperStealer funciona coletando senhas salvas nos navegadores Google Chrome, Edge, Firefox, Yandex e Opera. Contas comprometidas foram utilizadas para executar anúncios maliciosos e entregar malware adicional em campanhas subsequentes de malvertising – uso de publicidade online para espalhar malware. "Enquanto analisamos uma amostra [do malware] que tem como alvo empresas e anunciantes do Facebook e Instagram, também identificamos versões adicionais que têm como alvo outros provedores de serviços importantes, incluindo Apple, Amazon, Bing, Google, PayPal, Tumblr e Twitter", disse a Proofpoint em relatório. Além de roubar as senhas, o malware recupera o token de acesso do usuário do Facebook das vítimas usando cookies roubados para coletar contexto adicional, incluindo a lista de amigos, informações de contas de anúncios e uma lista de páginas do Facebook. O CopperStealer está sendo distribuído através de sites falsos de software crack e plataformas de distribuição de malware. Para evitar os possíveis ataques, o BleepingComputer aconselha usuários a ativarem a autenticação de dois fatores sempre que possível como uma camada adicional de proteção contra tais tentativas.

Uma falha no recurso de compartilhamento de tela do Zoom pode mostrar partes das telas que os apresentadores não pretendiam compartilhar. A falha de segurança CVE-2021-28133 foi encontrada na versão 5.5.4 da plataforma, segundo o ThreatPost, e pode vazar inadvertidamente os dados dos usuários para outros participantes da reunião. Segundo a publicação, por ser uma execução rápida, um ataque potencial é mais difícil de ser executado. O compartilhamento de tela da plataforma de videoconferência Zoom permite que os usuários compartilhem o conteúdo de suas telas com outros participantes em uma reunião optando por compartilhar sua tela inteira, uma ou mais janelas de aplicativos ou apenas uma área selecionada de sua tela. No entanto, "sob certas condições", se um apresentador do Zoom escolher compartilhar uma janela do aplicativo, o recurso de compartilhamento de tela transmite brevemente o conteúdo de outras janelas do aplicativo para os participantes da reunião. O problema ocorre quando um usuário compartilha uma janela dividida do aplicativo (como slides de apresentação em um navegador da Internet) e, ao abrir outros aplicativos em segundo plano, que deveria estar modo não compartilhado, o conteúdo da janela pode ser percebido por um “breve momento” pelos participantes da reunião. O risco acontece principalmente se a reunião estiver sendo gravada e a parte visualizada apresentar dados sensíveis. O ThreatPost informa que seria difícil explorar o bug intencionalmente, pois o invasor precisaria ser um participante de uma reunião em que dados vazassem inadvertidamente, portanto a falha é considerada de gravidade média na escala CVSS. A vulnerabilidade foi relatada por pesquisadores da SySS ao Zoom em 2 de dezembro. O ThreatPost afirma que entrou em contato com o Zoom para mais comentários sobre a falha e se ela será corrigida no próximo lançamento, programado para o dia 22 de março. “O Zoom leva todos os relatórios de vulnerabilidades de segurança a sério. Estamos cientes desse problema e estamos trabalhando para resolvê-lo”, disse um porta-voz da empresa ao ThreatPost.

Um adolescente da Flórida foi acusado de coordenar a invasão de contas de nomes importantes no Twitter, executando um golpe para roubar criptomoeda que arrecadou cerca de US$ 120.000 em bitcoins em julho do ano passado. O jovem de 18 anos foi preso em uma operação coordenada pelo FBI, o Internal Revenue Service (IRS) e o Serviço Secreto dos EUA, segundo informações do BleepingComputer. Há ainda outros indivíduos indiciados pelo envolvimento no ataque. O grupo assumiu o controle de contas de alto perfil após roubar as credenciais de funcionários do Twitter em um ataque de phishing bem-sucedido. A partir do uso das credenciais que davam acesso a ferramentas de suporte interno, eles comandaram 130 contas, acessando mensagens diretas de 36 delas. O acesso a essas contas também foi vendido, diz o BleepingComputer. Posteriormente, as contas de alto perfil e verificadas do Twitter foram utilizadas para executar o esquema de criptomoeda na plataforma da rede social. Entre as contas roubadas estavam perfis de empresas como Apple e Uber, e de executivos de tecnologia, celebridades e políticos, entre eles Jeff Bezos, Barack Obama, Elon Musk, Bill Gates, e outros.

O Google detectou uma vulnerabilidade 0-day sob ataque ativo no navegador Chrome. Se explorada, a falha pode permitir a execução remota de código e ataques de negação de serviço nos sistemas afetados, segundo o ThreatPost. A vulnerabilidade existe no motor de navegador para Chrome desenvolvido como parte do projeto Chromium, o Blink. Os mecanismos do navegador convertem documentos HTML e outros recursos de página da Internet em representações visuais que podem ser visualizadas pelos usuários finais. Segundo o ThreatPost, a falha CVE-2021-21193 é classificada como de alta gravidade e pode permitir que um invasor remoto execute um código arbitrário no sistema. O Google não forneceu mais detalhes sobre os exploits. O Google publicou uma atualização de segurança para Windows, Mac e Linux. Além da 0-day, o Google lançou outras quatro correções de segurança.

Três vulnerabilidades foram encontradas no subsistema iSCSI do kernel do Linux, permitindo que invasores locais com privilégios básicos de usuário obtenham privilégios de root em sistemas Linux sem patch. Segundo o BleepingComputer, os bugs de segurança só podem ser explorados localmente, o que significa que invasores em potencial terão que obter acesso a dispositivos vulneráveis explorando outra vulnerabilidade ou usando um vetor de ataque alternativo. O mais impressionante é que essas vulnerabilidades já existem há 15 anos. A descoberta foi feita por pesquisadores do GRIMM. "Ao contrário da maioria das coisas que encontramos acumulando poeira, esses bugs revelaram-se ainda bons, e um acabou sendo utilizável como um escalonamento de privilégio local (LPE) em vários ambientes Linux", diz publicação feita no blog do GRIMM. De acordo com o pesquisador de segurança do GRIMM, Adam Nichols, as falhas afetam todas as distribuições Linux, mas felizmente o módulo de kernel scsi_transport_iscsi vulnerável não é carregado por padrão. No entanto, dependendo da distribuição do Linux que os atacantes estejam focando, o módulo pode ser carregado e explorado para escalonamento de privilégios. Saiba mais sobre as vulnerabilidades: CVE-2021-27363: vazamento do ponteiro do kernel (vazamento de informações) CVE-2021-27364: leitura fora dos limites (vazamento de informações, negação de serviço) CVE-2021-27365: estouro de buffer de heap (escalonamento de privilégio local, vazamento de informações, negação de serviço)

No início de março, foi noticiado que pelo menos 30 mil organizações só nos Estados Unidos foram invadidas por uma unidade de espionagem cibernética agressiva chinesa que se concentra em roubar e-mails das vítimas. A invasão ocorre por meio da exploração de quatro falhas recém-descobertas no software de e-mail Microsoft Exchange Server, que foram corrigidas pela Microsoft. Mas aparentemente as gangues de ransomware também estão começando a explorar os servidores vulneráveis. Segundo reportagem da Vice, os cibercriminosos estão entrando em cena para tentar monetizar os servidores de e-mail não corrigidos. A Microsoft relatou ter detectado um novo tipo de ransomware direcionado aos servidores Exchange chamado DoejoCrypt ou DearCry. Um pesquisador de segurança da própria Microsoft diz que os atacantes ainda estão em uma fase preliminar, classificando quais organizações eles invadiram antes de decidir onde vão tentar monetizar. A Vice informou também que os cibercriminosos precisam visar e explorar manualmente os servidores Exchange, e não há evidências de que eles possam fazer o ransomware se espalhar de forma automatizada. Ainda assim, atacantes relativamente pouco sofisticados, estão entrando na onda de exploração dos servidores Exchange. Isso leva novos desafios às empresas que, muitas vezes, podem nem saber como descobrir se foram comprometidas, diz a reportagem. De acordo com a Palo Alto Networks, ainda existem cerca de 80 mil servidores Exchange vulneráveis.

Pesquisadores da Proofpoint analisaram uma campanha que passou a distribuir um novo malware chamado NimzaLoader. Uma das características diferenciadas do malware é que ele foi escrito na linguagem de programação Nim, que é compilada, de alto nível e estaticamente tipada. Segundo a Proofpoint, um malware escrito em Nim é raro no cenário de ameaças, e os seus desenvolvedores podem ter escolhido usar essa linguagem de programação para evitar a detecção, já que os engenheiros reversos podem não estar familiarizados com a implementação do Nim ou focados no desenvolvimento de detecção dele. As análises iniciais do malware indicam que ele pode ser uma variante do BazaLoader – malware do qual existem muitas variantes. Algumas das principais diferenças entre o NimzaLoader e as variantes do BazaLoader que a Proofpoint analisou incluem, além da linguagem de programação completamente diferente, o fato de que o NimzaLoader não usa o mesmo ofuscador de nivelamento de código; não usa o mesmo estilo de descriptografia de string; não usa o mesmo algoritmo de hash da API do Windows; não usa o mesmo RC4, usando datas como o comando chave e descriptografia de resposta de controle; não usa um algoritmo de geração de domínio (DGA); e utiliza JSON em comunicações C&C. Saiba mais sobre o malware em publicação da Proofpoint (em inglês).