Bruna Chieco

O Google está financiando um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, escrito em linguagem C. A linguagem C, contudo, pode ser insegura, se tornando mais passível de bugs que representam falhas de segurança. De olho nisso e buscando tornar a Internet um local mais seguro, o Google decidiu financiar o projeto para desenvolver um novo módulo para substituir o mod_ssl do Apache. O módulo será responsável por suportar as operações criptográficas necessárias para estabelecer conexões HTTPS em um servidor web Apache. Assim, será utilizada uma alternativa mais segura de linguagem chamada Rust. O Internet Security Research Group afirma que planeja desenvolver um novo módulo chamado mod_tls que funcionará com o o mod_ssl, mas usará essa nova linguagem de programação Rust em vez de C. Segundo o ZDNet, a Rust é uma maneira simples e rápida de garantir que bilhões de usuários sejam mantidos em segurança nos próximos anos. Leia mais detalhes sobre o projeto (em inglês).

Um usuário de um fórum cibercriminoso de baixo nível está vendendo acesso a um banco de dados de números de telefone pertencentes a 500 milhões de usuários do Facebook. Segundo a Vice, os dados têm vários anos, mas ainda assim representam um risco de segurança cibernética e privacidade para quem teve os números expostos. O Facebook informou que os dados são referentes a uma vulnerabilidade que a empresa corrigiu em agosto de 2019. Os números vazados podem ser pesquisados por meio de um bot automatizado do Telegram, permitindo que usuários insiram um número de telefone para receber o ID do usuário correspondente no Facebook ou vice-versa. Os resultados iniciais do bot são restringidos, mas os usuários podem comprar créditos para revelar o número de telefone completo. Os preços que chegam a US$ 5 mil por 10 mil créditos. O bot afirma conter informações sobre usuários do Facebook dos EUA, Canadá, Reino Unido, Austrália e 15 outros países. O Facebook alega que os dados continham IDs do Facebook que foram criados antes da correção da vulnerabilidade . A rede social disse que também testou o próprio bot com dados mais recentes, alegando que o bot não retornou nenhum resultado.

Uma série de vulnerabilidades no Kindle da Amazon poderia ter permitido que atacantes assumissem o controle dos dispositivos das vítimas. Segundo a Vice, um pesquisador da empresa de segurança Realmode Labs analisou no ano passado a segurança de Kindles, em particular o recurso Send to Kindle da Amazon, que permite que usuários enviem e-books ou artigos para o dispositivo. O pesquisador descobriu três vulnerabilidades diferentes que, se combinadas, poderiam levar um criminoso a assumir o controle do Kindle de uma vítima e gastar dinheiro com seu cartão de crédito na Kindle Store, bem como acessar qualquer informação pessoal armazenada no dispositivo, como nome completo e endereço. O ataque poderia começar por meio de um e-book malicioso enviado a uma vítima. Um fator atenuante é que o criminoso precisaria falsificar o endereço de e-mail usado para corresponder ao endereço de e-mail @ kindle.com usado pelo alvo. Após enviar o e-book para a vítima, ele apareceria automaticamente na biblioteca do Kindle, e ao abri-lo, ao clicar em um link no índice, o Kindle abriria uma página HTML no navegador que conteria um arquivo de imagem malicioso. Isso daria permissão ao hacker para assumir o controle do dispositivo. Um porta-voz da Amazon confirmou à Vice que os bugs foram corrigidos e foi lançada uma atualização automática de software pela Internet que corrige o problema para todos os modelos do Amazon Kindle lançados depois de 2014. Outros modelos de Kindle afetados também receberão essa correção.

Ao longo de 2020, mais de 90 bilhões de tentativas de login maliciosas ao WordPress foram bloqueadas. Essas tentativas foram provenientes de mais de 57 milhões de endereços IP únicos. Isso se refere a uma taxa de 2,8 mil ataques por segundo direcionados ao WordPress. Os dados são da Wordfence Threat Intelligence. Segundo a empresa, as tentativas mal-intencionadas de login foram o vetor de ataque mais comum para sites WordPress no ano passado, incluindo ataques de credential stuffing, no qual os criminosos usam listas de credenciais roubadas para tentar entrar em um sistema. A Wordfence classifica os ataques ao WordPress em três categorias principais: tentativas de login mal-intencionadas; ataques de exploração de vulnerabilidade; e malware de plugins nulled – versões piratas de um plugin premium. Mais de 4,3 bilhões de tentativas de explorar vulnerabilidades vindas de mais de 9,7 milhões de endereços IP exclusivos também foram bloqueadas pela Wordfence em 2020. Os ataques Directory Traversal – ataque de passagem de diretório –, incluindo caminhos relativos e absolutos, representaram 43% de todas as tentativas de exploração de vulnerabilidade, com 1,8 bilhão de ataques. SQL Injection foi a segunda categoria de vulnerabilidades mais comumente atacada, com 21% de todas as tentativas (909,4 milhões de ataques). Uploads de arquivos mal-intencionados com o objetivo de alcançar a Execução Remota de Código (RCE) foram a terceira categoria de vulnerabilidades mais comumente atacada em 11% de todas as tentativas, com 454,8 milhões de ataques. Cross-Site Scripting (XSS) foi a quarta categoria de vulnerabilidades mais comumente atacada, com 8% de todas as tentativas, comando 330 milhões de ataques. As vulnerabilidades do Bypass de autenticação foram a quinta categoria de falhas mais comumente atacada, com 3% de todas as tentativas e 140,8 milhões de ataques. O scanner Wordfence também detectou mais de 70 milhões de arquivos maliciosos em 1,2 milhão de sites WordPress no ano passado. A grande maioria desses sites foi limpa no final do ano e apenas 132 mil sites infectados no início de 2020 ainda estavam infectados no final do ano. O malware WP-VCD foi a ameaça mais comum para o WordPress, representando 154.928 ou 13% de todos os sites infectados em 2020.

A botnet de malware Emotet foi derrubada por uma operação internacional de aplicação da lei que levou dois anos de planejamento. A ação é o resultado do trabalho coordenado por operações de aplicação da lei em todo o mundo, incluindo a Europol, a Polícia Nacional Holandesa, a Polícia Criminal Federal da Alemanha, a Polícia Nacional da França, o Departamento de Polícia Criminal da Lituânia, a Polícia Montada Real Canadense, o FBI, a Agência Nacional do Crime do Reino Unido e a Polícia Nacional da Ucrânia. O Emotet surgiu pela primeira vez como trojan bancário em 2014, evoluindo para uma das formas mais poderosas de malware usado por criminosos cibernéticos, estabelecendo um backdoor nos sistemas de computador Windows por meio de e-mails de phishing automatizados que distribuem documentos do Word infectados por malware. Os assuntos de e-mails e documentos em campanhas do Emotet são regularmente alterados para fornecer a melhor chance de atrair vítimas para abrir e-mails e instalar o malware. Os criminosos por trás do Emotet alugam suas de máquinas infectadas para outros criminosos cibernéticos como uma porta de entrada para ataques de malware adicionais, incluindo ferramentas de acesso remoto (RATs) e ransomware. Assim, a Europol descreve o Emotet como "o malware mais perigoso do mundo" e "uma das botnets mais importantes da última década". Por isso, derrubar o Emotet representa uma das ações mais significativas contra uma operação de malware e cibercriminosos nos últimos anos. "Esta é provavelmente uma das maiores operações em termos de impacto que tivemos recentemente e esperamos que tenha um impacto importante", disse Fernando Ruiz, chefe de operações do Centro Europeu de Cibercrime (EC3) da Europol, em entrevista ao ZDNet. As máquinas infectadas pelo Emotet agora são direcionadas para a infraestrutura controlada pelos agentes da lei, o que significa que os cibercriminosos não podem mais explorá-las, impedindo que o malware se espalhe para novos alvos. Isso deve causar uma interrupção significativa nas operações. Segundo Ruiz, o Emotet está envolvido em 30% dos ataques de malware, e uma remoção bem-sucedida terá um impacto importante no cenário do cibercrime. A investigação também descobriu um banco de dados de endereços de e-mail, nomes de usuário e senhas roubados, e a Europol está trabalhando com equipes de resposta a emergências de segurança da informação em todo o mundo para ajudar pessoas infectadas pelo Emotet. A investigação sobre o Emotet e a identificação dos criminosos responsáveis por executá-lo ainda estão em andamento.

A Check Point Research descobriu uma vulnerabilidade no recurso localizador de amigos do TikTok que, se explorada, teria permitido que um invasor acessasse os detalhes do perfil dos usuários, incluindo os números de telefone associados às suas contas. Assim, um criminoso poderia construir um banco de dados de usuários e seus números de telefone relacionados, utilizando-o para atividades mal-intencionadas. "Uma solução já foi implantada de forma responsável pelo TikTok para garantir que seus usuários possam continuar usando o aplicativo com segurança", diz a Check Point em comunicado. A Check Point conta que o aplicativo permite a sincronização de contatos, o que significa que um usuário pode sincronizar seus contatos de telefone para encontrar facilmente pessoas que possam conhecer no TikTok. Isso torna possível conectar os detalhes do perfil dos usuários aos seus números de telefone e, se explorada, a vulnerabilidade teria afetado apenas os usuários que optaram por associar um número de telefone à sua conta – o que não é obrigatório – ou conectado a um número de telefone. Segundo a empresa de segurança, em abril de 2020, o TikTok lançou um programa privado de recompensa para caçadores de bugs que se tornou uma parceria pública global com a HackerOne em outubro de 2020. Assim, pesquisadores de segurança foram incentivados a encontrar e divulgar as falhas de segurança de forma responsável para que as equipes do TikTok possam resolvê-los antes que os invasores as explorem, reforçando a segurança do app.

Cerca de 14 mil servidores RDP (Remote Desktop Protocol) vulneráveis do Windows podem ser acessados pela Internet e estão sendo usados por inicializadores de DDoS (ataque de negação de serviço). De acordo com um comunicado da Netscout publicado hoje, como é rotineiramente o caso com vetores de ataque DDoS mais recentes, parece que após um período inicial de emprego por atacantes avançados com acesso à infraestrutura de ataque DDoS sob medida, a reflexão/amplificação de RDP foi transformada em arma e adicionada aos arsenais do chamado booter/serviços estressantes de DDoS de aluguel, colocando-os ao alcance da população geral de invasores. O BleepingComputer explica que essas plataformas são usadas por agentes de ameaças, hacktivistas ou "brincalhões" sem as habilidades ou tempo para investir na construção de sua própria infraestrutura de DDoS. Assim, eles alugam serviços de booters para lançar ataques DDoS em larga escala visando servidores ou sites por vários motivos, disparando um ataque de negação de serviço que normalmente os derruba ou causa interrupções no sistema. Para mitigar adequadamente o impacto de tais ataques, as organizações podem desabilitar completamente o serviço baseado em UDP vulnerável em servidores RDP do Windows ou disponibilizar os servidores apenas via VPN. As organizações em risco também são aconselhadas a implementar defesas DDoS para servidores voltados para o público para garantir que eles possam responder adequadamente a um ataque DDoS.

Uma campanha de phishing que falsifica as notificações da Xerox induz as vítimas a clicarem em anexos HTML maliciosos. Por meio deste ataque, mais de mil credenciais foram roubadas. O ThreatPost destaca que essas credenciais ficaram disponíveis online devido a um "erro" da campanha. Iniciada em agosto de 2020, a campanha usou e-mails que falsificam notificações da Xerox para induzir as vítimas a clicarem em anexos HTML maliciosos. Os principais alvos abrangem empresas de setores como varejo, manufatura, saúde e TI, com interesse especial em empresas de energia e construção, observaram pesquisadores da Check Point. A campanha começou com um e-mail usando um dos vários modelos de phishing que imitam uma notificação da Xerox com o nome do alvo ou o título da empresa na linha de assunto. O e-mail incluía um arquivo HTML que, uma vez clicado, exibia ao usuário uma página de login semelhante a da Xerox. Assim, um código JavaScript era executado no fundo do documento, fazendo verificações de senha simples, enviando os dados para o servidor dos invasores e redirecionando o usuário para uma página de login legítima do Office 365. A Check Point trabalhou com a empresa de segurança Otorio para descobrir a campanha e revelou que os invasores cometeram um "erro simples em sua cadeia de ataque", deixando as credenciais roubadas expostas na Internet pública. Isso ocorreu porque os invasores armazenaram as credenciais roubadas em páginas da web designadas em servidores comprometidos, e como o Google indexa constantemente a Internet, o mecanismo de busca também indexou essas páginas, disponibilizando-as para qualquer pessoa que consultasse o Google sobre um endereço de e-mail roubado. ?‍♀️

Bancos de dados de usuário do Nitro PDF e do Pixlr foram expostos por cibercriminosos. Endereços de e-mail, nomes e senhas de mais de 77 milhões de registros de usuários do serviço Nitro PDF foram submetidos ao vazamento, enquanto 1,9 milhão de registros de usuários do Pixlr também vazaram, contendo informações que poderiam ser usadas para realizar ataques direcionados de phishing e preenchimento de credenciais. Segundo o BleepingComputer, um cibercriminoso que afirma ser parte do ShinyHunters vazou os bancos de dados gratuitamente em um fórum de hackers. O banco de dados de 14 Gb do Nitro PDF foi adicionado ao serviço Have I Been Pwned, que permite aos usuários verificar se suas informações também foram comprometidas nesta violação de dados e vazadas na Internet. Os usuários do serviço são fortemente aconselhados a alterar suas senhas para uma senha forte e exclusiva. Já o suposto banco de dados do Pixlr vazado pelo ShinyHunters contém 1.921.141 registros de usuários que consistem em endereços de e-mail, nomes de login, senhas com hash SHA-512, país do usuário, se ele se inscreveu no boletim informativo e outras informações internas. Também é altamente recomendável que todos os usuários do Pixlr alterem imediatamente suas senhas no site por precaução, usando uma senha única e forte que não seja usada em nenhum outro site.

Uma campanha maliciosa ativa atualmente utiliza o malware FreakOut para atingir dispositivos Linux que executam software com vulnerabilidades críticas. Segundo o BleepingComputer, pesquisadores da Check Point descobriram que esses softwares normalmente alimentam dispositivos de armazenamento conectado à rede (NAS) ou são usados para desenvolver aplicativos e portais da web. O objetivo é infectar máquinas com versões vulneráveis do sistema operacional TerraMaster, do Zend Framework ou do Liferay Portal. Os pesquisadores dizem que dispositivos Linux infectados se juntam a uma botnet que pode ajudar a implantar outros ataques cibernéticos, e o controlador poderia usar as máquinas infectadas para minerar criptomoedas, se espalhar lateralmente por uma rede da empresa ou mirar em outros alvos, se escondendo por trás da empresa comprometida. As três soluções de software visadas na campanha FreakOut em andamento têm uma grande base de usuários e corrigiram problemas críticos recentemente. No entanto, um código de exploração de prova de conceito ainda existe em todos eles e é fácil de encontrar. O Zend Framework, por exemplo, é uma coleção de pacotes PHP profissionais que oferecem mais de 570 milhões de instalações. A versão 3.0.0, porém, tem um bug crítico (CVE-2021-3007) que pode ser explorado para obter a execução remota de código. O Liferay Portal é uma plataforma para desenvolvedores Java criarem serviços, interfaces de usuário, aplicativos personalizados ou para implementar aplicativos prontos. As versões open-source Community Edition anteriores à 7.2.1 têm uma vulnerabilidade crítica (CVE-2020-7961) que também permite a execução remota de código. Já o TerraMaster é o sistema operacional que alimenta os dispositivos NAS com o mesmo nome. As versões 4.2.06 e inferiores sofrem de um bug de execução de comando remoto, rastreado como CVE-2020-28188, também de gravidade crítica e que permite o controle completo do dispositivo. O FreakOut ainda está nos estágios iniciais, mas a Check Point avisa que a botnet cresceu significativamente em um curto período e destaca que os outros recursos do malware podem ser usados para ataques mais prejudiciais.

O Facebook processou dois desenvolvedores do Chrome por roubar dados de perfis de usuários – incluindo nomes, IDs de usuário e muito mais. Segundo o ThreatPost, a ação legal foi contra dois desenvolvedores de extensões do Chrome que, segundo a empresa, estavam roubando esses dados e outras informações relacionadas ao navegador. Os dois desenvolvedores não foram identificados, apenas seu nome comercial (Oink and Stuff). A acusação é que eles desenvolveram extensões de navegador mal-intencionadas do Chrome, que na verdade continham um código oculto “que funcionava como spyware”, alega o Facebook. As extensões maliciosas incluem: Blue Messenger, que se apresenta como um aplicativo de alerta de notificação para o recurso de comunicação do Messenger do Facebook; Green Messenger, aplicativo de mensagens para WhatsApp; Emoji Keyboard, um aplicativo de teclado de atalho; e Web para Instagram mais DM, que oferece ferramentas para os usuários enviarem mensagens diretas a outras pessoas no Instagram. Segundo o Facebook, os desenvolvedores “enganaram os usuários para que instalassem as extensões com uma política de privacidade que alegava que eles não coletavam nenhuma informação pessoal”. Várias das extensões oferecidas pela empresa (incluindo Green Messenger e Blue Messenger) parecem ainda estar disponíveis.

O Google removeu 164 aplicativos da Play Store no ano passado após pesquisadores de segurança apontarem que os apps estavam bombardeando usuários com anúncios fora de contexto – o termo técnico se refere a anúncios para celular exibidos em um pop-up ou em toda a tela, separados do aplicativo original. Os apps foram desativados nos dispositivos, mas os usuários ainda precisam removê-los manualmente de seus telefones. Segundo o ZDNet, a maioria desses 164 aplicativos imitou aplicativos mais populares, copiando funções e nomes de aplicativos estabelecidos para obter downloads rápidos. A empresa de segurança White Ops, que descobriu os aplicativos que abusaram de anúncios fora de contexto, diz que os apps foram baixados mais de 10 milhões de vezes antes de serem descobertos e relatados à equipe de segurança do Google. A lista completa de apps pode ser encontrada no relatório da White Ops. Esses tipos de anúncios foram proibidos na Play Store desde fevereiro de 2020. O Google declarou que esses anúncios tornam impossível para os usuários determinar de onde eles partiram, abrindo uma brecha nos dispositivos Android para spam de anúncios silenciosos. A proibição original de anúncios fora de contexto atingiu 600 aplicativos Android, mas ainda assim os desenvolvedores não pararam de utilizar esse mecanismo. O ZDNet aponta ainda que em junho e em outubro de 2020, o Google foi forçado a intervir novamente e banir uma onda de 38 e 240 aplicativos, respectivamente, que continuaram abusando desse mecanismo.

Em outubro de 2020, divulgamos uma pesquisa da Check Point dizendo que a Microsoft ficou no topo da lista de iscas dos ataques de phishing, saltando do quinto lugar para o primeiro com avanço da pandemia de COVID-19, e correspondendo a 19% de todas as tentativas de ataques de phishing do mundo. No último trimestre do ano passado, a Microsoft apareceu em 43% das tentativas deste tipo de ataque. De acordo com a nova análise da Check Point Research, a Microsoft permanece como uma das 10 principais marcas usadas como isca para vítimas de phishing, com muitos sites tentando se passar por telas de login da Microsoft para roubar credenciais de usuários. Além disso, marcas relacionadas a entregas e ao varejo configuram com as principais iscas, mais do que dobrando sua aparição nesses ataques após os meses de compras e feriados. As dez principais marcas usadas como isca de phishing no quarto trimestre de 2020 são: Microsoft (43%) DHL (18%) LinkedIn (6%) Amazon (5%) Rakuten (4%) IKEA (3%) Google (2%) Paypal (2%) Chase (2%) Yahoo (1%) A CheckPoint divulgou ainda exemplos de como os golpes de phishing relacionados a essas marcas ocorrem. Um e-mail de phishing malicioso usa a marca da DHL para tentar roubar as senhas dos usuários. O e-mail foi enviado pelo endereço falsificado parcel.docs@dhl.com, com o assunto “RE: Seu pacote DHL (disponível para retirada) - [<e-mail do destinatário>]”. E-mail malicioso enviado com o assunto “RE: Seu pacote DHL (disponível para retirada) - [<e-mail do destinatário>]” (Fonte: Check Point) A tentativa do invasor é de que a vítima clique em um link malicioso, redirecionando o usuário para uma página de login fraudulenta onde ele precisa digitar sua senha, sendo assim enviado para o site selecionado pelo atacante. Página de login falsa (Fonte: Check Point) Outro e-mail de phishing malicioso tenta roubar credenciais de usuários de contas do Microsoft Office 365. O e-mail com o assunto “Doc(s) Entrega Diária #- <Número de ID>” possui conteúdo do serviço eFax personificado. Ao clicar no link, o usuário é direcionado para outro documento que os redireciona para uma página de login fraudulenta da Microsoft. Email malicioso enviado com o assunto Doc(s) Entrega Diária #- <Número de ID> (Fonte: Check Point) Documento enviado ao usuário redirecionado à pagina de login da Microsoft (Fonte: Check Point) Página falsa de login da Microsoft (Fonte: Check Point)

O Project Zero do Google divulgou nesta terça-feira, 12 de janeiro, a série In-the-Wild com 6 publicações detalhando um conjunto de vulnerabilidades encontradas e exploradas. A série de publicações se refere a um ataque de watering hole, ocorrido no primeiro trimestre de 2020, e realizado por um ator altamente sofisticado. O projeto descobrou dois servidores de exploração que fornecem cadeias de exploração diferentes por meio de ataques watering hole, sendo um servidor direcionado aos usuários do Windows e outro direcionado ao Android. Os servidores Windows e Android usaram exploits do Chrome para a execução remota de código inicial, incluindo 0-days para Chrome e Windows. Para Android, as cadeias de exploit usaram exploits n-day conhecidas publicamente. As quatro vulnerabilidade 0-day descobertas foram corrigidas pelos fornecedores. São elas: CVE-2020-6418 - Vulnerabilidade do Chrome no TurboFan (corrigido em fevereiro de 2020) CVE-2020-0938 - Vulnerabilidade de fonte no Windows (corrigido em abril de 2020) CVE-2020-1020 - Vulnerabilidade de fonte no Windows (corrigido em abril de 2020) CVE-2020-1027 - Vulnerabilidade Windows CSRSS (corrigido em abril de 2020) O Google explica que o Project Zero tem a meta de “tornar o (encontro de) 0-days difícil” usando, principalmente, a pesquisa de segurança ofensiva. "Um dos nossos esforços nesse sentido é o rastreamento de casos publicamente conhecidos de vulnerabilidades 0-day. Usamos essas informações para orientar a pesquisa", explica. Essa iniciativa é feita em parceria com o Google Threat Analysis Group (TAG). As postagens da série In-the-Wild compartilham os detalhes técnicos de diferentes partes da cadeia de exploit, focadas no que a equipe do Project Zero achou mais interessante. São elas: Chrome: Infinity Bug Chrome Exploits Android Exploits Android Post-Exploitation Windows Exploits Nos textos (em inglês) você encontra uma análise detalhada das vulnerabilidades sendo exploradas e cada uma das diferentes técnicas de exploração; uma análise profunda da classe de bug de uma das explorações do Chrome; e uma análise detalhada do código de pós-exploração do Android.

Uma operação de malware voltada para macOS usou um truque inteligente para evitar a detecção, sequestrando os recursos de hardware de usuários infectados para extrair criptomoedas. A empresa de segurança SentinelOne divulgou relatório onde explica que o OSAMiner é um malware que tem sido distribuído pelo menos desde 2015, disfarçado em jogos e softwares pirateados como League of Legends e Microsoft Office para Mac. Um porta-voz do SentinelOne disse ao ZDNet que o OSAMiner está ativo há muito tempo e evoluiu nos últimos meses, mas parece ser principalmente direcionado às comunidades chinesas/asiáticas. Duas empresas de segurança chinesas localizaram e analisaram versões mais antigas do OSAMiner em agosto e setembro de 2018, respectivamente, disse a SentinelOne. Funciona assim: quando os usuários instalavam o software pirateado, os instaladores bloqueados baixavam e rodavam um AppleScript apenas de execução, que baixava e executava um segundo AppleScript apenas de execução e, em seguida, outro terceiro último AppleScript apenas de execução. Como o AppleScript "apenas de execução" vem compilado de maneira que o código-fonte não seja legível por humanos, isso tornou a análise mais difícil para os pesquisadores de segurança. A cadeia completa desse ataque foi publicada por um pesquisador da SentinelOne, incluindo indicadores de comprometimento de campanhas anteriores e mais recentes do OSAMiner. Leia mais (em inglês).

O OEA Cyberwomen Challenge, evento realizado nos dias 10 e 11 de fevereiro, tem como missão promover a entrada do público feminino no mercado de cibersegurança. Este ano, o desafio será realizado em formato 100% online, organizado pela Trend Micro, Organização dos Estados Americanos (OEA) e o Governo do Reino Unido, com apoio da Womcy Latam. O evento é voltado para mulheres que estejam iniciando sua carreira em cibersegurança e topam o desafio de avaliar e mostrar suas capacidades e talentos. Nesta edição, na parte da manhã do dia 10 de fevereiro, a partir das 10h, será realizado um Painel de Tecnologia formado por executivas do mercado de TI e cibersegurança da América Latina e tratará de práticas de gestão e investigação. Estarão presentes no painel Adriana Shimabukuro, técnica do Núcleo Técnico de Combate aos Crimes Cibernéticos do Ministério Público Federal; Leticia Gammill, líder do time de Canais de Cybersecurity das Américas na Cisco e fundadora e presidente da Womcy; Claudia Anania, Head de TI do Instituto Butantan; Tamires Almeida, focada em pré-vendas de projetos de segurança da informação e líder do programa Womcy Mentoring para Mentorias Reversas; Rayanne Nunes, Coordenadora de Tecnologia na Trend Micro; e Barbara Marchiori de Assis, Consultora da OEA e outras empresas. Já no dia 11 de fevereiro, ocorrerá um workshop virtual com o desafio de defender um ambiente simulado com situações realistas de cibersegurança. O objetivo é proporcionar um aprendizado sobre situações como migração de aplicações, apps de orquestração e uso de Security as Code. O workshop terá a orientação de especialistas da Trend Micro e as participantes terão a oportunidade de explorar o networking com profissionais do mercado, além de receberem o kit de participação em sua casa. O desafio concederá ainda uma premiação para o grupo primeiro colocado, composta por um curso relacionado à área do desafio, a ser confirmado pela organização até a data de início do evento; licenças de Antivírus da Trend Micro por um ano; e mentoria de Carreira realizada pela equipe Womcy Mentoring. Para participar, as mulheres de áreas de segurança, arquitetas de segurança, infraestrutura, desenvolvimento ou operações precisam ter conhecimento prévio em Windows e Linux, redes, segurança; containers, pipelines e imagens; processo de DevOps; e conhecer as ferramentas DevOps (Github, Jenkins, ECR da Amazon, Kubernetes, Docker e APIs). Inscreva-se!

Os navegadores Chrome, Firefox e Edge estão com falhas que, se exploradas, permitem que invasores sequestrem os sistemas que executam o software. Segundo o ThreatPost, a vulnerabilidade do Mozilla Firefox, rastreada como CVE-2020-16044, é separada do bug relatado no mecanismo de navegador do Google Chromium (CVE-2020-15995), que é usado no navegador Google Chrome e na versão mais recente do navegador Edge da Microsoft. A Cybersecurity and Infrastructure Security Agency (CISA) emitiu um alerta aos usuários do Firefox para que corrijam o bug classificado como crítico. A vulnerabilidade é ligada à maneira como o Firefox lida com os cookies do navegador e, se explorada, permite que os invasores tenham acesso ao dispositivo, executando o software do navegador. As versões afetadas são anteriores ao Firefox 84.0.2, Firefox para Android 84.1.3, e Firefox ESR 78.6.1. A CISA também informou aos usuários do navegador Chrome do Google em Windows, macOS e Linux para corrigirem o bug que afeta a versão 87.0.4280.141 atual do software. O aviso afirmou que a atualização para a versão mais recente do navegador Chrome “corrige vulnerabilidades que um invasor pode explorar para assumir o controle de um sistema afetado”. Como o navegador Edge mais recente da Microsoft é baseado no mecanismo de navegador Google Chromium, a Microsoft também pediu a seus usuários que atualizem para a versão 87.0.664.75 mais recente de seu navegador Edge.

O WhatsApp fará uma atualização das políticas de privacidade do serviço, incluindo o compartilhamento de dados do usuário com o Facebook. Essa atualização é obrigatória e permite que o WhatsApp compartilhe mais dados do usuário com outras empresas do Facebook, incluindo informações de registro de conta, números de telefone, dados de transações, informações relacionadas ao serviço, interações na plataforma, informações de dispositivos móveis, endereço IP e outros dados coletados com base no consentimento dos usuários. Os produtos da empresa Facebook incluem, além de seu principal aplicativo, o Messenger, o Instagram (incluindo aplicativos como o Boomerang), os dispositivos da marca Portal, os produtos Oculus (ao usar uma conta do Facebook), as Lojas do Facebook, o Spark AR Studio, o Audience Network, os aplicativos do NPE Team e qualquer outro recurso, aplicativo, software, produto e serviço, bem como qualquer outra tecnologia, oferecidos pelo Facebook Inc. ou pelo Facebook Ireland Limited. Isso também inclui o Facebook Payments Inc. e Facebook Payments International Limited, Onavo, Facebook Technologies, LLC e Facebook Technologies Ireland Limited, e o CrowdTangle. De acordo com o The Hacker News, as alterações nas políticas de privacidade entram em vigor no dia 8 de fevereiro de 2021, e os usuários que não concordarem com os termos revisados até a data limite terão suas contas inacessíveis. Leia aqui o comunicado do WhatsApp sobre as atualizações. Segundo o BleepingComputer, as novas atualizações são uma virada em comparação com a Política de Privacidade do ano passado, aplicada a partir de julho de 2020, que diz que os usuários podem escolher não ter suas informações de conta do WhatsApp compartilhadas com o Facebook, apesar das empresas terem se juntado em 2014.

Quase um milhão de contas comprometidas que fornecem acesso interno a empresas de videogame estão à venda em fóruns da dark web. Segundo o ZDNet, a empresa de segurança cibernética Kela examinou fóruns clandestinos e encontrou um ecossistema baseado na compra e venda de acesso à rede inicial para empresas de jogos, bem como quase um milhão de contas comprometidas de funcionários de empresas de jogos e de clientes à venda. As credenciais comprometidas à venda incluem nomes de usuário e senhas para todos os tipos de recursos de negócios usados por funcionários em empresas de jogos, incluindo painéis de administração, VPNs, ambientes de desenvolvedor, recursos voltados para o cliente e mais. Os pesquisadores dizem ainda que 500 mil credenciais vazadas estão disponíveis gratuitamente como resultado de violações de dados anteriores. Isso inclui o que a empresa descreveu como "endereços de e-mail de alto perfil, como funcionários seniores e endereços de e-mail que geralmente são um canal significativo na empresa", incluindo finanças, RH e suporte de TI. Com esse tipo de informação em mãos, os invasores cibernéticos podem obter acesso à rede mais ampla das empresas. Para evitar que as empresas de jogos online tenham credenciais roubadas ou sejam vítimas de outros ataques cibernéticos, é recomendado que implementem senhas exclusivas para os funcionários, de modo que eles não usem as mesmas senhas em dois lugares, o que significa que se eles forem identificados em outra violação, a senha não funcionará com sua conta corporativa. Também é recomendado que as organizações apliquem políticas de autenticação multifatorial em toda a empresa. Assim, se os cibercriminosos obtiverem acesso às credenciais de login corporativas, será muito mais difícil para eles obterem acesso à rede e se movimentarem por ela.

Babuk Locker é uma nova operação de ransomware lançada no início de 2021. Segundo o BleepingComputer, o ransomware já acumulou uma pequena lista de vítimas em todo o mundo, visando vítimas corporativas em ataques operados por humanos. São elas: Uma empresa de elevadores e escadas rolantes Um fabricante de móveis de escritório Um fabricante de peças de automóveis Um fabricante de produtos de teste médico Uma empresa de ar condicionado e aquecedor nos Estados Unidos As negociações de resgate com vítimas vistas pelo BleepingComputer variam de US$ 60 mil a US$ 85 mil em Bitcoin. Pelo menos uma das vítimas concordou em pagar o resgate de US$ 85 mil. De acordo com um pesquisador de segurança que também o novo ransomware, a codificação do Babuk Locker é amadora, mas inclui uma criptografia segura que evita que as vítimas recuperem seus arquivos gratuitamente. Uma vez lançado, o ransomware encerra vários serviços e processos do Windows conhecidos por manter os arquivos abertos e impedir a criptografia. Os programas encerrados incluem servidores de banco de dados, servidores de correio, software de backup, e-mail e navegadores da web. Em nota de resgate há informações básicas sobre o que aconteceu durante o ataque e um link para um site Tor, simples e nada sofisticado, onde a vítima pode negociar com os operadores de ransomware. O Babuk Locker também está usando um fórum para vazar seus dados roubados. ?

O ano de 2020 foi muito produtivo para a equipe do Mente Binária. Diante de tantas dificuldades enfrentadas por todos ao longo desse período, entendemos a necessidade de gerar muito conteúdo informativo e útil à nossa comunidade. Foi em meio a um novo modelo de trabalho e interações sociais, com pessoas e empresas tendo que se adequar a um formato totalmente virtual para trabalhar, estudar e se relacionar, que a equipe do Mente Binária também se adaptou para ficar ainda mais perto de vocês. Por isso, pensamos em fazer uma retrospectiva deste ano tão adverso, trazendo os temas mais lidos, curtidos e compartilhados por vocês em nossos diversos canais de conteúdo. Notícias Golpes e fraudes foram os tópicos mais visualizados este ano na parte de Notícias, sendo que a matéria mais lida de 2020 foi Golpe envolve e-mail falso da NET, com mais de 8 mil visualizações. O texto discorre sobre um golpe que envolve um e-mail falso de cobrança de fatura atrasada da NET; informação importante para que o público possa se proteger de fraudes desse tipo. Golpistas se passam por atendentes do banco Itaú ficou em segundo lugar, com mais de 3 mil visualizações. O golpe muito elaborado faz com que o cliente acredite que realmente está falando com a atendente do banco Itaú, já que a ligação parte do número de telefone da central de atendimento do banco. É importante ficar alerta com esse tipo de golpe antes de fornecer qualquer senha de acesso por telefone, e-mail ou SMS. Já o recente ataque ao STJ, TJ-PE e outros órgãos pelo ransomware conhecido pelo nome RansomExx foi a terceira notícia mais acessada deste ano. Ataque ao STJ pode ter sido obra de grupo especializado teve também mais 3 mil views e dá alguns detalhes sobre o RansomExx, rendendo ainda vídeos sobre o assunto. Artigos O artigo mais lido do ano foi o Alterando Binários ELF manualmente, demonstrando o grande interesse do nosso público em baixo nível, análise de binários e Linux. Na sequência tivemos o Por dentro do Ransomware Nephilin – uma baita análise desta família de ransomware baseada no Nemty, que fez (e ainda faz?) muitas vítimas no mundo todo. Em terceiro lugar, a explicação do próprio autor sobre a exploração da vulnerabilidade no artigo Entendendo a vulnerabilidade que permitia comprar jogos de Xbox sem pagar, mais na linha de bug bounty e offensive, temas que sempre fazem sucesso. Vídeos E a Engenharia Reversa liderou nossos vídeos este ano, sendo que tanto a entrevista mais assistida quanto a aula mais acessada em 2020 foram sobre o tema. O Papo Binário #2, com Wagner Barongello, ainda está super em alta no canal do Mente Binária. Na entrevista, o estudante de estatística fala sobre a arte da engenharia reversa – e o "caminho das pedras" que percorreu para aprender essa arte –, a polêmica da conexão com o cibercrime, e dá dicas sobre como estudar. A entrevista foi realizada em 2016, mas pela relevância do tema, continua figurando entre os principais vídeos assistidos no canal. Já a aula mais acessada foi a Aula 0 do Curso de Engenharia Reversa Online (CERO), com o tema "Como funciona a Engenharia Reversa". O CERO é uma grande conquista nossa. Foi, de fato, a realização de um sonho, contando com campanha de crowdfunding e muito apoio da comunidade. Podemos dizer, sem sombra de dúvidas, que ele, junto ao curso Programação Moderna em C, oferece todos os fundamentos necessários para o futuro engenheiro reverso. ? Linguagem Assembly para i386 e x86-64 v0.8.5 A publicação que teve o maior número de downloads este ano no site do Mente Binária foi o livro Linguagem Assembly para i386 e x86-64 v0.8.5, gratuito e de aproximadamente 100 páginas sobre Assembly 32 e 64-bits. O livro contém conceitos básicos sobre o tema, além de explicar sobre a linguagem Assembly e compará-la com outras linguagens e fornecer instruções. O livro aborda ainda ponto flutuante; SIMD Vetorizado e performance. Se ainda não leu e tem interesse em conhecer a publicação, faça o download aqui. MBConf@Home Este ano surgiu também a MBConf@Home! O principal objetivo do evento online foi levar ao público um conteúdo sobre segurança da informação diante do fato de que vários eventos da área tiveram de ser cancelados por conta da pandemia. A primeira edição do evento foi em abril, reunindo uma média de 471 espectadores durante 5 horas de palestras de especialistas em segurança da informação. Relembre aqui o que rolou. Depois tivemos mais duas edições do evento, ambas realizadas em maio. CTFs, kernel fuzzing, escalação de privilégios e dispositivos hospitalares foram temas da MBConf@Home v2; enquanto análise de malware foi principal tema abordado na MBConf@Home v3. Se quiser relembrar e reassistir, temos o conteúdo completo dos três eventos disponível no canal do Mente Binária no YouTube, além de manter o fórum de discussões com os palestrantes de cada edição do evento. Se você perdeu o ao vivo, vale muito a pena dar uma conferida! E nossa equipe continua com a meta de levar o melhor conteúdo sobre segurança da informação e tecnologia para a nossa comunidade através do site do Mente Binária e o canal no YouTube, por meio do Boletim semanal enviado por e-mail, e também pelas nossas redes sociais, onde colocamos tudo que é produzido ao longo dos dias, além de dar uma dose de diversão. Para encerrar 2020, vamos lembrar do meme mais retuitado por vocês este ano:

O ano está acabando e provavelmente você ainda deve estar fazendo aquela comprinhas para aproveitar as festas que vem por aí nos próximos dias. Por isso, preparamos mais algumas dicas de como se proteger em compras online para que você evite cair em fraudes e golpes, que podem ser ainda mais comuns em um período em que o e-commerce está em alta – e os criminosos estão de olho. Antes de realizar qualquer compra, verifique a autenticidade da loja. Uma pesquisa no Reclame Aqui ou uma lida no Sobre Nós da loja é válida para que você veja se aquele e-commerce é confiável mesmo ou se não está copiando uma descrição de outro site – que pode ser também tão fake quanto. Produtos com preços abaixo do normal são sempre um sinal de alerta. Não acredite em promoções de sites não conhecidos e pesquise bem antes de fechar a compra. Evite colocar dados de cartão de crédito em sites e aplicativos que não são utilizados por você com frequência. O cartão de crédito virtual pode ser uma boa opção, por ser usado uma única vez, se você preferir, evitando clonagem. Se optar por boleto ou transferência em uma compra de um lugar que você não conhece muito bem, verifique a identificação do beneficiário antes de confirmar transações. Nunca acredite em mensagens de SMS que pedem que você digite códigos de verificação. Esse é um golpe clássico que pode roubar seu WhatsApp, por exemplo, e sendo que é muito comum os criminosos usarem essa tática para depois extorquir vítimas se passando pelo dono da conta, pedindo dinheiro a familiares e amigos. E em um ano adverso como este, com a pandemia reduzindo a possibilidade de reuniões e encontros presenciais, pode ser que você, seus familiares e amigos optem por utilizar aplicativos de chamada de videoconferência para ficar junto, ainda que virtualmente. O Zoom, por exemplo, plataforma que se tornou muito popular neste período tanto para reuniões empresariais quanto para confraternizações, retirou o limite de 40 minutos para videoconferências no Natal e no Ano Novo. Assim, a partir de hoje, 23 de dezembro, até 26 de dezembro; e depois entre os dias 30 de dezembro e 2 de janeiro, as reuniões via Zoom serão ilimitadas. Para aproveitar esse benefício de maneira mais tranquila e segura, é importante gerar reuniões com senhas, mantendo assim a maior privacidade e evitando invasores e participantes desconhecidos. Fique atento a esses detalhes para aproveitar um fim de 2020 com segurança. Boas festas!

Uma ampla coalizão de especialistas da indústria, governo, agentes da lei, organizações sem fins lucrativos, empresas de seguro de segurança cibernética e organizações internacionais formou a Força-Tarefa de Ransomware (Ransomware Task Force – RTF) para lidar com ataques de ransomware. O grupo é formado por 19 nomes da área de segurança, incluindo o Institute for Security and Technology (IST). A RFT fará um sprint de dois a três meses para avaliar as soluções existentes em vários níveis da cadeia de eliminação do ransomware, identificando lacunas na aplicação da solução e criando um roteiro de objetivos concretos e marcos acionáveis para tomadores de decisão de alto nível. A Força-Tarefa encomendará ainda artigos de especialistas, envolvendo as partes interessadas em todos os setores para se unirem em torno de soluções avaliadas. Os parceiros fundadores da Força-Tarefa de Ransomware são: Aspen Digital Citrix The Cyber Threat Alliance Cybereason The CyberPeace Institute The Cybersecurity Coalition The Global Cyber Alliance The Institute for Security and Technology McAfee Microsoft Rapid7 Resilience SecurityScorecard Shadowserver Foundation Stratigos Security Team Cymru Third Way UT Austin Stauss Center Venable LLP A coalizão foi criada a partir do entendimento de que o ransomware é uma ameaça muito grande para qualquer entidade abordar sozinha. Assim, o grupo decidiu se reunir para fornecer recomendações claras sobre ações públicas e privadas que podem reduzir significativamente a ameaça representada pelo ransomware. Ao longo do tempo, esses ataques têm atingido principalmente hospitais, distritos escolares, governos municipais, além de empresas, que ficam reféns dos criminosos que buscam pagamentos para liberarem dados sequestrados. "Os incidentes de ransomware têm crescido sem controle e esse crime cibernético economicamente destrutivo tem cada vez mais consequências físicas perigosas", diz comunicado do IST. "Este crime transcende setores e requer trazer todas as partes interessadas afetadas à mesa para sintetizar uma estrutura clara de soluções viáveis, razão pela qual o IST e nossa coalizão de parceiros estão lançando esta Força-Tarefa", complementa o Instituto. O site da RTF, incluindo membros e funções de liderança, será lançado em janeiro de 2021.

Alguns modelos do thin client Dell Wyse são vulneráveis a problemas críticos. Segundo o BleepingComputer, se exploradas as falhas, um um invasor remoto pode executar um código malicioso e obter acesso a arquivos arbitrários. Os thin clients são pequenos computadores usados para conexões remotas de desktop a um sistema mais poderoso, normalmente usados por organizações que não precisam de computadores com alto processamento, armazenamento e memória na rede. A estimativa é que mais de 6 mil empresas, a maioria delas do setor de saúde, implantaram esses thin clients em suas redes. As vulnerabilidades são rastreadas como CVE-2020-29492 e CVE-2020-29491 e estão em componentes no sistema operacional ThinOS, que pode ser mantido remotamente, com recomendação da Dell para que seja configurado um servidor FTP para dispositivos para baixar atualizações. Contudo, pesquisadores de segurança da CyberMDX, empresa com foco em segurança cibernética no setor de saúde, descobriram que o acesso ao FTP é possível sem credenciais, usando usuário "anônimo". Além disso, apenas o firmware e os pacotes são assinados, deixando os arquivos de configuração INI abertos para um agente malicioso causar alguns danos. Assim, proteger a conexão FTP com credenciais não seria suficiente no design atual, já que o nome de usuário e a senha seriam compartilhados por toda a frota de thin clients. A Dell lançou o ThinOS 9.x para resolver esses problemas. No entanto, alguns dos modelos afetados não podem mais ser atualizados. São eles: Wyse 3020 Wyse 3030 LT Wyse 5010 Wyse 5040 AIO Wyse 5060 Wyse 7010 A recomendação dos pesquisadores é que as organizações com os modelos acima implantados em suas redes desabilitem o uso de FTP para o procedimento de atualização e confiem em um método alternativo para a tarefa. A Dell recomenda também proteger o ambiente usando um protocolo seguro (HTTPS) e garantir que os servidores de arquivos tenham acesso somente leitura.

Pesquisadores da área de Threat Intelligence da Avast identificaram um malware oculto em pelo menos 28 extensões terceirizadas do Google Chrome e Microsoft Edge associadas a algumas plataformas populares. As extensões Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock e outras ajudam os usuários a baixar vídeos dessas plataformas e, de acordo com os números de download das lojas de aplicativos, cerca de 3 milhões de pessoas podem ser afetadas em todo o mundo pelo malware embutido nesses serviços. Os pesquisadores identificaram um código malicioso que tem a funcionalidade de redirecionar o tráfego do usuário para anúncios ou sites de phishing, roubando dados pessoais das vítimas, como datas de nascimento, endereços de e-mail e dispositivos ativos, além de registrar a hora do primeiro login, hora do último login, nome do dispositivo, sistema operacional, navegador usado e sua versão, e até mesmo endereços IP. As extensões também estão manipulando a experiência dos usuários na Internet, segundo relatos, redirecionando-os para outros sites. Sempre que um usuário clica em um link, as extensões enviam informações sobre este clique para o servidor de controle do invasor, que pode, opcionalmente, enviar um comando para redirecionar a vítima do link de destino real para um novo URL sequestrado antes de redirecioná-la, posteriormente, para o site real que queria visitar. Assim, a privacidade do usuário é comprometida já que um registro de todos os cliques está sendo enviado para esses sites intermediários. Os pesquisadores da Avast acreditam que o objetivo é monetizar o próprio tráfego dos usuários, pois para cada redirecionamento para um domínio de terceiros, os cibercriminosos receberiam um pagamento, além de poder redirecionar os usuários para anúncios ou sites de phishing. A equipe da Avast começou a monitorar essa ameaça em novembro de 2020, mas acredita que ela poderia estar ativa há anos sem que ninguém percebesse. Há análises na Chrome Web Store mencionando o sequestro de links desde dezembro de 2018. No momento, as extensões infectadas ainda estão disponíveis para download, e a Avast contatou as equipes da Microsoft e do Google Chrome para denunciá-las. Tanto a Microsoft quanto o Google confirmaram que estão investigando o problema, mas a recomendação é que os usuários desabilitem ou desinstalem as extensões por enquanto. Veja abaixo a lista de extensões detectadas pela Avast como afetadas pelo malware: Direct Message for Instagram Direct Message for Instagram™ DM for Instagram Invisible mode for Instagram Direct Message Downloader for Instagram Instagram Download Video & Image App Phone for Instagram App Phone for Instagram Stories for Instagram Universal Video Downloader Universal Video Downloader Video Downloader for FaceBook™ Video Downloader for FaceBook™ Vimeo™ Video Downloader Vimeo™ Video Downloader Volume Controller Zoomer for Instagram and FaceBook VK UnBlock. Works fast. Odnoklassniki UnBlock. Works quickly. Upload photo to Instagram™ Spotify Music Downloader Stories for Instagram Upload photo to Instagram™ Pretty Kitty, The Cat Pet Video Downloader for YouTube SoundCloud Music Downloader The New York Times News Instagram App with Direct Message DM