TugaTech

Categoria: ataque

  • Finastra confirma ter sido vítima de ataque informático

    Finastra confirma ter sido vítima de ataque informático

    Finastra hacker

    A empresa Finastra confirmou ter sido alvo de um ataque informático, de onde podem ter sido roubadas informações sensíveis dos clientes da empresa e de algumas entidades.

    A Finastra é uma empresa de software financeiro, que conta com mais de 8000 clientes divididos por 130 países, de acordo com os dados da mesma no seu site. A empresa integra algumas das maiores empresas em diferentes países, incluindo 50 dos maiores bancos do mundo. Esta conta ainda com mais de 12 mil funcionários, tendo no ano passado atingido receitas de 1.7 mil milhões de dólares.

    Recentemente, foi descoberto que a entidade terá sido alvo de um ataque informático. Este ocorreu no dia 7 de Novembro, quando terceiros conseguiram obter acesso, usando credenciais roubadas, a um sistema SFTP da entidade. A empresa usa este sistema para transferência de ficheiros e para uso interno da mesma.

    Segundo o comunicado da mesma, a investigação revelou que, até ao momento, o ataque aparenta ter afetado apenas os sistemas SFTP, não se tendo alargado para outros sistemas da mesma. Ainda assim, este sistema possui vária informação potencialmente sensível.

    O ataque foi inicialmente confirmado pelo investigador de segurança Brian Krebs, que afirma ter tomado conhecimento do mesmo depois de um cliente afetado ter sido contactado pela entidade.

    Ao mesmo tempo, os dados alegadamente da empresa começaram a surgir em vários sites da dark web, com o autor dos mesmos a indicar ter em sua posse mais de 400 GB de informação dos sistemas da empresa.

    Até ao momento, a Finastra não comentou sobre o leak de dados publicado, mas indica que a investigação ainda se encontra a decorrer, tendo também confirmado o incidente nos seus sistemas – embora sem detalhes ainda sobre o impacto e quais os dados afetados.

    A empresa sublinha ainda que a plataforma SFTP não é o seu meio padrão de transferência de dados, nem é um sistema ativamente usado por todos os clientes da mesma. Ainda assim, esta pode conter dados potencialmente sensíveis de terceiros, tanto das empresas como dos seus clientes.

    Espera-se que mais detalhes sobre a investigação sejam revelados, de forma oficial, durante os próximos dias.

  • Ford investiga alegado roubo de dados de clientes

    Ford investiga alegado roubo de dados de clientes

    Marca da ford em carro

    A Ford encontra-se a investigar novas alegações de ter sido alvo de um roubo de dados. Recentemente surgiu a indicação de que a fabricante poderia ter sido alvo de um ataque, onde 44 mil registos de clientes da empresa teriam sido roubados.

    Os dados foram recentemente publicados num site da dark web, onde o autor do leak afirma que terá obtido os dados de um ataque a sistemas internos da empresa, realizado durante este mês. Os dados acedidos incluem informação de 44 mil clientes, como nomes, moradas, dados de compras e outros detalhes.

    Embora os dados alegadamente divulgados não sejam totalmente sensíveis, ainda possuem várias informações pessoais que não deveriam ser certamente divulgadas. Ao mesmo tempo, quem publicou os dados não tentou primeiro vender os mesmos, estando a oferecer o acesso aos membros do site onde o leak foi publicado.

    Em comunicado, a Ford indica não ter verificado qualquer género de ataque direto aos seus sistemas, mas afirma ainda encontrar-se a investigar a origem dos dados, que podem ter origem em algum revendedor da empresa ou de terceiros que interagem com a empresa.

  • Apple corrige duas falhas zero-day em sistemas Mac baseados em Intel

    Apple corrige duas falhas zero-day em sistemas Mac baseados em Intel

    Apple logo com erro

    A Apple confirmou ter corrigido duas falhas zero-day, que estariam a afetar os sistemas Mac baseados em Intel. Estas falhas estariam a ser ativamente usadas para ataques e roubos de dados por certas entidades.

    De acordo com a nota da empresa, esta terá conhecimento que as falhas estariam a ser ativamente exploradas. As falhas afetam o macOS Sequoia JavaScriptCore (CVE-2024-44308) e WebKit (CVE-2024-44309), dois componentes base do macOS.

    Se exploradas, as falhas poderiam ser usadas para levar ao roubo de dados, e potencial acesso indevido aos sistemas, ou ajudariam na tarefa para alvos direcionados. A correção foi lançada com o macOS Sequoia 15.1.1.

    A ter em conta que esta falha apenas afetava sistemas Mac que seriam baseados em Intel, e não os mais recentes modelos com processadores dedicados da Apple.

    Possivelmente para evitar um ataque mais alargado, a empresa não deixou muitos mais detalhes sobre a falha, tendo apenas confirmado que estas foram inicialmente descobertas pelos investigadores Clément Lecigne e Benoît Sevens da TAG da Google.

  • FBI alerta para novo esquema contra grandes empresas da tecnologia

    FBI alerta para novo esquema contra grandes empresas da tecnologia

    Alerta do FBI

    Várias empresas encontram-se a ser alvo de um novo esquema, onde os criminosos tentam fazer-se passar por grandes entidades, como a Google, Microsoft e Apple, para roubarem informações confidenciais de clientes ou da própria entidade. O FBI alerta que o esquema tira proveito de falsos pedidos de emergência enviados para as plataformas e entidades em questão, e que parecem original de outras grandes empresas legítimas no mercado.

    Curiosamente, o alvo do ataque aparenta ser grandes empresas nos EUA, e que inclui algumas das próprias entidades que o grupo de hackers se encontra a tentar obter informações. Google, Amazon, Apple, Meta e Snap são algumas das empresas na mira destes ataques.

    Os atacantes usam contas de email de entidades comprometidas nos EUA para contactarem as grandes empresas, e levarem as mesmas a fornecer dados potencialmente sensíveis sobre os seus serviços e clientes, sobre o pretexto de serem pedidos de emergência das autoridades.

    Entre alguns dos casos encontram-se pedidos para obter informações sobre tráfico de pessoas ou onde existem riscos imediatos de danos pessoais. Estes pedidos, muitas vezes, podem ser feitos sem necessidade de uma autoridade diretamente avaliar os mesmos primeiro, e muitas empresas tendem a responder aos mesmos com menos critérios de análise. Isto pode permitir que potencialmente dados sensíveis possam ser partilhados indevidamente.

    Nomes, moradas, números de telefone e até mensagens trocadas entre os utilizadores são alguns dos exemplos de dados que os atacantes podem obter usando este formato de esquema, e enganando as grandes empresas.

    Estes dados podem depois ser usados para os mais variados fins, deste ataques pessoais, abertura de contas falsas ou extorsão. Os mesmos podem ainda ser vendidos a terceiros em sites dedicados para tal, dando assim uma fonte de rendimento para os atacantes e a que os dados ainda possam continuar a ser usados para crimes.

    O FBI recomenda que as grandes empresas estejam mais atentas aos potenciais pedidos de emergência que venham a receber, bem como apliquem medidas para garantir a proteção dos dados, e também de validação da identidade de origem do pedido.

  • Amazon confirma roubo de dados de funcionários

    Amazon confirma roubo de dados de funcionários

    Amazon em smartphone

    A Amazon confirmou que dados dos seus funcionários poderão ter sido comprometidos, depois de um ataque a uma entidade terceira que estaria a guardar os dados da empresa. Este ataque encontra-se relacionado com o incidente da plataforma MOVEit.

    De acordo com o portal TechCrunch, um porta-voz da Amazon terá confirmado o roubo de dados, que dirá respeito a vários funcionários da empresa. A empresa sublinha que tanto os dados da Amazon diretamente, como da AWS e de todos os seus clientes encontram-se seguros, e que não foram algo de qualquer incidente de segurança.

    Porém, sistemas usados para armazenar informação interna da empresa, nomeadamente de funcionários, foram alvo de ataques, mais concretamente de uma entidade terceira que teria armazenado os mesmos. Entre os dados encontra-se informação interna dos mesmos, emails, números de telefone e algumas moradas.

    A Amazon não revelou a quantidade de funcionários afetados por este roubo de informação. No entanto, a empresa indica que a entidade em questão não teria acesso a dados sensíveis dos funcionários, como dados de segurança social ou outros similares. Também não foram afetados dados bancários de qualquer formato.

    Este comunicado surge depois de um hacker ter colocado alegadamente à venda uma base de dados da Amazon, que teria mais de 2.8 milhões de linhas com dados. Este referiu que os dados foram obtidos pelo ataque MOVEit Transfer, que ocorreu durante o ano passado.

    O hacker, conhecido apenas como “Nam3L3ss”, afirma ter dados de 25 grandes empresas internacionais, e que publicou até ao momento apenas 0.001% do que possui. Este afirma ainda ter mais de mil lançamentos prontos a ser feitos de dados sensíveis de várias entidades a nível global.

    Acredita-se que os dados terão sido todos obtidos por parte do ataque à MOVEit Transfer, portanto poderá afetar empresas que teriam este serviço associado. De relembrar que o ataque à MOVEit foi considerado um dos maiores ataques informáticos de 2023.

  • Código fonte de GTA 5 encontra-se agora à venda

    Código fonte de GTA 5 encontra-se agora à venda

    GTA 5

    Faz pouco mais de um ano que a Rockstar sofreu um ataque informático, de onde foram roubadas diversas informações internas da empresa. Entre os conteúdos roubados encontra-se código fonte associado com GTA 5 e vários ficheiros confidenciais da editora.

    Agora, ao que parece, novos detalhes foram revelados sobre o que aparenta ser outro ataque à entidade. O portal Daily Dark Web revelou recentemente que uma versão atualizada do código fonte de GTA 5 encontra-se a ser vendida em vários portais da Dark Web.

    Esta versão integra mesmo as mais recentes atualizações fornecidas para o jogo, variantes online e ainda o sistema de anti cheat usado no mesmo. Esta informação pode ser bastante importante para quem cria sistemas de mods e outros programas para contornar as proteções do jogo.

    O autor do leak apenas indica que terá obtido esta informação depois de aceder a sistemas internos da Rockstar Games, via um email de um funcionário que terá sido comprometido. Com este acesso, o mesmo terá descarregado praticamente todo o código fonte do jogo, das atualizações mais recentes e do sistema de anti cheat da versão online.

    O mesmo sublinha ainda que, embora outras partes do código fonte do jogo e do sistema de anti cheat tenham sido disponibilizadas no passado, as mesmas encontram-se desatualizadas, tendo em conta que a Rockstar corrigiu todas as falhas existentes. No entanto, o código agora à venda alega ser o mais recente.

    O mesmo encontra-se à venda por 9 mil dólares, valor que pode ser negociado com o autor do leak. Até ao momento não existe qualquer confirmação da Rockstar Games sobre o leak do código fonte da mesma.

  • Hackers da Coreia do Norte atacam sistemas macOS de empresas de criptomoedas

    Hackers da Coreia do Norte atacam sistemas macOS de empresas de criptomoedas

    Hacker em mac

    Um grupo de hackers na Coreia do Norte encontra-se a usar um novo malware, focado para sistemas macOS, com o objetivo de levar ao roubo de informações privadas das empresas.

    O grupo conhecido como BlueNoroff encontra-se a usar um novo malware criado para macOS, que pretende levar ao roubo de dados sensíveis de empresas relacionadas com criptomoedas. Este parece ser o principal alvo do grupo, sendo que o ataque começa muitas vezes em mensagens de email de spam e campanhas direcionadas para empresas no setor dos ativos digitais.

    O malware explora algumas funcionalidades do macOS, e as interações dos utilizadores, para infetar o sistema. O objetivo passa por levar à instalação de programas maliciosos que podem permitir aos atacantes obterem acesso a redes internas e até a carteiras de criptomoedas, de onde podem depois realizar o roubo dos fundos associados.

    Os investigadores encontraram indícios de que o grupo BlueNoroff encontra-se a usar contas da Apple de programadores que foram comprometidas para levar a cabo as atividades, alterando funcionalidades do sistema para explorar os mesmos.

    O malware tem ainda a capacidade de se ligar diretamente a um sistema remoto de controlo, de onde são recebidos os comandos para o ataque, e para onde são enviados conteúdos e dados que tenham sido roubados dos sistemas.

  • Nokia revela novas informações sobre recente ataque

    Nokia revela novas informações sobre recente ataque

    Nokia logo

    Recentemente a Nokia confirmou que estaria a investigar um alegado ataque, que teria levado ao roubo de várias informações internas da mesma. E agora, a empresa veio confirmar mais detalhes sobre o ataque.

    O mesmo começou por ser confirmado em vários sites da dark web, onde um utilizador estaria a vender dados pertencentes à empresa. Na publicação, o atacante alegava que os dados teriam sido obtidos através de uma entidade parceira da Nokia, com acesso à infraestrutura da mesma.

    Os dados estariam disponíveis para venda, e incluem chaves SSH, RSA e código fonte pertencente à Nokia. Na altura, a fabricante apenas indicou que estaria a analisar o ataque, e a averiguar a legitimidade do mesmo.

    Agora, existem novas informações, com a empresa a deixar mais indicações sobre o ataque. Segundo a mesma, o ataque terá afetado uma entidade terceiro que trabalha diretamente com a Nokia, fornecendo software personalizado para a mesma, mas que os dados roubados não dizem respeito diretamente a produtos que a empresa forneça aos seus clientes.

    A informação que terá sido roubada não diz respeito diretamente à Nokia, e não afeta o funcionamento ou segurança dos produtos e serviços da empresa. Esta refere ainda que os dados não incluem qualquer informação diretamente associada com os seus clientes, e que nenhum sistema direto da Nokia foi alvo do ataque ou do roubo de dados.

    A Nokia afirma que o código fonte citado na publicação não diz respeito à empresa, mas à entidade terceira que trabalha com a mesma, e que não afeta o funcionamento da empresa em geral. A app em questão foi desenvolvida para ser usada apenas numa rede, portanto mesmo que o código fonte seja revelado, este será inútil para uso.

    Apesar disso, a Nokia afirma que irá continuar a monitorizar a situação e a investigar o incidente, de forma a verificar se existe a possibilidade de outros dados terem sido obtidos ou roubados.

  • Rede dos tribunais judiciais de Washington alvo de ataque informático

    Rede dos tribunais judiciais de Washington alvo de ataque informático

    Hacker como juiz

    Os sistemas informáticos de Washington, nos EUA, encontram-se inacessíveis desde o final da semana passada, depois de as autoridades terem identificado acessos não autorizados nos mesmos.

    Tendo em conta o ataque, os sistemas foram colocados em quarentena, estando inacessíveis. A par com isso, vários sistemas usados pelos tribunais de Washington e entidades associadas, bem como os websites, encontram-se inacessíveis ou com falhas.

    De acordo com o portal Seattle Times, as autoridades agiram rapidamente depois de terem identificado um acesso não autorizado aos sistemas da entidade. A investigação terá sido iniciada, sendo que os sistemas foram colocados em quarentena por precaução, durante a fase de investigação.

    As autoridades encontram-se agora a analisar os sistemas, para identificar o ponto de origem do acesso, e também para restaurarem o mais rapidamente possível os sistemas públicos.

    Alguns dos tribunais e outros sistemas judiciais que dependem deste sistema encontram-se a trabalhar de forma limitada, com alguns dos serviços inacessíveis. As funções básicas dos tribunais e das ordens de trabalho, bem como julgamentos, devem proceder na normalidade e não foram afetadas por este incidente.

    De momento ainda se desconhece se informação sensível ou potencialmente secreta terá sido roubada do ataque, ou quais os dados que os atacantes tiveram acesso durante o período de tempo em que se encontraram nos sistemas.

  • Hackers chineses podem-se ter infiltrado em várias operadoras dos EUA

    Hackers chineses podem-se ter infiltrado em várias operadoras dos EUA

    Smartphone com bandeira da china

    Grupos dedicados da China podem estar a usar infraestruturas de telecomunicações nos EUA, de forma a monitorizarem as atividades de milhares de cidadãos norte-americanos. Esta é a revelação mais recente feita pelo The Wall Street Journal, que indica que o ataque pode ser mais grave do que era inicialmente esperado.

    Durante a semana passada, o The New York Times indicou que o FBI estaria a investigar a possibilidade de algumas entidades de hackers, relacionadas com a China e o governo local, poderiam estar a manter acesso a várias operadoras norte-americanas, e a recolher informação das mesmas – como registos de chamadas e de mensagens.

    O grupo, conhecido como “Salt Typhoon”, teria conseguido obter acesso interno a várias operadoras nos EUA, com foco em aceder a informações de alvos específicos, a maioria do interesse do governo da China.

    Agora, as novas informações reveladas pelo WSJ indicam que o grupo pode estar a trabalhar diretamente com as autoridades chinesas, e que terão conseguido obter acesso por mais de oito meses nas principais operadoras norte-americanas. Com este aceso, os mesmos terão acedido a centenas de dados pessoais de milhares de cidadãos dos EUA.

    No entanto, embora as fontes indiquem que os atacantes possuem acesso alargado nas infraestruturas das operadoras, os seus alvos são sobretudo figuras importantes no campo norte-americano, nomeadamente a nível político.

    Apesar disso, a fonte indica que os atacantes poderão ter acesso a virtualmente qualquer cidadão norte-americano. Até ao momento, as principais operadoras não deixaram qualquer comentário sobre a situação.

  • Wayback Machine volta a ficar funcional depois de ataque de Outubro

    Wayback Machine volta a ficar funcional depois de ataque de Outubro

    Wayback Machine

    A Internet Archive continua a restaurar as suas infraestruturas, depois de uma vaga de ataques que aconteceram em Outubro, e que levaram mesmo ao roubo de informações da entidade e de contas registadas na mesma.

    Em inícios de Outubro, a Internet Archive foi alvo de vários ataques DDoS, que causaram a inacessibilidade da plataforma durante vários dias. Desde então, a entidade tem vindo a trabalhar para restaurar os serviços afetados – ao que se juntou ainda ataques de onde os atacantes obtiveram acesso a dados internos da entidade.

    Hoje, a Internet Archive confirmou que a funcionalidade “Save Page Now” encontra-se novamente ativa. Com a mesma, os utilizadores podem rapidamente realizar a captura de sites, de forma a serem arquivados na plataforma do Wayback Machine.

    Esta funcionalidade tinha sido uma das afetadas pelos ataques, e até agora ainda não se encontrava a funcionar corretamente. Com a novidade, os utilizadores podem novamente guardar as suas páginas para efeitos históricos, preservando conteúdos que poderiam ser eliminados da Internet.

    De relembra que, a 14 de Outubro, a plataforma restaurou o Wayback Machine, embora em formato apenas de leitura. Os utilizadores poderiam aceder aos conteúdos, mas ainda não seria possível guardar os mesmos.

    A plataforma afirma que vai começar a arquivar páginas que foram deixadas em atraso durante o período em que o Wayback Machine esteve inacessível, desde 9 de Outubro.

  • Nokia pode ter sido alvo de ataque informático

    Nokia pode ter sido alvo de ataque informático

    Nokia com hacker

    A Nokia encontra-se a investigar um alegado roubo de dados dos seus sistemas internos, que pode ter resultado no roubo de informação sensível da empresa.

    Um hacker colocou à venda recentemente um conjunto de informação alegadamente pertencente à Nokia. Segundo a publicação, o ataque terá ocorrido a uma entidade terceira associada com a Nokia, de onde se terá conseguido obter acesso aos sistemas internos da mesma para roubar dados associados com a fabricante.

    A Nokia já confirmou que se encontra a investigar o alegado roubo de dados, mas que, até ao momento, não existe nenhuma confirmação de que seja legítimo. A empresa afirma ter realizado uma investigação inicial do ataque, e não encontrou indícios de dados roubados, mas a investigação ainda se encontra a decorrer.

    Por entre os dados alegadamente roubados encontram-se partes do código fonte da empresa, respeitante a vários produtos e serviços da mesma. O atacante indica que os dados foram obtidos através de uma empresa que trabalha diretamente com a Nokia, e que possui acesso aos sistemas internos da mesma.

    Entre os dados encontram-se também chaves SSH, RSA e dados de login, bem como contas usadas para o envio de emails e webhooks. Os detalhes indicam que pode tratar-se de material de produção e desenvolvimento da Nokia, não aparentando possuir dados de clientes da empresa.

    De momento ainda se desconhece qual a empresa que foi alvo do ataque, embora algumas fontes indiquem que poderá tratar-se da SonarQube. No entanto, ainda não existe uma confirmação oficial da entidade sobre tal.

  • Maior banco do Perú alvo de largo roubo de dados dos clientes

    Maior banco do Perú alvo de largo roubo de dados dos clientes

    Hacker a mexer em dispositivo

    A Interbank, uma das maiores instituições bancárias no Peru, foi recentemente alvo de um roubo de dados interno, que terá comprometido informação dos clientes do mesmo. Este roubo ocorreu depois de um grupo ter conseguido obter acesso à rede interna da instituição.

    A entidade era anteriormente conhecida como International Bank of Peru (Banco Internacional del Perú), e fornece serviços financeiros a mais de 2 milhões de clientes.

    Numa mensagem publicada pela entidade na sua conta da X, esta afirma ter identificado que os dados de alguns dos seus clientes podem ter sido comprometidos, depois de um ataque informático, que terá afetado uma entidade terceira de processamento dos dados.

    Os clientes da entidade afirmam que, no dia em que o ataque foi confirmado, muitas das plataformas online e as apps para dispositivos móveis do mesmo estariam a verificar problemas. No entanto, a Interbank afirma que os problemas foram entretanto corrigidos.

    A entidade afirma que, apesar do ataque, os fundos dos clientes encontram-se totalmente protegidos e não foram afetados. A empresa ainda se encontra a realizar uma investigação do incidente, e espera revelar mais detalhes durante os próximos dias.

    Embora a entidade não tenha confirmado o número exato de clientes afetados, um utilizador em fóruns da dark web já se encontra a vender a alegada base de dados da entidade, contendo os dados potencialmente roubados.

    A publicação desta base de dados integra vários dados pessoais de, alegadamente, mais de 3 milhões de clientes do banco. O utilizador afirma possuir mais de 3.7 TB de informação, que teria sido roubada deste ataque. No entanto, não existe uma confirmação que os dados sejam inteiramente legítimos.

  • Malware FakeCall para Android pode enganar as vítimas nas chamadas

    Malware FakeCall para Android pode enganar as vítimas nas chamadas

    Android malware

    Uma nova variante do malware FakeCall foi descoberto, afetando sistemas Android no mercado, e tendo o potencial de intercetar chamadas dos utilizadores feitas pelos seus dispositivos. Este malware pode ser usado para direcionar as chamadas dos utilizadores para certas entidades, de forma a irem diretamente para os atacantes.

    Um dos exemplos encontra-se em chamadas feitas para contactos de entidades bancárias, onde estas podem ser redirecionadas para telefones diretamente respeitantes aos atacantes, e de onde se pode proceder à recolha de dados sensíveis.

    O malware foi inicialmente descoberto pela Kaspersky em Abril de 2022, mas as suas atividades foram sendo alargadas durante os meses seguintes. O malware tenta enganar as vítimas, fazendo-as pensar que estão a ligar para uma parte, quando na realidade estão a ligar para os atacantes.

    A versão original o malware enganava as vítimas ao reencaminhar as chamadas, e colocando uma imagem sob o número de telefone, dando a impressão que os mesmos estavam a ligar para o telefone correto. Além disso, o malware tinha ainda a capacidade de recolher dados de som e vídeo dos dispositivos, que poderiam ser usados para ainda mais roubos.

    No entanto, com as variantes mais recentes, descobertas pela empresa de segurança Zimperium, o malware encontra-se bastante mais evoluído, tendo a capacidade de se fazer passar como a app de gestão de chamadas do sistema, e tendo assim mais controlo das mesmas, sem necessitar de truques para enganar as vítimas.

    O ataque começa assim que as vítimas instalam o malware nos seus dispositivos, e onde este tenta obter permissões para controlar as chamadas do dispositivo. Nesse momento, este passa a ter controlo para manipular tanto as chamadas recebidas como as realizadas, fazendo-as passar por diferentes filtros, reencaminhamentos ou alterações silenciosas.

    O que torna este malware tão perigoso encontra-se exatamente no fato de este ser totalmente transparente para as vítimas. Estas pensam estar a ligar para um lugar, e isso é visível diretamente no próprio número de telefone, mas não é realmente o que acontece.

    A nova variante do malware possui ainda a capacidade de roubar dados dos dispositivos, e de recolher as imagens do ecrã, bem como o áudio do mesmo. Este pode ainda ter acesso aos dados das mensagens, das apps e dos ficheiros no sistema.

    Como sempre, uma das formas de garantir a segurança passa por evitar a instalação de apps de fontes inseguras ou desconhecidas. Este malware propaga-se sobretudo por fontes de terceiros, como sites que fornecem acesso a apps pagas de forma gratuita.

  • Novo sistema de proteção para cookies do Chrome ainda pode ser contornado

    Novo sistema de proteção para cookies do Chrome ainda pode ser contornado

    Google Chrome

    A Google tem vindo a reforçar a segurança do Chrome, com novas funcionalidades focadas em prevenir que seja possível de realizar o roubo de cookies, uma das técnicas cada vez mais usadas para roubar credenciais em sistemas comprometidos.

    O Chrome conta com uma funcionalidade conhecida como “App-Bound”, que protege diretamente os cookies ao integrar os mesmos com o sistema operativo. Desta forma, mesmo que estes sejam roubados, não podem ser diretamente usados em outro sistema. Os cookies ficam protegidos a nível dos processos mais elevados do sistema operativo, e dessa forma, seria difícil de roubar os mesmos sem alertar outros sistemas de segurança.

    No entanto, se existe um lado que pretende evitar os roubos, do outro existem criminosos a tentar contornar as proteções. E recentemente, o investigador de segurança Alexander Hagenah revelou uma ferramenta que demonstra ser possível contornar silenciosamente a nova proteção do Chrome.

    O investigador afirma que terá optado por disponibilizar esta ferramenta depois de ter verificado que a mesma técnica que esta explora encontra-se a ser ativamente usada por malware e criminosos para contornar as proteções existentes do Chrome.

    Desde que a nova função de proteção foi revelada, foram surgindo várias formas de contornar a mesma. A Google apenas indica que esta corrida será um jogo do “gato e rato”, onde existe um lado que pretende aumentar a segurança do Chrome, introduzindo novas ferramentas para tal, e do outro existe quem as pretenda contornar.

    A ferramenta agora disponibilizada demonstra claramente que é possível de obter dados que estejam protegidos por App-Bound Encryption (ABE). Isto inclui cookies que podem conter informação sensível como dados de login ou dados de pagamento.

    A ferramenta ainda necessita que seja executada com permissões administrativas, mas isto não será um problema para sistemas que tenham sido comprometidos com malware, que pode rapidamente obter esse acesso.

    A ferramenta demonstra uma forma como vários malwares atualmente encontram-se a contornar a proteção do Chrome para continuar a roubar dados. Embora a Google tenha implementado as novas medidas de proteção dos cookies nas versões recentes do mesmo, este método bastante simples de contornar as mesmas demonstra que o ataque ainda é possível.

    Em resposta à ferramenta disponibilizada pelo investigador, a Google comenta que, para usar a mesma, ainda é necessário permissões de administrador no sistema, e que, portanto, não se pode considerar uma falha no sistema de proteção do Chrome. Isto porque a permissão administrativa permite o acesso praticamente ilimitado ao sistema.

  • Hackers na China atacam dispositivos associados a campanha de Trump e Kamala

    Hackers na China atacam dispositivos associados a campanha de Trump e Kamala

    EUA vs China

    Com as presidenciais nos EUA cada vez mais renhidas, existem agora novas acusações que fontes externas podem estar a tentar obter informações sensíveis diretamente dos dispositivos presentes nas campanhas de Donald Trump e Kamala Harris.

    De acordo com a Reuters, os investigadores do FBI encontram-se a trabalhar para identificar um ataque recente a vários smartphones e dispositivos usados nas campanhas dos dois candidatos. Acredita-se que o ataque terá sido realizado por grupos de hackers na China, e que teria como objetivo roubar informação potencialmente sensível dos candidatos.

    O ataque terá sido direcionado para a operadora Verizon, e até ao momento não foi confirmado se os dispositivos pessoais de cada um dos candidatos ou dos nomes mais próximos aos mesmos foram afetados.

    As autoridades indicam que mensagens SMS podem ter sido comprometidas. Ao contrário do que acontece em vários países, nos EUA ainda é bastante vulgar utilizar-se mensagens SMS para comunicação – invés de plataformas com alguma segurança adicional, como o WhatsApp.

    As mensagens SMS passam diretamente pelas operadoras, e como não possuem qualquer encriptação, teoricamente qualquer um as pode ler.

    Até ao momento as informações conhecidas sobre o ataque ainda são escassas. Tanto os candidatos, como os membros das campanhas ou a própria operadora não deixaram mais informações.

    Tendo em conta o impacto das eleições dos EUA no resto do mundo, não é de admirar que existam grupos focados em realizar ataques contra as mesmas, seja para obter informação ou para tentar destabilizar o processo.

  • Windows possui uma falha que a Microsoft não corrige

    Windows possui uma falha que a Microsoft não corrige

    Windows 11 com hacker

    Um novo formato de ataque tem vindo a ser explorado no Windows, permitindo reduzir a segurança do mesmo para instalar malware e outras atividades maliciosas no mesmo. A falha explora o kernel do sistema, sendo capaz de realizar o downgrade de certos componentes de segurança no mesmo. Isto permite que falhas antigas possam voltar a ser exploradas para atacar o sistema diretamente.

    Esta falha encontra-se diretamente relacionada com o Windows Update, o processo associado com a atualização do Windows. Se explorada, a falha pode permitir que certos componentes do sistema sejam atualizados para uma versão antiga, abrindo portas para que possam ser exploradas outras falhas conhecidas.

    O investigador da empresa SafeBreach, Alon Leviev, reportou a falha diretamente à Microsoft, mas a empresa não considerou a mesma como sendo uma falha de segurança, embora o investigador tenha conseguido explorar o kernel do sistema para executar processos com modo de administrador.

    O investigador criou mesmo uma ferramenta, apelidada de Windows Downdate, que é capaz de explorar esta falha, e demonstrar os riscos associados com a permissão de se realizar a alteração de serviços fundamentais do sistema para versões mais antigas.

    Uma das funcionalidades de segurança que foi contornada pela exploração desta falha foi o Driver Signature Enforcement (DSE), um sistema integrado no kernel do Windows, que permite ao sistema verificar todos os drivers carregados e garantir que os mesmos estão corretamente assinados.

    Explorando a falha, o investigador conseguiu enganar este sistema para carregar drivers potencialmente maliciosos, que podem usar os sistema para variados ataques, demonstrando claramente que a falha possui um grande impacto no mercado.

    Apesar de ter demonstrado a falha em vários eventos dedicados a este fim, a Microsoft continua a não lançar uma correção para a mesma, considerando que esta não atinge os parâmetros para ser considerada uma falha de segurança no sistema. Em parte a Microsoft considera que isto não será uma falha visto que é necessário ter permissões de administrador no sistema afetado para explorar a mesma – apesar de ainda assim ser possível que se execute código malicioso diretamente do kernel do Windows.

  • Hackers exploram falha zero-day no Chrome em jogo da blockchain

    Hackers exploram falha zero-day no Chrome em jogo da blockchain

    Hacker em logo do Google Chrome

    O grupo de hackers “Lazarus”, conhecido pelas suas atividades relacionadas com o governo da Coreia do Norte, encontra-se a usar uma falha associada ao navegador Google Chrome, com o objetivo de levar à instalação de spyware no sistema das vítimas através de jogos baseados na blockchain.

    O grupo encontra-se a explorar uma falha zero-day, onde as vítimas são aliciadas diretamente para uma falsa plataforma, que promete ganhos via NFT na blockchain. No entanto, o objetivo será explorar esta falha para levar à instalação de spyware nos sistemas, além de roubar carteiras de criptomoedas e outros dados potencialmente sensíveis.

    De acordo com os investigadores da empresa Kaspersky Labs, o jogo encontra-se a ser fortemente promovido em plataformas sociais como o LinkedIn e X, e funciona como seria de esperar. Quem acede ao mesmo, em primeira instância, não deverá notar qualquer problema diretamente associado a este.

    Apelidado de DeTankZone ou DeTankWar, o jogo usa NFTs como “tanques virtuais”, onde os jogadores devem combater entre si. O simples fato dos jogadores estarem no jogo seria suficiente para permitir que o ataque fosse realizado com sucesso – mesmo sem descarregar qualquer conteúdo diretamente para o sistema.

    A falha explorava o motor de javascript V8 do Chrome, e permitia que comandos remotos fossem enviados diretamente para o sistema, o que poderia levar a potenciais casos de instalação de malware e roubo de dados sensíveis.

    Segundo os investigadores, o jogo e as suas intenções tinham sido originalmente descobertas em Fevereiro, por um especialista em segurança da Microsoft. No entanto, nessa altura, desconhecia-se exatamente o formato e vetor de ataque.

    Depois da exploração ter sido publicamente conhecida, o site associado ao jogo removeu o código que explorava a falha, ainda antes da Kaspersky Labs ter possibilidade de o verificar. Porém, foram descobertos indícios que ajudaram a identificar a falha, que foi prontamente notificada para a Google.

    A correção da mesma foi entretanto lançada para o Chrome, e deverá já encontrar-se na grande maioria dos sistemas – portanto não pode ser ativamente explorada. A mesma foi agora publicamente revelada tendo em conta que a grande maioria dos sistemas já se encontram atualizados, o que impede que a falha possa ser explorada.

  • Internet Archive encontra-se novamente inacessível

    Internet Archive encontra-se novamente inacessível

    Internet Archive offline

    Durante o dia de ontem, a Internet Archive tinha confirmado que a sua plataforma estava novamente ativa, depois de uma onda de ataques, tanto em DDoS como até ataques diretos para a plataforma e roubo de dados da mesma.

    No entanto, menos de um dia depois, a plataforma encontra-se novamente inacessível. O site encontra-se novamente a apresentar falhas de carregamento e outros erros, indicando que nem todos os problemas terão sido corrigidos.

    Neste momento, aceder à página inicial do Wayback Machine não se encontra a apresentar qualquer conteúdo, enquanto que algumas secções estão a carregar normalmente, como o blog.

    erro do internet archive

    Neste momento ainda se desconhece a causa exata para este problema, mas certamente pode causar impacto para quem necessite de aceder aos conteúdos da mesma. No entanto, tendo e conta as falhas, aparenta que a plataforma encontra-se a verificar novamente uma onda de ataques DDoS – o quarto apenas no mês de Outubro.

    De relembrar que, no passado dia 9 de Outubro, a plataforma foi alvo de um ataque de onde foram roubados dados de 31 milhões de utilizadores. Isto inclui emails, nomes de utilizador e senhas encriptadas. Um segundo ataque ocorreu nos dias seguintes, com o sistema de tickets da mesma, onde os atacantes usaram tokens antigos para acederem ao sistema e enviarem mensagens a tickets criados desde 2018.

  • RoundCube possui falha que pode levar a roubo de dados

    RoundCube possui falha que pode levar a roubo de dados

    Roundcube

    Uma nova vulnerabilidade foi recentemente descoberta no cliente de webmail Roundcube, que pode permitir aos atacantes obterem dados de acesso a contas de email enviando apenas uma mensagem para as potenciais vítimas.

    A falha, de acordo com os investigadores da empresa de segurança russa Positive Technologies, terá sido descoberta em setembro, e acredita-se que possa estar em utilização antes disso. A mesma já terá sido usada para alguns ataques e para obter acesso a algumas contas de email vulneráveis.

    Esta falha em particular permite que, quando mensagens especificamente criadas para explorar a mesma são recebidas em caixas de email pelo Roundcube, podem permitir a execução de javascript malicioso na página, que pode ser usado para roubar o aceso da mesma.

    Os utilizadores apenas necessitam de abrir os emails para poderem ser afetados, sendo que a falha explora um erro no processamento de ficheiros SVG de imagem pelo leitor de emails. Com a exploração, o código pode ser diretamente executado no navegador apenas com a abertura do email, abrindo portas para o roubo de dados e de informação potencialmente sensível.

    O script usado para o ataque envia ainda dados importantes das contas para um sistema remoto, que pode depois ser usado para potenciais ataques à conta de email que abriu a mensagem.

    Esta falha afeta todas as versões do Roundcube anteriores à 1.5.6 e as versões da 1.6 à 1.6.6, sendo recomendado que os administradores de sistemas onde o webmail seja usado atualizem para a versão mais recente o mais rapidamente possível.

    A falha foi corrigida com as versões 1.5.7 e 1.6.7 lançadas a 19 de Maio, sendo que a versão mais recente é a 1.6.9 lançada a 1 de Setembro. As falhas do RoundCube tendem a ser bastante exploradas para ataques, tendo em conta que é um webmail bastante usado por empresas e organizações em todo o mundo.

  • Internet Archive alvo de novo ataque, desta vez nos tickets de suporte

    Internet Archive alvo de novo ataque, desta vez nos tickets de suporte

    Internet Archive ataque

    A Internet Archive continua a sentir os efeitos do recente ataque contra a sua plataforma, não apenas relativamente aos ataques DDoS, mas também dos acessos indevidos que foram realizados contra a entidade.

    Os mais recentes agora afetam a plataforma Zendesk da entidade, que é usada como plataforma de suporte da mesma – e onde os utilizadores podem criar tickets de suporte para os mais variados fins.

    Desde o dia de ontem, vários utilizadores que enviaram pedidos à Internet Archive nos últimos meses começaram a receber mensagens em tickets antigos. Em resposta aos mesmos era deixada uma mensagem, a indicar que a entidade tinha sido atacada, e que a falha nas práticas de segurança da mesma permitiu o envio de respostas aos tickets.

    Em causa aparenta encontrar-se o facto de a Internet Archive não ter revogado algumas chaves antigas da API, que tecnicamente poderiam permitir acesso aos tickets criados na plataforma. Isto terá sido usado pelos atacantes para enviar respostas a milhares de tickets antigos. A mensagem indicava que os atacantes teriam acesso a mais de 800 mil tickets criados no sistema desde 2018.

    mensagem deixada pelos atacantes nos tickets antigos

    A mensagem aparenta ter sido enviada diretamente dos sistemas da Internet Archive, o que confirma que será legítima.

    De acordo com o portal BleepingComputer, o incidente pode ter permitido que terceiros tivessem acesso ao conteúdo de milhares de tickets criados com a entidade desde 2018, alguns dos quais podem conter dados pessoais e outra informação, como pedidos de remoção de conteúdos do Wayback Machine e dados pessoais no mesmo.

    Dependendo do acesso realizado pelo token, o atacante pode ter conseguido obter acesso aos anexos presentes nos tickets, e eventualmente, pode ter usado o mesmo para descarregar os conteúdos.

    Acredita-se que todos os ataques recentemente realizados à Internet Archive não serão uma forma de protesto ou de desagrado pela plataforma, mas sim uma forma dos atacantes obterem mais reconhecimento dentro meio, e atacar uma grande plataforma na internet, como o Internet Archive, é certamente uma forma de ganhar essa reputação. Isto pode também ser confirmado pelo facto que, dos ataques, não foram feitos pedidos de resgate para os conteúdos e a informação encontra-se a ser diretamente disponibilizada e visível.

  • DGPT: uma fraude com mais de 3 milhões de dólares em “investimentos”

    DGPT: uma fraude com mais de 3 milhões de dólares em “investimentos”

    DGPT esquema

    Desde que as criptomoedas começaram a ser usadas em força no mercado, também aumentaram consideravelmente os esquemas usando as mesmas. E agora que a Inteligência Artificial passa pelo mesmo crescimento, existe quem esteja a tentar conjugar as duas ideias para algo que pode representar um risco aos utilizadores.

    A DGPT é uma plataforma que se apresenta como uma estrutura descentralizada de computação, que embora tenha ideias solidárias e se apresente como tal, para o bem da IA, deve ser considerada perigosa para a maioria dos utilizadores.

    A ideia base da DGPT parte de que os utilizadores podem fornecer recursos do seu sistema, nomeadamente a capacidade de processamento do CPU e da placa gráfica, para ajudarem em tarefas associadas com tecnologias de IA. Basicamente, os utilizadores fornecem os seus equipamentos e capacidade de processamento, na ideia de ajudar as empresas de IA a treinarem os seus modelos.

    Em contrapartida, a plataforma recompensa os utilizadores com pequenas quantidades de criptomoedas, que aumentam conforme os utilizadores mais ajudem na rede.

    A plataforma afirma que esta ajuda pode ser fornecida a partir de virtualmente qualquer dispositivo, seja computador, portátil, servidores ou até mesmo smartphones. No entanto, de momento a plataforma apenas fornece aplicações para Android e iOS.

    falsas aplicações

    Logo aqui levanta-se algumas questões pertinentes. Embora exista certamente um processador nos smartphones, a capacidade de processamento destes é relativamente reduzida face às necessidades que o treino de IA exige. Além disso, a maioria das empresas que treinam modelos de IA usam sistemas dedicados para tal, tanto por questões de segurança, como também por terem grande controlo sobre os requisitos de hardware para tais atividades.

    Um smartphone não é apenas ineficiente, como em certos casos, incapaz de processar qualquer género de dado concreto dos modelos de IA. Este ponto levanta logo as suas questões sobre o caso.

    A aplicação que os utilizadores necessitam de descarregar para Android e iOS encontra-se disponível via o site. Não existe forma de descarregar via a Google Play Store nem a Apple App Store, sendo que isto também levanta logo as suas questões.

    A plataforma encontra-se atualmente disponível por convite, sendo que se desconhece a forma exata de obter um.

    No entanto, os utilizadores que entram na plataforma, reportam que para realizar se realizar as atividades necessárias para “processamento”, é necessário um investimento inicial, onde a plataforma afirma que os lucros duplicam ou triplicam após o primeiro mês.

    imagem do esquema

    O valor dos “ganhos” varia conforme o número de aceleradores – o nome dado pela plataforma aos sistemas para “treino” da IA. Quantos mais o utilizador investir, mais ganhos irá receber. Este esquema é bastante vulgar em plataformas que pretendem enganar os utilizadores e fraudes, levando-os a investir em promessas que, na realidade, acabam por não se concretizar.

    A ideia do DGPT é criar uma rede descentralizada capaz de processar modelos de IA avançados, usando sistemas vulgares como smartphones. Mas todos os indícios apontam que se trata de um esquema, voltado para enganar os utilizadores a investirem numa plataforma, onde apenas os “donos” da mesma irão obter as receitas.

    Em vários grupos do Telegram existem indicações sobre esta nova plataforma, e nomeadamente uma das carteiras associadas com a mesma em USTD: TTg8xZWZriXUmEeWTCZiJcuTXTU2GoSSSS

    dados da carteira de cripto

    Esta carteira contava, no seu pico, com mais de 3 milhões de dólares, tendo mais de 300 dólares de receitas diárias. Isto indica que existe uma onda crescente de utilizadores a entrarem nesta plataforma e a realizarem investimentos na mesma. Praticamente toda a totalidade das receitas na carteira têm vindo a movimentar-se por outras desde então, com mais de 2.5 milhões de dólares a serem transferidos para uma segunda carteira – no que aparenta ser uma atividade de lavagem de dinheiro.

    Tirando o facto que um simples smartphone não possui as capacidades necessárias de hardware para o treino de modelos de IA, junta-se ainda a questão de que é necessário sempre um investimento inicial para se realmente poder usar a plataforma, e existe praticamente nenhuma informação sobre a entidade a que esta diz respeito, os seus administradores ou estrutura interna. Por fim, junta-se ainda uma aplicação desconhecida, com conteúdos potencialmente maliciosos, e que pode levar a outros vetores de ataque para os dispositivos onde seja instalada.

    Como em qualquer plataforma de investimentos, recomenda-se cautela sempre a analisar bem os projetos. E a recomendação no caso da DGPT será que os utilizadores se mantenham afastados da mesma, tendo em conta que se trata de um claro caso de esquema sobre a mesma, aproveitando apenas algumas palavras chave do momento.

  • ESET investiga ataque a entidade parceira em Israel

    ESET investiga ataque a entidade parceira em Israel

    Logo da ESET

    A empresa de segurança ESET encontra-se atualmente a investigar um incidente, que ocorreu sobre um dos seus parceiros em Israel, que terá sido afetado por um ataque e enviou várias mensagens para clientes locais contendo malware.

    As mensagens enviadas fazem-se passar como parte de uma atualização da ESET, com melhorias para o sistema de segurança, mas na realidade trata-se de malware capaz de realizar vários danos nas entidades.

    Todas as mensagens enviadas como parte deste ataque alertam os clientes para a necessidade de instalar uma atualização de segurança no sistema, levando para um link onde se encontra o conteúdo. A mensagem terá sido enviada diretamente dos sistemas da parceira da ESET, o que leva a que não seja algo diretamente filtrado.

    mensagem da empresa de segurança

    As mensagens foram enviadas pelo domínio eset.co.il, que embora seja associado à ESET, a empresa indica que será da sua parceira direta em Israel. A mensagem indicava que os dispositivos dos utilizadores estariam a ser alvo de um ataque sofisticado, e que, para garantir a proteção dos mesmos, era necessário descarregar um ficheiro que se encontrava num link específico, sob o domínio da entidade.

    Este ficheiro continha o malware propriamente dito, que mascarado de um instalador da ESET, procedia com a eliminação de dados dos sistemas onde era executado. O mesmo tentava ainda replicar-se para outros sistemas na rede, ou aceder a discos partilhados em redes internas, de forma a eliminar também os conteúdos dos mesmos.

    O objetivo aparenta ser causar prejuízos com a eliminação e destruição de dados das empresas afetadas. De momento ainda se desconhece o número exato de empresas que receberam a mensagem, e ainda menos as que foram verdadeiramente afetadas.

    O ataque não foi reclamado por qualquer grupo conhecido de atacantes, embora o uso deste formato de malwares seja bastante vulgar de ocorrer em países como Israel. A ESET afirma que irá entrar em contacto com todos os utilizadores afetados para fornecer mais informações e o eventual apoio necessário.

  • Autoridades nos EUA detiveram suspeito de atacar conta da SEC na X

    Autoridades nos EUA detiveram suspeito de atacar conta da SEC na X

    SEC com bitcoin

    As autoridades dos EUA confirmaram ter detido um dos suspeitos de atacar a conta na X da U.S. Securities and Exchange Commission, o ano passado, e de ter usado a mesma para publicar uma falsa mensagem, que levou ao aumento de valor do Bitcoin no mercado – pelo menos de forma temporária.

    Eric Council Jr foi indiciado pelas autoridades dos EUA por atacar a conta da SEC na plataforma X, no dia 9 de Janeiro, tendo usado a mesma para publicar uma mensagem em como as autoridades tinham aprovado as ETFs de Bitcoin. Esta mensagem foi suficiente para fazer aumentar o valor do bitcoin no mercado por aproximadamente 1000 dólares.

    Segundo as autoridades, o suspeito terá usado uma técnica de clonagem dos cartões SIM de uma pessoa que teria acesso à conta, e usou esse método para obter o acesso direto à conta da X, realizando a recuperação de acesso à mesma.

    mensagem publicada na conta da SEC na altura do ataque

    A entidade que teve o cartão clonado, embora não tenha sido diretamente indicado neste caso, é segundo as autoridades parte fundamental do mesmo, tendo sido pago para realizar a clonagem do cartão e permitir o acesso de Eric Council à conta da SEC.

    As autoridades indicam ainda que Council terá realizado, nos dias que se antecederam ao ataque, várias pesquisas com questões sobre como realizar a troca e clonagem de cartões SIM, bem como evitar ser investigado pelo FBI. Estas pesquisas, realizadas no Google, terão aumentado ainda mais as suspeitas das autoridades.

    Council encontra-se atualmente detido e a aguardar sentença pelas práticas realizadas.

  • Casio sem previsões de recuperação após ataque de ransomware

    Casio sem previsões de recuperação após ataque de ransomware

    Casio logo da empresa

    Recentemente, a empresa Casio confirmou ter sido vítima de um largo ataque informático, de onde podem ter sido roubados dados sensíveis da empresa, de clientes e de entidades parceiras da mesma. Quase duas semanas depois do ataque, esta afirma que ainda se encontra a recuperar do mesmo.

    Em comunicado, a Casio afirma que ainda se encontra a recuperar do ataque de ransomware, que sofreu faz quase duas semanas. A empresa foi alvo de um ataque a 5 de Outubro, quando vários sistemas foram encriptados por uma variante de ransomware, tornando várias das suas plataformas inacessíveis.

    Embora a empresa garanta que tenha aplicado as medidas necessárias de segurança para conter o ataque, alguma informação terá sido efetivamente roubada. Face ao incidente de segurança, a Casio agora afirma que ainda existem sistemas que se encontram em recuperação, e que a investigação ainda se encontra a decorrer.

    Para já, ainda não existe uma previsão de quando todos os sistemas serão recuperados. A empresa apenas afirma que pretende garantir a total integridade dos dados dos seus clientes e das suas operações, estando a trabalhar para restabelecer a normalidade o mais rapidamente possível.

    A empresa encontra-se ainda a verificar alguns atrasos no envio de novas encomendas, relacionado com o ataque. No entanto, estes problemas parecem afetar apenas os envios realizados no Japão, e não de forma internacional – embora existam relatos de utilizadores fora do pais que estão a verificar igualmente atrasos nos envios das suas encomendas.

    A Casio ainda se encontra a investigar o incidente, e para já, não foram revelados detalhes sobre os dados roubados ou o ransomware que afetou os sistemas. A empresa garante que irá fornecer mais informações quando a investigação do incidente estiver concluída.

  • Campanha maliciosa explora falha zero-day no Internet Explorer

    Campanha maliciosa explora falha zero-day no Internet Explorer

    Internet Explorer

    Um grupo de hackers localizado na Coreia do Norte encontra-se a explorar uma falha do Internet Explorer, com vista a distribuir malware em sistemas. Embora o Internet Explorer não esteja mais ativo e suportado pela Microsoft, o mesmo ainda se encontra em vários sistemas, e é nesta ideia que o grupo se encontra agora a explorar uma falha zero-day no mesmo.

    O grupo conhecido como “ScarCruft” é conhecido por ter ligações com o governo da Coreia do Norte, e agora foi descoberto que se encontra a tentar infetar sistemas na Coreia do Sul e em vários países da Europa, explorando uma falha zero-day no Internet Explorer.

    A falha, apelidada de “Code on Toast”, explora a forma como o Internet Explorer apresenta mensagens pop-up, de forma a executar conteúdo malicioso nos sistemas. Se explorada, a falha pode permitir que código potencialmente malicioso seja executado no navegador, e consequentemente, no sistema das vítimas.

    O ataque começa com os atacantes a explorarem sistemas de publicidade para apresentarem o conteúdo malicioso como pop-ups no navegador, que caso seja ativado, pode levar a que o código malicioso seja executado em processos no sistema. O ataque pode ser realizado até sem interação dos utilizadores, o que agrava ainda mais a situação.

    Felizmente, a falha apenas se encontra explorada sobre o Internet Explorer, portanto os utilizadores teriam de ser enganados a abrirem os conteúdos no mesmo – ou teriam de encontrar-se a usar ativamente este navegador, que está atualmente em desuso.

    Embora o Internet Explorer não seja ativamente usado nos dias de hoje, ainda se encontra instalado em vários sistemas, o que pode levar os atacantes a enganarem as vítimas para abrirem determinados conteúdos no mesmo.

  • Internet Archive recupera lentamente dos ataques

    Internet Archive recupera lentamente dos ataques

    Internet Archive

    A plataforma da Internet Archive encontra-se lentamente a recuperar da onda de ataques registados nos últimos dias. A plataforma encontra-se novamente disponível, embora de forma bastante limitada.

    Durante vários dias, a página inicial da plataforma apresentou uma mensagem de erro, indicando que os serviços estariam inacessíveis. Isto terá começado no dia 9 de Outubro, quando esta foi alvo de um forte ataques DDoS, e que se seguiu por um ataque ao site diretamente, onde foram comprometidos dados de milhares de contas registadas na plataforma.

    No entanto, a entidade tem vindo a recuperar lentamente alguns dos serviços. O site encontra-se a carregar agora, mas apenas em modo de leitura. Ou seja, os utilizadores podem aceder ao mesmo para verem o histórico de sites, mas não podem guardar novos conteúdos. Além disso, o site pode ainda apresentar alturas em que tenha uma certa lentidão.

    mensagem de erro no site

    A plataforma afirma que, embora alguns dos seus serviços estejam atualmente a recuperar, ainda existe trabalho a ser feito, algo que pode demorar mais alguns dias a ser inteiramente concluído.

    Até ao momento nenhum grupo confirmou a origem dos ataques DDoS, embora existem pontos que indicam que o mesmo terá sido feito de uma rede botnet, a partir de vários sistemas da IoT e dispositivos domésticos infetados.

  • Base de dados da AT em circulação não são de recente ataque da AMA

    Base de dados da AT em circulação não são de recente ataque da AMA

    Hacker com senhas e logo da AMA

    Recentemente a AMA confirmou ter sido alvo de um ataque informático, de ransomware, que colocou várias das plataformas da entidade inacessíveis. Na realidade, o impacto deste ataque ainda se encontra a sentir, tendo em conta que várias plataformas da mesma ainda estão inacessíveis ou com falhas.

    Depois do ataque ter sido confirmado, rapidamente começaram a surgir questões de que formato de dados foram comprometidos, com algumas entidades a aproveitarem a situação para divulgar uma alegada base de dados, contendo mais de 12 mil registos de NIFs e senhas – alegadamente da Autoridade Tributária e de acesso à plataforma da mesma.

    Em várias publicações por diferentes redes sociais, a base de dados alega conter mais de 12 mil registos, associados com NIFs e Senhas de contribuintes que teriam sido comprometidos. Dado a proximidade com o ataque da AMA, muitos consideram que essa informação é diretamente da entidade.

    Algumas publicações tentam fazer passar essa informação como sendo algo relacionado, ou aproveitam a mesma para outros fins.

    mensagem no linkedin

    No entanto, isso será falso. A base de dados em questão não é diretamente associada com o recente ataque da AMA, nem terá sido obtida por uma violação de sistemas da entidade.

    Esta lista encontra-se associada com um leak de dados, datado de 10 de Agosto de 2024, altura em que começou a ser partilhada em alguns sites da dark web.

    No entanto, os dados presentes na mesma dizem respeito a informação que já teria sido divulgada em leaks anteriores – mais concretamente em meados de Junho. Os dados terão sido obtidos de malware instalado em sistemas comprometidos, que foram posteriormente conjugados numa grande lista de dados de acesso – e de onde, a partir dai, foram separados os diferentes serviços.

    A lista atualmente em divulgação é respeitante a uma conjugação de milhares de sistemas infetados de utilizadores individuais, que tiveram informação de login roubada – não apenas da Autoridade Tributária, mas de literalmente qualquer dado de login guardado no navegador do mesmo – que foi conjugada posteriormente numa lista apenas com os dados de login da Autoridade Tributária.

    Esta lista, no entanto, tem sido aproveitada para criar um certo pânico sobre o facto de dizer respeito a dados que foram recentemente roubados dos sistemas da AMA. Embora ainda se desconheçam detalhes sobre o incidente que ocorreu recentemente, os dados a serem divulgados não são respeitantes ao ataque de ransomware, e sim dados já comprometidos do passado.

    Tendo em conta que estes dados não foram roubados diretamente da AMA ou da Autoridade Tributária, não será da responsabilidade direta destas instituições realizar a notificação de qualquer contribuinte afetado, visto não ser da responsabilidade das mesmas.

    Os dados foram roubados diretamente dos sistemas de vítimas, que foram comprometidos.

    É importante sublinhar que, embora os dados não sejam respeitantes diretamente ao ataque recente da AMA, podem conter informação sensível, incluindo senhas que ainda podem estar a ser usadas por vítimas do malware. Recomenda-se que sejam adotadas medidas de segurança para prevenir o acesso indevido a contas – entre as quais garantir que os sistemas usados estão livres de malware, e atualizar as senhas de sistemas sensíveis com regularidade.

  • Ataques de ransomware aumentaram, mas cada vez menos chegam à encriptação

    Ataques de ransomware aumentaram, mas cada vez menos chegam à encriptação

    ransomware em computador com disco bloqueado

    Os dados mais recentes da Microsoft apontam para um crescimento nos ataques de ransomware. No entanto, embora os ataques tenham aumentado, muitos acabam por ser parados a tempo, antes de causarem reais problemas.

    O relatório da empresa aponta um crescimento de 2.75 vezes mais ataques de ransomware comparativamente ao ano anterior. No entanto, as defesas contra este formato de ataques também melhoraram consideravelmente.

    A maioria dos ataques de ransomware são parados antes de chegarem à fase de encriptação dos dados, que será certamente a mais prejudicial. Isto deve-se a existirem ferramentas de proteção cada vez mais eficientes para bloquear este formato de ataques.

    Os dados apontam que o número de ataques de ransomware a chegarem a esta fase caiu quase três vezes mais do que o registado nos últimos dois anos. Além das melhorias nos sistemas de segurança contra ataques ransomware, existe também mais conhecimento dos utilizadores para prevenirem este formato de ataques.

    Cerca de 90% dos ataques onde o ransomware conseguiu chegar à fase de encriptação foram feitos a sistemas que estariam na mesma rede de onde o ataque originou, mas não tinham qualquer meio de segurança ativo.

    Entre os grupos de ransomware mais ativos, o Akira conjuga 17% de todos os ataques realizados no ano passado, com o LockBit a surgir na segunda posição com 15%. O grupo “Play” surge com 7% e o ALPHV/BlackCat e Black Basta ambos com 6%.

    A maioria dos ataques possui origem em exploração de técnicas de engenharia social, levando funcionários a instalarem involuntariamente o ransomware na rede interna das empresas. Esta é uma das áreas onde ainda podem ser feitas melhorias, com adoção de sistemas de segurança ativos e autenticação em duas etapas para sistemas críticos.

    Como a engenharia social ainda explora as falhas humanas, é um dos meios de ataque mais vezes explorado para tentar obter acesso a informação potencialmente sensível de grandes empresas.

  • Esquema usa IA para tentar roubar contas da Google

    Esquema usa IA para tentar roubar contas da Google

    Scam imagem

    Os esquemas e fraudes pela internet estão sempre em atualização, para tentarem melhorar as formas de enganar as vítimas. E uma das práticas cada vez mais usuais encontra-se em usar IA para criar possíveis mensagens e esquemas bastante elaborados.

    Recentemente, Sam Mitrovic, engenheiro da Microsoft, revelou um caso que ocorreu consigo, e que quase o levou a fornecer alguma informação potencialmente sensível. Mesmo sendo uma pessoa com conhecimentos na área de cibersegurança, esteve a poucos cliques de ser alvo de um esquema elaborado.

    O esquema em questão envolve uma alegada mensagem de suporte da Google, associada com uma tentativa falhada de recuperação da conta da empresa do engenheiro. O mesmo alega ter recebido uma mensagem que, à partida, parecia ter sido originária da Google, a indicar que ocorreu uma tentativa de recuperação da conta.

    Embora o mesmo tenha ignorado a mensagem inicial, alguns minutos mais tarde, o mesmo recebeu uma chamada telefónica, que se identificava como sendo da Google. Na chamada, um funcionário indicava que existiam atividades suspeitas na conta do utilizador, e onde forma então colocadas algumas questões – como se o dono da conta estaria a viajar ou se foram feitos acessos de dispositivos desconhecidos.

    Durante a chamada, Sam Mitrovic recebeu outro email, novamente reforçando que haviam tentativas de acesso na sua conta da Google. Na chamada, a pessoa do outro lado mantinha o contacto para tentar obter dados pessoais e permitir a recuperação da conta.

    mensagem recebida pelo engenheiro

    O engenheiro apenas suspeitou de que algo estaria mal quando a voz parecia criada de um sistema automático. O mesmo afirma que a voz tinha algumas entoações que davam a entender ser de um sistema digital – que foi então que Sam Mitrovic verificou que estava a falar com um assistente de IA.

    O uso de IA para esquemas tem sido cada vez mais regular, e uma das possíveis frentes de ataque passa por usar a voz criada de forma digital para dar mais credibilidade ao esquema. Além disso, muitas pessoas poderiam ser pressionadas para fornecer detalhes importantes para o acesso à conta por este meio.

    Como sempre, deve-se ter atenção a qualquer mensagem recebida de forma inesperada e que tenha indícios de ser suspeita. Algumas podem até parecer bem criadas e com um texto claro e consistente, mas podem ter sido inteiramente criadas por IA para tal.

  • Cisco investiga alegado ataque e roubo de dados

    Cisco investiga alegado ataque e roubo de dados

    Logo da Cisco

    A Cisco encontra-se a investigar um possível roubo de informações internas da empresa, que surgiu recentemente em alguns sites da dark web. As informações integram-se numa lista que terá sido alegadamente roubada da empresa.

    Em comunicado, a Cisco afirma que se encontra a investigar o incidente, e a analisar os dados potencialmente roubados. De momento, a empresa ainda não deixou muitos detalhes sobre o incidente, tendo apenas referido que se encontra a ser feita a investigação da origem da lista.

    Os dados em circulação referem ter sido obtidos da Cisco a 10 de Junho de 2024, onde terceiros terão acedido a sistemas internos da Cisco, e roubaram dados sensíveis da empresa e de alguns dos parceiros da mesma. Entre os dados encontra-se informação interna da empresa, e respeitante a vários projetos da mesma, e inclui-se ainda código fonte de vários programas desta. Também se encontram chaves privadas de vários certificados e informação considerada como confidencial.

    Caso se venha a confirmar a veracidade destes dados, poderá ser consideravelmente prejudicial para a Cisco e para os sistemas e entidades envolvidos. Os dados incluem informação potencialmente sensível e privada. Embora o autor do leak tenha fornecido alguns samples da informação roubada, ainda não existe uma confirmação oficial de que os dados sejam respeitantes à empresa.

    De relembrar que a Cisco foi igualmente atacada em Junho deste ano, sendo também desconhecido se este ataque e agora a revelação dos dados podem ter alguma associação.

  • Game Freak confirma roubo de dados de funcionários

    Game Freak confirma roubo de dados de funcionários

    comandos em terminal

    Game Freak, a editora por detrás da criação de Pokémon, confirmou ter sido vítima de um ataque informático. Deste ataque resultou o roubo de vários dados pessoais e documentos confidenciais, respeitantes a projetos da empresa e aos seus funcionários e parceiros.

    De acordo com os documentos mais recentes da empresa respeitantes ao ataque, cerca de 2000 documentos respeitantes a funcionários da empresa foram roubados. A editora confirma que os dados dizem respeito tanto a atuais funcionários, como também a antigos funcionários que já saíram da empresa e alguns dos parceiros da mesma.

    Além disso, foram ainda roubados vários documentos e dados associados com a empresa e saga de Pokémon, com alguns dos dados a encontrarem-se já a circular pela internet.

    Entre os dados roubados encontram-se nomes, emails, dados de email, telefone e outras informações pessoais dos funcionários. A empresa afirma que vai contactar os funcionários afetados diretamente com mais informações sobre o caso.

    A empresa lamenta ainda o sucedido, indicando que foram aplicados de imediato os planos para conter a situação. A empresa afirma ainda que a falha por onde terceiros terão acedido aos dados foi também corrigida, mas sem fornecer mais detalhes sobre a origem da mesma.

    De relembrar que a Game Freak é uma das três empresas que possui atualmente direitos para uso da marca Pokémon, tendo trabalhado em projetos associados ao mesmo. No entanto, esta é uma das mais antigas a contar com o apoio na saga, desde meados dos anos 90.

  • Windows Server recebe nova build no Windows Server Insider

    Windows Server recebe nova build no Windows Server Insider

    Windows Server

    A Microsoft encontra-se a disponibilizar uma nova build do Windows Server 2025, focada para utilizadores no programa de testes da empresa. A nova versão 26304 encontra-se agora disponível para quem esteja registado no Windows Server Insider.

    Esta nova versão chega com algumas melhorias, focadas tanto a nível de estabilidade como correção de erros e falhas. Foi também integrado o novo Windows Defender Application Control for Business, para maior segurança do sistema em ambientes empresariais.

    A Microsoft sublinha algumas das novidades desta versão.

    Windows Defender Application Control para Empresas (WDAC)

    O Windows Defender Application Control (WDAC) para empresas é uma camada de segurança baseada em software que reduz a superfície de ataque, impondo uma lista explícita de software permitido a ser executado. Para o Windows Server 2025, foi disponibilizada uma “política padrão” definida pela Microsoft, que pode ser aplicada ao servidor através de cmdlets do PowerShell, usando a plataforma de configuração de segurança “OSconfig”.

    Pré-visualização do Windows Server 2025 Security Baseline

    A partir da build 26296, está disponível a pré-visualização do Windows Server 2025 Security Baseline. É possível aplicar as configurações de segurança recomendadas para o seu dispositivo ou função de VM desde o início, através de um baseline de segurança ajustado, com mais de 350 definições de segurança pré-configuradas para o Windows. Estas ajudam a aplicar e reforçar configurações de segurança detalhadas que seguem as melhores práticas recomendadas pela Microsoft e pelos padrões da indústria. O conteúdo foi organizado em três categorias, de acordo com o papel do servidor:

    • Controlador de Domínio (DC)
    • Servidor Membro
    • Membro de Grupo de Trabalho

    Nota: A pré-visualização do baseline de segurança deve ser usada apenas em sistemas de teste. Embora exista um comando para “Remover”, nem todas as configurações podem ser revertidas.

    Nova aplicação Feedback Hub disponível para utilizadores do Server Desktop!

    A aplicação deve ser atualizada automaticamente para a versão mais recente, mas, caso não seja, basta verificar atualizações na aba de definições da app.

    Apesar de todas as novidades, a empresa ainda refere que existem alguns problemas conhecidos com esta versão, que devem ser tidos em conta na altura de se realizar a atualização:

    • Download do Windows Server Insider Preview: A etiqueta para esta flight pode referir incorretamente o Windows 11. No entanto, ao selecionar, o pacote instalado será a atualização do Windows Server. Ignore a etiqueta e prossiga com a instalação. Este problema será corrigido numa versão futura.
    • Scripts PowerShell no WinPE: Aplicar o componente opcional WinPE-PowerShell não instala corretamente o PowerShell no WinPE, fazendo com que os cmdlets do PowerShell falhem. Clientes que dependem do PowerShell no WinPE não devem usar esta build.
    • Validação de upgrades do Windows Server 2019 ou 2022: Não é recomendado o uso desta build para upgrades, pois foram identificadas falhas intermitentes de atualização.
    • Arquivamento de registos de eventos com o comando “wevetutil al”: Esta build tem um problema onde o uso deste comando faz com que o serviço Windows Event Log falhe e a operação de arquivamento falhe. O serviço deve ser reiniciado executando “Start-Service EventLog” num prompt de comando administrativo.
    • Secure Launch/DRTM: Não é recomendado instalar esta build se tiver o código de caminho Secure Launch/DRTM ativado.
  • Códigos QR são cada vez mais usados para ataques diretos

    Códigos QR são cada vez mais usados para ataques diretos

    Código QR com hacker

    Os criminosos encontram-se sempre à procura de novas formas de enganar os utilizadores, levando-os para esquemas e burlas dos mais variados feitios. E uma tendência que tem vindo a crescer de forma considerável encontra-se no uso de QR codes para tais práticas.

    De acordo com um novo relatório da Microsoft, existem cada vez mais grupos de hackers a usar esquemas focados para instituições de ensino, sendo que a grande maioria foca-se em tentar obter acesso a plataformas digitais das mesmas. A Microsoft afirma que a indústria da educação foi a terceira mais afetada por tentativas de ataque durante o segundo trimestre de 2024.

    Uma das estatísticas mais interessantes que a empresa recolheu, porém, encontra-se na forma de como estes ataques são feitos. A empresa indica que, diariamente, as instituições de ensino recebem mais de 15 mil mensagens de email contendo códigos QR, que são usados para amplificar o esquema.

    Estes códigos são usados para levar as potenciais vítimas a descarregarem malware nos sistemas, ou a acederem a falsos sites onde podem ser obtidos dados de acesso a diferentes plataformas, ou dados pessoais.

    A Microsoft afirma que os códigos QR são algo relativamente simples de realizar, e que podem conter bastante informação. Além disso, como são simples imagens, são muitas vezes ignoradas pelos tradicionais filtros de spam, levando a que a taxa de sucesso seja consideravelmente mais elevada.

    Embora o foco destes ataques aparente ser para instituições de ensino, é importante ter em conta que podem afetar praticamente qualquer pessoa ou comunidade, e que é uma prática cada vez mais usada para tentar enganar os utilizadores.

    Uma das formas de prevenção parte exatamente dos próprios utilizadores, que devem ter cuidado com mensagens que indiquem códigos QR para aceder a diferentes páginas ou que peçam para realizar atividades adicionais em plataformas desconhecidas.

  • Casio confirma roubo de dados de clientes em recente ataque

    Casio confirma roubo de dados de clientes em recente ataque

    Casio com ransomware

    A Casio foi recentemente alvo de um ataque informático, onde sistemas internos da empresa foram comprometidos. Embora, inicialmente, os detalhes sobre o ataque ainda fossem algo reduzidos, agora chegam mais informações do que realmente aconteceu.

    O ataque foi confirmado pela empresa no início desta semana, sendo que a Casio alertou para falhas em vários dos seus sistemas, resultado de um ataque informático contra a entidade. Na altura, a empresa indicou que os sistemas foram preventivamente desativados, e que a investigação do incidente estaria a ser realizada.

    O ataque foi reclamado pelo grupo de ransomware Underground, sendo que agora surge a informação que, para além de dados internos da empresa, também terão sido comprometidos dados de parceiros e clientes da mesma.

    Entre os dados encontra-se informação potencialmente sensível dos clientes, como nomes, moradas, emails, números de telefone e outros dados de identificação. Além de dados de clientes, esta mesma informação também se aplica a parceiros da empresa, que realizam negócios diretamente com a mesma.

    A Casio afirma que os dados não incluem meios de pagamento ou dados de cartão de crédito, tendo em conta que essa informação não se encontra armazenada nos sistemas da entidade. A investigação do incidente ainda se encontra a ser realizada, sendo que a entidade encontra-se a notificar os utilizadores afetados de forma individual.

    A empresa alerta ainda para possíveis esquemas que podem vir a surgir da recolha destes dados, onde podem ser usados para enganar as potenciais vítimas.

  • AMA restaura serviços afetados por ataque de ransomware

    AMA restaura serviços afetados por ataque de ransomware

    Ransomware da AMA

    Durante o dia de ontem, a Agência para a Modernização Administrativa (AMA) foi alvo de um ataque informático, que por mais de 24 horas teve impacto na funcionalidade de vários serviços. Entre estes encontram-se os sistemas de autenticação e de vários serviços de atendimento.

    De acordo com o novo comunicado agora emitido, a entidade afirma que foram aplicadas medidas para reduzir o impacto do ataque de ransomware, sendo que alguns dos serviços da mesma já se encontram novamente operacionais. Isto permite que várias lojas de cidadão, bem como várias plataformas do governo, voltem assim a ficar disponíveis.

    A AMA afirma ainda que “continua determinada em repor a normalidade dos serviços, estando em curso os trabalhos necessários para o efeito em estreita colaboração com as autoridades nacionais competentes em matéria de cibersegurança e cibercrime para restabelecer, de forma segura, o pleno funcionamento das nossas operações”.

    Para a comunidade em geral, a AMA recomenda que se tenha cuidado com possíveis esquemas que podem surgir deste ataque, nomeadamente de contactos e outros meios de pedido de informação, onde se pode levar a esquemas e burlas. Um dos alertas encontra-se em possíveis pedidos de recuperação para a Chave Móvel Digital, que pode ser aproveitado para enganar os utilizadores sobre o pretexto do ataque.

    De relembrar que o ataque de ransomware teve um “impacto substancial ao nível dos serviços suportados por esta entidade, tais como a Autenticação.Gov e o Gov.ID”. Tendo em conta que se tratou de um ataque de ransomware, ainda se desconhece se o mesmo levou a que dados fossem roubado da entidade, ou se terá sido meramente a encriptação de sistemas internos da AMA.

  • AMA alvo de ataque de ransomware deixa plataformas inacessíveis

    AMA alvo de ataque de ransomware deixa plataformas inacessíveis

    AMA ransomware

    A AMA – Agência para a modernização Administrativa – é a mais recente vítima de um ataque de ransomware, tendo sido confirmado pelo Centro Nacional de Cibersegurança. De acordo com o comunicado, o incidente terá afetado vários sistemas da plataforma, como o sistema de autenticação.gov.

    O incidente terá ocorrido durante o dia de hoje, sendo que teve impacto no acesso a algumas das plataformas. DE momento, serviços como a Autenticação.gov e Gov.ID encontram-se inacessíveis ou com falhas derivado deste ataque.

    Ainda se desconhece a extensão do incidente, mas normalmente, num ataque ransomware, conteúdos dos sistemas são encriptados e as vítimas necessitam de realizar o pagamento para reaver os mesmos. Em algumas situações os conteúdos encriptados podem ainda ser roubados para potencial extorsão – e caso o pagamento não seja realizado, passam a ficar disponíveis publicamente.

    Até ao momento nenhum grupo de ransomware confirmou a autoria do ataque, e é desconhecido quais os dados que podem eventualmente ter sido afetados.

  • OpenAI alerta para ataques contra funcionários com origem na China

    OpenAI alerta para ataques contra funcionários com origem na China

    OpenAI logo

    A OpenAI encontra-se a indicar que vários dos seus funcionários encontram-se a ser vítimas de ataques, que parecem ter origem na China e de entidades associadas ao país. A empresa indica que existem grupos de hackers na China focados em realizar ataques contra os funcionários da empresa e de tentarem aceder aos sistemas da mesma.

    De acordo com a Bloomberg, a OpenAI tem vindo a registar uma série de tentativas de ataque contra os seus funcionários, a maioria de tentativas de phishing, onde o objetivo parece ser obter acesso aos sistemas internos da entidade.

    Os atacantes realizam várias tentativas e práticas para obterem acesso às contas dos funcionários, incluindo links e anexos para conteúdos potencialmente maliciosos.

    Segundo a empresa, embora os ataques tenham aumentado, a OpenAI refere que nenhum funcionário foi diretamente afetado ou caiu no esquema. Além disso, foram reforçadas as medidas de segurança e treino para evitar que os mesmos possam cair nestes esquemas.

    Muitas das tentativas são bloqueadas ainda antes de chegarem à caixa de entrada dos funcionários da OpenAI, mas ainda existem alguns esquemas que conseguem contornar as regras para tal.

    Embora a OpenAI aponte que os ataques possuem origem na China, nenhum grupo em concreto foi indicado, nem assumiu que estaria a tentar realizar estes acessos. Esta informação surge também numa altura importante para a OpenAI, onde esta encontra-se a realizar várias restruturações internas, e pondera começar a passagem de uma empresa sem fins lucrativos para uma entidade comercial.

  • 31 milhões de utilizadores afetados em roubo de dados do Wayback Machine

    31 milhões de utilizadores afetados em roubo de dados do Wayback Machine

    Wayback machine hacker

    Depois de, durante o final do dia de ontem, a “Wayback Machine” ter começado a apresentar uma mensagem suspeita, agora confirma-se que foi realmente realizado o roubo de dados da plataforma e dos seus utilizadores. Os utilizadores que acederam à plataforma durante o final do dia, podem ter recebido uma mensagem suspeita, a indicar que a plataforma e os seus dados teriam sido comprometidos.

    A mensagem indicava que os dados de 31 milhões de utilizadores poderiam ter sido comprometidos num ataque bastante alargado à plataforma. Agora, de acordo com o Have I Been Pwned de Troy Hunt, o roubo de dados foi efetivamente confirmado. O investigador de segurança afirma que teria conhecimento do roubo faz alguns dias, sendo que rapidamente os dados roubados foram integrados na base de dados do portal. Os utilizadores afetados devem começar a receber a notificação da plataforma, caso estejam registados na mesma.

    De acordo com a informação obtida, os atacantes terão conseguido obter acesso a uma base de dados com 6.4GB, apelidada de ia_users.sql, onde se encontram informações sobre as contas dos utilizadores. Esta base de dados inclui dados como emails, nomes de utilizadores, histórico de alterações de senhas e senhas encriptadas em Bcrypt, com outros dados internos da plataforma.

    Os dados mais recentes da plataforma indicam que existem informações de contas de utilizadores datadas de 28 de Setembro de 2024, altura em que o roubo deverá ter sido realizado.

    Estima-se que o roubo afete cerca de 31 milhões de utilizadores, associados com contas ativas na plataforma do Wayback Machine. O investigador de segurança afirma ainda que terá contactado a Internet Archive 3 dias antes do incidente ser conhecido, mas não obteve resposta sobre o caso.

    O site esteve ainda inacessível durante várias horas, não apenas relacionado com este roubo de dados, mas também com uma onda de ataques DDoS que têm afetado o serviço.

  • Web Archive pode ter sido alvo de ataque informático

    Web Archive pode ter sido alvo de ataque informático

    Internet Archive ataque

    Para quem pretenda revisitar algum site na internet no passado, o Internet Archive é um dos principais e mais usados meios de o fazer. A plataforma tem vindo, faz mais de uma década, a recolher os vários sites da internet para criar um gigante arquivo histórico digital.

    Durante o dia de ontem, a plataforma enfrentou alguns contratempos, ficando várias vezes inacessível, no que viria a ser confirmado como um ataque DDoS realizado na infraestrutura. No entanto, agora existem indicações de que o problema pode ser ainda mais grave.

    Durante o dia de hoje, 9 de Outubro, os utilizadores que acederam ao site devem ter verificado um alerta a surgir no mesmo. A mensagem indicava que dados da plataforma e dos seus utilizadores poderiam ter sido comprometidos, tendo sido colocada alegadamente pelo atacante.

    imagem da mensagem no site

    Atualmente o site encontra-se inacessível, apresentando apenas uma mensagem de erro. Não existe uma confirmação oficial sobre o sucedido, sendo que a Internet Archive ainda não deixou qualquer notificação sobre eventuais ataques.

  • Casio confirma ter sido vítima de ataque informático

    Casio confirma ter sido vítima de ataque informático

    Casio confirma ter sido vítima de ataque informático

    A fabricante japonesa Casio confirmou ter sido alvo de um ataque informático, no qual terceiros conseguiram aceder à rede interna da empresa. O ataque, segundo o comunicado da entidade, foi realizado a 5 de outubro, e causou a inacessibilidade de vários sistemas da mesma.

    O ataque aparenta ter afetado a divisão da Casio Computer, responsável por vários dispositivos da marca como relógios, calculadores e instrumentos musicais. De acordo com o comunicado, foi identificado um acesso indevido aos sistemas da empresa a 5 de Outubro, que terá sido feito de forma não autorizada.

    Na investigação realizada, a entidade afirma que o acesso levou a que vários sistemas da mesma ficassem inacessíveis. Por agora, não foram reveladas mais informações sobre o ataque, tendo em conta que as investigações ainda se encontram a decorrer, mas a empresa promete deixar mais detalhes em breve.

    Embora a Casio indique que vários sistemas foram afetados, não foram deixados detalhes sobre a origem concreta do ataque ou que sistemas foram afetados.

    Até ao momento, nenhum grupo de ransomware terá confirmado o ataque, embora isso possa demorar alguns dias a surgir. Embora não exista confirmação que tenha sido um ataque de ransomware, o facto de vários serviços da entidade terem sido afetados aponta para a possibilidade de tal.

    De notar que, faz aproximadamente um ano, a plataforma ClassPad da Casio foi alvo de um ataque informático, de onde os atacantes conseguiram obter vários dados pessoais de clientes da mesma.

  • Moneygram confirma roubo de dados de clientes em recente ataque informático

    Moneygram confirma roubo de dados de clientes em recente ataque informático

    Moneygram confirma roubo de dados de clientes em recente ataque informático

    Recentemente, a plataforma de transferência de dinheiro MoneyGram esteve durante vários dias inacessível, antes de ter confirmado que foi alvo de um ataque informático. Os primeiros sinais do ataque foram verificados a 27 de Setembro, que levou a empresa a encerrar todos os seus servidores.

    A medida teve impacto no normal funcionamento da plataforma para os seus clientes, que ficaram impossibilitados de usar a mesma. Agora, a notificação da empresa às autoridades confirma que o ataque pode ter levado ao roubo de dados dos clientes.

    Na notificação, a empresa afirma que os atacantes se mantiveram na rede interna da empresa, e potencialmente, a roubar dados sensíveis, entre 20 e 22 de Setembro de 2024. Durante este período, os atacantes acederam e roubaram informação sensível de vários clientes da empresa.

    Entre os dados roubados encontram-se nomes, moradas, números de telefone, dados bancários e de identificação, entre outros considerados importantes e delicados. Na mensagem, a empresa alerta ainda os clientes para a possibilidade de os dados serem usados para outros formatos de ataques e burlas, direcionados aos mesmos.

    A MoneyGram afirma que a quantidade de dados roubados varia de cliente para cliente, pelo que nem todos os registos podem ter sido diretamente roubados de cada cliente afetado.

    Acredita-se que o ataque terá começado de um posto de suporte, onde o funcionário pode ter fornecido incorretamente os dados de acesso para a rede interna da empresa, o que levou posteriormente ao acesso aos dados dos clientes.

    De momento ainda se desconhece quem se encontra por detrás deste ataque, sendo que nenhum grupo conhecido alega ter realizado o mesmo.

  • Estações televisivas russas inacessíveis devido a ataque informático

    Estações televisivas russas inacessíveis devido a ataque informático

    Estações televisivas russas inacessíveis devido a ataque informático

    Vários canais de televisão russos encontram-se atualmente inacessíveis ou a apresentar mensagens de erro, no que se acredita que tenha sido originado de um ataque informático aos mesmos.

    De acordo com os meios de comunicação social russos, desde o início do dia que os canais de TV Rossiya 1 e Rossiya-24 encontram-se sem transmissão. Embora não exista uma confirmação oficial, várias fontes indicam que a inacessibilidade se encontra relacionada com um forte ataque informático realizado aos sistemas internos de ambas as entidades.

    Algumas fontes indicam que o ataque pode ter afetado vários sistemas internos das entidades, com dados permanentemente eliminados dos mesmos. Uma fonte indica que o ataque terá eliminado dados tanto dos sistemas internos usados para a transmissão e armazenamento de informações, como também de sistemas de backup.

    A mesma fonte indica ainda que o problema é considerado como “bastante grave” e pode demorar várias horas, ou até mesmo dias, a ser totalmente restabelecido. Até ao momento não existe uma confirmação oficial das entidades afetadas sobre o sucedido.

    De notar que ambas as entidades televisivas fazem parte de um grupo que é controlado pelo governo Russo, e que tem sido usado para distribuir campanhas de desinformação para a população russa sobre a guerra ativa com a Ucrânia.

  • Notificação de novo cartão no Google Pay foi apenas um erro

    Notificação de novo cartão no Google Pay foi apenas um erro

    Notificação de novo cartão no Google Pay foi apenas um erro

    Os utilizadores do Google Pay foram recentemente surpreendidos com um email misterioso da plataforma, indicando que um novo cartão bancário teria sido adicionado com sucesso nas suas contas. Esta mensagem, como seria de esperar, rapidamente causou algumas dores de cabeça, com muitos utilizadores a colocarem em possibilidade o facto das suas contas terem sido comprometidas.

    No entanto, embora a notificação tenha causado algum pânico, na realidade tratou-se apenas de um bug da plataforma da Google. A mensagem apenas indicava que um novo cartão tinha sido adicionado na conta, e em alguns casos, era ainda referido que o cartão era um antigo que os utilizadores, no passado, teriam adicionado na mesma.

    Em alguns dos casos, esses cartões estariam até mesmo expirados, portanto não faria sentido estarem a ser colocados novamente na conta.

    Apesar disso, a notificação é logo suficiente para causar algum pânico inicial. Vários utilizadores reportaram receber a mensagem, e através dos meios de suporte da Google, exigiram respostas sobre o que estaria a acontecer.

    A Google veio entretanto confirmar o problema, indicando que o envio da notificação terá sido feito em erro. Esta notificação pode ter sido recebida sobretudo por utilizadores que teriam adicionado cartões antigos nas suas contas do Google Pay. Muitos destes cartões até já estariam expirados, sendo que o bug estaria associado com os sistema de notificações para novos cartões.

    A empresa afirma ainda que a mensagem não se encontra relacionada com qualquer ataque, e que terá sido apenas uma falha associada ao sistema de notificações. A empresa enviou, algumas horas mais tarde, uma nova mensagem para todos os utilizadores afetados, indicando mais detalhes sobre o caso.

  • Loja online da LEGO esteve algumas horas a promover criptomoedas em ataque

    Loja online da LEGO esteve algumas horas a promover criptomoedas em ataque

    LEGO deadpool

    Quem tenha visitado a loja online da Lego no passado dia 4 de Outubro pode ter sido surpreendido com uma ligeira alteração que não era esperada.

    Durante algumas horas, o site da loja online oficial da Lego esteve a promover uma campanha de criptomoedas, através de um banner presente no site inicial da plataforma. Este banner redirecionava os utilizadores para recolherem uma moeda especial da LEGO, no novo token que se encontrava disponível.

    No entanto, este token não era oficialmente lançado pela empresa, e ao que parece, terá sido um banner introduzido por um ataque ao site da plataforma. Os atacantes conseguiram alterar o banner no site para redirecionar para o falso site da campanha de criptomoedas, sendo que, quando a alteração foi verificada, rapidamente a plataforma entrou em ação.

    lego criptomoedas

    A resposta da empresa foi relativamente rápida, sendo que o banner esteve apenas algumas horas acessível na loja online. A LEGO deixou ainda um comunicado a informar que o ataque não teve qualquer impacto em dados da plataforma ou dos clientes, e que todas as atividades da loja online continuaram na normalidade.

    A investigação ao incidente foi iniciada, e de momento, encontram-se a ser feitas medidas para evitar que a situação se repita no futuro.

  • Criadores de Outlast afetados por ataque informático

    Criadores de Outlast afetados por ataque informático

    Criadores de Outlast afetados por ataque informático

    Os estúdios Red Barrels, criadores do popular jogo Outlast, confirmaram que a nova versão do jogo terá o lançamento adiado, depois da empresa ter sofrido um ataque informático que pode ter comprometido dados internos da mesma.

    De acordo com o comunicado da empresa, embora o ataque não tenha comprometido dados dos utilizadores ou dados sensíveis, terá prejudicado o desenvolvimento do jogo. Derivado disso, a editora terá de alterar os planos para os futuros jogos que estavam previstos de chegar ao mercado.

    A editora afirma que, depois do ataque ter sido identificado, foram tomadas todas as medidas de segurança para evitar que o mesmo propagasse a outros sistemas, contendo os sistemas afetados. Foram ainda ativadas as medidas de segurança para estes casos, e uma investigação encontra-se ainda a decorrer.

    A entidade afirma ainda que todos os investidores da mesma foram alertados do impacto do ataque e das medidas tomadas. Embora dados sensíveis não tenham sido comprometidos, o desenvolvimento do jogo foi afetado, obrigando a que sejam feitos ajustes.

    The Outlast Trials, lançado em Março de 2024, foi mencionado no comunicado, indicando que é possível que atualizações do mesmo e novos conteúdos que estariam previstos para os próximos meses tenham de ser adiados.

    Outlast 3 também já tinha sido indicado pela entidade, e estaria em desenvolvimento. Embora não tenha sido diretamente mencionado, é bastante provável que o ataque tenha igualmente prejudicado a linha de lançamento deste.

    A investigação do incidente ainda se encontra a decorrer, e deve manter-se durante as próximas semanas. A Red Barrels afirma que irá fornecer mais informações quando estas ficarem disponíveis.

  • Correção da falha CUPS pode levar a ataques DDoS amplificados

    Correção da falha CUPS pode levar a ataques DDoS amplificados

    Correção da falha CUPS pode levar a ataques DDoS amplificados

    Recentemente foi descoberta uma falha sobre o Common Unix Printing System (CUPS), um processo de Linux usado para o sistema de impressão no mesmo. Esta falha, se explorada, poderia permitir que os atacantes tivessem a capacidade de enviar comandos remotos para o sistema.

    Embora a falha tenha sido inicialmente classificada como grave, tendo em conta que nem todos os sistemas possuem o CUPS e ainda existem alguns passos adicionais a ser feitos para a falha ser explorada – envolvendo atividade do próprio utilizador – a falha acabou por não ser tão grave como esperado.

    No entanto, a correção da mesma pode ter efeitos colaterais, que podem ser ainda mais graves. Um grupo de investigadores revelou ter descoberto que a correção para o CUPS pode levar a que sejam amplificados ataques DDoS.

    O ataque inicial era explorado com o envio de um pedido UDP para os sistema afetado, através do processo do CUPS no mesmo. No entanto, quando a correção se encontra aplicada, e caso o mesmo pacote seja enviado, este acaba por criar um pedido HTTP e IPP mais largo contra o dispositivo de origem. Com isto, os atacantes podem enviar pedidos UDP forjados para fazerem-se passar por um sistema, e a resposta é enviada para o mesmo – amplificando consideravelmente o ataque.

    Tendo em conta que pedidos UDP são relativamente simples de enviar, as respostas fornecidas pelo sistema afetado podem ser usadas para largos ataques DDoS contra eventuais vítimas.

    Os investigadores alertam ainda que o ataque é algo relativamente simples de se realizar, sendo que é bastante fácil de enviar um elevado número de pacotes UDP e em curtos espaços de tempo. Estes sistemas podem depois enviar os pedidos para um sistema remoto com pacotes e tráfego consideravelmente superiores, levando a largos ataques DDoS.

    Embora existam novas proteções contra ataques DDoS, a maioria dos sistemas ainda se encontram sujeitos a sofrer os mesmos, o que pode ter várias consequências, desde elevado uso de tráfego, congestionamento dos servidores ou uso elevado de recursos, causando a inacessibilidade das plataformas associadas.

  • Sites Magento e Adobe Commerce estão a ser alvo de ataques em massa

    Sites Magento e Adobe Commerce estão a ser alvo de ataques em massa

    Sites Magento e Adobe Commerce estão a ser alvo de ataques em massa

    Sites baseados em Magento e Adobe Commerce encontram-se a ser alvo de uma nova campanha de malware, que tem vindo a alargar-se de forma considerável nos últimos dias, causando com que milhares de sites fiquem potencialmente afetados.

    O ataque encontra-se a ser conhecido como “CosmicSting”, e explora uma falha existente nas plataformas, que pode ser usada para executar código remotamente nos sistemas afetados. Esta falha pode permitir que os atacantes obtenham acesso aos sistemas onde os sites se encontram, e possam obter os dados e executar comandos remotos.

    De acordo com a empresa de segurança Sansec, os ataques terão começado em Junho de 2024, e até agora cerca de 4275 sites foram afetados pelos mesmos. Entre algumas das vítimas encontram-se entidades como a Whirlpool, Ray-Ban, National Geographic, Segway, e Cisco.

    Os investigadores alertam que os atacantes encontram-se agora a realizar ataques a um ritmo consideravelmente mais acelerado, tentando explorar sistemas que ainda não tenham sido atualizados.

    Embora a atualização para a falha esteja disponível, agora que os detalhes são publicamente conhecidos é bastante provável que os atacantes tenham aumentado o ritmo dos ataques, para chegarem a ainda mais sites antes destes serem atualizados.

    Quando um site é afetado, um script malicioso é instalado no mesmo, que depois pode ser usado para as mais variadas atividades. Entre estas encontra-se a recolha de dados dos utilizadores que realizem compras nas lojas online, bem como recolha de dados de pagamento e outras informações sensíveis, que podem depois ser usadas para outros ataques.

    Os administradores de plataformas Magento e Adobe Commerce devem certificar-se que as mesmas estão atualizadas para as versões mais recentes, de forma a evitarem ser vítimas deste ataque.

  • Cloudflare mitigou um novo recorde de ataque DDoS volumétrico

    Cloudflare mitigou um novo recorde de ataque DDoS volumétrico

    Cloudflare mitigou um novo recorde de ataque DDoS volumétrico

    O Cloudflare confirmou ter bloqueado o que pode ter sido um dos maiores ataques DDoS registados nos últimos tempos. A plataforma confirmou ter bloqueado um ataque DDoS volumétrico, que teve um total de 3.8 terabits por segundo de dados.

    De acordo com a empresa, o ataque terá sido distribuído por mais de um mês, num total de mais de 100 pequenos ataques, com o objetivo de tentar destabilizar a plataforma associada. A entidade afetada pelo ataque não foi revelada, com a Cloudflare a indicar apenas que terá sido uma entidade ligada ao ramo financeiro, de internet e telecomunicações.

    Um ataque DDoS volumétrico foca-se em sobrecarregar os sistemas de uma determinada entidade, com bastante tráfego, de forma a que pedidos legítimos dos utilizadores não sejam processados corretamente.

    dados do ataque

    A Cloudflare indica que o ataque em questão terá usado uma rede botnet de vários routers e dispositivos comprometidos, em diferentes países. Entre os principais originários do tráfego encontra-se o Brasil, Rússia, Vietname e Espanha.

    dados da origem do ataque

    O ataque que atingiu o pico de 3.8 Tbps terá durado 65 segundos, e durante todo o tempo, a plataforma do cliente da Cloudflare não sofreu qualquer indisponibilidade. Ao mesmo tempo, o ataque terá sido inteiramente mitigado pelos sistemas automáticos da empresa.

    O recorde anterior de um ataque DDoS volumétrico encontrava-se com a Microsoft, onde esta mitigou um de 3.47 Tbps na Azure, para um dos seus clientes na Ásia.