Categoria: Hacking

  • FBI desmantela fóruns de hacking Cracked e Nulled

    FBI desmantela fóruns de hacking Cracked e Nulled

    hacker em computador

    O FBI terá alegadamente apreendido os domínios de vários portais da dark web, bastante usados para distribuir conteúdos roubados ou para realizar a venda dos mesmos. Em causa encontram-se os sites Cracked e Nulled, dois dos maiores portais de hacking atualmente existentes.

    Embora os dois sites tivessem zonas de discussão para conteúdos éticos de hacking, na sua grande maioria eram usados para atividades de cibercrimes, com vendas e compras de conteúdos roubados.

    Eram ainda bastante usados para partilhar técnicas, programas e configurações para realizar ataques, que eram depois usados para os mais variados fins – como esquemas de phishing, criação de malware. Tinham ainda zonas de vendas de informação pessoal roubada, que era dos pontos fortes dos mesmos.

    Os sites encontram-se atualmente a apresentar mensagens de erro, sendo que o DNS dos domínios foram alterados para os sistemas normalmente usados pelo FBI na apreensão dos servidores.

    As equipas do portal Cracked usaram o Telegram para confirmar que o site encontra-se inacessível, mas atribuíram os problemas a falhas no datacenter. A mensagem indicava ainda que seriam fornecidos mais detalhes em breve.

    Além destes dois portais mais conhecidos, as autoridades indicaram ainda ter apreendido mais três domínios, que eram também associados com plataformas que forneciam atividades de cibercrime.

  • Ameaças de cibersegurança previstas para 2025: pistas da dark web

    Ameaças de cibersegurança previstas para 2025: pistas da dark web

    computador com pistas digitais a sair do ecrã

    Desde serviços avançados de desinformação até ao roubo de identidades digitais, passando pelas vulnerabilidades das casas inteligentes e pela engenharia social assistida por IA — estes são os grandes tópicos de debate nos fóruns da dark web

    Todos os anos, em dezembro, os especialistas da NordVPN tentam prever os riscos de cibersegurança do ano seguinte. Desta vez, fizeram parceria com a NordStellar, cujos investigadores analisaram os maiores fóruns da dark web para identificar os tópicos mais discutidos e as ameaças emergentes.

    “Embora as previsões do ano passado continuem a ser relevantes, a popularidade dos cursos de hacking e dos kits de cibercrime DIY aumentou visivelmente. Os conteúdos pessoais e os dados vazados de clientes continuam a circular sem entraves nestes fóruns”, diz Adrianus Warmenhoven, especialista de cibersegurança da NordVPN.

    “Este ano, fomos além dos tópicos mais comentados para identificar as cinco novas ameaças e vulnerabilidades que é provável que surjam em 2025”, acrescenta Warmenhoven.

    Ameaças persistentes: o âmbito das apropriações de contas irá alargar-se

    As ameaças mais discutidas na dark web, com mais de 135 000 comentários, concentram-se nas listas de credenciais — bases de dados com combinações de nomes de utilizadores, palavras-passe e outras informações pessoais obtidas através de violações de dados. Um dos tópicos seguidos mais de perto, com perto de 26 000 comentários, aborda diretamente as apropriações de contas que exploram estes metadados para acessos não autorizados.

    Devido à prática disseminada de reutilização de palavras-passe em diferentes sites, a posse das credenciais de início de sessão permite não só que os hackers cometam fraude e utilizem as contas para fins maliciosos como transações fraudulentas, mas também aumenta em muito o risco de roubo de identidade.

    Warmenhoven chama a atenção para o perigo, acrescentando que, enquanto a reutilização de palavras-passe continuar, os ataques também manterão a sua eficácia e popularidade, prevendo um aumento destas atividades em 2025, à medida que as violações de dados continuam a abastecer os cibercriminosos de novas credenciais.

    Ameaças emergentes: brechas de segurança nas casas inteligentes

    Outro tópico bastante comentado no fórum da dark web, atraindo perto de 21 000 comentários, versa sobre as vulnerabilidades de segurança de diferentes sistemas e aplicações domésticas inteligentes, incluindo instruções concretas sobre como explorá-las.

    O “2024 IoT Security Landscape Report” (Relatório sobre o panorama de segurança da IoT em 2024) analisou aproximadamente 50 milhões de dispositivos da Internet das Coisas (IoT), revelando mais de 9,1 mil milhões de eventos de segurança à escala global. Em média, as redes domésticas sofrem mais de 10 ataques diários contra os dispositivos conetados, um número que se prevê vir a aumentar em 2025.

    “Os hackers exploram cada vez mais uma vasta gama de dispositivos domésticos inteligentes, desde sistemas de segurança até aparelhos de uso diário, como frigoríficos e aspiradores inteligentes. Enquanto alguns dispositivos funcionam como pontos de acesso para ataques de rede de maior envergadura, há outros, como os sistemas domésticos de CCTV, que podem ser diretamente pirateados, correndo o risco de expor as atividades privadas dos utilizadores”, diz Warmenhoven.

    O roubo de identidade continuará a ser a prioridade dos hackers, devido à sua alta rentabilidade

    As discussões sobre fraude estão entre os 10 tópicos mais comentados na dark web, com os utilizadores a partilharem dicas, ferramentas e estratégias para se cometer fraudes eficazes. As fraudes com cartões de crédito e as fraudes de seguros são bastante discutidas, mas é o roubo de identidade que continua a ser a grande prioridade dos hackers, por ser mais lucrativo.

    À medida que os piratas informáticos continuam a explorar os dados pessoais para se infiltrarem em contas bancárias, cartões de crédito e cometerem fraude fiscal, prevê-se que as técnicas de roubo de identidade se tornem cada vez mais sofisticadas.

    “O roubo de identidade está a evoluir, antecipando-se o aparecimento de novas formas para o próximo ano”, afirma Warmenhoven. “Uma delas, a fraude de identidade sintética, que mistura dados verdadeiros com dados falsos, incorpora muitas vezes tecnologias de deepfake para aumentar a sua eficácia. Outro método emergente é o roubo de identidade invertido, em que os indivíduos utilizam a identidade de outra pessoa, não para lucro financeiro, mas para se fazerem passar por essa pessoa no dia a dia — para conseguirem emprego, acederem a serviços médicos ou escaparem a consequências legais. Estas estratégias incidem sobre a usurpação de identidade a longo prazo, em detrimento do lucro financeiro imediato”.

    Ascensão iminente de uma nova ameaça: a desinformação como serviço

    De acordo com o “Global Risks Report 2024”, do Fórum Económico Mundial, a desinformação gerada por IA aparece como o segundo maior risco global (53%) para os próximos dois anos, com as condições meteorológicas extremas a ocuparem o primeiro lugar e os ciberataques o quinto.

    A dark web está a abarrotar de táticas concebidas para espalhar a desinformação, incluindo o uso de milhares de contas falsas de redes sociais e inúmeros e-mails de spam, que disseminam propaganda. Além disso, estão a ser desenvolvidas “bot farms” de desinformação para distribuir informações falsas em larga escala.

    “Ao refletir sobre as tendências atuais da dark web, prevemos a emergência da desinformação como serviço como ameaça significativa para o próximo ano”, alerta Warmenhoven. “Esta solução, oferecida pelos cibercriminosos, lucra com a criação e a propagação de informações falsas, um serviço altamente personalizável e adaptável, que permite a segmentação precisa de perfis demográficos e a manipulação de algoritmos das redes sociais para ampliar o seu alcance”.

    A engenharia social assistida por IA tornar-se-á mais sofisticada

    Prevê-se que a engenharia social assistida por IA venha a tornar-se cada vez mais sofisticada. Embora este tópico não seja muito discutido, os fóruns estão a abarrotar de dicas detalhadas, tutoriais e exemplos reais de como fazer uso desta técnica. Uma das maiores tendências emergentes é a utilização da IA para detetar vulnerabilidades, aumentando a complexidade das ferramentas criadas para manipular o comportamento humano com vista à extração de informações e à elaboração de e-mails de phishing convincentes.

    Além disso, devido à engenharia social baseada na IA, os funcionários cometem mais erros e as empresas tornam-se menos seguras, como demonstra o Business Digital Index.

    “Assistimos atualmente à emergência de uma ameaça conhecida por ‘manipulação e exploração de empresas’, em que os vigaristas enganam os representantes das empresas, levando-os a emitir reembolsos ou substituições praticamente por qualquer motivo. Estes fóruns disponibilizam métodos concretos para pesquisar empresas e executar eficazmente estes golpes, visando grandes organizações, como a Amazon, a ASOS e a Walmart”, explica Warmenhoven.

  • Hackers para alugar estão a menos de 300 dólares no Telegram

    Hackers para alugar estão a menos de 300 dólares no Telegram

    Hackers para alugar estão a menos de 300 dólares no Telegram

    Contratar um cibercriminoso era algo complicado de se realizar até bem pouco tempo, mas parece que nos dias que correm, esta tarefa encontra-se não apenas mais simples, mas também consideravelmente mais acessível.

    De acordo com um recente estudo, o Telegram é uma das plataformas cada vez mais usada para encontrar, e encomendar, serviços de “hacking”. Onde antes era necessário navegar por sites da dark web e usar sistemas de pagamento anónimo para este género de atividades, agora existem grupos e vendedores em plataformas como o Telegram que permitem realizar a tarefa de forma bastante mais simples.

    Na realidade, não é apenas em encontrar, mas também nos preços que se notam diferenças. Os custos de contratar um serviço de hacking ficaram consideravelmente mais baratos nos últimos anos, em parte por ser mais simples de adotar estes ataques e de existir uma competição ainda maior no “mercado paralelo”.

    Analisando alguns dos canais onde se vendem este género de serviços, é possível encontrar “hackers” prontos a atacar vitimas por apenas 120 dólares, com contas do WhatsApp, Skype, Facebook ou TikTok.

    Para se obter acesso completo ao dispositivo de outra pessoa, seja Android ou iOS, a tarefa pode ser realizada por menos de 300 dólares.

    Os pagamentos são quase sempre feitos em criptomoedas, com o valor pago a metade antes da tarefa ser realizada, e o restante depois. Dependendo do que se pague, alguns hackers fornecem o serviço mais rápido, com prazos que podem demorar menos de duas horas.

    As criptomoedas são usadas como forma de pagamento por serem mais difíceis de rastrear, embora não seja impossível. Em alguns casos usam-se criptomoedas que possuem foco em privacidade, como é o caso da Monero.

    Este género de vendas é um verdadeiro negócio, que conta até com “marketing” em geral para o mesmo. Vários vendedores fornecem links para “feedback” de outros clientes antigos, sobre os trabalhos que tenham realizado, como forma de validar a autenticidade e satisfação dos mesmos.

    O sistema seguro e privado do Telegram também permite que as mensagens sejam trocadas de forma consideravelmente mais simples e segura, sem olhares de terceiros, além de ser mais simples do que navegar por sites desconhecidos da dark web.

  • Firefox corrige duas falhas zero-day descobertas em evento hacking

    Firefox corrige duas falhas zero-day descobertas em evento hacking

    Firefox corrige duas falhas zero-day descobertas em evento hacking

    A Mozilla confirmou ter lançado uma nova atualização para o Firefox, focada em corrigir duas vulnerabilidades zero-day, que afetam o navegador e que foram descobertas durante o evento Pwn2Own Vancouver 2024.

    Manfred Paul (@_manfp) recebeu de recompensa 100.000 dólares por ter descoberto uma falha zero-day no Firefox, que poderia permitir aos atacantes executarem remotamente código potencialmente malicioso nos sistemas, e outra que poderia permitir a código escapar do ambiente “sandbox” que é criado nos processos do navegador, protegendo o sistema base.

    A primeira falha, se explorada, pode permitir que código malicioso seja executado nos sistemas através do processo do navegador em desktop. Esta falha é particularmente grave, por permitir que código fosse executado indiscriminadamente no sistema.

    Já a segunda falha contorna as proteções implementadas no navegador, para evitar que conteúdo malicioso fosse executado nos sistemas.

    A Mozilla corrigiu ambas as falhas com a nova atualização do Firefox 124.0.1 e Firefox ESR 115.9.1, tanto na versão desktop como mobile do navegador. As falhas foram corrigidas em menos de 24 horas depois de terem sido reveladas pelo investigador de segurança no evento Pwn2Own.

  • Hacker de Apex Legends afirma ter atacado torneio “por diversão”

    Hacker de Apex Legends afirma ter atacado torneio “por diversão”

    Hacker de Apex Legends afirma ter atacado torneio “por diversão”

    Durante o final da semana passada, o mundo gaming ficou chocado com o caso de um hacker, que terá conseguido atacar um evento de Apex Legends, injetando código nos clientes do jogadores presentes no mesmo.

    Durante o evento, o hacker terá conseguido injetar dois programas usados para obter vantagens injustas no jogo em dois dos maiores jogadores de Apex Legends, realizando este ataque a meio da partida oficial.

    O incidente levou mesmo os organizadores do evento Apex Legends Global Series a terem de adiar o mesmo, por tempo indeterminado, por não se encontrarem reunidas condições para realizar o mesmo de forma segura.

    Enquanto o ataque ocorria, no chat da partida foram deixadas as mensagens “Apex hacking global series, by Destroyer2009 &R4andom”. E agora sabe-se mais detalhes sobre os motivos do ataque.

    Em entrevista ao portal TechCrunch, o hacker Destroyer2009 afirma que terá realizado o ataque durante o evento “apenas por diversão”, e como forma de dar destaque para a vulnerabilidade que o mesmo descobriu, para que os criadores do jogo resolvam o problema.

    A comunidade rapidamente entrou em modo de emergência, com alegações que o cliente de Apex Legends estaria com uma falha que permitia a execução remota de código. A falha, no entanto, foi negada pela EA.

    Apesar disso, Destroyer2009 negou fornecer detalhes sobre qual a falha explorada para o ataque e como realizou a proeza. O mesmo afirma que não pretende deixar detalhes até que o patch da falha seja disponibilizado, e o cliente não esteja ativamente aberto a possíveis ataques. O mesmo afirma, porém, que o ataque não envolve os servidores do jogo, e não é realizado qualquer alteração diretamente nos sistemas dos jogadores, sendo apenas afeto ao processo do jogo.

    Esta indicação levanta ainda mais suspeitas que a falha pode envolver o cliente do jogo, e afetar qualquer jogador do mesmo. Destroyer2009 afirma que não reportou a falha tanto à Respawn, os criadores de Apex Legends, como também para a EA, derivado de ambas não oferecerem qualquer recompensa quando são encontradas falhas nos seus programas.

    No entanto, o mesmo afirma que ambas sabem como corrigir a falha sem que seja necessária uma intervenção externa para tal.

    O hacker afirma ainda que colocou algumas piadas na imagem do programa, frisando que o objetivo seria chamar à atenção para a existência da falha, e não para ativamente ser prejudicial para os jogadores.

    O mesmo afirma ainda que realizou o ataque contra os dois jogadores Geburten e ImperialHal por considerar os mesmos como “boas pessoas”, e para chamar à atenção dos mesmos.

    Entretanto, Conor Ford, que trabalha na equipa de segurança de Apex Legends, publicou uma mensagem na X confirmando que a equipa já se encontra a trabalhar na solução para este problema, o que indica que o patch para a vulnerabilidade pode ser brevemente disponibilizado. No entanto, tanto diretamente a Respawn como a Eletronic Games não deixaram comentários sobre os ataques.

    Alguns especialistas apontam que a falha encontra-se localizada no cliente Easy Anti-Cheat, usado como sistema de segurança contra cheats no jogo, e que estaria vulnerável a ataques de código remoto – o que permitiria aos atacantes enviarem comandos remotamente para qualquer sistema onde este programa se encontrasse.

    Por fim, Destroyer2009 afirma que os jogadores de Apex Legends não se devem preocupar com a segurança, sendo que o mesmo acredita que a vulnerabilidade não será facilmente explorada até ser corrigida.

  • OpenAI acusa New York Times de ter “hackeado” o ChatGPT

    OpenAI acusa New York Times de ter “hackeado” o ChatGPT

    OpenAI acusa New York Times de ter “hackeado” o ChatGPT

    Em meados de Dezembro de 2023, o The New York Times processou a OpenAI e a Microsoft, por alegadamente usarem conteúdos da sua plataforma, mais concretamente noticias, para treino dos modelos de IA do ChatGPT, sem autorização para tal.

    A empresa afirma que os sistemas da OpenAI usam os conteúdos do portal para treino dos modelos de IA, e que podem ser também usados para contornar alguns dos artigos pagos na plataforma, sendo que foram apresentados mais de 100 exemplos de tal no tribunal. No entanto, o caso sofre agora alguns desenvolvimentos, desta vez com a resposta da OpenAI.

    De acordo com a OpenAI, esta acusa o New York Times de ter realizado “hacking” do ChatGPT e dos seus modelos para obter os resultados pretendidos. De acordo com a OpenAI, a organização de notícias terá pago para que alguém descobrisse um bug no sistema do ChatGPT, de forma a que este fornecesse os resultados que a entidade pretendia para o caso.

    A empresa afirma que foram necessários milhares de comandos bastante específicos para que o ChatGPT criasse os resultados que foram apresentados ao tribunal, o que terá sido apenas possível através da descoberta e exploração de bugs na plataforma do ChatGPT.

    Os comandos usados na plataforma estariam ainda em violação dos termos da OpenAI, com a intenção de criar conteúdos finais bastante específicos para o seu caso.

    Ao mesmo tempo, a OpenAI afirma ainda que, em 2020, quando a empresa revelou o seu modelo GPT-3, o The Times foi uma das instituições que se demonstrou entusiasmada com o potencial da tecnologia, e como esta poderia vir a ser útil tanto para o mercado em geral como também para a própria entidade e os conteúdos que esta cria.

    De notar que o caso também coloca a Microsoft no mesmo, nomeadamente com o seu motor de pesquisa do Bing. O NYT acusa a Microsoft de usar o serviço “Browse by Bing”, que é suportado pelo ChatGPT, para criar conteúdos bastante similares aos que existem em alguns dos sites da plataforma de noticias, nomeadamente a nível de reviews de produtos com o site Wirecutter.

  • OpenAI remove contas de grupos de hackers associados a entidades governamentais

    OpenAI remove contas de grupos de hackers associados a entidades governamentais

    OpenAI remove contas de grupos de hackers associados a entidades governamentais

    A OpenAI confirmou ter removido da sua plataforma contas que estariam a ser usadas por entidades governamentais, de forma a abusar das capacidades do ChatGPT. Estas contas teriam ligações com entidades governamentais do Irão, Coreia do Norte, China e Rússia, estando a usar a plataforma em violação dos termos de serviço da mesma.

    Estas entidades teriam ligações com grupos de hacking, que estavam a usar os modelos LLM da OpenAI para desenvolverem código potencialmente malicioso, ou que poderia ser usado para ataques. Esta medida foi realizada depois de uma investigação da Microsoft, onde se veio a descobrir que grupos apoiados por entidades governamentais estariam a usar o ChatGPT para estas atividades.

    Entre os grupos identificados de hackers encontram-se o Forest Blizzard (Strontium) da Rússia, Emerald Sleet (Thallium) da Coreia do Norte, Crimson Sandstorm (Curium) do Irão, Charcoal Typhoon (Chromium) da China e Salmon Typhoon (Sodium) da China.

    Estes grupos estariam a usar as ferramentas da OpenAI para desenvolverem técnicas mais avançadas para os seus ataques, desde melhorias em código de malware existente a criação de conteúdos para engenharia social, de forma a enganar as potenciais vítimas de forma mais convincente.

    Não existem indícios que os modelos LLM tenham sido usados diretamente para criar malware por completo, mas partes do código podem ter sido adaptados ou melhorados usando as ferramentas de IA da OpenAI.

    A OpenAI afirma ainda que irá tomar medidas para prevenir que situações similares voltem a ocorrer no futuro, aplicando sobretudo medidas mais rigorosas de análise para a forma como determinadas contas se encontram a usar a plataforma de IA da empresa, e regras mais especificas para os filtros da IA.

  • Administrador do portal BreachForums condenado a 20 anos de supervisão

    Administrador do portal BreachForums condenado a 20 anos de supervisão

    Administrador do portal BreachForums condenado a 20 anos de supervisão

    Conor Brian Fitzpatrick, o antigo administrador do portal BreachForums, foi condenado pelas autoridades dos EUA a 20 anos supervisão derivado das suas atividades no portal de hacking – bastante conhecido por permitir a venda e distribuição de dados pessoais associados com milhares de utilizadores.

    Fitzpatrick foi condenado em Março de 2023, devido às suas atividades com o portal Breached, onde foram distribuídos milhares de dados pessoais e sensíveis de utilizadores dos EUA e de vários países e entidade. Com o nome online de “Pompompurin”, Fitzpatrick terá usado os seus conhecimentos avançados para manter uma plataforma ativa na distribuição deste género de conteúdos.

    Inicialmente o tribunal tinha condenado Fitzpatrick a 15.7 anos de prisão pelas suas atividades, mas depois de recurso do mesmo, o tribunal decidiu aliviar a pena para apenas 20 anos de supervisão. Durante este período, Fitzpatrick terá acesso bastante restrito a sistemas online, e terá de usar um localizador GPS durante pelo menos dois anos, enquanto se encontra detido em casa.

    Deve ainda comparecer durante os primeiros dois anos a tratamentos de saúde mental.

    Durante o primeiro ano da sentença, Fitzpatrick encontra-se totalmente proibido de usar qualquer plataforma online, e nos restantes tempos terá os seus sistemas monitorizados ativamente para identificar qualquer atividade suspeita.

    O tribunal considerou ainda que Fitzpatrick deve restituir todas as vítimas que foram prejudicadas com o seu portal, num montante que ainda se encontra por determinar.

  • Administrador do portal BreachForums detido por ter acedido à Internet

    Administrador do portal BreachForums detido por ter acedido à Internet

    Administrador do portal BreachForums detido por ter acedido à Internet

    O administrador do conhecido portal BreachForums, agora encerrado, foi novamente condenado pelas autoridades, depois de ter violado a liberdade condicional para usar uma VPN para acesso a conteúdos de um computador não autorizado.

    Conor Fitzpatrick foi detido a 15 de Março de 2023, tendo na altura admitido que seria o administrador do site BreachForums, um conhecido portal usado para a venda e troca de conteúdos roubados em ataques e por grupos de hacking. Este era mais conhecido na internet por “Pompompurin”.

    Depois das autoridades dos EUA terem encerrado o portal RaidForums em 2022, BreachForums viria a surgir como o sucessor, embora tenha obtido o mesmo fim, e que eventualmente levou à detenção do seu administrador.

    As autoridades consideram que Conor Fitzpatrick continua a ser um risco ao manter acesso à internet, e uma das suas condições de liberdade condicional seria que o mesmo não poderia ter qualquer ligação à Internet ativa – algo que o mesmo violou.

    Este encontra-se a aguardar agora a sentença do tribunal, que pode passar pela aplicação de uma coima ou a detenção do mesmo para uma prisão.

  • Flipper Zero pode enviar mensagens de spam via Bluetooth

    Flipper Zero pode enviar mensagens de spam via Bluetooth

    Flipper Zero pode enviar mensagens de spam via Bluetooth

    O Flipper Zero é uma das ferramentas mais conhecidas dos últimos meses para “hacking”, sendo um pequeno dispositivo para entusiastas, que gostam de aprender e mexer com tudo o que seja relacionado com redes. No entanto, este acaba de receber agora um firmware personalizado que pode abrir portas para o envio de spam via Bluetooth.

    O dispositivo recebeu recentemente um firmware personalizado “Xtreme”, que conta com funcionalidades que permitem usar o Bluetooth para enviar mensagens de spam para dispositivos Android e Windows. A ideia passa por usar as funcionalidades de ligação do Flipper Zero, enviando falsos pacotes para ligações Bluetooth perto do dispositivo, que são interpretadas como mensagens nos sistemas operativos. Os atacantes podem enviar mensagens consecutivas para as potenciais vítimas, tornando difícil de validar as que são legitimas ou não – o que pode ter consequências.

    O firmware foi desenvolvido exatamente para explorar o sistema de forma a permitir o envio das mensagens de spam. O youtuber Talking Sasquach testou o sistema, e como seria de esperar, este funciona – incluindo também em dispositivos iOS da Apple.

    O envio de mensagens de spam via Bluetooth pode ter algumas consequências, sobretudo se forem em quantidades elevadas. O número de mensagens pode causar problemas no processo do sistema responsável por as receber, levando a bloqueios e lentidão do mesmo.

    Felizmente, este ataque apenas pode ser explorado caso os utilizadores estejam perto de um dispositivo Flipper Zero que esteja a enviar as mensagens. Isso indica que o atacante necessita de se encontrar fisicamente perto das vítimas para enviar este género de mensagens.

  • Criminosos estão a treinar IA para esquemas de phishing e malware

    Criminosos estão a treinar IA para esquemas de phishing e malware

    Criminosos estão a treinar IA para esquemas de phishing e malware

    A Inteligência Artificial tem vindo a ser usada para os mais variados fins, tanto bons como maus. Mas recentemente temos verificado um aumento considerável no número de ferramentas criadas usando IA e focadas para propagar esquemas e malware.

    A mais recente agora encontra-se sobre um sistema inteligente similar ao ChatGPT, mas que poderá ser usado para tarefas de hacking. Apelidado de “FraudGPT”, este novo chatbot foca-se em ajudar os criadores de malware e esquemas online a usarem as capacidades de IA para propagarem e melhorarem as suas campanhas maliciosas.

    A ideia do FraudGPT passa por criar um sistema que os criminosos possam usar para realizaras mais variadas tarefas fraudulentas, desde criar scripts para phishing, a criar bases para código de malware.

    Os investigadores da empresa de segurança SlashNext revelam que o FraudGPT encontra-se à venda em vários portais da dark web desde, pelo menos, o dia 25 de Julho, por um utilizador conhecido apenas como “CanadianKingpin12”. No entanto, o mesmo encontra-se ativamente a vender outro género de esquemas usando este mesmo conceito.

    De acordo com a investigação, este utilizador encontra-se a vender chatbots que usam modelos de IA não limitados, e que podem ser usados para desenvolver ferramentas e esquemas em larga escala, numa questão de segundos.

    O vendedor afirma que o seu sistema usa um conceito baseado no DarkBART – uma versão da dark web associada ao modelo de linguagem do Bard da Google, e que pode realizar mais tarefas “obscuras” do que as permitidas pelo sistema da gigante da tecnologia.

    O vendedor afirma que o DarkBART é capaz de criar rapidamente esquemas de phishing sofisticados, para levar ao roubo de cartões de crédito e dados pessoais, ou de executar avançados esquemas para enganar as vítimas a fornecerem dados sensíveis.

    É ainda capaz de explorar falhas e até mesmo descobrir novas em diverso software e sistemas operativos, bem como criar e distribuir malware de diferentes formatos.

    Este género de ferramentas usadas para esquemas online usando IA tem vindo a ser cada vez mais comum, e é possível que venha a moldar o futuro da segurança digital. O uso de IA para cibercrimes pode levar a que mais vítimas sejam enganadas e que novas formas de ataque e de esquemas venham a surgir no futuro.

  • FBI estaria a usar spyware Pegasus mesmo depois do bloqueio de Biden nos EUA

    FBI estaria a usar spyware Pegasus mesmo depois do bloqueio de Biden nos EUA

    FBI estaria a usar spyware Pegasus mesmo depois do bloqueio de Biden nos EUA

    No início deste ano, o New York Times tinha revelado que o governo norte-americano estaria a comprar e usar spyware criado pela “NSO Group”, um grupo de hacking em Israel. O spyware, conhecido como “Pegasus” poderia instalar-se discretamente em diversos smartphones, realizando as suas atividades de espionagem sem conhecimento dos utilizadores.

    Em Março de 2023, o governo de Biden teria assinado uma ordem executiva, impedindo as agências norte-americanas de usarem este spyware nas suas atividades. No entanto, de acordo com as mais recentes informações, apesar desta ordem, o spyware ainda se encontra a ser ativamente usado.

    De acordo com uma nova investigação do New York Times, o FBI ainda se encontra a usar o spyware para seguir alguns suspeitos no México, ignorando a ordem executivo que Biden assinou no início deste ano.

    Em comunicado, o FBI afirma que terá adquirido os serviços pela entidade Riva Networks, sem reconhecer que esta se encontraria a adquirir o spyware da NSO. A Riva Networks estaria a fornecer serviços de tracking, para identificar e localizar suspeitos de cartéis de droga no México, num software que seria conhecido como “Landmark”.

    É importante relembrar que o FBI possui um histórico de associação com o spyware Pegasus. Ainda antes da ordem executiva, foi conhecido que a entidade estaria a usar o spyware para monitorizar as atividades de cidadãos norte-americanos.

    De relembrar que o NSO Group e o seu spyware enfrentaram várias ondas de críticas por permitirem a vigilância do governo, contornando algumas das proteções implementadas nos sistemas e dispositivos que eram afetados pelo mesmo. O spyware terá sido usado em várias ocasiões, contra diversos “alvos” das autoridades norte-americanas, jornalistas e outras fontes que fossem consideradas importantes para o governo.

  • Flipper Zero recebe uma nova “loja de apps”

    Flipper Zero recebe uma nova “loja de apps”

    Flipper Zero recebe uma nova “loja de apps”

    A equipa do Flipper Zero, um dos mais reconhecidos dispositivos “hacker” no mercado, revelou que se encontra agora disponível uma nova loja de “apps” para o mesmo. Apelidada de “Flipper Apps”, como o nome indica, esta permite que sejam rapidamente instaladas aplicações de terceiros no dispositivo, para aumentar ainda mais as suas capacidades.

    Por esta altura, o Flipper Zero dispensa apresentações. É um pequeno dispositivo que pode ser usado para testar a segurança das redes ou para pequenas tarefas de “hacking”, com um vasto conjunto de funcionalidades para tal.

    Entre algumas das capacidades encontra-se a de replicar sinais sem fios, como de chaves e outros dispositivos. No entanto, apesar dos efeitos para o mundo real, a ferramenta é usada como meio educacional e de teste de segurança.

    Com a Flipper Apps, os utilizadores possuem acesso a uma loja de aplicações, que foi criada para garantir que todas as apps disponíveis na mesma são compatíveis com o dispositivo. Estas apps foram criadas por terceiros, e podem permitir integrar mais funcionalidades para o mesmo, ou expandir as possibilidades deste.

    Antes desta, os utilizadores ainda podiam usar apps de terceiros no Flipper Zero, mas era necessário descarregar os conteúdos das mesmas para um cartão MicroSD e integrar diretamente no dispositivo. O uso de uma app para tal torna o processo consideravelmente mais simples e rápido.

    A loja de apps encontra-se disponível para Android e iOS. Atualmente a lista de apps disponíveis para o Flipper Zero ainda é algo limitada, mas espera-se que venha a ser expandida nos próximos meses.

  • Criador do site BreachForums declara-se culpado e enfrenta 40 anos de prisão

    Criador do site BreachForums declara-se culpado e enfrenta 40 anos de prisão

    Criador do site BreachForums declara-se culpado e enfrenta 40 anos de prisão

    Conor Brian Fitzpatrick, também conhecido como “Pompompurin”, acaba de se confirmar culpado de várias acusações das autoridades norte-americanas. Pompompurin era o administrador do reconhecido site BreachForums, que durante bastante tempo foi um ponto central da comunidade hacking para a compra e venda, bem como para leaks, de informações roubadas em ataques.

    De acordo com as autoridades, Conor Brian Fitzpatrick encontra-se agora a ser acusado de vários crimes, que levam a 40 anos na prisão, multas de 750.000 dólares e ainda a uma supervisão restrita durante 5 anos ou mais devido à posse de conteúdos de pornografia infantil.

    Os documentos referem ainda que o portal BreachForums focava-se na compra e venda de conteúdos roubados em ataques, praticamente todos de forma ilícita. De relembrar que Conor Brian Fitzpatrick tinha sido detido a 15 de Março deste ano pelas autoridades, e o mesmo confirmou ser o reconhecido “Pompompurin”.

    Pouco depois da detenção, um dos administradores do site, Baphomet, confirmou que a plataforma iria ser encerrada sobre as suspeitas de que as autoridades poderiam ter obtido acesso às bases de dados do mesmo. Mais tarde, as autoridades confirmaram exatamente isso, tendo obtido acesso a toda a informação do site e dos seus utilizadores.

    De relembrar que Pompompurin ganhou notoriedade online depois de o site RaidForums ter sido encerrado pelas autoridades, e do mesmo ter criado o BreachForums como alternativa direta.

  • Nintendo 3DS recebe novo firmware oficial para impedir modificações

    Nintendo 3DS recebe novo firmware oficial para impedir modificações

    Nintendo 3DS recebe novo firmware oficial para impedir modificações

    Está a fazer alguns anos desde que a Nintendo deixou de produzir a Nintendo 3DS, e faz apenas alguns meses desde que a eShop da 3DS foi oficialmente encerrada para a compra de novos títulos. No entanto, de forma algo misteriosa, a Nintendo lançou recentemente uma nova atualização de firmware para a consola com apenas uma alteração.

    Durante o início desta semana, a Nintendo lançou a nova versão do firmware Ver. 11.17.0-50, para a Nintendo 3DS, que é a primeira atualização lançada pela empresa desde Setembro. A lista de alterações do firmware apenas indica que foram realizadas otimizações no desempenho do sistema e algumas correções de bugs, sem indicar claramente quais essas mudanças.

    No entanto, grupos de hacking da 3DS rapidamente verificaram que a atualização possui apenas um motivo: evitar que a consola possa ser modificada para a instalação de firmware alternativo.

    Esta prática é bastante comum para quem pretenda usar a 3DS como forma de executar títulos homebrew, ou simplesmente para correr títulos que já não são possíveis de encontrar na loja oficial da Nintendo. No entanto, com esta nova atualização de firmware, o processo encontra-se agora mais complicado.

    A atualização parece ter corrigido falhas que estariam a ser exploradas para a instalação de firmware alternativo na consola. Portanto, para quem tenha instalado um firmware alternativo antes da atualização oficial da Nintendo ser lançada, ainda poderá conseguir usar o mesmo. Mas para quem tenha atualizado para a nova versão, e pretenda agora instalar o firmware alternativo, a tarefa torna-se consideravelmente mais complicada.

    A comunidade já se encontra a procurar alternativas para a instalação deste firmware alternativo em versões das consolas que foram atualizadas para a versão mais recente do firmware oficial. No entanto, durante esse processo, quem pretenda usar a consola modificada talvez seja melhor evitar a atualização de todo.

  • 5.4 milhões de dados privados de utilizadores no Twitter colocados online

    5.4 milhões de dados privados de utilizadores no Twitter colocados online

    5.4 milhões de dados privados de utilizadores no Twitter colocados online

    Os dados de quase 5.4 milhões de contas do Twitter foram alegadamente colocados para download num portal de hacking. Estes dados terão sido recolhidos de uma falha que a plataforma teria na sua API, e que foi inicialmente corrigida em Janeiro deste ano.

    Por entre a informação que teria sido recolhida encontra-se dados privados das contas, como o número de telefone e email associado com as mesmas, e que terão sido recolhidos da plataforma usando a falha da API. A restante informação diz respeito ao scraping de dados sobre a rede social.

    Apesar de a falha ter sido corrigida em Janeiro, e desde então terem existido casos de utilizadores a venderem estes dados, a gravidade agora encontra-se no facto que a lista de dados encontra-se disponível para todos de forma gratuita. Esta lista acredita-se que já estaria à venda em Agosto deste ano, mas agora foi colocada gratuitamente para todos.

    dados do leak no twitter

    Dos registos encontram-se dados como os nomes de utilizador, nomes de apresentação públicos, biografias, localizações, emails e números de telefone (estes dois últimos informação que deveria encontrar-se privada na plataforma).

    Os dados incluem ainda outra informação pública das contas, como imagens de utilizador, estado de verificação da conta e outros detalhes.

    No entanto, esta pode não ser a única base de dados que estará disponível contendo informações dos utilizadores do Twitter. De acordo com o especialista em segurança Chad Loder, existem indicações que mais contas podem ter sido comprometidas numa segunda lista de dados, associada com utilizadores nos EUA e Europa, e que terá sido criada em 2021.

    dados de contas twitter

    Tal como a lista anterior, esta possui também informações associadas com as contas dos utilizadores, incluindo o número de telefone e email associado com as contas.

    De relembrar que a falha da API do Twitter foi reportada inicialmente em Dezembro de 2021 pelo HackerOne, mas apenas foi oficialmente corrigida pelo Twitter em Janeiro de 2022. Acredita-se que os dados agora revelados dizem respeito à exploração desta falha.

    Com esta lista, existe o potencial dos dados existentes na mesma serem usados para campanhas de phishing diversas. Um atacante pode usar o número de telefone das vitimas para associar o mesmo com as suas contas no Twitter, enviando alertas falsos sobre as contas – e dando mais credibilidade aos ataques.

  • Autoridades do Reino Unido detiveram jovem de 17 anos por ataques informáticos

    Autoridades do Reino Unido detiveram jovem de 17 anos por ataques informáticos

    Autoridades do Reino Unido detiveram jovem de 17 anos por ataques informáticos

    As autoridades do Reino Unido confirmaram ter detido um jovem por alegados ataques feitos nos últimos tempos pela Internet.

    De acordo com o comunicado das autoridades, o jovem, de 17 anos, encontrava-se na cidade de Oxfordshire, onde terá praticado atos de “hacking”. O comunicado das autoridades é relativamente curto, indicando apenas que o jovem estará sobre a deteção das autoridades e será brevemente questionado.

    Apesar de o comunicado não ter indicado mais detalhes sobre o hacker, algumas fontes apontam que este pode encontrar-se relacionado com o grupo Lapsus, que recentemente foi indicado como sendo o autor dos ataques que afetaram a Uber e que levaram também ao leak de conteúdos sobre GTA 6.

    De notar que, até ao momento, ainda não existe uma confirmação oficial das autoridades sobre o detido. Da mesma forma, no caso da Uber, a empresa afirmou que depois das investigações do seu recente ataque, acreditava-se que o mesmo tinha sido feito pelo grupo “Lapsus”.

    Pouco tempo depois, surgiram também imagens de desenvolvimento de GTA 6, que apesar de terem sido partilhadas por um utilizador conhecido como “TeaPot”, algumas fontes indicavam ser um dos associados com o grupo Lapsus no passado.

  • TEDx de volta a Lisboa quase seis anos depois

    TEDx de volta a Lisboa quase seis anos depois

    TEDx de volta a Lisboa quase seis anos depois

    O TEDxLisboa, braço independente das célebres conferências TED, regressa a Lisboa seis anos depois da última edição, em 2015. O evento dedicado ao tema “Sementes” é no dia 18 de setembro, a partir das 9h30, no Auditório da Reitoria da Universidade NOVA, em Lisboa. 

    A nova edição do TEDxLisboa conta com 16 oradores internacionais e nacionais em estreia no formato TED, isto é, intervenções curtas em torno de uma ideia original, que pretende despertar uma conversa sobre um tópico com impacto na vida em comunidade. O regresso do TEDxLisboa é da responsabilidade de Marta Gonzaga, produtora e curadora de TEDx´s desde 2010; e o produtor de vinhos Dirk Niepoort, quinta geração da família Niepoort.

    O tema da edição deste ano é “Sementes”, no seu significado mais amplo, uma reflexão sobre a origem de questões que impactam o futuro da sociedade. Entre os temas que serão abordados, encontra-se a ética na Inteligência Artificial, a sustentabilidade, a iliteracia em relação à cibersegurança, o papel da arquitetura na construção de cidades seguras, ou a recuperação de sementes autóctones.

    Os 16 oradores convidados são desde investigadores a artistas, com destaque para a participação do diretor criativo norte-americano George Tannenbaum, o copywritter que venceu 15 Effies, os prémios da American Marketing Association; e a investigadora Tiziana Ulian, Lider Sénior de Investigação no Royal Botanic Gardens, Kew, no Reino Unido, especializada na conservação da biodiversidade. 

    Além dos oradores, o TEDxLisboa conta uma apresentação do duo Bluish – Vera Vaz e João Farmhouse – e de Pierre Aderne, reconhecido em Portugal pelo projeto Rua Das Pretas, que transformou a sala do músico brasileiro num ponto de encontro entre artistas e músicos, desde Caetano Veloso a Valter Hugo Mãe.

    “Colectivamente, olhamos para a ciência à procura de respostas e soluções milagrosas. O caminho encontra-se algures entre a tecnologia e os saberes ancestrais, numa dança que gostaríamos que fosse mais harmoniosa entre o Homem e a natureza”, reflete Marta Gonzaga, organizadora do TEDxLisboa. “A nossa proposta é promover sementes de esperança.”

    O TEDxLisboa 2022 apresenta uma disponibilidade de assistência mais reduzida em comparação com as edições anteriores, de forma a apresentar um evento mais intimista, dando a possibilidade de conhecer pessoalmente os oradores. 

    Os oradores confirmados: 

    • George Tannenbaum – Copywritter e director criativo. Trabalhou para algumas das agências mais famosas dos EUA, incluindo Hal Riney and Partners, Ally & Gargano e Lowe. Ganhou um total de 15 Effies, incluindo o Grand Effie e o 5/50 Sustaining Effie. Autor do célebre blog ‘Ad Aged’, intitulado de “A Most Influential Marketing Blog” pelo Business Insider.
    • Luís M. Vicente – Biólogo, Doutorado em Evolução, tem mais de 100 artigos publicados em revistas científicas internacionais e é autor do livro “Touro como Nós”.
    • Jewel Arthur – Curadora, designer, diretora criativa, Jewel é a Fundadora e Diretora-Geral da Cre8africa, um centro criativo africano, no Ghana, cujos projetos incluem NuAfroplitan Design Studio e Showroom, ‘ When We Were Kings’ e ‘Kaya Energy Project.
    • José Eduardo Martins – José Eduardo Martins, sócio da Abreu Advogados, é um dos advogados portugueses com maior experiência nas áreas do ambiente, energia e recursos naturais. Comentador, ex-secretário de Estado do Ambiente, leitor “compulsivo”, melómano e co-criador de festivais musicais.
    • Tiziana Ulian – Líder Sénior de Investigação (Uso Sustentável, Sementes e Soluções) no Royal Botanic Gardens, Kew, no Reino Unido. Tem mais de 20 anos de experiência em liderança de projectos que contribuem para a conservação da biodiversidade e apoiam os meios de subsistência das comunidades locais em toda a América Latina, África e Médio Oriente (30 projetos em 18 países).
    • Pedro das Neves – Trabalha há mais de duas décadas em reforma da administração pública e em sistemas de inovação no setor de justiça criminal, tendo visitado mais de 1250 prisões em 45 países. É diretor executivo da IPS_Innovative Prison Systems – uma empresa que se dedica à investigação e consultoria especializada nas áreas da modernização de sistemas de justiça e de serviços prisionais e de reinserção – e diretor executivo da ICJS Innovative Criminal Justice Systems Inc.
    • Nara Vidal – Escritora, professora, tradutora e editora brasileira, de Guarani, em Minas Gerais. É formada em Letras pela Universidade Federal do Rio de Janeiro e Mestre em Artes e Herança Cultural pela London Met University. Autora do romance Sorte (um dos vencedores do Prêmio Oceanos em 2019). O seu livro mais recente é Eva (Editora Todavia).
    • Pierre Aderne/Rua das Pretas – Músico, compositor, cantor, criador e dinamizador do projeto Rua Das Pretas. A Rua Das Pretas nasceu na sala de casa de Pierre em Lisboa para ser apenas um encontro íntimo com seus parceiros de música. Uma tertúlia musical que contou com Caetano Veloso, Gilberto Gil, Ana Moura, Carminho, José Eduardo Agualusa, ou  Valter Hugo Mãe e tantos.
    • Bruno G. M. Neto – 19 anos de trabalho humanitário e de cooperação internacional em 37 países, com intervenções de longo termo no Médio Oriente, América Central, Europa, Ásia e com ‎9 anos de trabalho em Saúde Pública em África, chefiou diversas missões nos diferentes continentes no Sector Público, Privado e Não Governamental. Atualmente, coordena a resposta humanitária das Nações Unidas à seca no Sul da Angola.
    • Rui Barroso – Bailarino e professor de Tango. Após exercer advocacia durante alguns anos, decidiu dedicar-se exclusivamente ao mundo do Tango Argentino, atividade que começou a desenvolver aos 18 anos de idade. Professor de Tango Argentino em Portugal e com trabalho em diversos países na Europa, Ásia, África e América Latina.
    • Pedro Santa Clara –  Professor Catedrático de Finanças na Nova School of Business and Economics desde 2007 – atualmente de licença. Liderou a construção do novo campus em Carcavelos para a Nova SBE e a campanha de 54 milhões de euros que o financiou. É diretor da 42 Lisboa e da 42 Porto. Publicou mais de 30 artigos em revistas académicas de finanças e economia. Foi investigador associado do National Bureau of Economic Research.
    • David Russo – Ethical hacker e professor universitário, engenheiro formado pelo Técnico Lisboa, e doutorando em Cibersegurança na NOVA IMS. Leciona UCs em ensino universitário, tais como segurança de informação, cibersegurança industrial, sistemas operativos, gestão de segurança de informação, infraestruturas e redes e ciberataques. É especializado em Offensive Hacking, Industrial Intelligence e Cibersegurança Industrial.
    • Alexandra Prado Coelho – Jornalista e escritora, dedicou-se sobretudo a temas ligados à alimentação. Entrevistou os grandes chefs portugueses e internacionais. Fez reportagens em diferentes países, acompanhando a revolução gastronómica no Peru, viajando pelo Brasil para provar as gastronomias de locais, visitou a Dinamarca para conhecer o fenómeno do Noma, acompanhou festivais como o Madrid Fusión ou o Mistura (no Peru).
    • Alcina Faneca –  Advogada, formada na Faculdade de Direito da Universidade Católica do Porto, com um percurso marcado pelo apoio incondicional dos amigos e da família mais próxima. No entanto, simultaneamente por olhares reprovadores por parte de terceiros que não acreditavam que seria possível para alguém de etnia cigana, nomeadamente uma mulher, conseguir atingir o objetivo de ter uma formação e ser independente.
    • Nuno Malheiro da Silva – Arquiteto, fundou o seu primeiro atelier aos 23 anos. Em 2005 criou o FOCUS GROUP agrupando diversas empresas complementares de projeto, materializando um conceito inovador – “One Stop Solution” – nos serviços de consultoria e projeto em Portugal.  Desde 2010, tornou-se membro da direção da APAV.
    • Pedro Matos – Trabalhador humanitário há mais de 10 anos, em países como o Iêmen, Mali, Sudão, Etiópia e Bangladesh, onde se especializou na gestão de emergências na área da ajuda alimentar. Coordenou a resposta humanitária em Moçambique na sequência do furacão Idai e esteve na Ucrânia a apoiar pessoas fugidas das zonas de combate. É autor do projecto The Darfur Sartorialist que fotografou sudaneses do Darfur pelo lado da moda, e lançou a rede Lusophone Film Fest que organiza festivais de cinema lusófono em 19 cidades do Mundo.
    • Nina Gruntkowski  – Nina é natural de Frankfurt e começou a falar português enquanto praticava capoeira, na sua passagem académica por Colónia, onde se formou em Geografia, Etnologia e Estudos Africanos. Essa aptidão levou-a a especializar-se nos países de língua portuguesa em reportagens para a rádio pública alemã. Apaixonou-se e ficou em Portugal. Em 2011, começou o cultivo da primeira planta de chá (Camellia sinensis) no jardim da casa da família, no Porto. Hoje, tem 12 mil plantas a formar as raízes da Chá Camélia.

    Os bilhetes para o evento podem ser adquiridos a partir do site oficial da edição.

  • Jovens estão a formar grupos de “hacking” a partir do Discord

    Jovens estão a formar grupos de “hacking” a partir do Discord

    Ransomware não é algo que deva ser tratado como uma brincadeira, mas tendo em conta que é relativamente simples de se encontrar amostras do mesmo, agora existem jovens que se encontram a trocar o mesmo como sendo uma “conversa de Discord”.

    De acordo com uma investigação da empresa de segurança Avast, existem cada vez mais jovens que estão a passar ransomware para amigos “como brincadeira”. A empresa de segurança afirma ter descoberto um grupo no Discord focado em criar, partilhar e propagar ransomware como se fosse uma brincadeira de crianças – e com foco exatamente nas mesmas.

    Este grupo usa software simples de construção de ransomware para criar as suas próprias adaptações. O mais curioso é que a maioria do público destes grupos são jovens, que propagam o malware como uma brincadeira para amigos ou conhecidos, ou em casos mais graves, como forma de ver se alguma entidade paga o resgate.

    A maioria dos jovens entram nestes grupos por considerarem que os mesmos são “engraçados” e por se poderem apelidar de “hackers” no processo. Os construtores de ransomware dão a porta de entrada para essa tarefa, já que não exigem conhecimentos de programação e podem ser usados por praticamente qualquer pessoa de forma bastante simples.

    A criação dos grupos no Discord também faz com que os jovens tenham uma espécie de “grupo” de conhecidos para as mesmas atividades.

    Mesmo que o ransomware seja um género de malware consideravelmente perigoso, estes jovens não parecem importados com as consequências legais que podem sofrer dos ataques que realizam.

  • 9% das empresas portuguesas impactadas pelo trojan Emotet em abril

    9% das empresas portuguesas impactadas pelo trojan Emotet em abril

    A Check Point Research acaba de publicar o mais recente Índice Global de Ameaças de abril de 2022. Os investigadores reportam que o Emotet, um trojan avançado, auto propagador e modular, continua a ser o malware mais impactante, afetando 6% das organizações em todo o mundo. Em Portugal, também o Emotet foi líder, impactando 9% das organizações portuguesas. Seguiram-se o Lokibot e o Formbook, dois infostealers que este mês subiram na lista.

    A classificação alta do Emotet em março a nível global (10%) deveu-se principalmente aos esquemas temáticos associados à Páscoa. Por outro lado, o decréscimo em relação ao mês passado pode ser explicado pela decisão da Microsoft de desativar os macros específicos associados a ficheiros Office, afetando a forma como o Emotet é implementado normalmente. Aliás, há investigações que indicam que o Emotet tem um novo método de implementação, utilizando e-mails de phishing que contêm um URL de OneDrive.

    O Emotet tem muitas utilizações depois de conseguir contornar as proteções de um dispositivo. Devido às suas sofisticadas técnicas de propagação e assimilação, o Emotet também proporciona outros malwares a cibercriminosos em fóruns da dark web, incluindo trojans bancários, ransomwares, botnets, etc. Desta forma, assim que o Emotet encontra uma falha de segurança, as consequências podem variar dependendo de qual malware foi instalado depois de a falha ter sido comprometida.

    Mais abaixo no índice, o Lokibot, um infostealer, voltou a entrar na lista em sexto lugar após uma campanha de spam de alto impacto, implementando um malware através de ficheiros xlsx feitos para parecerem faturas legítimas. Isto, e a ascensão de Formbook, alterou significativamente a posição de outros malwares no índice com o Trojan avançado de acesso remoto (RAT) AgentTesla, por exemplo, caindo de segundo para terceiro lugar.

    No final de Março, foram encontradas vulnerabilidades na Framework Java Spring, conhecido como Spring4Shell, e desde então, muito atacantes têm aproveitado a ameaça para espalhar Mirai, o nono malware mais predominante deste mês.

    “Com a paisagem de ciberameaças em constante evolução e com grandes corporações como a Microsoft a influenciar os parâmetros em que os cibercriminosos podem operar, os atacantes têm de se tornar mais criativos na forma como distribuem malware, como é evidente no novo método de implementação agora utilizado pelo Emotet”, afirma Maya Horowitz, VP Research da Check Point. “Além disso, este mês vimos a vulnerabilidade da Spring4Shell a entrar nas manchetes. Embora ainda não esteja no top dez da lista de vulnerabilidades, é de notar que mais de 35% das organizações em todo o mundo já foram afetadas por esta ameaça só no seu primeiro mês, pelo que esperamos vê-la subir na lista nos próximos meses”.

    A CPR revela também que este mês em Portugal a área da Educação é a área mais afetada por ataques, substituindo a Saúde que ocupa agora 0o segundo lugar, seguido da área das Utilities como as mais afetadas em Portugal. Já na Europa as áreas mais afetadas são a da Educação, a Administração Pública/Setor Militar e as Utilities. Globalmente, a Educação/Investigação continua a ser a indústria mais afetada pelos cibercriminosos.

    hacker em computador

    A vulnerabilidade “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, com um impacto em 46% das organizações por todo o mundo, seguida de perto pelo “Apache Log4j Remote Code Execution”. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” sobe vários lugares, estando agora em terceiro lugar, com um impacto global de 45%.

    Famílias de malware mais prevalentes em abril

    Este mês, o Emotet continua a ser o malware mais popular com impacto de 6% das organizações a nível mundial, seguido de perto pelo Formbook, responsável por impactar 3% das organizações e pela AgentTesla com um impacto global de 2%.

    Em Portugal, também o Emotet é o malware mais impactante, afetando cerca de 9% das organizações portuguesas. Com o mesmo nível impacto, seguiu-se o Lokibot, com 9%. Em segundo lugar, esteve o Formbook, com um impacto de 4,45%.

    1. Emotet – Trojan avançado, auto-propagador e modular. O Emotet já foi utilizado como Trojan bancário, mas recentemente é utilizado para distribuir malware e outras campanhas maliciosas. Utiliza diversos métodos e técnicas de evasão para manter a sua persistência e evitar a sua deteção. Além disso, pode ser disseminado através de e-mails de spam de phishing contendo anexos ou links maliciosos.

    2. Lokibot – Identificado pela primeira vez em Fevereiro de 2016, o LokiBot é um infostealer de mercadorias com versões tanto para o SO Windows como para o Android. Recolhe credenciais de uma variedade de aplicações, navegadores web, clientes de correio electrónico, ferramentas de administração de TI como o PuTTY e muito mais.

    3. Formbook – O Formbook é um Infostealer que tem como alvo o SO Windows e foi detectado pela primeira vez em 2016. É comercializado como Malware-as-a-Service (MaaS) em fóruns de hacking na dark web pelas suas fortes técnicas de evasão e preço relativamente baixo. O Formbook recolhe credenciais de vários navegadores web, recolhe capturas de ecrã, monitoriza e regista toques nas teclas, e pode descarregar e executar ficheiros de acordo com as ordens do seu C&C.

    Indústrias mais atacadas em Portugal:

    Este mês, o setor da Saúde foi o mais atacado em Portugal, seguido pela Educação/Investigação e, em terceiro, as Utilities.

    1. Educação\Investigação

    2. Saúde

    3. Utilities

    Indústrias mais atacadas na Europa:

    Este mês, Educação/Investigação é o setor mais atacado a nível europeu, seguido pela Administração Pública/Indústria Militar e, em terceiro lugar, as Utilities.

    1. Educação/Investigação

    2. Administração Pública/Indústria Militar

    3. Utilities

    Indústrias mais atacadas no mundo:

    Este mês, Educação/Investigação é o setor mais atacado globalmente, seguido pela Administração Pública/Indústria Militar e ISP/MSP.

    1. Educação/Investigação

    2. Administração Pública/Indústria Militar

    3. ISP/MSP

    Vulnerabilidades Mais Exploradas

    Este mês “Web Server Exposed Git Repository Information Disclosure” é a vulnerabilidade mais explorada, com um impacto global de 46% nas organizações, seguido de perto pelo “Apache Log4j Remote Code Execution” com um impacto global de 46%. “Apache Struts ParametersInterceptor ClassLoader Security Bypass” está agora em terceiro lugar na lista das vulnerabilidades mais exploradas, com um impacto global de 45%.

    1. Web Server Exposed Git Repository Information Disclosure- Vulnerabilidade de fuga de informação presente em repositórios Git. A exploração bem-sucedida desta vulnerabilidade permitiria uma fuga não intencional de informações de contas.

    2. Apache Log4j Remote Code Execution (CVE-2021-44228)- Vulnerabilidade que permite a execução remota de código presente no Apache Log4j. A exploração bem-sucedida desta vulnerabilidade permitirá um atacante remoto executar código arbitrariamente no sistema infetado.

    3. Apache Struts ParametersInterceptor ClassLoader Security Bypass (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114)- Existe uma vulnerabilidade de segurança em Apache Struts. A vulnerabilidade deve-se a uma validação inadequada dos dados processados pelo ParametersInterceptor, permitindo a manipulação do ClassLoader. Um atacante remoto poderia explorar esta vulnerabilidade, fornecendo um parâmetro de classe num pedido.

    Principais malwares móveis

    Este mês, o AlienBot fica em primeiro lugar na lista de malware móveis mais prevalentes, seguido pelo FluBot e pelo xHelper.

     1. AlienBot – A família de malware AlienBot é um Malware-as-a-Service (MaaS) para dispositivos Android que permite um atacante remoto injetar código malicioso em aplicações financeiras legítimas. O atacante obtém acesso às contas das vítimas, e eventualmente controla o dispositivo.

    2. FluBot- Botnet para Android distribuído via mensagens SMS de phishing que imitam marcas de logística e entregas. Assim que o utilizador clica no link enviado, o FluBot é instalado e tem acesso a todas as informações sensíveis do telemóvel.

    3. xHelper Aplicação Android maliciosa que foi vista em estado selvagem em março de 2019, utilizada para descarregar aplicações maliciosas e exibir anúncios. A aplicação é capaz de se esconder do utilizador, podendo reinstalar-se no caso do utilizador a desinstalar.