Bruna Chieco

Pesquisadores da Universidade Técnica de Darmstadt, na Alemanha, publicaram artigo sobre duas vulnerabilidades encontradas em um sistema de rastreamento de localização que ajuda os usuários a localizarem dispositivos Apple mesmo quando eles estão offline. A análise dos pesquisadores avalia a segurança e a privacidade do Offline Finding (OF), um sistema de rastreamento de localização por crowdsourcing para dispositivos offline lançado pela Apple em 2019. A ideia básica por trás do OF é que os chamados dispositivos localizadores possam detectar a presença de outros dispositivos offline perdidos usando o Bluetooth Low Energy (BLE) e sua conexão de Internet para relatar uma localização aproximada de volta ao proprietário. Os pesquisadores afirmam, contudo, que duas vulnerabilidades distintas de design e implementação podem ter consequências graves para os usuários. Eles explicam que o design OF permite que a Apple correlacione diferentes localizações de proprietários se suas localizações forem relatadas pelo mesmo localizador. Assim, ao fazer upload e download de relatórios de localização, dispositivos localizadores e proprietários revelam sua identidade para a Apple. Além disso, os aplicativos macOS maliciosos podem recuperar e descriptografar os relatórios de localização OF dos últimos sete dias para todos os seus usuários e dispositivos. As descobertas foram compartilhadas com a Apple por meio de divulgação responsável, que corrigiu o problema por meio de uma atualização do sistema operacional (CVE-2020-9986).

O relatório intitulado “2021 Hacker Report”, da plataforma HackerOne, registrou que em 2020 houve um aumento de 63% no número de hackers que enviaram vulnerabilidades para ajudar empresas a evitarem um ataque ou a encontrar um patch para uma falha de segurança. Os hackers ganharam US$ 40 milhões no ano passado enviando essas vulnerabilidades em programas de bug bounty da HackerOne. Assim, a plataforma atingiu a marca de US$ 100 milhões pagos a hackers pela descoberta de falhas de segurança. Desde o lançamento do Hacker Report de 2019, a comunidade HackerOne dobrou de tamanho para mais de 1 milhão de hackers registrados em todo o mundo. O relatório diz que grande parte da comunidade ainda está em fase de aprendizado, mas o aumento no envio de vulnerabilidades no ano passado reflete um crescimento de 143% desde 2018, demonstrando que os hackers estão aumentando suas habilidades e conhecimentos enquanto organizações e setores globais investem cada vez mais nisso. O relatório da HackerOne mostra ainda que 82% da comunidade se define como "hackers de meio período", e 35% têm um emprego em tempo integral. A maioria afirma ainda ser autodidata, mas muitos deles possuem pós-graduação na área de ciência da computação. Além disso, 55% dos membros da comunidade HackerOne têm menos de 25 anos. Apesar da motivação para entrar em programas de bug bounty ser, muitas vezes, financeira, a maioria dos hackers da plataforma estão fazendo isso para aprender e expandir seus conjuntos de habilidades ou para avançar em suas carreiras. O relatório aponta que 33% dos membros da comunidade alavancaram suas habilidades para garantir um emprego. Os hackers também são motivados por um desejo de fazer o bem para o mundo, com 47% deles demonstrando uma intenção de proteger e defender negócios e pessoas de ameaças cibernéticas. Acesse o relatório da HackerOne na íntegra (em inglês). Para quem quiser começar neste mundo, um bom caminho pode ser assistir ao nosso treinamento gratuito de engenharia reversa do zero, o CERO. Apesar de ter um tema definido, o curso cobre elementos básicos da computação necessários na área de segurança.

Usuários da Microsoft estão sendo alvos de um ataque de phishing que utiliza um sistema reCAPTCHA falso. Segundo o ThreatPost, o objetivo de roubar suas credenciais do Office 365. Aparentemente, os atacantes adicionam um ar de legitimidade à campanha com páginas de destino de domínio que incluem os logotipos das empresas das vítimas. O ThreatPost diz ainda que pelo menos 2,5 mil e-mails foram enviados sem sucesso para funcionários de nível sênior no setor bancário e de TI nos últimos três meses. Os e-mails levam os destinatários a uma página falsa do sistema reCAPTCHA, do Google, que ajuda a proteger sites contra spam usando um teste de Turing para diferenciar humanos e bots. Se as vítimas “passarem” no teste reCAPTCHA, elas são redirecionadas para uma página de destino de phishing, que solicita as credenciais do Office 365. Segundo pesquisadores da equipe de pesquisa de segurança ThreatLabZ, o ataque tem como alvo líderes empresariais seniores com títulos como vice-presidente e diretor administrativo, e o objetivo dessas campanhas é roubar as credenciais de login dessas vítimas para permitir que os atacantes acessem ativos valiosos da empresa. Os e-mails de phishing fingem ser e-mails automatizados das ferramentas de comunicação unificada das vítimas, informando que há, em anexo, uma mensagem de correio de voz. Ao clicar no anexo, elas encontram a tela falsa do reCAPTCHA e, depois de preencher o sistema falso, as vítimas são direcionadas para o que parece ser uma tela de login da Microsoft. As páginas de login também contêm logotipos diferentes das empresas para as quais as vítimas trabalham. Isso significa que os atacantes estão personalizando suas páginas de destino de phishing na tentativa de fazer o ataque parecer mais legítimo. O Office 365 tem sido alvo de ataques de phishing com frequência. Na semana passada, o Mente Binária divulgou notícia informando que uma campanha denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365 aproveitando a popularidade crescente do Zoom para atingir seus alvos.

No ano passado, o Google anunciou que Chrome removeria o suporte para cookies de terceiros, mas ainda com intenção de criar inovações que protejam o anonimato e, ao mesmo tempo, forneçam resultados para anunciantes que se utilizam desse rastreamento para coletar dados do usuário por meio de cookies de terceiros. Em publicação realizada esta semana, o Google informou que uma vez que os cookies de terceiros sejam eliminados, não serão criados identificadores alternativos para rastrear indivíduos enquanto navegam na web. Essa é mais uma iniciativa de navegadores em tentar proteger a privacidade de usuários na navegação, impedindo, assim, que sejam rastreados de site para site por meio de cookies. Em fevereiro, a Mozilla Foundation lançou o Firefox 86, última versão do navegador, com o Total Cookie Protection, que confina os cookies ao site onde foram criados, impedindo que empresas de rastreamento os utilizem para rastrear a navegação de um site para outro. "Nossos produtos da web serão alimentados por APIs [Interface de programação de aplicações] que preservam a privacidade, que evitam o rastreamento individual e, ao mesmo tempo, fornecem resultados para anunciantes e editores", diz David Temkin Diretor de gerenciamento de produtos, privacidade de anúncios e confiança do Google, na publicação. "As pessoas não deveriam ter que aceitar ser rastreadas na web para obter os benefícios de uma publicidade relevante. E os anunciantes não precisam rastrear consumidores individuais na Internet para obter os benefícios de desempenho da publicidade digital", continua. A ideia do Google é retirar cookies de terceiros da publicidade e, em vez disso, ocultar indivíduos em meio a grandes multidões de pessoas com interesses em comum. Para isso, o Chrome pretende disponibilizar os chamados Federated Learning of Cohorts, um método para rastrear os interesses dos usuários da Internet e veicular anúncios relevantes a esses interesses, agrupando milhares de usuários. O método, contudo, foi criticado por grupos como a Electronic Frontier Foundation. Segundo reportagem da Vice, o grupo afirma que a proposta é o oposto da tecnologia de preservação de privacidade.

Uma campanha de phishing denominada Compact coletou mais de 400 mil credenciais do Outlook Web Access e do Office 365. Segundo pesquisadores da WMC Global, a campanha utiliza domínios confiáveis para garantir a entrega de e-mails de phishing e impedir o bloqueio de páginas falsas. Segundo a empresa de segurança, os agentes por trás da Compact aproveitaram a popularidade crescente do Zoom para atingir seus alvos. A equipe da WMC Threat Intelligence analisou o ataque, incluindo o código PHP utilizado no site, e recuperou credenciais roubadas coletadas pelos atores da ameaça. A análise vinculou endereços de e-mail aos atores responsáveis pela campanha, encontrando um histórico de ataques desde o início de 2020. Na análise, a empresa destaca que o método de entrega era feito via isca de phishing enviada por e-mail, e os atacantes aparentemente estavam usando uma extensa lista de spam para atingir as vítimas. "Estima-se que até 11% dos usuários caiam em campanhas de phishing e, dado o tamanho desse ataque, é lógico que um grande número de usuários tenha sido vítima", diz a WMC. A maioria dos e-mails foi enviada usando contas SendGrid comprometidas. A WMC Global informa ainda que trabalhou em estreita colaboração com o SendGrid para encerrar as contas de envio que foram restauradas aos seus legítimos proprietários. Em campanhas posteriores, os agentes da ameaça passaram a usar o MailGun para enviar os e-mails comprometidos. A equipe do WMC Global Threat Intelligence também monitorou e detectou os sites de phishing utilizados na campanha, sendo que dois sites de destino estavam em uso entre dezembro de 2020 e janeiro de 2021. Em dezembro, a página de destino personificou a marca Outlook Web App para enganar os alvos, induzindo-os a inserir suas credenciais. Em janeiro, os ataques mudaram para imitar a marca Office 365, provavelmente para capturar mais credenciais de funcionários. A análise detalhada da WMC Global também explica sobre as técnicas de exfiltração utilizadas.

Documentos da Qualys foram vazados em um site da dark web, o que indica que a empresa de segurança pode ter sofrido um ataque do ransomware Cl0p. Quem relatou o possível ataque foi o DarkTracer. Os documentos vazados incluem contratos recentes e confidenciais da companhia, que estariam sendo colocados à venda pelos operadores do Cl0p pela falta de pagamento do ransomware. Até o momento, a empresa não se manifestou publicamente sobre o suposto ataque. Infelizmente, não é a primeira vez que uma empresa de segurança sofre um ataque. Em dezembro do ano passado, a FireEye foi hackeada por um atacante altamente sofisticado, que roubou várias ferramentas de seu red team. Na ocasião, a própria empresa comunicou o ocorrido.

Pesquisadores detectaram que uma variante do ransomware Ryuk pode se propagar como um worm nas redes locais. Segundo o ThreatPost, a nova versão surgiu pela primeira vez em campanhas voltadas para o Windows no início de 2021. A descoberta foi da Agência Nacional Francesa para a Segurança dos Sistemas de Informação (ANSSI), que disse que a variante alcança a auto-replicação por meio da varredura de compartilhamentos de rede e, em seguida, copiando uma versão exclusiva do executável do ransomware para cada um deles à medida que são encontrados. Uma vez iniciado, o Ryuk se espalhará em todas as máquinas acessíveis nas quais os acessos de Chamada de Procedimento Remoto do Windows sejam possíveis, dizem os pesquisadores. A nova versão do Ryuk também lê as tabelas do protocolo de resolução de endereços (ARP) dos dispositivos infectados, que armazenam os endereços IP e endereços MAC de todos os dispositivos de rede com os quais as máquinas se comunicam. Em seguida, ele envia um pacote “Wake-On-LAN” para cada host, com o objetivo de despertar os computadores desligados. Para cada host identificado, o Ryuk tentará montar possíveis compartilhamentos de rede usando Server Message Block (SMB), de acordo com o relatório da Agência. O SMB é uma função do Windows que permite compartilhar, abrir ou editar arquivos em computadores e servidores remotos. Assim que todos os compartilhamentos de rede disponíveis forem identificados ou criados, a carga é instalada nos novos destinos, sendo autoexecutada usando uma tarefa agendada. Isso permite que o Ryuk criptografe o conteúdo dos destinos e exclua quaisquer cópias para evitar a recuperação de arquivos. O malware também interrompe vários programas com base em listas codificadas, incluindo uma lista de 41 processos a serem eliminados e uma lista de 64 serviços a serem interrompidos. O ponto de infecção inicial é uma conta de domínio privilegiado. A análise mostra que a propagação de worms desta versão do Ryuk não pode ser impedida através do ponto de infecção inicial, sendo que uma conta privilegiada do domínio é usada para propagação de malware. Se a senha deste usuário for alterada, a replicação continuará. Uma maneira de lidar com uma infecção ativa, segundo a ANSSI, seria alterar a senha ou desabilitar a conta do usuário privilegiado e, em seguida, forçar uma alteração de senha de domínio.

Atacantes estão explorando sites, fornecendo a eles excelente otimização para mecanismo de busca (SEO), com o objetivo de implantar cargas malware para o maior número possível de vítimas. Segundo descoberta da Sophos, o método inclui truques de SEO e o abuso da psicologia humana para jogar sites comprometidos para o topo do ranking do Google. A técnica foi apelidada pelos pesquisadores de Gootloader, pois envolve a implantação da estrutura de infecção para o Gootkit Remote Access Trojan (RAT), que também oferece uma variedade de outras cargas de malware. Através dessa técnica, os criminosos entram nos resultados de pesquisa do Google e fazem com que um resultado malicioso pareça legítimo até mesmo para o Google, diz a Sophos. Para realizar o ataque, os operadores do Gootloader mantêm uma rede de servidores hospedando sites legítimos hackeados. A Sophos estima que cerca de 400 desses servidores estejam em operação. A Sophos diz ainda que não está claro como atacantes obtêm acesso ao back-end dos sites mas, historicamente, esses tipos de comprometimento podem ser o resultado de uma série de métodos, entre eles roubo de senhas ou explorações de segurança nos plugins ou add-ons do sistema de gerenciamento de conteúdo (CMS). Aparentemente, operadores não sabem que seus sites estão sendo abusados desta forma. Aparentemente, a técnica está sendo utilizada para espalhar o trojan bancário Gootkit; Kronos; Cobalt Strike; e o ransomware REvil, entre outras variantes de malware, na Coreia do Sul, Alemanha, França e Estados Unidos. A empresa de segurança dá mais detalhes sobre como o ataque é realizado em publicação em seu blog (em inglês).

