jan 6 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware Zloader esta sendo distribuído em mais de 100 países.
    Pesquisadores alertam sobre uma nova campanha de malware que já roubou senhas e informações de milhares de usuários em 111 países em todo o mundo. ZLoader é um Trojan bancário conhecido que usa injeção de código malicioso para roubar cookies, senhas e informações confidenciais. Ele também foi vinculado ao fornecimento das variantes de ransomware Conti e Ryuk. No passado, o ZLoader era distribuído por meio de campanhas tradicionais de e-mail de phishing e abuso de plataformas de publicidade online, onde os invasores compram anúncios que apontam para sites de aparência legítima que hospedam o malware. A nova campanha, atribuída ao grupo cibercriminoso Malsmoke, começa com a instalação de um programa legítimo de gerenciamento remoto fingindo ser uma instalação Java. Isso fornece aos invasores acesso total ao sistema de destino, permitindo que eles executem scripts adicionais.
  • Novo chip de segurança da Microsoft está chegando para manter os laptops AMD mais seguros.
    Laptops com hardware AMD estão obtendo um nível extra de proteção graças a um novo chip de segurança da Microsoft. O Microsoft Pluton foi projetado para trazer segurança no nível do Xbox para PCs com sistemas Windows, oferecendo proteção física contra ataques. Como uma extensão do programa Trusted Platform Module da Microsoft, o hardware precisa ser integrado, e o lançamento já começou, com a nova série AMD Ryzen 6000 revelada na CES 2022. A Microsoft desenvolveu o Pluton junto com a Intel, AMD e Qualcomm, marcando um esforço unificado para ajudar a proteger os PCs daqui para frente. A segurança costuma ser um ponto fraco dos PCs com Windows, principalmente por causa de sua popularidade. Mac e Linux foram protegidos por terem níveis muito baixos de participação de mercado. Mas isso traz uma responsabilidade maior para a Microsoft e Pluton é uma resposta.
  • Microsoft corrige falha do Exchange Server.
    A Microsoft lançou uma correção para um problema com o Exchange Server que fazia com que os e-mails corporativos não fossem entregues logo nos primeiros dias do ano. A gigante da computação revelou que as mensagens ficaram presas nas filas de transporte do Exchange Server 2016 local e do Exchange Server 2019. Embora o problema tenha sido rastreado até uma falha na verificação de data com a mudança do ano novo, o recurso de verificação de malware não foi afetado. A Microsoft anunciou duas maneiras de os administradores corrigirem o problema: uma solução automatizada e outra manual. O primeiro exige que eles baixem um script para cada servidor de caixa de correio do Exchange que baixa a atualização do antimalware. A opção manual exige que as equipes de TI verifiquem se a versão do Exchange Server afetada está instalada, remova o mecanismo antimalware e metadados existentes, atualize para a versão mais recente e verifique as informações de atualização do mecanismo.
Rubens Zolotujin 0 Comentários
jan 5 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google confirma aquisição de startup de cibersegurança por US$ 500 milhões.
    A empresa confirmou que adquiriu a Siemplify, uma startup de segurança cibernética com sede em Israel, especializada em serviços de segurança ponta a ponta para empresas, normalmente chamados de serviços de orquestração, automação e resposta de segurança (SOAR). Após a aquisição, a Siemplify fará parte da equipe de segurança do Google Cloud, ingressando na operação Chronicle. O objetivo é integrar os recursos da Siemplify ao Chronicle de maneiras que ajudem as empresas a modernizar e automatizar suas operações de segurança. O Chronicle foi construído como uma plataforma projetada para telemetria de cibersegurança: rastreando especificamente a movimentação de dados em todos os dispositivos e redes, como uma forma de obter uma pista para detectar e interromper violações. A tecnologia também ajuda a melhorar o desempenho do SOC reduzindo o número de incidentes, aumentando a produtividade do analista e criando melhor visibilidade entre os fluxos de trabalho.
  • Ataques direcionados a falha Log4j permanecem em alta.
    Segundo a Microsoft os usuários Windows e Azure devem permanecer atentos em relação aos cibercriminosos que estão investigando sistemas para exploração da falha Log4j ‘Log4Shell’. No mês passado, a Microsoft lançou várias atualizações, incluindo o software de segurança Defender, para ajudar os clientes a identificar o problema conforme os invasores intensificam a atividade de varredura. As tentativas de exploração e os testes permaneceram altos durante as últimas semanas. Cibercriminosos estão adicionando explorações dessas vulnerabilidades em seus kits e táticas de malware existentes, de mineradores de moedas a ataques manuais. Pouco antes do Dia de Ano Novo, a Microsoft lançou um novo painel Log4j para gerenciamento de ameaças e vulnerabilidades no portal Microsoft 365 Defender para Windows 10 e 11, Windows Server e sistemas Linux. Este sistema tem como objetivo ajudar os clientes a encontrar e corrigir arquivos, software e dispositivos afetados pelas vulnerabilidades do Log4j
  • Sistemas de detecção da Kaspersky descobriram quase 380.000 novos arquivos maliciosos por dia em 2021.
    Este aumento de 5,7% em relação a 2020 é explicado, entre outras coisas, pelo aumento constante de terminais em uso em todo o mundo. Esta é uma das tendências atualizadas na edição anual do Kaspersky Security Bulletin: Estatísticas do ano. Embora a maioria dos ataques (91%) ainda usasse arquivos do Windows PE – um formato específico para sistemas operacionais Windows – em 2021 as ameaças associadas ao sistema operacional Linux aumentaram. Como resultado, o número de programas Linux maliciosos e indesejados aumentou 57%. Para se proteger contra isso, é recomendavel que os usuários instalem proteção de endpoint dedicada e soluções de detecção de ameaças.
Rubens Zolotujin 0 Comentários
jan 4 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Malware Purple Fox é distribuído através de instaladores maliciosos do Telegram.
    Um instalador malicioso do Telegram para Desktop está distribuindo o malware Purple Fox para instalar outras cargas maliciosas nos dispositivos infectados. O instalador é um script AutoIt compilado chamado “Telegram Desktop.exe” que descarta dois arquivos, um instalador real do Telegram e um downloader malicioso. Enquanto o instalador legítimo do Telegram colocado junto com o downloader não é executado, o programa AutoIT executa o downloader (TextInputh.exe). Após ser executado ele vai coletar informações básicas do sistema, verificar se alguma ferramenta de segurança está sendo executada e, finalmente, enviar tudo isso para um endereço C2 codificado. Assim que o processo de reconhecimento for concluído, o Purple Fox é baixado do C2 na forma de um arquivo .msi que contém o shellcode criptografado para sistemas de 32 e 64 bits. Após a execução do Purple Fox, a máquina infectada será reiniciada para que as novas configurações de registro tenham efeito, o mais importante, o Controle de Conta de Usuário (UAC) será desabilitado.
  • Nova vulnerabilidade de negação de serviço chamada ‘doorLock’ foi descoberta no Apple HomeKit, afetando o iOS 14.7 a 15.2.
    O Apple HomeKit é uma estrutura de software que permite aos usuários de iPhone e iPad controlar eletrodomésticos inteligentes a partir de seus dispositivos. De acordo com Trevor Spiniolas, o pesquisador de segurança que divulgou publicamente os detalhes, a Apple sabe da falha desde 10 de agosto de 2021. No entanto, apesar das repetidas promessas de consertá-la, o pesquisador diz que a falha ainda permanece sem solução. O impacto desse ataque varia de ter um dispositivo inutilizável que reinicia indefinidamente até não ser capaz de fazer um backup de seus dados do iCloud, já que o login nos serviços de backup online reativa a falha. Como o pesquisador explica, esse ataque poderia ser usado como um vetor de ransomware, travando dispositivos iOS em um estado inutilizável e exigindo um pagamento de resgate.
  • Campanhas maliciosas foram descobertas tirando proveito do Microsoft Build Engine (MSBuild) para executar carga útil do Cobalt Strike.
    Campanhas maliciosas foram descobertas tirando proveito do Microsoft Build Engine (MSBuild), o conjunto de ferramentas de compilação de código aberto gerenciado por código C++ nativo e parte do .NET Framework. Os invasores primeiro obtêm acesso ao ambiente de destino com uma conta RDP e, em seguida, usam o Windows Services remoto para movimentação lateral e o MSBuild para executar a carga útil do Cobalt Strike Beacon. O Beacon é empregado para a descriptografia da comunicação criptografada SSL com o servidor C2. A campanha maliciosa recente não é a primeira a abusar do MSBuild, já que o conjunto de ferramentas também foi abusado por vários invasores no passado.
Rubens Zolotujin 0 Comentários
dez 30 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Empresa atingida pela falha Log4j se recusa a pagar resgate de US$ 5 milhões aos cibercriminosos.
    Uma das maiores plataformas de criptografia do Vietnã, ONUS, sofreu recentemente um ataque cibernético em seu sistema de pagamento executando uma versão Log4j vulnerável. Os cibercriminosos abordaram a ONUS para extorquir uma quantia de $ 5 milhões e ameaçaram publicar os dados dos clientes caso a Fintech se recusasse a obedecer. Após a recusa da empresa em pagar o resgate, invasores colocaram dados de quase 2 milhões de clientes ONUS à venda em fóruns na deep web. Apesar da empresa ter corrigido a falha em sua instância, a janela de exposição permitiu tempo suficiente para que os agentes da ameaça extraíssem os bancos de dados confidenciais. Curiosamente, a vulnerabilidade existia em um servidor sandbox usado apenas para testes de software, mas permitia que os invasores acessassem mais locais de armazenamento de dados confidenciais com dados de produção, devido a uma configuração incorreta do sistema.
  • Autoridades indianas devem tornar mais rígidas as leis de violação de dados em 2022.
    As autoridades na Índia estão definidas para reprimir as violações de dados e fortalecer as regras para a retenção de dados confidenciais. As organizações serão forçadas a divulgar violações de dados dentro de 72 horas, alinhando a Índia com territórios como a UE, que exige divulgações de violações de acordo com seu Regulamento Geral de Proteção de Dados ( GDPR ). E as empresas indianas não serão mais capazes de armazenar informações de cartões de crédito, com apenas emissores de cartão e redes de cartão – como Visa ou Mastercard – autorizados a fazê-lo. O Reserve Bank of India (RBI) está adicionando novas restrições sobre quem pode reter dados de cartão de pagamento, a partir de 1º de janeiro de 2022. Sob as novas regras, apenas o emissor do cartão e a rede do cartão podem reter todos os detalhes do cartão.
  • Hackers chineses invadem importante instituição acadêmica.
    Grupo de ciberespionagem vinculado à China, foi recentemente observado explorando a vulnerabilidade Log4Shell para comprometer uma grande instituição acadêmica. Em sua tentativa de comprometer a instituição acadêmica não identificada, os invasores visaram uma instância do VMware Horizon que empregava a biblioteca Log4j vulnerável. O exploit usado neste ataque foi publicado inicialmente no GitHub em 13 de dezembro. Os invasores realizaram verificações de conectividade por meio de pesquisas de DNS para um subdomínio em execução na instância VMware Horizon, sob o serviço Apache Tomcat (outros agentes de ameaça também foram observados usando serviços de registro DNS públicos para identificar servidores vulneráveis). A organização-alvo foi alertada sobre a atividade suspeita imediatamente após a detecção e foi capaz de implementar rapidamente seu protocolo de resposta a incidentes, para corrigir o software vulnerável e prevenir novas atividades maliciosas.
Rubens Zolotujin 0 Comentários
dez 29 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA
  • Malware RedLine mostra por que senhas não devem ser salvas em navegadores.
    O malware para roubo de informações tem como alvo navegadores populares, como Chrome, Edge e Opera, demonstrando que armazenar suas senhas em navegadores é uma má ideia. Esse malware é um ladrão de informações de commodities que pode ser comprado por cerca de US$ 200 em fóruns de crimes cibernéticos e implantado sem exigir muito conhecimento ou esforço. Mesmo que o computador infectado tenha uma solução anti-malware instalada, ela pode falhar ao detectar e remover o RedLine. O malware tem como alvo o arquivo ‘Login Data’ encontrado em todos os navegadores web baseados em Chromium e é um banco de dados SQLite onde nomes de usuário e senhas são salvos. Depois de coletar as informações, os agentes da ameaça utilizam as credenciais roubadas em novos ataques ou tentam monetizá-las vendendo-as em mercados da deep web.
  • Novo malware Flagpro está sendo propagado por grupo de ciberespionagem chinês.
    O grupo de ameaça persistente avançada (APT) conhecido como BlackTech, tem como alvo milhares de empresas ao redor do mundo. O grupo usa o Flagpro no estágio inicial de um ataque para reconhecimento da rede, para avaliar o ambiente do alvo e para baixar o malware de segundo estágio e executá-lo. A cadeia de infecção começa com um e-mail de phishing criado para a organização-alvo, fingindo ser uma mensagem de um parceiro confiável. O e-mail contém um anexo RAR ou ZIP que contém um arquivo do Microsoft Excel (.XLSM) junto com uma macro maliciosa. A execução desse código cria um executável no diretório de inicialização. Em sua primeira execução, o Flagpro se conecta ao servidor de comando e controle (C2) via HTTP e envia os detalhes da ID do sistema obtidos pela execução de comandos do sistema operacional. Em resposta, o C2 pode enviar de volta comandos adicionais ou uma carga útil de segundo estágio que o malware pode executar.
  • Apache lança novo patch para corrigir a vulnerabilidade Log4j.
    A Apache Software Foundation (ASF) lançou na última terça-feira (28) novos patches para conter a falha de execução de código arbitrário no Log4j que poderia ser explorada por agentes de ameaça para executar código malicioso em sistemas afetados, tornando-se a quinta falha de segurança a ser descoberta na ferramenta em menos de um mês. Rastreada como CVE-2021-44832 , a vulnerabilidade é avaliada em 6,6 em gravidade em uma escala de 10 e afeta todas as versões da biblioteca de registro de 2.0-alpha7 a 2.17.0. Apache Log4j2 versões 2.0-beta7 a 2.17.0, são vulneráveis a um ataque de execução remota de código (RCE) em que um invasor com permissão para modificar o arquivo de configuração de registro pode construir um arquivo malicioso usando um JDBC Appender com uma fonte de dados referenciando um JNDI URI podendo executar código remoto.
Rubens Zolotujin 0 Comentários
dez 27 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cavalo de Troia para Android se espalha por meio de uma página falsa da Google Play Store.
    Um cavalo de Troia do Android banking direcionado ao Itaú Unibanco, implantou um truque incomum para se espalhar para dispositivos. Os cibercriminosos configuraram uma página que se parece muito com a loja de aplicativos Google Play oficial do Android para induzir os visitantes a pensar que estão instalando o aplicativo a partir de um serviço confiável. O malware finge ser o aplicativo bancário oficial do Itaú Unibanco e possui o mesmo ícone do aplicativo legítimo. Se o usuário clicar no botão “Instalar”, será oferecido o download do APK, o que é o primeiro sinal do golpe. Pesquisadores analisaram o malware, descobrindo que, ao ser executado, ele tenta abrir o aplicativo Itaú real na própria Play Store. Se for bem-sucedido, ele usa o aplicativo real para realizar transações fraudulentas, alterando os campos de entrada do usuário.
  • EUA incluem falha Log4J em programa de Bug Bounty.
    O governo dos EUA anunciou a expansão do programa de recompensa por bug “Hack DHS”, onde incluirá vulnerabilidades relacionadas ao Log4J. O Departamento de Segurança Interna anunciou o programa de recompensa de bug como uma forma de identificar lacunas de segurança cibernética e vulnerabilidades em seus sistemas. Eles deram acesso aos profissionais de cibersegurança para selecionar sistemas DHS externos e pediram que encontrassem bugs. O secretário Alejandro Mayorkas chamou o DHS de “zagueiro da segurança cibernética do governo federal” e disse que o programa incentiva hackers altamente qualificados para identificar os pontos fracos da segurança cibernética nos sistemas antes que possam ser explorados por cibercriminosos.
  • Provedor global de serviços de TI é atingido por ataque de ransomware.
    A empresa francesa de serviços de TI Inetum Group foi atingida por um ataque de ransomware que teve um impacto limitado sobre os negócios e seus clientes. A Inetum atua em mais de 26 países, fornecendo serviços digitais para empresas em diversos setores. O ataque de ransomware afetou algumas das operações do provedor na França e não se espalhou para as infraestruturas de maior dimensão utilizadas pelos clientes. A unidade de cibersegurança agiu rapidamente para proteger conexões sensíveis que poderiam colocar os clientes em risco se comprometidas. Para tanto, as equipes operacionais isolaram todos os servidores da rede afetada e encerraram as conexões VPN do cliente.
Rubens Zolotujin 0 Comentários
dez 23 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão vendendo dados do Ministério da Saúde e CGU na deep web.
    Credenciais pertencentes a diferentes pastas da administração federal foram encontradas à venda em fóruns da deep web. Entre os dados vazados, aparecem logins e senhas da Controladoria Geral da União (CGU) e do Ministério da Saúde, ambos atingidos por uma onda de golpes cibernéticos iniciados no dia 10 de dezembro. Os ataques teriam acontecido a partir de “perfis legítimos de administrador”, mas podem excluir a ideia de se tratar de um golpe interno; a falha na segurança pode ter levado a uma intrusão. A revelação se une a outros relatos de políticas de segurança ineficazes, senhas com padrões claros e brechas em sistemas críticos de segurança que, também, ajudam a explicar a demora no retorno dos sistemas usados pelos servidores públicos e comprovantes disponíveis à população, incluindo aqueles relacionados à imunização contra a covid-19.
  • FBI lança alerta sobre a exploração de uma vulnerabilidade no ManageEngine Desktop Central da Zoho.
    Rastreado como CVE-2021-44515 , o erro de segurança é um desvio de autenticação que pode ser explorado para obter a execução remota de código. O bug afeta as edições Professional e Enterprise do ServiceDesk Plus e potencialmente afeta dezenas de milhares de organizações em todo o mundo. Com classificação crítica (pontuação CVSS de 9,8), a vulnerabilidade foi tornada pública no início de dezembro, quando Zoho alertou que os agentes da ameaça já haviam explorado o bug em ataques. O FBI afirma que a exploração por agentes de ameaças persistentes avançadas (APT) está em andamento desde pelo menos outubro de 2021.
  • Vulnerabilidade no Facebook expõe a identidade do administrador da página.
    O Facebook pagou a um pesquisador do Nepal uma recompensa de US$ 4.750 por uma vulnerabilidade que poderia ter sido explorada para descobrir a identidade do administrador de uma página. Sudip Shah, de 19 anos, descobriu uma vulnerabilidade de Insecure Direct Object Reference (IDOR) no Facebook para Android que poderia ser explorada para revelar a identidade do administrador da página. O problema afetou apenas as páginas com um recurso de vídeo ao vivo habilitado, mas Shah estima que a maioria das páginas foi afetada, já que a maioria delas realmente tem o recurso.
Rubens Zolotujin 0 Comentários
dez 16 2021
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos anunciam vazamento de dados do ministério da saúde.
    Integrantes do grupo Lapsu afirmaram ter invadido o Ministério da Saúde e iniciaram o compartilhamento dos dados extraídos na internet. Os logins e senhas para sistemas do governo atualmente estão sendo distribuídos em fóruns obscuros da Deep Web, onde criminosos ainda ridicularizam a atuação do Governo Federal diante a sequência de invasões aos seus sistemas recentemente. O grupo publicou um arquivo compactado de 293 MB, contendo 16.847 itens (entre arquivos e entradas de diretório), totalizando 580,5 MB. O grupo anunciou também ontem que vai despejar mais 10MB, sem no entanto informar quando isso acontecerá.
  • Ataques a aplicações Web em empresas do Reino Unido aumentaram mais de 250% em dois anos.
    Os ataques no Reino Unido aumentaram mais de 250% desde outubro de 2019, levando a um aumento gigantesco nas violações de dados. Nos últimos dois anos cerca de 4,7 milhões de incidentes de segurança foram descobertos, em média 22% a cada trimestre. É provável que isso esteja alimentando um grande aumento nas violações de dados. Os ataques de execução remota de código (RCE) e de inclusão remota de arquivo (RFI), frequentemente usados para roubar informações e sequestrar sites, aumentaram significativamente nos últimos dois anos. A pandemia colocou uma urgência imensa nas empresas para que todos os tipos de projetos de transformação digital funcionassem o mais rápido possível e isso é quase certamente um fator impulsionador dentro dessa onda de ataques.
  • Governo dos EUA vai oferecer até $5.000 em recompensa para hackers identificarem falhas de segurança.
    O Departamento de Segurança Interna dos EUA, está lançando um programa de recompensa por bug, potencialmente oferecendo recompensas aos hackers que ajudam o departamento a identificar vulnerabilidades de segurança cibernética em seus sistemas. O DHS vai pagar entre US$ 500 e US$ 5.000, dependendo da gravidade da vulnerabilidade e do impacto da remediação, anunciou o secretário de Segurança Interna, Alejandro Mayorkas. O anúncio foi feito um dia depois das autoridades cibernéticas do governo Biden alertarem que os hackers estão explorando uma vulnerabilidade de software recém-revelada.
Rubens Zolotujin 0 Comentários
dez 15 2021
CISA diz às agências federais para corrigirem Log4Shell antes do Natal

A Agência de Segurança Cibernética e Infraestrutura dos EUA disse às agências civis federais para corrigir os sistemas afetados pela vulnerabilidade Log4Shell até a véspera de Natal. A agência adicionou ontem o bug Log4Shell (CVE-2021-44228) ao seu catálogo de vulnerabilidades exploradas ativamente, junto com 12 outras falhas de segurança. De acordo com este catálogo, as agências federais têm dez dias à sua disposição para testar quais de seus aplicativos e servidores internos utilizam a biblioteca Log4j Java, verificar se os sistemas são vulneráveis à exploração Log4Shell e corrigir os servidores afetados.

Além disso, a CISA também lançou ontem uma página da web dedicada que fornece orientação para o setor público e privado dos EUA com relação à vulnerabilidade Log4Shell.

Rubens Zolotujin 0 Comentários