Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

46.202 Responses to Comentários Gerais

  1. Matheus says:

    A detecção de modificação no Registro do Norton Power Eraser ao final do segundo teste, foi porque o testador modificou as configurações de segurança do Internet Explorer, colocando-as no nível baixo (Minuto 08:49 do vídeo). O NPE é uma ferramenta avançada de remoção de pragas que identifica qualquer possível modificação em configurações do sistema, e portanto o número de falsos positivos do NPE é alto.
    É facilmente verificável que o Comodo bloqueou todas as ameaças em ambos os testes, únicos erros do testador foi não ter modificado o Comodo para Proactive Security e ter testado o CAV ao invés do CIS (Sendo o CAV essencialmente o CIS sem o módulo de Firewall).

    Esse tal de Huorong Internet Security é um produto Norte-Coreano, estão utilizando o código base do Trend Micro que foi vazado faz alguns anos atrás. Permitiu a contaminação por várias ameaças (Malwarebytes detectou 100 itens). Mais um exemplo de como não vale a pena perder tempo com produtos desconhecidos, ou que não pertençam a empresas de grande porte.

  2. Matheus says:

    Site da Tupperware hackeado com formulário falso para roubar cartões de crédito

    hXXps: //www.bleepingcomputer.com/news/security/tupperware-site-hacked-with-fake-form-to-steal-credit-cards/

    Os hackers comprometeram o site da mundialmente famosa marca Tupperware e estão roubando os detalhes do cartão de pagamento dos clientes na finalização da compra. O risco existiu por um tempo, enquanto as tentativas do pesquisador de alertar a empresa continuavam sem resposta.

    Algumas versões localizadas do site oficial da Tupperware também estavam executando um código malicioso que roça os dados do cartão de crédito.

    O ataque foi cuidadosamente orquestrado para manter o skimmer ativo o maior tempo possível – uma clara indicação de que esse não é o trabalho dos atacantes comuns do MageCart.
    Tática inteligente

    Os hackers usaram um método engenhoso para roubar dados de cartão de crédito dos clientes da Tupperware no caixa: eles integraram um iframe malicioso que exibe campos de formulário de pagamento falsos aos compradores.

    Descoberto por pesquisadores da Malwarebytes, o iframe carregava o conteúdo de “deskofhelp [.] Com”, um domínio criado em 9 de março e hospedado em um servidor com vários domínios de phishing.

    A Tupperware corrigiu o problema e a forma de pagamento está sendo carregada no domínio legítimo cybersource.com, de propriedade da Visa.

    Os pesquisadores analisaram mais de perto o domínio que hospedava o conteúdo malicioso e notaram que ele estava registrado com um endereço de e-mail Yandex, algo que é absolutamente suspeito quando se trata de carregar formulários de pagamento em um site da marca americana.

    Os fraudadores fizeram um esforço para ocultar o compromisso carregando o iframe dinamicamente na página de checkout. Assim, olhar para o código fonte HTML‌ não mostra nada duvidoso.

    No entanto, a verificação da origem do iframe revelou o domínio malicioso que hospeda o conteúdo do iframe.

    Vários sites Tuppperware localizados foram comprometidos da mesma maneira e um erro cometido pelos invasores foi o uso da mesma forma de pagamento em todos eles.

    Como tal, a versão em espanhol do site da Tupperware carregava o formulário de pagamento do invasor em inglês, Malwarebytes diz em um relatório hoje, enquanto o formulário legítimo está localizado.

    Para manter os compradores inconscientes do desvio do cartão de crédito, eles verão um erro imediatamente após inserir os dados confidenciais.‌‌ Em seguida, a página será recarregada com o formulário legítimo e eles poderão concluir a compra.

    “Após uma inspeção cuidadosa, vemos que os fraudadores até copiaram a mensagem de tempo limite da sessão da CyberSource, a plataforma de pagamento usada pela Tupperware. O formulário de pagamento legítimo da CyberSource inclui um recurso de segurança onde, se um usuário fica inativo após um certo período de tempo, o formulário de pagamento é cancelado e uma mensagem de tempo limite da sessão é exibida ”- Malwarebytes

    Os dados de clientes da Tupperware coletados por criminosos cibernéticos dessa maneira incluem nome e sobrenome, endereço de cobrança, número de telefone, número do cartão de crédito, data de validade do cartão de crédito e o CVV (valor de verificação do cartão, necessário para compras on-line).

  3. Matheus says:

    WildPressure, um novo grupo APT tem como alvo o setor industrial do Oriente Médio

    hXXps: //securityaffairs.co/wordpress/100382/apt/wildpressure-apt-middle-east.html

    Especialistas em segurança da Kaspersky Lab descobriram a atividade de um novo ator de ameaças, rastreado como WildPressure, visando o setor industrial no Oriente Médio.

    O WildPressure foi descoberto pela primeira vez em agosto de 2019, quando os pesquisadores detectaram um malware nunca visto antes que não tem semelhanças com outras amostras analisadas pelos especialistas.

    “Em agosto de 2019, a Kaspersky descobriu uma campanha maliciosa distribuindo um Trojan C ++ completo que chamamos de Milum. Todas as vítimas que registramos eram organizações do Oriente Médio. Pelo menos alguns deles estão relacionados ao setor industrial. ” lê o relatório publicado pela Kaspersky. “Nosso mecanismo de atribuição de ameaças da Kaspersky (KTAE) não mostra nenhuma semelhança de código com campanhas conhecidas. Também não vimos nenhum cruzamento de alvos. De fato, encontramos apenas três amostras quase únicas, todas em um país. Portanto, consideramos os ataques direcionados e atualmente denominamos essa operação de WildPressure. ”

    O WildPressure é um grupo do APT; em agosto, ele foi descoberto ao entregar um novo pedaço de backdoor em C ++ chamado Milum. O nome Milum vem da palavra ‘milum’ usada nos nomes das classes C ++ dentro do malware.

    O backdoor implementa uma ampla gama de recursos para gerenciamento remoto de dispositivos de um host comprometido.

    Investigações posteriores levaram à descoberta de outras amostras do mesmo malware que infectou os sistemas em 31 de maio de 2019.

    Milum foi compilado dois meses antes, em março de 2019, os agentes de ameaças empregavam servidores virtuais privados (VPS) OVH e Netzbetrieb e usavam domínio registrado no serviço de anonimização de domínios por proxy.

    A análise do código Milum revelou que ele não possui semelhanças com malware envolvido em outras operações atribuídas a grupos conhecidos do APT.

    Em setembro de 2019, os pesquisadores da Kaspersky conseguiram descobrir um dos domínios C2 usados ​​pelo grupo APT (upiserversys1212 [.] Com). A grande maioria dos IPs de visitantes também era do Oriente Médio, especificamente do Irã, enquanto os demais eram scanners de rede, nós de saída TOR ou conexões VPN.

    Até o momento, ainda não está claro como o trojan de Milum foi espalhado pelo ator da ameaça e ainda é impossível atribuir ao ataque um estado específico.

    “Quaisquer semelhanças devem ser consideradas fracas em termos de atribuição e podem ser simplesmente técnicas copiadas de casos conhecidos anteriores. De fato, esse ciclo de “aprender com invasores mais experientes” foi adotado por alguns novos atores interessantes nos últimos anos. ” conclui o relatório.

    “Também devemos ser cautelosos em relação ao verdadeiro direcionamento desse novo conjunto de atividades, pois provavelmente é muito cedo para tirar conclusões precipitadas. A natureza do alvo parece clara, mas o próprio alvo pode ser limitado por nossa própria visibilidade. O malware não foi projetado exclusivamente contra nenhum tipo de vítima em particular e pode ser reutilizado em outras operações. ”

  4. Matheus says:

    Software antivírus Corona falso usado para instalar um Backdoor

    hXXps: //www.bleepingcomputer.com/news/security/fake-corona-antivirus-software-used-to-install-backdoor-malware/

    Os sites que promovem um falso Corona Antivirus estão aproveitando a atual pandemia do COVID-19 para promover e distribuir uma carga maliciosa que infectará o computador do alvo com o BlackNET RAT e o adicionará a uma botnet.

    Os dois sites que promovem o software antivírus falso podem ser encontrados no site antivirus-covid19 [.] E no corona-antivirus [.] Com, conforme descobertos pela equipe do Malwarebytes Threat Intelligence e pelos pesquisadores do MalwareHunterTeam, respectivamente.

    Embora o primeiro já tenha sido retirado desde o relatório do Malwarebytes, o do MalwareHunterTeam ainda está ativo, mas seu conteúdo foi alterado, com os links maliciosos removidos e um link de doação adicionado para apoiar os esforços dos golpistas – alerta de spoiler, não foram feitas doações feito até agora.

    “Faça o download do nosso AI Corona Antivirus para obter a melhor proteção possível contra o vírus Corona COVID-19”, diz o site. “Nossos cientistas da Universidade de Harvard estão trabalhando em um desenvolvimento especial de IA para combater o vírus usando um aplicativo para celular.

    Por último, mas não menos importante, os fabricantes de sites maliciosos também mencionam uma atualização que adicionará recursos de sincronização de VR a seus antivírus falsos: “Analisamos o vírus corona em nosso laboratório para manter o aplicativo sempre atualizado! Em breve uma sincronização VR de antivírus corona seja implementado!”

    Se alguém cair nessa, acabaria baixando um instalador do antivírus-covid19 [.] Site / update.exe (o link está desativado agora) que implantará o malware BlackNET em seus sistemas, se for lançado.

    O BlackNET adicionará o dispositivo infectado a uma botnet que pode ser controlada por seus operadores:

    • lançar ataques DDoS
    • fazer upload de arquivos para a máquina comprometida
    • executar scripts
    • tirar screenshots
    • para coletar pressionamentos de teclas usando um keylogger embutido (LimeLogger)
    • roubar carteiras de bitcoin
    • coletar cookies e senhas do navegador.

    O BlackNET RAT, classificado como ‘skidware malware’ pelo MalwareHunterTeam, também é capaz de detectar se está sendo analisado em uma VM e verificará a presença de ferramentas de análise comumente usadas por pesquisadores de malware, de acordo com a análise de c0d3inj3cT.

    O malware também vem com recursos de gerenciamento de bot, incluindo reiniciar e desligar os dispositivos infectados, desinstalar ou atualizar o cliente bot e abrir páginas da Web visíveis ou ocultas.

    Um dos sites que promovem esse falso Corona Antivirus foi descoberto pelo MalwareHunterTeam em 6 de março, enquanto o outro foi exposto pela equipe de Inteligência de Ameaças da Malwarebytes em um relatório publicado hoje.

    Em notícias relacionadas, um redirecionamento aberto do HHS.gov é atualmente abusado pelos invasores para fornecer cargas de malware que roubam informações do Raccoon nos sistemas dos alvos por meio de uma campanha de phishing com tema de coronavírus.

    Os atores por trás desses ataques de phishing em andamento usam o redirecionamento aberto para vincular a um anexo mal-intencionado que entrega um script VBS anteriormente descoberto enquanto está sendo empregado pelos operadores por trás do Netwalker Ransomware para implantar suas cargas úteis.

    A Organização Mundial da Saúde (OMS), a Agência de Segurança e Segurança Cibernética e dos EUA (CISA) e a Comissão Federal de Comércio dos EUA (FTC) alertaram sobre phishing e ataques com tema de coronavírus que visam vítimas em potencial de países ao redor do mundo (1, 2 3)

  5. Matheus says:

    Mozilla Firefox implementa um modo somente HTTPS para uma navegação mais segura

    hXXps: //www.bleepingcomputer.com/news/software/mozilla-firefox-gets-a-https-only-mode-for-more-secure-browsing/

    O Mozilla Firefox 76 está obtendo um novo modo ‘Somente HTTPS’ que atualiza automaticamente todas as solicitações HTTP para HTTPS ao navegar na Web e bloqueia todas as conexões que não podem ser atualizadas.

    Ao conectar-se a um site HTTP, sua conexão não é criptografada e seu ISP e programas em execução no computador podem monitorar os dados enviados por ele. Isso inclui suas senhas, informações de cartão de crédito e outras informações confidenciais.

    Por esse motivo, é sempre recomendável usar apenas sites HTTPS, que criptografam a conexão entre o navegador e o site.

    Enquanto a maioria dos sites agora usa HTTPS, alguns continuam usando apenas o protocolo HTTP e o Mozilla está adicionando um novo recurso que atualiza automaticamente sua conexão para HTTPS ou impede que você visite o site.
    Modo ‘HTTPS Only’ da Mozilla

    Semelhante ao complemento HTTPS Everywhere, quando o recurso HTTPS Only do Firefox estiver ativado, o navegador alterará automaticamente quaisquer solicitações HTTP para HTTPS e, se não for possível conectar, exibirá um alerta perguntando se você deseja continuar a conexão via HTTP.

    Sendo desenvolvido para o Firefox 76, esse recurso não será ativado por padrão e também tentará atualizar sub-recursos como arquivos CSS, scripts e imagens para HTTPS e, se não for possível, impedirá o carregamento silencioso.

    Atualmente, se um usuário do Firefox digitar foo.com na barra de endereços, nosso mecanismo interno estabelecerá uma conexão HTTP com foo.com. Neste projeto, exporemos uma preferência que permite que os usuários finais optem pelo modo ‘Somente HTTPS’, que tenta estabelecer uma conexão HTTPS em vez de HTTP para foo.com. Além disso, atualizaremos todos os sub-recursos da página para carregar usando https em vez de http.

    Considerações de implementação:
    Para cargas de nível superior que encontrarem um tempo limite, poderíamos fornecer algum tipo de página de erro com um botão que permitiria ao usuário final carregar a página solicitada usando http.
    Para cargas de sub-fonte, podemos falhar silenciosamente e apenas registrar algumas informações no console.

    Atualmente, este recurso está disponível nas versões do Firefox 76 Nightly e pode ser ativado alternando a configuração ‘dom.security.https_only_mode’ para ‘True’ em about: config.

    Esse é um recurso interessante e que muitos ativariam por padrão, pois apenas aumenta a segurança dos sites visitados, com a pequena inconveniência de um alerta aqui e ali, enquanto você navega para sites inseguros.

Deixa aqui o seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: