Comentários Gerais

Me chamo Victor Hugo e sou um verdadeiro apaixonado por informática e especialmente por tudo o que diz respeito à segurança da informação. O objetivo deste blog e dos vídeos postados no You Tube é conscientizar a todos da importância de se ter um computador devidamente protegido utilizando as ferramentas mais adequadas para isto. Todos os dias estou buscando novas informações e novidades e aqueles que acessarem este espaço poderão saber de tudo em primeira mão.

Essa página do seu micro seguro tem por objetivo também de promover a troca de ideias entre os seus usuários, experiências e dicas. Além disso também deseja ser um canal para esclarecimento de dúvidas a todos aqueles que acessam nosso site.

46.401 Responses to Comentários Gerais

  1. Matheus says:

    O grupo Chafer APT, vinculado ao Irã, tem como alvo governos no Kuwait e Arábia Saudita

    hXXps: //securityaffairs.co/wordpress/103556/apt/chafer-apt-kuwait-saudi-arabia.html

    Pesquisadores de segurança cibernética descobriram uma campanha iraniana de espionagem cibernética, conduzida pela Chafer APT e destinada a infraestruturas críticas no Kuwait e na Arábia Saudita.

    Pesquisadores de segurança cibernética da Bitdefender publicaram um relatório detalhado sobre uma campanha iraniana de espionagem cibernética direcionada contra infraestruturas críticas no Kuwait e na Arábia Saudita.

    As campanhas de espionagem cibernética foram realizadas pelo Chafer APT, vinculado ao Irã (também conhecido como APT39 ou Remix Kitten).

    O grupo Chafer APT distribuiu malware de ladrão de dados desde pelo menos meados de 2014, concentrando-se em operações de vigilância e rastreamento de indivíduos.

    O grupo APT tem como alvo as indústrias de telecomunicações e viagens no Oriente Médio para reunir informações sobre os interesses geopolíticos do Irã.

    “As vítimas das campanhas analisadas se encaixam no padrão preferido por esse ator, como os setores de transporte aéreo e governo no Oriente Médio”, lê o artigo do pesquisador publicado pelos especialistas.

    “Alguns rastreamentos indicam que o objetivo do ataque era a exploração e exfiltração de dados (em algumas das ferramentas da vítima, como Navicat, Winscp, encontradas em um local incomum, a saber”% WINDOWS% \ ime \ en-us-ime “ou
    SmartFtpPasswordDecryptor estavam presentes em seus sistemas). ”

    Os atacantes usaram várias ferramentas, incluindo as ferramentas ‘vivendo fora da terra’, dificultando a atribuição do ataque a atores de ameaças específicas, bem como a uma porta dos fundos customizada.

    Os ataques contra entidades no Kuwait e na Arábia Saudita têm múltiplas semelhanças e compartilham alguns estágios comuns, mas os especialistas notaram que os ataques parecem mais focados e sofisticados às vítimas do Kuwait.

    O Chafer APT lançou ataques de spear-phishing, as mensagens foram usadas para fornecer vários backdoors que lhes permitiram ganhar uma posição, elevar seus privilégios, conduzir reconhecimento interno e estabelecer persistência no ambiente da vítima.

    “Depois que as vítimas foram comprometidas, os atacantes começaram a trazer ferramentas de reconhecimento para varredura em rede (“ xnet.exe ”,“ shareo.exe ”) e coleta de credenciais (como“ mnl.exe ”ou“ mimi32.exe ”) ou ferramentas com vários funcionalidades, como CrackMapExec (para enumeração dos usuários, listagem de compartilhamento, coleta de credenciais e assim por diante). ” continua o relatório.

    “Durante nossa investigação, em algumas das estações comprometidas, observamos um comportamento incomum realizado sob uma determinada conta de usuário, levando-nos a acreditar que os atacantes conseguiram criar uma conta de usuário na máquina das vítimas e executaram várias ações maliciosas dentro da rede, usando essa conta. ”

    Os ataques contra entidades no Kuwait pareciam mais sofisticados, os invasores estavam criando uma conta de usuário nas máquinas comprometidas e realizavam ações maliciosas dentro da rede, incluindo a coleta de credenciais com o Mimikatz e movimentos laterais usando várias ferramentas de hackers do seu arsenal.

    A maior parte da atividade de hackers ocorre na sexta e no sábado, coincidindo com o fim de semana no Oriente Médio.

    A campanha contra uma entidade da Arábia Saudita foi caracterizada pelo grande uso de ataques de engenharia social para induzir a vítima a executar uma ferramenta de administração remota (RAT). O RAT empregado nos ataques compartilha semelhanças com as usadas contra o Kuwait e a Turquia.

    “O caso investigado na Arábia Saudita não foi tão elaborado, porque os atacantes não conseguiram explorar ainda mais a vítima ou porque o reconhecimento não revelou nenhuma informação de interesse”. continua o relatório.

    “Embora esse ataque não tenha sido tão extenso quanto o do Kuwait, algumas evidências forenses sugerem que os mesmos atacantes o teriam orquestrado. Apesar das evidências para a descoberta de rede, não conseguimos encontrar nenhum rastro para o movimento lateral, provavelmente porque os atores de ameaças não conseguiram encontrar nenhuma máquina vulnerável. ”

    As campanhas contra o Kuwait e a Arábia Saudita demonstram a intensa atividade de ciberespionagem realizada por grupos APT ligados ao Irã no Oriente Médio. De qualquer forma, não podemos subestimar que esses grupos de hackers estão ampliando seu leque de ações visando governos e organizações em todo o mundo.

  2. Matheus says:

    Microsoft alerta para “campanha massiva” usando e-mails com temas COVID-19

    hXXps: //securityaffairs.co/wordpress/103626/cyber-crime/massive-phishing-covid-19-campaign.html

    Especialistas da equipe de Inteligência de Segurança da Microsoft forneceram alguns detalhes sobre uma nova “campanha massiva” usando e-mails com o tema COVID-19.

    Pesquisadores da equipe de Inteligência de Segurança da Microsoft forneceram alguns detalhes sobre uma nova campanha maciça de phishing usando e-mails com o tema COVID-19.

    Como as mensagens usavam documentos do Excel armados, a gigante de TI observou um aumento no número de documentos maliciosos nas campanhas de spam que usam macros do Excel 4.0.

    “Há vários meses, observamos um aumento constante no uso de macros maliciosas do Excel 4.0 em campanhas de malware. Em abril, essas campanhas do Excel 4.0 entraram na onda e começaram a usar as atrações temáticas COVID-19. ” afirma a Microsoft em um Tweet.

    A última campanha do COVID-19 começou em abril, as mensagens pretendem ser do Johns Hopkins Center e usar um anexo do Excel. Uma vez aberto o anexo, ele mostra um gráfico dos casos de coronavírus nos Estados Unidos e induz as vítimas a permitir que as macros iniciem a infecção.

    As macros descartam uma ferramenta de acesso remoto (RAT) chamada NetSupport Manager; é um aplicativo legítimo que é abusado pelos invasores para assumir o controle sobre os sistemas das vítimas.

    Os e-mails pretendem vir do Johns Hopkins Center com o “RELATÓRIO DE SITUAÇÃO DA COVID-19 DA OMS”. Os arquivos do Excel abrem com aviso de segurança e mostram um gráfico de supostos casos de coronavírus nos EUA. Se permitido, a macro maliciosa do Excel 4.0 baixa e executa o RAT do NetSupport Manager. hXXps://pic.twitter.com/gXbxZOGpZf
    – Microsoft Security Intelligence (@MsftSecIntel) 18 de maio de 2020

    “As centenas de arquivos exclusivos do Excel nesta campanha usam fórmulas altamente ofuscadas, mas todos eles se conectam à mesma URL para baixar a carga útil. O NetSupport Manager é conhecido por ser abusado por invasores para obter acesso remoto e executar comandos em máquinas comprometidas. ” continua a Microsoft.

    O NetSupport RAT empregado nesta campanha com o tema COVID-19 também elimina vários componentes, incluindo vários arquivos .dll, .ini e outros .exe, um VBScript e um script PowerShell baseado no PowerSploit ofuscado. Em seguida, ele se conecta a um servidor de comando e controle, permitindo que os agentes de ameaças enviem comandos adicionais.

    Abaixo dos indicadores de compromisso (IoCs) compartilhados pela Microsoft:
    Amostras de IoCs desta campanha: anexos do Excel com macros do Excel 4.0 mal-intencionadas (SHA-256): 1ff9615577cc6cd702d847672a34260a72ba5a71f4b7dd5ebfd844d4835c68a7, 6b00e4c85ab9c2a0a724fff777605295f977f7e7cfb6f6fd Mais no feed Intel COVID-19: hXXps://t.co/brFzZFiPoR
    – Microsoft Security Intelligence (@MsftSecIntel) 18 de maio de 2020

    Abaixo de uma lista ou recomendações para evitar essa ameaça:
    Mantenha seu software antivírus atualizado.
    Procure por sinais existentes da ameaça usando IoCs em seu ambiente.
    Mantenha os aplicativos e sistemas operacionais em execução e atualizados.
    Seja vigilante com anexos e links em emails.

  3. Matheus says:

    Sobre o último teste do Avlab.pl e a proteção Fileless do Comodo,

    Interessante que mesmo a Cruelsister não recomenda ao povo que ative a “Detecção de Código” para geral no menu Análise de Script… Acho que ela devia publicar um vídeo atualizado da configuração dela recomendando isso…

    Aqui no Micro Seguro venho recomendando isso desde 2018 – Prova: hXXps://seumicroseguro.com/about/comment-page-3289/#comment-80933

    Na época o menu separado “Análise de Script” ainda não existia no Comodo e os recursos “Análise Heurística de Linha de Comando” e “Detecção de Código” ficavam no menu “Proteção Avançada – Miscelânea”.

    A Cruelsister faz um trabalho muito bom, é inegável, mas ela não chega a ser a especialista em Comodo que muitos creditam que ela seja. Ela é pouco assídua lá no Fórum… Aliás sei de outras possíveis “brechas” na configuração dela, que no devido momento vou trazer aqui, apenas por questão de transparência (não é nada muito sério)…

    Por enquanto, quem quiser o Comodo no Nível Máximo, é só pegar o item C (Anti-Executável) da lista que linkei acima neste comentário, e se o usuário quiser até pode modificar a Regra de Bloqueio de Desconhecidos para Executar Virtualmente com Nível Restrito. O Comodo é altamente configurável e inteiramente a gosto do freguês.

    Não desmerecendo a configuração Cruelsister, longe disso, mas ela é vice-líder em nível de segurança… Aqui no MicroSeguro, somos pioneiros em métodos de configuração para o CIS/Comodo Firewall desde 2018.

    Por esses dias passei o Link do Guia de Eliminação de Conflitos do CF a um usuário lá do Fórum por MP, e disse que usasse um tradutor, ele agradeceu imensamente…

    Se alguém por ventura tiver alguma dúvida que o CIS e o Comodo AEP/CCS são o mesmo software, só conferir o manual do AEP/CCS e verão que há pouca diferença:
    hXXps://help.comodo.com/topic-399-1-904-11732-CCS-Advanced-Settings.html

  4. Matheus says:

    O Santander, um dos maiores bancos europeus, estava vazando dados confidenciais em seu site

    hXXps: //securityaffairs.co/wordpress/103604/breaking-news/santander-leaking-sensitive-data.html

    O Santander Consumer Bank, a filial belga do banco, tinha uma configuração incorreta no domínio do blog que permitia a indexação de seus arquivos.

    Nossa nova pesquisa descobriu recentemente um problema de segurança no Santander, o 5º maior banco da Europa e o 16º maior do mundo. Esse banco multinacional espanhol controla aproximadamente US $ 1,4 trilhão em ativos totais em todo o mundo e possui uma capitalização de mercado total de US $ 69,9 bilhões no índice do mercado de ações Euro Stoxx 50.

    Nossos analistas descobriram que a agência belga, Santander Consumer Bank, possui uma configuração incorreta no domínio do blog, permitindo que seus arquivos sejam indexados.

    Quando analisamos esses arquivos, pudemos ver informações confidenciais, incluindo um dump SQL e um arquivo JSON que podem ser usados ​​por hackers para potencialmente enganar os clientes bancários do Santander.

    Entramos em contato com o Santander imediatamente quando descobrimos a configuração incorreta em 15 de abril. Representantes do principal banco europeu responderam aos nossos e-mails e parecem ter corrigido o problema, pois atualmente não podemos acessar as informações.

    Um porta-voz do Santander Consumer disse:

    “O incidente destacado refere-se especificamente apenas ao blog do Santander Consumer Bank Belgium. O blog contém apenas informações e artigos públicos e, portanto, nenhum dado do cliente ou informações críticas do blog foram comprometidos. Nossa equipe de segurança já corrigiu o problema para garantir a segurança do blog. ”
    O que exatamente há de errado com o site do Santander?

    Quando visitamos o blog do Santander em seu domínio belga, percebemos que o ponto final www do subdomínio do blog apresentava uma configuração incorreta que permitia que todos os seus arquivos fossem indexados pelos mecanismos de pesquisa

    Incluído nesses arquivos indexados, havia um arquivo info.json importante que parecia conter suas chaves de API do Cloudfront.

    Cloudfront é uma rede de exibição de conteúdo (CDN) criada pela Amazon. Os sites usam CDNs para hospedar arquivos grandes, como vídeos, PDFs, imagens grandes e outros conteúdos estáticos, que normalmente desacelerariam seus próprios sites. Como esses arquivos grandes são hospedados nas CDNs, os sites são mais rápidos para os usuários.

    Se um hacker se apossar das aparentes chaves da API Cloudfront do Santander, poderá trocar o conteúdo hospedado no Cloudfront por qualquer outro conteúdo.

    Por exemplo, se um documento PDF ou Word estivesse hospedado no Cloudfront, e este documento contivesse informações sigilosas – como para quais contas um cliente deveria enviar dinheiro -, o hacker poderia trocar esse documento com sua própria versão. Dessa forma, eles poderão alterar o número da conta real para o seu e, assim, roubar o dinheiro do cliente.

    Se um arquivo HTML estático fosse hospedado, o hacker seria capaz de alterá-lo com uma página da web inteira, permitindo que eles criassem uma página de phishing para roubar as informações financeiras do usuário, durante todo o tempo no domínio belga oficial do Santander.
    Como se proteger

    Em 15 de abril, notificamos o site belga do Santander sobre a configuração incorreta e, em 24 de abril, eles responderam e parecem ter corrigido o problema. A equipe de CyberSecurity declarou: “Levamos a segurança cibernética a sério e nos esforçamos para manter os mais altos padrões e melhores práticas de segurança e agradecemos as atitudes de divulgação responsável em pesquisadores de segurança”.

    Quando verificamos a configuração incorreta novamente em 27 de abril, recebemos a seguinte mensagem:

    Proibido
    Você não tem permissão para acessar este recurso.

    Para os clientes do Santander, assim como todos os outros clientes bancários, recomendamos que você sempre verifique o domínio e o subdomínio para os quais um email bancário suspeito está enviando. Verifique se o domínio é o domínio real do banco, mas também saiba que solicitações importantes de informações financeiras nunca seriam hospedadas no subdomínio do blog de um banco.

    Nota do editor: este artigo foi atualizado em 19 de maio para refletir novas informações, em colaboração com o BitSight, de que as chaves podem não estar ativas na API da Cloudfront no momento de nossa descoberta.

  5. Matheus says:

    A Sophos bloqueou ataques que exploram o XG Firewall zero dia para implantar o Ransomware

    hXXps: //securityaffairs.co/wordpress/103590/malware/sophos-xg-firewall-0day.html

    Os hackers tentaram explorar uma falha de dia zero no firewall Sophos XG para distribuir ransomware para máquinas Windows, mas o ataque foi bloqueado.

    Atores de ameaças tentaram explorar um dia zero (CVE-2020-12271) no firewall Sophos XG para espalhar ransomware para máquinas Windows, a boa notícia é que o ataque foi bloqueado por um hotfix emitido pela Sophos.

    No final de abril, a empresa de segurança cibernética Sophos lançou um patch de emergência para solucionar uma vulnerabilidade de dia zero de injeção SQL que afeta seu produto XG Firewall que foi explorado na natureza.

    A Sophos foi informada dos ataques que exploravam a questão do dia zero por um de seus clientes em 22 de abril. O cliente notou “um valor de campo suspeito visível na interface de gerenciamento”.

    Sophos investigou o incidente e determinou que os hackers estavam alvejando sistemas configurados com a administração (serviço HTTPS) ou com o Portal do Usuário exposto na zona WAN.

    Os invasores exploraram uma vulnerabilidade de dia zero da injeção SQL para obter acesso a dispositivos XG expostos.

    “O ataque usou uma vulnerabilidade de injeção SQL desconhecida anteriormente para obter acesso a dispositivos XG expostos”. lê o comunicado publicado pela Sophos.

    “Ele foi projetado para baixar cargas úteis destinadas a filtrar dados residentes no XG Firewall. Os dados de qualquer firewall específico dependem da configuração específica e podem incluir nomes de usuário e senhas de hash para os administradores de dispositivos locais, administradores de portal e contas de usuário usados ​​para acesso remoto. ” “As senhas associadas a sistemas de autenticação externos, como AD ou LDAP, não são afetadas. No momento, não há indicação de que o ataque tenha acessado qualquer coisa nas redes locais por trás de qualquer XG Firewall impactado. ”

    Os hackers exploraram a falha de injeção SQL para baixar códigos maliciosos no dispositivo que foi projetado para roubar arquivos do XG Firewall.

    Os hackers exploraram o problema para instalar o Trojan Asnarök, que permitia que os invasores roubassem arquivos do XG Firewall e usassem as informações roubadas para comprometer a rede remotamente.

    O Trojan pode ser usado para roubar dados confidenciais, incluindo nomes de usuário e senhas com hash para o administrador do dispositivo de firewall e contas de usuário usadas para acesso remoto. As credenciais de logon associadas aos sistemas de autenticação externos (ou seja, AD, LDAP) não são afetadas pela falha.

    De acordo com um relatório publicado pela Sophos no final de abril, o malware empregado no ataque é capaz de recuperar informações residentes no firewall, incluindo:

    A licença e o número de série do firewall
    Uma lista dos endereços de email das contas de usuário que foram armazenadas no dispositivo, seguidos pelo email principal pertencente à conta de administrador do firewall
    Nomes de usuários, nomes de usuários, forma criptografada das senhas e hash SHA256 salgado da senha da conta de administrador. As senhas não foram armazenadas em texto sem formatação.
    Uma lista dos IDs de usuário com permissão para usar o firewall para VPN SSL e as contas com permissão para usar uma conexão VPN “sem cliente”.

    A Sophos enviou um hotfix para os firewalls após a descoberta dos ataques.

    Esse hotfix eliminou a vulnerabilidade de injeção do SQL, impediu o XG Firewall de acessar qualquer infraestrutura sob o controle dos ataques e limpou os restos do ataque.

    A atualização da Sophos também adicionou uma caixa especial no painel de controle do XG Firewall para permitir que os usuários determinem se seu dispositivo foi comprometido.

    Na nova onda de ataques, os hackers exploraram o problema para distribuir o Ragnarok Ransomware.

    “Desde que publicamos nosso primeiro relatório, os atacantes modificaram seu ataque para tentar usar o que descrevemos anteriormente como o“ canal de backup ”. Esse era um script de shell do Linux que servia como um interruptor de homem morto – uma parte do ataque destinada a ser desencadeada apenas em determinadas circunstâncias; nesse caso, se um arquivo específico criado pelos atacantes durante o ataque for excluído. ” continua o relatório.

    Para implantar o Ragnarok ransomware, os atacantes tentaram alavancar as explorações EternalBlue e DoublePulsar.

    “O Ragnarok é uma ameaça menos comum que outros ransomware, e parece que o modus operandi desse ator de ameaças – e as ferramentas que eles empregam para fornecer esse ransomware – são bem diferentes dos de muitos outros atores de ameaças. Foi um evento raro e notável observar um aplicativo Linux ELF sendo usado para tentar espalhar malware entre plataformas para computadores Windows. ” conclui o relatório.

    “Este incidente destaca a necessidade de manter as máquinas dentro do perímetro do firewall atualizadas e serve como um lembrete de que qualquer dispositivo IOT pode ser abusado como base para alcançar máquinas Windows”.

Deixa aqui o seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: