Categoria: ataque

Aplicação “navegante” inacessível devido a ataque informático

A aplicação “Navegante”, usada para carregar os passes dos transportes públicos da zona Metropolitana de Lisboa, foi recentemente alvo de um ataque informático. A confirmação parte da própria entidade responsável pela plataforma, que afirma ter sido alvo de um ataque informático “massivo”, causando vários impactos a nível do uso da plataforma.

O ataque terá ocorrido desde o dia 30 de Setembro, e ainda se encontra a afetar os serviços associados com a aplicação. O site da Carris Metropolitana apenas indica que a plataforma encontra-se sobre um ataque informático, mas desconhece-se para já os detalhes do mesmo e qual a origem.

A empresa sublinha ainda que se encontra a trabalhar para restaurar a normalidade o mais rapidamente possível. Durante o dia de hoje, 1 de Outubro, a aplicação ainda apresenta falhas e não se encontra ativa, o que indica que o ataque ainda deverá encontrar-se a ocorrer.

Tendo em conta que hoje é o primeiro dia do mês, altura em que vários utilizadores tentam carregar os seus passes, e usam a aplicação para tal, o ataque pode ter um grande impacto.

01/10/2024
Falha em veículos da Kia pode permitir ataques a milhares de viaturas

Um grupo de investigadores revelou ter descoberto uma falha que pode afetar milhares de viaturas da Kia. A falha, se explorada, pode permitir aos atacantes realizarem várias ações nos veículos, incluindo abrir as portas, usando apenas a matrícula dos mesmos.

A falha pode afetar todos os veículos da empresa vendidos depois de 2013. Esta falha é uma consequência de outra que foi descoberta em 2022, onde um grupo de investigadores também revelou a descoberta de uma vulnerabilidade de segurança em vários veículos no mercado, de marcas como a Ferrari, BMW, Rolls Royce, Porsche, entre outras. A falha poderia permitir abrir os veículos de forma remota, localizar e realizar várias outras ações nos mesmos, com impacto em mais de 15 milhões de veículos no mercado.

A falha agora descoberta vai em seguimento da anterior de 2022, mas afeta agora os veículos da Kia. Esta foi descoberta a 11 de Junho de 2024, e afeta o portal web da empresa, onde os donos de veículos podem controlar várias ações dos mesmos.

Se os veículos tiverem dispositivos que permitem a interligação com a Kia Connect, mesmo que não estejam ativos, podem ser ativamente explorados neste ataque, bastando saber a matrícula do mesmo.

A falha pode ainda expor dados sensíveis dos condutores, como o nome, número de telefone, emails e dados de morada. Estes dados podem ser usados para outros formatos de ataques. Para demonstrar o ataque, os investigadores revelaram como se pode desbloquear uma viatura em menos de 30 segundos explorando esta falha com software criado para tal.

A Kia afirma ter sido notificada da falha, sendo que a mesma foi, entretanto, corrigida. Não se conhecem detalhes de onde a mesma tenha sido usada para atividades maliciosas.

27/09/2024
Falha no serviço CUPS permite execução remota de código, mas impacto é limitado

Durante o dia de ontem, foi revelado que iria em breve ser confirmada uma vulnerabilidade que poderia afetar virtualmente todos os sistemas Linux no mercado. No entanto, agora que se conhecem os detalhes sobre a falha, a expectativa é algo menos dramática do que era inicialmente suposto.

A falha que foi identificada no sistema afeta o serviço CUPS, normalmente usado dentro do Linux para a impressão. Se explorada, a falha pode realmente permitir que seja executado código remotamente no sistema, com o potencial de roubo de dados e outras atividades maliciosas.

A falha encontra-se englobada num conjunto de vulnerabilidades diversas, entre as quais CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) e CVE-2024-47177 (cups-filters), tendo sido descoberta pelo investigador Simone Margaritelli. No entanto, ao contrário do que era inicialmente indicado, a falha não afeta todos os sistemas Linux.

Na realidade, a falha apenas pode ser explorada em certas configurações de sistemas que foram modificados, não surgindo em configurações padrão, e existem muitas distribuições onde este serviço em particular nem é usado – como é o caso de servidores.

O CUPS possui uma funcionalidade que permite, de forma automática, identificar as impressoras numa rede local, que será também onde reside aqui a falha. Este sistema de localização funciona sobre a porta 631. O que o investigador descobriu será que, caso a porta esteja aberta e o serviço do CUPS ativo, podem ser enviados comandos remotos para executar certas atividades maliciosas.

O investigador revelou ter descoberto que é possível criar um PostScript Printer Description (PPD), basicamente uma falsa impressora, que pode ser usada para interligar com o serviço, e enviar comandos maliciosos para os hospedeiros, pois o serviço vai tentar instalar a impressora no sistema, e caso o realize, vai permitir o envio dos comandos.

Embora a falha seja, efetivamente, considerada uma falha de execução remota de código, o impacto no mundo real será bastante diferente do que era inicialmente esperado. A falha foi classificada pelo investigador como algo que iria afetar praticamente todas as distribuições de Linux, e que teria o potencial de ser classificada com uma gravidade de 9.9 em 10.

No entanto, a realidade é algo diferente. Primeiro, a falha apenas afeta sistemas que tenham versões desatualizadas do CUPS, e que tenham sido configurados para automaticamente pesquisarem por novas impressoras na rede – uma configuração fora do padrão. E além disso, a falha apenas pode ser explorada depois das vítimas realmente imprimirem um documento pela falsa impressora instalada no sistema – antes disso, nada acontece.

Embora ainda seja uma grave falha, o seu impacto a nível real é bastante mais limitado, o que será boas noticias para os administradores de sistemas. A Red Hat veio classificar a falha como Importante, invés de crítica. Além disso, para a grande maioria dos sistemas em servidores, este serviço não se encontra ativo por padrão.

Embora não existe ainda uma correção para o problema, a forma de mitigar o mesmo será relativamente simples, bastando parar o processo associado com a pesquisa automática de impressoras na rede, usando os seguintes comandos:

sudo systemctl stop cups-browsed

sudo systemctl disable cups-browsed

Este comando pode ainda ser usado para prevenir que o serviço arranque automaticamente no reinicio do sistema:

sudo systemctl status cups-browsed

Isto deverá ser suficiente para prevenir que o serviço seja explorado para este ataque.

27/09/2024
Malware já começa a tentar contornar proteção de cookies no Chrome

O Chrome tem vindo a adotar novas medidas de segurança, focadas em prevenir que malware possa roubar os cookies do navegador para aceder a contas no mesmo. Este género de ataque tem vindo a ser cada vez mais comum, o que é considerado um problema grave para a Google.

A pensar nisso, o Chrome integrou recentemente algumas medidas de proteção para prevenir que os cookies possam ser roubados por malware. No entanto, tal como existe um lado a tentar defender-se, existe o outro a tentar contornar essas defesas.

Recentemente foi descoberto um novo malware, que é focado em roubar as credenciais de login e contas ativas no Chrome através dos cookies, e que possui a capacidade de contornar algumas das proteções recentemente implementadas no mesmo.

O Chrome 127 integrou um novo sistema de proteção para cookies, que encripta os conteúdos dos mesmos para ficarem associados apenas ao sistema de onde foram originalmente criados. Esta medida previne que, caso os cookies sejam roubados, possam ser usados em outros sistemas externos. Além disso, a encriptação é feita usando um processo dedicado, que corre com permissões administrativas elevadas no sistema – invés de usar as permissões do utilizador ativo no momento.

No entanto, os investigadores de segurança revelaram ter descoberto um novo malware, que é capaz de continuar a roubar os dados dos cookies, bastando obter acesso administrativo ao sistema. O malware encontra-se aparentemente a ser adaptado para contornar estas ferramentas de proteção do Chrome, e embora ainda esteja numa fase bastante inicial, parece que o foco será criar um malware capaz de contornar a proteção por completo.

De momento ainda se desconhece detalhes de como este malware é capaz de contornar a proteção do Chrome, tendo em conta que os investigadores ainda se encontram a analisar o mesmo. Espera-se que mais detalhes venham a ser conhecidos em breve.

No entanto, isto será uma corrida de um lado e do outro. A Google pretende correr para integrar formas de garantir mais segurança para os dados e contas dos utilizadores, enquanto que do lado do malware este adapta-se para tentar evitar e contornar essas mesmas proteções.

25/09/2024
Moneygram confirma ataque depois de dias inacessível

A plataforma de transferência de dinheiro MoneyGram, depois de vários dias inacessível sem explicação, veio agora confirmar ter sido alvo de um ataque informático, o qual terá comprometido a segurança da infraestrutura da entidade.

A confirmação surge quase depois de 5 dias de inacessibilidade na plataforma, com os utilizadores a reportarem falhas no uso de praticamente todos os serviços da mesma. Inicialmente surgiram rumores que a entidade poderia ter sido atacada, mas apenas agora surge a confirmação oficial da mesma sobre o caso.

A MoneyGram confirmou que foi alvo de um ataque informático, e que teve de suspender as suas atividades e sistemas durante a investigação do incidente. A empresa afirma que foram imediatamente realizadas as medidas de segurança depois do ataque ter sido confirmado, e que a investigação do mesmo ainda se encontra a decorrer.

O MoneyGram é uma plataforma vulgarmente usada para a transferência de dinheiro entre diferentes países, sendo bastante usada nos EUA, mas tendo uma rede de 350.000 lojas distribuídas por mais de 200 países.

Os problemas começaram a surgir no início do dia 20 de Setembro, quando o site da entidade começou a apresentar uma mensagem de manutenção, juntamente com as falhas registadas em todas as suas apps. O problema de acesso manteve-se desde então, sem qualquer confirmação pela entidade sobre o que estaria a acontecer.

Apenas durante o dia de ontem, 24 de setembro, a empresa veio confirmar oficialmente que teria sido alvo de um ataque informático. A empresa reconhece a urgência de resolver o problema, para permitir que os clientes voltem a usar a plataforma, e afirma encontrar-se a trabalhar na situação com a maior prioridade possível.

No entanto, apesar da confirmação, praticamente todas as plataformas da mesma ainda se encontram inacessíveis e com falhas. De momento ainda se desconhece quando o serviço voltará a ficar disponível e desconhece-se também quais os dados e sistemas que podem ter sido afetados.

Nenhum grupo veio atualmente confirmar ter sido a origem do ataque ou de um possível roubo de dados, embora isso possa demorar alguns dias a acontecer.

25/09/2024
Disney deixa de usar Slack depois de recente roubo de dados

A Disney confirmou que vai deixar de usar a plataforma de comunicações do Slack, depois de um incidente que ocorreu em Julho, e terá exposto informação da empresa através deste canal de comunicação.

O ataque aconteceu em Julho deste ano, quando quase 1TB de dados associados ao Slack da empresa, incluindo mensagens confidenciais e ficheiros partilhados na plataforma, foram publicamente disponibilizados.

Estes dados incluem várias comunicações internas, de projetos a decorrer e diversos ficheiros partilhados em quase 10.000 canais de comunicação da entidade.

De acordo com a CNBC, a Disney já terá começado a migrar as suas plataformas de comunicação interna para um novo sistema completamente novo, embora os detalhes do mesmo ainda sejam desconhecidos. A empresa deve começar a notificar os funcionários para usarem a nova plataforma durante os próximos meses.

Um mês antes deste ataque, a Disney tinha sofrido outro roubo de dados, desta vez de 2.5 GB de informações sobre o antigo jogo Club Pinguin, incluindo vários documentos internos e confidenciais, através de um servidor Confluence vulnerável.

O Slack pode ser um meio de comunicação importante para atacantes, tendo em conta que são muitas vezes usados para a partilha de dados sensíveis e confidenciais, e onde se pode encontrar informação potencialmente valiosa para venda de várias entidades. Muitas empresas usam este meio para a partilha de dados internamente e com as diferentes equipas, abrindo portas para possíveis ataques em massa e roubo de dados.

22/09/2024
Dell investiga possível ataque informático

A Dell encontra-se a investigar um recente incidente de segurança, que pode ter afetado os sistemas internos da empresa, e de onde foram roubados detalhes sensíveis sobre os funcionários.

Os rumores sobre o ataque surgiram depois de um utilizador ter partilhado, em fóruns da dark web, uma lista alegando conter dados da Dell para venda. Esta lista inclui dados de quase 10.000 funcionários da Dell, e teria sido obtida por ataque direto aos sistemas internos da empresa.

O vendedor dos dados indica que o ataque teria ocorrido em Setembro de 2024, depois de uma pequena falha nos sistemas da empresa ter permitido acesso aos conteúdos dos funcionários e alguns parceiros.

A lista de dados inclui Ids de identificação, nomes completos, moradas e outras informações sensíveis e internas dos funcionários e dos parceiros da empresa.

Em comunicado, a Dell afirma que se encontra a investigar o incidente, estando ainda a analisar a possibilidade de os sistemas terem sido comprometidos. De momento ainda se desconhece se os dados seriam legítimos, tendo em conta que as investigações ainda se encontram a ser realizadas.

22/09/2024
Tor veio garantir que a rede ainda é segura e fornece privacidade

O Tor Project, entidade responsável pela rede Tor, deixou recentemente uma garantia de que a sua rede ainda continua a ser segura, apesar dos recentes casos de autoridades a conseguirem identificar utilizadores na mesma através da análise dos dados.

Recentemente surgiram indicações de que as autoridades na Alemanha, e de vários outros países, estariam a trabalhar em conjunto para analisar a rede Tor, de forma a conseguir identificar os utilizadores que estariam ativamente a usar a mesma para atividades criminosas.

A entidade afirma que a rede continua a ser segura, desde que os utilizadores tenham em conta igualmente o modo de funcionamento da mesma, e usem todas as ferramentas mais recentes e atualizadas.

A rede Tor é considerada uma rede encriptada e segurança de navegação, que tenta tornar os utilizadores invisíveis para a maioria dos sistemas. Face à sua privacidade, esta rede é também usada por muitos para atividades criminosas, ou como forma de escapar a possíveis casos de censura.

No entanto, recentemente surgiram rumores que as autoridades podem ter explorado uma nova técnica para identificar utilizadores nesta rede, e que aplicaram a mesma para identificar utilizadores que acederam e usaram ativamente um portal conhecido por partilha de conteúdos abusivos de menores, o “Boystown”.

A investigação aponta que as autoridades teriam conseguido obter acesso a alguns dos nodes da rede Tor, e que estariam a analisar o tráfego dos mesmos para identificar os utilizadores de origem a estes, quando os mesmos acediam a determinados conteúdos que eram considerados importantes para as autoridades.

Face a estas indicações, a Tor Project, entidade responsável pela rede Tor, veio demonstrar-se desagradada por não ter conseguido obter acesso aos documentos das técnicas usadas pelas autoridades, que possivelmente estariam a explorar alguma falha especifica da rede para identificar os suspeitos.

No entanto, a mesma veio também indicar que a identificação dos indivíduos teria acontecido entre 2019 e 2021, e desde então, a rede Tor tem vindo a aplicar novas técnicas para garantir mais privacidade aos seus utilizadores, que devem tornar estes métodos de ataque inúteis.

20/09/2024
Contas da X atacadas para promover esquema de criptomoedas

Várias contas dentro da X, com milhares de seguidores e algumas das quais de entidades oficiais, encontram-se a ser usadas numa aparente campanha de criptomoedas para promover o token $HACKED.

Entre algumas das contas afetadas por esta campanha encontra-se a conta oficial da plataforma MoneyControl, People Magazine, Lenovo India, Yahoo News UK e EuinmyRegion. No total, estas contas possuem milhares de seguidores, o que aumenta consideravelmente o alcance do esquema.

No entanto, a campanha parece encontrar-se a afetar um elevado número de contas dentro da X. Desde o dia de ontem que várias contas começaram subitamente a enviar mensagens sobre o token $HACKED, promovendo ainda uma carteira de criptomoedas usada para o potencial “roubo” dos fundos.

Embora o token seja considerado um “meme”, parece que existem investidores a surgir no mesmo. Antes do ataque ter começado a ocorrer a estas contas da X, o token contava com 42 investidores, num total de 5000 dólares investidores. Atualmente o valor aumentou para 436 investidores com 166.175 dólares investidos.

Até ao momento ainda se desconhece como as contas comprometidas começaram a enviar as mensagens, mas acredita-se que poderá ter sido por aplicações antigas que teriam acesso às mesmas ou dados comprometidos de acesso.

19/09/2024
Malware propaga-se em notificações do GitHub

Uma nova campanha de malware encontra-se a usar o GitHub para enganar as vítimas, e levar as mesmas a descarregarem malware nos seus sistemas. Esta campanha usa o sistema de notificações do GitHub para propagar o esquema, e foca-se para utilizadores que ativam as notificações dos projetos.

O esquema começa com um utilizador a abrir um novo “problema” com o repositório do GitHub, alegando que existe uma vulnerabilidade de segurança no mesmo. Este ticket contem um link para o “GitHub Scanner”, uma ferramenta que não existe, mas que tenta fazer-se passar como um sistema de verificação da plataforma por falhas e vulnerabilidades.

O ticket criado leva os utilizadores para um site externo, não relacionado com a plataforma, onde os mesmos são incentivados a descarregarem malware para sistemas Windows. A piorar a situação encontra-se o facto de este ticket ser enviado também como um email para todas as pessoas que estejam subscritas no projeto.

Os utilizadores podem receber o conteúdo do ticket diretamente no email, o que inclui um link direto para o site malicioso. Desta forma, os utilizadores podem acabar por descarregar o malware sem sequer irem diretamente ao GitHub. Isto pode acontecer até mesmo depois do ticket ser removido da plataforma pelos administradores do projeto, tendo em conta que o email continua nas caixas de entrada dos utilizadores.

Como os emails de notificação do GitHub são considerados fidedignos pela maioria das plataformas, estes podem acabar na caixa de entrada dos utilizadores sem filtragem direta.

O site que os utilizadores são levados a visitar também conta com uma técnica interessante de ataque. Invés de levar ao download direto de malware, o site apresenta os passos que os utilizadores devem fazer para executar um script malicioso no sistema.

O conteúdo do script é automaticamente copiado para a área de transferência do sistema quando o site é aberto, sendo que os utilizadores apenas necessitam de seguir os passos indicados no site para o executar – envolvendo o atalho de abrir a caixa de “Executar” do Windows para colar o comando.

Para os utilizadores em geral, sobretudo programadores com estas notificações do GitHub ativas, o recomendado será terem extremo cuidado com todas as mensagens recebidas e o conteúdo das mesmas, evitando aceder a links externos desconhecidos.

19/09/2024
Empresa de segurança Dr. Web alvo de ataque informático

A empresa de segurança Doctor Web (Dr.Web), sediada na Rússia, teve recentemente de desativar vários sistemas usados pela entidade, depois de ter sido confirmado que os mesmos teriam sido alvo de um ataque.

A empresa confirmou que foi alvo de um ataque informático, que afetou vários dos sistemas internos da entidade. Como medida de prevenção, a empresa desativou todos os sistemas durante a investigação do incidente.

De acordo com o comunicado, a medida foi realizada depois de ter sido identificado um acesso não autorizado aos sistemas internos da entidade, que pode ter sido usado para aceder a dados internos e recolha de informação.

Tendo em conta que muitos dos seus sistemas foram desativados, a empresa teve ainda de suspender todas as atualizações de bases de dados de vírus, fornecidas aos clientes do software antivírus da mesma.

Os clientes, ao tentarem atualizar as suas bases de dados, poderiam receber uma mensagem a informar que o download das atualizações não foi concluído corretamente.

O ataque teria começado no dia 14 de Setembro, sendo que a empresa rapidamente tomou medidas para controlar o mesmo. A entidade sublinha ainda que nenhum cliente da entidade, ou que usa o software da mesma, foi afetado pelo ataque.

A entidade voltou a disponibilizar atualizações para o seu antivírus e aos seus clientes na terça feira, sendo que a situação encontra-se ainda a ser analisada. Até ao momento não foram revelados novos detalhes sobre o ataque, embora a empresa afirme que nenhum sistema ou dados dos clientes foram afetados.

18/09/2024
Temu nega rumores de roubo de dados nos seus sistemas

A Temu tem vindo a ganhar bastante popularidade em diferentes mercados, e certamente que existem vários utilizadores em Portugal a usar esta app de compras online. No entanto, recentemente surgiu a possibilidade de uma das bases de dados da empresa encontrar-se à venda na dark web.

Um utilizador desconhecido publicou num fórum da dark web uma listagem, alegando ser da base de dados de um dos sistemas da Temu. A listagem refere conter mais de 87 milhões de linhas associadas com dados de clientes da plataforma de compras.

Os dados foram publicados para venda no dia 16 de Setembro, onde um utilizador desconhecido afirma ter acedido e roubado milhares de dados sensíveis e pessoais de utilizadores da Temu. O ataque teria sido realizado a um sistema de dados da empresa, que estaria alegadamente inseguro.

Os dados revelados no sample de informação indicam que a base de dados possui nomes, moradas, endereços IP, dados de faturação, números de telefone e emails, entre outros dados sensíveis.

Embora a base de dados alegue ser da Temu, a empresa nega que os dados sejam dos seus sistemas. De acordo com um porta-voz da empresa, a entidade terá verificado a informação desta lista, e não existe qualquer relação com dados existentes na sua plataforma. A Temu considera que a base de dados e as alegações de ataque são falsas e que os dados a serem colocados para venda não dizem respeito aos sistemas da Temu.

A empresa sublinha ainda que segue rigorosas medidas para garantir a segurança e privacidade de todos os clientes, e dos dados associados aos mesmos, incluindo manter toda a informação encriptada de forma segura.

17/09/2024
Malware Vo1d infeta 1.3 milhões de boxes de TV Android
Um grupo de investigadores revelou ter descoberto uma rede de malware que, ao longo de vários anos, terá infetado mais de 1.3 milhões de boxes de TV com o sistema Android. O malware, conhecido como Vo1d, permite aos atacantes terem total controlo do sistema da box remotamente.

De acordo com a empresa de segurança Dr.Web, mais de 1.3 milhões de dispositivos contendo este malware foram descobertos nos últimos meses, encontrando-se ainda ativos. A maioria encontra-se em países como Brasil, Marrocos, Paquistão, Rússia, Argentina, Tunísia e Malásia.

O malware encontra-se presente nos seguintes modelos de boxes para TV, com diferentes versões do Android:
- Android 7.1.2; R4 Build/NHG47K
- Android 12.1; TV BOX Build/NHG47K
- Android 10.1; KJ-SMART4KVIP Build/NHG47K
Dependendo do sistema, o malware Vo1d altera os scripts de início do sistema, para proceder com a reativação do malware caso o mesmo seja desativado ou removido por algum motivo. Desta forma, o mesmo é persistente mesmo depois de ser feito o reset completo da box.

O malware possui ainda a capacidade de se dividir em diferentes processos, que podem realizar diferentes ações no sistema. Entre estas encontra-se a capacidade de reiniciar o processo do malware, ativar o backdoor para permitir acesso remoto, entre outros.

Os atacantes podem, com este acesso, obter praticamente controlo completo das boxes, e usar as mesmas para as mais variadas atividades, desde roubo de credenciais a uso das ligações para ataques remotos.

Embora se desconheça como as boxes afetadas pelo malware estão a ser atacadas inicialmente, os investigadores acreditam que pode passar pela exploração de falhas do sistema operativo Android, tendo em conta que os sistemas afetados possuem todas versões antigas do sistema da Google.

Existe ainda a possibilidade de o malware se encontrar ativo devido à instalação de aplicações de fontes externas, que podem ter sido modificadas para integrar malware nas mesmas. De momento não existem indícios de que o malware tenha sido instalado de origem das fábricas, portanto o ataque ocorre depois desta fase.

As boxes em questão usam o sistema Android Open Source Project (AOSP), que é a versão aberta do Android, e não o sistema Android TV, que conta com a certificação para uso dos Serviços da Google e da Play Store – o que aumenta a probabilidade de o malware se instalar via fontes de terceiros, como apps descarregadas da internet, tendo em conta que boxes com AOSP vulgarmente não possuem acesso à Google Play Store.
16/09/2024
Malware explora função do Chrome para bloquear utilizadores e roubar senhas

Um novo malware encontra-se a explorar uma falha no navegador do Google Chrome, usando algumas funcionalidades do mesmo para bloquear o acesso dos utilizadores ao sistema, e para roubar dados de login que estejam guardados no mesmo.

Embora o uso de Gestores de senhas externos seja sempre recomendado, ainda existem muitos utilizadores que optam por manter as suas senhas guardadas no gestor de senhas integrado no navegador.

O malware agora descoberto explora uma falha no navegador para bloquear os utilizadores do sistema, enquanto rouba os dados de acesso guardados no mesmo. De acordo com os investigadores da OALABS, o malware começa por bloquear os utilizadores numa página de login da Google, que é apresentada em ecrã completo no sistema. As teclas ESC e F11 são também desativadas, para impedir os utilizadores de saírem do ecrã completo.

A ideia será levar os utilizadores a fazerem login nas suas contas da Google, com o objetivo de “desbloquearem” o PC e continuarem a usar o mesmo. Caso isso seja feito, o malware procede com o roubo de todas as senhas no Gestor de Senhas do Chrome, enviando as mesmas para os atacantes.

O ataque explora uma funcionalidade existente em vários navegadores, conhecida como modo “kiosk”, um modo que normalmente é usado quando se pretende que o navegador fique permanentemente visível num ecrã – como um quiosque público – bloqueando o acesso a outras partes do sistema.

O malware explora esta funcionalidade para colocar uma página de login permanentemente ativa no navegador, que fica “bloqueado” em ecrã completo para a mesma. Em segundo plano, o script do malware identifica quando o utilizador realiza o login na sua conta da Google, e procede com o roubo dos dados existentes no Gestor de Senhas do mesmo.

Os utilizadores que possam verificar-se nesta situação devem evitar introduzir dados de login das suas contas nos sites indicados. Como os atalhos normais para sair do ecrã completo não funcionam neste modo, é necessário usar outros, como o Alt+F4 ou o CTRL+ALT+DEL. Estes podem permitir sair do ecrã ou terminar o processo do navegador.

Tendo em conta que o malware ainda se encontra no sistema, é recomendado de proceder a uma verificação completa do mesmo com um programa de antivírus, e evitar introduzir dados sensíveis no mesmo.

16/09/2024
Elon Musk apelida governo da Austrália de “fascista”

Elon Musk encontra-se de volta ao ataque, desta vez contra o governo da Austrália. O dono da X, antigo Twitter, deixou duras críticas para o atual governo da Austrália, apelidando o mesmo de “fascista”, depois do mesmo ter apresentado uma nova lei que vai responsabilizar as redes sociais pela desinformação nos conteúdos publicados pelos utilizadores.

De acordo com a nova proposta de lei, que vai ainda ser avaliada pelo parlamento australiano, as empresas devem ser responsáveis pelos conteúdos que os seus utilizadores publicam, e quando existe desinformação em massa, com as entidades a ignorarem o caso, estas devem enfrentar as consequências. A lei estipula que as empresas podem enfrentar multas de até 5% das suas receitas globais.

A lei aponta ainda que deve existir uma entidade responsável por gerir estes conteúdos e ajudar as plataformas sociais na identificação e remoção de conteúdos enganadores ou de desinformação. Devem ainda ser apuradas responsabilidades sobre a origem desses mesmos conteúdos.

Face a esta nova proposta, Elon Musk apelida o governo da Austrália de “fascista”, sendo que esta não é a primeira vez que Musk afirma que não vai seguir as leis australianas caso sejam aprovadas. Se realmente o empresário for nessa ideia, a X pode vir a ser bloqueada também na Austrália, algo similar ao que aconteceu no Brasil.

As autoridades australianas consideram que a lei pode ajudar a manter controlo sobre a desinformação nas redes sociais, ao mesmo tempo que obriga as entidades a agirem para prevenir a propagação deste conteúdo.

Como seria de esperar, tal ideia vai contra as de Elon Musk, que regularmente indica que a X deve ser uma plataforma aberta para a liberdade de expressão, mesmo que esta seja considerada desinformação e possa ter consequências no mundo real.

13/09/2024
Autoridades do Reino Unido detiveram jovem por ataques à rede de transportes

As autoridades do Reino Unido confirmaram ter detido um jovem de 17 anos, suspeito de ter realizado os ataques informáticos contra a rede de transportes públicos do país.

O ataque contra a Transporte para Londres foi realizado no dia 1 de Setembro, sendo que dados sensíveis de clientes e de alguns funcionários da entidade foram publicamente revelados. Entre os dados encontravam-se pedidos de reembolso e dados de contas bancárias usadas na instituição pelos seus clientes.

Embora o ataque não tenha causado problemas no funcionamento da rede de transportes, os dados sensíveis foram efetivamente disponibilizados para o público. Depois da investigação realizada ao incidente, as autoridades confirmaram ter detido um jovem de 17 anos, que se suspeita de ter sido a pessoa responsável por realizar este ataque.

Tendo em conta que se trata de um menor de idade, não foram reveladas mais informações sobre o mesmo, para além de que a deteção aconteceu no dia 5 de Setembro, e o jovem foi libertado depois de pagamento da fiança.

A investigação do incidente ainda se encontra a ser realizada, portanto mais informações podem vir a ser reveladas durante as próximas semanas.

13/09/2024
Empresa mãe da Cortefiel e Springfield alvo de ataque informático

A empresa espanhola Tendam, gestora das lojas Cortefiel e Springfield, foi recentemente alvo de um ataque informático. O ataque aconteceu durante a semana passada, sendo que foi realizado pelo grupo Medusa.

Segundo o mesmo publicou na sua página na dark web, foram roubados cerca de 720 GB de dados da empresa, que incluem vendas da mesma e dados pessoais de funcionários e clientes. Foi ainda exigido o pagamento de 800 mil euros para evitar a publicação dos dados.

Ao portal El País, a entidade refere que se encontra a investigar o incidente, sendo que a informação disponível ainda é limitada. No entanto, não fica deixada de parte a possibilidade de dados dos clientes terem sido afetados com o ataque, sendo que os sistemas comprometidos poderiam conter dados dos mesmos.

A empresa afirma que, depois de ter identificado o ataque, tomou todos os procedimentos para limitar o mesmo, contendo os sistemas afetados e prevenindo que se propagassem dentro da rede interna da empresa.

A marca afirma que o ataque não terá causado perturbações nos sistemas usados nas lojas da marca, sendo que continuam a funcionar na normalidade.

10/09/2024
Avis confirma que ataque informático afetou 299.000 clientes

Recentemente noticiamos no TugaTech que o grupo Avis teria sido alvo de um ataque informático, de onde os atacantes poderiam ter roubado informação interna da empresa. Agora, depois da investigação do incidente, conhecem-se novas informações sobre o mesmo.

A empresa terá confirmado que o ataque decorreu entre 3 e 6 de Agosto, onde uma entidade desconhecida terá conseguido aceder aos sistemas internos da empresa, e obter acesso também a dados existentes nos mesmos. O ataque foi identificado no dia 5 de Agosto, sendo que as autoridades foram também notificadas.

Agora, a empresa confirma novos detalhes sobre o incidente, tendo confirmado que 299.006 clientes da mesma foram afetados, e podem ter dados comprometidos. O atacante terá acedido a um sistema interno da empresa, onde se encontravam os dados dos clientes, e usou sistemas automáticos para realizar a recolha do máximo de informação possível.

A empresa afirma que se encontra no processo de notificar todos os clientes afetados. A maioria dos mesmos encontram-se localizados nos EUA. A empresa indica ainda que fortaleceu as medidas de segurança dos seus sistemas, para prevenir novos ataques, e que a investigação não identificou novos acessos de terceiros aos sistemas.

09/09/2024
Ataque RAMBO é capaz de roubar dados de sistemas totalmente isolados

Um novo ataque foi descoberto, que pode afetar até sistemas totalmente isolados, usando para tal a RAM do mesmo.

Apelidado de RAMBO (Radiation of Air-gapped Memory Bus for Offense), este ataque é capaz de roubar informação dos sistemas através da verificação da radiação eletromagnética que é emitida pela RAM do mesmo. Isto permite que o ataque sejam realizado em sistemas totalmente isolados, sem qualquer ligação ao mundo exterior.

Este género de sistemas são normalmente usados em aplicações críticas, onde é necessário manter o mesmo totalmente isolado de potenciais ataques. Isto inclui cortar todo o formato de comunicações externas que o sistema pode ter. Embora estes sistemas estejam protegidos de ataques externos pela rede, ainda podem ser comprometidos por malware que seja inserido por outros formatos – por exemplo, por uma USB maliciosa.

Se um destes sistemas for infetado, um grupo de investigadores revelou que é possível obter dados através da radiação que a RAM emite do sistema. Todos os dispositivos eletrónicos emitem radiação eletromagnética, incluindo a RAM.

O ataque consiste em conseguir que um atacante insira um malware especifico no sistema – que pode ser aparentemente legitimo e contornar outras medidas de proteção existentes nesse sistema. Se tal instalação for realizada, o malware altera a frequência de funcionamento da RAM, de forma a que seja possível enviar dados para sistemas externos, capazes de recolher os sinais.

O malware é capaz de alterar o formato de como os dados são escritos e lidos da RAM, alterando a sua frequência, o que acaba por alterar também os valores da radiação. Com um dispositivo externo é depois possível obter essas alterações, e converter as mesmas em dados binários – que podem assim conter a informação roubada do sistema.

Este ataque permite a transferência de dados a 1000 bps (bits por segundo), o que se traduz em cerca de 0.125 KB/s. Por exemplo, para extrair 1 MB de dados dos sistemas, seria necessário cerca de 2.2 horas a enviar os sinais.

Os investigadores apontam ainda que o sistema pode ser usado para registar as teclas pressionadas no sistema, o que pode abrir portas para um keylogger rudimentar. Isto pode permitir roubar dados de forma consideravelmente mais rápida e eficiente, sem ter de ser diretamente pelo roubo dos ficheiros.

Os investigadores conseguiram ainda realizar este ataque até cerca de 450 cm de distância do alvo, com uma taxa de erro entre 2 a 4%. Quando a recolha é feita a apenas 7 cm a taxa de erro cai para 0%.

Existem algumas proteções que podem ser aplicadas para evitar este género de ataques, como a de aplicar sistemas no local para baralhar a radiação ou bloquear que a mesma saia da zona onde o PC se encontra. Outra medida será garantir uma distância segura para acesso limitado ao sistema, acima dos 450 cm de distância.

Embora o conceito indique que seja possível o roubo de dados, será extremamente improvável que a técnica possa ser usada no mundo real para o roubo de informação sensível.

08/09/2024
Avis confirma roubo de dados de clientes em sistemas internos

A empresa de aluguer de viaturas AVIS acaba de confirmar ter sido vítima de um ataque, de onde podem ter sido comprometidos alguns dados de clientes da mesma.

Segundo o comunicado da entidade para as autoridades dos EUA, um atacante ainda desconhecido terá obtido acesso aos sistemas internos da empresa, de onde podem ter sido recolhidos dados de clientes da mesma. O ataque foi realizado durante o mês passado, mas apenas de forma recente foi identificado pela empresa.

A empresa afirma ainda que tomou conhecimento do ataque a 5 de Agosto, tendo adotado todas as medidas para conter o mesmo e o acesos aos dados dos clientes. No entanto, as medidas terão sido insuficientes para prevenir que alguns dados fossem acedidos, sendo que os clientes afetados já terão sido notificados.

O atacante manteve acesso aos sistemas internos da empresa entre 3 e 6 de Agosto, período durante o qual pode ter realizado atividades ilícitas de recolha de dados. A Avis afirma que, desde então, tem estado a investigar o incidente, e a trabalhar com entidades especializadas para identificar a origem do ataque e da falha usada para o acesso.

A investigação ainda se encontra a decorrer, portanto, mais detalhes podem vir a ser revelados durante as próximas semanas.

07/09/2024
Apache corrige vulnerabilidade grave no OFBiz

A Apache confirmou ter corrigido uma vulnerabilidade crítica no OFBiz (Open For Business) que, quando explorada, poderia permitir aos atacantes executarem código de forma remota nos sistemas vulneráveis, tanto Windows como Linux.

O OFBiz (Open For Business) é um software da Apache, focado em CRM e ERP, tendo forte uso voltado para empresas e negócios. No entanto, o mesmo pode também ser usado como framework para o desenvolvimento de aplicações, portanto a sua utilização pode ser bastante variada.

A falha foi descoberta pelos investigadores da Rapid7, e permitia a execução remota de código na aplicação, o que poderia levar a que os sistemas onde o software se encontrava fossem comprometidos. A falha não se acredita que tenha sido ativamente explorada para ataques antes de ter sido descoberta, mas os investigadores revelaram uma prova de conceito do ataque, e é bastante provável que a mesma venha a ser ativamente explorada.

A correção da falha foi lançada com a versão 18.12.16, que já se encontra disponível. Para todas as entidades que fazem uso deste software a atualização é recomendada o mais rapidamente possível.

Curiosamente, a falha agora descoberta aparenta encontrar-se relacionada com outras três que foram descobertas desde o inicio do ano, mas adota uma técnica ligeiramente diferente que permite contornar as correções aplicadas anteriormente.

06/09/2024
Falsa ferramenta para atacar contas do OnlyFans infeta os atacantes

Uma nova campanha foi descoberta onde os hackers prometem fornecer uma ferramenta focada em roubar contas do OnlyFans, mas que acaba por instalar malware no sistema dos utilizadores que a tentem usar, levando ao roubo de dados guardados no mesmo.

De acordo com a investigação da empresa Veriti Research, esta campanha de malware tenta tirar proveito de quem se encontra a tentar explorar utilizadores desta plataforma, com intenções de roubar o acesso às suas contas. No entanto, invés dessa tarefa, a ferramenta alegadamente usada para tal acaba por instalar um infostealer nos sistemas, que procede ao roubo de dados de login guardados no mesmo.

Os criadores de conteúdos no OnlyFans tendem a obter altos rendimentos pela plataforma, o que também faz com que as suas contas sejam altamente focadas em ataques. No entanto, esta ferramenta tira proveito da procura para encontrar algo para realizar esse ataque, e explora os atacantes para serem eles próprios as vítimas.

Depois de instalada a ferramenta, esta procede com o download de malware para o sistema, que procede com o roubo de informações de login guardada no navegador e outras aplicações. O malware tenta ainda aplicar técnicas para evitar a sua deteção por eventuais programas de segurança que possam encontrar-se no sistema.

A ideia do malware atacar quem pretendia ser o atacante pode ser algo “poética”, mas o objetivo deste género de ferramentas foca-se em utilizadores novatos, que por vezes possuem poucos conhecimentos e pretendem usar uma ferramenta já pronta para realizar os ataques.

05/09/2024
Agência de Transportes de Londres afetada por ciberataque

As autoridades de transporte de Londres confirmaram que foram vítimas de um ciberataque, embora não tenha causado impacto no funcionamento dos seus serviços.

A entidade referiu que, até ao momento, ainda não existem indícios de que o ataque tenha comprometido informação dos utilizadores, mas afetou alguns sistemas internos da mesma. A investigação do incidente ainda se encontra a decorrer, sendo que os utilizadores da entidade foram também notificados via email do caso.

O comunicado refere ainda que, para já, não existem impactos para o funcionamento dos serviços de transporte em Londres, os quais continuam a funcionar na normalidade. O incidente foi ainda reportado às autoridades competentes em Londres, e a investigação do mesmo ainda se encontra a decorrer.

“A segurança dos nossos sistemas e dos dados dos clientes é muito importante para nós e tomámos medidas imediatas para impedir qualquer novo acesso aos nossos sistemas”, acrescentou a agência.

Por fim, a entidade afirma que foram implementadas medidas de segurança internas para lidar com o ataque, e de forma a evitar que este se propague ou afete outros sistemas. Até ao momento desconhece-se ainda os detalhes sobre o incidente ou o formato do mesmo – embora existam indícios de que pode ter-se tratado de um ataque de ransomware que afetou de forma limitada os sistemas.

03/09/2024
AforroNet continua inacessível por “acesso não autorizado”

Faz alguns dias que a plataforma do AforroNet encontra-se inacessível, apresentando apenas uma mensagem no acesso a indicar que se encontram a ser feitas melhorias a nível de segurança da mesma.

Agora, existem novos detalhes sobre os acontecimentos que levaram a esta indisponibilidade. De acordo com o jornal Expresso, o AforroNet, da Agência de Gestão da Tesouraria e da Dívida Pública (IGCP), encontra-se indisponível devido a um acesso não autorizado na infraestrutura.

Isto terá permitido que terceiros tivessem acesso a dados pessoais existentes na infraestrutura do AforroNet, mas até ao momento ainda se desconhecem detalhes sobre a extensão do incidente ou a quantidade de dados que podem ter sido comprometidos.

Em comunicado, a entidade afirma que “Todos os serviços associados às contas de aforro estão assegurados através da rede dos CTT”, lamentando ainda os inconvenientes causados por esta indisponibilidade.

Embora os detalhes sobre o incidente ainda sejam desconhecidos, a investigação já se encontra a ser realizada. Ao mesmo tempo, a entidade afirma que não se tratou de um ataque informático, e que o mesmo terá sido um caso único. No entanto, por questões de segurança, foi decidido suspender o acesso aos dados do portal.

A entidade sublinha ainda que serão feitas melhorias a nível da segurança, e que não existe qualquer risco para as aplicações financeiras realizadas na plataforma.

Alguns utilizadores da plataforma tinham recebido, nos dias anteriores à indisponibilidade, uma mensagem de email a solicitar a recuperação da senha. Esta mensagem indicava que, por questões de segurança, era necessário realizar a recuperação dos dados de acesso.

Quem pretenda realizar alterações nos seus certificados, necessita agora de se dirigir a uma lojas físicas dos CTT.

01/09/2024
Grupo de ransomware confirma ataque a museus em frança com roubo de dados

Depois de quase um mês de ter sido realizado o ataque a vários museus e instituições em França, no início das Olimpíadas, agora o grupo de ransomware “Brain Cipher” veio confirmar a autoria do ataque, juntamente com os dados roubados.

De acordo com o grupo, foram roubados quase 300 GB de informação pertencente a entidades atacadas, entre as quais a Le Grand Palais e vários museus locais. Os ataques decorreram entre os dias 3 e 4 de Agosto, com as várias instituições a confirmaram o potencial roubo de dados.

Os meios de imprensa em França indicavam, na altura, que o ataque teria sido realizado a um sistema central de processamento de pagamentos, usado por essas instituições.

O grupo terá agora confirmado o ataque, indicando no seu blog na dark web que foram roubados 300 GB de dados. No entanto, não foram deixados detalhes sobre os dados concretos roubados ou detalhes dos mesmos.

O ataque foi confirmado pelas autoridades a 6 de Agosto, sendo que atualmente ainda se encontra a ser realizada a investigação ativa do mesmo, portanto as informações atuais ainda são limitadas.

Os investigadores acreditam que o grupo de ransomware Brain Cipher terá usado uma versão modificada do ransomware LockBit 3.0 para realizar os ataques, roubando a informação e encriptando os sistemas afetados pelo mesmo.

Este é um dos primeiros ataques do grupo, e é visto também como uma afirmação do mesmo para dentro da rede de grupos de ransomware, dando mais credibilidade e reconhecimento ao nome.

29/08/2024
Dados sensíveis da AMD alegadamente para venda

De tempos a tempos alguns ciber criminosos conseguem deitar as mãos a dados consideravelmente importantes de algumas empresas de destaque no mercado, sendo que a mais recente envolvida neste caso terá sido a AMD.

Recentemente, um grupo de hackers revelou ter obtido dados internos das comunicações da AMD, estando agora a fornecer essa informação para venda aos interessados.

No passado dia 25 de Agosto, um utilizador de um reconhecido portal da dark web, terá colocado uma publicação a indicar a venda de dados associados à AMD, nomeadamente a dados internos da empresa e das suas comunicações, que foram obtidos de vários sistemas internos da empresa. Por entre os dados encontram-se ainda dados de login associados com funcionários da mesma e informações de alguns clientes que terão contactado o suporte da mesma.

O vendedor destes dados forneceu ainda um “sample”, contendo alguma informação sobre os dados que se encontram para venda, e dando mais credibilidade aos mesmos. Até ao momento a AMD ainda não confirmou detalhes sobre o potencial roubo de dados, mas iremos atualizar o presente artigo conforme novas informações sejam fornecidas.

Caso realmente se confirme o roubo dos dados, esta é a segunda vez em menos de três meses que a AMD sobre uma falha de segurança, onde dados sensíveis da empresa são obtidos. Em Junho, a empresa tinha confirmado que terceiros poderiam ter obtido acesso a dados internos da empresa, onde se inclui o código fonte de algumas das suas aplicações e sistemas.

Sobre este ataque, porém, a empresa ainda não emitiu nenhum comunicado ou confirmação.

27/08/2024
Grupo de ransomware Qilin começa a roubar senhas do Chrome

O grupo de ransomware Qilin tem vindo a implementar novas técnicas para roubar ainda mais informações dos sistemas das vítimas, sendo que foi agora descoberto que o grupo começou também a recolher dados dos navegadores para obter credenciais de login guardadas no mesmo.

De acordo com a empresa de segurança Sophos, o grupo começou a usar técnicas de roubo de credenciais do Chrome, além das tradicionais de uso do ransomware para encriptar os ficheiros das vítimas.

O objetivo será obter ainda mais informação das vítimas, que pode ser usada para os mais variados fins. A maioria dos utilizadores guardam os dados de login no navegador, o que abre portas para que possam ser eventualmente roubados. O grupo começou a usar esta técnica para obter ainda mais dados das vítimas, que podem ser usados para pedidos de resgate ou para outras práticas criminosas.

Os investigadores afirmam ter descoberto esta nova técnica do grupo depois de terem analisado um recente ataque do mesmo, onde este atacou uma empresa usando credenciais de acesso via VPN comprometidas de um funcionário.

Os atacantes mantiveram-se silenciosamente na rede interna da empresa, a recolher dados da mesma e dos sistemas críticos, antes de realizarem qualquer ação. Quando chegou a altura do ataque, além da encriptação de dados via ransomware, o grupo procedeu ainda à recolha dos dados de login via as credenciais armazenadas no Chrome.

Os dados roubados foram depois enviados para sistemas em controlo dos atacantes, de forma a serem usados para técnicas de extorsão.

Como sempre, recomenda-se que tanto individuais como empresas apliquem medidas de proteção dos seus sistemas e redes, para identificar e bloquear este género de atividades, além de se manter práticas de segurança apropriadas.

26/08/2024
IA do Slack pode divulgar dados sensíveis de utilizadores

O Slack é uma das muitas plataformas que tem vindo a integrar algumas novas funcionalidades voltadas para IA. No entanto, essas novidades podem estar agora na origem de uma possível falha, que pode permitir o acesso a dados sensíveis de utilizadores.

Um grupo de investigadores revelou ser possível usar o Slack AI de forma a obter informação sensível dos utilizadores através de pedidos bastante específicos. Esta plataforma de IA da Slack foi lançada em 2023, e rapidamente se tornou um foco da empresa para os seus avanços em IA.

A mesma pretende ajudar os utilizadores a criarem resumos e obterem informações rapidamente dos conteúdos dos canais da plataforma. Portanto, a IA precisa de aceder a dados relativamente extensos dos utilizadores e dos canais onde se encontram.

A empresa PromptArmor revelou, no entanto, que usando comandos bastante específicos, é possível enganar a IA da Slack para fornecer dados sensíveis de canais onde os utilizadores não se encontram e até de entidades completamente diferentes.

O ataque pode ainda permitir que sejam acedidos dados partilhados em diferentes locais, incluindo ficheiros enviados para os canais, que podem conter ainda mais informação privada.

Para explorar esta falha, os atacantes apenas necessitam de convencer um membro do canal do Slack a verificar para enviar os conteúdos de um ficheiro para o mesmo – por exemplo, um PDF – contendo um link especificamente criado para tal.

Com isto, a IA pode permitir aceder aos dados de outros locais, expondo informação dos mesmos.

Embora a Salesforce tenha confirmado que a falha foi corrigida para canais privados, não foi aplicada para canais públicos, tendo em conta que o acesso a mensagens nestes canais é algo que sempre será possível de realizar.

23/08/2024
Webtoon lança campanha contra centenas de sites piratas

Em meados de Junho, a Webtoon Entertainment, entidade responsável pelo popular leitor de conteúdos de cartoon e anime com o mesmo nome, tornou-se uma empresa pública. E embora os investidores não tenham ainda ganho um valor considerável com tal medida, a empresa espera agora continuar a rota de crescimento com mudanças nas suas estratégias – que envolvem atacar diretamente sites que partilham os conteúdos da plataforma de forma ilegal.

A Webtoon é uma das plataformas de comics na internet mais reconhecida, tendo mais de duas décadas de história online. Esta é uma plataforma que serviu, e serve, de lançamento para vários web comics – com uma comunidade bastante ativa de seguidores.

Atualmente o serviço conta com mais de 170 milhões de utilizadores ativos mensalmente, sendo uma das maiores plataformas do género. Tanto que, em Junho, a empresa entrou oficialmente na bolsa de mercados, criando a sua rota para o crescimento junto dos investidores.

Apesar dos planos de crescimento, os dados parecem demonstrar o contrário, com o valor das ações da empresa a manterem-se em valores reduzidos face às expectativas, e sem uma trajetória crescente.

Apesar disso, a plataforma encontra-se agora no ataque do que considera ser um dos problemas: a pirataria.

De acordo com o portal TorrentFreak, a plataforma considera que a violação dos direitos de autor, com sites que roubam e publicam os conteúdos da plataforma livremente e sem autorização, encontra-se como um dos maiores problemas atualmente, e que limita o crescimento da plataforma.

A pensar nisso, a entidade confirmou ter lançado vários pedidos de DMCA, na esperança de obter mais detalhes sobre os sites que partilham os conteúdos de forma ilegal. No total foram feitos pedidos para mais de 200 domínios, que estarão a partilhar ilegalmente conteúdos em violação dos direitos de autor da plataforma.

A entidade pretende que estes pedidos sejam processados de forma a obter mais informação sobre os autores de alguns dos sites onde os conteúdos se encontram, e que essa informação poderá ser usada para futuros casos legais.

Muitos dos sites em questão encontram-se atrás da plataforma da Cloudflare, pelo que a origem dos sistemas onde estes se encontram é desconhecida. No entanto, tendo em conta que o caso encontra-se agora nos tribunais, a empresa pode vir a ser forçada a fornecer essa informação.

Embora muitos dos autores destes sites usem dados falsos, ainda assim a informação pode ser importante para encerrar as atividades. A Webtoon afirma que, apenas o ano passado, 360 domínios foram algo do mesmo processo, o que levou a que vários sites fossem permanentemente encerrados.

21/08/2024
Milhares de sites WordPress expostos a vulnerabilidade devido a plugin de cache

Os sites em WordPress encontram-se abertos a mais uma falha, que pode ter sido introduzida por um plugin de cache bastante popular dentro da plataforma.

O plugin LiteSpeed Cache promete melhorar o desempenho dos sites WordPress, ao realizar a cache dos conteúdos mais acedidos do mesmo. No entanto, foi recentemente descoberta uma falha de segurança no mesmo que pode permitir a terceiros criarem contas de administrador nos sites.

O LiteSpeed Cache é um plugin bastante popular, com mais de 5 milhões de instalações ativas e suporte por um vasto conjunto de plataformas baseadas no WordPress, como o WooCommerce, bbPress, entre outras.

No entanto, foi recentemente descoberta uma falha que pode permitir explorar o plugin para criar contas de administradores no site, que podem depois ser usadas pelos atacantes para terem controlo do mesmo e dos seus conteúdos.

Com este acesso os atacantes podem ainda instalar outros plugins maliciosos, enviar conteúdos para o site, alterar configurações e recolherem dados importantes do mesmo.

A falha foi descoberta pelo investigador de segurança John Blackbourn, tendo sido reportada aos criadores do plugin a 1 de Agosto. A correção da falha foi lançada com a versão 6.4 do mesmo, a 13 de Agosto.

“Conseguimos determinar que um ataque de força bruta que itera todos os 1 milhão de valores possíveis conhecidos para o hash de segurança e os passa para o cookie litespeed_hash – mesmo correndo a um nível relativamente baixo de 3 pedidos por segundo – é capaz de obter acesso ao site como qualquer ID de utilizador entre algumas horas e uma semana”, explicou Rafie Muhammad, investigador de segurança da Patchstack, na quarta-feira.

Embora a correção tenha sido já lançada para o plugin, a versão mais recente apenas foi descarregada 2.5 milhões de vezes, de acordo com os dados do portal de plugins da WordPress. Isto indica que um vasto conjunto de sites ainda se encontram com a falha ativa.

Recomenda-se que os utilizadores de sites WordPress que usem este plugin atualizem de imediato o mesmo, de forma a garantir que a correção é aplicada corretamente.

21/08/2024
Fabricante Microchip confirma ataque informático em vários sistemas

A fabricante de semicondutores Microchip Technology confirmou ter sido a mais recente vítima de um ataque informático, de onde podem ter sido recolhidos dados sensíveis da empresa e de entidades parcerias.

De acordo com o comunicado da empresa sobre o incidente, foram identificados acessos não autorizados a certos sistemas e servidores usados pela entidade, essenciais para as operações da entidade no dia a dia.

O acesso indevido terá sido identificado no dia 17 de Agosto, quando a empresa verificou que foram realizados acessos de terceiros a alguns dos seus sistemas. No entanto, a investigação apenas viria a confirmar que os acessos foram realizados por entidades maliciosas no dia 19 de agosto.

Os sistemas afetados foram colocados em quarentena, isolados de todos os restantes da rede, mas é possível que o atacante tenha conseguido aceder a dados internos da empresa, e recolher os mesmos dos sistemas afetados.

A empresa afirma ainda que, face ao ataque, algumas das suas linhas de produção podem estar a trabalhar de forma limitada, algo que a mesma encontra-se a trabalhar para resolver. A investigação do incidente ainda se encontra a decorrer, portanto novas informações podem vir a surgir nos próximos dias.

Até ao momento ainda se desconhecem detalhes sobre a extensão do ataque, ou quais os dados que podem ter sido comprometidos. Desconhece-se ainda se o ataque terá sido associado com ransomware ou um ataque isolado.

Este incidente não surge numa das melhores alturas, tendo em conta que a Microchip foi uma das empresas norte-americanas que a administração de Biden forneceu quase 162 milhões de dólares para expandir as suas operações em solo americano, com novas fábricas previstas para os próximos tempos de serem construídas.

A ter ainda em conta que a Microchip Technology é uma empresa que desenvolver alguns chips e componentes fundamentais para certas áreas, tendo várias parcerias com entidades diversas no mercado – incluindo algumas entidades associadas com governos e forças de segurança.

21/08/2024
Equipa da Unicoin perdeu acesso a emails da Google durante quatro dias

Um hacker terá recentemente comprometido as contas da plataforma de criptomoedas Unicoin, depois de conseguir obter acesso a todas as contas do Google Workspace da entidade e de alterar as senhas de acesso de todos os utilizadores.

A Unicoin é um projeto de uma criptomoeda, que tem vindo a ganhar destaque nos últimos tempos no mercado. Recentemente, a entidade confirmou que um hacker terá conseguido obter acesso ao painel de administração da conta do Google Workspace da entidade, tendo impedido o acesos a todas as contas de email e serviços da mesma.

O hacker procedeu com a alteração da senha de acesso de todos os utilizadores na conta, o que impediu o acesso às mesmas durante vários dias. Segundo o documento entregue às autoridades, o atacante terá acedido à conta de Administrador do Google Workspace, onde rapidamente procedeu com o reset de todas as senhas das contas na entidade.

Os funcionários deixaram assim de ter acesso às suas contas de email, mas também a todas as plataformas da Google que usavam, como o Google Drive e Gmail. O restauro do acesso às contas apenas foi possível quatro dias depois, a 13 de Agosto.

A entidade ainda se encontra a analisar o impacto do acesso, mas o atacante, durante o período em que esteve no controlo das contas, pode ter acedido a dados sensíveis da entidade, partilhados internamente pelo serviço. Numa investigação inicial, a entidade confirmou que foram acedidos vários dados de funcionários da instituição, bem como de fornecedores.

Algumas mensagens contendo informação pessoal podem ter sido acedidas, e algumas das contas de email foram ainda usadas para enviar mensagens fazendo-se passar como a entidade.

Apesar do acesso aos dados, a entidade afirma que o ataque não deve causar impacto a nível financeiro na instituição ou terá qualquer impacto para os clientes da criptomoedas.

20/08/2024
Falha zero-day explorada em ataques no Windows por grupo da Coreia do Norte

O grupo de hackers Lazarus, bem conhecido das autoridades pelas suas relações com o governo da Coreia do Norte, encontra-se a explorar uma falha zero-day no Windows para levar à instalação de um rootkit no sistema.

Recentemente a Microsoft lançou uma nova atualização para os sistemas Windows, com o Patch Tuesday, sendo que uma das vulnerabilidades corrigidas seria esta falha zero-day. A falha estaria a ser usada pelo grupo para instalar versões modificadas de drivers no sistema, que poderiam permitir ataques em larga escala e roubo de dados.

A falha encontrava-se no Ancillary Function Driver for WinSock (AFD.sys), uma driver usada para a gestão do protocolo Winsock no kernel do Windows. Ao explorar a falha, os atacantes poderiam modificar a mesma para usarem uma versão maliciosamente modificada, que poderia ser usada como porta de entrada para ataques a sistemas Windows.

A falha foi inicialmente encontrava pela empresa de segurança Gen Digital, sendo que os ataques encontram-se a ser realizados desde meados de Junho. A mesma estaria a ser usada para desativar alguns mecanismos de segurança do Windows e de software de segurança que se possa encontrar instalado no mesmo.

“Esta falha permitiu-lhes obter acesso não autorizado a áreas sensíveis do sistema. Também descobrimos que utilizaram um tipo especial de malware chamado Fudmodule para ocultar as suas atividades do software de segurança.”

Um ataque Bring Your Own Vulnerable Driver ocorre quando os atacantes instalam controladores com vulnerabilidades conhecidas em máquinas alvo, que são depois exploradas para obter privilégios ao nível do kernel. Os agentes maliciosos frequentemente abusam de controladores de terceiros, como os de antivírus ou hardware, que exigem altos privilégios para interagir com o kernel.

Algo que torna esta vulnerabilidade particularmente grave encontra-se no facto de afetar a driver AFD.sys, que se encontra em praticamente todas as instalações do Windows. Portanto, esta poderia ser ativamente explorada num elevado número de dispositivos.

Para prevenir a exploração da falha, os utilizadores são aconselhados a atualizarem as suas instalações do Windows para as versões mais recentes, nomeadamente com a instalação da mais recente atualização do Patch Tuesday.

20/08/2024
Toyota confirma roubo de dados internos após leak de 240 GB

A Toyota confirmou ter sido vítima de um ataque informático, depois de o atacante ter disponibilizado mais de 240 GB de dados num portal da dark web.

A empresa terá confirmado ao portal BleepingComputer que foi alvo de um roubo de dados, e que se encontra a analisar a situação, embora os dados iniciais apontem que a informação roubada será bastante limitada e contida.

A empresa sublinhou ainda que vai trabalhar diretamente com todas as pessoas afetadas por este roubo de dados, fornecendo a ajuda considerada necessária com base nos dados acedidos. No entanto, não foram revelados detalhes sobre o ataque em si, a origem do mesmo ou a quantidade de utilizadores afetados.

O leak surgiu como parte do grupo apelidado “ZeroSevenGroup”, sendo que o mesmo colocou disponível para download quase 240 GB de dados da Toyota, tanto informação de funcionários como clientes, e contendo ainda informação financeira da empresa e contratos. Os dados aparentam dizer respeito apenas à divisão da Toyota nos EUA.

O grupo alega ainda ter recolhido vária informação das redes internas da fabricante, incluindo dados de login e outros acessos remotos.

Embora a Toyota não tenha indicado detalhes sobre o roubo, os ficheiros criados aparentam ter sido modificados a 25 de Dezembro de 2022, o que pode indicar que o ataque terá sido realizado a um sistema de backups antigo, que continha a informação pendente.

A empresa afirma que irá continuar a analisar a situação, de forma a averiguar mais detalhes sobre o ataque, portanto é possível que novas informações venham a ser conhecidas em breve.

19/08/2024
Lista com 50 mil números de telefone portugueses à venda

Cada vez mais existem campanhas de spam e phishing voltadas para o envio de mensagens SMS ou até mesmo chamadas telefónicas. No entanto, para estas atividades, é necessário que exista uma lista com números de telefone usados para realizar as chamadas.

Recentemente foi descoberta uma lista, num site na rede TOR, contendo alegadamente mais de 50 mil números de telefone, associados com utilizadores em Portugal.

O vendedor da lista alega que a mesma conta com mais de 50 mil registos de números de telefone, ao que se junta ainda o primeiro e último nome da pessoa associada a esse.

O vendedor afirma que os números foram recolhidos diretamente do WhatsApp e através de leaks variados onde a informação dos utilizadores se encontra disponível, tendo sido depois conjugada numa grande lista com os 50 mil registos.

A lista inclui ainda um sample com cerca de 1000 registos, que permite validar a autenticidade da mesma.

Este género de listas podem ser usadas para campanhas de spam ou de ataques diretos, sendo que a inclusão dos nomes dos titulares do número pode permitir uma mensagem mais personalizada para os mesmos – com uma maior taxa de sucesso em caso de ataque.

19/08/2024
Novo grupo de hackers usa AnyDesk como porta de entrada para roubo de dados

Um novo grupo de hackers encontra-se a explorar uma nova campanha maliciosa, com o objetivo de roubar dados dos utilizadores usando falsos serviços de atualização do sistema operativo.

Apelidado de “Mad Liberator”, o grupo foi recentemente descoberto pelos investigadores da Sophos, sendo que as suas atividades são igualmente recentes. No entanto, as campanhas e atividades do grupo para ataques têm vindo a aumentar de forma considerável no curto espaço de tempo em que se encontram ativos.

Os primeiros ataques do grupo foram reportados em julho, mas o número tem vindo a aumentar de forma considerável, colocando o nome e a forma de ataque a ter em consideração.

O ponto de entrada para o ataque pelo grupo encontra-se no AnyDesk. Acredita-se que o mesmo esteja a realizar um ataque alargado contra ligações do AnyDesk, onde as vitimas recebem apenas um pedido de ligação remoto pela aplicação, caso a tenha ativa e instalada no sistema.

Os atacantes parecem estar a realizar estas ligações de forma aleatória, possivelmente na esperança de que alguma vítima aceite o pedido quando o mesmo é recebido. Não aparenta existir um padrão concreto para o ataque, portanto trata-se de um processo de “tentativa e erro”.

Quando a ligação é aceite, os atacantes procedem com a apresentação de um falso ecrã de atualização do Windows para as vítimas, que aparenta encontrar-se a realizar a atualização do sistema. No entanto, a ideia será distrair a vítima enquanto o atacante usa o sistema de transferência de Ficheiros do Anydesk para proceder com o roubo de dados do sistema, e eventual remoção dos mesmos.

Enquanto o falso ecrã de atualização do Windows é apresentado, o teclado da vítima é igualmente desativado, para prevenir que possa ser usado para contornar o bloqueio. Nos ataques identificados pelos investigadores, apenas dados foram roubados do sistema, sendo que não foram aplicadas outras técnicas como as de ransomware.

No entanto, os atacantes ainda deixam uma mensagem no sistema das vítimas, a indicar que os seus dados foram roubados, e que para prevenir que sejam publicamente divulgados deve ser feito um pagamento. Caso o pagamento não seja realizado, os dados roubados são publicados no site dos atacantes na dark web.

Acredita-se que o grupo usa apenas esta técnica para chegar às suas eventuais vítimas, sem casos reportados de ataques diferentes ou de phishing.

18/08/2024
Elon Musk culpa ataque DDoS por interromper entrevista com Donald Trump

Recentemente Elon Musk confirmou que iria realizar uma entrevista com Donald Trump, a qual iria ser planeada para a X. Esta transmissão, como seria de esperar, veio com grande impacto para a plataforma – e surge depois da demonstração de apoio de Musk ao ex-presidente dos EUA.

No entanto, esta transmissão não terá corrido da melhor forma. Poucos minutos depois de começar, os utilizadores começaram a verificar falhas na mesma, que levariam ao encerramento da mesma na plataforma. Numa mensagem entretanto publicada na sua conta pessoal, Musk veio confirmar que a transmissão foi afetada por um ataque DDoS em larga escala.

O mesmo indicou ainda que a entrevista iria continuar, embora com um número mais reduzido de pessoas a participar na mesma, e que seria posteriormente divulgada na X por completo.

Musk também indicou que a X tinha realizado testes antes da transmissão em direto, e que os sistemas funcionaram corretamente com mais de 8 milhões de utilizadores ativos. Porém, na altura em que seria necessário, os sistemas não parecem ter aguentado o tráfego.

De notar que esta não é a primeira vez que a X enfrenta problemas com o seu sistema de transmissões em direto, sendo que a plataforma já foi alvo de vários problemas técnicos em transmissões importantes no passado.

13/08/2024
Elon Musk continua a usar a sua conta pessoal para apoio a Trump

Durante os últimos dias, Elon Musk tem vindo a usar a sua plataforma X para incentivar a campanha de Donald Trump, e de acordo com os dados mais recentes, parece que o milionário pretende realizar ainda mais campanhas voltadas para o mesmo.

Musk confirmou o apoio da campanha de Donald Trump pouco depois da sua tentativa de assassinato faz pouco mais de um mês. Na altura, Musk indicou que iria apoiar Trump na sua campanha, o que envolveu não apenas a possível doação para a mesma, mas também várias mensagens de apoio onde a X esteve envolvida.

No entanto, Musk encontra-se a usar a sua influencia dentro da rede social que o mesmo adquiriu para encorajar ainda mais a campanha de Trump. Recentemente o mesmo indicou que iria realizar uma transmissão em direto onde Trump também iria estar presente, e claro, essa transmissão será realizada na X.

Com isto, e ainda mais com as recentes decisões, Musk encontra-se ativamente a usar a sua conta pessoal da X, e a levar também a empresa como um todo, para um incentivo na campanha de Trump. Esta medida terá começado a levantar questões de várias partes, sobretudo a nível da influencia que tais ações podem ter na campanha presidencial.

Ao mesmo tempo, Musk tem vindo a deliberar várias campanhas de ataque contra Biden e Kamala Harris, sendo que alguns dos seus ataques são igualmente baseados em informação incorreta, descontextualizada ou simplesmente enganadora, que mesmo sendo contradita com as próprias notas comunitárias da X, Musk não reconhece como tal – e acabam por cair no esquecimento, mas não sem antes causarem impacto para que as verifica.

Esta ideia de Musk difere consideravelmente das ideias antigas do mesmo. No passado, embora a SpaceX tenha ligações diretas com várias entidades governamentais nos EUA, Musk tinha referido que dever-se-ia manter um caminho neutro na política, algo que o mesmo agora encontra-se a ignorar por completo com a sua conta pessoal.

Ao mesmo tempo, as posições deixadas por Musk também começaram a cair sobre os olhares da Comissão Europeia. Recentemente, Thierry Breton também confirmou que Musk seria inteiramente responsável pela moderação de conteúdos associados com a transmissão em direto com Trump, e que qualquer desinformação ou conteúdos enganadores seria da responsabilidade do mesmo, e com possíveis penalizações para a X – sobretudo em afirmações que possam levar a ataques ou campanhas de violência.

Face a esta resposta, Linda Yaccarino, chefe executiva da X, referiu que a Comissão Europeia encontra-se a tentar alargar o alcance das suas leis para zonas que não fazem parte das suas ações, nomeadamente a nível político nos EUA. No entanto, a mesma não clarificou o facto que a transmissão, feita na X, seria transmitida a nível global, o que engloba também utilizadores que se encontram na União Europeia – e de onde a lei realmente se aplica.

12/08/2024
Extensões do Chrome e Edge usadas para instalar malware
Uma das capacidades dos navegadores atuais encontra-se na de expandir as suas funções com o uso de extensões. No entanto, se não se tiver atenção, esta pode também ser uma forma de acabar com malware nos sistemas.

As extensões são adições úteis para os navegadores, mas que também podem causar algumas dores de cabeça caso sejam exploradas para ataques. E de tempos a tempos, surgem alguns caso de ataques levados a cabo por extensões maliciosas.

Recentemente foi descoberta uma nova campanha de malware focada exatamente nisso. A campanha terá infetado mais de 300 mil computadores, através de extensões maliciosas que se encontravam nas plataformas do Chrome e Edge.

De acordo com a empresa de segurança ReasonLabs, as extensões eram o ponto inicial do ataque, que depois iniciava a instalação do malware no sistema. As extensões eram propagadas sobretudo sobre falsos instaladores, distribuídos por sites de conteúdos piratas, que instalavam as mesmas nos sistemas.

Estes instaladores encontravam-se digitalmente assinados pela empresa Tommy Tech LTD, o que dava mais credibilidade aos mesmos e poderia também evitar que fossem identificados pela maioria dos softwares de segurança.

No entanto, depois de ser feita a instalação, o malware criava uma tarefa agendada no sistema para instalar automaticamente as extensões no Chrome e Edge, que eram descarregadas diretamente das lojas de cada uma das plataformas.

A lista de extensões usadas para o esquema inclui:
- Custom Search Bar – Mais de 40 mil utilizadores
- yglSearch – Mais de 40 mil utilizadores
- Qcom search bar – Mais de 40 utilizadores
- Qtr Search – Mais de 6 mil utilizadores
- Micro Search Chrome Extension – Mais de 180 mil utilizadores (removido da Chrome Web Store)
- Active Search Bar – Mais de 20 mil utilizadores (removido da Chrome Web Store)
- Your Search Bar – Mais de 40 mil utilizadores (removido da Chrome Web Store)
- Safe Search Eng – Mais de 35 mil utilizadores (removido da Chrome Web Store)
- Lax Search – Mais de 600 utilizadores (removido da Chrome Web Store)
- Simple New Tab – Mais de 100 milhões de utilizadores (removido da loja Edge)
- Cleaner New Tab – Mais de 2 mil utilizadores (removido da loja Edge)
- NewTab Wonders – Mais de 7 mil utilizadores (removido da loja Edge)
- SearchNukes – Mais de 1 mil utilizadores (removido da loja Edge)
- EXYZ Search – Mais de 1 mil utilizadores (removido da loja Edge)
- Wonders Tab – Mais de 6 mil utilizadores (removido da loja Edge)
Estas extensões tinham a capacidade de redirecionar as pesquisas do navegador para sites em controlo dos atacantes, onde estes obtinham receitas pela publicidade nos mesmos.

Além disso, teriam ainda a capacidade de recolher dados do navegador, como senhas e dados de login em geral, enviando os mesmos para sistemas em controlo dos atacantes. Esses dados eram depois usados para diferentes atividades.

Para dificultar a tarefa de identificação e remoção, as extensões eram ainda ocultadas da página de configuração das extensões do navegador, o que torna a sua remoção mais complicada. Além disso, mesmo depois de removida, a tarefa agendada criada no sistema voltava a instalar a mesma futuramente.

Na maioria dos casos, a única forma de remover completamente as extensões passava por reinstalar o navegador por completo e de remover manualmente as tarefas agendadas criadas para o efeito.
09/08/2024
Venezuela bloqueia acesso à X por dez dias

A Venezuela confirmou que a X, rede social de Elon Musk, encontra-se agora banida da região. Esta medida terá sido aplicada diretamente por Nicolás Maduro, que acusa a plataforma de violar as leis locais.

Nicolás Maduro acusa sobretudo Musk de usar a plataforma como “esconderijo” para as suas atividades, considerando ainda que este terá sido o responsável pelo recente ataque ao Conselho Nacional Eleitoral (CNE). Além do bloqueio no acesso à X, Maduro terá ainda confirmado que vão ser aplicadas outras penalizações para a rede social.

De acordo com várias fontes, o bloqueio foi aplicado de forma imediata em praticamente todas as operadoras nacionais da Venezuela, sendo que a única forma atualmente de aceder à plataforma na região encontra-se através do uso de uma VPN.

Para já, o bloqueio será apenas aplicado de forma temporária, sendo que a direção de Maduro aponta que o mesmo será mantido por 10 dias. De relembrar que Musk e Maduro têm sido bastante confrontados depois das eleições no pais.

Ainda no inicio desta semana, Maduro considerou que as redes sociais estavam a ser usadas para incitar o ódio e violência dentro da Venezuela, tendo mesmo apelado a que toda a população remova o WhatsApp dos seus dispositivos – visto ser uma das formas de partilha de desinformação e conteúdos de ódio.

09/08/2024
Falha de segurança com 18 anos foi finalmente corrigida

Uma falha que tinha sido descoberta faz mais de 18 anos foi recentemente corrigida, garantindo uma proteção adicional para navegadores como o Google Chrome, Firefox, Safari e outros.

A falha era conhecida como “0.0.0.0 day”, e embora fosse grave, apenas afetava sistemas Linux e macOS. Se explorada, os atacantes poderiam aproveitar a mesma para alterar algumas configurações do navegador, obter acesso a dados privados ou, em alguns casos, enviar comandos remotos para os sistemas.

A falha foi reportada inicialmente em 2008, mas manteve-se ativa e por corrigir durante mais de 18 anos, embora praticamente todos os navegadores a confirmaram como sendo uma falha válida. Na altura, a falha foi reportada como estando a ser ativamente usada para ataques, embora fossem limitados.

Esta falha permitia que os navegadores, através de sites públicos na internet, pudessem enviar comandos para redes internas via o IP wildcard 0.0.0.0. Normalmente, este IP corresponde a todos os endereços locais de uma rede, e como tal, o ataque voltava-se para tirar proveito do acesso dos navegadores ao mesmo para lançar ataques locais.

Dependendo do sistema, os pedidos enviados para 0.0.0.0 poderiam ter diferentes efeitos na rede, o que poderia também permitir aos atacantes enviarem comandos para serviços locais, e realizarem assim as mais variadas atividades.

Curiosamente, embora a falha fosse conhecida faz 18 anos, apenas recentemente se verificou um elevado número de websites pela internet a começarem a realizar pedidos ao IP 0.0.0.0, e consequentemente, a tentarem explorar esta falha. Isso pode ter sido um dos motivos para ter levado os principais navegadores no mercado a lançarem a correção para o mesmo.

Google Chrome, Firefox e Safari começaram a implementar medidas para bloquear pedidos feitos ao IP 0.0.0.0, sendo que estas devem começar a ser implementadas em futuras versões dos navegadores.

08/08/2024
Samsung eleva recompensas por vulnerabilidades até um milhão de dólares

A Samsung encontra-se a elevar a sua recompensa para quem consiga encontrar vulnerabilidades no Knox Vault, sendo que agora esta pode atingir o valor de 1 milhão de dólares.

O Knox Vault é um sistema integrado nos dispositivos da Samsung, que é responsável por armazenar informações sensíveis como dados de login e outras informações importantes e encriptadas. Portanto, trata-se de uma área onde é possível de encontrar dados bastante importantes, que não se pretenda o acesso “normal”.

Para demonstrar o empenho nessa ideia de segurança, a Samsung agora irá fornecer até um milhão de dólares em recompensa para quem encontrar uma falha grave no Knox Vault. O valor máximo será atribuído para quem encontre uma falha de “interação zero”, onde os dados podem ser comprometidos sem qualquer iteração das vítimas.

Tendo em conta que o Knox Vault usa um chip dedicado para as suas tarefas, completamente isolado do processador central, esta tarefa é vista como algo bastante complicado de se realizar, até mesmo por ataque que de outra forma poderia aproveitar o processador do dispositivo para o mesmo.

Para quem encontre uma falha que permita o acesso aos dados, mas envolva ter acesso físico aos dispositivos, a recompensa pode atingir os 300.000 dólares. Comprometer o subsistema TEEGRIS pode render entre 200.000 e 400.000 dólares de recompensa.

Para quem consiga comprometer o Rich Execution Environment (REE), a recompensa pode atingir os 150 mil dólares, e o sistema de anti-malware Auto Blocker rende até 100 mil dólares.

Embora as recompensas sejam tentadoras, as mesmas são variáveis com a dificuldade de se explorar e encontrar falhas. O Knox Vault é considerado um dos sistemas mais seguros atualmente disponíveis, portanto será algo extremamente complicado de se encontrar, e dai as recompensas igualmente elevadas.

Em mais de sete anos que a Samsung fornece este programa de recompensas, foram pagos menos de 5 milhões de dólares em recompensas variadas, com o valor mais elevado a ser de 57.190 dólares – atribuído o ano passado. Em 2023 a Samsung ainda pagou 827.925 dólares a 113 pessoas pelas descobertas de falhas.

08/08/2024
Falha no Windows permite realizar downgrade invisível do sistema

As atualizações do Windows servem, por norma, para instalar as mais recentes versões do sistema operativo, que podem conter correções para falhas recentes e outras vulnerabilidades. No entanto, foi recentemente descoberto que existe uma forma de realizar o “downgrade” destas atualizações por malware.

O investigador Alon Leviev revelou uma forma de realizar a remoção de atualizações do Windows, permitindo voltar a versões antigas do sistema, o que pode abrir portas para que falhas anteriormente corrigidas voltem a ficar disponíveis para ataques.

Basicamente, o ataque começa por levar o sistema operativo a realizar a remoção de atualizações recentes do mesmo, voltando para uma versão anterior. Isto abre portas para que falhas anteriormente corrigidas voltem a ficar acessíveis, e possam assim ser exploradas pelo malware ou atacantes para os mais variados fins.

O investigador revelou ter descoberto formas de realizar o downgrade de alguns dos componentes chave do sistema, incluindo do próprio kernel do Windows. Os componentes continuariam a reportar ao sistema estar na sua mais recente versão, mas não estariam verdadeiramente.

Segundo o investigador, este ataque é bastante eficaz, pois é capaz de contornar a maioria dos programas de segurança. Estes programas não são capazes de identificar estarem numa versão anterior do Windows como sendo algo “malicioso”, e para todos os efeitos, o próprio Windows considera que se encontra com as versões mais recentes dos ficheiros – apesar de não estar. Isto torna o ataque praticamente impossível de identificar pelos meios tradicionais.

Um sistema pode ser comprometido desta forma sem que os utilizadores se apercebam, abrindo portas para que falhas antigas possam ser exploradas, sobretudo falhas zero-day.

O investigador revelou ter notificado a Microsoft desta falha em Fevereiro, mas até ao momento, ainda não foi fornecida uma correção por parte da empresa para evitar tal situação. A empresa indica, no entanto, que ainda se encontra a tratar de disponibilizar uma correção que iria impedir este formato de ataque, embora até ao momento ainda não tenha sido oficialmente disponibilizada.

08/08/2024
Autoridades francesas confirmam ataque informático ao Grand Palais e museus

Várias entidades em França confirmaram ter sido alvo de um ataque informático, o que inclui nomes como o Grand Palais e cerca de 40 museus. O ataque terá ocorrido durante o dia de Sábado, mas apenas agora foi confirmado pelas autoridades.

De acordo com as mesmas, o ataque encontra-se associado com a realização dos Jogos Olímpicos em Paris. Entre os museus afetados encontra-se o Louvre, que teve alguns dos seus sistemas internos afetados pelo mesmo.

O ataque aparenta ter sido realizado ao sistema interno financeiro das entidades, que conjuga as informações financeiras de várias instituições culturais em França. De acordo com a informação revelada pelas autoridades, o ataque terá sido de ransomware, onde dados dos sistemas foram encriptados e os atacantes encontram-se agora a pedir o resgate para obter novamente acesso aos mesmos.

As autoridades indicam ainda que a Grand Palais, uma das principais sedes dos Jogos Olímpicos de Paris 2024, também foi afetado pelo ataque. No entanto, as autoridades indicam que o ataque não causa problemas nos Jogos Olímpicos e Paralímpicos de Paris 2024 nem afetou dados associados com os mesmos.

A investigação do incidente ainda se encontra a ser realizada, mas para já não foram deixados detalhes sobre a origem do ataque – e não existe nenhum grupo de ransomware que tenha, até ao momento, confirmado o mesmo.

06/08/2024
Keytronic perdeu 17 milhões de dólares após ataque ransomware

Os ataques ransomware podem ter efeitos devastadores para as empresas, não apenas a nível das perdas de dados, mas também dos elevados custos associados. E isso pode confirmar-se com as recentes informações da empresa Keytronic, uma fabricante de dispositivos eletrónicos.

Esta entidade foi alvo de um ataque de ransomware, que segundo os documentos entregues às autoridades dos EUA, terá afetado as divisões no México e EUA, juntamente com os seus sites, no dia 6 de Maio. O ataque levou a vários atrasos de encomendas e a vários meios de contacto e linhas de produção da empresa a ficarem paradas durante dias.

De acordo com o relatório agora entregue às autoridades, a Keytronic afirma que o ataque de ransomware levou a perdas de aproximadamente 15 milhões de dólares em receitas, ao que se junta ainda 2.3 milhões de dólares gastos para voltar a retornar à normalidade.

Apesar das perdas imediatas, a empresa afirma que as encomendas que ficaram pendentes devido ao ataque de ransomware podem ser recuperadas, e espera-se que o valor seja recuperado para o ano fiscal de 2025.

Embora a entidade não tenha revelado a origem do ataque de ransomware, o grupo Black Basta teria confirmado o ataque, tendo disponibilizado alguma da informação roubada no seu portal da rede TOR.

Entre os dados roubados encontram-se vários conteúdos internos da entidade, de funcionários e de alguns dos clientes.

Este é apenas um exemplo de como um ataque de ransomware pode causar graves prejuízos para as empresas, ao que se junta ainda possíveis consequências legais associadas com o roubo de dados.

05/08/2024
Elon Musk volta a processar a OpenAI e Sam Altman

Não é a primeira vez que Elon Musk entra em guerra com a OpenAI, sendo que o milionário volta agora a processar a OpenAI e o seu cofundador, Sam Altman, em mais uma batalha legal.

Musk tinha processado a OpenAI e os dois cofundadores, Sam Altman e Greg Brockman, no passado por violarem as missões originais da empresa em criar IA focada para beneficiar a humanidade. Apesar de o caso ter sido deixado de lado, Musk volta agora ao ataque com um novo processo legal.

Na nova acusação, Musk afirma que Altman e Brockman enganaram o mesmo para investir na OpenAI durante os seus primeiros dias, sobre falsos pretextos. De relembrar que Musk foi um dos primeiros investidores da OpenAI, mas eventualmente viria a sair da entidade depois de alguns problemas internos com os cofundadores e ideias diferentes dos mesmos para o futuro da entidade.

Musk afirma que foi enganado pelos dois cofundadores, de forma a investir na criação da OpenAI, com a ideia que a entidade iria desenvolver um sistema seguro e transparente comparativamente a outras entidades voltadas para as receitas. A acusação indica que a ideia de Altman seria atrair investidores com o engodo de a OpenAI ser uma entidade sem fins lucrativos.

Esta acusação é bastante similar à que Musk tinha deixado em Junho, e que eventualmente viria a cancelar depois de terem sido apontadas várias falhas. Na altura, Musk deixou uma declaração contra a OpenAI que estaria cheia de falhas e falsas informações. Este novo processo pretende ser uma resposta direta e mais completa da mesma.

Ao mesmo tempo, Musk continua a afirmar que a OpenAI encontra-se distante das ideias originais de desenvolver uma tecnologia de IA que seja benéfica para a comunidade em geral. Invés disso, a empresa encontra-se a ser cada vez mais fechada, e a criar as suas tecnologias para benefício próprio.

05/08/2024
Recente falha dos serviços da Microsoft com origem em ataque DDoS

Durante o dia de ontem, alguns utilizadores das plataformas da Microsoft foram afetados por falhas no acesso aos serviços, nomeadamente no Microsoft 365 e Azure. E agora, conhecem-se novas informações sobre a origem destas falhas.

De acordo com a mensagem da Microsoft, vários dos serviços da empresa estiveram inacessíveis durante algumas horas, derivado a um ataque DDoS massivo. Este ataque terá afetado várias plataformas da empresa, e os clientes das mesmas, causando transtornos no uso.

Embora a empresa tenha confirmado que a origem das falhas estaria no ataque DDoS, a empresa não relacionou o mesmo com qualquer grupo ou entidade, e ainda se desconhece a origem.

A empresa sublinha ainda que foram aplicadas medidas para prevenir os problemas causados pelo ataque, mas derivado do volume massivo do mesmo, estas não foram suficientes para evitar a sobrecarga da rede e eventuais falhas nos acessos.

Embora a origem das falhas tenha sido já confirmada, a Microsoft afirma que vai continuar a investigação, e deverá fornecer um novo relatório do incidente dentro das próximas 72 horas, e o relatório final dentro de duas semanas.

De relembrar que esta não é a primeira vez que a Microsoft é afetada devido a ataques DDoS em larga escala. Em Junho de 2023, a Microsoft confirmou que um grupo conhecido como “Anonymous Sudan” terá realizado os mesmos ataques à plataforma, e na altura, também se verificaram falhas no acesso a vários serviços da empresa.

31/07/2024
Existe um novo recorde de pagamento para resgate de ransomware

Embora as empresas tenham cada vez mais medidas apertadas de segurança contra ataques ransomware, quando as mesmas são alvo de ataques, uma das primeiras regras será de evitar realizar o pagamento do resgate.

No entanto, nem todas as entidades o realizam, e quando isto acontece com empresas na lista Fortune 50 é ainda mais interessante para os grupos de ransomware.

De acordo com a empresa Zscaler ThreatLabz, o grupo de ransomware Dark Angels terá recebido recentemente um pagamento de 75 milhões de dólares como resgate de um ataque de ransomware, que foi realizado a uma grande empresa, na lista Fortune 50.

Este valor é um dos mais elevados alguma vez descoberto como tendo sido pago a um grupo de ransomware. Ao mesmo tempo, este ataque pode acabar por criar interesse de grupos de ransomware rivais para replicar o mesmo formato de ataque, o que pode aumentar o risco para as grandes empresas.

Este pagamento recorde foi também confirmado pela empresa Chainalysis, que analisou a transação feita com o pagamento na blockchain.

Para comparação, o valor recorde anteriormente pago por uma empresa a grupos de ransomware encontrava-se nos 40 milhões de dólares, e teria sido feito ao grupo “Evil Corp”. A empresa que agora se encontra nesta lista não teve o nome revelado, mas foi referido que o ataque ocorreu no início de 2024.

Nesta altura, uma das empresas que faz parte da Fortune 50 e que foi alvo de ataque teria sido a “Cencora”, onde nenhum grupo de ransomware também teria confirmado a autoria do ataque. No entanto, não existe uma confirmação oficial da origem do pagamento.

30/07/2024
Homem preso por um ano por várias ameaças contra a Nintendo

Várias empresas de renome tendem a receber algumas ameaças de tempos a tempos, e a Nintendo não é exceção. Sendo uma das editoras mais conhecidas no mercado, isso também surge com algumas críticas por parte de certas pessoas, mas existe quem eleve isso para níveis bem mais perigosos.

Recentemente, um homem foi condenado por ter enviado mais de 39 ameaças para a Nintendo durante 2023, situação que levou mesmo a empresa a ter de cancelar alguns dos seus eventos da mesma.

De acordo com o juiz, o homem terá enviado dezenas de ameaças para a Nintendo, que poderiam passar por colocar também em risco vários dos funcionários da empresa e dos participantes nos eventos da mesma.

O homem foi condenado a um ano de prisão pelas suas ações, sendo que o funcionário da Nintendo que testemunhou contra o mesmo afirma que a empresa terá sido negativamente afetada por estas ameaças. O mesmo relembrou ainda um incidente com o Kyoto Animation, um estúdio de anime que foi alvo de ameaças, e em 2019, sofreu um ataque violento de onde resultou a morte de 36 pessoas.

As ameaças enviadas pelo homem indicavam igualmente atos violentos, que poderiam ser realizados caso a Nintendo tivesse realizado os eventos previstos. Segundo a acusação, o homem não teria intenções de realizar efetivamente as ameaças, sendo que o único motivo para tal seria de aliviar a frustração de um jogo online onde o mesmo se encontrava.

27/07/2024