Categoria: ataque

Falha no router TP-Link Archer AX21 usada pelo botnet Mirai

Os donos do router TP-Link Archer AX21 (AX1800) talvez queiram proceder com a atualização do mesmo, tendo em conta que foi recentemente descoberta uma falha no mesmo que pode ser usada para atividades do botnet Mirai.

A falha foi revelada durante o evento Pwn2Own Toronto, que se realizou em Dezembro de 2022. A falha foi revelada para a TP-Link durante o mês de Janeiro de 2023, com a correção lançada durante o mês passado – no entanto, tendo em conta que a atualização necessita de ser manualmente instalada em muitos casos, a grande maioria dos utilizadores podem não realizar imediatamente o procedimento.

Se explorada, esta falha pode permitir que o dispositivo seja usado pela botnet Mirai para realizar ataques DDoS, integrando-se na rede do malware para este género de atividades. Os investigadores acreditam que, apesar de a falha ter sido corrigida, encontra-se agora a ser ativamente explorada, uma vez que muitos dos dispositivos afetados não foram atualizados para a versão mais recente do firmware.

De acordo com a entidade Zero Day Initiative (ZDI), a falha começou a ser subitamente usada em massa para ataques durante a semana passada, sobretudo em dispositivos que se encontram na zona da Europa.

A falha afeta a própria interface do TP-Link Archer AX21, que pode ser explorada para executar código remotamente. A botnet do Mirai encontra-se a explorar esta falha para aumentar a sua capacidade de ataque, usando os dispositivos das vítimas para ataques DDoS em larga escala.

Ao mesmo tempo, o Mirai encontra-se ainda a usar esta falha para mascarar os ataques, fazendo-os passar como tráfego legitimo, e tornando assim mais complicada a identificação da falha por sistemas externos de monitorização.

Os utilizadores que tenham estes routers são aconselhados a atualizarem para a versão mais recente do firmware, disponível a partir do site da fabricante.

25/04/2023
Conta no Twitter da plataforma KuCoin usada para promover esquemas

A conta do Twitter oficial da plataforma de criptomoedas KuCoin foi recentemente alvo de um ataque, tendo sido usada para a promoção de um falso concurso. A conta terá sido usado para o esquema, e acredita-se que pode ter levado ao roubo de 22.6 mil dólares em criptomoedas.

Durante o dia de hoje, a conta oficial da entidade começou a promover um passatempo, onde oferecia aos utilizadores uma quantia de BTC e ETH caso realizassem o pagamento de um determinado valor para uma carteira especifica – essa carteira encontrava-se em controlo dos atacantes.

Aos utilizadores era prometido que todos os valores que fossem enviados para a carteira, eram retomados no dobro.

A mensagem falsa redirecionava ainda os utilizadores para um site, onde supostamente seria realizado o passatempo. Visto que a conta é maioritariamente usada para temas relacionados com a plataforma e criptomoedas, isso terá sido suficiente para que algumas vítimas fossem enganadas.

De acordo com a entidade, durante o período de tempo que a conta esteve comprometida e com a mensagem publicada, cerca de 45 minutos, foram realizadas 22 transações, num total de 22,628 USDT para os atacantes.

A entidade já confirmou que vai reembolsar todas as vítimas deste esquema, tendo ainda indicado que nenhum outro conteúdo da entidade terá sido comprometido. Os utilizadores afetados pelo esquema são aconselhados a entrarem em contacto com o suporte da empresa, via o email support@kucoin.com.

Tendo em conta o teor da plataforma, e que normalmente a sua conta no Twitter era usada para campanhas e eventos, isso pode ter dado mais credibilidade na mensagem maliciosa. Alguns utilizadores identificaram rapidamente tratar-se de um esquema, mas infelizmente isso não terá sido transversal para todos.

24/04/2023
Parler possui uma nova administração… que a colocou imediatamente offline

Faz apenas alguns meses que Ye tentou comprar a plataforma Parler, apenas para desistir da compra alguns dias depois. No entanto, a plataforma encontra-se agora sob uma nova gestão.

Starboard, uma empresa que também possui vários outros canais alternativos na internet, adquiriu recentemente a plataforma social, e uma das suas primeiras medidas foi exatamente desligar temporariamente o acesso à plataforma.

A empresa afirma que irá realizar uma avaliação estratégica da Parler durante o período em que a mesma estiver inacessível, com foco em ajudar a integrar a plataforma em novos canais. No entanto, não foram deixados detalhes sobre quanto tempo a plataforma vai ficar inacessível.

Apesar disso, a entidade não esconde que pretende avaliar o melhor futuro para a Parler, sublinhando que não considera que uma plataforma apenas focada para entidades conservativas e similar ao Twitter seja uma boa aposta para o futuro.

De relembrar que a Parler foi lançada em 2018, na altura como uma alternativa conservadora ao Twitter, em parte porque teria poucas regras e uma baixa moderação de conteúdos. A plataforma ganhou atenção depois dos incidentes de Janeiro de 2021, quando ocorreu a invasão do capitólio nos EUA, onde se acredita que uma grande parte da organização do ataque tenha sido realizado a partir desta plataforma.

Tanto a Google como a Apple removeram a app das suas lojas de aplicações algumas semanas depois, alegando que esta deveria melhorar as suas ferramentas de moderação antes de poder voltar às lojas de apps.

Ye tentou comprar a plataforma em 2022, pouco depois de ter sido banido do Twitter por violar as regras da plataforma. No entanto, o negócio acabaria por não se realizar.

15/04/2023
Atacante da Western Digital afirma ter roubado 10 TB de dados da empresa

Recentemente a Western Digital foi alvo de um ataque informático, onde os atacantes terão obtido acesso à rede interna da empresa, com o possível roubo de dados da mesma. O ataque levou a empresa a colocar a sua plataforma My Cloud inacessível durante quase dez dias.

Apesar de a empresa não ter revelado muitos detalhes sobre o que aconteceu no ataque, e dos dados que foram efetivamente roubados, parece que um dos atacantes da empresa veio agora revelar mais detalhes.

De acordo com o portal TechCrunch, o hacker responsável pelo ataque afirma ter roubado da empresa mais de 10 TB de dados, a grande maioria associada com dados internos da empresa. Uma das formas que o atacante confirmou ser legitimo passa pelo facto que este foi capaz de assinar ficheiros usando o certificado privado da WD – que não deveria ser possível sem acesso aos dados internos da empresa.

O hacker afirma ainda que roubo diversa informação da empresa, e que se encontra a pedir um resgate no valor de 8 dígitos (o valor exato não foi revelado), ou então os dados roubados serão publicamente fornecidos. Entre os dados encontram-se informações de clientes, mas não foram deixados detalhes sobre se serão dados sensíveis ou de informação de contas na plataforma da empresa.

A Western Digital não deixou comentários relativamente ao ataque, sendo que um porta-voz da empresa também não confirmou as informações deixadas pelo atacante.

14/04/2023
Plataformas da Western Digital voltam a ficar acessíveis

Depois de quase dez dias “offline”, os serviços da Western Digital (WD) no My Cloud foram finalmente restaurados. A plataforma estaria inacessível desde o inicio de Abril, quando foi confirmado que a WD teria sido alvo de um ataque a vários dos seus sistemas.

No seguimento do ataque, as plataformas My Cloud da empresa ficaram inacessíveis, deixando os utilizadores das mesmas impossibilitados de usarem a plataforma. A página de estado do serviço da WD foi atualizada durante o dia de hoje, indicando que os serviços encontram-se finalmente restaurados – não existe para já uma menção de tal na página do Twitter da empresa, sendo apenas indicado que a equipa técnica continua a avaliar a situação o mais rapidamente possível.

Numa mensagem publicada no Twitter da empresa, a WD agradece ainda aos clientes pela compreensão sobre as dificuldades enfrentadas, e lamenta os problemas verificados no acesso a algumas das suas plataformas.

A ter em conta que, até ao momento, a WD ainda não revelou detalhes concretos sobre o que aconteceu. No dia 3 de Abril, a empresa apenas revelou que teria sofrido um ataque nas suas infraestruturas, onde uma entidade terceira terá obtido acesso a sistemas internos da empresa.

Apesar de ter sido confirmado que, do ataque, terão sido roubados alguns dados, não ficou claro se estes eram respeitantes à empresa ou dos clientes.

Na mesma altura, a plataforma online da My Cloud ficou também inacessível para os utilizadores. Agora existem vários utilizadores que confirmam novamente a acessibilidade aos serviços – embora a web store da plataforma ainda aparente encontrar-se inacessível.

13/04/2023
Hyundai alvo de ataque informático em Itália e França

A Hyundai confirmou ter sido alvo de um ataque informático, do qual podem ter sido comprometidos dados de clientes das filiais da empresa em Itália e França.

De acordo com o comunicado da empresa, os atacantes comprometeram alguns sistemas usados para salvaguardar informações dos clientes, nomeadamente dos que realizaram agendamentos de test drive.

De acordo com Troy Hunt, criador do portal “HaveIBeenPwned”, entre os dados comprometidos encontram-se emails de contacto, números de telefone, moradas e os números de quadro dos veículos usados.

O comunicado da empresa indica ainda que, apesar de terem sido acedidos dados sensíveis, não foram roubados dados associados a pagamentos ou a números de identificação direta.

A Hyundai revelou ter tomado medidas imediatas para conter o ataque, colocando os sistemas infetados sobre quarentena e iniciando o processo de análise do mesmo. A empresa sublinha ainda que os utilizadores devem ter cuidado a possíveis esquemas que possam usar os dados agora roubados, para tentar enganar as vítimas.

A ter em conta que, para já, não existem confirmações que os dados estejam a ser usados para esquemas maliciosos ou burlas. No entanto, a informação encontra-se diretamente acessível para os atacantes, pelo que pode ser futuramente usada para esse fim.

Até ao momento ainda se desconhece o número de clientes da empresa que poderão ter sido afetados por este ataque.

12/04/2023
Ataque da 3CX associado a grupo na Coreia do Norte

A empresa de comunicações VOIP 3CX confirmou, durante esta semana, que o ataque sofrido pela empresa o mês passado teve origem num grupo associado com a Coreia do Norte.

De acordo com o comunicado da empresa, a investigação realizada do ataque confirmou que terá sido realizado por um grupo de hackers conhecido como “UNC4736”, o qual possui as suas origens na Coreia do Norte.

A relembrar que o ataque da 3CX levou a que os atacantes conseguissem infetar sistemas com o programa usando um malware conhecido como “TxRLoader”, que por sua vez permitia a instalação de um segundo malware, conhecido como “Coldcat”.

Uma vez infetado, o sistema ficaria em controlo dos atacantes de forma remota. Este tentava ainda ocultar as suas atividades, instalando no sistema ficheiros DLL aparentemente legítimos e que eram recarregados cada vez que o sistema era reiniciado.

Este acesso persistente permitia que os atacantes tivessem acesso praticamente total aos sistemas infetados, com a capacidade de enviarem comandos remotamente e de descarregarem ficheiros.

De relembrar que a empresa confirmou inicialmente o ataque como tendo afetado a sua aplicação dedicada para desktop, a 3CXDesktopApp, tendo recomendado os utilizadores a migrarem para a versão web da mesma e a removerem a aplicação desktop.

12/04/2023
Microsoft corrige falha zero-day no Windows usada para ataques ransomware

A Microsoft confirmou ter corrigido uma vulnerabilidade zero-day sobre o Windows, que afetava o Windows Common Log File System (CLFS), e estaria a ser ativamente explorada para ataques de ransomware em larga escala.

Esta falha foi descoberta pelos investigadores Genwei Jiang da Mandiant e Quan Jin da DBAPPSecurity’s WeBin Lab, e afeta praticamente todas as versões do Windows, tanto das versões para desktop como servidores.

A falha, se explorada, pode permitir aos atacantes executarem código no sistema sem a interação dos utilizadores, com privilégios SYSTEM – o que pode levar a que o sistema fique completamente comprometido.

A falha encontra-se a ser ativamente explorada pelo grupo de ransomware Nokoyawa, como forma de distribuir o malware em sistemas Windows. Acredita-se que a falha estaria a ser explorada desde meados de Junho de 2022, mas apenas de forma recente a mesma foi efetivamente confirmada pelos investigadores de segurança.

O ransomware Nokoyawa é conhecido por realizar um ataque de duas fases, onde começa por roubar dados dos sistemas infetados, antes de encriptar os mesmos. Dessa forma, caso as vítimas não paguem o resgate, os ficheiros roubados podem ser distribuídos pela dark web.

Esta falha foi entretanto corrigida pela Microsoft, com o Patch Tuesday que se encontra disponível a partir de hoje para os sistemas Windows. Os utilizadores devem instalar esta atualização o mais rapidamente possível, através do Windows Update.

11/04/2023
Dona da Pizza Hut, KFC e Taco Bell revela roubo de dados pessoais em ataque ransomware

A Yum! Brands, empresa mãe de marcas como a KFC, Pizza Hut e Taco Bell, encontra-se a enviar um conjunto de notificações para vários utilizadores, após ter sido alvo de um ataque de ransomware.

De acordo com o portal BleepingComputer, a empresa encontra-se a notificar vários utilizadores sob um ataque realizado no dia 13 de Janeiro, que terá afetado os sistemas da empresa. Este ataque terá sido de ransomware, e acredita-se que alguma informação interna da empresa pode ter sido roubada no processo.

Na mensagem partilhada pela empresa, esta confirma que os atacantes podem ter obtido acesso a informações pessoais na marca, entre as quais se encontram nomes, dados de cartões de cidadão e cartas de condução, entre outras informações pessoais. A grande maioria dos dados acredita-se que estejam relacionados com utilizadores nos EUA.

De notar que a empresa ainda não revelou detalhes sobre se este roubo de dados estará associado com informações dos clientes ou de funcionários. Na mensagem da empresa enviada para algumas das partes afetadas, esta indica que, após uma investigação interna, não se acredita que os dados roubados tenham sido usados para falsificação de identidade, mas ainda assim encontram-se comprometidos.

De notar que, derivado deste ataque de ransomware, a Yum! Brands foi forçada a encerrar 300 restaurantes no Reino Unido, depois dos sistemas da empresa terem ficado inacessíveis. A notificação da empresa às autoridades indica ainda que vários sistemas internos da organização ficaram comprometidos como parte do ataque, e na altura, não se saberia ainda da possível recolha de dados pessoais desses sistemas.

10/04/2023
Plataformas online da Caixa Geral de Depósitos encontram-se inacessíveis

Os utilizadores que tentem usar os serviços online da Caixa Geral de Depósitos podem verificar, durante o dia de hoje, alguns problemas.

Em comunicado, a instituição garante que uma falha técnica encontra-se a levar a problemas no uso da plataforma. Os utilizadores podem verificar dificuldades no uso da CaixaDireta, tanto via o website da CGD como via a aplicação para smartphones.

Quando os utilizadores tentam aceder às suas contas, podem verificar uma mensagem de erro, a indicar que a plataforma se encontra temporariamente indisponível. A empresa garante que a falha deriva de um problema técnico e não de um ataque.

Até ao momento ainda se desconhecem detalhes sobre a falha, mas é referido que a entidade se encontra a fazer os possíveis para restaurar a normalidade da Caixadireta, algo que se encontra previsto para o dia de hoje.

10/04/2023
Dados de 400.000 utilizadores dos fóruns Kodi comprometidos em ataque

O fórum da comunidade de Kodi foi recentemente o alvo de um ataque, na qual podem ter sido comprometidos alguns dados de contas registadas no mesmo, depois de ter sido explorada uma falha de segurança sobre a plataforma.

De acordo com o comunicado, o fórum comunitário do Kodi foi alvo de um ataque, onde se terá conseguido roubar a base de dados associada com a plataforma. Esta base de dados já se encontra à venda em alguns sites da dark web, e pode conter alguma informação dos utilizadores a plataforma.

O comunicado indica que o acesso a estes dados terá sido feito a partir de uma conta de administrador da plataforma, de um membro antigo, que apesar de se encontrar inativo, estaria ainda com acesso administrativo na plataforma. Esta conta foi usada para criar backups da base de dados do site, que continham toda a informação da plataforma.

Estes backups continham todas as mensagens da plataforma, incluindo mensagens partilhadas entre utilizadores de forma privada, e os detalhes associados com as suas contas, como é o caso de nomes de utilizador e emails de notificação. Encontram-se ainda as senhas de acesso às contas, embora encriptadas.

A equipa de administração do site indica que, de momento, não existem indícios que os sistemas associados com a plataforma tenham sido afetados, e que o ataque terá sido feito apenas sobre a exploração das falhas nesta conta de administrador inativa.

Apesar de as senhas estarem encriptadas, deve-se considerar a possibilidade das mesmas serem comprometidas em algum ponto, e como tal, é recomendado que os utilizadores que tenham conta nesta plataforma realizem a modificação das senhas o quanto antes.

Caso a mesma senha seja usada em outras plataformas online, recomenda-se igualmente a mudança o mais rapidamente possível – sendo também aconselhado que se evite usar a mesma senha para todas as contas, ou que se opte por usar um gestor de senhas seguro para essa tarefa.

10/04/2023
Western Digital começa a recuperar da inacessibilidade do My Cloud

Durante a semana passada, a Western Digital foi alvo de um ataque nos seus sistemas, do qual terá sido afetado um largo conjunto de funcionalidades e serviços da empresa. Entre os quais encontra-se os serviços cloud da mesma, nomeadamente o acesso ao My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS 5, SanDisk ibi, e SanDisk Ixpand Wireless Charger.

Desde o dia 2 de Abril que os utilizadores começaram a confirmar problemas no acesso as estas plataformas, ficando impossibilitados de acederem aos seus ficheiros a partir das aplicações da empresa.

Apesar de a empresa ter sido rápida a confirmar a indisponibilidade, não deixou muitos detalhes sobre o que estaria a acontecer, indicando apenas que terá sido derivado de um ataque a sistemas internos da empresa.

No entanto, a Western Digital deixou agora detalhes sobre como permitir que os utilizadores possam aceder aos seus conteúdos de forma local. As funcionalidades cloud da plataforma ainda se encontram inacessíveis, mas pelo menos agora os utilizadores possuem formas de acederem aos seus ficheiros.

De acordo com a informação da empresa, os utilizadores podem agora ativar o modo local dos seus sistemas NAS, de forma a permitir o acesso direto aos ficheiros a partir da mesma rede local. Este acesso permite que os utilizadores possam aceder aos conteúdos das suas NAS a partir da rede local, em sistemas Windows e MacOS.

A funcionalidade de acesso remoto, que é a usada pela grande maioria dos utilizadores, ainda se encontra inacessível. Mas pelo menos os conteúdos locais estão assim acessíveis para quem necessite.

A empresa fornece ainda um guia sobre como os utilizadores podem ativar o modo local nos seus sistemas. Quem pretenda aceder aos seus conteúdos neste formato, é aconselhado que siga o mesmo para aceder aos seus ficheiros.

A empresa garante que ainda se encontra a trabalhar para repor a normalidade dos serviços, o que está previsto para breve, mas ainda sem uma data concreta de quando irá encontrar-se concluída.

De relembrar que a inacessibilidade da plataforma seguiu-se à empresa ter confirmado um ataque, que terá acontecido no dia 26 de Março, onde uma entidade desconhecida terá conseguido aceder a sistemas internos da empresa, e onde se acredita que dados da mesma podem ter sido recolhidos – embora os detalhes do ataque em concreto ainda sejam desconhecidos e nenhum grupo confirmou ter realizado o mesmo publicamente.

10/04/2023
Campanha de malware para WordPress infetou milhares de sites desde 2017

De forma regular, sites baseados em WordPress podem ser vítimas dos mais variados ataques, que podem comprometer a segurança e os dados dos utilizadores. Na maioria das vezes, estes ataques ocorrem porque se encontram em utilização plugins ou conteúdos desatualizados e com falhas.

Isto é particularmente sentido em plugins, que tendem a ser uma das portas de entrada para possíveis ataques. E de acordo com os investigadores da empresa de segurança Securi, foi recentemente descoberta uma campanha de malware, focada para sites WordPress, que pode ter afetado mais de um milhão de sites diferentes.

De acordo com os investigadores, a campanha é conhecida como Balad Injector, e pode ter-se encontrado ativa desde 2017. A mesma foca-se em explorar todo o género de falhas que existam sobre plugins no WordPress, e quando identifica as mesmas, tenta obter acesso ao site para apresentar conteúdos maliciosos ou redirecionar os utilizadores para sites de casinos online e outros similares.

A campanha não se foca numa falha em particular, mas sim em várias. O objetivo será tentar descobrir falhas que existam sobre plugins desatualizados, explorando várias possibilidades para as mesmas.

A maioria dos sites afetados são depois usados para o reencaminhamento dos utilizadores para plataforma de terceiros, sites de afiliados ou de casinos online. Os conteúdos do site podem ainda ser modificados para apresentar mensagens maliciosas, enganando os possíveis visitantes.

Se explorada uma falha, esta campanha também se foca em tentar obter dados sensíveis de outros conteúdos dentro da instalação, como é o caso de registos de erros, backups e outros conteúdos.

Por fim, quando o ataque é realizado com sucesso, este tenta também instalar um backdoor no site para permitir o acesso futuro, e até mesmo caso os conteúdos sejam removidos, o backdoor permanece oculto para permitir acessos remotos futuros para voltar a infetar o site.

Como sempre, a principal recomendação para prevenir ataques desta campanha passa por manter os plugins de um site atualizados e evitar usar plugins que não sejam necessários – e que podem sempre abrir portas de entrada para ataques.

08/04/2023
MSI confirma ter sido vítima de ataque de ransomware

Depois de terem surgido rumores sobre um possível ataque à MSI, agora a empresa veio oficialmente confirmar o mesmo, deixando também mais detalhes sobre o que aconteceu.

Os rumores começaram a surgir depois do grupo de ransomware Money Message ter confirmado que teria atacado a empresa, e estaria a pedir mais de 4 milhões de dólares para evitar a divulgação dos dados roubados. Entre estes encontram-se ficheiros internos da empresa, dados de clientes e funcionários e também diverso código fonte associado com programas e BIOS da empresa.

A MSI confirma que terá sido alvo do ataque de ransomware, onde os atacantes terão obtido acesso a diversos ficheiros internos da empresa, e encontram-se a realizar o pedido de ransom. Ao mesmo tempo, a empresa afirma que, assim que o ataque foi identificado, o mesmo foi contido e as autoridades contactadas.

A empresa não revelou, no entanto, detalhes sobre quando o ataque aconteceu ou quais os dados que poderão ter sido acedidos no processo. No entanto, é referido que este ataque não teve impacto sobre as operações da empresa nem a nível financeiro – como tal, acredita-se que possa ter sido alvo pequeno.

A empresa também aconselhou os utilizadores a apenas descarregarem conteúdos de sites oficiais ligados com a empresa, evitando qualquer fonte externa que não seja reconhecida. Isto aplica-se a programas e a conteúdos como BIOS.

De relembrar que os atacantes indicavam ter em sua posse mais de 1.5TB de dados que, alegadamente, foram roubados dos sistemas da empresa. Até ao momento os atacantes apenas partilharam imagens dos supostos ficheiros que foram roubados, não tendo sido ainda fornecido qualquer dado concreto.

08/04/2023
Nova extensão maliciosa descoberta capaz de roubar dados sensiveis

Os navegadores possuem formas de expandir as suas funcionalidades através das extensões, mas, ao mesmo tempo, se os utilizadores não tiverem atenção, este é também um ponto onde podem surgir problemas.

As extensões possuem um alargado acesso ao navegador e aos dados que transitam no mesmo, e, portanto, estas podem ser usadas para os mais variados fins – nem todos benignos. É o exemplo de uma extensão recentemente descoberta pelos investigadores da empresa Trustwave.

Apelidada de Rilide, esta extensão maliciosa foca-se em navegadores baseados em Chromium, e pode realizar várias atividades nos mesmos. O objetivo da extensão parece ser recolher dados de login e carteiras de criptomoedas.

Uma vez instalada, a extensão começa a comunicar com um servidor remoto, de onde receber as ordens e envia os dados. Este servidor, em controlo dos atacantes, é a porta de entrada para o ataque.

A extensão distribui-se sobretudo sobre campanhas maliciosas do Google Ads, mas também se pode instalar automaticamente no navegador caso o sistema base esteja comprometido. Uma vez instalada, a extensão monitoriza toda a atividade do utilizador.

Quando é identificado que o utilizador acede a carteiras de criptomoedas, esta é capaz de recolher os dados de acesso, e até de contornar autenticação das mesmas – incluindo a autenticação em duas etapas, com o objetivo de roubar os fundos e enviar para carteiras em controlo dos atacantes.

Esta é ainda capaz de injetar scripts nos sites, que podem realizar o mais variado leque de ações finais.

Como sempre, a principal linha de defesa parte dos próprios utilizadores, que devem ter atenção aos locais de onde descarregam os conteúdos e às extensões que são instaladas no navegador – a maioria dos navegadores alerta sempre que uma nova extensão é instalada no mesmo, sobretudo quando o processo é feito de forma automática no sistema.

06/04/2023
Existe um novo esquema que pode levar a perder a conta do Youtube

O YouTube é uma das plataformas mais reconhecidas para assistir a vídeos na internet, e nesta também se encontram vários criadores de conteúdos. Particularmente para quem usa esta plataforma para produzir conteúdos, é recomendado que tenha em atenção um novo esquema que começou a surgir na mesma.

Vários utilizadores começaram a reportar um novo esquema de phishing, que tenta enganar os criadores de conteúdos para o YouTube com falsos emails que, aparentemente, fazem-se passar por conteúdos legítimos.

O esquema começa quando as vítimas recebem um email, supostamente do YouTube, a notificar para uma infração sobre um dos conteúdos que possuem nas suas contas. Estes emails tendem a ser enviados do email “no-reply@youtube.com”, que é legitimo da plataforma. Apesar de o remetente dos emails poder ser modificado, neste caso a mensagem é mesmo enviada pelos sistemas da Google – apenas não com a intenção que se pretende.

A mensagem tende a conter uma notificação, na maioria das vezes sobre alguma questão relacionada com a conta do criador, e com um link para onde se deve resolver a situação – para dar mais credibilidade, este link é muitas vezes de plataformas da própria Google, como o Google Drive.

O link direciona o utilizador para um suposto PDF ou documento onde se pode obter mais informações sobre o que levou à queixa contra o criador. Mas é aqui que começam os problemas: o ficheiro não é verdadeiro.

Muitas vezes trata-se apenas de um ficheiro mascarado como um PDF ou documento do Word, que é enviado via o Google Drive, mas é na verdade um malware que pode roubar os dados das contas das vítimas.

Este ataque explora uma funcionalidade do próprio YouTube, que permite partilhar determinados vídeos com outros utilizadores via email. O que os atacantes realizam é colocarem um vídeo como privado, com uma descrição ou mensagem que pretenda enganar os utilizadores, e partilha esse vídeo para um email específico diretamente pela plataforma.

Este género de ataque foca-se sobretudo para criadores de conteúdos, visto que é onde existe o maior potencial para verificarem as mensagens e os seus conteúdos, ainda mais tendo em conta que se trata de uma questão relacionada com a conta dos mesmos.

Como sempre, a primeira linha de defesa parte dos próprios utilizadores, que devem ter atenção aos conteúdos que acedem. Ao mesmo tempo, é importante relembrar que o YouTube não entra em contacto a pedir para os utilizadores descarregarem ficheiros – mesmo que sejam da sua plataforma.

06/04/2023
Sites do Ministério da Economia alvo de ataques informáticos

O portal web do Ministério da Economia e do Mar foi, durante o dia de hoje, alvo de um ataque informático. O ataque foi confirmado pela Sic Noticias, que avança que este terá afetado alguns dos serviços fornecidos no mesmo.

De acordo com a fonte, o ataque não comprometeu informação existente nas plataformas do site, mas afetou a disponibilidade do mesmo e de alguns serviços que neste eram fornecidos. A entidade espera que a situação esteja resolvida até ao final do dia de hoje.

Apesar de confirmar o ataque, a entidade não deixou detalhes sobre o mesmo nem quais os serviços concretos que foram afetados. O TugaTech validou que, o site principal, encontra-se ainda ativo sem aparentes problemas, mas o ataque pode ter ocorrido a outros sites secundários da organização, usados para os mais variados fins.

Espera-se que mais detalhes venham a ser conhecidos nos próximos dias, não tendo sido deixado ainda um comunicado oficial sobre o incidente.

06/04/2023
Grupo de ransomware afirma ter atacado a MSI

A MSI (Micro-Star International) pode ter sido a mais recente empresa a ser afetada por um ataque de ransomware. O grupo “Money Message” publicou uma nova mensagem no seu site na dark web, referindo terem atacado a empresa, e de onde pode ter sido roubado algum código fonte interno.

A MSI é uma das maiores empresas fabricantes de hardware no mercado, entre os quais se encontram computadores, placas gráficas, motherboards e outros componentes. Os atacantes indicam ter roubado diversa informação interna da empresa, onde se encontram detalhes de clientes da empresa e dos seus sistemas, mas também projetos internos e códigos fonte de diversos serviços da mesma, chaves privadas e detalhes do firmware da BIOS.

O grupo afirma que vai revelar todos os documentos roubados do ataque nos próximos cinco dias, caso a MSI não siga as exigências do ransomware.

Apesar de não existirem detalhes sobre a quantidade de informação roubada, o portal BleepingComputer afirma que os atacantes podem ter roubado mais de 1.5 TB de informação dos sistemas da empresa, e estariam a pedir um pagamento de 4.000.000 dólares para evitar a publicação dos conteúdos.

Se for confirmado, e a informação roubada for efetivamente disponibilizada, esta pode acabar por conter informações sensíveis para a empresa e para os seus produtos, incluindo código que pode ser usado para os mais variados fins – e que certamente a MSI não pretenderia ver divulgado.

Até ao momento a MSI não deixou qualquer comentário relativamente a este ataque.

06/04/2023
Western Digital continua com serviços inacessíveis 2 dias depois do ataque

Os utilizadores da Western Digital My Cloud continuam sem conseguirem aceder aos seus conteúdos na plataforma da empresa, quase dois dias depois de a mesma ter confirmado que foi vítima de um ataque.

A plataforma do My Cloud é utilizada para os utilizadores manterem os seus conteúdos na cloud, supostamente de forma segura e acessível a partir de qualquer equipamento. No entanto, desde que a WD confirmou ter sido vítima de um ataque, onde terceiros terão acedido aos sistemas internos da empresa, o serviço tem permanecido inacessível.

Pelas redes sociais os utilizadores continuam a queixar-se de problemas no acesso à plataforma, sendo impossível de realizar o login nas contas e de aceder aos conteúdos que nestas se encontram.

A página de Estado do Serviço encontra-se, desde o passado dia 3, a indicar que praticamente todos os serviços da empresa estão inacessíveis. A última atualização também é respeitante ao ataque, sendo que não foi fornecida qualquer informação posterior.

Apesar de o comunicado oficial da empresa apenas referir que terceiros terão conseguido obter acesso à rede interna da empresa, e a alguns sistemas da mesma, a longa indisponibilidade das plataformas leva agora a crer que o ataque possa ter sido mais alargado do que o inicialmente apontado.

As suspeitas apontam que existe a possibilidade deste ataque ter sido do formato de ransomware, e que conteúdos da empresa possam ter sido afetados – ou até de clientes, tendo em conta a quantidade de plataformas inacessíveis.

Atualmente a indisponibilidade aplica-se aos serviços My Cloud, My Cloud Home, My Cloud Home Duo, My Cloud OS5, SanDisk ibi, e SanDisk Ixpand Wireless Charger.

Nas redes sociais os utilizadores continuam a demonstrar o seu desagrado, não apenas com o facto que estão bloqueados de acederem às suas contas e conteúdos das mesmas, mas também pela falta de informação por parte da WD.

Até ao momento ainda se desconhece quando os serviços vão voltar a retomar a normalidade. A empresa também não deixou novas informações sobre o ataque, sendo que os últimos relatos apontam apenas para que ainda se encontra a ser feita a investigação do incidente.

05/04/2023
Detido um dos hackers mais perigosos de Espanha

As autoridades em Espanha confirmaram ter detido o que era apelidado de um dos mais perigosos hackers no pais. José Luis Huertas (aka “Alcaseca”, “Mango”, “chimichuri”), de 19 anos, foi durante esta semana detido pelas autoridades espanholas numa mega-operação.

Huertas encontra-se indiciado por centenas de crimes relacionados com ataques a diversas entidades, além de roubar dados sensíveis das mesmas, e colocar os dados disponíveis para venda em portais da dark web.

As autoridades terão começado a investigação ao hacker em finais de Novembro de 2022, tendo identificado o mesmo poucas semanas depois. Na altura, o hacker era considerado uma das maiores ameaças para a segurança nacional em Espanha, tendo em conta o seu elevado perfil de ataques.

Na casa de Huertas foram ainda encontrados diversos dispositivos que seriam usados para a realização dos ataques, bem como para armazenar informação das vítimas. O hacker terá ainda sido responsável por realizar ataques e roubos de dados de departamentos judiciais de Espanha, tendo colocado para venda dados sensíveis e pessoais de milhares de cidadãos espanhóis.

Com cada ataque, Huertas terá também intensificado a sua aparição pública, sendo que no inicio do ano chegou mesmo a realizar uma entrevista para o canal do YouTube Club 113, onde deixou detalhes sobre as suas atividades, e indicou que teria acesso a dados pessoais de 90% dos cidadãos em Espanha.

As autoridades indicaram ter conseguido chegar ao hacker depois de analisarem os pagamentos que foram feitos dos servidores onde o mesmo estaria a disponibilizar para venda informação pessoal de cidadãos em Espanha. O hacker mantinha um site dedicado para a venda em massa de informação sensível, onde eram colocados dados que teriam sido obtidos dos ataques feitos.

Huertas irá continuar detido, sendo que o juiz responsável pelo caso não permitiu a sua libertação sobre o risco elevado de fuga, alegando que o mesmo possui um vasto conjunto de carteiras de criptomoedas que poderiam ser usadas para comprar viagens para fora de Espanha.

05/04/2023
Descoberto um dos ransomwares mais rápidos de sempre

Depois de uma onda de ataques a empresas nos EUA, foi descoberta uma nova variante de ransomware que está a preocupar os investigadores de segurança, sobretudo porque é uma das mais rápidas que existe atualmente.

Conhecida como “Rorschach”, esta variante de ransomware é considerada uma das mais rápidas que existe nas tarefas a que se destina, além de aplicar técnicas únicas para dificultar a identificação.

De acordo com os investigadores da empresa de segurança Check Point, o Rorschach foi identificado depois de os investigadores terem analisado um ataque feito a uma empresa nos EUA. Esta variante de ransomware é única no mercado, sendo que aplica diferentes técnicas não apenas para infetar os sistemas, mas também para encriptar os dados dos mesmos.

O mais impressionante será que a tarefa de encriptação dos dados é feita de forma substancialmente mais rápida que outras variantes de ransomware. Os investigadores consideram mesmo que este é um dos ransomwares mais rápidos atualmente no mercado, e que pode comprometer um sistema de forma silenciosa.

O ransomware parece ser bastante personalizável, o que indica que pode ser uma variante distribuída como ransomware as a service em portais da dark web.

Em parte, a velocidade de encriptação de conteúdos deste ransomware encontra-se na forma como a tarefa é realizada. Invés de encriptar completamente todos os conteúdos do sistema, o malware apenas encripta uma parte dos ficheiros, o suficiente para que estes possam surgir como danificados ao serem abertos, mas ainda assim eficaz em encriptar o conteúdo para o ataque.

Segundo os investigadores, em um sistema com 220,000 ficheiros e um processador recente de seis cores, o ransomware foi capaz de encriptar os conteúdos em menos de 4.5 minutos, um valor consideravelmente mais rápido do que os 7 minutos que demoraria a algo como o LockBit v3.0.

04/04/2023
Aumentam as ciberameaças no setor da Defesa devido ao conflito Rússia-Ucrânia

A S21sec, uma das fornecedoras líderes de cibersegurança na Europa, identificou no seu relatório semestral de referência, Threat Landscape Report, uma intensificação dos ciberataques contra os governos ocidentais aliados da Ucrânia, com o propósito de afetar infraestruturas críticas associadas a setores como: militar, logístico ou governamental. Neste sentido, o Conselho da União Europeia publicou um aviso dos riscos de ciberataques relacionados com a guerra da Ucrânia aos países europeus.

A empresa, que analisou a evolução mundial do cibercrime no decorrer do segundo semestre de 2022, destacou as ciberameaças como um dos principais perigos para os organismos estatais de Defesa. Segundo o documento, o Serviço de Segurança da Ucrânia apontou que os ciberataques dirigidos contra o território ucraniano triplicaram em 2022 em comparação com anos anteriores, uma situação que se alastra a governos dos países ocidentais aliados da Ucrânia, que também se viram afetados devido à intensificação dos ciberataques.

Com base no relatório da S21sec, e de acordo com a Microsoft, os serviços de inteligência russos mostraram esforços de intrusão nas redes de 42 países diferentes com 128 alvos de ataque específicos. A S21sec reúne no seu relatório os principais grupos que ameaçam o setor da Defesa, entre os quais se destacam os grupos APT (Advanced Persistent Threats), que levaram a cabo ciberataques avançados contra alvos militares e de defesa com o objetivo de identificar as vulnerabilidades dos organismos estatais, exfiltrar informações sensíveis e tentar provocar dano às infraestruturas de suporte dessas organizações.

“A maioria dos ataques tem como objetivo obter informação sensível dos Estados que têm um papel importante na NATO, com a finalidade de os destabilizar, pelo que é fundamental que todas as agências governamentais reforcem a sua operação de segurança tendo em vista o prolongamento do conflito cada vez mais cibernético entre a Rússia e a Ucrânia”, afirma Hugo Nunes, responsável da equipa de Intelligence da S21sec em Portugal.

Grupos organizados, hacktivistas e ATPs: as ameaças ao setor da Defesa

Sobre os grupos criminosos organizados, entre os quais se encontram os grupos que aplicam ransomware, a empresa registou neste relatório um total de 44 famílias de ransomware que afetam todo o tipo de setores. Dentro desta tipologia de ciberataques a S21sec localizou alguns grupos com uma maior atividade contra a indústria da Defesa, como: LockBit 3.0, BlackCat (ALPHV) e Black Basta.

O panorama dos grupos hacktivistas alterou-se desde o início da guerra da Ucrânia, com a participação dos chamados coletivos pró-russos e pró-ucranianos. A S21sec destaca neste relatório os grupos que se converteram nas principais ameaças contra empresas ou organizações do setor da Defesa, como é o caso do grupo Adrastea, que atacou uma empresa europeia de fabrico de mísseis.

Por outro lado, os grupos APT, que contam com uma alta capacidade de atuação e infeção, impactaram algumas organizações de Estados pertencentes à NATO. O estudo da S21sec assegura que este tipo de atores realizou ações de ciberespionagem contra entidades do setor da Defesa da União Europeia. Para além disso, assinala que estas ações são patrocinadas por Estados com apoio dos seus serviços de inteligência.

03/04/2023
Western Digital confirma ter sido alvo de ataque. My Cloud inacessível

A Western Digital confirmou ter sido alvo de um ataque, onde terceiros poderão ter acedido à rede interna da empresa. De acordo com o comunicado da mesma, o ataque terá ocorrido no dia 26 de Março, e afetou vários sistemas associados com esta.

A investigação do incidente ainda se encontra a decorrer, mas a WD afirma que aplicou as medidas de segurança necessárias assim que foi identificado o acesso de terceiros aos sistemas internos da mesma.

Tendo em conta o que se conhece até ao momento, acredita-se que os atacantes terão obtido acesso a alguns dados internos da empresa, mas ainda se desconhece se destes dados poderão encontrar-se detalhes associados aos clientes.

Ao mesmo tempo que o comunicado foi revelado, a empresa também terá colocado a plataforma do My Cloud inacessível. Vários utilizadores confirmam que a plataforma se encontra atualmente inacessível, com a WD a confirmar que estes se encontram relacionados com o ataque. No entanto, a inacessibilidade tem vindo a verificar-se desde praticamente o final de sexta-feira da semana passada.

Segundo o comunicado, algumas das operações e serviços regulares da empresa devem ser afetados enquanto se encontra a analisar a situação, e durante o período em que estejam a ser aplicadas as devidas correções.

Os utilizadores que tentam aceder aos serviços do My Cloud devem verificar diferentes erros no processo. A página de estado do serviço da plataforma indica a existência de problemas em praticamente todos os produtos que são fornecidos pela empresa.

Espera-se que a WD venha a revelar mais detalhes sobre o incidente durante o dia de hoje.

03/04/2023
Malware para Windows encontra-se a explorar falha com uma década de existência

Um bug existente no Windows com mais de dez anos encontra-se agora a ser ativamente explorado para ataques, aproveitando o facto que ainda existe um elevado número de sistemas ativos que não contam com a correção aplicada ao mesmo.

A vulnerabilidade pode permitir que os atacantes modifiquem ficheiros do Windows sem que estes percam a assinatura original – e portanto, seja consideravelmente mais difícil de identificar conteúdos maliciosamente criados.

As assinaturas digitais de ficheiros são usadas para identificar os conteúdos legítimos do sistema, sendo que, por norma, quando um ficheiro é modificado apenas a entidade legitima pode assinar novamente o mesmo. Alterar um ficheiro maliciosamente deveria levar à perda de assinatura.

No entanto, explorando este bug, os ficheiros podem ser modificados sem que a assinatura seja perdida, levando a conteúdos maliciosos poderem chegar aos ficheiros de forma indetetável. De acordo com o portal Bleeping Computer, este é um bug conhecido do Windows faz mais de dez anos, mas que não está aplicado nem mesmo nas versões mais recentes do sistema.

Segundo os investigadores, acredita-se que o bug terá sido explorado no recente ataque da entidade 3CX. Os atacantes terão conseguido integrar código malicioso em alguns dos ficheiros do cliente de VOIP, sem que a assinatura dos mesmos fosse comprometida.

Os utilizadores podem aplicar a correção nos seus sistemas usando o ficheiro de registo disponível neste link. Ao extrair o mesmo, bastará carregar duas vezes sobre o mesmo (dependendo de possuir o Windows 32 ou 64 bits), e os conteúdos devem ser automaticamente adicionados no registo do Windows. O reinício do sistema é requerido no final. De notar que a medida deve ser aplicada no Windows 10 e no Windows 11.

O mais interessante é que a falha foi efetivamente corrigida em 2013, mas os utilizadores necessitavam de aplicar a mesma manualmente nos seus sistemas, através da modificação de entradas do registo do Windows.

A Microsoft não terá aplicado esta correção de imediato para os seus sistemas porque se acreditava que a mesma poderia ter impacto em alguns instaladores do Windows, bem como funcionalidades existentes no mesmo.

03/04/2023
Grupos de hackers enganam empresas com falsos ataques de ransomware

Ataques de ransomware podem ter graves consequências para as empresas, não apenas sobre o potencial de roubo de dados, mas também na reputação da empresa. E agora existem alguns grupos de hackers criados apenas com o propósito de realizar ransomware sobre a reputação das empresas.

Estes grupos alegam ter realizado ataques de ransomware sobre uma determinada empresa, e onde foram roubados dados sensíveis, apenas para levar as mesmas a acreditarem no caso e a realizarem o pagamento.

Segundo revela o portal BleepingComputer, o grupo em questão atua sobre o nome de “Midnight”, e terá começado as suas atividades em 16 de Março. O mesmo não leva a cabo qualquer ataque de ransomware, mas alega ter dados sensíveis sobre as empresas, e que vai divulgar os mesmos caso o pagamento não seja realizado.

Em alguns casos, estes grupos alegam ser de outros grupos reconhecidos de ransomware, para darem mais legitimidade. A maioria das notificações são deixadas via email, com ameaças sobre o potencial de roubo de dados – que não ocorreram na realidade.

Além de alegarem terem realizado o roubo de dados sensíveis das empresas, este grupo também ameaça com a realização de ataques DDoS contra as entidades caso os pagamentos não sejam realizados. Em alguns casos estes ataques são realmente realizados, mas ocorrem com menor impacto do que o verificado no roubo de dados diretamente de um ataque ransomware.

Até ao momento desconhece-se o número de vitimas que foram alvo deste género de ataques, mas acredita-se que pode ser uma tendência a aumentar nos próximos tempos, e que pode levar algumas empresas a acreditarem terem sido alvo de ataques quando, na realidade, não o foram.

É importante relembrar também que este género de esquemas não é propriamente novo. Existem casos reportados de falsos ataques de ransomware faz anos, que muitas vezes pretendem ser exatamente dedicados a enganar as empresas fazendo-as acreditar que foram alvo de ataques.

01/04/2023
OneNote vai começar a bloquear extensões perigosas

Um esquema que tinha vindo a ganhar bastante popularidade nos últimos tempos explorava uma falha do Microsoft OneNote, e começou a ser mais usado depois de a Microsoft ter bloqueado as macros de ficheiros do Office – um dos meios mais usuais de realizar ataques.

Agora a empresa encontra-se a aplicar algumas medidas que, caso corra bem, podem ajudar os utilizadores a evitar ataques usando ficheiros do OneNote. De acordo com a empresa, o OneNote vai começar a bloquear a execução de determinados ficheiros, conhecidos por serem usados como distribuição de malware.

O ataque ocorre quando os atacantes enviam um ficheiro do OneDrive, criado especificamente para ocultar alguns conteúdos maliciosos como parte do design do mesmo – o utilizador pode, por exemplo, estar a pensar que se encontra a carregar num botão quando está na realidade a carregar em ficheiros de script ou outros.

Esses ficheiros são anexados dentro dos conteúdos do OneDrive, o que permite levar a cabo o ataque. No entanto, a Microsoft confirmou recentemente que vai começar a bloquear algumas extensões de ficheiros de serem colocadas em documentos do programa.

Da lista fazem parte as extensões: .ade, .adp, .app, .application, .appref-ms, .asp, .aspx, .asx, .bas, .bat, .bgi, .cab, .cer, .chm, .cmd, .cnt, .com, .cpl, .crt, .csh, .der, .diagcab, .exe, .fxp, .gadget, .grp, .hlp, .hpj, .hta, .htc, .inf, .ins, .iso, .isp, .its, .jar, .jnlp, .js, .jse, .ksh, .lnk, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mcf, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .msh1, .msh2, .mshxml, .msh1xml, .msh2xml, .msi, .msp, .mst, .msu, .ops, .osd, .pcd, .pif, .pl, .plg, .prf, .prg, .printerexport, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psdm1, .pst, .py, .pyc, .pyo, .pyw, .pyz, .pyzw, .reg, .scf, .scr, .sct, .shb, .shs, .theme, .tmp, .url, .vb, .vbe, .vbp, .vbs, .vhd, .vhdx, .vsmacros, .vsw, .webpnp, .website, .ws, .wsc, .wsf, .wsh, .xbap, .xll, .xnk

Anteriormente, os utilizadores que tentassem abrir as extensões recebiam uma mensagem de alerta a indicar da possibilidade de se tratar de conteúdo malicioso, mas uma grande maioria ignorava a mesma e ainda continuava com o processo. Agora essa medida vai ser totalmente bloqueada.

A nova atualização com este bloqueio de extensões deve começar a ser fornecida aos utilizadores entre finais de Abril e inícios de Maio, e deve chegar a todos os locais onde o OneNote se encontre, exceto a versão web, para Windows 10, Mac ou no Android e iOS.

Os administradores do sistema, caso pretendam, podem marcar algumas extensões para ainda serem permitidas – mas isto deve ser feito manualmente e tendo em conta que a permissão pode elevar o risco de ataques, sobretudo em sistemas partilhados ou usados por funcionários da organização.

31/03/2023
Hackers usam cliente VOIP do 3CX para ataques de malware

Uma versão maliciosa do cliente de desktop VOIP associado com a 3CX foi descoberto como estando a atacar várias empresas e indivíduos que fazem uso desta plataforma – a qual é considerada uma das maiores entidades VOIP no mercado, contando com nomes de clientes como a American Express, Coca-Cola, McDonald’s, BMW, Honda, AirFrance, NHS, Toyota, Mercedes-Benz, IKEA, entre outras.

Segundo os investigadores da empresa de segurança CrowdStrike, os atacantes encontram-se focados na distribuição de versões maliciosas do cliente do programa da 3CX para Windows e macOS, afetando os utilizadores que estejam a tentar procurar o mesmo.

Segundo os investigadores, o malware foca-se em instalar diverso software de controlo dos sistemas das vítimas, que pode depois ser usado para ataques diretos ou roubo de informações sensíveis. Tendo em conta os clientes que estão associados com a 3CX, existe o potencial de serem dados em elevada escala.

O ataque começa por descarregar versões legitimas do instalador do cliente da 3CX para o sistema, sendo que as vítimas podem considerar nem estar a usar um instalador malicioso. No entanto, em segundo plano, este também instala versões de ficheiros modificadas, que iniciam uma segunda fase do ataque, e onde existe o potencial de controlo do sistema das vítimas.

Apesar de o instalador do programa não ser malicioso, e ser descarregado diretamente do site da entidade, os restantes conteúdos são, e procedem com as atividades maliciosas no sistema em segundo plano.

Em base, os utilizadores podem pensar estar a usar um instalador legítimo do programa, quando, na verdade, se encontram a usar uma variante maliciosa, que acaba por instalar o programa e outros ficheiros que vão infetar o sistema.

O malware possui a capacidade de recolher informação sensível dos sistemas das vítimas, incluindo os detalhes do navegador, como cookies, que podem ser usados para replicar o acesso de outros sistemas.

Apesar de se desconhecer exatamente quando o ataque terá começado, alguns clientes da 3CX nos fóruns de suporte da empresa indicam que começaram a receber mensagens de notificação dos seus clientes de segurança faz cerca de uma semana – sobre acessos a sites potencialmente maliciosos em nome da 3CX.

Tendo em conta a lista de clientes que recorrem ao cliente VOIP, existe o potencial de que informação sensível de clientes possa ser comprometida no processo.

30/03/2023
Bug no token SafeMoon leva a roubo de 8.9 milhões de dólares

O token SafeMoon confirmou que, devido a um bug, a pool de liquidação foi afetada por uma perda de quase 8.9 milhões de dólares depois de um atacante ter explorado a falha para roubar a quantia.

No mercado de DeFi, as pool de liquidação são grandes depósitos de fundos, em outros ativos digitais, que facilitam a realização de trading no mercado, e que normalmente são usadas para permitir a troca de fundos sem que seja necessário realizar empréstimos a entidades externas. Estas “pools” são muitas vezes financiadas pelos próprios utilizadores que compram o token.

A SafeMoon confirmou, durante o dia de hoje, ter sido alvo de um ataque onde terão sido roubados 8.9 milhões de dólares da pool, depois de um atacante ter explorado um bug sobre o sistema. A falha terá afetado a pool SFM:BNB, e terá ocorrido no dia 28 de Março.

John Karony, CEO da instituição responsável pela SafeMoon, afirma que a falha foi identificada e corrigida, para evitar novas explorações, mas que infelizmente as perdas já foram registadas. O executivo deixa ainda claro que os fundos dos investidores estão seguros e que as restantes pools da entidade não foram afetadas.

É importante notar que este token tem estado envolvido em alguns escândalos associados com a sua gestão e criação, que deixaram também alguns investidores receosos sobre possíveis perdas ou esquemas associados.

29/03/2023
Google revela campanhas de spyware a explorarem falhas no Android e iOS

Os investigadores da divisão de segurança da Google revelaram ter descoberto um conjunto de novas vulnerabilidades, que afetam o Android, iOS e Chrome, que podem ser exploradas para instalação de spyware nos dispositivos.

Os investigadores da Threat Analysis Group (TAG) revelaram recentemente uma nova falha zero-day, que afeta os sistemas Android e iOS, bem como o navegador Chrome, e que pode ser usada para a instalação de spyware nos dispositivos associados. As falhas foram classificadas como zero-day, tendo em conta que se acredita encontrarem a ser usadas para ataques em larga escala.

Os investigadores indicam que começaram a verificar indícios da falha estar a ser explorada desde Novembro de 2022, mas esta poderia encontrar-se faz bastante mais tempo antes disso. O esquema começa quando as vítimas recebem links do bit.ly, encurtados, e que redirecionam as mesmas para sites cuidadosamente criados para explorar as falhas. Ao acederem, os utilizadores poderiam encontrar-se a instalar malware nos seus dispositivos sem saberem.

A propagação do ataque começa sobretudo por mensagens SMS, enviadas para as potenciais vítimas. O método de ataque varia conforme o dispositivo, sendo que em equipamentos da Apple é instalada uma aplicação maliciosa via ficheiros IPA, que se oculta no sistema.

Os investigadores da Google revelam ainda ter descoberto uma segunda campanha, focada desta vez para o navegador Samsung Internet, que terá começado a surgir em massa desde Dezembro de 2022. A mesma foca-se em vítimas que estejam sobre dispositivos Android e, mais concretamente, em dispositivos da Samsung onde o navegador padrão da mesma esteja a ser usado.

Apesar de serem consideradas campanhas diferentes entre si, estas focavam-se sobretudo em atacar dispositivos de personalidades reconhecidas, que seriam depois usados para espionagem. As campanhas eram distribuídas por várias redes em mais de 1000 domínios diferentes, as quais também continham muitas das páginas web que eram usadas para o ataque.

29/03/2023
Falha de segurança afeta protocolo das redes sem fios

As redes sem fios como as conhecemos podem estar abertas a um novo formato de ataque, que afeta diretamente a raiz de como este protocolo de comunicações se encontra criado.

Um grupo de investigadores revelou ter recentemente descoberto uma falha sobre o design do protocolo IEEE 802.11, usado em redes wi-fi tradicionais. Esta falha pode permitir que atacantes possam enganar os routers para fornecerem pacotes com os dados em texto plano – sem encriptação.

As redes Wi-fi funcionam sobre uma espécie de pacotes, que possuem diversa informação associada com a rede, os dispositivos e outros detalhes, além dos dados que estão a ser transmitidos. Estes pacotes são alinhados de forma ordenada, para chegarem aos dispositivos pelas redes sem fios e evitando ao máximo colisões com outros pacotes – de outras redes sem fios, dispositivos, etc.

No entanto, os investigadores Domien Schepers e Aanjhan Ranganathan, da Universidade de Northeastern, juntamente com o investigador Mathy Vanhoef da DistriNet KU Leuven, revelaram terem recentemente descoberto uma falha sobre a forma como estes pacotes são distribuídos na rede, que essencialmente será uma falha sobre como o protocolo de comunicações sem fios se encontra criado.

O protocolo IEEE 802.11 possui funcionalidades de poupança de energia, que ajudam os dispositivos a poupar energia durante o uso. É exatamente através destas funcionalidades de poupança de energia que a falha se encontra, e onde um atacante, com o conhecimento certo, pode aproveitar-se da falha para roubar pacotes da rede, que são fornecidos sem encriptação ou com uma chave de encriptação que o próprio atacante pode controlar.

Uma das primeiras empresas a reconhecer oficialmente a falha foi a Cisco, que apesar de confirmar a mesma, também indica que a capacidade de este ser usado para afetar a segurança de uma rede sem fios é bastante pequena.

Segundo a empresa, a informação a que o atacante poderá ter acesso explorando esta falha será bastante reduzida, e não o suficiente para que seja possível explorar com sucesso a segurança de uma rede sem fios.

Até ao momento, desconhecem-se casos onde esta falha tenha sido usada para ataques ou tenha sido explorada de todo.

28/03/2023
Câmara de Odemira foi alvo de ataque informático

A Câmara de Odemira foi o mais recente alvo de um ataque informático, tendo confirmado a partir do seu website o incidente, no que aparenta tratar-se de um ataque de ransomware.

De acordo com o comunicado, o ataque foi realizado no dia 25 de Março, sendo que deverá comprometer o normal funcionamento dos serviços municipais durante os próximos dias. A entidade terá ainda informado os Centro Nacional de Cibersegurança, bem como foi avançada uma queixa-crime junto da PJ para o incidente.

O site da instituição aparenta encontrar-se ativo e sem falhas registadas, embora a entidade afirme que vários sistemas internos terão sido comprometidos, o que poderá comprometer também o funcionamento de algumas plataformas durante os próximos dias.

É ainda referido que a investigação do incidente ainda se encontra a decorrer, e espera-se que mais informações sejam conhecidas durante os próximos dias.

Até ao momento não existe nenhum grupo de ransomware conhecido que tenha reivindicado o ataque. Apesar de não existir a confirmação de que tenha sido um ataque ransomware, tendo em conta o comunicado e a extensão dos dados, tudo aponta para que se trata de uma variantes deste género.

Não se conhece também, para já, se algum dado sensível ou dados pessoais dos sistemas da instituição poderão ter sido comprometidos, como é regular de acontecer neste género de ataques.

27/03/2023
Google alerta sobre email de falsa atualização de dados das contas

Esquemas envolvendo o nome da Google tendem a acontecer praticamente todos os dias, mas um em particular encontra-se a ganhar bastante destaque, tanto que a própria Google teve de começar a deixar o alerta para o mesmo.

Recentemente a Google alertou para um novo esquema de phishing, que se encontra a usar o nome da empresa para tentar enganar as vitimas. O esquema é bastante similar ao que já existia do passado, em que as potenciais vítimas recebem uma mensagem de spam, alegando que necessitam de atualizar alguma informação das suas contas Google ou podem perder o acesso das mesmas.

Estas mensagens são acompanhadas com links para acesso ao local onde, alegadamente, se deve realizar a atualização dos dados. No entanto, se as vitimas acederem, estão efetivamente a colocar-se em risco de perderem as suas contas e detalhes das mesmas.

O link pretende no email aparenta ser focado para “accounts.google.com”, que é a plataforma legitima da Google para gerir as suas contas. No entanto, acaba por levar os utilizadores para um site externo, em controlo dos atacantes.

A Google recomenda que os utilizadores verifiquem sempre o remetente das mensagens de email – embora estes possam ser adulterados – mas acima de tudo, que verifiquem eventuais links que se esteja a aceder, de forma a garantir que são os corretos.

Nem sempre isso pode ser simples, sobretudo para utilizadores que não possuam o conhecimento técnico para tal. Portanto, a melhor forma de evitar o ataque será acedendo diretamente e manualmente aos locais onde se pode gerir a conta da Google, verificando se existe alguma informação da empresa.

Mas se mesmo assim estiver na dúvida, não se esqueça que no TugaTech temos uma comunidade ativa pronta a responder e ajudar. Use os fóruns para colocar a sua questão e receber mais ajuda da comunidade, que certamente poderão evitar que a sua conta seja roubada caso se trate efetivamente de um email de phishing.

26/03/2023
Pens USB estão a ser armadilhadas contra jornalistas

De tempos a tempos surgem formas engenhosas de atacantes poderem infetar sistemas das mais variadas empresas, e uma das que parece ter vindo a afetar algumas instituições de notícias nos últimos tempos encontra-se a nível de pens USB.

Existem vários relatos de jornalistas que, nas últimas semanas, se encontram a ser alvos de um novo ataque, em que os mesmos recebem algum género de pen USB com supostas informações importantes ou outros detalhes que possam ser de relevo para o que os jornalistas trabalhem.

No entanto, estes dispositivos são na realidade a origem do ataque. E não será apenas um ataque a nível de software.

Estes dispositivos encontram-se, na verdade, armadilhados como uma pequena “bomba”, e quando se ligam via USB, apresentam, o sério risco de simplesmente explodirem. Algumas entidades jornalísticas no Equador encontram-se a ser alvo deste género de ataques, onde já ocorreram ferimentos sérios e danos materiais no processo.

Este género de ataque e prática é consideravelmente grave, não apenas pelos danos que pode causar, mas pelos riscos envolvidos de quem se encontre perto do dispositivo no momento em que este é ligado.

Este género de ataques via pens USB não são recentes, mas até agora focavam-se sobretudo em distribuir malware. Passar para ataques físicos pode ter consequências mais graves ou, eventualmente, fatais para quem se encontre próximo dos dispositivos.

Como sempre, a recomendação será sempre a de se evitar ligar pens desconhecidas nos dispositivos, nem mesmo com a ideia de que o sistema se encontra isolado e seguro contra ataques de malware – já que o perigo pode nem estar no software em si.

26/03/2023
Microsoft corrige falha na Ferramenta de Recorte do Windows

A Microsoft encontra-se a disponibilizar um conjunto de atualizações de emergência para o Windows, no sentido de resolver uma falha conhecida como “aCropalypse”. Esta falha afeta o editor de fotos do Windows, e mais concretamente, a Ferramenta de Recorte do sistema.

Quando os utilizadores usam esta funcionalidade do Windows para capturarem conteúdos do ecrã, e editam diretamente a foto, a aplicação de edição não elimina os dados das áreas recortadas – deixando os mesmo na imagem original. Isso permite que esses conteúdos sejam revelados, potencialmente expondo dados sensíveis.

A Microsoft começou a testar a correção da falha no inicio desta semana, mas apenas agora a versão final da Ferramenta de Recorte do Windows se encontra a ser fornecida, sendo que a mais recente versão conta já com a atualização para este bug.

Sobre a nova versão, as imagens recortadas eliminam efetivamente os dados que sejam recortados, invés de simplesmente os “ocultarem”, evitando o problema. No entanto, isso não impede que conteúdos capturados anteriormente estejam vulneráveis ao ataque.

Os utilizadores que usem esta ferramenta são aconselhados a atualizarem para a versão mais recente, a partir da Microsoft Store. Esta ainda pode demorar algumas horas a chegar a todos os sistemas, portanto caso não a verifique de imediato, tente novamente mais tarde.

25/03/2023
Sons inaudíveis podem ser usados para ataques a assistentes de voz

A maioria dos ataques são realizados de forma direta aos dispositivos, seja por via de malware, acesso direto ou outros similares. No entanto, existe uma forma de ataque que pode ser igualmente prejudicial e é praticamente invisível – ou neste caso, inaudível.

Um grupo de investigadores desenvolveram o que ficou conhecido como “Near-Ultrasound Inaudible Trojan” (NUIT). Basicamente, trata-se de um trojan que pode lançar ataques silenciosos através de ondas de som. Este sistema tira proveito dos sistemas de assistentes pessoais e comandos por voz para realizar possíveis ataques aos utilizadores.

Um grupo de investigadores da Universidade do Texas e do Colorado demonstraram como é possível usar ondas de som inaudíveis para os utilizadores, mas que podem realizar ações em assistentes como a Siri, Google Assistente e Alexa.

Com este, é possível enviar comandos de voz através de ondas sonoras que os utilizadores não podem ouvir, abrindo a possibilidade para ataques e roubos de dados.

O principio do NUIT consiste no facto que os microfones presentes em dispositivos da Internet das Coisas, dispositivos inteligentes e smartphones são capazes de capturar sons que o ouvido humano simplesmente não consegue.

Este género de ataques pode ser implementado de forma relativamente simples. Bastaria um site contendo musica de fundo, onde o utilizador, ao abrir o mesmo, poderia ativar comandos para os assistentes próximos.

Isto será ainda mais grave para dispositivos que estejam interligados para realizar ações mais complexas. Como exemplo, sistemas de assistente que tenham controlo sobre aspetos da casa, onde comandos de som inaudível podem ser enviados para abrir uma porta ou janela, por exemplo.

Isto abre o potencial de riscos para os utilizadores, que podem ser alvo de ataques ou terem os seus dispositivos alvo de abusos para os mais variados fins. Existem duas formas sob como o ataque pode ser realizado.

A primeira será usando uma aplicação maliciosa, que de forma silenciosa pode ficar a emitir comandos de som inaudíveis para o dispositivos em segundo plano. Este som pode ser reproduzido diretamente pelo altifalante do dispositivo, e o mesmo reconhece também o som como um comando de voz.

O segundo modo de ataque será usando dispositivos externos, como colunas inteligentes, para enviar os comandos diretamente para outros dispositivos. Este método envolve usar um segundo dispositivo a emitir os sons, invés de ser de origem no próprio dispositivo.

Os investigadores demonstraram o funcionamento deste género de ataques através de comandos que são vulgarmente usados pelos assistentes para controlo do lar e similares. No entanto os mesmos podem também ser usados para roubos de dados dos dispositivos – por exemplo, pode-se enviar um comando para que o assistente abra um determinado site malicioso ou envie conteúdos sensíveis para um contacto especifico.

Os investigadores afirmam que, de 17 dispositivos testados, todos estariam vulneráveis a este género de ataques. O único que ainda demonstrou alguns esforços para conter o mesmo terá sido a Siri, que em alguns modelos possui uma assinatura de voz do utilizador, e requer que os atacantes consigam emular a voz dos utilizadores dos dispositivos para realizarem as tarefas.

Os detalhes deste estudo serão apresentados durante o evento USENIX Security Symposium, previsto para os dias 9 e 11 de Agosto de 2023 nos EUA.

25/03/2023
Linus Tech Tips recupera acesso do YouTube e explica incidente

Durante o dia de ontem, o canal do reconhecido youtuber de tecnologia Linus Sebastian foi alvo de um ataque. O Linus Tech Tips começou subitamente a transmitir conteúdos associados com esquemas de criptomoedas, depois de ter sido alvo de um ataque.

Eventualmente, o canal foi bloqueado pela Google, mas não sem antes ter estado várias horas a transmitir conteúdos, e até de outros canais do grupo terem sido também afetados. Agora conhecem-se mais detalhes sobre como o ataque foi realizado, e deixa-se também o alerta para outros criadores de conteúdos no mesmo género.

Agora que o canal se encontra novamente disponível, um novo vídeo veio confirmar os detalhes sobre o que realmente aconteceu. De acordo com Linus, o ataque terá ocorrido sobre o que é conhecido como um roubo de sessão, onde os atacantes nem precisam de conhecer os detalhes de acesso às contas ou de usar a Autenticação em Duas etapas para roubarem uma conta da plataforma.

Este ataque ocorre quando os dados do navegador são roubados, e exportados para um sistema em controlo das vítimas. Isto inclui dados como os cookies que o utilizador tenha, e onde se encontra a sessão ativa nas diferentes plataformas.

Uma grande parte dos sites, para evitar que os utilizadores tenham de andar constantemente a realizar o login nas contas, aplicam cookies no navegador para a sessão – que podem ter diferentes períodos de “validade”. Dessa forma, o navegador sabe que o utilizador está ativo, e não pede a senha.

No entanto, o problema deste método encontra-se no facto que, caso esses cookies e dados do navegador sejam roubados, os atacantes podem obter praticamente acesso completo a todas as contas, sem que tenham propriamente de roubar as mesmas ou as senhas.

Segundo Linus, este terá sido o ponto de entrada do ataque, onde um dos funcionários do grupo terá descarregado um ficheiro malicioso, que terá sido enviado sobre uma campanha de publicidade, e que quando executado, terá roubado dados de acesso à plataforma.

Isto permitiu que os atacantes criassem uma cópia praticamente idêntica do navegador que se encontrava nos escritórios da entidade, e que permitia o acesso a redes sociais como o YouTube.

Sebastian afirma que necessitam de ser implementadas medidas mais restritas de segurança dentro da empresa, e que deve ser feito um melhor treino dos funcionários. No entanto, uma parte das culpas foram também deixadas para a Google, em parte devido à forma como algumas funcionalidades da plataforma podem ser aproveitadas para exploração por este ataque.

Ao mesmo tempo, apesar de o canal do mesmo ter um contacto direto com o YouTube, este afirma que outros criadores mais pequenos podem não ter o mesmo tratamento, e que muitas das contas afetadas por este género de ataques podem permanecer inacessíveis durante meses, sem que os seus criadores possam ter algo a fazer.

O vídeo sobre o caso pode ser verificado em seguida.

24/03/2023
Cidade de Toronto vítima de ataque de ransomware

A cidade de Toronto, nos EUA, confirmou ter sido vítima de um ataque de ransomware, onde dados sensíveis podem ter sido afetados.

De acordo com as autoridades, o ataque terá ocorrido através da exploração de uma falha sobre o sistema de transferência de ficheiros seguros do GoAnywhere, que se encontra recentemente a ser o alvo de vários ataques e a levar várias entidades a serem afetadas.

O ataque foi confirmado pelo grupo de ransomware Clop, que se encontra na lista dos que mais tem vindo a usar as falhas deste protocolo para ataques.

O grupo afirma ter atacado o site principal da cidade, e acredita-se que sistemas internos de várias instituições podem ter sido afetados. Apesar de os detalhes sobre conteúdos potencialmente acedidos não ter sido revelado, as autoridades confirmam o ataque e que se encontram a analisar o mesmo.

Neste momento ainda se desconhece se dados de cidadãos terão sido afetados, mas a entidade afirma que os cidadãos serão prontamente notificados caso tal tenha acontecido.

A ter em conta que o grupo de ransomware Clop tem vindo a aumentar consideravelmente a lista de vítimas nos últimos dias, e acredita-se que o grupo esteja a explorar uma falha recentemente descoberta sobre o software GoAnywhere, que permite a transferência segura de ficheiros dentro de organizações.

24/03/2023
Canal do YouTube de Linus Tech Tips foi alvo de ataque

Qualquer entusiasta de tecnologia deve reconhecer o canal de Linus Tech Tips no YouTube. Este é um dos maiores canais de tecnologia na plataforma, contando com mais de 15 milhões de subscritos na mesma.

Durante o dia de hoje, o canal aparenta ter sido alvo de um ataque, onde começou a transmitir conteúdos associados a esquemas de criptomoedas e sobre o nome da Tesla. Desde então, o canal tem vindo a sofrer mudanças, tendo começado a apresentar o ícone da Tesla como sendo a imagem de perfil principal, em conjunto com vários vídeos, que foram removidos da plataforma ou modificados para conterem associações com o esquema.

Além do canal principal, também os sub-canais “Tech Quickie” e “Tech Linked” foram alvo do ataque, com o mesmo género de transmissões em direto a ser enviado para os mesmos e diversos conteúdos modificados.

A partir dos fóruns, a equipa de moderação confirmou o ataque, indicando que ainda não existe uma previsão de quando os conteúdos voltarão a ficar disponíveis. Neste momento, o canal principal encontra-se inacessível ou foi renomeado para outro nome.

Neste momento ainda se desconhece quando os conteúdos voltarão à normalidade. Linus indicou numa mensagem que se encontra a trabalhar diretamente com o YouTube para resolver a situação.

23/03/2023
Kaspersky lança ferramenta para descodificar Conti ransomware

No final de Fevereiro de 2023, os especialistas da Kaspersky descobriram uma nova série de dados divulgados publicados em fóruns. Após analisar os dados, que continham 258 chaves privadas, código fonte e alguns descodificadores pré-compilados, a Kaspersky lançou uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware.

O Conti apareceu em finais de 2019 e esteve muito ativo ao longo de 2020, representando mais de 13% de todas as vítimas de ransomware durante este período. Contudo, há um ano, uma vez que o código fonte foi divulgado, várias modificações do Conti ransomware foram criados por vários grupos de cibercriminosos e utilizados nos seus ataques.

A variante malware, cujas chaves foram divulgadas, tinha sido descoberta por especialistas da Kaspersky em Dezembro de 2022. Esta variante foi utilizada em múltiplos ataques contra empresas e instituições estatais.

As chaves privadas divulgadas estão localizadas em 257 pastas (apenas uma destas pastas contém duas chaves). Algumas delas contêm descodificadores previamente gerados e vários ficheiros comuns: documentos, fotos, etc. Presumivelmente, estes últimos são ficheiros de teste – alguns ficheiros que a vítima envia aos scammers para se certificar de que os ficheiros podem ser decifrados.

Trinta e quatro destas pastas denominaram explicitamente empresas e agências governamentais. Assumindo que uma pasta corresponde a uma vítima, e que os descodificadores foram gerados para as vítimas que pagaram o resgate, pode sugerir-se que 14 das 257 vítimas pagaram o resgate.

Após análise dos dados, os especialistas lançaram uma nova versão do descodificador público para ajudar as vítimas desta modificação do Conti ransomware. O código de descodificação e todas as 258 chaves foram adicionados à última construção do utilizador RakhniDecryptor 1.40.0.00 da Kaspersky. Além disso, a ferramenta de descodificação foi adicionada ao site “No Ransom” da Kaspersky (https://noransom.kaspersky.com).

“Durante muitos anos consecutivos, o ransomware tem permanecido uma ferramenta importante utilizada pelos cibercrooks. No entanto, porque estudámos os TTPs de vários grupos de ransomware e descobrimos que muitos deles operam de forma semelhante, a prevenção de ataques torna-se mais fácil. A ferramenta de descodificação contra esta nova modificação já está disponível na nossa página web “No Ransom”. Contudo, gostaríamos de salientar que a melhor estratégia é reforçar as defesas e deter os atacantes nas fases iniciais da sua intrusão, impedindo a implementação de resgates e minimizando as consequências do ataque”, diz Fedor Sinitsyn, principal analista de malware na Kaspersky.

23/03/2023
Telepizza é alvo de ataque de ransomware

A Telepizza aparenta ter sido o mais recente alvo de um ataque informático, onde os sistemas internos da empresa podem ter sido comprometidos.

O ataque foi confirmado pelo grupo de ransomware Lockbit, o que indica que existe a possibilidade de conteúdos associados com a empresa terem sido roubados e encriptados. Neste momento ainda não existe a confirmação dos conteúdos potencialmente comprometidos.

No entanto, o site da empresa encontra-se atualmente inacessível, apresentando uma mensagem de erro. A aplicação para dispositivos móveis também aparenta encontrar-se com falhas no carregamento de conteúdos.

De notar que a empresa aceita encomendas a partir dos seus canais digitais, onde são usados dados dos clientes para a entrega. Desconhece-se neste momento se os dados destes meios se encontram comprometidos, no entanto, o grupo responsável pelo ataque encontra-se a indicar que irá disponibilizar os dados publicamente dentro de 18 dias.

A marca Telepizza surgiu em Espanha em 1987 e atualmente é líder de mercado no serviço de entrega ao domicílio de comida pronta-a-comer e conta com cerca de 1.000 estabelecimentos espalhados por todo o mundo, destacando-se em Espanha, Portugal e Chile.

21/03/2023
Ferrari foi alvo de ataque de ransomware

A Ferrari confirmou ter sido vítima de um ataque de ransomware, onde existe a possibilidade de dados de clientes da empresa terem sido comprometidos. Numa comunicação enviada aos clientes, a empresa confirma os detalhes do ataque.

Segundo a mensagem de email enviada pela empresa, esta confirma ter sido vítima de um ataque, onde terão sido realizados acessos não autorizados a sistemas internos da empresa. Entre os dados potencialmente comprometidos encontram-se nomes dos clientes, emails, moradas e números de telefone.

A empresa não confirmou se detalhes de pagamento terão sido comprometidos no ataque, embora se acredite que estes se encontrem sobre um sistema diferente, não tendo sido afetado. Foi ainda indicado que a empresa terá sido contactada pelos atacantes, para realizar o resgate dos conteúdos, o que indica que a empresa foi alvo de ransomware.

Esta indica ainda que não terá realizado qualquer pagamento, considerando que tal seria um formato de ajuda para os atacantes continuarem a realizar este género de atividades.

É ainda referido que se encontram a ser feitas as investigações deste ataque, e que mais detalhes devem ser revelados no futuro. No entanto, a Ferrari garante que o mesmo não irá afetar o funcionamento da empresa nem dos diversos serviços.

21/03/2023
Email de press do Twitter agora responde com o que Musk pensa da imprensa

Desde que Elon Musk entrou para a direção do Twitter, praticamente todas as suas medidas dentro do Twitter tem vindo a criar alguma controvérsia. E durante este tempo, Musk também deixou claro o quando a imprensa faz passar uma má imagem do mesmo e da sua plataforma.

E parece que Musk decidiu agora demonstrar esse descontentamento de forma mais visível. Faz algum tempo que o Twitter conta com uma conta de email dedicada para os meios de imprensa, em press@twitter.com. No entanto, desde que Musk se encontra na plataforma, esta conta deixou de praticamente responder aos meios de imprensa – em parte porque Musk também despediu uma grande parte das equipas de comunicação externa do Twitter.

No entanto, recentemente parece que a conta voltou a verificar alguma atividade, tanto que Musk decidiu dar um uso à mesma. Os utilizadores que tentarem enviar uma mensagem para a conta de email, agora devem receber automaticamente uma mensagem de retorno automática com o emoji de excremento.

A medida não será de todo inesperada vinda de Elon Musk, ainda mais tendo em conta os planos do mesmo nos últimos meses para o Twitter e o seu ataque constante com os meios de imprensa.

Apesar de parecer divertido receber um email automático com um emoji, a ideia também demonstra algo sobre como o Twitter mudou drasticamente, tornando-se uma plataforma consideravelmente mais fechada e que não revela detalhes sobre as suas tarefas, e muito menos que se encontra aberta a justificar as medidas que aplica – e que, em parte, a grande maioria é realizada sobre as ordens diretas de Elon Musk.

20/03/2023
Malware Emotet altera técnicas para infetar ainda mais utilizadores

Depois de um período de “silêncio”, o malware conhecido como Emotet parece estar a voltar à atividade. E desta vez, o mesmo encontra-se a usar novas técnicas para levar à infeção de ainda mais sistemas.

De acordo com os investigadores, o malware Emotet encontra-se agora a usar o OneNote para se distribuir, explorando uma falha do mesmo para executar os conteúdos maliciosos nos sistemas das vítimas.

Esta nova forma de ataque do malware pretende ser uma alternativa para contornar algumas das restrições aplicadas na execução de macros, um dos meios pelo qual o malware se distribuía de forma regular.

Com a Microsoft a apertar as restrições na execução deste género de conteúdos, o malware agora adaptou-se para explorar outra ferramenta da empresa, seguindo também a tendência que outros malwares no mercado foram realizando. Usando o OneNote, ferramenta que se encontra em vários sistemas Windows, o malware agora pode contornar algumas das restrições e levar mais sistemas a serem infetados.

Na maioria dos casos, os utilizadores recebem um ficheiro do OneNote via email, que indica encontrar-se protegido, e que para o desbloqueio é necessário carregar sobre um botão do ficheiro – onde se iniciar o processo de ataque.

Para dificultar a identificação por parte de software de segurança, este malware distribui-se sobretudo em ficheiros de tamanho anormalmente elevado – com mais de 500 MB – e pode realizar várias atividades maliciosas nos sistemas se executado.

Como sempre, a melhor proteção parte dos próprios utilizadores, que devem ter cuidado com os ficheiros que descarregam e abrem da Internet, sobretudo de fontes desconhecidas ou quando são recebidos via email.

20/03/2023
Nova botnet é capaz de lançar ataques DDoS de 3.3 Tbps

Existe uma nova botnet que se encontra a ser largamente usada para realizar ataques DDoS, e com potencial de causar graves problemas para quem tenha dispositivos vulneráveis.

Apelida de “HinataBot”, esta nova rede botnet foi descoberta pelos investigadores da Akamai, e foca-se para aproveitar falhas na SDK da Realtek, em routers da Huawei e servidores Hadoop YARN. A mesma foca-se nestes alvos, explorando falhas nos mesmos e aproveitando os dispositivos a que se encontram associados para realizar ataques DDoS massivos.

De acordo com os investigadores, a rede encontra-se atualmente em expansão, sendo que as primeiras atividades começaram a ser identificadas em janeiro de 2023. Desde então, o volume de ataques e de alvos para a mesma tem vindo a aumentar, e atualmente, a rede encontra-se capaz de lançar fortes ataques DDoS contra os alvos.

Depois de o malware se instalar nos dispositivos vulneráveis, este permanece silencioso, a aguardar comandos dos servidores de controlo da rede. Quando recebidos, estes iniciam o ataque contra alvos específicos, que sejam ditados pelos atacantes.

Os investigadores estimam que, com o uso total da rede atualmente existente, os atacantes sejam capazes de lançar ataques DDoS na escala dos 3.3 Tbps – e que este valor pode vir a aumentar consideravelmente ao ritmo que a rede também tem vindo a aumentar.

De notar que os investigadores apontam o facto que o HinataBot ainda se encontra em forte desenvolvimento, e como tal, as suas capacidades de infetar mais dispositivos podem vir a evoluir consideravelmente no futuro. Isto pode aumentar ainda mais as capacidades de ataque desta rede.

19/03/2023
Detido alegado administrador do portal da dark web “BreachForums”

As autoridades dos EUA alegam ter detido, em Nova Iorque, o dono do portal BreachForums, um reconhecido fórum de venda de conteúdos roubados em ataques. Conhecido como “Pompompurin”, o mesmo terá sido detido pelas autoridades no decorrer de uma investigação.

Segundo os documentos apresentados em tribunal pelas autoridades, este encontra-se indiciado pela conspiração para a venda de acessos a dispositivos não autorizados, em parte pela forma como este geria o portal do BF.

Durante a detenção, o mesmo terá confirmado com as autoridades chamar-se de Connor Brian Fitzpatrick, e que era efetivamente o administrador do portal BreachForums, conhecido como “Pompompurin”. A detenção foi feita no dia 15 de Março, e desde então a conta do mesmo não foi acedida no portal.

Fitzpatrick terá saído sobre uma fiança de 300.000 dólares, sendo que se encontra ainda impedido de viajar para fora do pais ou de contactar qualquer entidade associadas com as suas atividades. Isto inclui outros administradores do portal e membros do mesmo.

Apesar desta detenção, um dos administradores do site BreachForums afirma que o mesmo vai continuar a operar na normalidade, e que existem planos traçados para qualquer eventualidade, incluindo continuar as atividades no caso de Pompompurin ser detido.

“Pompompurin” era um utilizador bem conhecido do mundo do cibercrime, sendoque ao longo dos anos foi também conhecido por vender e distribuir dados roubados a partir de diferentes meios, nomeadamente do seu portal. Quando o FBI encerrou as atividades do portal RaidForums, “Pompompurin” foi responsável por recriar o mesmo como o “BreachForums”.

Desde então, este portal tem vindo a ser um dos mais usados para a venda e distribuição de materiais roubados em ataques. Ainda durante a semana passada, o portal foi usado para a venda de dados de políticos norte-americanos, que terão sido roubados num ataque feito sobre a entidade D.C Health Link, conhecida por fornecer serviços médicos a altos cargos do governo americano.

18/03/2023
NBA alerta para possível roubo de dados de utilizadores

A NBA (National Basketball Association) encontra-se a notificar alguns dos utilizadores registados sob o seu sistema de newsletter para a possibilidade de informação pessoal ter sido comprometida, possivelmente num recente ataque.

De acordo com o portal BleepingComputer, a entidade encontra-se a alertar os utilizadores inscritos nas newsletters da empresa que alguma informação pessoal pode ter sido comprometida, como parte de um recente ataque ao serviço usado para o envio dessas comunicações.

A entidade refere que o ataque não terá ocorrido diretamente para os sistemas da empresa, mas sim aos sistemas da entidade que é responsável pelo envio das comunicações via email. Entre os dados afetados podem encontrar-se o nome dos utilizadores e emails, conforme registados para receberem as comunicações da empresa.

A empresa sublinha ainda que, até ao momento, não existem indícios que dados como senhas ou outros mais sensíveis tenham sido comprometidos. No entanto, a investigação do incidente ainda se encontra a decorrer.

A NBA alerta, no entanto, os utilizadores para ficarem atentos a possíveis esquemas que podem tirar partido da informação roubada, nomeadamente a esquemas de spam e phishing que usem estes dados para enganar as vitimas.

17/03/2023
18 vulnerabilidades zero-day descobertas no Samsung Exynos

A Google revelou recentemente, como parte da equipa do Project Zero, um conjunto de vulnerabilidades zero-day nos chips Exynos da Samsung, que se encontram disponíveis em vários produtos da empresa no mercado, desde smartphones a dispositivos da Internet das Coisas.

No total foram 18 vulnerabilidades zero-day, que os investigadores da Google acreditam estarem a ser usadas para ataques no mundo real. As falhas foram inicialmente reportadas pelos investigadores entre finais de 2022 e inícios de 2023.

Destas falhas, quatro encontram-se classificadas como bastante graves, tendo em conta que permitem a execução remota de código potencialmente malicioso a partir da Internet. Estas falhas são particularmente graves tendo em conta que podem ser exploradas de forma remota, a partir da Internet, e sem qualquer interação dos utilizadores.

De acordo com Tim Willis, da equipa do Project Zero, a única informação que os atacantes necessitam de possuir para atacarem uma vítima seria o seu número de telefone. Com isto, é possível aproveitar as falhas nos processadores para iniciar o ataque.

A piorar a situação, estas falhas podem ser rapidamente exploradas com scripts que, para um programador, serão relativamente simples de realizar. Como o ataque é realizado de forma remota e sem a interação dos utilizadores, estes podem nem notar que foram atacados.

Tendo em conta a gravidade destas falhas, os investigadores criaram uma exceção para adiar a revelação de detalhes sobre as mesmas, até que as atualizações e correções necessárias sejam fornecidas para o máximo de equipamentos possíveis.

É importante notar que a falha não afeta apenas dispositivos que tenham processadores Exynos, mas também algum género de chip Exynos como modems. Com isto em mente, a falha pode afetar uma vasta gama de produtos da Samsung, incluindo modelos recentes como o Galaxy S22, mas também modelos como o Pixel 6 e 7.

Apesar de a Samsung ter fornecido as correções para as falhas, estas ainda necessitam de ser implementadas nos dispositivos – e em algumas situações, poderá demorar meses até que estas sejam efetivamente fornecidas. Em alguns dispositivos podem nem chegar a receber a atualização de todo, tendo em conta a antiguidade.

Enquanto isso, como forma de proteção contra os ataques destas falhas, os utilizadores são aconselhados a desativarem a funcionalidade de VOLTE sobre os seus dispositivos.

17/03/2023
Novo malware para Android foca-se em roubar dados de cartões de crédito

Existe uma nova variante do malware FakeCalls para Android, que se encontra a propagar pela Internet, com o objetivo de roubar dados de cartões de crédito diretamente dos dispositivos das vítimas.

Este malware para Android não é particularmente novo, sendo que começou a surgir faz pouco mais de um ano. Mas recentemente foi atualizado para integrar um conjunto de medidas de segurança, focadas em evitar a deteção e tornar ainda mais difícil a tarefa de remover o malware do sistema.

De acordo com os investigadores da empresa de segurança Check Point, as novas variantes do malware são focadas em evitar a deteção, atuando como apps regulares no sistema, e realizando chamadas diretamente para as principais instituições financeiras, imitando os utilizadores finais, com o objetivo de roubar o máximo de dados possíveis.

A primeira fase do ataque acontece quando as vítimas instalam o malware no sistema dos seus dispositivos, o que pode acontecer por vários meios. Feito isto, o malware imita as aplicações dos bancos oficiais, e engana os utilizadores com o objetivo de levar os mesmos a ficarem interessados num empréstimo. Caso os utilizadores demonstrem interesse, os atacantes ligam para o mesmo no sentido de levar ao roubo dos dados de cartões de crédito.

O malware é ainda capaz de ocultar o número da ligação, fazendo-se passar por um número oficial da entidade bancária da vítima. Este ataque encontra-se a afetar, sobretudo, utilizadores que se encontram na Coreia do Sul, mas pode ser rapidamente adaptado para qualquer outro país.

Ao mesmo tempo, o malware pode ainda capturar conteúdos em tempo real do ecrã, tanto a nível de vídeo como áudio, de forma a obter ainda mais detalhes sobre as vítimas e as suas atividades, ou até a roubar diretamente os dados de pagamento.

A nova variante deste malware encontra-se ainda melhor a esconder as suas atividades, com uma grande parte do seu código fonte ofuscada, e infiltra-se ainda mais dentro do sistema operativo, para ser consideravelmente mais difícil de a remover.

De momento esta variante do malware parece focada para os utilizadores da Coreia do Sul, mas é importante ter em consideração que o mesmo pode ser rapidamente adaptado para qualquer outro país, portanto os utilizadores devem ter extremo cuidado ao descarregarem aplicações de fontes não conhecidas.

17/03/2023
Dados da SpaceX podem ter sido obtidos em ataque de ransomware

O grupo de ransomware Lockbit confirmou ter realizado um ataque a um parceiro da SpaceX, de Elon Musk, onde podem ter sido obtidos dados da empresa no processo.

Em causa encontra-se um ataque à empresa Maximum Industries Inc, sediada nos EUA e dedicada ao corte de metais via laser e para sistemas empresariais. Esta entidade é uma das parcerias da SpaceX, usada pela empresa de Elon Musk para a produção de alguns dos materiais que se encontram nos foguetes da mesma.

O grupo de ransomware Lockbit recentemente confirmou ter realizado o ataque a esta entidade, de onde terão também sido recolhidos dados que estão diretamente associados com a SpaceX. Este grupo afirma ter obtido acesso a detalhes de esquemas e outras informações sobre alguns dos projetos da SpaceX, e que os mesmos serão colocados para leilão dentro da próxima semana.

Tendo em conta a mensagem do grupo no seu site, este afirma possuir mais de 3000 ficheiros associados com esquemas, que foram aprovados pelos engenheiros da SpaceX.

Até ao momento a empresa não deixou detalhes sobre o ataque, e desconhece-se ainda quais os conteúdos potencialmente roubados pelo grupo no ataque.

13/03/2023