Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

46.073 Responses to Comentários Gerais

  1. Matheus says:

    Avast acusada de vender dados pessoais de seus clientes

    hXXps: //www.futura-sciences.com/tech/actualites/cybersecurite-avast-accuse-vendre-donnees-personnelles-clients-79344/

    Uma pesquisa da Motherboard e da PCMag acaba de revelar que o Avast usa seu antivírus para rastrear a vida diária de seus usuários na web. Os dados são então vendidos através de uma subsidiária.

    Isso é chamado de colocar a mão na bolsa. O fornecedor Avast, conhecido em particular por seu famoso antivírus gratuito de mesmo nome, vende os dados de centenas de milhões de usuários a terceiros. De qualquer forma, isso é revelado por uma investigação conjunta entre a Motherboard e a PCMag. Mais especificamente, ela explica que é a Jumpshot, uma subsidiária da Avast, que comercializaria “Todas as pesquisas. Todos os cliques. Todas as compras. Em todos os sites ‘realizados pelos clientes do conjunto de segurança.

    Os dados de navegação coletados são vendidos, por meio dessa subsidiária, a clientes como Google, Yelp, Microsoft, Pepsi, Sephora e muitos outros. Culpada, a Avast tenta se esclarecer, explicando que “os dados são totalmente despersonalizados e agregados e não podem ser usados ​​para identificar ou direcionar pessoalmente. ”
    Dados não tão anônimos

    Esses dados incluem o histórico de pesquisa do Google, coordenadas GPS no Google Maps, páginas do LinkedIn, vídeos do YouTube e até sites pornográficos. O editor sabe a que horas um site foi visitado ou uma pesquisa foi inserida. Esses elementos simples podem ser suficientes para identificar determinados usuários, mesmo que os dados tenham sido despersonalizados.

    E não é uma tentativa inédita por parte da Avast. Assim, o fornecedor coletou até recentemente o mesmo tipo de dados pessoais por meio de uma extensão do navegador. Uma vez desmascarados, os navegadores Mozilla, Google e Opera o removeram de seu catálogo de extensões. Desde então, o fornecedor alega que “parou completamente de usar dados de extensão do navegador para outros fins que não o principal mecanismo de segurança”, acrescentando que isso também diz respeito ao compartilhamento com sua subsidiária Jumpshot.

    Talvez seja por esse motivo que a empresa agora use o antivírus diretamente para rastrear seus usuários. Mas há uma nuance com a nova versão do antivírus, porque é solicitado que eles autorizem ou não esse rastreamento. Para outros, essa opção aparecerá automaticamente em algumas semanas.

  2. Matheus says:

    Mozilla proibiu centenas de complementos maliciosos do Firefox nas últimas semanas

    hXXps: //securityaffairs.co/wordpress/96860/hacking/mozilla-banned-firefox-add-ons.html

    A Mozilla está intensificando os esforços para proteger seus usuários. Nas últimas semanas, a equipe de segurança proibiu 200 complementos maliciosos do Firefox.

    Nas últimas duas semanas, a Mozilla revisou e baniu 197 complementos do Firefox porque eles estavam executando códigos maliciosos. Os complementos maliciosos do Firefox foram encontrados roubando dados do usuário e, por esse motivo, foram removidos do portal Mozilla Add-on (AMO).

    A Mozilla também desativou os complementos maliciosos nos navegadores dos usuários que já os instalaram.

    Os aplicativos estavam usando ofuscação para ocultar seu código-fonte e estavam baixando e executando código de um servidor remoto, um comportamento que viola a política do portal. O download do código de um servidor remoto pode permitir que os agentes de ameaças executem códigos maliciosos no navegador, uma vez que serão baixados dinamicamente de um servidor sob seu controle.

    A Mozilla proibiu 14 complementos do Firefox ([1], [2]. [3]) porque eles estavam usando código ofuscado e potencialmente ocultando código malicioso.

    A maioria dos aplicativos proibidos foi desenvolvida pela 2Ring, um fornecedor de software B2B.

    A Mozilla baniu pela mesma razão seis complementos do Firefox desenvolvidos pela Tamo Junto Caixa e três complementos que eram produtos premium falsos.

    A Mozilla também proibiu um complemento sem nome, WeatherPool e Your Social, Pviewviewer – tools, RoliTrade e Rolimons Plus por coletar dados do usuário sem consentimento.

    A organização também baniu o comportamento malicioso de outros 30 complementos.

    O Firefox também informou que o caso de um complemento chamado Fake Youtube Downloader foi flagrado tentando instalar um malware nos navegadores dos usuários.

    A Mozilla também proibiu os complementos do Firefox, como EasySearch para Firefox, EasyZipTab, ConvertToPDF e FlixTab Search, por interceptar e coletar termos de pesquisa de usuários, um comportamento que viola as regras.

  3. Matheus says:

    Ragnarok Ransomware visa o Citrix ADC e desativa o Windows Defender

    hXXps: //www.bleepingcomputer.com/news/security/ragnarok-ransomware-targets-citrix-adc-disables-windows-defender/

    Foi detectado um novo ransomware chamado Ragnarok sendo usado em ataques direcionados contra servidores Citrix ADC sem patch vulneráveis ​​à exploração CVE-2019-19781.

    Na semana passada, o FireEye divulgou um relatório sobre novos ataques que exploram a vulnerabilidade Citrix ADC agora corrigida para instalar o novo Raganarok Ransomware em redes vulneráveis.

    Quando os invasores conseguem comprometer um dispositivo Citrix ADC, vários scripts são baixados e executados para verificar se há computadores Windows vulneráveis ​​à vulnerabilidade EternalBlue.

    Se detectados, os scripts tentariam explorar os dispositivos Windows e, se bem-sucedidos, injetariam uma DLL que baixa e instala o ragnomok Ragnarok no dispositivo explorado.

    Depois que o chefe do SentinelLabs, Vitali Kremez, extraiu o arquivo de configuração do ransomware, descobrimos um comportamento interessante que não é comumente visto em outros ransomware, detalhados abaixo.

    Exclui a Rússia e a China da criptografia
    Muitas operações de ransomware são criadas por desenvolvedores fora da Rússia ou de outros países da CEI.

    Para voar sob o radar da autoridade, é comum que desenvolvedores de ransomware excluam usuários na Rússia e em outros países da antiga União Soviética da criptografia, caso sejam infectados.

    O Ragnarok opera de maneira semelhante, verificando o ID do idioma do Windows instalado e, se ele corresponder a um dos seguintes, não executará uma criptografia do computador.

    0419 = Rússia
    0423 = Bielorrússia
    0444 = Rússia
    0442 = Turcomenistão
    0422 = Ucrânia
    0426 = Letônia
    043f = Cazaquistão
    042c = Azerbaijão

    Estranhamente, além dos países da CEI, o Ragnarok também evitará criptografar as vítimas que possuem o ID do idioma 0804 para a China instalado.

    O ransomware, excluindo Rússia e China ao mesmo tempo, é raro e não se sabe se isso está sendo feito como um engodo para a aplicação da lei ou se o ransomware opera fora dos dois países.
    Tentativas de desativar o Windows Defender

    Como o Windows Defender da Microsoft se tornou um programa antivírus e de segurança sólido e confiável, descobrimos que vários programas de malware estão tentando desativá-lo ou ignorá-lo para realizar operações maliciosas com mais facilidade.

    Por exemplo, vimos infecções por GootKit, TrickBot e Novter, todas utilizando algum tipo de desvio do Windows Defender.

    No entanto, é raro ver as próprias infecções por ransomware tentarem desativar a funcionalidade do Windows Defender, que é o que Ragnarok tenta.

    Isso é feito adicionando as seguintes políticas de grupo do Windows que desabilitam várias opções de proteção no Windows Defender:

    HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows Defender “DisableAntiSpyware” = 1
    HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Proteção em tempo real “DisableRealtimeMonitoring” = 1
    HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ Proteção em tempo real “DisableBehaviorMonitoring” = 1
    Proteção HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows Defender \ em tempo real “DisableOnAccessProtection” = 1

    A boa notícia é que, se você tiver o recurso Tamper Protection do Windows 10 ativado, esses métodos não funcionarão e o Windows simplesmente ignorará qualquer tentativa de ignorar o Windows Defender.

    Além do Windows Defender, o Ragnarok também tentará limpar cópias de volume de sombra, desativar o reparo automático de inicialização do Windows e desativar o Firewall do Windows com os seguintes comandos:

    cmd.exe / c vssadmin excluir sombras / tudo / silencioso
    cmd.exe / c bcdedit / set {current} política de bootpolicy ignoreallfailures
    cmd.exe / c bcdedit / set {current} recoveryenabled não
    cmd.exe / c netsh advfirewall desativou o estado de todos os perfis

    Referências de arquivo Unix estranhas
    Outro aspecto estranho desse ransomware são as inúmeras referências no executável do Windows a vários caminhos de arquivo Unix / Linux, como:

    “no_name4”: “/ proc”,
    “no_name5”: “/ proc /% s / status”,
    “no_name8”: “/tmp/crypt.txt”,
    “no_name9”: “/ proc /% s”,
    “rand_path”: “/ dev / random”,
    “caminho_de_ home”: “/ home /”,

    Ainda não está claro por que esses caminhos estão incluídos e para que são usados, mas Kremez acredita que poderia ser uma possível segmentação de plataforma cruzada em desenvolvimento usada pelos invasores.

    “Eu acredito que” no_name5 “:” / proc /% s / status “demonstra especificamente que os atores estão verificando se o malware está sendo executado no sistema através do comando Unix” / proc / [proccess_id] / status “. Dado que o Citrix é explorado entre plataformas e pode estar em execução nos sistemas Unix e Windows. Essa configuração específica “no_name” permite o direcionamento de plataforma cruzada e verifica os sistemas Windows e Unix. Em geral, esse direcionamento e quaisquer cargas úteis do Unix ainda podem estar no desenvolvimento; no entanto, os criminosos por trás do Ragnarok parecem ser o mais modular e adaptável possível, dada essa configuração para afetar mais sistemas “, disse Kremez ao BleepingComputer em uma conversa.

    Rotina de criptografia bastante padrão

    O restante do processo de criptografia do Ragnarok é semelhante ao que vemos em outras infecções por ransomware.

    Ao criptografar arquivos, ele usará a criptografia AES e a chave gerada será criptografada com uma chave de criptografia RSA incluída. Isso faz com que apenas os desenvolvedores de ransomware possam descriptografar a chave de criptografia da vítima.

    Ao procurar arquivos criptografados, o Ragnarok ignorará todos os arquivos que tenham as extensões “.exe”, “.dll”, “.sys” e “.ragnarok”. Ele também ignorará qualquer arquivo cujo caminho contenha as seguintes strings:

    content.ie5
    \arquivos temporários de Internet
    \ configurações locais \ temp
    \ appdata \ local \ temp
    \arquivos de Programas
    \janelas
    \dados do Programa
    $

    Cada arquivo criptografado terá a extensão .ragnarok anexada ao nome do arquivo. Por exemplo, 1.doc seria criptografado e renomeado para 1.doc.ragnarok.

    Ao criptografar o computador, ele criará uma nota de resgate em todas as pastas atravessadas chamadas !! ReadMe_To_Decrypt_My_Files.txt.

    Esta nota de resgate contém instruções sobre o que aconteceu com os arquivos da vítima, sua chave de descriptografia criptografada e três endereços de e-mail para entrar em contato para obter instruções de pagamento. Não se sabe quantos bitcoins os atacantes estão exigindo para um decodificador.

    No momento, parece que a criptografia do Ragnarok não pode ser quebrada, mas será pesquisada mais em busca de pontos fracos.

  4. Matheus says:

    Primeiros hackers do MageCart capturados, infectaram centenas de lojas na web

    hXXps: //www.bleepingcomputer.com/news/security/first-magecart-hackers-caught-infected-hundreds-of-web-stores/

    Membros suspeitos de um grupo MageCart que roubaram informações de cartões de pagamento de clientes de centenas de lojas on-line invadidas agora estão sob custódia da polícia indonésia.

    Nomeado GetBilling por alguns pesquisadores de segurança cibernética, o grupo opera desde pelo menos 2017 e é responsável por 1% de todos os incidentes do MageCart, no mínimo.

    Os ataques do MageCart usam código JavaScript malicioso para coletar informações de pagamento e pessoais que os usuários acessam na página de check-out de uma loja on-line comprometida. O script também é chamado de JS-sniffer, web skimmer ou e-skimmer.
    Operação ‘Fúria da Noite’

    A colaboração entre a polícia cibernética da Indonésia, a ASEAN Desk da Interpol e a empresa de cibersegurança Group-IB, com base em Cingapura, por meio de sua equipe de investigações cibernéticas da APAC, levou à prisão de três indivíduos em 20 de dezembro.

