Categoria: ataque

FTX e BlockFi alerta para roubo de dados de clientes

As plataformas FTX e BlockFi encontram-se a alertar os consumidores das duas plataformas, em tempos as maiores de criptomoedas no mercado, para um possível roubo de dados que pode ter levado a acessos de dados pessoais.

As duas empresas eram consideradas como as maiores plataformas de criptomoedas no mercado, até terem anunciado a insolvência em Novembro do ano passado, num escândalo que abalou todo o mercado das criptomoedas.

Como era de esperar, os clientes destas duas plataformas perderam milhares de dólares em investimentos, que ainda se encontram a ser batalhados em tribunal, e que ainda deve demorar algum tempo até se ter uma resolução.

Em parte, a resolução deste problema encontra-se a ser realizada pela entidade Kroll, que está responsável pelo processo de insolvência para as duas entidades. No entanto, em comunicado, a empresa afirma que foi alvo recentemente de um ataque informático, de onde podem ter sido expostos dados de alguns dos clientes das duas plataformas.

A entidade afirma que os dados expostos não são sensíveis, mas ainda assim dizem respeito a dados associados com clientes das duas entidades, que se encontravam no processo de resolução para a insolvência das empresas.

A FTX afirma que os utilizadores afetados encontram-se a ser diretamente contactados com os passos a seguir. No entanto, a entidade afirma que as senhas ou chaves de clientes da FTX não foram comprometidas, e que os próprios sistemas da FTX ainda existentes não foram atacados.

A BlockFi também confirmou, em comunicado, estar entre as entidades que foram afetadas pelo roubo de dados pessoais da Kroll, com praticamente a mesma informação que tinha sido fornecida pela FTX. A entidade também afirma que os sistemas ou os fundos dos clientes não foram diretamente afetados.

Os utilizadores que sejam notificados do incidente devem ficar atentos a possíveis esquemas que possam surgir como parte do nome das entidades, ou contendo informação potencialmente sensível.

27/08/2023
Hacker usou apenas uma Amazon Fire Stick para invadir servidores da Rockstar Games

Em Setembro de 2022, um leak de imagens do futuro GTA VI foram reveladas na internet. Mais de 90 vídeos revelaram os primeiros detalhes de um dos jogos mais aguardados dos últimos anos.

O ataque foi realizado por Arion Kurtaj, de 18 anos, e foi o culminar de uma onda de ataques que o mesmo tinha realizado nos meses anteriores. No entanto, os documentos agora conhecidos do caso deixam mais detalhes de como o hacker atacou os servidores da Rockstar Games.

Ao que parece, o hacker usou uma Amazon Fire Stick enquanto se encontrava detido, para realizar o ataque e divulgar os dados. De acordo com a BBC, os documentos do tribunal demonstram que Kurtaj usou um Amazon Fire Stick, ligado a uma TV, um teclado e um rato, para realizar o ataque. Foi ainda usado um dispositivo móvel para fornecer a ligação da internet e recolher os dados.

Recorde-se que, na altura, o hacker encontrava-se detido pelas autoridades no Hotel Travelodge, em Londres, depois de ter sido acusado de invadir os servidores da NVIDIA. As autoridades consideram que o mesmo foi bastante audaz para ter realizado o ataque enquanto se encontrava detido, e ainda mais para confirmar o mesmo no Slack da Rockstar Games.

Na altura, Kurtaj deixou ainda a mensagem para a Rockstar Games que iria divulgar todos os dados de GTA 6, incluindo código fonte do jogo, se a empresa não entrasse em contacto com este. Não se conhece se o pedido foi seguido, mas a realidade é que a empresa confirmou que estava a desenvolver GTA 6 alguns dias depois.

De relembrar que o jovem foi recentemente considerado inapto para julgamento, depois de ter sido confirmado que possui autismo. No entanto, encontra-se em liberdade condicional sob fiança em Londres.

25/08/2023
Ataque informático em França expõe dados pessoais de 10 milhões de cidadãos

O governo de França foi recentemente o alvo de um ataque informático, o qual pode ter comprometido a informação pessoal de milhões de cidadãos a residir no pais.

O ataque terá ocorrido sobre a entidade Pôle emploi, que é associada ao governo francês de registo de desemprego e ajuda financeira. Uma falha de segurança nos sistemas da entidade terá exposto informação de quase 10 milhões de cidadãos que se encontravam registados no sistema desta entidade.

De acordo com o comunicado da entidade, uma falha nos sistemas onde era feito o registo de procura de emprego estaria a permitir o acesso externo aos dados dos cidadãos. A falha afetou todas as pessoas que se registaram na plataforma em Fevereiro de 2022 ou datas anteriores.

Apesar de a entidade não ter revelado dados concretos sobre o número de cidadãos afetados, o portal Le Parisien afirma que os registos da entidade continham informação de 10 milhões de cidadãos.

Entre a informação potencialmente acedida encontram-se nomes completos e números de segurança social Curiosamente, dados de emails, senhas ou dados bancários não foram afetados.

Apesar de a informação potencialmente comprometida ser relativamente curta, a entidade alerta os cidadãos para se manterem atentos a possíveis esquemas e comunicações alheias.

25/08/2023
Leaseweb investiga possível ataque a sistemas críticos

A Leaseweb, uma das maiores fornecedoras de serviços cloud, encontra-se a investigar um recente ataque, que segundo a empresa, terá afetado sistemas críticos da mesma.

O comunicado surge depois de, durante o início desta semana, a empresa ter identificado atividades anormais com os sistemas onde se encontram os serviços da Área de Cliente. Na mesma altura, o portal esteve durante várias horas inacessível.

Agora, a empresa confirma que alguns dos seus sistemas críticos terão sido afetados por um ataque. A empresa afirma que se encontra a investigar o incidente, tendo colocado as áreas afetadas offline durante este período. Atualmente encontra-se a realizar o restauro das áreas afetadas, sendo que se espera que o portal de clientes venha a ficar disponível novamente nas próximas horas.

A empresa afirma ainda ter entrado em contacto com entidades externas para analisar e conter o ataque, embora os detalhes do mesmo ainda não tenham sido revelados. A empresa sublinha, no entanto, que o ataque foi neutralizado, e que não existem indícios que atividades não autorizadas tenham sido realizadas.

A Leaseweb é uma das maiores entidades fornecedoras de serviços cloud e servidores, tendo mais de 20.000 clientes e 80.000 servidores em seu controlo, em várias regiões do globo.

25/08/2023
Discord notifica utilizadores afetados em ataque de Março

Desde o início desta semana, o Discord tem vindo a notificar os utilizadores que foram alvo da falha de segurança na plataforma, identificada no final de Março.

A falha foi confirmada no dia 29 de Março, depois de a empresa ter identificado que um dos sistemas usados por funcionários da empresa estaria comprometido, e onde terceiros terão acedido a uma das contas usadas pelo suporte.

Isto terá permitido que os atacantes tenham obtido acesso a alguma informação pessoal, associada com utilizadores que contactaram o suporte da empresa durante este período.

No dia 12 de Maio, a empresa reconheceu que algumas contas de utilizadores do Discord poderiam ter sido vistas durante o ataque, o que incluía a possibilidade de dados pessoais terem sido também acedidos. A investigação inicial aponto que apenas 180 contas de utilizadores terão sido afetadas.

A 13 de Junho de 2023, a plataforma confirmou ter realizado todas as investigações do incidente, sendo que foi confirmado que dados pessoais destes utilizadores terão sido acedidos. Os utilizadores afetados foram prontamente notificados pela plataforma do incidente via email.

A ter em conta que o Discord conta atualmente com mais de 150 milhões de utilizadores ativos, e mais de 19 milhões de salas de conversa ativas todas as semanas.

24/08/2023
Base de dados com 2.6 milhões de utilizadores do Duolingo à venda na dark web

A DuoLingo é uma popular aplicação de aprendizagem de idiomas, bastante usada para quem esteja a aprender um novo idioma para os mais variados fins. A app coloca a aprendizagem em formato de pequenos jogos diários, e claro, conta com as suas características de contas para os utilizadores manterem o progresso.

Atualmente a plataforma conta com mais de 74 milhões de utilizadores mensais, sendo uma das maiores na internet. No entanto, uma base de dados da empresa, com dados dos utilizadores da plataforma, encontra-se agora à venda na Dark Web. A base de dados alega conter informações de 2.6 milhões de utilizadores do DuoLingo.

Em Janeiro de 2023, alguém colocou à venda uma base de dados com 2.6 milhões de utilizadores do DuoLingo, contendo informações públicas e não publicas, como emails e dados de contas. A base de dados encontrava-se à venda por 1500 dólares.

Apesar de dados como o nome real e de perfil estarem publicamente acessíveis, dados como os emails poderiam ser mais sensíveis – e estavam englobados na base de dados, que aparentava ter sido uma recolha massiva feita dos sistemas da DuoLingo.

Apesar de a base de dados ter estado à venda por 1500 dólares, esta encontra-se agora consideravelmente mais acessível. De acordo com o utilizador VX-Underground, a base de dados encontra-se novamente na dark web, mas desta vez pode ser adquirida por menos de 2 dólares.

Acredita-se que os detalhes tenham sido recolhidos com recurso à API da plataforma, que até Março de 2023 estaria a ser usada para validar emails como válidos dentro da plataforma. Isto terá permitido criar esta base de dados.

O problema encontra-se no facto de poder associar emails a nomes de utilizador e nomes reais dos utilizadores, enquanto é uma lista bastante elevada de dados de email, que podem ser usados para os mais variados fins.

Apesar de dados recolhidos desta forma não serem propriamente um ataque contra as entidades, ainda assim podem conter informação que é considerada sensível para os utilizadores, e que não deveria ser publicamente partilhada.

Os utilizadores do DuoLingo devem ficar atentos a possíveis esquemas que venham a surgir nas suas contas de email, sobretudo quando forem associados com os nomes usados nesta plataforma.

23/08/2023
Fabricante de relógios Seiko é a mais recente vítima de ransomware

O grupo de ransomware BlackCat/ALPHV confirmou uma nova vitima, e desta vez é um nome bem conhecido para amantes de relógios de luxo. A marca Seiko é a mais recente vítima de ransomware do grupo, que afirma ter atacado a empresa japonesa no início do mês.

A Seiko conta atualmente com 12.000 empregados a nível global, e possui receitas de mais de 1.6 mil milhões de dólares anuais. A 10 de Agosto de 2023, a empresa tinha confirmado ter sido vitima de um ataque informático, onde terceiros poderiam ter acedido a dados internos da empresa.

A empresa confirma que os atacantes obtiveram acesso a um dos servidores da empresa, onde estariam dados da mesma. Quando o ataque foi identificado, foram aplicadas medidas imediatas para conter o mesmo, e evitar o roubo de ainda mais dados.

Hoje é conhecido que o ataque foi realizado pelo grupo BlackCat, depois do mesmo ter confirmado no seu site da rede Tor o ataque, estando ainda a disponibilizar os dados roubados da entidade. Entre os dados encontram-se informações confidenciais da empresa, de alguns dos funcionários e clientes, com foco também para esquemas de produção de alguns dos produtos da marca.

Isto pode indicar que o grupo possui acesso a esquemas confidenciais da empresa sobre novos produtos que podem ainda não ter sido lançados no mercado, e que nas mãos erradas, podem valer bastante dinheiro como segredo da empresa.

Até ao momento não existem indícios que a Seiko tenha interesse em pagar o resgate para evitar a publicação dos dados, ou que o tenha realizado.

21/08/2023
Certificado de plataforma VPN usado para distribuir malware

A empresa de segurança SentinelLabs encontra-se a alertar para uma nova forma de malware, que nos últimos dias tem vindo a surgir em peso. Os atacantes encontram-se a usar o certificado de uma empresa de VPN legitima para mascararem o malware como sendo da mesma.

Os investigadores afirmam que os atacantes encontram-se a usar o certificado da empresa Ivacy para mascararem malware, e tentarem dar mais credibilidade aos ficheiros que são partilhados com o conteúdo malicioso. Acredita-se que o malware tenha sido criado pelo grupo Bronze Starlight, o qual possui ligações com as autoridades chinesas e é focado em atacar empresas a nível global.

O malware que se encontra a ser distribuído parte de dois executáveis, que foram assinados pelo certificado da Ivacy VPN, uma empresa legitima de fornecimento de VPNs. Ao usarem um certificado legítimo, os atacantes pretendem evitar algumas análises mais exaustivas em ambientes empresariais, que podem validar se o certificado do ficheiro é válido ou não.

Isto permite contornar algumas das proteções, e permitir que o ataque seja realizado com maior sucesso.

Curiosamente, os investigadores afirmam que o malware descoberto foi configurado para não ser executado em sistemas que se encontram em certos países, como os EUA, Alemanha, França, Rússia e Índia. Isto indica que a campanha de malware pode ser focada apenas a alguns países ou alvos específicos.

De notar que ainda se desconhece como os atacantes conseguiram obter o certificado da Ivacy VPN. Normalmente este género de certificados exige que se tenha conhecimento da chave privada, que apenas a entidade possui, portanto isso pode indicar que esta chave da Ivacy VPN pode ter sido comprometida.

A empresa não deixou qualquer comunicado sobre a situação até ao momento.

21/08/2023
Contas do LinkedIn estão a ser alvo de ataques em massa

Se possui uma conta do LinkedIn, talvez seja recomendado verificar se todas as medidas de proteção da mesma estão ativadas – como a autenticação em duas etapas – e se a senha usada é segura e atualizada. Isto porque, recentemente, uma campanha de ataques tem vindo a ser focada em contas na plataforma.

Durante os últimos dias, vários investigadores de segurança confirmaram campanhas de ataque a contas do LinkedIn em massa, que se focam em tentar obter acesso a contas na plataforma. Estas estão a ser lançadas em ataques de tentativas de login sobre credenciais possivelmente roubadas de outras plataformas, ou nos vulgares ataques de brute force.

Segundo a empresa de segurança Cyberint, existem vários utilizadores da rede social profissional que viram as suas contas afetadas em vários ataques desde o início da semana, e os mesmos têm vindo a aumentar consideravelmente. Em plataformas como o Reddit e nos fóruns de suporte da Microsoft existem vários relatos de utilizadores que perderam as suas contas face a estes ataques.

Segundo os investigadores, algumas das contas afetadas foram mesmo alvo de “ransomware”, onde os donos das mesmas estariam a ser chantageados para pagarem de forma a recuperarem o acesso às mesmas.

A esta situação junta-se ainda uma demora na resposta do LinkedIn face aos problemas dos utilizadores. Embora ainda não existe um comunicado oficial da plataforma sobre a onda de ataques, os utilizadores que contactam o suporte do LinkedIn afirmam que as mensagens demoram bastante tempo a serem respondidas.

O formato de ataque é praticamente idêntico em todos os casos reportados nos últimos dias. Depois dos atacantes obterem acesso às contas, alteram as senhas de acesso e o email da conta, de forma que os utilizadores originais deixem de ter acesso ao serviço.

Em alguns casos, os utilizadores recebem ainda uma mensagem de resgate, onde são levados a pagar uma determinada quantia para obterem a conta de volta.

Apesar de não existirem formas perfeitas de prevenir um ataque, a melhor forma será ativar o sistema de autenticação em duas etapas da conta, juntamente com manter uma boa senha segura.

16/08/2023
Plataforma Discord.io alvo de ataque com roubo de 760.000 membros

O Discord.io é uma popular aplicação de terceiros para Discord, que permite aos administradores de servidores do Discord criarem os seus convites personalizados para a plataforma.

No entanto, foi recentemente confirmado que esta plataforma terá sido alvo de um ataque informático, de onde terão sido roubados dados de 760.000 dos seus membros. Apesar de não se tratar de uma plataforma diretamente oficial do Discord, a mesma é usada por vários administradores de salas de conversa na plataforma de mensagens para criar convites personalizados para os seus membros.

No entanto, de acordo com o portal BleepingComputer, durante o dia de ontem um utilizador publicou, num fórum da dark web, uma listagem alegando ter a base de dados dos servidores do Discord.io. Esta base de dados conta com registos de 760.000 membros do serviço, e inclui detalhes como os nomes de utilizador, emails, endereços de faturação e senhas encriptadas (embora de um pequeno conjunto de utilizadores), juntamente com outras informações de registo nesta plataforma.

Apesar de muita informação na base de dados não ser propriamente sensível para ataques, é possível que os dados possam ser usados para identificar o email associado a uma determinada conta do Discord, e possivelmente pode levar a outros ataques direcionados.

A equipa responsável pelo Discord.io confirmou o roubo dos dados, tendo temporariamente desativado o seu Discord e o site, para analisar a situação. Não existe, para já, uma confirmação de quando a plataforma voltará a ficar ativa.

Quanto aos membros do Discord.io, as senhas que foram reveladas encontram-se encriptadas em bcrypt, o que as torna consideravelmente difíceis de serem “adivinhadas”, mas não será impossível – sobretudo para senhas mais simples.

Ao mesmo tempo, os emails foram igualmente partilhados em texto, portanto podem ser alvo de campanhas direcionadas de phishing ou spam, sobretudo para esquemas focados em tentar roubar as contas do Discord associadas com o email em questão.

Deve-se ter cuidado com qualquer mensagem que possa ser recebida, nos próximos tempos, alegando ser do Discord ou para tarefas administrativas com a conta.

14/08/2023
Agriloja alvo de ataque informático com 1.2 TB de dados roubados

O site online da loja Agriloja, reconhecida entidade em Portugal de venda de produtos agrícolas, foi alvo de um ataque informático.

Deste ataque, realizado pelo grupo Everest, o mesmo afirma ter obtido mais de 1.2TB de dados internos da empresa, incluindo bases de dados, arquivos de emails, dados pessoais de funcionários e clientes, bem como diversa outra informação sensível.

O grupo publicou ainda, no seu site da dark web, um conjunto de imagens comprovando a existência dos conteúdos roubados, e onde se verificam diversas pastas de conteúdos sensíveis da empresa. Inclui-se ainda a imagem de um cartão de cidadão, alegadamente de funcionários da empresa.

O grupo afirma que a empresa terá 72 horas para contactar o mesmo de forma a realizar o pagamento, e evitar a publicação dos conteúdos em formato completo. Até ao momento não existe qualquer indicação que a empresa venha a realizar tal pagamento, bem como não existe um comunicado público da mesma para o ataque.

14/08/2023
Ataques aumentam contra o setor industrial e as suas infraestruturas cloud

Um relatório recente da Kaspersky sobre ciberataques dirigidos especificamente ao setor industrial revela o modus operandis dos grupos especializados que operam nesta área. Indústrias de manufatura e sistemas de controlo industrial (ICS) e integração foram particularmente afetadas, o que destaca a necessidade urgente de um maior reforço da cibersegurança.

Durante a investigação, a Kaspersky descobriu uma série de ataques direcionados com o objetivo de estabelecer um canal permanente de roubo (exfiltração) de dados. Estas campanhas mostraram semelhanças importantes com ataques já conhecidos como ExCone e DexCone, sugerindo o envolvimento do grupo APT31, também conhecido como Judgment Panda e Zirconium.

A investigação revelou ainda o uso de recursos avançados concebidos para acesso remoto, mostrando o amplo conhecimento e experiência dos grupos para contornar as medidas de segurança. Estas ferramentas possibilitaram o estabelecimento de canais contínuos para violações de dados, inclusive de sistemas extremamente seguros.

É importante observar que mais uma vez foram usadas técnicas de sequestro de DLL (ou seja, uso indevido de programas legítimos com vulnerabilidades para carregar DLLs maliciosas na memória) para tentar evitar a deteção precoce do ataque.

Serviços de armazenamento de dados na cloud, como o Dropbox e Yandex Disk, bem como plataformas de partilha temporário de ficheiros, foram usados para roubar dados e implantar malware. Também foi instalada uma infraestrutura de comando e controlo (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controlo das redes comprometidas.

Nestes ataques, foram implantadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, esta família de malware evoluiu, com novas variantes a surgir em 2022, para atingir especificamente a infraestrutura de organizações industriais.

Além disso, foi descoberto durante a investigação um novo malware chamado MeatBall, um backdoor com amplas capacidades de acesso remoto.

“Não podemos subestimar os riscos significativos que os ataques direcionados representam para a indústria. À medida que as organizações continuam a digitalizar as suas operações e dependem de sistemas interligados, são inegáveis as possíveis consequências de ataques bem-sucedidos a infraestruturas críticas. Esta análise vem sublinhar a importância fundamental da implementação de medidas resilientes de cibersegurança para proteger as infraestruturas industriais contra ameaças existentes e futuras”, sublinha Kirill Kruglov, investigador sénior de segurança da ICS CERT da Kaspersky.

Para ler o relatório completo sobre as principais conclusões desta análise, visite o site da ICS CERT.

11/08/2023
Revelado possível período para lançamento de GTA 6

Não existe como negar que a próxima versão do Grand Theft Auto é uma das mais antecipada de sempre. Os rumores sobre o GTA 6 não são de agora, e praticamente todas as semanas surge algo novo – embora a veracidade dessa informação seja algo que se pode questionar.

Oficialmente, a Rockstar Games já confirmou que se encontra a desenvolver o mesmo, mas nada oficial quanto a possíveis datas de lançamento. Apesar disso, novas informações agora apontam detalhes de quando este jogo pode vir a chegar ao mercado.

Durante a reunião com investidores, a Take-Two, empresa mãe da Rockstar Games, revelou que a empresa encontra-se a preparar para um forte crescimento das receitas durante os próximos tempos. Lainie Goldstein, CFO da empresa, confirmou que se esperam resultados bastante positivos para a mesma em 2025, sobretudo face a pontos importantes de receitas nos próximos tempos.

Estes “pontos” podem ser exatamente a chegada do novo GTA 6. Se tivermos em conta os períodos financeiros em que a empresa apresenta os seus resultados, é possível que GTA 6 venha a ser oficialmente lançado entre Abril de 2024 e Março de 2025.

De relembrar que, apesar de ter confirmado que o jogo se encontra em desenvolvimento em 2022, a Rockstar Games não deixou mais detalhes sobre o que esperar do mesmo. A empresa sofreu um ataque, de onde foram roubados conteúdos da mesma, incluindo vídeos que se acredita serem da nova geração de GTA – ainda numa fase bastante inicial de desenvolvimento.

09/08/2023
Existe uma nova vulnerabilidade a afetar processadores da Intel

Depois de, recentemente, ter sido descoberta uma falha em diversos processadores da AMD, agora confirma-se um problema similar para os processadores da Intel. Um investigador da Google confirmou uma nova falha em várias familiares de processadores da Intel, que foi apelidada de “Downfall”, e pode permitir o roubo de senhas, chaves de encriptação e outros dados sensíveis.

A falha, com o código CVE-2022-40982, foi identificada como afetando todos os processadores Intel desde a geração Skylake até à Ice Lake. Explorando a mesma, os atacantes podem obter acesso a dados que, normalmente, estariam protegidos pela Software Guard eXtensions (SGX).

Daniel Moghimi, o investigador reposnsável pela descoberta, afirma que a falha pode ser facilmente explorada em sistemas afetados pela mesma, desde que os atacantes tenham acesso físico ao sistema.

A falha permite que conteúdos normalmente encriptados no sistema interno do processador da Intel possam ser obtidos, com uma velocidade de 8 bytes por segundo. Isto é o suficiente para poder registar alguns dados como senhas, chaves de encriptação e mensagens enviadas diretamente pelo processador.

O investigador afirma que para o ataque ser bem sucedido, é necessário acesso físico aos sistemas, mas que existe a possibilidade deste evoluir para ser explorado apenas via software – o que abre portas para um possível ataque via malware.

A Intel foi informada da falha em Agosto do ano passado, tendo estado em contacto com Moghimi para resolver a mesma. Uma atualização para os sistemas afetados encontra-se agora disponível, mas ainda cabe aos fabricantes disponibilizarem a mesma para os consumidores finais.

Apesar de ser uma falha considerável, os investigadores acreditam que a mesma será bastante complicada de executar com sucesso fora de ambientes de laboratório – ainda assim, existe o potencial para tal, dai que a atualização encontra-se agora disponível.

De notar que a correção desta falha pode afetar o desempenho final dos processadores, nomeadamente em ambientes HPC. A correção total da falha teria de ser feita no hardware, algo que não será viável – a correção via software vai ter sempre impacto a nível do desempenho final das mais variadas tarefas.

08/08/2023
Android 14 vai permitir bloquear acesso a redes móveis inseguras

A Google confirmou uma nova funcionalidade de segurança, que vai chegar com o Android 14, e que se espera vir a garantir mais proteção de dados nas comunicações dos utilizadores.

Com a nova versão do Android 14, os utilizadores poderão desativar o acesso completo a redes 2G, bem como o acesso a redes móveis sem encriptação, com vista a garantir a segurança de todos os dados transmitidos pelo sistema. Esta medida pode ser aplicada tanto em dispositivos de consumidores em geral como para empresas.

De acordo com o comunicado da Google, o Android vai ser o primeiro sistema operativo a contar com este género de proteções. A ideia será garantir uma camada adicional de proteção contra um ataque conhecido como “Stingray”.

Um ataque Stingray, também conhecido como IMSI catcher, é uma técnica de vigilância eletrónica utilizada para intercetar comunicações móveis, como chamadas telefónicas e mensagens de texto, de dispositivos móveis como telemóveis. Este tipo de ataque envolve o uso de equipamento especializado que simula uma torre de telecomunicações legítima. Quando um dispositivo móvel se liga a esta falsa torre, o atacante pode intercetar e monitorizar o tráfego de comunicações do dispositivo, incluindo chamadas, mensagens e até mesmo a localização do telemóvel.

Os ataques Stingray são frequentemente usados por agências de aplicação da lei e agências governamentais para investigações criminais, monitorização de suspeitos e obtenção de informações. No entanto, também levantam preocupações em termos de privacidade e segurança, uma vez que podem ser utilizados para intercetar comunicações sem o conhecimento ou consentimento dos utilizadores dos dispositivos móveis.

A maioria destes ataques foram mitigados com a introdução do 4G, sendo que são mais eficazes apenas em redes 2G. De notar que o Android permite desativar o acesso a redes 2G desde o Android 12, embora a opção não se encontre ativada por padrão.

Ao mesmo tempo, a empresa garante que a nova versão do Android vai garantir a proteção contra acesso a redes de comunicação que não se encontrem encriptadas, protegendo assim as comunicações dos utilizadores.

08/08/2023
Comissão Eleitoral do Reino Unido confirma roubo de dados dos eleitores

A Comissão Eleitoral do Reino Unido revelou ter sido alvo de um ataque informático, que terá comprometido a informação de milhares de pessoas que votaram no pais entre 2014 e 2022. Entre os dados encontra-se informação potencialmente sensível dos votantes.

Curiosamente, o caso não é recente, sendo que demorou mais de dez meses para a Comissão Eleitoral do Reino Unido confirmar o roubo depois de terem sido deixados indícios de acessos indevidos aos mesmos. Além disso, a violação dos dados ocorreu faz quase dois anos.

Em comunicado, a entidade afirma que identificou os primeiros indícios de possíveis roubos de dados em outubro de 2022, mas que o roubo teria ocorrido muito antes disso, em Agosto de 2021. Os atacantes terão conseguido aceder aos sistemas internos da entidade, obtendo acesso a dados de email, sistemas de controlo de votação e cópias de registos eleitorais.

Os dados foram ainda retirados dos sistemas afetados, e incluem informação sensível sobre as personalidades a serem votadas e dos eleitores, bem como das diferentes campanhas eleitorais da altura. Em causa encontram-se dados respeitantes a votações realizadas no Reino Unido entre 2014 e 2022.

Entre os dados recolhidos encontram-se nomes, moradas, endereços de email, telefone, conteúdos enviados em formulários de contacto, entre outros. Durante o ataque, os hackers obtiveram ainda acesso a sistemas de email internos da organização, e como tal, a todas as comunicações mantidas entre a mesma.

A entidade afirma que muita da informação acedida já se encontra disponível publicamente, como é o caso do nome e endereço do eleitor. No entanto, ainda existem dados considerados pessoais que foram roubados deste ataque.

08/08/2023
Som do teclado pode ser usado para roubar dados sensíveis

Um grupo de investigadores do Reino Unido revelou ter descoberto uma nova técnica de ataque, que usa Inteligência Artificial para identificar as teclas que os utilizadores carreguem nos seus teclados, com uma precisão de 95%.

Este método de ataque usa o microfone para registar todas as teclas pressionadas pelos utilizadores nos seus teclados, e usando IA, é possível decifrar exatamente quais as que foram carregadas e em que sequencia. Se gravado diretamente, os investigadores afirmam que o ataque possui uma taxa de sucesso de 95%, e quando usado via o som do Zoom, a taxa cai para 93%, o que ainda é um valor consideravelmente elevado.

Este género de ataque pode permitir que informação sensível seja potencialmente comprometida, sem que os sistemas em questão sejam diretamente afetados. Tudo o que é necessário passa por ouvir as teclas que os utilizadores carregam, de forma a identificar o padrão. Todos os dados que sejam colocados usando o teclado podem, potencialmente, ser comprometidos, o que inclui dados de login e outras informações sensíveis.

Este género de ataques tem vindo a tornar-se cada vez mais comum, uma vez que a maioria dos sistemas atuais contam com microfones de relativa qualidade, que permitem capturar o som das teclas sem grande dificuldade. Ao mesmo tempo, os avanços na IA também permitem que o ataque seja realizado com bastante mais precisão e de forma mais rápida.

O ataque pode ser feito de forma direta, onde os atacantes podem registar as teclas pressionadas do teclado usando o microfone próximo do mesmo, ou até em software de reunião remota, como o Zoom.

Isto ocorre porque cada tecla possui um padrão de som diferente, conforme a sua localização na estrutura do teclado. Estas pequenas diferenças que existem entre cada tecla permitem que a IA seja capaz de identificar qual a letra ou número que foi pressionado com bastante exatidão.

Nos testes dos investigadores, estes usaram como referência um MacBook da Apple, sendo que a gravação do som das teclas estaria a ser feita de um iPhone 13 mini, localizado a apenas 17 cm do portátil. O mesmo teste foi realizado também usando o Zoom.

Uma das formas de se proteger deste género de ataques passa por colocar algum som sobre as teclas – por exemplo, som de fundo ou “white noise”. Bloquear o microfone durante a realização de escrita no teclado também evita que a outra parte possa recolher o som do mesmo.

07/08/2023
Novo malware afeta utilizadores do Chrome por extensões maliciosas

As extensões continuam a ser uma das principais formas sobre como utilizadores do Chrome e derivados podem ser afetados por roubo de dados. E recentemente, uma nova campanha foi descoberta que se encontra focada em roubar informação sensível dos utilizadores e das empresas.

A campanha, sob o nome de Rilide Stealer, foi originalmente descoberta pela empresa de segurança Trustwave SpiderLabs, e afeta praticamente todos os navegadores baseados no Chromium, através da exploração por extensões maliciosas.

O Rilide faz-se passar por uma extensão do Google Drive, e caso seja instalada no navegador, passa a monitorizar todas as atividades do mesmo, roubando dados de login nas plataformas web, e também todas as carteiras de criptomoedas que os utilizadores possam usar.

Os investigadores afirmam ainda que, nas recentes versões do malware, as extensões foram mesmo atualizadas para suportarem o mais recente Manifest V3, o que permite contornar algumas das restrições do Chrome para extensões que ainda se encontrem na versão anterior.

Além de ter sido atualizado para o Manifest V3, o malware agora foca-se também em dados bancários, com destaque para os dados de login usados em sites de apps bancárias e similares. Estes dados são recolhidos pela extensão e enviados para sistemas em controlo dos atacantes.

Apesar de o Rilide ter sido identificado primeiro em extensões fazendo-se passar pelo Google Drive, nas últimas semanas foram também descobertas variantes que se fazem passar por outras entidades, sobretudo de plataformas de criptomoedas e entidades bancárias. No entanto, o funcionamento base é idêntico em todas.

O Rilide tem vindo a ganhar bastante popularidade como forma de ataque, em parte porque pode levar ao roubo de dados importantes e sensíveis em grandes quantidade, e porque é relativamente simples de levar as vitimas a instalarem as extensões maliciosas – conjugando ainda com a baixa identificação deste género de extensões como maliciosas em software de segurança.

03/08/2023
Estudo da Microsoft confirma aumento de ataques a grandes eventos

A Microsoft acaba de atualizar o Cyber Signals, a quinta edição do seu relatório de cibersegurança, onde faz uma análise às crescentes ameaças a grandes recintos e eventos desportivos e de entretenimento, com base nas aprendizagens e telemetria de suporte de cibersegurança a instalações de infraestruturas críticas durante o Campeonato do Mundo de Futebol da FIFA 2022, no Qatar.

De acordo com o relatório, as ameaças de cibersegurança a grandes recintos e eventos exigem uma vigilância constante para evitar e atenuar o seu agravamento. Com o mercado desportivo a ser avaliado, a nível mundial, em mais de 600 mil milhões de dólares, as equipas desportivas, as principais ligas e associações mundiais, bem como os adeptos, possuem uma série de informações valiosas para os cibercriminosos.

Dados corroborados pelo Centro Nacional de Cibersegurança (NCSC) do Reino Unido, que concluiu que os ciberataques contra organizações desportivas são cada vez mais comuns, com 70% dos inquiridos a afirmar sofrer pelo menos um ataque por ano, significativamente mais elevado do que a média das restantes empresas do Reino Unido.

Os sistemas de TI dos recintos desportivos e dos estádios contêm centenas de vulnerabilidades conhecidas e desconhecidas, que permitem que os agentes de ameaças visem serviços críticos do negócio, como pontos de venda ou infraestruturas de TI. Também as equipas, treinadores, atletas e os próprios adeptos podem ser alvo de ameaças através de equipamentos digitais vulneráveis, como aplicações para o telemóvel, pontos de acesso Wi-Fi e QR codes com URLs maliciosos.

Tendo em conta este cenário, o Microsoft Defender Experts for Hunting (DEX) desenvolveu defesas abrangentes de cibersegurança para as instalações e organizações que integraram o Campeonato do Mundo de Futebol da FIFA 2022, no Qatar. Entre 10 de novembro e 20 de dezembro de 2022, a Microsoft efetuou mais de 634,6 milhões de autenticações. No total, o número de entidades e sistemas monitorizados 24/7 abrangeu mais de 100 mil endpoints, 144 mil identidades, mais de 14,6 milhões de trocas de emails e mil milhões de ligações de rede.

Nos eventos desportivos e de entretenimento, em geral, existe um nível de risco e vulnerabilidade de ciberataques que não existe noutros ambientes. Uma vez que alguns destes eventos se realizam num curto espaço de tempo, em alguns casos com novos parceiros e fornecedores a adquirirem acesso a redes empresariais que são consideradas temporárias, muitas vezes não é avaliada e aperfeiçoada a sua postura de segurança.

Microsoft partilha recomendações

Para se protegerem contra as ameaças de cibersegurança, as associações, as equipas e os recintos têm de adotar medidas de proteção robustas. Antes de mais, devem dar prioridade à implementação de uma framework de segurança abrangente e com vários níveis. Isto inclui a implementação de firewalls, sistemas de deteção e prevenção de intrusões e protocolos de encriptação fortes para fortalecer a rede contra acessos não autorizados e violações de dados. Devem ser efetuadas auditorias de segurança regulares e avaliações de vulnerabilidade para identificar e resolver quaisquer pontos fracos da infraestrutura de rede.

Além disso, os programas de sensibilização e formação são cruciais para formar os colaboradores e as partes interessadas sobre as melhores práticas de cibersegurança, tais como reconhecer emails de phishing, utilizar a autenticação multifactor ou a proteção passwordless e evitar ligações ou transferências suspeitas.

É essencial estabelecer parcerias com empresas de cibersegurança reconhecidas para monitorizar continuamente o tráfego da rede, detetar potenciais ameaças em tempo real e responder rapidamente a quaisquer incidentes de segurança. Ao adotar estas medidas proactivas, as entidades podem aumentar significativamente a sua resistência contra ciberataques e proteger tanto a sua própria infraestrutura como as informações sensíveis dos seus clientes.

03/08/2023
Criminosos estão a treinar IA para esquemas de phishing e malware

A Inteligência Artificial tem vindo a ser usada para os mais variados fins, tanto bons como maus. Mas recentemente temos verificado um aumento considerável no número de ferramentas criadas usando IA e focadas para propagar esquemas e malware.

A mais recente agora encontra-se sobre um sistema inteligente similar ao ChatGPT, mas que poderá ser usado para tarefas de hacking. Apelidado de “FraudGPT”, este novo chatbot foca-se em ajudar os criadores de malware e esquemas online a usarem as capacidades de IA para propagarem e melhorarem as suas campanhas maliciosas.

A ideia do FraudGPT passa por criar um sistema que os criminosos possam usar para realizaras mais variadas tarefas fraudulentas, desde criar scripts para phishing, a criar bases para código de malware.

Os investigadores da empresa de segurança SlashNext revelam que o FraudGPT encontra-se à venda em vários portais da dark web desde, pelo menos, o dia 25 de Julho, por um utilizador conhecido apenas como “CanadianKingpin12”. No entanto, o mesmo encontra-se ativamente a vender outro género de esquemas usando este mesmo conceito.

De acordo com a investigação, este utilizador encontra-se a vender chatbots que usam modelos de IA não limitados, e que podem ser usados para desenvolver ferramentas e esquemas em larga escala, numa questão de segundos.

O vendedor afirma que o seu sistema usa um conceito baseado no DarkBART – uma versão da dark web associada ao modelo de linguagem do Bard da Google, e que pode realizar mais tarefas “obscuras” do que as permitidas pelo sistema da gigante da tecnologia.

O vendedor afirma que o DarkBART é capaz de criar rapidamente esquemas de phishing sofisticados, para levar ao roubo de cartões de crédito e dados pessoais, ou de executar avançados esquemas para enganar as vítimas a fornecerem dados sensíveis.

É ainda capaz de explorar falhas e até mesmo descobrir novas em diverso software e sistemas operativos, bem como criar e distribuir malware de diferentes formatos.

Este género de ferramentas usadas para esquemas online usando IA tem vindo a ser cada vez mais comum, e é possível que venha a moldar o futuro da segurança digital. O uso de IA para cibercrimes pode levar a que mais vítimas sejam enganadas e que novas formas de ataque e de esquemas venham a surgir no futuro.

01/08/2023
Cuidado jogadores de Minecraft: mods maliciosos descobertos em nova campanha

Uma das grandes vantagens do Minecraft encontra-se na sua capacidade de receber mods da comunidade. Estes permitem expandir as funcionalidades do jogo, tanto a nível do cliente local dos jogadores, como também dos servidores do mesmo.

No entanto, foi recentemente descoberta uma campanha de malware que se encontra a propagar por intermédio de mods para o Minecraft, e afeta sobretudo os jogadores da versão Java do jogo.

De acordo com o grupo Minecraft Malware Prevention Alliance, o malware encontra-se a ser apelidado de “BleedingPipe”, e segundo a investigação do mesmo, este pode permitir a execução remota de código potencialmente malicioso nos sistemas afetados pelo mesmo.

Esta falha encontra-se presente sobre mods maliciosos desenvolvidos para o 1.7.10/1.12.2 Forge, mas pode afetar também outras versões. O malware pode obter acesso administrativo ao sistema, o que lhe garante a capacidade de correr comandos que recebe de um servidor remoto – com o potencial de roubar informação sensível ou levar à instalação de outro malware no sistema.

Este malware pode afetar tanto os clientes dos jogadores, como as versões focadas para servidores. No entanto, os investigadores apontam que o malware é usado diretamente pelos mods, e não afeta o Forge em concreto. Portanto, os utilizadores apenas necessitam de ter cuidado sobre os locais onde descarregam os seus mods e aos servidores que acedem.

Se apenas usarem servidores oficiais da Mojang, não devem ser afetados. No entanto, servidores de terceiros com mods podem ser alvo do ataque. Os investigadores recomendam que os utilizadores verifiquem a lista completa de mods afetados pelo BleedingPipe.

31/07/2023
Malware infeta e propaga-se para sistemas com software Redis

Existe um novo malware pela internet, que se encontra a afetar milhares de servidores e a replicar-se rapidamente explorando uma falha conhecida recentemente.

De acordo com a empresa de segurança Cado Security Labs, a campanha de malware é conhecida como P2Pinfect, e foca-se em servidores Redis. O Redis é uma plataforma de cache de base de dados, bastante usada na internet para otimização de pedidos. Esta encontra-se ativa em plataformas como o Twitter, GitHub, Snapchat, Craigslist, e StackOverflow.

O P2Pinfect foca-se particularmente numa falha existente sobre o software, que quando explorada pode permitir o acesso externo aos sistemas Redis, com a capacidade ainda de se propagar para outros sistemas. Este malware, desenvolvido em linguagem Rust, pode propagar-se rapidamente para outros sistemas na mesma rede local ou das quais o sistema infetado tenha acesso, para chegar a ainda mais possíveis vítimas.

O malware possui ainda a capacidade de usar os sistemas infetados como ponto de origem para o ataque, levando o mesmo a infetar outros sistemas vulneráveis pela internet. Com o acesso, os malware procede com a instalação de um backdoor no sistema, que pode ser usado posteriormente pelos atacantes para obterem acesso aos dados e realizarem outro género de ataques nos mesmos.

A melhor forma de prevenir este ataque será mantendo o sistema atualizado para as versões mais recentes e contando com uma ferramenta de monitorização para atividades suspeitas no sistema operativo, bem como de ligações remotas estranhas.

31/07/2023
Novo malware para Android usa OCR para roubar dados de imagens

Foram recentemente descobertos dois novos malwares para Android, que se encontram a propagar via a Play Store da Google, em apps maliciosamente criadas para tal, e que possuem uma forma de atuação diferente do convencional.

A empresa de segurança Trend Micro revelou ter descoberto duas famílias de malware para Android, apelidadas de “CherryBlos” e “FakeTrade”, que se encontram a propagar pela Play Store. Apesar de terem nomes diferentes, ambas possuem as mesmas bases de código e encontram-se sobre a mesma rede para o envio dos dados, pelo que os investigadores acreditam que se trata de malware criado pela mesma entidade.

Além de serem distribuídas aplicações com o malware pela Play Store, também se encontra em sites de terceiros pela internet, sobretudo em sites que prometem ficheiros APK das mais variadas aplicações – mesmo que aparentemente legitimas.

No caso do malware CherryBlos, as primeiras atividades do mesmo foram descobertas em Abril de 2023. O malware distribui-se por várias aplicações partilhadas em sites de terceiros pela internet, mas também foi descoberta pelo menos uma aplicação na Play Store contendo o mesmo – que terá sido descarregada centenas de vezes antes de ser reportada e eliminada pela Google.

O objetivo deste malware será obter dados de carteiras de criptomoedas, como o número das mesmas e senhas, de forma a poder levar ao roubo dos conteúdos digitais. O malware recebe os comandos de servidores em controlo dos atacantes, e procede com o envio dos dados necessários para o mesmo.

De forma a realizar as suas atividades, os utilizadores são questionados para ativarem o serviço de acessibilidade – que será o ponto de partida para o ataque.

No entanto, o mais interessante deste malware encontra-se no facto que, além de tentar roubar os dados sensíveis diretamente das apps no dispositivo, este também possui a capacidade de realizar OCR das imagens guardadas no dispositivo, para tentar obter informações sensíveis.

OCR consiste em identificar texto dentro de imagens, que o malware explora para tentar obter detalhes que possam ser relevantes para levar a cabo o ataque. Por exemplo, o malware pode usar esta funcionalidade para obter as chaves de recuperação de carteiras de criptomoedas, que muitas vezes são fornecidos em formato de texto, e os utilizadores aconselhados a guardar as mesmas.

Apesar de não ser recomendado realizar captura de ecrã destes conteúdos, muitos utilizadores ainda realizam essa prática, deixando as imagens nos seus dispositivos. Isso pode ajudar o malware a comprometer as carteiras e obter acesso aos seus conteúdos.

Por fim, este malware possui ainda a capacidade de alterar a área de transferência do sistema quando identificar que sejam colocadas na mesma carteira de criptomoedas, colocando invés disso a carteira em controlo dos atacantes.

Quanto ao malware FakeTrade, este foi descoberto pelos investigadores em cerca de 31 aplicações disponíveis na Play Store, entretanto removidas. O malware usa a mesma infraestrutura para a recolha dos dados que o malware CherryBlos, o que leva os investigadores a crer que se trata do mesmo criador.

No entanto, a forma de atuação deste malware é ligeiramente diferente, sendo que a ideia será incentivar os utilizadores a ganharem “pontos virtuais”, que podem mais tarde ser trocados por prémios, para os levar a ver publicidade com os ganhos a irem diretamente para os criadores do malware.

Os pontos virtuais, no final, acabam por não ser possível de se trocar por regalias, mas os criadores do malware, neste ponto, já realizaram a tarefa pretendida e obtiveram as receitas da publicidade.

Como sempre, é importante ter atenção aos locais de onde as apps são descarregadas, mas também analisar as reviews deixadas nas mesmas, para identificar qualquer atividade suspeita.

28/07/2023
Base de dados do site Breached à venda na dark web

Por norma, quando alguma informação sensível chega à internet através de leaks e ataques informáticos, esta diz respeito aos consumidores de determinadas plataformas. Seja uma empresa atacada ou um site, os dados dizem normalmente respeito a pessoas que não fazem propriamente parte das atividades do ataque.

No entanto, agora uma nova base de dados encontra-se a circular pela internet, que pode conter informação de alguns dos hackers que anteriormente partilhavam dados de utilizadores em geral.

Recentemente foi descoberto que a base de dados do portal Breached, bastante usado por hackers para a compra e venda de material roubado em ataques, teria sido divulgada online. Esta base de dados integra informação não apenas dos utilizadores neste portal, mas também de conversas internas no mesmo.

O portal Have I Been Pwned recentemente confirmou que obteve acesso a esta base de dados, e encontra-se agora a fornecer mais informações sobre a mesma, incluindo a capacidade dos utilizadores verificarem nos seus emails se foram afetados.

O Breached foi, em tempos, um fórum bastante popular para a compra e venda de material roubado em ataques e leaks, sendo usado por alguns dos hackers mais conhecidos. No entanto, as autoridades norte-americanas confirmaram a sua apreensão em 2022. Mais tarde, em 2023, as autoridades confirmaram também a detenção de “Pompompurin”, um dos administradores do site que, na altura, estaria a correr outra plataforma similar.

A base de dados agora divulgada conta com mais de 212.000 registos, incluindo endereços de email, IPs, mensagens privadas e senhas encriptadas, que terão sido usadas no portal.

A base de dados do portal Breached encontrava-se à venda na internet, mas terá sido partilhada com o portal Have I Been Pwned, permitindo aos utilizadores verificarem se os seus dados podem ter sido afetados.

A base de dados com a informação completa, no entanto, ainda se encontra à venda em vários portais da Dark Web, e contem toda a informação que não está visível no site do HIBP.

Tendo em conta os dados partilhados, acredita-se que esta base de dados não é a mais atual – mas possivelmente deve ser de meses anteriores ao encerramento pelas autoridades do site. Ainda assim, pode conter informação potencialmente sensível e comprometedora para alguns utilizadores, sobretudo para quem usava a plataforma para divulgar e vender leaks de dados.

28/07/2023
Empresas norte-americanas possuem prazos mais apertados para reportar ciberataques

As autoridades dos EUA encontram-se a apertar as regras para as empresas alvo de ataques informáticos reportarem o possível roubo de dados para as autoridades. A partir de agora, as entidades alvo de ataques devem reportar os mesmos às autoridades no prazo de quatro dias.

De acordo com a SEC, as empresas norte-americanas que tenham sido alvo de ataques devem agora reportar a situação assim que forem detetados os casos, num prazo máximo de quatro dias. Deve-se ainda incluir toda a informação conhecida sobre o ataque e possíveis dados que tenham sido roubados, bem como os investidores da empresa devem também ser informados.

As autoridades consideram que, com esta medida, tanto os investidores como as empresas irão beneficiar de melhor transparência sobre os ataques. Quando os ataques forem identificados, as informações que a empresa tenha obtido sobre o ataque também devem ser fornecidas.

No entanto, a nova legislação aplica-se sobretudo para grandes empresas. As pequenas empresas possuem o prazo mais alargado de 180 dias para fornecerem esta informação. No entanto, em ambos os casos, se não forem reportados os ataques, as empresas podem enfrentar coimas e outras medidas legais.

Em alguns casos, as autoridades podem optar por adiar a revelação pública dos ataques, caso estes possam comprometer a segurança nacional ou coloquem em risco a segurança pública.

26/07/2023
Malware para macOS distribui-se como jogos e rouba carteiras de criptomoedas

Foi recentemente descoberto um novo malware, focado para sistemas macOS, que possui como objetivo roubar as carteiras de criptomoedas dos utilizadores. Este novo malware possui a capacidade de realizar tarefas maliciosas até mesmo em versões recentes do macOS 14 Sonoma, e encontra-se em ativo desenvolvimento pelos seus criadores.

O malware encontra-se a ser apelidado de “Realst”, e foi inicialmente descoberto pelo investigador de segurança “iamdeadlyz”. O mesmo encontra-se focado sobretudo para utilizadores do macOS, embora também tenha a sua variante para o Windows, e pretende roubar as carteiras do mesmo.

O malware propaga-se sobre falsos jogos online, com nomes como Brawl Earth, WildWorld, Dawnland, Destruction, Evolion, Pearl, Olymp of Reptiles, e SaintLegend. Os atacantes tentam cativar as possíveis vítimas a descarregarem um cliente de acesso ao jogo, que na verdade é onde o ataque do malware começa.

Caso as vítimas executem o cliente do jogo, acabam por instalar o malware nos seus sistemas, ficando o mesmo ativo em segundo plano para realizar as suas atividades.

Segundo os investigadores da empresa de segurança SentinelOne, o malware analisa as possíveis carteiras de criptomoedas existentes no navegador e no sistema, enviando os dados sensíveis das mesmas para os atacantes – que procedem depois com o roubo dos dados.

No caso do malware focado para Windows, este foca-se mais no roubo de informações sensíveis do sistema, como dados de login. O mesmo usa uma variante do RedLine Stealer para roubar os dados do sistema, enviando os mesmos para os atacantes.

Os investigadores acreditam que existem diferentes variações do mesmo malware atualmente a serem usadas para ataques. A propagação do mesmo é feita via os falsos jogos, que são anunciados em diferentes plataformas, como através de publicidade nas redes sociais.

De notar que todos os jogos se apelidam como sendo títulos focados na blockchain, usando esta rede para a obtenção de regalias dentro dos títulos – e que será usado para focar o ataque a utilizadores que, muito possivelmente, tenham este género de carteiras de criptomoedas nos seus sistemas e que teriam mais interesse em instalar o género de jogos em questão.

26/07/2023
Misterioso malware Decoy Dog usa DNS para controlo de vítimas

Um grupo de investigadores revelou uma nova ferramenta maliciosa, que se encontra no ativo faz mais de um ano, e que usa sistemas de DNS para enviar e receber comandos usados para ataques.

A ameaça é conhecida como “Decoy Dog”, sendo ainda desconhecida a origem do mesmo, mas que se encontra possivelmente relacionada com a invasão da Ucrânia pela Rússia, tendo sido criado na mesma altura.

De acordo com a empresa de segurança Infoblox, o malware foca-se em usar sistemas DNS para enviar e receber os comandos de ataque, sendo que usa um conjunto de domínios específicos para essa tarefa.

Como o tráfego do malware é enviado diretamente como pedidos DNS, isto pode passar despercebido como sendo de um ataque direto pela maioria dos sistemas de deteção.

Apesar de o mesmo ter sido descoberto em meados de Abril, as suas atividades datam faz mais de um ano. E nos últimos tempos, o malware tem vindo também a evoluir consideravelmente.

Os investigadores afirmam que as versões mais recentes do mesmo são mais compatíveis com sistemas Windows, e possuem também melhorias consideráveis a nível da gestão de memória e dos pedidos realizados via DNS.

Os investigadores acreditam que este malware encontra-se focado para ataques direcionados, de alvos bastante específicos para os atacantes, e que a lista de potenciais vítimas – atualmente – ainda é relativamente pequena. Tendo em conta as dimensões dos pedidos, acredita-se que o malware tenha atualmente menos de 50 vítimas, mas é possível que o valor venha a aumentar consideravelmente conforme o malware também se encontra a desenvolver.

Segundo os investigadores, as atividades concretas do Decoy Dog ainda são um mistério, sobretudo quais os gestores do mesmo e as suas intenções ou alvos. Apesar de os investigadores acreditarem que este malware possui ligações com a Rússia, ainda se desconhecem quais os objetivos do mesmo no mercado.

26/07/2023
WhatsApp corrige sistema que permitia desativar qualquer número da plataforma

De forma recente foi descoberto que os utilizadores do WhatsApp poderiam ser afetados por um novo formato de “ataque”, em que as suas contas poderiam ser bloqueadas apenas por alguém enviar um email a pedir para tal.

O caso começou a ganhar tração depois de vários grupos terem começado a usar este método para bloquear contas da plataforma, onde tudo o que era necessário saber era o número de telefone da vítima, e enviando um email para o suporte do WhatsApp, era possível bloquear as contas da mesma.

No entanto, parece que a Meta agora encontra-se a aplicar medidas para prevenir que este método seja usado para bloquear as contas. Quem agora tentar desativar um número de telefone do WhatsApp contactando o suporte do WhatsApp, vai necessitar de fornecer mais detalhes para comprovar que é efetivamente o “dono” desse número.

Isto passa por enviar dados como uma fatura do serviço de telefone ou os dados de identificação do utilizador. Depois de enviado os conteúdos pedidos, a Meta irá analisar se os mesmos validam a identidade do utilizador, e se comprovam que este é o dono do número de telefone em questão.

Desta forma, existe uma camada adicional de “segurança” para evitar que qualquer um possa rapidamente desativar um número de telefone do WhatsApp com apenas um email. O processo exige que sejam enviados documentos pessoais para a Meta, mas ao mesmo tempo será um passo extra necessário para evitar que o sistema seja abusado.

25/07/2023
Doze ministérios da Noruega afetados por ataque informático

As autoridades da Noruega confirmaram ter sido alvo de um ataque informático, que afetou doze dos ministérios do pais. De acordo com as autoridades de Oslo, o ataque ainda não foi reivindicado e desconhece-se o impacto final que poderá ter.

Erik Hope, diretor da agência governamental norueguesa, revelou que o ataque explorou uma falha em software de terceiros, sem avançar detalhes sobre qual o software em questão ou o impacto do mesmo.

No entanto, o diretor afirma que a falha encontra-se a ser explorada ativamente para ataques, de origem ainda desconhecida. A investigação ainda se encontra a decorrer, sendo cedo para referir detalhes sobre o impacto dos ataques nas infraestruturas.

No entanto, apesar da confirmação do ataque, o Governo da Noruega e os seus serviços aparentam encontrar-se operacionais. Isto inclui os vários setores que foram afetados pelo ataque, visto usarem plataformas dedicadas para as suas operações do dia a dia.

De relembrar que esta não é a primeira vez que a Noruega é alvo de ataques informáticos. Em 2020 e 2021, um grupo conhecido como “Fancy Bear” terá realizado ataques contra várias instituições do pais. Este grupo possui ligações com os serviços de informação da Rússia.

24/07/2023
Malware criado em Rust infeta tanto sistemas Windows como Linux

Recentemente foi revelado que a Microsoft iria começar a adicionar suporte para código Rust no Windows 11, melhorando algumas partes do kernel do sistema. Esta alteração foi recebida de bom agrado pela comunidade, em parte porque poderia permitir melhorar o desempenho geral do sistema e a sua estabilidade – atualizando uma das partes fundamentais do sistema.

A medida foi feita também para melhorar a segurança do sistema. De acordo com o Vice Presidente da divisão de segurança da Microsoft, David Weston, o Rust permite que o sistema seja consideravelmente mais seguro do que o código existente no kernel anterior do Windows.

No entanto, isso não quer dizer que o mesmo seja “impenetrável”. Recentemente, um grupo de investigadores da Palo Alto Networks revelaram ter descoberto um novo malware, criado em Rust, e que infeta tanto Windows como sistemas Linux. O malware, apelidado de P2PInfect, encontra-se construído em Rust, o que lhe permite ser capaz de infetar tanto sistemas Windows como Linux de forma similar.

O malware explora uma falha (CVE-2022-0543) que é conhecida desde 2022, mas que apenas agora se encontra a ser usada como a base do ataque. O malware foca-se sobretudo em sistemas que tenham servidores Redis, uma popular base de dados para aplicações, e que é também bastante usada em ambientes de sistemas Cloud.

O foco do malware parece ser infetar os sistemas para roubar informação potencialmente sensível, e executar outro malware dentro do mesmo, como ransomware. Ao mesmo tempo, o malware encontra-se criado para ser capaz de se propagar dentro de uma rede – dai o nome P2P. O mesmo pode analisar outros sistemas que também se encontrem vulneráveis dentro da mesma rede, passando o ataque para os mesmos.

22/07/2023
Ataque aos sistemas da Microsoft pode ter sido mais grave que o previsto

Um grupo de hackers sediado na China encontra-se a usar chaves roubadas da Azure Active Directory para aceder a dados sensíveis de centenas de empresas a nível global, sendo que o acesso pode ter partido de uma chave privada roubada dos sistemas da Microsoft.

No passado dia 12 de Julho, a Microsoft confirmou que um grupo de hackers obteve acesso a contas do Exchange Online e Azure Active Directory (AD) de dezenas de organizações. Isto estaria a ser realizado pela exploração de uma falha na GetAccessTokenForResourceAPI da empresa, que permitia criar chaves falsas como se tivessem sido criadas pelas empresas, garantindo assim aos atacantes acesso a dados sensíveis.

Este ataque terá sido explorado para roubar informações de várias contas nos sistemas da empresa, incluindo de organizações associadas a governos mundiais.

No entanto, a escala do ataque pode ser consideravelmente mais grave do que o inicialmente previsto. De acordo com o investigador de segurança da empresa Wiz, Shir Tamari, os atacantes podem ter conseguido explorar uma falha que permitia comprometer todos os tokens criados com o OpenID v2.0 da Microsoft, porque os atacantes teriam conseguido obter acesso a uma chave privada da empresa para este fim.

Apesar de a Microsoft afirmar que apenas os serviços Exchange Online e o Outlook foram afetados, os investigadores apontam agora que os atacantes podem ter comprometido praticamente qualquer cliente e aplicação da Microsoft que se encontra baseada na nuvem.

Outlook, SharePoint, OneDrive e Teams são alguns dos exemplos de aplicações que podem ter sido comprometidas como parte deste ataque, e onde podem existir mais contas, até pessoais, afetadas.

Face ao problema, a Microsoft terá revogado todas as chaves criadas neste formato, o que aparenta ter resolvido a situação dos acessos indevidos. No entanto, a empresa também terminou a semana a indicar desconhecer como os atacantes obtiveram acesso iniciar às chaves da Azure AD.

22/07/2023
Falha grave em plugin do WordPress a ser ativamente explorada para ataques

Os utilizadores de sites WordPress com o plugin WooCommerce Payments devem atualizar o mais rapidamente possível as suas instalações, derivado da descoberta de uma falha de segurança no mesmo.

O WooCommerce Payments é um popular plugin para sites WooCommerce, que permite aceitar pagamentos sem vários sistemas de cartões de crédito. De acordo com os dados do próprio WordPress, o mesmo encontra-se atualmente com 600.000 instalações ativas.

No entanto, a 23 de Março de 2023, os criadores do plugin lançaram uma correção importante para o mesmo, que se foca em corrigir uma falha grave que pode dar controlo dos websites aos atacantes. A falha foi corrigida com a versão 5.6.2 (mas também se encontra disponível em patches para versões mais antigas, derivado da gravidade da mesma).

Explorando a falha, os atacantes podem obter acesso administrativo ao site sem grande controlo por parte das vítimas, tendo a capacidade de realizar qualquer alteração que se pretenda. Face à gravidade da falha, a Automattic, empresa gestora do WordPress, começou a forçar a atualização do plugin em todos os sites que continham o mesmo.

Na altura que a atualização foi fornecida, não existiam relatos da falha se encontrar a ser explorada ativamente. No entanto, agora surge a primeira confirmação de que tal se encontra a ocorrer.

De acordo com os investigadores da empresa RCE Security, foi descoberto que a falha deste plugin encontra-se a ser ativamente explorada para ataques, focando-se sobretudo em sites que ainda possuem as versões antigas instaladas, e que não receberam a atualização automática por algum motivo.

Apenas durante o fim de semana, segundo a empresa Wordfence, mais de 157.000 sites WordPress com o plugin foram alvo de tentativas de ataques, mas o valor pode ser consideravelmente superior, tendo em conta que a campanha ainda se encontra a decorrer.

Nos sites ainda vulneráveis, os atacantes encontram-se a explorar a falha para criarem falsas contas de administrador, obtendo acesso ao conteúdo do site e comprometendo o mesmo. Em alguns casos é também instalado um ficheiro de backdoor, que permite aos atacantes obterem acesso aos conteúdos do alojamento, mesmo que a falha seja corrigida.

Obviamente, a forma mais simples de prevenir o ataque será garantir que o plugin se encontra atualizado para a versão mais recente existente.

17/07/2023
Jovem que atacou a Rockstar Games poderá não ser julgado pelo tribunal

Um jovem de 18 anos encontra-se a ser acusado pelas autoridades de ter sido o autor do roubo de dados internos da Rockstar Games, e que levou a que vários conteúdos de GTA 6 fossem publicados online.

De acordo com o portal Reuters, Arion Kurtaj encontra-se a ser acusado de ter acedido aos sistemas internos da Rockstar Games, tendo publicado na internet vários conteúdos associados com Grand Theft Auto VI. No entanto, em tribunal, o mesmo declarou-se mentalmente incapacitado para ser julgado de forma regular.

O tribunal encontra-se a avaliar o caso, mas existe a possibilidade do jovem não ser legalmente responsabilizado pelo ataque e roubo de dados, devido a esta incapacidade. De relembrar que os rumores indicavam que Kurtaj fazia parte do grupo de hackers conhecido como Lapsus, que durante os últimos anos, terá realizado vários ataques a entidades de elevado perfil.

Entre os nomes de entidades atacadas pelo grupo Lapsus encontra-se a Uber, Microsoft, NVIDIA e Ubisoft.

Relativamente ao caso, Arion Kurtaj terá sido avaliado por psiquiatras, que consideraram que o mesmo não se encontrava apto para ser julgado, face a problemas de foro psíquico. Com isto, o júri responsável pelo caso não poderá determinar se o mesmo será culpado ou não dos ataques.

A ter em conta que o jovem, juntamente com um parceiro de 17 anos, terão realizado chantagem com algumas das empresas que atacaram, de forma a evitar a divulgação dos dados obtidos. No caso da Rockstar Games, os mesmos terão enviado uma mensagem para o Slack interno da empresa, requerendo o pagamento para evitar a exposição dos dados roubados na Internet – algo que não veio a acontecer, mas os dados acabaram por ser divulgados online.

17/07/2023
Plugin de segurança no WordPress registava senhas sem encriptação

O All-In-One Security (AIOS) é um plugin bastante conhecido para WordPress, que se foca em melhorar a segurança das instalações do site, com funcionalidades acrescidas de segurança para o mesmo. No entanto, foi recentemente descoberta uma falha que pode ser consideravelmente grave para um plugin deste género.

O plugin é desenvolvido pela empresa Updraft, mas faz cerca de três semanas que a nova versão do AIOS v5.1.9 trazia também uma nova funcionalidade, focada em registar as senhas de login usadas para as tentativas de login na Área de Administração do site.

Mesmo tratando-se de senhas baseadas em possíveis tentativas de ataque, vários utilizadores reportaram que esta medida de guardar as senhas tentadas, e sobretudo manter as mesmas sem qualquer encriptação, poderia violar algumas das normas de segurança, incluindo do RGPD.

O suporte da Updraft, na altura, terá fornecido uma resposta vaga, indicando que se tratava de um “bug”. Mas eventualmente a empresa chegou à conclusão de que a falha poderia ser mais grave do que o inicialmente previsto, e terá lançado uma correção para o problema.

No entanto, esta “correção” não veio resolver todos os problemas reportados, uma vez que as senhas anteriormente registadas pela “funcionalidade” ainda estariam presentes na base de dados – e a simples atualização não resolvia o problema.

Esta “falha” foi agora corrigida com a versão 5.2.0 ou mais recentes, que não apenas impedem que as senhas sejam guardadas na base de dados sem encriptação, mas também limpa as anteriores para evitar que possam ser recolhidas em possíveis ataques.

Em parte, esta falha poderia ser considerada grave pois permitia aos administradores dos sites terem a capacidade de ver tanto os nomes de utilizador como as senhas testadas para login. Estas poderiam ser usadas em outras plataformas por estes administradores.

Ao mesmo tempo, os websites que usavam o plugin, poderiam ficar abertos a serem atacados e a terem esses dados igualmente roubados – e possivelmente afetando outros utilizadores em diferentes plataformas.

Os utilizadores que usem sites WordPress com o plugin AIOS são aconselhados a atualizar para a versão mais recente existente de momento.

16/07/2023
Departamento de Estado dos EUA confirma ataque informático

O Departamento de Estado dos EUA confirmou ter sido alvo de um ataque informático, confirmação que surge depois de alguns rumores para tal terem começado a surgir na internet.

De acordo com o comunicado da entidade, esta foi alvo de um ataque na passada quarta-feira, tendo sido identificada “atividade suspeita” dentro dos sistemas da mesma. O comunicado afirma que foram tomadas todas as medidas preventivas para evitar que a atividade propagasse para mais áreas.

Esta confirmação surge depois de, no dia 15 de junho, a entidade ter também confirmado que o grupo “CL0P”, conhecido com as suas associações à Rússia, ter realizado também um ataque a várias agências governamentais dos EUA. Apesar das ligações com a Rússia, as autoridades não consideram que o ataque tenha sido realizado a pedido do governo Russo.

Para já ainda se desconhecem detalhes sobre o ataque recente, ou como o mesmo foi realizado. Também se desconhece se dados sensíveis podem ter sido acedidos.

14/07/2023
Microsoft confirma ataques de grupo chinês contra entidades governamentais

A Microsoft encontra-se a alertar para uma onda de ataques a sistemas de email associados a entidades governamentais, sobretudo com foco nos EUA e Europa. A empresa afirma que os ataques encontram-se a ser realizados por um grupo de hackers conhecidos como “Storm-0558”.

Segundo a empresa, os atacantes terão obtido acesso a várias contas de entidades governamentais, explorando falhas existentes em software que as entidades usam no dia a dia. Estima-se que contas de aproximadamente 25 entidades terão sido comprometidas como parte da campanha.

Obtendo o acesso, os atacantes podem obter detalhes sensíveis das organizações, nomeadamente documentos confidenciais, dados de login e outros dados sensíveis. A Microsoft afirma ainda ter contactado todas as entidades afetadas, e que foram fornecidos guias de como mitigar o ataque e resolver a situação das contas comprometidas.

A Microsoft afirma que os ataques foram ainda direcionados contra serviços da própria empresa, onde tokens falsos foram usados pelos atacantes para se obter acesso ao sistema de autenticação das entidades via OWA e Outlook.com.

O Storm-0558 é um grupo conhecido com origens na china, que se encontra ativo faz já vários anos. Este grupo tem vindo a ser associado com alguns ataques de elevado perfil realizados para empresas e entidades governamentais nos últimos anos.

De forma relativamente recente, o grupo tem vindo a focar-se em atacar empresas com vista a realizar atividades de espionagem.

13/07/2023
Revolut perdeu mais de 20 milhões de dólares em ataque informático

A Revolut pode ter sido a mais recente vítima de um ataque informático, tendo perdido mais de 20 milhões de dólares no processo. De acordo com o portal Financial Times, o ataque terá acontecido no início de 2022, mas apenas agora se encontra a ser tornado público.

De acordo com o portal, o ataque terá ocorrido devido a uma falha no sistema da empresa, mais concretamente na forma como reembolsos eram processados. A falha afetou compras realizadas nos EUA e na Europa, sendo que era possível explorar a mesma quando transações na app eram rejeitadas – mas ainda se aceitava a realização de reembolsos das mesmas.

A falha teria sido identificada em 2021, mas antes de ter sido completamente resolvido, vários grupos exploraram a mesma e incentivaram outros utilizadores a realizar a prática. Os pagamentos de compras avultadas eram rejeitados por falta de fundos ou por terem sido cancelados, mas a Revolut ainda permitia que fossem feitos reembolsos dessas compras.

Apesar de os detalhes sobre o ataque não serem inteiramente conhecidos, acredita-se que a empresa terá perdido mais de 23 milhões de dólares com o esquema. Alguns dos pagamentos terão sido recuperados, mas outros foram eventualmente perdidos, tendo sido feito o levantamento em dinheiro.

De notar que esta não é a primeira vez que a Revolut sofre um ataque informático. Em setembro de 2022, a empresa também tinha confirmado um ataque que afetou 20687 clientes na Europa, tendo levado à obtenção de dados pessoais sensíveis.

De momento ainda não existe uma confirmação oficial da empresa sobre o ataque, ou mais informações sobre este.

12/07/2023
Apple confirma nova falha zero-day nos seus sistemas

A Apple lançou um conjunto de atualizações de segurança, focadas em corrigir falhas descobertas recentemente no sistema da empresa – e que já estariam a ser exploradas ativamente para ataques.

As novas falhas zero day foram identificadas em vários modelos do iPhone, iPad e Mac. A falha encontra-se classificada como a CVE-2023-37450 e foi descoberta por um investigador ainda anónimo. Tendo em conta que as falhas se encontram a ser ativamente exploradas, não foram revelados detalhes sobre as mesmas.

No entanto, a Apple já lançou a correção como parte do sistema Rapid Security Response, sendo que as atualizações devem chegar automaticamente a todos os utilizadores com dispositivos afetados.

De relembrar que este sistema da Apple foi criado exatamente para prevenir que falhas zero-day possam ser exploradas durante longos períodos de tempo, e evitando que os utilizadores tenham de aguardar que uma nova versão do sistema operativo seja lançada para terem de receber a correção.

Do que se sabe da falha, esta encontra-se associada com o motor WebKit, que se encontra usado nos sistemas da Apple, e permite aos atacantes executarem código remoto no sistema. Este ataque pode ser explorado apenas com o acesso a sites comprometidos e criados especificamente para explorar a falha.

A Apple começou a lançar a correção via o sistema RSR no início do dia, mas alguns utilizadores reportam que a atualização foi suspensa depois de terem começado a surgir erros em certas aplicações, que apresentavam a mensagem de que o navegador não seria suportado para uso das apps – sobretudo em apps que contam com vertentes de web app.

Espera-se que mais detalhes sobre a falha venham a ser revelados em breve. No entanto, esta é a decima falha zero-day que a Apple corrige em 2023. Ainda no início deste mês foram reveladas três falhas zero-day, exploradas para a instalação de spyware nos dispositivos de utilizadores alvo.

11/07/2023
Razer investiga alegado roubo de dados da empresa

Recentemente surgiram rumores que a empresa de acessórios gamer “Razer” poderia ter sido alvo de um ataque informático, de onde se teria obtido acesso a dados sensíveis da mesma. Os rumores começaram a surgir depois de uma alegada base de dados da mesma ter sido partilhada em fóruns da Dark web.

Os primeiros relatos de um possível ataque começaram a surgir no final da semana passada, quando um utilizador partilhou num fórum da dark web a alegada base de dados da Razer. Na mensagem, o atacante afirmava ter obtido acesso a código fonte de software e dispositivos da empresa, bases de dados, chaves de encriptação e acesso de backend para o portal de logins do site da Razer.

O conteúdo estaria à venda por cerca de 100.000 dólares, sendo que ainda se desconhece se algum interessado terá realizado efetivamente a compra. No entanto, as imagens partilhadas no portal indicavam vários ficheiros, pastas e conteúdos que, a confirmar-se como verdadeiros, podem ser importantes para a empresa.

A mensagem foi inicialmente obtida pelo portal FalconFeedsio, sendo que a Razer, em resposta ao mesmo, indicou que estaria a investigar a situação. Até ao momento ainda não existe a confirmação dos detalhes sobre o roubo, ou se efetivamente os sistemas da empresa foram comprometidos.

No entanto, depois da base de dados ter sido divulgada, a empresa aparenta ter realizado o reset de todas as senhas de utilizadores associadas com o seu site. Ainda se desconhece se esta medida terá sido realizada devido ao alegado roubo dos conteúdos.

Esta não é a primeira vez que a Razer passa por problemas devido ao possível roubo de dados sensíveis. Em 2020, foi descoberta uma base de dados contendo diversa informação de clientes da empresa, não encriptada, e associada com mais de 100.000 contas da plataforma.

11/07/2023
TootRoot permite ataque a servidores do Mastodon

O Mastodon é uma das mais conhecidas plataformas alternativas e abertas para o Twitter, permitindo aos utilizadores criarem os seus próprios servidores, caso assim o pretendam. No entanto, foi recentemente identificada uma vulnerabilidade no software, que caso seja explorada, pode permitir a terceiros controlarem os servidores.

Usando ficheiros especificamente criados para explorar a falha, um atacante pode enviar conteúdos maliciosos para os sistemas, e eventualmente, pode obter controlo dos mesmos. Atualmente existe mais de 13.000 instâncias separadas do Mastodon, dentro da rede comunitária do Fediverso.

A falha foi descoberta pelos investigadores da empresa Cure53, e foi apelidada de TootRoot. Esta permite que, enviando ficheiros criados especificamente para explorar a falha, e que podem ser enviados como conteúdo multimédia num toot – as mensagens do Mastodon – os atacantes podem obter acesso aos sistemas.

Os detalhes concretos da falha não foram completamente revelados, possivelmente para evitar a sua exploração em larga escala, mas de acordo com vários investigadores de segurança, a mesma possui a capacidade de implementar um backdoor nos sistemas, que pode comprometer os servidores em questão.

Este ataque pode levar a que os utilizadores mal-intencionados possam usar a mesma para obterem total controlo dos servidores, e obterem acesso a informação sensível.

Foi ainda descoberta uma segunda falha, que pode permitir explorar o sistema de thumbnails dos links para injetar código malicioso nos sistemas dos utilizadores. Outras duas falhas foram também descobertas, que podem permitir realizar ataques DoS contra os servidores, com o potencial de tornar os mesmos inoperacionais.

As falhas foram corrigidas com as versões 3.5.9, 4.0.5, e 4.1.3, sendo aconselhado a todos os administradores de instâncias do Mastodon que realizem a atualização o mais rapidamente possível.

08/07/2023
Nickelodeon confirma ter sido alvo de ataque com conteúdos antigos roubados

O canal Nickelodeon confirmou ter sido vítima de um ataque informático, do qual podem ter sido roubados vários conteúdos do mesmo, incluindo de séries antigas e episódios não lançados de diversos nomes do mesmo.

O Nickelodeon é mais conhecido pelas suas produções de séries e filmes para jovens, bem como de conteúdo orientado para a família. No entanto, no final de Junho começaram a surgir rumores de que a empresa poderia ter sido alvo de um ataque.

A partir da internet começaram a surgir indícios dos conteúdos que tinham sido obtidos, o que inclui mais de 500 GB de filmes e séries, algumas das quais não foram lançadas nos últimos anos.

Algumas fontes apontam que o ataque terá acontecido em janeiro deste ano, e apenas foi resolvido cerca de dois meses depois, dando bastante tempo para os atacantes obterem os dados enquanto tinham acesso interno à empresa.

Muitos dos ficheiros que foram roubados do ataque foram disponibilizados em canais do Discord privados, mas não existe, para já, uma confirmação relativamente aos conteúdos roubados.

A empresa afirma que se encontra a investigar o ataque, mas que até ao momento não existem confirmações que dados sensíveis da mesma tenha sido obtidos. O roubo de conteúdos aparenta ter sido focado apenas em produções do canal e conteúdos do mesmo – que ainda assim, fazem parte do portefólio da empresa.

Apesar de os conteúdos serem relativamente antigos, com mais de dez anos, isso ainda pode causar sérios problemas para o Nickelodeon, sobretudo se os conteúdos nunca tiverem sido lançados e forem considerados “exclusivos”.

06/07/2023
Porto da cidade de Nagoya no Japão suspende atividades por ataque ransomware

O Japão continua a ser fustigado com ondas de ataques ransomware, e as mais recentes parecem agora estar a afetar as operações do porto da cidade de Nagoya, um dos maiores da região.

De acordo com as autoridades locais, os sistemas do porto de Nagoya terão sido comprometidos num ataque ransomware, o que se encontra a afetar o funcionamento do mesmo e das atividades. Este porto é responsável por quase 10% de todas as transações feitas no Japão, sendo que gere mais de dois milhões de contentores ao longo de um ano.

Este é também usado pela Toyota para a exportação de veículos do Japão para outras partes do mundo, e o recente ataque encontra-se a afetar igualmente as entregas em algumas regiões. De acordo com as autoridades, o sistema Nagoya Port Unified Terminal System, usado pelo porto para o controlo e gestão do mesmo, encontra-se seriamente afetado devido a um ataque de ransomware.

O ataque terá começado no dia 4 de Julho de 2023, quando as autoridades começaram a verificar que os sistemas de controlo do porto começaram a apresentar problemas. Por precaução, os sistemas que ainda estariam a funcionar foram inteiramente isolados.

As autoridades esperam que o sistema esteja reposto durante o dia de amanhã, no entanto, esta medida vai ter graves impactos a nível das operações por mais de 24 horas, o que pode causar atrasos nos envios do porto. Todos os envios e carregamentos encontram-se suspensos até que a situação seja resolvida.

Apesar das autoridades do porto terem lidado com ataques do género no passado, este parece ter sido um dos que mais afetou as operações no registo da entidade. De momento ainda se desconhecem detalhes sobre a origem do ataque ou o grupo responsável pelo mesmo.

05/07/2023
Microsoft nega roubo de dados de 30 milhões de clientes da empresa

Durante o início desta semana, o grupo “Anonymous Sudan” afirmava ter realizado um ataque em larga escala contra a Microsoft, do qual teriam sido recolhidos dados de 30 milhões de clientes dos serviços da empresa.

Este grupo ficou conhecido depois de realizar vários ataques de protesto contra os sistemas da Microsoft, que resultaram mesmo na inacessibilidade das suas plataformas durante várias horas. No entanto, o grupo agora alega ter em sua posse dados de clientes da empresa, em valores elevados.

No início desta semana, o grupo afirmava no seu canal do Telegram que tinha obtido acesso a uma base de dados interna da Microsoft, onde se encontrariam dados de 30 milhões de clientes da empresa, incluindo emails e senhas de diferentes serviços. O grupo encontra-se agora a tentar vender a base de dados por valores a partir de 50.000 dólares.

A mensagem publicada pelo grupo deixa ainda algumas contas de exemplo que se encontram no alegado leak de dados, como comprovação do acesso aos dados.

No entanto, apesar das revelações, a Microsoft afirma que não existe qualquer indicio de que contas ou sistemas da empresa tenham sido comprometidos num ataque desta escala. Segundo o portal BleepingComputer, um representante da Microsoft terá negado que a empresa tenha registado o roubo de dados.

É importante notar que, até ao momento, não é possível confirmar a veracidade do leak ou alegado roubo de dados. As informações contidas no mesmo podem dizer respeito a antigas contas da Microsoft que tenham sido comprometidas, ou a outras bases de dados conjugadas num “leak” de maiores dimensões.

03/07/2023
Siemens Energy e Schneider Electric confirma roubos de dados

Nos últimos dias, o grupo de ransomware Clop tem estado bastante ativo no mercado, com vários ataques a algumas empresas bem conhecidas no mercado. A mais recente foi a Siemens Energy, que terá sido alvo de roubo de dados derivado da exploração da falha do software MOVEit.

A Siemens Energy encontra-se sediada em Munique, sendo que conta com receitas anuais de 35 mil milhões de dólares. Recentemente o grupo de ransomware Clop confirmou ter obtido dados associados com a empresa, possivelmente obtidos através da exploração da falha do software MOVEit.

De acordo com o portal BleepingComputer, o grupo começou por confirmar o roubo de dados no seu portal da rede Tor, de forma a pressionar a empresa a pagar o resgate e evitar a publicação dos dados roubados. Eventualmente o grupo espera divulgar os dados roubados, embora tal ainda não tenha acontecido.

Em comunicado sobre o incidente, a Siemens Energy confirma o ataque, mas indica que nenhuma informação critica terá sido roubada da empresa. Esta sublinha ainda que as operações continuam como esperado, sendo que os sistemas afetados pelo ataque foram prontamente isolados para prevenir afetar outras áreas da entidade.

Além de ter confirmado o roubo da Siemens Energy, o grupo também indicou ter roubado dados da Schneider Electric, uma empresa sediada em França, do mesmo setor, com receitas anuais de 37 mil milhões de dólares.

Acredita-se que o roubo de dados desta entidade terá sido realizado usando o mesmo formato, através da exploração de falhas do software MOVEit.

27/06/2023
Lockbit alarga ataques para dispositivos macOS

O LockBit, um dos grupos de ransomware mais prolíficos do mundo, atualizou recentemente as suas operações com uma funcionalidade multiplataforma aperfeiçoada, de acordo com os especialistas em cibersegurança da Kaspersky. O LockBit ganhou notoriedade pelo seu implacável ataque a empresas em todo o mundo, deixando um rasto de devastação financeira e operacional. Este relatório recente da Kaspersky mostra a determinação do LockBit em expandir o seu alcance e maximizar o impacto das suas atividades maliciosas.

Nas suas fases iniciais, o LockBit operava sem portais de fuga, táticas de extorsão dupla ou exfiltração de dados antes de encriptar os dados das vítimas. No entanto, o grupo tem desenvolvido continuamente a sua infraestrutura e medidas de segurança para proteger os seus ativos contra várias ameaças, incluindo ataques aos seus painéis de administração e ataques disruptivos de negação de serviço distribuído (DDoS).

A comunidade de cibersegurança observou que o LockBit está a adotar código de outros grupos de ransomware infames, como o BlackMatter e o DarkSide. Este movimento estratégico não só simplifica as operações para potenciais afiliados, como também alarga a gama de vetores de ataque utilizados pelo LockBit. As recentes descobertas do KTAE (Threat Attribution Engine) da Kaspersky revelaram que o LockBit incorporou aproximadamente 25% do código anteriormente utilizado pelo agora extinto grupo de ransomware Conti, resultando numa nova variante conhecida como LockBit Green.

Num avanço significativo, os investigadores da Kaspersky descobriram um ficheiro ZIP que contém amostras do LockBit especificamente adaptadas a várias arquiteturas, incluindo Apple M1, ARM v6, ARM v7, FreeBSD, entre outras. Após uma análise e investigação minuciosas utilizando o KTAE, confirmaram que estas amostras eram originárias da versão LockBit Linux/ESXi anteriormente observada.

Embora algumas amostras, como a variante macOS, exijam configuração adicional e não estejam devidamente assinadas, é evidente que o LockBit está a testar ativamente o seu ransomware em várias plataformas, o que indica uma expansão iminente dos ataques. Este desenvolvimento sublinha a necessidade urgente de medidas robustas de cibersegurança em todas as plataformas e de uma maior sensibilização da comunidade empresarial.

“O LockBit é um grupo de ransomware altamente ativo e notório, conhecido pelos seus devastadores ciberataques a empresas de todo o mundo. Com os seus contínuos melhoramentos de infraestruturas e a incorporação de código de outros grupos de ransomware, o LockBit representa uma ameaça significativa e em evolução para organizações de vários sectores. É imperativo que as empresas reforcem as suas defesas, atualizem regularmente os sistemas de segurança, eduquem os funcionários sobre as melhores práticas de cibersegurança e estabeleçam protocolos de resposta a incidentes para mitigar eficazmente os riscos colocados pelo LockBit e por grupos de ransomware semelhantes”, afirma Marc Rivero, investigador de segurança sénior da Equipa de Análise e Pesquisa Global da Kaspersky.

27/06/2023
Servidores de Diablo estiveram inacessíveis após ataque DDoS

Os jogadores de Diablo IV podem, durante algumas horas, ter verificado problemas no acesso aos servidores do jogo, depois da Blizzard ter confirmado que os mesmos estariam a ser alvo de um ataque.

A empresa confirmou, via o Twitter, que os servidores do jogo Diablo IV estariam a ser alvo de um ataque DDoS, levando a falhas para os jogadores que estavam a tentar entrar no jogo. Entre os problemas que poderiam ser verificados encontra-se o aumento da latência durante o jogo, ou falhas de ligação e no acesso a novas partidas.

De notar que, apesar de o foco ter sido os sistemas de Diablo IV, o ataque estaria a afetar também outros jogos que se encontram sobre o ecossistema do Battle.net, o que inclui nomes como World of Warcraft, Overwatch 2, entre outros.

As falhas terão começado a ser sentidas no início do dia, e embora tenham durado várias horas, apenas no final do dia é que a empresa confirmou que os problemas tinham sido ultrapassados.

Atualmente os relatos também parecem indicar que os sistemas estão novamente acessíveis, com os utilizadores a conseguirem realizar o login sem problemas.

25/06/2023
Hacker do Twitter em 2020 vai ficar preso durante cinco anos

Em meados de 2020, o Twitter foi subitamente alvo de um estranho ataque, onde várias contas de personalidades importantes na plataforma, como Barack Obama e Elon Musk, começaram a publicar mensagens associadas com esquemas de criptomoedas – no que aparentava ser contas comprometidas.

No entanto, veio rapidamente a conhecer-se que o caso foi algo mais grave, e que alguém estaria a usar os poderes administrativos no Twitter para enviar mensagens em nome de algumas das maiores personalidades no planeta.

Isto veio a confirmar-se como tendo sido realizado por Joseph James O’Conner, também conhecido online como “PlugwalkJoe”.

O hacker terá obtido acesso a ferramentas internas do Twitter, através de vários esquemas direcionados para os funcionários da empresa, e conseguiu enviar mensagens de contas como as de Elon Musk, Bill Gates, Barack Obama e mais 100 outras personalidades, tendo obtido mais de 794.000 dólares em cripto moedas como parte do esquema.

Segundo o Departamento de Justiça dos EUA, depois de obterem os fundos de criptomoedas através das mensagens enviadas nas contas dos utilizadores, O’Conner e os seus ajudantes procederam com a tentativa de lavagem das moedas virtuais em várias plataformas de exchange – antes de terem sido eventualmente detidos pelas autoridades.

O’Connor declarou-se como culpado das declarações, sendo agora conhecido que vai permanecer durante cinco anos na prisão, ao qual se junta ainda mais três anos de supervisão. Este deve ainda devolver os 794.000 dólares que foram obtidos durante o ataque.

25/06/2023
Milhares de repositórios do GitHub encontram-se sujeitos a ataques

Existem atualmente milhares de repositórios no GitHub que podem estar abertos a ataques, conhecidos como “RepoJacking”. Este género de ataques permite que, explorando falhas em repertórios conhecidos, utilizadores maliciosos possam injetar código malicioso nos mesmos.

O estudo da empresa Aqua Nautilus aponta que, atualmente, existem milhares de repositórios vulneráveis a RepoJacking no GitHub, incluindo de algumas empresas bem conhecidas como a Google, Lyft, entre outras.

Este género de ataques pode acontecer quando o dono de um repositório altera o nome de utilizador do mesmo, mas deixa o antigo disponível para qualquer um registar. Desta forma, projetos que ainda estejam a usar o nome antigo, podem subitamente ficar afetados.

De acordo com os investigadores, dos 1.25 milhões de repositórios analisados em Junho de 2019, cerca de 2.95% dos mesmos encontravam-se abertos a este género de ataque. Tendo em conta que o GitHub conta com mais de 330 milhões de repositórios, isto deixa uma grande fatia aberta para possíveis ataques.

É recomendado que tanto os utilizadores como gestores dos repositórios analisam regularmente as dependências dos seus códigos, de forma a analisar qualquer eventual link para repositórios que possam encontrar-se comprometidos ou inexistentes, evitando que os mesmos possam ser explorados para ataques em maior escala.

Este género de ações será ainda mais importante agora que cada vez mais entidades se encontram a usar serviços como o GitHub para alojarem os seus códigos internos e externos.

23/06/2023
Apple corrige três falhas de segurança exploradas por spyware

A Apple confirmou ter lançado uma correção para três vulnerabilidades zero-day, que estariam a ser usadas para instalar spyware no iPhone via o iMessage.

A empresa confirmou ter corrigido três falhas, que eram conhecidas de estarem a ser usadas em ataques, em versões anteriores ao iOS 15.7. Estas falhas estavam a ser exploradas para a instalação de spyware conhecido como “Triangulation”, que era usado para sofisticados ataques contra alvos específicos.

Segundo a empresa Kaspersky, os atacantes exploravam falhas no iOS para obterem acesso à raiz do sistema e ao kernel, onde depois mantinham o código malicioso focado em roubar dados sensíveis das vítimas. O malware permanecia nos dispositivos das vítimas na memória do mesmo, pelo que o reiniciar do sistema era suficiente para remover o malware – mas nada impedia o mesmo de voltar a ser instalado.

A falha estaria a ser explorada com mensagens enviadas via iMessage, que eram capazes de realizar o ataque e proceder à instalação do spyware no sistema.

A empresa de segurança acredita que o spyware estaria a ser associado com entidades russas, nomeadamente com o FSB, usando o acesso para recolher dados de alvos específicos em diferentes países.

Os utilizadores são aconselhados a atualizarem os seus dispositivos para a versão mais recente do sistema operativo que se encontre nos mesmos, de forma a evitarem a exploração das falhas.

21/06/2023