Um grupo de acadêmicos da Ruhr-Universität Bochum e da North Carolina State University descobriram riscos de privacidade e segurança no ecossistema de habilidades da assistente de voz Alexa, bem como inconsistências no processo de verificação dessas skills. Segundo o The Hacker News, foram analisadas 90.194 habilidades do ecossistema Alexa Skills, disponíveis em sete países, incluindo os EUA, Reino Unido, Austrália, Canadá, Alemanha, Japão e França. As falhas estão no processo de verificação de habilidades da Amazon para o ecossistema da Alexa. Essas vulnerabilidades podem permitir que um agente malicioso publique uma habilidade enganosa, em nome de qualquer desenvolvedor arbitrário, ou até mesmo faça alterações no código de back-end para induzir os usuários a fornecerem informações confidenciais. Isso acontece porque a Amazon permite que desenvolvedores terceirizados criem funcionalidades adicionais para dispositivos, como os alto-falantes Echo, configurando "habilidades" que são executadas em cima da assistente de voz. O objetivo seria facilitar que os usuários iniciem uma conversa com a habilidade e concluam uma tarefa específica. Contudo, a preocupação é que um usuário possa ativar uma habilidade errada. A armadilha vem do fato de que várias habilidades podem ter a mesma frase de invocação. Os pesquisadores alertam que a Amazon atualmente não emprega nenhuma abordagem automatizada para detectar infrações para o uso de marcas registradas de terceiros, dependendo de verificação manual para detectar tais tentativas maliciosas. Eles afirmam ainda que um invasor pode fazer alterações no código após a aprovação de uma habilidade para persuadir um usuário a revelar informações confidenciais, como números de telefone e endereços. Por conta desses riscos, os usuários são aconselhados a ter cuidado com as habilidades que escolhem instalar em seus dispositivos. Amazon rejeita alegações sobre falha de segurança – O Threatpost informa que a Amazon enviou declaração afirmando conduzir análises de segurança como parte da certificação de habilidades, dizendo ainda que possui sistemas para monitorar continuamente habilidades ao vivo em busca de comportamento potencialmente malicioso. "A segurança de nossos dispositivos e serviços é uma prioridade máxima”, disse o porta-voz da Amazon. “Todas as habilidades ofensivas que identificamos são bloqueadas durante a certificação ou rapidamente desativadas. Estamos constantemente aprimorando esses mecanismos para proteger ainda mais nossos clientes. Agradecemos o trabalho de pesquisadores independentes que nos ajudam a trazer problemas em potencial". Notícia atualizada em 1/03/2021 às 14h10

A Mozilla Foundation lançou o Firefox 86, última versão do navegador, com novas proteções de privacidade para eliminar o rastreamento de cookies entre sites. Segundo a Mozilla, o Total Cookie Protection confina os cookies ao site onde foram criados, o que impede que empresas de rastreamento os utilizem para rastrear sua navegação de um site para outro. Eles explicam que os cookies são armazenados pelos navegadores em nome de um site, mas podem acarretar em uma séria vulnerabilidade de privacidade, já que o comportamento predominante dos navegadores permite que os cookies sejam compartilhados entre os sites. Isso permite o rastreio enquanto o usuário navega na Internet, sendo o método mais comum para reunir suas informações. Em 2019, o Firefox passou a conter a Proteção Avançada de Rastreamento por padrão, bloqueando cookies de empresas que foram identificadas como rastreadoras. Com o objetivo de elevar o nível dessas proteções, o Total Cookie Protection mantém um “frasco de cookies” separado para cada site que é visitado. Assim, esse cookie é confinado a um "jarro" atribuído a esse site, sem poder ser compartilhado com qualquer outro. O Total Cookie Protection abre uma exceção para cookies entre sites quando eles são necessários para fins de não rastreamento, como aqueles usados por provedores de login de terceiros.

A rede social baseada em áudio ClubHouse supostamente está passando por problemas de segurança. Segundo o ThreatPost, pesquisadores afirmam que as conversas que ocorrem no aplicativo estão sendo gravadas. Aparentemente um usuário foi capaz de violar feeds de áudio de salas do ClubHouse e transmiti-los em um site. Outro usuário também supostamente escreveu um código que permite que qualquer pessoa ouça as conversas do ClubHouse sem o convite necessário para entrar na rede social. Outros códigos maliciosos projetados para violar o ClubHouse também foram bloqueados, dizem as informações. O ThreatPost destaca que os problemas de segurança do ClubHouse estão na plataforma de engajamento de voz e vídeo em tempo real fornecida pela startup Agora, com sede em Xangai. O tráfego do app é direcionado ao servidor da empresa na China, incluindo metadados pessoais, sem criptografia, de acordo com o Stanford Internet Observatory (SIO), que foi o primeiro a alertar sobre a privacidade do ClubHouse e as proteções de segurança da rede social. Assim, os usuários do ClubHouse devem estar cientes de que seus dados provavelmente estão expostos. ?

O Google está adicionando um suporte para o serviço de verificação de senha para aplicativos Android para avisar os usuários se suas senhas salvas foram comprometidas ou vazadas em violações de dados. Segundo o BleepingComputer, a empresa lançou inicialmente a extensão do Chrome Password Checkup em fevereiro de 2019. Agora, por meio do recurso de preenchimento automático de senhas, o recurso está disponível para apps do sistema operacional Android. Segundo a reportagem, o preenchimento automático com o Google preenche formulários automaticamente com informações salvas, incluindo credenciais, endereços ou informações de pagamento. Sempre que o usuário preencher ou salvar credenciais em um aplicativo, elas serão verificadas em uma lista de credenciais comprometidas conhecidas. Se a senha estiver comprometida, o usuário será alertado. O preenchimento automático com o Google apenas verifica a segurança das credenciais que já foram salvas na conta do Google ou quando é solicitado pelo Android e o usuário aceita. O BleepingComputer informa que o processo de verificação é seguro, pois apenas hashes são usados para verificar o banco de dados de violação, com credenciais de violação conhecidas com os mesmos dois primeiros bytes sendo usados para a verificação real. O preenchimento automático com o Google está disponível para dispositivos que executam o sistema Android 9 e posterior.

Um malware que visa Macs com o chip M1 da Apple está infectando máquinas em todo o mundo, informa o ThreatPost. A descoberta de pesquisadores de segurança segue outra, que descobriu um adware para macOS criado para atingir o novo processador da Apple. O system-on-a-chip (SoC) M1 foi lançado no ano passado. Com os novos Macs começando a ser lançados junto ao chip, os cibercriminosos estão voltando sua atenção para esses alvos. O ThreatPost já havia informado sobre a descoberta de uma variante do “Pirrit”, um aplicativo malicioso de distribuição de adware que tem agora como alvo específico o novo M1. Agora, o malware apelidado de Silver Sparrow está em cena, sendo totalmente novo e desenvolvido para o ecossistema M1, segundo analistas da empresa de cibersegurança Red Canary. Eles explicam que o malware foi executado em máquinas e parece estar a espera de mais instruções. Isso significa que os autores são adversários avançados e sofisticados, disseram os pesquisadores. Não está claro como o malware se espalha. A infraestrutura do Silver Sparrow está hospedada na plataforma de nuvem Amazon Web Services S3, de acordo com a Red Canary, e os domínios de callback que ele usa são hospedados por meio da rede de distribuição de conteúdo (CDN) da Akamai. Segundo a empresa, em 17 de fevereiro deste ano, o malware já havia infectado 29.139 endpoints macOS em 153 países, de acordo com pesquisadores, sendo os principais alvos o Canadá, a França, a Alemanha, o Reino Unido e os Estados Unidos.

O Brave Browser está corrigindo uma falha de privacidade que permite o vazamento de endereços de URL do Tor para o seu servidor DNS configurado localmente. Isso pode expor os sites que são visitados em anonimato. O BleepingComputer explica que o Brave foi modificado para dar mais privacidade, incluindo um modo de navegador Tor embutido para que o usuário possa acessar sites anonimamente. Os sites localizados no Tor usam endereços URL que os usuários só podem acessar através da rede Tor. Para acessar os URLs do Tor, o Brave adicionou um modo 'Janela privada com Tor' que atua como um proxy para a rede, mas aparentemente o modo Tor do Brave não fornece o mesmo nível de privacidade que é oferecido pelo navegador Tor. Ao usar o modo Tor do Brave, ele deve encaminhar todas as solicitações aos proxies do Tor e não enviar nenhuma informação a nenhum dispositivo de Internet para aumentar a privacidade. No entanto, um bug está fazendo com que o URL de qualquer endereço Tor visitado seja enviado como uma consulta DNS padrão para o servidor configurado na máquina do usuário. O Brave comentou sobre a falha em sua página no GitHub, e os desenvolvedores já criaram uma correção.

Os pesquisadores da Unit42, divisão de segurança da Palo Alto Networks, divulgaram detalhes sobre uma das maiores e mais duradouras operações de cryptojacking do Monero. Cryptojacking é uma forma recente de malware que se oculta em um dispositivo e rouba os recursos do computador com o objetivo de minerar moedas online. A operação é chamada de WatchDog e está em execução desde 27 de janeiro de 2019, já coletando pelo menos 209 Monero (XMR) avaliadas em cerca de US$ 32.056. Os pesquisadores avaliam que pelo menos 476 sistemas foram comprometidos, compostos principalmente de instâncias de nuvem do Windows e NIX. Os pesquisadores da Unit42 publicaram uma visão geral da campanha WatchDog, cujo minerador é composto por um conjunto binário de linguagem de programação Go de três partes e um arquivo de script bash ou PowerShell. Os binários executam funcionalidades específicas, infectando os sistemas Windows e Linux. Os pesquisadores mapearam a infraestrutura por trás das operações de mineração e identificaram 18 endpoints de IP raiz e sete domínios que atendem a pelo menos 125 endereços de URL maliciosos usados para baixar seu conjunto de ferramentas. O WatchDog não depende de um site de terceiros para hospedar sua carga maliciosa, podendo permanecer ativo por mais de 2 anos.

Pesquisadores da Trend Micro descobriram que o aplicativo SHAREit para Android está repleto de falhas que podem permitir o vazamento de dados confidenciais de um usuário e executar código arbitrário usando um código ou aplicativo malicioso. As vulnerabilidades também podem levar à execução remota de código (RCE). Segundo a Trend Micro, o SHAREit foi baixado mais de 1 bilhão de vezes, sendo um aplicativo que permite aos usuários Android compartilharem arquivos entre amigos ou dispositivos. As falhas foram identificadas e relatadas ao fabricante do app há três meses, diz a empresa de segurança, mas continuam sem correção, de acordo com relatório publicado na segunda-feira, que explica também como as falhas podem ser exploradas. "Relatamos essas vulnerabilidades ao fornecedor, que ainda não respondeu. Decidimos divulgar nossa pesquisa 3 meses após o relato, já que muitos usuários podem ser afetados por este ataque, pois o invasor pode roubar dados confidenciais e fazer qualquer coisa com a permissão dos aplicativos. Também não é facilmente detectável", diz o relatório.

Uma nova campanha de phishing tenta enganar vítimas para baixarem uma versão mais recente do trojan Bazar, que segundo o ZDNet surgiu pela primeira vez no ano passado. Uma implantação bem-sucedida do malware pode fornecer aos cibercriminosos um backdoor em sistemas Windows comprometidos, deixando com que eles controlem o dispositivo infectado, obtendo acesso adicional à rede para coletar informações confidenciais ou distribuir malwares, incluindo ransomwares. O foco dos ataques tem sido a setores como saúde, tecnologia, manufatura e logística na América do Norte e Europa. A Fortinet identificou uma nova variante do trojan Bazar, que foi equipado com técnicas de anti-análise para tornar o malware mais difícil de ser detectado pelo software antivírus. Assim, o malware oculta as APIs maliciosas no código, podendo até criptografar certas cadeias de caracteres do código para torná-lo mais difícil de analisar. As novas técnicas foram adicionadas ao Bazar no final de janeiro e coincidiram com uma campanha de phishing projetada para distribuir a versão atualizada do malware. A Fortinet informou que essa campanha de phishing específica do Bazar permanece ativa e as tentativas de ataques são frequentemente detectadas. ?

Levantamento global da Kaspersky constatou que entre julho e dezembro de 2020, mais de 270 mil pessoas tiveram contato com arquivos maliciosos ao tentar baixar programas para aulas online em sites fraudulentos. Esse tipo de ataque cresceu 60% no segundo semestre do ano passado, informa a empresa de segurança. Nos seis meses anteriores, 168 mil tentativas de ataques foram detectadas, o que representou aumento de mais de 20.000% comparado ao mesmo período de 2019. De acordo com a pesquisa, a isca mais popular foi o Zoom. Em segundo lugar ficou o Moodle, seguido pelo Google Meet. O relatório destaca que quase todas as ameaças encontradas estavam divididas entre riskware – instalação de arquivos – e adware – anúncios indesejados. Os trojans representaram aproximadamente 1% das ameaças encontradas. Essas ameaças normalmente são encontradas por meio de instaladores de aplicativos falsos em sites criados para se parecer com a plataforma original, ou em e-mails disfarçados com ofertas especiais ou notificações da plataforma.

A Intel corrigiu 57 vulnerabilidades de segurança, incluindo as de alta gravidade que afetavam Drivers de Gráficos. Segundo o BleepingComputer, 40 delas foram encontradas internamente pela empresa, enquanto outras 17 foram relatadas externamente, quase todas por meio do programa de bug bounty da Intel. Os bugs de segurança são detalhados em avisos de segurança publicados pela Intel com atualizações de segurança e funcionais entregues aos usuários por meio do processo Intel Platform Update (IPU). A Intel inclui uma lista de todos os produtos afetados e recomendações para produtos vulneráveis no final de cada comunicado. A empresa fornece detalhes de contato para usuários e pesquisadores que desejam relatar outros problemas de segurança ou vulnerabilidades encontradas em produtos ou tecnologias da marca Intel.

Uma gangue com 10 criminosos foi presa por coordenar ataques de SIM-swapping, clonagem do SIM card (chip) de celulares, contra celebridades. Segundo a Europol, mais de US$ 100 milhões em criptomoedas foram roubados através do sequestro de números de telefone. A ação foi resultado de uma investigação internacional sobre uma série de ataques direcionados a vítimas de alto perfil nos Estados Unidos, onde foram presos oito homens. Essas detenções seguem-se às anteriores, sendo uma corrida em Malta e uma na Bélgica, sendo os criminosos membros pertencentes à mesma rede criminosa, totalizando, assim, 10 prisões. Os ataques orquestrados por essa gangue criminosa visaram milhares de vítimas ao longo de 2020, incluindo influenciadores famosos da Internet, estrelas do esporte, músicos e suas famílias. A investigação de um ano foi conduzida conjuntamente por autoridades policiais do Reino Unido, Estados Unidos, Bélgica, Malta e Canadá, com atividades internacionais coordenadas pela Europol. A Europol alerta que não são apenas as celebridades que estão sob esse tipo de ataque; qualquer pessoa com um telefone celular pode ser vítima de SIM-swapping. Para evitar esse tipo de ataque, mantenha o software de seus dispositivos atualizado; não responda a e-mails suspeitos nem interaja pelo telefone com pessoas que solicitam informações pessoais; limite a quantidade de dados pessoais que você compartilha online; utilize a autenticação de dois fatores para seus serviços online; e quando possível, não associe o seu número de telefone a contas online confidenciais. O vídeo abaixo (em inglês), publicado pela Europol, explica um pouco mais sobre como os ataques acontecem:

A equipe de desenvolvimento do NextGEN Gallery corrigiu duas vulnerabilidades graves para proteger os sites de possíveis ataques de controle. O plugin do WordPress é usado para criar galerias de imagens e, segundo o BleepingComputer, tem atualmente mais de 800 mil instalações ativas. As falhas encontradas no plugin são de cross-site request forgery (CSRF), que permite que comandos não autorizados sejam transmitidos a partir de um usuário em quem a aplicação confia. Assim, a atualização de segurança deve ser uma prioridade para todos os proprietários de sites que têm o NextGEN Gallery instalado. As duas vulnerabilidades de segurança são classificadas como de severidade alta e crítica pela equipe de Threat Intelligence do Wordfence que as descobriu, segundo o BleepingComputer. Atacantes podem explorar essas falhas enganando os administradores do WordPress para que eles cliquem em links ou anexos especialmente criados para executar códigos maliciosos em seus navegadores. Após a exploração bem-sucedida, as vulnerabilidades podem permitir que os invasores configurem um redirecionamento malicioso, injetem spam, abusem de sites comprometidos para phishing e, em última análise, assumam completamente o controle dos sites. O editor do plugin, Imagely, enviou patches para revisão em 16 de dezembro e publicou a versão 3.5.0, corrigida, em 17 de dezembro de 2020. Ainda assim, a nova versão tinha esta semana pouco mais de 266 mil novos downloads, conforme informa o BleepingComputer, o que significa que mais de 530 mil sites WordPress com instalações do NextGEN Gallery ativas estão potencialmente expostas a ataques de controle se os invasores começarem a explorar os bugs. ?

Um curso da JA Brasil, com apoio do Google.org e do BID Lab, oferece gratuitamente 2 mil vagas para preparar jovens para entrar no mercado de TI. Os beneficiados receberão capacitação básica necessária para iniciar uma carreira na área, com conteúdo de Suporte Técnico e capacitação em habilidades socioemocionais requisitadas pelos empregadores deste mercado. Para se inscrever, não é necessário nenhum conhecimento ou experiência anterior. Basta ter entre 18 e 29 anos, ter Ensino Médio completo concluído em escola pública, não estar trabalhando, estudando e não ter graduação completa, e ter tempo disponível para os estudos durante o período do curso. O formato do curso é online, com dedicação de 3 horas por dia, 5 vezes por semana durante 5 meses. Caso o interessado não tenha recursos como computador e internet em casa, é possível solicitar esse auxílio para a JA Brasil. As inscrições estão abertas até o dia 23 de fevereiro. O projeto acontecerá em: Belo Horizonte (MG), Brasília (DF), Curitiba (PR), Florianópolis (SC), Fortaleza (CE), Manaus (AM), Porto Alegre (RS), Recife (PE), Rio de Janeiro (RJ), São Paulo (SP) e Vitória (ES). Confira a grade do curso: Fundamentos de suporte técnico Os bits e bytes de redes de computadores Sistemas operacionais Administração de sistema e serviços de infraestrutura de TI Segurança em TI Autoconhecimento Currículo e entrevista Ética, cidadania e empatia Comunicação, empatia e criatividade Iniciativa e confiança Marketing pessoal Atendimento ao cliente Linguagem corporal Empreendedorismo Finanças pessoais Visitas técnicas à empresas do segmento Conversas com profissionais de TI Ao concluir o curso, o participante recebe ainda um Certificado de Profissional de Suporte em TI do Google e um Certificado JA Brasil. Inscreva-se!

A família de malware Agent Tesla, um trojan de acesso remoto (RAT) ativo há mais de 7 anos, continua sendo uma das ameaças mais comuns aos usuários do Windows, evoluindo constantemente. Uma descoberta recente da empresa de segurança Sophos identificou um aumento no número de aplicativos direcionados ao roubo de credenciais, incluindo navegadores da web, clientes de e-mail, clientes de rede privada virtual e outros softwares que armazenam nomes de usuário e senhas. A evolução da ferramenta também se estende ao seu pacote de entrega, com uma versão que agora visa a Interface de Software Anti-Malware da Microsoft (AMSI) em uma tentativa de derrotar o software de proteção de endpoint. O malware é utilizado para roubar credenciais do usuário e outras informações de vítimas por meio de capturas de tela, registro do teclado e captura da área de transferência. O SophosLabs rastreou cibercriminosos usando o Agente Tesla e detectou novas variantes em um número crescente de ataques nos últimos 10 meses. Até dezembro de 2020, o Agente Tesla era responsável por 20% dos anexos de e-mail de malware detectados na telemetria de clientes da Sophos. Duas versões atualmente ativas do malware, identificadas pela Sophos como Agente Tesla versão 2 e versão 3, empregam vários tipos de evasão de defesa e ofuscação para evitar a detecção, incluindo opções para instalar e usar o Tor e a API de mensagens Telegram para comunicações de comando e controle (C2). As diferenças vistas entre a v2 e v3 do Agente Tesla parecem estar focadas em melhorar a taxa de sucesso do malware contra defesas sandbox e scanners de malware, além de fornecer mais opções C2 para seus clientes invasores. Veja o relatório completo da Sophos (em inglês).

Golpistas têm procurado vítimas nos servidores de criptomoeda do Discord enviando mensagens privadas que parecem vir de uma plataforma de negociação promissora que distribui criptomoedas. Segundo a Kaspersky, a suposta generosidade varia de mensagem para mensagem, mas no geral diz que o destinatário sortudo foi escolhido aleatoriamente para receber um pagamento impressionante em Bitcoin ou Ethereum. A mensagem, repleta de emoji, contém instruções detalhadas e um código para aceitar o presente, bem como um link para se registrar na bolsa de criptomoedas: Mensagem fraudulenta prometendo Ethereum grátis (Fonte: Kaspersky) O link abre um site que se parece com uma bolsa de criptomoedas, com um layout adaptável, design inteligente e informações sobre a taxa de câmbio, gráficos, livros de pedidos e histórico de negociação que os comerciantes de criptomoedas esperariam ver em uma plataforma de negociação. Os visitantes também encontrarão suporte técnico e várias opções de idiomas: Página inicial de uma bolsa de criptomoeda falsa onde os usuários do Discord receberam a promessa de Bitcoin e Ethereum (Fonte: Kaspersky) Os golpistas até mesmo oferecem às vítimas autenticação de dois fatores para proteger suas contas, além de proteção antiphishing, tentando parecer o mais real possível, quanto o verdadeiro propósito do site é transferir dinheiro da vítima para o criminoso. Para concluir o registro, a vítima precisa fazer um pequeno depósito em criptomoeda ou passar por uma verificação de identidade do Know Your Customer (KYC). Os golpistas parecem estar coletando um banco de dados para vender, pois muitos serviços legítimos, incluindo financeiros, usam esses conjuntos de dados pessoais para confirmar as identidades dos usuários. Após o registro, a vítima deve ativar a chave do prêmio da mensagem no Discord e receber o pagamento. O sistema aceita o código e as moedas Bitcoin ou Ethereum prometidas aparecem em suas contas. Quando a vítima tenta mover as moedas da bolsa para sua própria carteira, no entanto, ela encontra apenas obstáculos. A Kaspersky alerta para que nunca se confie em estranhos, especialmente aqueles que oferecem dinheiro de graça; nunca compartilhar informações pessoais com sites nos quais você não confia 100%; tomar especial cuidado com os documentos oficiais e nunca envie fotos deles a ninguém; e definir as configurações de privacidade do Discord para evitar tais ofertas; usar uma solução de segurança confiável.

Autoridades do Reino Unido prenderam um homem de 20 anos que supostamente operava um serviço online para o envio de campanhas de phishing de alto volume por meio de mensagens de texto (SMS). Segundo o KrebsOnSecurity, o serviço é comercializado no submundo sob o nome de "SMS Bandits" e foi responsável por utilizar grandes volumes de iscas de phishing falsificando desde instituições responsáveis por informações sobre a pandemia de Covid-19 até o PayPal, provedores de telecomunicações e agências de impostos. A National Crime Agency (NCA) do Reino Unido não divulgou o nome do suspeito, mas confirmou ao KrebsOnSecurity que a unidade de crimes cibernéticos do Metropolitan Police Service deteve um indivíduo que tinha conexão com uma empresa que fornecia "serviços criminosos relacionados a crimes de phishing". O SMS Bandits oferece um serviço de phishing de SMS (conhecido como “smishing”) para o envio em massa de mensagens de texto destinadas a aplicar golpes em credenciais de contas de diferentes sites populares, roubando dados pessoais e financeiros para revenda. O KrebsOnSecurity informa ainda que o volume de phishing baseado em SMS disparou em 2020 em mais de 328%, de acordo com um relatório da empresa de segurança Proofpoint.