    A identidade dos três, que provavelmente fazem parte de um grupo maior, é revelada apenas pelas iniciais (AND, K e NA) e têm 27, 35 e 23 anos de idade. Um deles admitiu diante da câmera que estava injetando skimmers da Web em lojas comprometidas desde 2017 e que os alvos foram escolhidos aleatoriamente.

    Isso foi confirmado em uma entrevista coletiva na sexta-feira pelo comissário de polícia nacional Himawan Bayu Aji, que acrescentou que o trio roubou dados de 500 cartões de crédito usados ​​para fazer compras em 12 sites.

    A investigação revelou que os três suspeitos usaram as informações do cartão roubado para comprar bens (eletrônicos e itens de luxo) que eles tentariam vender abaixo do seu valor de mercado. Isso gerou um lucro de até US $ 30.000 (Rp 300-400 milhões).

    De acordo com a Cyberthreat.id, as seguintes dezenas de lojas foram infectadas com o skimmer GetBilling:

    thebigtrophyshop. co .uk
    rebelsafetygear. com
    infinitetee. co .uk
    screenplay. com
    sasy420. com
    adelog. com. au
    getitrepaired. co .uk
    geigerbtc. com
    hygo. co .uk
    jorggray. co .uk
    iweavehair. com
    ap-nutrition. com

    Centenas de lojas da web afetadas

    A lista é muito maior que isso, no entanto. O Group-IB acompanha o script GetBilling desde 2018 e o incluiu em um relatório sobre JS-sniffers em abril do ano passado. O número de scripts identificados na época era 38, mas isso quase dobrou, muitos dos e-skimmers sendo peças sofisticadas.

    Analisando a infraestrutura usada pelo script malicioso, a empresa descobriu que havia sido plantado cerca de 200 sites na Indonésia, Austrália, Europa (Reino Unido, Alemanha), EUA, América do Sul e alguns outros países.

    O Grupo-IB acrescentou que o número de vítimas é provavelmente muito maior, o que é confirmado pela Sanguine Security, uma empresa que fornece proteção contra fraude de pagamento em lojas online, observando que o GetBilling apareceu nas varreduras da empresa desde 2017 e o identificou em 571 lojas da web.

    O script pode ser facilmente rastreado por causa da mensagem ‘Success gan!’ (traduzido como ‘Success bro’ do indonésio) que os atacantes deixaram no script e em toda a infraestrutura de skimming (parte dela na Indonésia):

    A mesma mensagem está presente no script GetBilling publicado pelo Group-IB, que também revela como ele verificou os dados direcionados e como isso foi exfiltrado:

    O GetBilling não se limita a coletar apenas informações de pagamento. Ele também copia detalhes pessoais que ajudariam os cibercriminosos em suas compras.

    Um exemplo dos dados roubados está disponível abaixo, cortesia do Grupo-IB. Como visto, além do número do cartão, nome do proprietário, tipo do cartão, data de validade e código CVV, o script também rouba o endereço de cobrança e os números de telefone.

    Servidores ainda ativos, outros suspeitos em geral
    A investigação continua em outros seis países da Associação das Nações do Sudeste Asiático (ASEAN), diz a Interpol hoje, onde a infraestrutura e outros três membros deste grupo MageCart podem estar localizados. Dois servidores de comando e controle foram identificados em Cingapura, agora desativados pelas autoridades.

    Depois que os três foram presos na Indonésia, a Sanguine Security detectou o script GetBilling em outros sites.

    No sábado, a empresa diz que o código estava ativo em 27 lojas e vários servidores de exfiltração estavam coletando ativamente detalhes de pagamento, um deles desafiadoramente chamado magecart [.] Net. Outros servidores estão disponíveis na lista abaixo:

    Esses atores não são novatos no ramo de crimes cibernéticos. O comissário Himawan disse que o trio comprou o script malicioso de um fórum de criminosos cibernéticos e depois o desenvolveu.

    Eles usaram uma conexão VPN para acessar os servidores que hospedam os detalhes roubados e controlar o JS-sniffer, que obscurece seu endereço IP real, e pagaram pelos domínios e serviços de hospedagem com cartões roubados.

Deixe uma resposta para Matheus Cancelar resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: