Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

46.402 Responses to Comentários Gerais

  1. Matheus says:

    Novo malware com tema de coronavírus bloqueia você do Windows

    hXXps: //www.bleepingcomputer.com/news/security/new-coronavirus-themed-malware-locks-you-out-of-windows/

    Com a escola fechada devido à pandemia do Coronavírus, algumas crianças estão criando malware para se manterem ocupadas. É o caso de uma variedade de novas variantes do MBRLocker sendo lançadas, incluindo uma com o tema Coronavirus.

    MBRLockers são programas que substituem o ‘registro mestre de inicialização’ de um computador, impedindo a inicialização do sistema operacional e exibindo uma nota de resgate ou outra mensagem.

    Alguns MBRLockers, como o Petya e o GoldenEye, também criptografam a tabela que contém as informações da partição para suas unidades, impossibilitando o acesso aos arquivos ou a reconstrução do MBR sem a inserção de um código ou o pagamento de um resgate.

    Primeiro MBRLocker com um tema Coronavirus
    Na semana passada, o MalwareHunterTeam descobriu o instalador de um novo malware com o nome de “Coronavirus” sendo distribuído como o arquivo COVID-19.exe.

    MalwareHunterTeam @malwrhunterteam
    23 de mar
    f632b6e822d69fb54b41f83a357ff65d8bfc67bc3e304e88bf4d9f0c4aedc224
    “coronavirus instalado com sucesso”
    AnyRun (graças a @JayTHL
    ): hXXps: //app.any.run/tasks/34de88b9-730d-4991-8ecc-8a9ed8d71d9c/

    Quando instalado, o malware extrai vários arquivos para uma pasta em% Temp% e, em seguida, executa um arquivo em lotes chamado Coronavirus.bat. Esse arquivo em lotes moverá os arquivos extraídos para uma pasta C: \ COVID-19, configurará vários programas para iniciar automaticamente no logon e reiniciará o Windows.

    Depois que o Windows for reiniciado, uma imagem do Coronavirus será exibida junto com uma mensagem informando “o coronavirus infectou seu PC!”

    A análise da SonicWall e da Avast afirma que também será executado outro programa que fará o backup do MBR (Master Boot Record) da unidade de inicialização em outro local e o substituirá por um MBR personalizado.

    Na reinicialização, o Registro mestre de inicialização personalizado exibirá uma mensagem informando “Seu computador foi lixeira” e o Windows não será iniciado.

    Felizmente, a análise da Avast mostra que um desvio foi adicionado ao código MBR personalizado que permite restaurar o registro mestre de inicialização original para que você possa inicializar normalmente. Isso pode ser feito pressionando as teclas CTRL + ALT + ESC ao mesmo tempo.

    Outras pesquisas da BleepingComputer descobriram outra variante do mesmo desenvolvedor chamada ‘RedMist’. Quando instalado, em vez de mostrar a imagem do Coronavírus, ele mostra uma imagem do Lula Molusco dizendo “Lula Molusco está observando você”.

    Como a versão do Coronavirus, essa variante avisa que, após a reinicialização, você não poderá obter acesso ao Windows novamente.

    Essa variante também suporta o desvio CTRL + ALT + ESC para que você possa restaurar o MBR original.

    Note-se que essas infecções não excluem seus dados ou destroem a tabela de partição. Simplesmente restaurar o MBR a partir do local de backup permitirá iniciar o Windows e acessar seus dados novamente.

    Um fluxo constante de MBRLockers sendo feitos
    O BleepingComputer conseguiu encontrar diversas variantes do MBRLocker lançadas na semana passada usando diferentes mensagens, memes e piadas internas,

    Todas essas variantes do MBRLocker estão sendo criadas com uma ferramenta disponível publicamente, lançada no YouTube e no Discord. O BleepingComputer não publicará o nome da ferramenta para impedir que outras variantes sejam liberadas.

    O BleepingComputer acredita que todos esses MBRLockers estão sendo criados para ‘diversão’ ou como parte de ‘brincadeiras’ para serem exibidas nas pessoas.

    Embora não se saiba se estão sendo distribuídos com intuito malicioso, os usuários ainda devem ter o cuidado de executar qualquer programa compartilhado por outras pessoas, especialmente no Discord, sem primeiro examiná-los usando o VirusTotal.

  2. Matheus says:

    Microsoft: Emotet derrubou uma rede superaquecendo todos os computadores

    hXXps: //www.bleepingcomputer.com/news/security/microsoft-emotet-took-down-a-network-by-overheating-all-computers/

    A Microsoft diz que uma infecção pelo Emotet conseguiu derrubar toda a rede de uma organização ao maximizar as CPUs nos dispositivos Windows e reduzir a conexão à Internet após um funcionário ter sido enganado para abrir um anexo de email de phishing.

    “Depois que um email de phishing entregou o Emotet, um vírus polimórfico que se propaga por compartilhamentos de rede e protocolos herdados, o vírus encerrou os principais serviços da organização”, afirmou o DART.

    “O vírus evitou a detecção por soluções antivírus através de atualizações regulares de uma infraestrutura de comando e controle (C2) controlada pelo invasor e se espalhou pelos sistemas da empresa, causando interrupções na rede e desligando os serviços essenciais por quase uma semana”.
    Todos os sistemas desativados em uma semana

    A carga útil do Emotet foi entregue e executada nos sistemas da Fabrikam – um nome falso que a Microsoft deu à vítima em seu estudo de caso – cinco dias após as credenciais de usuário do funcionário terem sido exfiltradas para o servidor de comando e controle (C&C) do invasor.

    Antes disso, os agentes de ameaças usavam as credenciais roubadas para enviar emails de phishing para outros funcionários da Fabrikam, bem como para seus contatos externos, com mais e mais sistemas sendo infectados e fazendo o download de cargas de malware adicionais.

    O malware se espalhou ainda mais pela rede sem levantar sinais vermelhos, roubando credenciais de conta de administrador, autenticando-se em novos sistemas, posteriormente usados ​​como trampolins para comprometer outros dispositivos.

    Dentro de oito dias desde que o primeiro anexo com armadilha foi aberto, toda a rede da Fabrikam ficou de joelhos, apesar dos esforços do departamento de TI, com os PCs superaquecendo, congelando e reinicializando por causa de telas azuis, e as conexões à Internet diminuindo devido ao rastreamento. Emotet devorando toda a largura de banda.

    “Quando a última de suas máquinas superaqueceu, a Fabrikam sabia que o problema havia descontrolado oficialmente. ‘Queremos parar essa hemorragia’, diria um funcionário mais tarde”, diz o relatório do estudo de caso do DART.

    “Ele foi informado de que a organização tinha um sistema extenso para evitar ataques cibernéticos, mas esse novo vírus escapou de todos os firewalls e softwares antivírus. Agora, enquanto observavam seus computadores em tela azul, um por um, não faziam ideia do que para fazer a seguir. ”

    Com base no que o funcionário disse após o incidente, embora não oficialmente confirmado, o ataque descrito pela Equipe de Detecção e Resposta da Microsoft (DART) corresponde a um ataque de malware que afetou a cidade de Allentown, Pensilvânia, em fevereiro de 2018, como o ZDNet notou pela primeira vez.

    Na época, o prefeito Ed Pawlowski disse que a cidade tinha que pagar quase US $ 1 milhão à Microsoft para limpar seus sistemas, com uma taxa inicial de resposta a emergências de US $ 185.000 para conter o malware e até US $ 900.000 em custos adicionais de recuperação, conforme relatado pela primeira vez por A chamada da manhã.
    Procedimentos de contenção e contenção da infecção por Emotet

    “As autoridades anunciaram que o vírus ameaçava todos os sistemas da Fabrikam, até sua rede de câmeras de vigilância 185”, afirma o relatório da DART.

    “Seu departamento financeiro não pôde concluir nenhuma transação bancária externa e as organizações parceiras não puderam acessar nenhum banco de dados controlado pela Fabrikam. Foi um caos.

    “Eles não sabiam se um ataque cibernético externo de um hacker causou o desligamento ou se estavam lidando com um vírus interno. Teria ajudado se eles pudessem acessar suas contas de rede.

    “O Emotet consumiu a largura de banda da rede até usá-la para qualquer coisa que se tornou praticamente impossível. Mesmo os e-mails não conseguiam se esquivar”.

    O DART da Microsoft – uma equipe remota e que lidaria com o ataque no local – foi chamado oito dias após o comprometimento do primeiro dispositivo na rede da Fabrikam.

    O DART continha a infecção do Emotet usando controles de ativos e zonas de buffer projetadas para isolar ativos com privilégios de administrador.

    Eles finalmente conseguiram erradicar completamente a infecção pelo Emotet após fazer upload de novas assinaturas de antivírus e implantar as avaliações do Microsoft Defender ATP e do Azure ATP para detectar e remover o malware.

    A Microsoft recomenda o uso de ferramentas de filtragem de email para detectar e interromper automaticamente emails de phishing que espalham a infecção pelo Emotet, bem como a adoção da autenticação multifatorial (MFA) para impedir que os invasores tirem proveito das credenciais roubadas.

    As infecções por Emotet podem levar a resultados graves
    O Emotet, originalmente visto como um Trojan bancário em 2014, evoluiu para um carregador de malware usado por atores de ameaças para instalar outras famílias de malware, incluindo, entre outros, o Trojan bancário Trickbot (um vetor conhecido usado na entrega de cargas de ransomware Ryuk).

    O Emotet foi atualizado recentemente com um módulo worm Wi-Fi projetado para ajudá-lo a se espalhar para novas vítimas através de redes sem fio inseguras nas proximidades.

    Recentemente, em janeiro de 2020, a Agência de Segurança Cibernética e Infraestrutura (CISA) alertou organizações governamentais e privadas, bem como usuários domésticos, sobre o aumento da atividade em torno dos ataques direcionados ao Emotet.

    Em novembro de 2019, o Centro de Segurança Cibernética da Austrália (ACSC) da Australian Signals Directorate também alertou sobre os perigos por trás dos ataques Emotet, dizendo na época que o malware “fornece ao invasor uma base de apoio em uma rede a partir da qual ataques adicionais podem ser realizados, geralmente levando a um maior comprometimento com a implantação do ransomware “.

    O Emotet ficou em primeiro lugar no ranking ‘Top 10 ameaças mais prevalentes’ publicado pela plataforma de análise de malware interativa Any.Run no final de dezembro de 2019, com o triplo do número de envios de amostra enviados para análise quando comparado ao próximo malware no topo, o Agente Tesla, ladrão de informações.

  3. Matheus says:

    Grupo Magecart 7 usa novo skimmer eletrônico para roubar dados de pagamento

    hXXps: //securityaffairs.co/wordpress/100996/malware/magecart-group-7-skimmer.html

    Os pesquisadores do RiskIQ identificaram uma nova campanha em andamento do Magecart que já comprometia pelo menos 19 sites diferentes de comércio eletrônico.

    Pesquisadores da empresa de segurança RiskIQ descobriram uma nova campanha Magecart em andamento que já comprometia pelo menos 19 sites de comércio eletrônico diferentes para roubar dados de cartões de pagamento dos clientes.

    Os especialistas descobriram um novo skimmer, apelidado de “MakeFrame”, que injeta iframes HTML em páginas da Web para capturar dados de pagamento.

    O RiskIQ rastreia diferentes grupos de Magecart, com base no uso do e-skimmer pelos atores de ameaças que os especialistas atribuem esta campanha ao Magecart Group 7.

    “Em 24 de janeiro, tomamos conhecimento de um novo skimmer Magecart, que chamamos de MakeFrame, após sua capacidade de criar iframes para analisar os dados de pagamento”. lê o relatório publicado pela RiskIQ.

    “Desde então, capturamos várias versões diferentes do skimmer, cada uma com vários níveis de ofuscação, desde versões de desenvolvimento em código claro até versões finalizadas usando ofuscação criptografada. Até agora, o RiskIQ observou o MakeFrame em 19 locais diferentes de vítimas. ”

    A versão do skimmer detectada pelos especialistas é o blob clássico do Magecart de termos codificados em hexadecimal e código ofuscado, incluído no código legítimo na tentativa de evitar a detecção.

    O skimmer implementa mais algumas camadas de sofisticação, como verificar o uso de embelezadores de código para tornar o código condensado ou ofuscado mais legível para os analistas de ameaças.

    É impossível desabilitar o código devido a uma verificação (_0x5cc230 [‘removeCookie‘]) que impede qualquer alteração. O código do skimmer é reconstruído apenas se a verificação for aprovada.

    A análise do e-skimmer MakeFrame revelou também a capacidade de emular o método de pagamento usando iframes para criar uma forma de pagamento e capturar os detalhes de pagamento fornecidos pelas vítimas.

    Os especialistas encontraram o código do skimmer em todas as 19 lojas eletrônicas comprometidas analisadas, os dados roubados são enviados de volta para o mesmo servidor ou para outro domínio invadido pelo grupo (ou seja, piscinasecologicas [.] Com) na forma de um arquivo .php . Esse método de exfiltração foi observado em ataques anteriores associados ao Magecart Group 7.

    “Esse método de exfiltração é o mesmo usado pelo Magecart Group 7, enviando dados roubados como arquivos .php para outros sites comprometidos para a exfiltração. Cada site comprometido usado para o exfil de dados também foi injetado com um skimmer e também foi usado para hospedar o código de skimming carregado em outros sites das vítimas. ” continua o relatório.

    “Relembrando nossa análise anterior do código de escaneamento do Grupo 7 em nosso relatório Inside Magecart, o método de codificação de dados roubados como uma longa sequência de base64 é notavelmente semelhante entre os escumadores mais velhos do Grupo 7 e essas amostras mais recentes. ”

    As evidências coletadas pelo RiskIQ demonstram que os grupos Magecart continuam aprimorando suas técnicas e os e-skimmers que empregam nas campanhas. O RiskIQ informou que os ataques com Magecart cresceram 20% em meio ao surto de COVID-19.

    “Com muitas pessoas localmente forçadas a comprar o que precisam on-line, a ameaça de skimming digital para o comércio eletrônico está mais pronunciada do que nunca”. concluiu o RiskIQ.

    “Como vimos nos ataques ao NutriBullet e outras vítimas, existem várias maneiras de atacar a funcionalidade de um site”.

  4. Matheus says:

    Mozilla corrige duas falhas de Dia Zero no Firefox exploradas em estado selvagem

    hXXps: //www.bleepingcomputer.com/news/security/mozilla-patches-two-actively-exploited-firefox-zero-days/

    A Mozilla lançou o Firefox 74.0.1 e o Firefox ESR 68.6.1 anteriormente para solucionar duas vulnerabilidades críticas ativamente abusadas na natureza que poderiam levar à execução remota de código em máquinas vulneráveis.

    As duas falhas de segurança corrigidas hoje podem permitir que invasores executem códigos arbitrários ou acionem falhas em máquinas que executam versões vulneráveis ​​do Firefox.

    Como diz o comunicado de segurança da Mozilla, os desenvolvedores do Firefox “estão cientes dos ataques direcionados” que abusam “dessas duas vulnerabilidades com uma classificação de gravidade crítica.

    As falhas de dia zero do Firefox e do ESR corrigidas hoje pela Mozilla foram relatadas por Francisco Alonso, trabalhando com Javier Marcos, da JMP Security.

    Atualize para o Firefox 74.0.1 e ESR 68.6.1. Nós (@javutin) relatamos dois dias 0 explorados na natureza. Agradecemos ao @mozilla por soluções rápidas e trabalho duro. 1 / n hXXps://t.co/00V9gyYVXo
    – Francisco Alonso (@revskills) 3 de abril de 2020

    O primeiro, rastreado como CVE-2020-6819, deve-se a um erro de uso após livre causado por uma condição de corrida ao executar o destruidor nsDocShell.

    O segundo dia zero fixo, rastreado como CVE-2020-6820, também é induzido por um erro de uso após livre gerado por uma condição de corrida ao manipular um ReadableStream.

    Os invasores não autenticados remotos podem induzir as vítimas em potencial a visitar um site criado com códigos maliciosos para acionar essas duas vulnerabilidades e, posteriormente, executar código arbitrário em dispositivos que executam versões sem patch do Firefox.

    A exploração bem-sucedida de uma dessas vulnerabilidades pode permitir que os invasores comprometam os sistemas vulneráveis.

    Embora nenhuma informação adicional sobre como essas falhas foram exploradas esteja disponível no momento, considerando que elas são classificadas como críticas e atualmente exploradas em estado selvagem, todos os usuários devem instalar a versão corrigida do Firefox 74.0.1.

    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) também emitiu um alerta dizendo que “um invasor pode explorar essa vulnerabilidade para controlar o sistema afetado” e incentivando os usuários a aplicar a atualização de segurança.

    Você pode fazer isso verificando manualmente a nova atualização, acessando o menu Firefox -> Ajuda -> Sobre o Firefox e pressionando o botão Atualizar.

    A Mozilla corrigiu outro dia zero do Firefox, explorado ativamente, com o lançamento do Firefox 72.0.1 em janeiro, também usado em ataques direcionados.

    Em junho de 2019, a Mozilla corrigiu duas vulnerabilidades de dia zero exploradas ativamente usadas em ataques direcionados contra empresas de criptomoeda como a Coinbase.

    Em 2016, a Mozilla corrigiu mais um dia zero explorado na natureza com o lançamento do Firefox 50.0.2, enquanto o Projeto Tor lançou o Tor Browser 6.0.7 para corrigir o mesmo problema.

  5. Matheus says:

    Hackers exploraram falhas do IE e Firefox em ataques a entidades na China e Japão

    hXXps: //securityaffairs.co/wordpress/100960/hacking/ie-firefox-flaws.html

    Um grupo APT está explorando as falhas corrigidas no início deste ano no Firefox e no Internet Explorer em ataques direcionados à China e ao Japão.

    Um grupo APT está explorando duas vulnerabilidades corrigidas no início deste ano no Firefox e no Internet Explorer em ataques direcionados à China e ao Japão.

    O primeiro problema, rastreado como CVE-2019-17026, afeta o navegador Firefox e foi solucionado em janeiro.

    A falha CVE-2019-17026 é uma “confusão do tipo IonMonkey com StoreElementHole e FallibleStoreElement”, em que IonMonkey é o compilador Just-in-Time (JIT) do mecanismo JavaScript SpiderMonkey do Firefox.

    Em janeiro, a Mozilla confirmou que está ciente de ataques direcionados que exploram o dia zero CVE-2019-17026, mas não divulgou detalhes dos ataques.

    A vulnerabilidade foi relatada à Mozilla por especialistas em segurança da empresa chinesa Qihoo 360.

    Os especialistas relataram que o dia zero do CVE-2019-17026 havia sido explorado por invasores, juntamente com um dia zero do Internet Explorer; os especialistas do Qihoo 360 divulgaram inicialmente a descoberta pelo Twitter, mas depois apagaram a mensagem.

    A segunda falha rastreada como CVE-2020-0674 é um RCE que afeta o Internet Explorer, corrigido pela Microsoft em fevereiro,

    De acordo com a empresa de cibersegurança Qihoo 360, os atores de ameaças exploraram as duas falhas antes de serem abordadas pela Microsoft.

    Os especialistas apontaram que as duas vulnerabilidades foram exploradas como parte de uma campanha destinada a agências governamentais chinesas e atribuídas ao DarkHotel APT, também conhecido como APT-C-06.

    Os especialistas da Qihoo também rastrearam o grupo como o “Peninsula APT”, provavelmente porque se refere a um grupo APT operando na Coréia.

    O Centro de Coordenação de Equipe de Resposta a Emergências por Computador do Japão (JPCERT / CC) publicou um relatório contendo detalhes técnicos sobre ataques que exploram ambas as falhas e direcionados a entidades japonesas

    “Quando você é direcionado ao site de ataque com o IE ou Firefox, o código de ataque correspondente ao navegador que você acessou é retornado.” afirma o JPCERT.

    “Depois disso, se o ataque for bem-sucedido, o código do ataque será baixado novamente como um arquivo de configuração automática de proxy (arquivo PAC). O código de ataque baixado é executado como um arquivo PAC e o malware é baixado e executado. ”

    A exploração da falha permite a entrega de um arquivo PAC (proxy auto-configuration) ao sistema. Os arquivos PAC são usados ​​para redirecionar solicitações feitas para sites especificados por meio de um servidor externo sob o controle dos atacantes.

    A carga final usada no ataque é uma variante do Gh0st RAT que foi empregada em vários ataques realizados por grupos APT vinculados à China. Especialistas apontaram que o código-fonte do RAT vazou há muitos anos e muitos atores de ameaças começaram a usá-lo.

    “Como resultado da verificação, foi confirmado que o ataque ao IE confirmou que este tempo será executado até a execução do malware no Windows 7 x64 (patch de lançamento de dezembro de 2019 aplicado) e Windows 8.1 x64 (patch de lançamento de janeiro de 2020 aplicado), Nenhum malware ocorreu uma infecção no ambiente do Windows 10 (com o patch de lançamento de janeiro de 2020 aplicado). ” concluiu o relatório. “É possível que o código não tenha sido compatível com o Windows 10 neste ataque.”

Deixa aqui o seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: