Categoria: servidor

Google Safe Browsing agora analisa links em tempo real

A Google revelou uma nova funcionalidade para os utilizadores do Google Chrome, com o seu sistema de Safe Browsing, que agora é capaz de verificar em tempo real sites potencialmente maliciosos.

O Google Safe Browsing é uma das funcionalidades de proteção do Chrome, que analisa os sites que os utilizadores visitam, identificando possíveis casos de malware e phishing. Este sistema analisa os sites através de uma base de dados, que é atualizada de forma regular e automática pelo navegador.

De forma a garantir a privacidade, esta lista é descarregada diretamente da Google, e armazenada localmente, sendo que depois é analisada quando necessário no acesso aos sites. No entanto, esta forma de funcionamento possui alguns entraves, um dos quais o facto de não garantir uma proteção “imediata” contra novas ameaças -a lista é atualizada apenas de tempos a tempos.

No entanto, a empresa encontra-se agora a alterar o funcionamento deste sistema, de forma a permitir que a verificação seja realizada em tempo real. Invés de usar uma lista previamente descarregada de forma local, agora o Chrome pode enviar os pedidos de analise em tempo real para os sistemas da Google, permitindo identificar muito mais rapidamente os sites maliciosos.

Este novo sistema funciona em etapas. Primeiro, o Chrome analisa se o site se encontra numa lista de “sites seguros” de forma local, de forma a evitar que o link seja enviado para análise. Caso não esteja nesta cache local, o link é encriptado numa hash, que depois é enviada para os sistemas da Google.

A primeira paragem será num servidor de “privacidade” da empresa, que remove qualquer elemento identificativo do link e da hash. Isto permite que dados sensíveis não sejam enviados diretamente para a Google.

Feito esta remoção, apenas o conteúdo necessário para averiguar a segurança do site é enviado para os sistemas da Google. Se o site for reconhecido como tendo conteúdo malicioso, a resposta é enviada para o navegador do utilizador.

Em alternativa, caso o site seja desconhecido, a Google aplica ainda técnicas para analisar o seu conteúdo, e irá usar IA para analisar o potencial de se tratar de um esquema ou de um site de conteúdo malicioso para os utilizadores.

Este novo sistema de verificação em tempo real irá aplicar-se para quem tenha a configuração de segurança do Chrome para a Padrão ou superior. No entanto, a Google recomenda que os utilizadores escolham a opção de Proteção avançada, que garante uma camada adicional de proteção.

A diferença encontra-se que a Proteção avançada pode analisar os conteúdos do site, usando a IA, para identificar ainda mais conteúdos malicioso mesmo em sites que ainda não sejam reconhecidos como tal.

Este novo sistema deve começar a ficar disponível para todos os utilizadores do Chrome, tanto em desktop como em dispositivos móveis.

14/03/2024
Hackers usam visitantes de sites WordPress comprometidos para atacar outras plataformas

Uma nova técnica de ataque a sites WordPress encontra-se atualmente a propagar-se em peso na internet, com o objetivo de levar a ataques a outros sites também baseados na mesma plataforma.

De acordo com a empresa de segurança Securi, uma nova campanha de ataque foi descoberta contra sites baseados em WordPress. Os atacantes tentam começar por explorar falhas nos mesmos, de forma a injetarem scripts no tema, que carregam sempre que um utilizador acede ao site.

O objetivo deste script, no entanto, passa por lançar ataques diretos contra outros sites, nomeadamente ataques de brute force, onde os visitantes dos sites podem, sem se aperceberem, estar a participar no mesmo.

Quando os utilizadores visitam um site comprometido por estes scripts, encontram-se a lançar ataques contra outros sites WordPress na internet, nomeadamente com tentativas de brute force aos mesmos. Estes ataques são feitos através dos navegadores dos visitantes do site, e portanto, estes encontram-se inadvertidamente a ser os atores deste ataque.

O script contacta os sistemas dos atacantes, que enviam os comandos necessários para iniciar o ataque. Este género de ataque pode ser realizado a vários sites pela internet, e dependendo do número de visitas que o site receba, pode ter um grande impacto contra os alvos.

Se, durante o ataque, for descoberta uma senha válida, é enviado um pedido para o servidor em controlo dos atacantes, a informar de tal e com os dados. Isto é tudo feito em segundo plano pelo navegador dos visitantes nos sites infetados, sem que estes tenham conhecimento de tal.

Enquanto a página estiver aberta, o ataque continua a ser realizado – no entanto, basta o visitante sair do site para o script deixar de funcionar.

Os dados mais recentes indicam que existem cerca de 1700 sites na internet infetados por este script, mas a lista tem vindo a expandir-se consideravelmente nos últimos dias.

Para os administradores de sites WordPress, o recomendado será que mantenham os mesmos atualizados, bem como todos os temas e plugins, e que verifiquem qualquer atividade suspeita existente nos mesmos.

07/03/2024
Novo malware usa blocos de notas online para distribuir código malicioso

Um grupo de investigadores revelou ter descoberto uma nova variante de malware, apelidado de “WogRAT”, que se foca a sistemas Windows e Linux. No entanto, a particularidade do mesmo é que usa serviços de blocos de notas online para guardar parte do código malicioso.

Segundo a descoberta dos investigadores da AhnLab Security Intelligence Center (ASEC), o malware tem vindo a realizar vítimas desde meados de 2022, tendo como alvo sobretudo países asiáticos. No entanto, o mesmo tem vindo a expandir-se para outras regiões de forma recente, o que eleva o risco.

Este malware distribui-se por software que se assemelha a outros populares no mercado, como a instalação do VLC, Gimp e outros.

A particularidade deste malware será que uma parte do código malicioso encontra-se integrado em plataformas de blocos de notas online, que normalmente são usadas para guardar notas rápidas e partilhar as mesmas com terceiros. Os criadores do malware focam-se sobretudo no uso de uma plataforma deste formato, conhecida como aNotepad, para criarem o código e o distribuírem.

Quando o malware é inicialmente executado nos sistemas das vitimas, é improvável que seja marcado como malicioso pelos softwares de segurança, visto que não possui atividades para tal. No entanto, é depois de aceder ao código presente nestes blocos de notas online que a atividade maliciosa começa.

O malware descarrega o código destas plataformas, que o converte depois em um ficheiro DLL, que acaba eventualmente por ser executado no sistema. O malware possui ainda a capacidade de se ligar a um servidor remoto, de onde obtém os comandos para o ataquem, e para onde envia dados que possam ser importantes das vítimas.

O malware parece ter sido focado para o Windows, mas também possui uma variante para Linux, que conta com poucas diferenças, tirando um pouco mais de encriptação nas comunicações feitas com o servidor de controlo remoto e algumas mudanças a nível das ligações com as plataformas de blocos de notas online.

06/03/2024
Bluesky abre as portas para permitir qualquer um ter o seu servidor

O Bluesky, uma das plataformas alternativas da X, Mastodon e Threads, encontra-se agora a abrir as suas portas para permitir que mais utilizadores possam ter as suas próprias instâncias.

Depois de ter aberto os registos de novas contas sem convites faz menos de um mês, agora o Bluesky começa a permitir que os utilizadores possam criar os seus próprios servidores, abrindo as portas ao sistema federado da plataforma.

Os interessados podem agora criar os seus próprios servidores, que se interligam com a rede da Bluesky e na partilha de mensagens com a mesma. Este funcionamento é similar ao que se encontra no Mastodon, mas no caso do Bluesky sobre um protocolo diferente.

Esta medida surge depois de um longo período de “testes” para a plataforma e o protocolo em geral, que apenas durante o mês passado começou a permitir registos públicos sem convites para novos utilizadores. Atualmente a plataforma conta com cerca de 5 milhões de utilizadores registados.

O Bluesky usa o protocolo AT, enquanto que o Mastodon e Threads usam o ActivityPub. Isto faz, no entanto, que o Bluesky não seja inteiramente compatível com a federação de sistemas baseados no ActivityPub – o que impede que os utilizadores nesta plataforma interajam diretamente com o Mastodon ou o Threads, e vice versa.

A entidade responsável pelo desenvolvimento do protocolo AT sublinha que existem algumas vantagens na mesma, nomeadamente no facto de permitir uma comunicação global dentro da rede – sem que se tenha acesso apenas a conteúdos que o utilizador ativamente siga – mas também existem vantagens a nível da portabilidade de contas.

Os interessados podem verificar mais informações de como criar as suas próprias plataformas na mensagem do blog da entidade, bem como na documentação da mesma.

22/02/2024
“Coyote” é um novo malware que afeta mais de 60 instituições financeiras

Um novo e sofisticado Trojan bancário que rouba informação financeira sensível e introduz táticas avançadas para evitar a deteção foi descoberto pela Equipa Global de Investigação e Análise (GReAT) da Kaspersky. Apelidado de ‘Coyote’, este malware depende do instalador Squirrel para ser distribuído, sendo o seu nome inspirado nos coiotes, os predadores naturais dos esquilos.

Os especialistas da Kaspersky identificaram o “Coyote”, um novo e sofisticado trojan bancário que utiliza táticas avançadas de evasão para roubar informações financeiras sensíveis. Tendo como alvo principal os utilizadores afiliados a mais de 60 instituições bancárias no Brasil, o Coyote utiliza o instalador Squirrel para a sua distribuição – um método raramente associado à entrega de malware. Os investigadores da Kaspersky analisaram e identificaram todo o processo de infeção do Coyote.

Em vez de seguir o caminho habitual com instaladores bem conhecidos, o Coyote escolheu uma ferramenta relativamente nova, o Squirrel, para instalar e atualizar as aplicações do Windows. Desta forma, o Coyote esconde seu carregador de estágio inicial fingindo que é apenas um empacotador de atualizações.

O que torna o Coyote ainda mais desafiante é a utilização do Nim, uma linguagem de programação moderna e multiplataforma, como carregador para a fase final do processo de infeção. Isto está em linha com uma tendência observada pela Kaspersky, em que os cibercriminosos utilizam linguagens menos populares e multiplataforma, demonstrando a sua adaptabilidade às últimas tendências tecnológicas.

O objetivo do Trojan está alinhado com o comportamento típico de um Trojan bancário, monitorizando o acesso a sites bancários específicos. Uma efetivado o acesso ao site, o Coyote “conversa” com seu servidor de comando e controlo usando canais SSL com autenticação mútua. O uso de comunicação encriptada pelo Trojan e a sua capacidade de realizar ações específicas, como keylogging e captura de ecrã, destacam a sua natureza avançada. Este malware pode até pedir passwords específicas de cartões bancários e configurar uma página falsa para adquirir credenciais de utilizador.

Os dados de telemetria da Kaspersky mostram que cerca de 90% das infeções por Coyote vêm do Brasil, causando um grande impacto na cibersegurança financeira do país.

“Nos últimos três anos, o número de ataques de trojans bancários quase duplicou, atingindo mais de 18 milhões em 2023. Isto mostra que os desafios de segurança online estão a aumentar. À medida que lidamos com o crescente número de ciberameaças, é realmente importante que as pessoas e as empresas protejam os seus ativos digitais. A ascensão do Coyote, um novo tipo de Trojan bancário, lembra-nos de ter cuidado e usar as defesas mais recentes para manter as nossas informações importantes em segurança”, sublinha Fabio Assolini, chefe da Equipa de Investigação e Análise Global da América Latina (GReAT) da Kaspersky.

22/02/2024
MariaDB pode estar em vias de ser adquirida por 37 milhões de dólares

A MariaDB, entidade responsável pelo popular servidor de bases de dados com o mesmo nome, pode estar em vias de ser adquirida por uma nova entidade. A empresa confirmou ter recebido uma proposta de compra por parte da firma K1 Investment Management.

As negociações ainda se encontram a decorrer, portanto, nada de concreto existe para já, mas a K1 encontra-se interessada na aquisição da MariaDB e das suas tecnologias. A aquisição envolveria a totalidade das ações da MariaDB, com um preço final de 0.55 dólares por ação, o que corresponde a cerca de 37 milhões de dólares.

Esta notícia surge numa altura que a entidade encontra-se a sofrer fortes reformulações, com a entrada de um novo CEO e alguns cortes e reajustes internos.

De relembrar que a MariaDB surgiu como um fork do MySQL faz mais de 15 anos, depois de receios que a independência da plataforma poderia ser colocada em causa após a aquisição milionária da empresa pela Oracle – algo que viria a confirmar-se em 2009.

Atualmente, a MariaDB é considerada uma substituição “drop-in” ao MySQL, que funciona na base do mesmo e conta com consideráveis melhorias para quem não pretenda usar a versão original.

A MariaDB viria a tornar-se uma entidade publica em Dezembro de 2022, mas os resultados financeiros da empresa ficaram aquém do desejado. Desde então, a empresa tem vindo a procurar alternativas de financiamento.

A proposta da K1 ainda não é inteiramente formal, portanto a mesma pode sofrer alterações ou até nem se realizar de todo. No entanto, a K1 encontra-se a comprar as ações da empresa com um “premium” do valor final – que se encontrava a 0.19 dólares por ação a 5 de Fevereiro.

A K1 também possui o historial de realizar largas aquisições ao longo dos anos, com várias outras entidades em seu nome, e muitos analistas apontam que poderá ser uma das melhores apostas para a compra da MariaDB a longo prazo.

19/02/2024
Ataque KeyTrap pode causar falhas DNS com apenas um pacote

Uma nova vulnerabilidade grave foi descoberta sobre o sistema de DNS, mais concretamente sobre a tecnologia Domain Name System Security Extensions (DNSSEC), que pode levar a que um domínio fique inacessível durante longos períodos de tempo.

A falha foi apelidada de “KeyTrap “, e afeta o próprio funcionamento dos sistemas DNSSEC em servidores DNS à escala global. Se explorada, esta falha pode levar a que um sistema de DNS fique totalmente inacessível em ataques DoS, bastando para tal o envio de um simples pacote para os mesmos.

Os servidores DNS são, basicamente, sistemas que permite converter os domínios na Internet – como tugatech.com.pt – para endereços IPs, que são usados para “ligar” os mesmos aos servidores corretos. Estes são uma parte bastante importante da internet, e servem como plataforma para permitir o correto funcionamento de vários sistemas.

O sistema DNSSEC, por usa vez, garante uma camada adicional de segurança para pedidos DNS, encriptando os conteúdos de forma a garantir que os mesmos não são alterados entre a origem e o servidor DNS de destino. Desta forma, os utilizadores podem garantir que se encontram a aceder ao local correto e que não foi maliciosamente modificado.

A falha KeyTrap encontra-se presente no DNSSEC faz mais de 20 anos, e foi descoberto por investigadores da National Research Center for Applied Cybersecurity ATHENE. Explorando a falha, um atacante pode realizar largos ataques contra sistemas DNS, causando atrasos na resolução de domínios ou até a sua indisponibilidade, bastando para tal um simples pacote.

Os investigadores demonstraram como é possível explorar esta falha para realizar longos e simples ataques, que podem causar graves problemas para sistemas de DNS em geral.

Um dos investigadores afirma que a falha é de tal forma grave que a mesma pode levar a que partes da internet fiquem completamente inacessíveis. Os investigadores afirmam ter trabalhado com empresas como a Google e Cloudflare para mitigar este problema desde Novembro de 2023.

De acordo com os investigadores, a falha estaria na própria implementação do DNSSEC, e acredita-se que esteja presente no mesmo desde meados de 1999. Portanto, a confirmar-se, a falha terá sido desconhecida durante mais de 25 anos.

Embora várias entidades gestoras dos maiores DNS a nível global tenham confirmado que estão a desenvolver correções para esta falha, a completa mitigação do mesmo pode levar a uma restruturação completa do DNSSEC .

19/02/2024
Maior banco da China evitou ransomware… por usar servidor desatualizado

O Banco Industrial e Comercial da China, ICBC, é considerado uma das maiores entidades bancárias no mercado a nível de ativos. Faz alguns meses, a entidade sofreu um ataque informático, onde ransomware terá sido instalado nos sistemas da mesma.

Apesar de o ataque ter sido rapidamente contido, isto não terá ocorrido porque a entidade financeira estaria a usar práticas de segurança adequadas e recentes… mas sim exatamente o oposto. O ataque apenas foi contido rapidamente porque o sistema afetado pelo ransomware estaria consideravelmente obsoleto.

Não é a primeira vez que existem histórias de sistemas considerados como “fundamentais” que se encontram em sistemas bastante antigos, muitas vezes com décadas sem atualizações. Isto nem sempre é considerado seguro, mas para o caso da ICBC pode ter sido uma ajuda.

Os ataques de ransomware possuem apenas um objetivo: levar ao bloqueio dos ficheiros nos sistemas infetados, obrigando as entidades a pagarem caso pretendam voltar a ter acesso aos mesmos. Em alguns casos, esses conteúdos são roubados antes de serem encriptados, para levar as vítimas a terem ainda mais tendência a pagar – ou podem ter os dados publicamente divulgados.

No caso da ICBC, a entidade foi alvo de um ataque de ransomware pelo grupo Lockbit. No entanto, este não terá sido mais grave porque os sistemas afetados estariam consideravelmente desatualizados.

A entidade usava um servidor extremamente antigo, da fabricante Novell, o qual se encontrava com o seu próprio sistema operativo Novell NetWare. Este sistema possui mais de 20 anos, sendo que a marca Novell não se encontra no mercado faz mais de dez anos.

O único motivo pelo qual o ransomware não terá causado mais estragos dentro da entidade será porque o mesmo não estava preparado para encontrar um sistema tão antigo. Quando este tentou correr dentro do Novell NetWare, o mesmo simplesmente falhou, uma vez que o malware não estaria preparado para este sistema.

Neste caso em particular, isso pode ter ajudado a prevenir que o ataque tivesse dimensões mais elevadas, e teoricamente, pode ter sido considerada uma proteção contra o mesmo. No entanto, de longe, usar um sistema antigo não é de todo recomendado, visto existirem outras falhas que podem ser exploradas para ataques em larga escala.

Ao mesmo tempo, é importante ter em conta que este ataque também demonstrou que a entidade necessita de atualizar os seus sistemas, já que os atacantes terão acedido ao sistema interno da entidade explorando uma falha do Citrix Bleed, que era conhecida faz mais de um mês antes do ataque.

02/02/2024
Falha humana terá permitido acesso a código fonte do GitHub da Mercedes-Benz

As grandes empresas usam regularmente o GitHub como parte do seu processo de desenvolvimento de software, mas ao mesmo tempo, usar esta plataforma exige que sejam aplicadas medidas de segurança para prevenir que código potencialmente sensível seja divulgado ou acedido.

No caso da Mercedes, parece que um erro de configuração pode ter levado a que terceiros conseguissem aceder a código fonte do software interno da empresa.

A Mercedes-Benz confirmou que, devido a uma falha com a configuração de tokens no GitHub, parte do seu código fonte terá ficado acessível na sua conta do GitHub Enterprise.

A 29 de Setembro de 2023, os investigadores da empresa RedHunt Labs revelaram ter obtido acesso a um token do GitHub da empresa, pertencente a um funcionário da marca. Isto terá permitido o aceso ao sistema interno da empresa, e consequentemente aos dados existentes no mesmo.

Os investigadores afirmam que o token terá permitido acesso sem restrições a todo o código fonte existente no servidor do GitHub Enterprise, associado com aplicações e sistemas da fabricante, que seriam usados em várias frentes.

Apesar de os dados terem sido acedidos pelos investigadores, a incorreta configuração que terá permitido acesso ao token poderia levar a que criminosos tivessem a capacidade de aceder a informação sensível da empresa.

Ao mesmo tempo, este acesso poderia permitir a atacantes obterem o código fonte e explorarem o mesmo por falhas, ou poderiam ser usados por outros fabricantes para roubar informações dos sistemas.

A Mercedes terá sido informada da falha no dia 22 de Janeiro de 2024, sendo que o token foi bloqueado dois dias depois – mas os investigadores apontaram que a falha apenas foi confirmada pela empresa depois dos investigadores terem contactado alguns meios de imprensa internacionais, que aplicaram pressão na fabricante e questões associadas com o potencial para roubo de dados.

A fabricante terá confirmado a existência do token, e afirma que o mesmo terá ocorrido por uma falha humana, no entanto não foram deixados mais detalhes sobre o caso. A empresa afirma ainda que, por questões de segurança, não irá partilhar informações adicionais associadas com o incidente.

30/01/2024
Vulnerabilidades em sistemas Jenkins pode levar a ataques

Os administradores de instalações Jenkins devem atualizar para a versão mais recente do software o mais rapidamente possível, derivado da descoberta de várias falhas graves na mesma que podem levar a ataques em larga escala.

Jenkins é um popular software open source de automação no desenvolvimento de software, usado por várias entidades para integrar mudanças no código das suas aplicações. Este é fundamental como parte do desenvolvimento de muito software no mercado, e como tal, é usado tanto por grandes empresas como pequenas startups.

No entanto, a empresa de segurança SonarSource revelou recentemente ter descoberto uma falha no software, que pode permitir aos atacantes acederem a dados no servidor e executarem comandos sobre o mesmo com potencial de roubo de dados.

A primeira falha (CVE-2024-23897) foi classificada como crítica, e permite aos atacantes lerem conteúdos dentro dos servidores com o software, o que pode dar acesso a informação sensível.

Ao mesmo tempo, a falha pode ainda ser explorada para aumentar privilégios no sistema, e permitir aos atacantes obterem acesso à conta de administrador do sistema, com permissões para envio de comandos remotos no servidor.

Ao mesmo tempo, os investigadores revelaram ainda uma segunda falha de segurança, que pode permitir aos atacantes executarem código malicioso nos servidores, bastando a um utilizador com permissões elevadas aceder a um link maliciosamente criado para explorar a falha.

A correção de ambas as falhas foram lançadas a 24 de Janeiro de 2024, com as versões 2.442 e LTS 2.426.3, no entanto, ainda existem vários sistemas que se encontram vulneráveis a este ataque, sendo da responsabilidade dos administradores atualizarem o mais rapidamente possível.

De notar que, tendo em conta que muitas das provas de conceito das falhas foram já validadas, existe o potencial dos atacantes começarem a explorar as falhas em sistemas desatualizados.

29/01/2024
Malware para macOS usa registos DNS para atacar sistemas

Recentemente foi descoberta uma nova técnica, usada por hackers para roubarem fundos de carteiras de criptomoedas de utilizadores no macOS, usando apps maliciosas e registos DNS no processo.

A campanha encontra-se focada para utilizadores do macOS Ventura e mais recente, sobretudo para quem tende a descarregar apps pirateadas de sites na internet.

De acordo com os investigadores da Kaspersky, foi recentemente descoberta uma campanha que usa este género de aplicações para infetar os sistemas das vítimas, levando a que sejam roubados dados sensíveis das mesmas. A maioria faz-se passar por ativadores de software diverso.

Quando a aplicação é executada, requer que os utilizadores coloquem as suas senhas de administrador do sistema, a partir do qual se leva ao início do roubo de dados – caso esta senha seja introduzida.

O malware começa por contactar o servidor de controlo dos atacantes, de onde recebe os comandos necessários para proceder com o ataque e o download de aplicações adicionais para levar a cabo o mesmo.

Curiosamente, os investigadores descobriram que o método de contacto com o servidor dos atacantes é feito de uma forma peculiar, usando os registos TXT de um domínio para obter os detalhes de acesso e os comandos.

Usando este método, o malware é capaz de se ocultar mesmo em redes que estejam ativamente monitorizadas, fazendo-se passar por um simples pedido de DNS.

Uma vez instalado no sistema, o malware tenta obter acesso a carteiras de criptomoedas, roubando os fundos das mesmas, bem como recolher os dados de login que se encontrem guardados no sistema.

Como sempre, os utilizadores devem ter extremo cuidado no download de aplicações de fontes desconhecidas, ainda mais de programas pirateados, regularmente a fonte de origem para distribuição de malware.

23/01/2024
25 aplicações maliciosas descobertas na Google Play Store

Os dispositivos Android estão particularmente abertos a potenciais ameaças digitais, tendo em conta a abertura do sistema. E recentemente, investigadores da empresa de segurança McAfee confirmaram ter descoberto uma nova variante de malware que pode ter infetado milhares de dispositivos.

O malware foi inicialmente descoberto em várias apps que estariam disponíveis via a Google Play Store. De acordo com os investigadores da McAfee Mobile Research, as aplicações maliciosas exploravam um backdoor usando a framework Xamarin.

Este malware foi apelidado de “Xamalicious”, e segundo os investigadores, depois das aplicações serem instaladas no sistema, estas tentavam obter acesso a permissões mais elevadas no mesmo, como acesso ao serviço de acessibilidade, tentando enganar as vítimas para ativarem as mesmas.

Se realizar esse passo, o malware procedia com a ligação a um servidor de controlo remoto, de onde era descarregado malware secundário, que poderia permitir o total controlo do sistema e roubo de conteúdos dos mesmos.

Os investigadores afirmam ter descoberto pelo menos 25 aplicações maliciosas na Play Store contendo este malware, algumas das quais encontravam-se ativas desde meados de 2020. Os dados das mesmas apontam ainda que estas podem ter sido instaladas em mais de 327,000 dispositivos diferentes – embora o número possa ser consideravelmente mais elevado, tendo em conta instalações de fontes externas e outras plataformas.

A Google, depois de notificada, removeu as aplicações maliciosas da sua plataforma. No entanto, os utilizadores que as tenham instalado ainda podem ter os seus dispositivos ativamente comprometidos.

29/12/2023
Novo malware rouba dados bancários de 50.000 utilizadores

Um grupo de investigadores revelou recentemente ter descoberto um novo código, criado em JavaScript, que se encontra a infetar milhares de plataformas online. O objetivo ao mesmo passa por roubar dados de entidades financeiras, que são depois usados pelos atacantes para esvaziar as contas bancárias das vítimas.

De acordo com os investigadores, este malware encontra-se criado para se focar em mais de 40 entidades financeiras, e acredita-se que pode ter infetado mais de 50.000 utilizadores durante as últimas semanas. Os investigadores da IBM Security Trusteer afirmam que o malware começou a ser identificado em meados de Março de 2023.

Os atacantes começam por incentivar as vítimas a instalarem determinadas aplicações nos seus sistemas ou navegadores, com o objetivo de permitir que o malware possa correr em segundo plano. Feito isto, o script malicioso é automaticamente injetado nas páginas dos bancos, quando os utilizadores acedem aos mesmos, com vista a recolher os dados de login. O script possui a capacidade de recolher tanto os dados de login como credenciais de autenticação em duas etapas, enviando essa informação para sistemas em controlo dos atacantes.

O script encontra-se ofuscado para tentar ocultar as suas atividades dos softwares de segurança que o utilizador possa usar.

Os investigadores afirmam que, apesar de o script encontrar-se estruturado para determinadas páginas de login de diferentes entidades bancárias, o mesmo pode ser adaptado facilmente para, virtualmente, qualquer site. Além disso, o mesmo permanece em contacto direto com o servidor em controlo dos atacantes, de onde recolhe também atualizações constantes do código.

Como sempre, é importante que os utilizadores tenham atenção aos locais de onde descarregam os seus conteúdos, evitando o download de fontes desconhecidas ou que tenham origem de meios invulgares.

21/12/2023
Novas ameaças multiplataforma preocupam investigadores de segurança

A Equipa Global de Investigação e Análise (GReAT) da Kaspersky descobriu três ameaças multiplataforma. No seu último relatório, revela três novas estratégias implementadas pelos cibercriminosos que usam a campanha FakeSG, o ransomware Akira e o stealer AMOS macOS.

O atual panorama do crimeware é marcado por uma evolução constante, uma vez que os cibercriminosos implementam, cada vez mais, novas táticas em múltiplas plataformas para explorar as suas vítimas. Os especialistas da Kaspersky analisaram estas ameaças, incluindo o ransomware multiplataforma, os stealers de macOS e as campanhas de distribuição de malware.

A ciberameaça mais recente, descoberta pela GReAT, é a campanha FakeSG, em que os sites legítimos são comprometidos e exibem notificações enganosas de atualização do browser. O ato de clicar nestas notificações desencadeia a transferência de um ficheiro nocivo e, apesar de alterar os URLs, o caminho (/cdn/wds.min.php) permanece constante. O ficheiro transferido executa scripts ocultos, solicitando aos utilizadores que atualizem os seus browsers, enquanto estabelece a persistência através de tarefas agendadas. Dentro do arquivo, um ficheiro malicioso expõe o endereço de Comando e Controlo (C2), realçando a sofisticação desta campanha.

O Akira, uma nova variante de ransomware, que afeta tanto os sistemas Windows como os sistemas Linux, conseguiu infetar mais de 60 organizações a nível global, atacando os setores de retalho, bens de consumo e educação.

A sua adaptabilidade para funcionar em várias plataformas realça o seu impacto em diferentes sectores. O Akira partilha características com a variante Conti, tais como uma lista de exclusão de pastas idêntica, e apresenta um painel de Comando e Controlo (C2) distinto, com um design tradicional e minimalista que o protege contra tentativas de análise, o que realça a sofisticação das ciberameaças em evolução.

Por seu lado, o stealer AMOS macOS, um programa malicioso que surgiu em abril de 2023, inicialmente vendido por 1.000 dólares/mês no Telegram, evoluiu de Go para C, implantando malvertising em sites de software clonados. Utilizando também métodos enganadores como o malvertising, consegue infiltrar-se nos sistemas macOS, recuperando e comprimindo dados do utilizador para transmissão ao servidor de Comando e Controlo, através de um UUID único para identificação. Isto reflete uma tendência crescente de stealers específicos para macOS que exploram potenciais vulnerabilidades, desviando-se da sua associação tradicional com as plataformas Windows.

“A adaptação ao cenário dinâmico das ciberameaças é fundamental para a proteção dos nossos ambientes digitais. O surgimento deste novo crimeware, juntamente com os métodos não padronizados que os cibercriminosos empregam em diversos sistemas operativos, realça a urgência da vigilância e da inovação nos sistemas de deteção. Permanecer um passo à frente exige um esforço coletivo e enfatiza o papel crucial da investigação e colaboração contínuas para fortalecer as nossas defesas contra as ciberameaças em evolução”, afirma Jornt van der Wiel, investigador de segurança sénior na GReAT.

20/12/2023
The Crew terá servidores desativados no inicio de 2024

Os jogadores do The Crew original podem preparar-se para o fim da saga, agora que a Ubisoft confirmou oficialmente a data para o fim de suporte do jogo.

A editora já removeu o jogo das suas plataformas digitais, tendo também confirmado que os servidores do mesmo vão ser totalmente encerrados a 31 de Março de 2024.

Segundo o comunicado da editora, “Compreendemos que isto pode ser uma desilusão para os jogadores que ainda estão a gostar do jogo, mas tornou-se uma necessidade devido à infraestrutura do servidor e às restrições de licenciamento. Desativar um jogo, e especialmente o nosso primeiro, não é algo que tomamos de ânimo leve. O nosso objetivo continua a ser proporcionar a melhor experiência de jogo de condução de ação aos jogadores e, para o cumprir, continuamos a fornecer novos conteúdos e apoio para The Crew 2 e o recém-lançado The Crew Motorfest.”

Dependendo da plataforma onde o jogo se encontrava, os jogadores que tenham recentemente adquirido o mesmo poderão tentar realizar o reembolso do mesmo – no entanto nem todas as plataformas o permitem, portanto terá de se ver cada caso.

De relembrar que a versão original foi desenvolvida pela Ubisoft Ivory Tower, e lançada em Dezembro de 2014. Na altura, o jogo destacou-se por fornecer uma vertente open world para um género de corrida, algo que estava bastante popular em jogos como Need for Speed.

O sucesso do jogo levou ao lançamento de The Crew 2 em 2018, e no início deste ano à terceira versão, The Crew: Motorfest. Ambos estes jogos ainda continuam a ser suportados na totalidade, e espera-se novos conteúdos para os mesmos em breve.

15/12/2023
Malware para Mac distribui-se sobre programas pirateados
Em sistemas Mac faz muito tempo que perderam o estatuto de serem “imunes” a malware, e os utilizadores que usam software pirata no mesmo devem estar particularmente atentos a uma nova variante de malware que se encontra a propagar neste sistema.

De acordo com a empresa de segurança Kaspersky, encontram-se a ser partilhados vários softwares piratas, em diferentes portais de torrents e sites pela internet, que se encontram modificados com uma variante de malware focada para sistemas Mac.

Os investigadores revelaram terem descoberto mais de 35 apps diferentes, que contam com modificações para integrarem malware nas mesmas. A maioria diz respeito a populares editores de imagens, editores de vídeo, recuperação de dados e outros programas utilitários para o sistema.

Entre o software modificado encontram-se versões piratas de programas como:
- 4K Video Donwloader Pro
- Aissessoft Mac Data Recovery
- Aiseesoft Mac Video Converter Ultimate
- AnyMP4 Android Data Recovery for Mac
- Downie 4
- FonePaw Data Recovery
- Sketch
- Wondershare UniConverter 13
- SQLPro Studio
- Artstudio Pro
Os investigadores indicam que a grande maioria dos programas são distribuídos sobre ficheiros PKG, que são consideravelmente mais perigosos pois permitem a execução de scripts durante o processo de instalação, e consequentemente, com maior probabilidade de malware se instalar no processo.

Como a maioria dos programas necessitam de permissões administrativas no sistema, isso faz com que os scripts maliciosos também sejam instalados nesse patamar, obtendo acesso privilegiado ao sistema operativo.

Uma vez instalado no sistema, o malware realiza a ligação a um servidor de controlo dos atacantes, de onde recebe os comandos para as suas atividades maliciosas.

Como sempre, é importante relembrar que os utilizadores devem ter extremo cuidado nos ficheiros que descarregam de fontes desconhecidas, evitando qualquer conteúdo que é reconhecido por ser fonte de possíveis malwares – como é o caso de programas pirateados.
04/12/2023
O primeiro site da Internet ainda continua ativo e funcional nos dias de hoje

É difícil de imaginar que a internet atual começou de algo tão simples como uma página de texto. Hoje temos a capacidade de ver filmes completos, imagens e fotos de alta resolução em milhares de sites pelo mundo digital, mas em 1990, a história era completamente diferente.

A World Wide Web (WWW) foi originalmente idealizada por Tim Berners-Lee, investigador da CERN em Genebra, que colocou também o que viria a ser o primeiro site da internet ativo a 20 de Dezembro de 1990. Este foi o dia em que se pode considerar que o primeiro site da internet surgiu – site esse que ainda se encontra ativo nos dias de hoje.

Disponível via o link http://info.cern.ch/ , este é o primeiro site que viu a luz do dia na “nova” WWW. Baseado sobretudo em texto, e com algumas hiperligações para diferentes conteúdos, a página encontrava-se disponível para o mundo da partir de um computador NeXt, que o próprio Berners-Lee tinha colado na parte frontal uma etiqueta a indicar tratar-se de um servidor e para não o desligar.

Este site era, e é, relativamente simples. Apenas com texto, sem imagens ou a publicidade que temos nos dias de hoje. O que não seria para menos, tendo em conta que eram os primeiros passos para o que viria a ser uma revolução digital em todo o mundo.

Rapidamente começaram a surgir websites cada vez mais complexos, conforme a tecnologia também iria melhorando para suportar estes conteúdos. Imagens foi o próximo passo da internet, ao que se seguiu vídeos e música.

No entanto, o que é considerado o primeiro site da WWW, continua a ser um marco na história, que de tempos a tempos é bom relembrar que foi criado para uma rede focada em partilhar informação e conhecimento com o mundo, aberta e totalmente acessível.

28/11/2023
Ataque de ransomware elimina dados de 17.000 jogadores em estúdio indie

Os estúdios dos criadores do jogo “Ethyrial: Echoes of Yore”, um título indie que se encontra disponível na Steam em Early Access, revelaram ter sido vítimas de um ataque ransomware, que terá eliminado os dados de milhares de contas de utilizadores do jogo.

De acordo com a publicação dos estúdios “Gellyberry Studios” no Discord, o servidor principal da entidade foi atacado, tendo sido instalado ransomware no mesmo que encriptou os conteúdos, incluindo backups locais que se encontravam neste sistema.

A entidade afirma que o grupo responsável pelo ataque terá requerido o pagamento para recuperar os dados do sistema, algo que a entidade garante que não irá realizar, tendo em conta que não existem garantias que o sistema seja recuperado ou a chave de desbloqueio dos conteúdos fornecida.

O ataque, no entanto, deixou inacessível os dados de mais de 17.000 jogadores. Como os dados encontram-se inacessíveis, isto impede também recuperar os dados das contas e os seus itens e conteúdos.

Os estúdios afirmam que vão trabalhar para tentar recuperar o máximo de conteúdos possíveis, e que os jogadores afetados irão receber alguns itens extra e benefícios dentro do jogo pelo transtorno. Ao mesmo tempo, a entidade afirma que vai começar a aplicar medidas para garantir mais segurança dentro do seu ambiente de trabalho – entre adotar sistemas VPN para acesso aos sistemas de desenvolvimento, ou limitar os acessos a IPs específicos.

Os estúdios aconselham ainda os jogadores a criarem as suas contas, e contactarem os estúdios para obterem algum do progresso.

27/11/2023
Servidores MySQL estão a ser alvo de nova onda de ataques

Servidores MySQL expostos para a Internet estão a ser alvo de uma nova onda de ataques, desta vez numa campanha conhecida como Ddostf. Esta foca-se em tentar aceder a servidores MySQL expostos e vulneráveis, que depois utiliza os mesmos como parte de redes botnet para ataques DDoS.

De acordo com a empresa de segurança AhnLab Security Emergency Response Center, os atacantes encontram-se a realizar pesquisas regulares pela internet por servidores MySQL que estejam expostos publicamente. Quando os encontram, tentam realizar ataques de brute force, com o objetivo de aceder à conta de administrador dos servidores – tendo em conta que alguns sistemas podem ter práticas inseguras de senhas, isto pode permitir rápidos ataques.

Em sistemas Windows, que tenham MySQL instalado, os atacantes encontram-se a usar uma técnica conhecida como UDF, para executarem comandos nos sistemas, e dessa forma, poderem instalar o malware necessário.

Quando os atacantes conseguem obter acesso aos servidores, começam por descarregar para o sistema o malware da rede botnet, que irá ser responsável por realizar as comunicações e ataques de um servidor central, em controlo dos atacantes.

Quando o sistema se encontra em controlo dos mesmos, os atacantes podem enviar comandos do servidor de controlo para os sistemas afetados na rede botnet, que depois são usados para realizar os mais variados ataques – a maioria ataques DDoS que tenham sido contratados.

Os investigadores apontam ainda que o malware é capaz de atualizar-se automaticamente para usar novos servidores de controlo remoto, pelo que, na eventualidade de um ser desativado, o mesmo pode recorrer a “backups” para continuar a propagar as atividades maliciosas.

Como sempre, a melhor prática de segurança será evitar ter os sistemas MySQL expostos para a internet, ou aplicar medidas de proteção para garantir permissões de acesso elevadas. Ao mesmo tempo, deve-se sempre usar senhas seguras para os sistemas de administração e manter o software atualizado para as versões mais recentes.

16/11/2023
QNAP ajudou a eliminar servidor usado para ataques Brute Force em NAS

A empresa QNAP confirmou ter ajudado a encerrar um servidor, que estaria a ser usado para realizar ataques brute force a sistemas NAS vulneráveis pela internet. Este servidor, durante vários meses, esteve a realizar tentativas de autenticação a vários sistemas NAS que usavam senhas padrão ou fracas em segurança.

Os ataques em larga escala começaram a 14 de Outubro contra sistemas da QNAP, mas acredita-se que o sistema poderia estar ativo faz bastante tempo. O mesmo era usado para comandar uma rede botnet, que teria como objetivo testar o acesso a sistemas NAS expostos para a Internet, usando credenciais de login simples ou padrão dos mesmos.

Com o apoio da empresa Digital Ocean, o servidor de controlo foi desmantelado, bloqueando assim as operações. Ao mesmo tempo, a QNAP afirma que aplicou medidas para bloquear os IPs de acederem aos seus próprios dispositivos, usando a funcionalidade QuFirewall. Os investigadores da empresa terão descoberto a origem dos pedidos da rede botnet, o que permitiu eventualmente levar ao fim das operações maliciosas.

Este sistema explorava uma falha bastante comum, sobretudo para novos utilizadores em sistemas NAS, ao manterem os dados padrão do sistema ou usarem senhas consideravelmente fracas. Em sistemas expostos para a internet, o uso destes dados pode levar a que seja rapidamente possível identificar os dados de acesso, com o potencial dos conteúdos na NAS ficarem comprometidos ou de serem roubados.

Muitas vezes os criminosos focam-se em sistemas NAS visto estes terem a tendência a manter dados sensíveis ou que podem ajudar a comprometer outros sistemas.

23/10/2023
Google Chrome está a trabalhar em sistema de proteção do IP na web

O Google Chrome vai brevemente receber uma nova funcionalidade, focada em garantir mais privacidade para os utilizadores durante a navegação pela internet. Apelidada de “Proteção de IP”, esta nova funcionalidade vai ocultar o IP dos utilizadores através do uso de servidores proxy.

O uso dos IPs tem sido cada vez maior na internet para efeitos de publicidade direcionada ou simplesmente tracking em geral, algo que a Google parece reconhecer e pretende agora evitar. A ideia da empresa será fornecer uma linha entre a privacidade dos utilizadores e a funcionalidade da web e das características da mesma.

Os endereços IP permitem a sites realizarem o tracking dos utilizadores com bastante precisão, identificando os mesmos até em diferentes plataformas. No entanto, os mesmos são também usados para diversas funcionalidades online, onde possuem usos legítimos que melhoram a experiência dos utilizadores.

A funcionalidade que a Google agora se encontra a testar será uma forma de garantir uma linha entre estas duas partes. Por um lado, a empresa pretende remover o tracking sobre o IP, enquanto também protege a privacidade e segurança dos utilizadores. Por outro, pretende que as funcionalidades onde o IP seja necessário continuam a funcionar. Atingir isto não é tarefa fácil, no entanto.

A ideia será que o Chrome vai contar com uma lista de domínios “seguros”, onde o IP poderá ser enviado, e uma secundária com endereços que devem ser considerados “inseguros”, onde o IP é colocado de forma oculta. Nesta segunda lista, quando os utilizadores acedem, o pedido do Chrome é enviado primeiro para servidores proxy, que basicamente, para o servidor da outra parte, será de onde a ligação está a ser feita – os servidores devem encontrar-se dentro da rede da Google.

Para já, a funcionalidade deve ser algo “opt in”, onde serão os utilizadores que necessitam de ativar a mesma caso pretendam, mas não seria de estranhar ver a mesma implementada como algo padrão do Chrome, a pensar na privacidade dos utilizadores.

Numa primeira fase de testes, a funcionalidade vai ser ativada apenas para domínios que estejam em controlo da Google – nos seus websites e serviços, por exemplo. Além disso, apenas utilizadores com a sessão iniciada nas contas Google e nos EUA terão acesso à versão de testes. Eventualmente a empresa espera alargar os testes para mais utilizadores e para mais países, abrindo assim as portas do mesmo.

Nas fases seguintes, a empresa estaria a ponderar ainda implementar um conjunto de proxy secundário. Basicamente, nos casos em que fosse necessário usar proxy, o primeiro estaria em controlo dos sistemas da Google, e existiria ainda um segundo que seria usado como CDN, possivelmente para otimizar o desempenho da ligação.

Ainda existem algumas questões relativamente ao uso desta funcionalidade, e o desempenho será certamente uma delas. Usar um proxy na ligação aumenta a latência de acesso a sites, e possivelmente, pode ter impacto na velocidade de acesso. Ao mesmo tempo, existem ainda questões na forma como a própria Google também pode recolher e realizar tracking de utilizadores usando esta funcionalidade e os seus próprios servidores.

Existe também a questão que, com esta funcionalidade, pode ficar mais difícil para certas entidades identificarem atividades de fraude ou até mesmo ataques DDoS, uma vez que estes iriam ser enviados de sistemas da Google e não pelo navegador.

23/10/2023
Microsoft prepara-se para descontinuar o NTLM no Windows 11

Por mais de 20 anos que o Windows se encontra a usar o sistema de autenticação Kerberos como protocolo de autenticação do sistema, deixando de lado o antigo NTLM – embora o mesmo ainda se encontre no sistema.

No entanto, segundo os rumores mais recentes, a Microsoft pode agora estar a preparar-se para descontinuar de vez este formato de autenticação. Numa recente mensagem publicada no blog da empresa, a Microsoft refere que o NTLM continua a ser largamente usado por várias empresas e organizações, tendo em conta que ainda possui algumas vantagens para as mesmas – sobretudo para pequenas empresas sem sistemas centrais de autenticação.

Muitas dessas empresas possuem o NTLM integrado nas suas apps internas, de tal forma que simplesmente desativar o NTLM poderia levar a problemas e falhas nas mesmas.

A pensar nisso, a Microsoft revelou novas funcionalidades para o Kerberos que pretendem melhorar a autenticação para quem ainda se encontra com o sistema anterior.

A primeira será a Initial and Pass Through Authentication Using Kerberos (IAKerb), que vai permitir, segundo a empresa, “um cliente sem linha de visão para um controlador de domínio se autentique por meio de um servidor que tenha linha de visão”.

A segunda alternativa é o Key Distribution Center (KDC) for Kerberos, que permite suportar a autenticação de contas locais – que era algo que, até agora, apenas era possível com o NTLM.

Por fim, a empresa espera que, com estas duas novas funcionalidades, os utilizadores possam rapidamente adaptar-se para a transição do NTLM para o Kerberos. Ao mesmo tempo, também parece demonstrar que os planos da Microsoft para o futuro passam por descontinuar o suporte para esta tecnologia – algo que, eventualmente, terá de ocorrer.

12/10/2023
Plugin malicioso do WordPress faz-se passar por cache para instalar backdoor

Os plugins do WordPress são, sem dúvida, uma das formas de aumentar as funcionalidades da plataforma, com conteúdos extra. No entanto, se os administradores dos sites não tiverem cuidado, são também a porta de entrada para eventuais problemas.

Recentemente, os investigadores da empresa de segurança Wordfence revelaram a descoberta de uma nova campanha, que usa um plugin falso de cache para enganar os utilizadores e abrir as portas a eventuais ataques.

De acordo com os investigadores, o plugin malicioso foi descoberto em Junho, quando a empresa se encontrava a realizar a limpeza de um site infetado como parte dos seus serviços.

O plugin mascara-se como sendo usado para a cache do site, que normalmente ajuda os sites a reduzir o uso de processamento no servidor. O plugin, para evitar a deteção, fornece a funcionalidade que se pretende inicialmente, mas esconde-se da lista de plugins ativos do site – igualmente para dificultar a tarefa de remoção no futuro.

O plugin possui a capacidade de criar contas de administrador dentro do site, que pode permitir a terceiros aceder aos conteúdos do mesmo no futuro. Além disso, este identificar ainda acessos feitos a partir de bots, apresentando sites diferentes e redirecionando para outros conteúdos de spam – a medida pode também ser aplicada da utilizadores legítimos de forma aleatória.

O plugin possui ainda a capacidade de alterar os conteúdos do site, e de instalar ou remover outros plugins, mantendo os mesmos escondidos dos utilizadores do site.

A ideia do mesmo será redirecionar os utilizadores visitantes do site para outros conteúdos de spam, e onde se pode gerar dinheiro de publicidade nos mesmos. Obviamente, isto possui também impacto sobre o SEO do site que se encontra infetado.

Como sempre, os utilizadores devem ter extremo cuidado sobre os plugins que usam nos seus sites WordPress, evitando ao máximo a instalação de conteúdos de fontes desconhecidas.

12/10/2023
Exim corrige três das seis vulnerabilidades zero-day descobertas na semana passada

Recentemente foram descobertas algumas falhas consideradas como graves sobre o Exim, um dos MTA mais populares no envio de emails por servidores na Internet. A falha, revelada pela equipa da empresa Trend Micro Zero Day Initiative (ZDI), permitia que atacantes explorassem o serviço para executarem código remoto nos sistemas, através do protocolo de envio de emails SMTP no Exim.

Tendo em conta que o Exim é considerado um dos MTA mais populares da internet, estas falhas poderiam afetar um grande conjunto de sistemas, potenciando ataques em larga escala para sistemas com serviços de email ativos. A falha, que se encontrava na porta 25 do SMTP, poderia permitir a atacantes enviarem comandos para o servidor, que poderiam ser executados no sistema com as permissões do utilizador de serviço em que o EXIM se encontra a correr – na maioria dos sistemas, com permissões elevadas.

Depois da falha ter sido revelada, agora a equipa de programadores do Exim revelou o patch para corrigir a mesma, com o EXIM 4.96.1. Na lista de alterações encontra-se a correção para as falhas que permitem a execução remota de código, sendo recomendado a todos os administradores de sistemas de atualizarem os mesmos o mais rapidamente possível. Este patch corrige as falhas CVE-2023-42114 e CVE-2023-42116, mas ainda se mantêm três outras falhas por corrigir – CVE-2023-42117, CVE-2023-42118 e CVE-2023-42119. Espera-se que estas últimas falhas sejam corrigidas nos próximos dias.

A falha mais grave, a CVE-2023-42115, foi classificada com um grau de gravidade 9.8/10, mas a equipa de programadores do Exim afirma que esta encontra-se bastante restrita, e que não afeta todos os sistemas. A equipa afirma que a falha necessita que certos parâmetros dos sistemas estejam vulneráveis para que a falha possa ser ativamente explorada. Além disso, encontra-se dependente que sejam usados métodos de autenticação externos para a mesma ser explorada, o que diminui drasticamente o número de sistemas que podem encontrar-se vulneráveis.

Em todo o caso, os administradores de sistemas são aconselhados a atualizarem o EXIM dos mesmos para as versões mais recentes, de forma a garantirem que os sistemas se encontram protegidos dos ataques.

03/10/2023
Falha do Openfire encontra-se a ser usada para encriptar servidores desatualizados

Os servidores Openfire encontram-se a ser o alvo mais recente de uma campanha de ataques, que estão a explorar falhas no software para encriptar os sistemas. Os atacantes encontram-se a explorar falhas em sistemas não atualizados com o software de mensagens Openfire, que são depois usados para encriptar os conteúdos com ransomware.

O Openfire é um popular cliente de chat XMPP, baseado em Java, que conta com mais de 9 milhões de downloads. É usado sobretudo por entidades que pretendem um formato de comunicação seguro e direto em diferentes plataformas. A falha, identificada como CVE-2023-32315, permite que os atacantes possam contornar os sistemas de autenticação no painel de administração, tendo praticamente acesso sem restrições ao sistema e servidor.

A falha encontra-se em servidores configurados desde a versão 3.10.0, datada de 2015, até à 4.6.7, bem como desde a 4.7.0 até à 4.7.4. Todos os sistemas que ainda se encontram em versões desatualizadas do software podem vir a ser comprometidos, e os atacantes encontram-se a analisar a internet por sistemas vulneráveis para tal.

Apesar de a falha ter sido corrigida com a versão 4.6.8, 4.7.5, e 4.8.0, que foram lançadas em Maio de 2023, os dados da empresa de segurança VulnCheck indicam que ainda existem mais de 3000 servidores afetados em versões antigas. A empresa Dr. Web agora reporta que estes sistemas encontram-se a ser alvo de campanhas diretas para explorar a falha, levando à encriptação de conteúdos e instalação de ransomware nos sistemas.

Os primeiros indícios dos ataques datam de Junho de 2023, e continuam até à presente data. Apesar de os dados serem encriptados com ransomware, desconhece-se qual a entidade por detrás dos ataques – sendo que os conteúdos encriptados não contam com um meio de identificação claro.

Como sempre, a primeira linha de defesa parte por os administradores dos sistemas atualizarem os seus servidores e programas para a versão mais recente, o que garante que se encontram protegidos contra este ataque.

26/09/2023
The Pirate Bay celebra 20 anos em funcionamento

O portal do The Pirate Bay encontra-se a celebrar o seu 20º aniversário hoje, em duas décadas de bastantes controvérsias e problemas, mas também de história que levaram à internet que conhecemos.

O portal foi fundado em 2003 por um grupo de hackers e ativistas, tendo crescido para se tornar o centro do mundo da pirataria e de torrents online. A história do portal começa em 2003, quando uma organização sobre o nome de “Piratbyrån” partilhava na internet da altura mensagens de como partilhar conteúdos multimédia na internet.

Na altura, a internet era um mundo diferente, e a partilha de conteúdos era bastante diversificada. Existiam formas de se partilhar conteúdos pela internet, mas a maioria era bastante focada para comunidades de “experts”.

A ideia do Piratbyrån passou por usar um protocolo novo na altura, o BitTorrent , para facilitar a partilha de conteúdos em grandes comunidades de utilizadores. Com isto, a ideia de criar o seu próprio tracker começou a surgiu, o que eventualmente levaria à criação do Pirate Bay.

No final de 2003, o The Pirate Bay era oficialmente disponibilizado para o público em geral. Neste os utilizadores poderiam aceder a torrents dos mais variados conteúdos – obviamente, a maioria longe de ser legal. Vídeos, filmes, jogos e outros conteúdos eram partilhados como torrents no mesmo.

O site do The Pirate Bay esteve durante algum tempo alojado num servidor em controlo de Gottfrid Svartholm, aka Anakata, na empresa onde o mesmo trabalhava no México. Eventualmente, este iria migrar para um sistema na Suécia, em controlo de Fredrik Neij, aka TiAMO.

Apesar de a ideia ter sido criar o tracker para utilizadores da região da Suécia, eventualmente este viria a tornar-se um foco para a internet a nível mundial. No entanto, esta popularidade veio também com o preço, que levou as autoridades a tomarem atenção ao portal.

Em 31 de Maio de 2006, eventualmente as autoridades realizaram uma rusga ao local onde se encontravam os servidores do portal na altura, em Estocolmo. Os sistemas foram apreendidos e o portal desligado, sob a acusação de facilitar o acesso a conteúdos piratas.

No entanto, apesar das autoridades terem apreendido os sistemas onde o site se encontrava, isto não seria o fim do mesmo. Isto porque Gottfrid teria identificado, alguns dias antes da rusga, atividades anormais no portal. Face a estas, o mesmo alertou Fredrik, que então realizou um backup da plataforma. Este passo veio a revelar-se fundamental para o futuro do site.

Devido ao backup, a equipa responsável pelo site conseguiu restaurar o mesmo três dias depois da rusga, voltando toda a sua atividade. Invés de esconder as atividades, um dos porta-voz do portal, Peter Sunde, aka Brokep, veio confirmar que o portal não iria desaparecer.

No entanto, a rusga das autoridades foi o ponto de viragem, onde também começaram as investigações ao portal, e eventuais detenções de alguns dos seus administradores. Eventualmente, as personagens que criaram o portal, passaram a administração do mesmo para um grupo de utilizadores anónimo, que ainda hoje mantem as atividades do sistema.

Durante o dia de hoje, um dos administradores do site, conhecido como “Spud17 “, deixou também uma mensagem de celebração de 20 anos do The Pirate Bay nos fóruns da comunidade.

O portal também teve a sua dose de controvérsias devido a medidas que foram implementadas no mesmo, desde a integração de um minerador de criptomoedas no código do site, que usava os recursos dos visitantes para minerar moedas para os gestores do mesmo, à criação de um token dedicado que permita pagamentos de acesso a conteúdos VIP.

19/09/2023
Grupo de ransomware “Cuba” volta ao ataque

A Kaspersky revelou uma investigação sobre as atividades do famoso grupo de ransomware conhecido como Cuba. Este grupo de cibercriminosos implantou recentemente um malware que conseguiu evitar a deteção mais avançada e visou organizações em todo o mundo, deixando um rasto de empresas comprometidas em vários sectores.

Em dezembro de 2022, a Kaspersky detetou um incidente suspeito no sistema de um cliente, descobrindo três ficheiros duvidosos. Estes ficheiros desencadearam uma sequência de ações que levaram ao carregamento da biblioteca komar65, também conhecida como BUGHATCH.

O BUGHATCH é um backdoor sofisticado que se instala na memória do processo. Executa um bloco de código de shell incorporado no espaço de memória que lhe é atribuído, utilizando a API do Windows, que inclui várias funções. Posteriormente, liga-se a um servidor de Comando e Controlo (C2), aguardando instruções adicionais. Pode receber comandos para descarregar software como o Cobalt Strike Beacon e o Metasploit. A utilização do Veeamp no ataque sugere fortemente o envolvimento do ransomware Cuba.

Em particular, o ficheiro PDB faz referência à pasta “komar”, uma palavra russa para “mosquito”, indicando a potencial presença de membros que falam russo no grupo. Uma análise mais aprofundada efetuada pela Kaspersky revelou módulos adicionais distribuídos pelo grupo Cuba, melhorando a funcionalidade do malware. Um desses módulos é responsável pela recolha de informação do sistema, que é depois enviada para um servidor através de pedidos HTTP POST.

Continuando a sua investigação, a Kaspersky descobriu novas amostras de malware atribuídas ao grupo Cuba no VirusTotal. Algumas destas amostras tinham conseguido escapar à deteção por outros fornecedores de segurança. Estas amostras representam novas iterações do malware BURNTCIGAR, empregando dados encriptados para evitar a deteção antivírus.

“As nossas últimas descobertas sublinham a importância do acesso aos mais recentes relatórios e informações sobre ameaças. À medida que os grupos de ransomware, como Cuba, evoluem e aperfeiçoam as suas táticas, manter-se à frente dos criminosos é crucial para mitigar eficazmente os potenciais ataques. Com o cenário das ameaças em constante mudança, o conhecimento é a melhor defesa contra os cibercriminosos emergentes”, afirma Gleb Ivanov, especialista em cibersegurança da Kaspersky.

Cuba é uma estirpe de ransomware de ficheiro único, difícil de detetar devido ao seu funcionamento sem bibliotecas adicionais. Este grupo de língua russa é conhecido pelo seu extenso alcance e visa sectores como o retalho, finanças, logística, governo e indústria transformadora na América do Norte, Europa, Oceânia e Ásia. Empregam uma mistura de ferramentas públicas e proprietárias, atualizando regularmente o seu conjunto de ferramentas e utilizando táticas como BYOVD (Bring Your Own Vulnerable Driver).

Uma das características da sua operação é a alteração dos carimbos de data e hora da compilação para enganar os investigadores. Por exemplo, algumas amostras encontradas em 2020 tinham uma data de compilação de 4 de junho de 2020, enquanto os carimbos de data/hora em versões mais recentes eram apresentados como tendo origem em 19 de junho de 1992.

A sua abordagem única envolve não só a encriptação de dados, mas também a adaptação de ataques para extrair informações sensíveis, tais como documentos financeiros, registos bancários, contas de empresas e código fonte. As empresas de desenvolvimento de software estão particularmente em risco. Apesar de estar na ribalta há já algum tempo, este grupo mantém-se dinâmico, aperfeiçoando constantemente as suas técnicas.

Caso tenha interesse pode ver a análise completa da empresa no site da Securelist.

18/09/2023
Autoridades desmantelaram uma das maiores redes botnet da atualidade

A botnet conhecida como “Qakbot” é uma das maiores e mais antigas redes em atividade na internet, mas foi agora desmantelada numa operação das autoridades sobre o nome de “Duck Hunt”.

Esta operação, liderada pelo FBI, levou à apreensão de vários sistemas de controlo da botnet, que eram usados para o envio de comandos aos dispositivos infetados. Esta rede foi identificada como sendo a origem de mais de 40 ataques de ransomware contra empresas e entidades governamentais, causando milhares de dólares em prejuízos.

As estimativas apontam que, apenas nos últimos 18 meses, a rede tenha criado prejuízos no valor de 58 milhões de dólares. Ao longo dos anos, esta rede tem sido usada como porta de entrada para diversos ataques de ransomware, de grupos como Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e Black Basta.

De acordo com o diretor do FBI, Christopher Wray, as vitimas encontravam-se distribuídas em diferentes setores a nível mundial. A botnet mantinha uma larga rede de sistemas infetados, que eram usados para enviar comandos e realizar ataques em larga escala.

O FBI afirma que a rede contava com mais de 700,000 sistemas diferentes, mais de 200.000 encontravam-se nos EUA, que faziam parte da infraestrutura da botnet. Dento desta encontravam-se ainda sistemas usados para receberem e enviarem os comandos, em controlo dos gestores da rede.

Num dos sistemas usado pelos administradores da Qakbot, as autoridades terão descoberto diversos ficheiros contendo informações relacionadas com as atividades presentes e passadas da Qakbot. Isto inclui mensagens e comunicação feitas entre o administrador da rede e interessados no uso da mesma.

Foram ainda descobertas várias informações sobre vítimas de ataques realizados através da Qakbot, dados de pagamento, detalhes dos esquemas de ransomware e outras informações.

Durante o final da semana passada, as autoridades tomaram o controlo da rede, passando a redirecionar todo o tráfego da mesma para um servidor em controlo do FBI, que foi usado para correr um comando que permite remover o malware dos sistemas infetados.

Apesar de os dispositivos não terem sido diretamente notificados caso estivessem infetados, e a remoção do malware ter sido feita de forma silenciosa, os utilizadores podem vir a verificar se foram afetados através de ferramentas como o Have I Been Pwned e o site da Politie.

No final, as autoridades não apenas desmantelaram as operações do malware, como também removeram o mesmo dos sistemas onde este se encontrava através do redireccionamento do tráfego para sistemas em controlo do FBI.

De notar, no entanto, que esta tarefa não remove outro malware que possa encontrar-se no sistema, e que ainda possa estar a ser usado para ataques ou roubos de dados.

Esta foi uma das maiores operadoras de desmantelamento de uma rede botnet realizada pelas autoridades dos EUA, sobretudo tendo em conta a dimensão da mesma e o número de potenciais vitimas – direta ou indiretamente – associadas com a mesma.

29/08/2023
Tyme Sync garante que o seu Windows está sempre com a hora correta

Em alguns sistemas, manter a hora do sistema operativo atualizada ao segundo é algo importante. Felizmente, as mais recentes versões do Windows contam todas com a capacidade de atualizar a hora rapidamente.

Existem duas formas de atualizar a hora do sistema. A primeira será de forma manual, onde os utilizadores podem configurar a hora e data manualmente, e configurar também a timezone para onde se encontrem.

No entanto, o Windows conta também com um sistema de atualização automática da hora pela Internet. Esta atualização é normalmente feita pelos servidores de tempo da Microsoft (time.microsoft.com). Isto permite que a hora do sistema esteja atualizada da forma mais precisa possível.

No entanto, podem existir situações onde os utilizadores pretendam que seja usado um servidor de hora diferente, seja porque é mais estável ou mais fiável. E para isto, existe um pequeno programa que permite sincronizar rapidamente a hora com qualquer servidor NTP na internet.

O Vovsoft Time Sync é um simples programa, que possui como tarefa atualizar a hora do Windows, recolhendo a mesma de qualquer servidor de hora na internet (NTP). Isto permite que os utilizadores possam escolher um servidor que considerem ser melhor para encontrar a hora, invés de usar a opção recomendada pela Microsoft.

Uma das vantagens deste programa encontra-se no facto de que pode ser automaticamente iniciado no sistema, para manter o tempo sempre sincronizado. Os utilizadores podem rapidamente realizar a atualização, ou optar por manter o programa a sincronizar automaticamente em segundo plano.

O programa conta com uma lista de servidores NTP fornecida, de diferentes empresas, mas os utilizadores podem sempre optar por usar um diferente. E até sistemas locais, caso pretendam e tenham na sua rede – o que pode ser útil para se ter ainda mais controlo dessa configuração.

O download pode ser feito diretamente do site da entidade, neste link.

20/08/2023
Cuidado jogadores de Minecraft: mods maliciosos descobertos em nova campanha

Uma das grandes vantagens do Minecraft encontra-se na sua capacidade de receber mods da comunidade. Estes permitem expandir as funcionalidades do jogo, tanto a nível do cliente local dos jogadores, como também dos servidores do mesmo.

No entanto, foi recentemente descoberta uma campanha de malware que se encontra a propagar por intermédio de mods para o Minecraft, e afeta sobretudo os jogadores da versão Java do jogo.

De acordo com o grupo Minecraft Malware Prevention Alliance, o malware encontra-se a ser apelidado de “BleedingPipe”, e segundo a investigação do mesmo, este pode permitir a execução remota de código potencialmente malicioso nos sistemas afetados pelo mesmo.

Esta falha encontra-se presente sobre mods maliciosos desenvolvidos para o 1.7.10/1.12.2 Forge, mas pode afetar também outras versões. O malware pode obter acesso administrativo ao sistema, o que lhe garante a capacidade de correr comandos que recebe de um servidor remoto – com o potencial de roubar informação sensível ou levar à instalação de outro malware no sistema.

Este malware pode afetar tanto os clientes dos jogadores, como as versões focadas para servidores. No entanto, os investigadores apontam que o malware é usado diretamente pelos mods, e não afeta o Forge em concreto. Portanto, os utilizadores apenas necessitam de ter cuidado sobre os locais onde descarregam os seus mods e aos servidores que acedem.

Se apenas usarem servidores oficiais da Mojang, não devem ser afetados. No entanto, servidores de terceiros com mods podem ser alvo do ataque. Os investigadores recomendam que os utilizadores verifiquem a lista completa de mods afetados pelo BleedingPipe.

31/07/2023
Windows 3.1 celebra o seu 30º aniversário

Hoje em dia, o Windows é um dos sistemas operativos mais populares no mercado, mas antes de se tornar o que conhecemos, teve de passar por toda uma história de desenvolvimento – nem sempre das melhores.

Mas hoje, uma das primeiras versões do sistema operativo da Microsoft encontra-se de parabéns. O Windows 3.1 celebra o seu 30 aniversário, tendo também marcado a visão da Microsoft para o futuro do que viria a ser o “Windows”.

Foi em 27 de Julho de 1993 que a Microsoft oficialmente lançou o Windows 3.1, a nova versão do sistema operativo baseada em MS-DOS, mas construída para ser simples de usar por qualquer utilizador, com ferramentas e aplicações úteis para o dia a dia.

Na altura, o Windows 3.1 foi visto pela empresa como uma forma de chegar ao mercado em massa, tanto que foi lançada a versão tradicional, mas também uma versão focada para servidores, com o Windows NT 3.1 Advanced Server – embora na altura a ideia de servidor era bastante diferente do que se encontra atualmente na “internet”.

Para correr o Windows 3.1, os utilizadores necessitavam de um computador com um processador Intel x86, de pelo menos 25 MHz de clock, 12 MB de memoria RAM e 75 MB de espaço em disco. Era ainda necessária uma placa gráfica VGA para conseguir apresentar a interface.

Na altura, estes requisitos eram bastante elevados, mas também era uma época em que nem todos teriam acesso a computadores – como acontece nos dias de hoje. Isto pode também ter sido um dos motivos pelos quais o sistema não obteve vendas elevadas no mercado.

No entanto, este veio a marcar o futuro para a Microsoft, que rapidamente começou a desenvolver o que mais tarde iria ser conhecido como “Windows 95”, e onde foram criadas verdadeiras mudanças a pensar no computador como um objeto pessoal para todos.

27/07/2023
Administrador de instância do Mastodon anarquista detido junto com dados dos utilizadores

O Mastodon continua a ser uma das principais zonas de “refúgio” para quem esteja a tentar sair do Twitter. Ao contrário do que acontece no Twitter, a rede do Mastodon é aberta, e qualquer um pode ter as suas contas na plataforma, bem como os seus servidores dedicados para diferentes temas.

No entanto, isto também abre a possibilidade de a rede ser usada por servidores que não sejam propriamente os mais adequados para todos os utilizadores. E recentemente, um administrador de um servidor de Mastodon, usado para a partilha de conteúdos radicais, foi detido pelas autoridades.

A par com a detenção, os dados de milhares de utilizadores podem igualmente ter sido apreendidos, sobretudo dos participantes no servidor em questão.

O administrador do servidor de Mastodon Kolektiva.social terá sido detido pelas autoridades norte-americanas, por acusações não relacionadas com o sistema que gere. No entanto, o mesmo encontrava-se, na altura da detenção, a tratar de gerir um problema com o servidor de Mastodon que se encontra a gerir, e que terá obrigado a desencriptar muita da informação desse servidor. No exato momento em que este se encontrava a tratar de resolver os problemas no servidor, as autoridades terão apreendido os seus sistemas, incluindo dados não encriptados da instância do Mastodon.

As autoridades terão obtido acesso a dados de backup não encriptados da instância de Mastodon, incluindo da informação dos utilizadores presentes na mesma e das suas mensagens. Isto inclui tanto informação pública como mensagens diretas enviadas dentro da plataforma.

Apesar de o administrador ter sido detido pelas autoridades por razões não relacionadas com o seu servidor de Mastodon, as informações agora em posse das autoridades podem revelar-se úteis. De relembrar que a Instância do Mastodon em causa é conhecida por ser uma instância radical, com conteúdos de ódio.

É importante relembrar que o Mastodon, como uma rede, é aberto a qualquer um, portanto podem ser criadas instâncias para qualquer tema, sendo que estas não possuem relação direta com o protocolo usado pelo Mastodon para a transmissão das mensagens.

02/07/2023
Autoridades apreenderam domínio original do site BreachForums

As autoridades norte-americanas confirmaram durante o dia de hoje ter apreendido o domínio associado com o portal BreachForums, reconhecido fórum usado para o leak de bases de dados e informações roubadas em ataques.

Apesar de o alegado gestor do site, Conor Fitzpatrick (aka Pompompurin), ter sido detido pelas autoridades em março, o domínio associado ao site ainda se mantinha ativo – embora com uma mensagem de erro do servidor. Isto indicava que as autoridades ainda poderiam, na altura, não ter total controlo sobre a infraestrutura do domínio ou o registo do mesmo.

No entanto, este parece agora ter sido apreendido pelas mesmas, tendo em conta que o domínio do site começou recentemente a apresentar a mensagem de apreensão das autoridades – juntamente com a indicação que o domínio estaria relacionado com o portal.

Curiosamente, quando um domínio é apreendido pelas autoridades, normalmente esta apresenta sempre a mesma mensagem genérica – uma imagem a informar que o domínio foi apreendido. Neste caso, a imagem surge também com o tradicional avatar de Pompompurin, mas com algemas.

O domínio pessoal do site de Pompompurin também terá sido apreendido pelas autoridades, apresentando a mesma mensagem.

De notar que, apesar de o domínio na web ter sido apreendido, o endereço na rede Tor ainda parece encontrar-se a funcionar corretamente sem avisos, embora esteja a apresentar uma mensagem de erro 404.

É importante relembrar que, desde a apreensão do portal original e do seu gestor, vários antigos membros próximos de Pompompurin começaram a criar as suas próprias versões alternativas, e atualmente existem vários existentes – incluindo alguns sites criados também por imitadores.

24/06/2023
Linux Mint 21.2 Beta já disponível para download

Depois de um longo período de testes, finalmente as primeiras versões Beta do Linux Mint 21.2 encontram-se agora a começar a chegar junto dos utilizadores.

Os novos ficheiros de imagem começaram, desde ontem, a ser integrados nos diferentes sistemas da entidade, estando a começar a chegar junto de mais utilizadores. De notar que, apesar de as imagens estarem a começar a ficar disponíveis, ainda não existe uma confirmação oficial da entidade sobre a nova versão – espera-se que isso venha a acontecer em breve.

Tal como é habitual, o Linux Mint 21.2 encontra-se disponível nas variantes Cinnamon, MATE e XFCE.

De momento as imagens ainda não se encontram em todos os sistemas, mas os utilizadores interessados em descarregar as mesmas podem verificar o servidor principal, onde a mesma já se encontra disponível – de notar que a velocidade de download pode ser ligeiramente mais reduzida neste sistema.

A ter em conta que, apesar de ainda se tratar de uma versão Beta, normalmente o Linux Mint chega nesta fase com estabilidade suficiente para ser usado pela maioria dos utilizadores – e normalmente passa oficialmente para a versão final em apenas algumas semanas.

20/06/2023
Existe um novo canal do Discord para discutir sobre a Microsoft Store

A Microsoft encontra-se a criar uma forma de se aproximar dos seus utilizadores, tendo confirmado a chegada de um novo canal no Discord, para ajudar na comunicação, relacionado com a Microsoft Store.

O novo canal no Discord da Microsoft foca-se na Microsoft Store e nos produtos associados a esta, como o Microsoft Partner Center, MSIX e Windows AppInstaller. Os utilizadores e programadores podem usar este meio como uma nova forma de comunicarem diretamente com as equipas da Microsoft.

Ao mesmo tempo, este meio pode também ser usado para receber novidades sobre as plataformas da empresa, bem como partilhar feedback e ideias de mudança para melhorar os seus produtos.

Segundo a Microsoft, encontram-se atualmente no servidor mais de 20 especialistas da empresa, focados em ajudar os utilizadores que participem no mesmo. Qualquer utilizador é livre de entrar no servidor, que se encontra disponível neste link. De relembrar que a aplicação do Discord também se encontra disponível pela Microsoft Store, para os utilizadores interessados em instalar a mesma.

16/06/2023
Gmail possui uma falha no sistema de verificação de contas de email

De forma recente, a Google começou a testar uma nova funcionalidade para o Gmail, que permite a determinadas empresas apresentarem um sinal de verificação junto ao nome das mesmas – o que valida que uma mensagem de email foi enviada verdadeiramente por essa entidade.

No entanto, parece que existe uma falha no sistema que está agora a ser explorada por algumas fontes de spam. De acordo com o investigador de segurança Chris Plummer, existem fontes de spam que estão a conseguir enviar mensagens falsas de determinadas entidades, recebendo o sinal de verificado junto das caixas de entrada do Gmail.

No exemplo do investigador, este indicou que o spam fazia-se passar pela empresa de entregas UPS, sendo que a mensagem surgia na caixa de entrada dos utilizadores com o sinal de verificado próximo do nome, indicando que terá sido enviada pelo domínio e servidor correto da entidade – quando na verdade, não tinha sido.

Plummer afirma que contactou a Google sobre o problema, mas foi ignorado, tendo assim tornado o caso público.

De relembrar que este sistema de verificação valida os endereços dos remetentes através das funcionalidades BIMI (Brand Indicators for Message Identification), VMC (Verified Mark Certificate) e o DMARC (Domain-based Message Authentication, Reporting, and Conformance), que normalmente deveriam ser o suficiente para garantir que um email é enviado do domínio correto.

Em resposta ao problema, a Google veio confirmar que realmente existe uma falha no sistema, que se encontra atualmente a ser investigada – depois da mesma ter sido ignorada inicialmente, quando o investigador contactou a empresa. Apenas depois do caso ter ganho destaque nas redes sociais é que a empresa decidiu agir.

02/06/2023
Toyota afirma ter descoberto dois novos sistemas a revelar dados de clientes

A Toyota confirmou ter identificado dois servidores adicionais na sua rede que estariam incorretamente configurados, podendo ser usados para divulgar dados de clientes da empresa a terceiros – e que foram mantidos neste estado durante mais de sete anos.

De acordo com o comunicado da empresa, a mesma surge depois de ter sido identificado um servidor que, durante quase uma década, esteve a partilhar dados dos clientes da empresa, devido a erro de configuração. Mais de 2 milhões de clientes podem ter sido diretamente afetados.

Na investigação posterior, a empresa confirmou ter identificado mais dois sistemas nas mesmas condições, que também poderia estar a divulgar dados dos clientes no mesmo formato.

O primeiro sistema identificado estaria a divulgar dados de clientes na Ásia e Oceânia, tendo estado configurado incorretamente entre Outubro de 2016 e Maio de 2023. A base de dados acessível continha informação sensível dos clientes, incluindo nomes, moradas, números de telefone e de email, bem como dados associados com os seus veículos.

O segundo sistema terá exposto a mesma informação entre Fevereiro de 2015 e Maio de 2023, sendo que continha dados relacionados com o sistema de navegação dos clientes. Este sistema continha detalhes de donos de veículos da marca no Japão, afetando cerca de 260.000 clientes.

A empresa afirma que muitos dos dados estariam configurados para ser automaticamente removidos ao fim de algum tempo, embora isso ainda tenha dado a possibilidade de serem acedidos por terceiros.

A empresa não esclarece se os dados foram acedidos externamente durante o período em que se encontravam acessíveis pela desconfiguração do sistema, mas mesmo que tenham sido, a empresa afirma que não seriam suficientes para identificar os clientes.

A empresa afirma ter realizado todas as medidas para garantir a segurança dos sistemas afetados.

31/05/2023
Emby desativa remotamente centenas de servidores após exploração de falha de segurança

A Emby, plataforma de servidores multimédia domésticos, confirmou ter encerrado remotamente um número não especificado de servidores, depois de terem sido identificados ataques contra uma configuração insegura do servidor – e que era anteriormente conhecida da empresa.

Os utilizadores afetados por esta medida devem ter notado os seus servidores de Emby a serem subitamente encerrados, com uma mensagem nos logs da plataforma a indicar que, devido a uma falha de segurança, a entidade decidiu remotamente desligar o servidor.

Os ataques começaram a ser notados em Maio de 2023, quando a empresa identificou que servidores Emby expostos para a Internet estariam a ser alvos de um ataque, explorando uma falha que era conhecida, e que poderia afetar sistemas incorretamente configurados. A falha poderia permitir acesso administrativo ao servidor, e potencialmente comprometendo dados sensíveis.

A falha em questão é conhecida desde Fevereiro de 2020, e ainda existe muitos servidores configurados para a internet que não possuem as correções aplicadas, ou encontram-se desconfigurados ao permitir que a falha possa ser usada.

Os atacantes usam esta falha para instalar um plugin malicioso nos servidores Emby, que uma vez ativo, pode recolher os dados de login de todos os utilizadores ligados a esse servidor, e potencialmente comprometer dados sensíveis nos mesmos.

A Emby afirma que, através de uma atualização, foi capaz de desenvolver uma forma de identificar este plugin malicioso, aplicando medidas para evitar que o sistema seja afetado. A empresa sublinha ainda que, tendo em conta a gravidade da situação, os sistemas que sejam desligados por este método, apenas podem iniciar novamente quando as correções forem aplicadas.

A medida serve também como forma de indicação para os potenciais administradores destes servidores, que subitamente deixam de conseguir arrancar o mesmo. A empresa espera lançar a nova versão do Emby Server 4.7.12, que irá contar com a correção para esta vulnerabilidade e medidas para prevenir a mesma de ser explorada.

26/05/2023
30 bancos em Portugal visados por campanha maliciosa de hackers no Brasil

Um grupo de hackers brasileiros encontra-se por detrás de uma recente campanha maliciosa, focada em mais de 30 instituições governamentais e bancárias em Portugal. O objetivo das campanhas passa por enganar as vítimas, levando a roubos de dados bancários e fundos.

A campanha foi revelada pela empresa de segurança Sentinel Labs, e de acordo com a mesma, foca-se a instituições como a ActivoBank, Caixa Geral de Depósitos, CaixaBank, Citibanamex, Santander, Millennium BCP, ING, Banco BPI e Novo banco, entre outros.

O grupo utilizaria diferentes métodos para o ataque e para chegar a potenciais vítimas, sendo que os investigadores revelaram as operações através de um servidor, usado pelo grupo, e que estaria incorretamente configurado. No mesmo encontrava-se diversa informação que era usada pelo grupo para levar a cabo a campanha.

O grupo tentava levar as vítimas para sites falsos através de campanhas de email e SMS, em nome de entidades como a EDP e a Autoridade Tributária. Caso os utilizadores acedessem aos sites indicados nas mensagens, iriam ser apresentadas páginas idênticas às das entidades originais.

O malware que era depois descarregado nestes sites, conhecido como PeepingTitle, possui a capacidade de realizar diversas atividades nos sistemas. Entre estas encontra-se a recolha de dados sensíveis, capturas de ecrã e registo das teclas pressionadas, com o objetivo de levar ao roubo de dados de login em diferentes plataformas.

No final, o objetivo seria obter dados de acesso a diferentes plataformas bancárias, usadas pelas vitimas, através do malware que teriam sido usado para infetar o sistema.

O grupo usava o serviço DigitalOcean Spaces para armazenar as páginas e conteúdos malicioso, que eram depois enviados para as potenciais vítimas. O malware era também descarregado a partir deste local.

Como sempre, os utilizadores devem sempre ficar atentos a qualquer atividade suspeita, sobretudo quando esta surge sobre a forma de mensagens SMS ou de email, alegando que existem pagamentos em falta, suspensões ou que é necessário aceder a um determinado site para a tarefa.

Em caso de dúvida, o recomendado será contactar diretamente as instituições visadas, de forma a obter mais informações.

25/05/2023
GitLab alerta para falha de extrema gravidade

A GitLab lançou uma atualização de emergência, depois de ter sido identificada uma falha de máxima gravidade CVSS v3.1, que pode afetar quem usa a plataforma em formato self-hosted.

O GitLab é uma plataforma web git, focada para equipas de programadores poderem gerir os seus códigos remotamente, contando com mais de 30 milhões de utilizadores registados e um milhão de utilizadores com planos pagos.

A falha foi descoberta pelo investigador de segurança pwnie e reportada no programa de “bug bounty” HackOne. A mesma afeta o GitLab Community Edition (CE) e Enterprise Edition (EE) na versão 16.0.0, mas não as anteriores a esta.

Se explorada, a falha pode permitir aos atacantes lerem qualquer conteúdo do servidor, através de projetos que se encontram publicamente disponíveis e com um certo número de ficheiros anexados.

A ser explorada, conteúdos sensíveis podem ser acedidos, incluindo código que se encontre no sistema e dados de credenciais de utilizadores, tokens e outros ficheiros privados. Os detalhes da exploração da falha não foram, para já, revelados, permitindo que uma quantidade elevada de sistemas sejam primeiro atualizados – evitando a exploração.

No entanto, tendo em conta que possui um grau de gravidade elevado, esta será uma atualização bastante importante de ser feita para quem esteja a usar uma das versões afetadas. A entidade sublinha que é consideravelmente importante a todas as instalações atualizarem para a versão 16.0.1, a qual corrige o problema e foi lançada durante o dia de hoje.

A empresa recomenda que os utilizadores sigam os passos da documentação para o upgrade do sistema.

24/05/2023
Vai ficar mais simples criar uma conta no Mastodon

O Mastodon é considerado uma das principais alternativas do Twitter atualmente, e agora, a plataforma revelou uma pequena mudança que pode ajudar os utilizadores a terem uma forma de, mais facilmente, criarem contas na plataforma.

Ao contrário do que acontece em outras redes sociais centralizadas, o Mastodon trabalha de forma aberta, onde qualquer utilizador pode associar-se a um servidor diferente. Isto permite que existam centenas de servidores disponíveis – mas torna também complicada a tarefa de novos utilizadores se registarem na plataforma, e saberem exatamente como funciona a mesma.

No entanto, a entidade responsável pelo serviço, recentemente realizou uma alteração para ajudar esses utilizadores. A partir da sua app oficial, o Mastodon agora direciona os utilizadores para criarem as suas contas rapidamente no mastodon.social, a instância principal do Mastodon.

Obviamente, os utilizadores ainda podem criar e usar as contas noutras instâncias, caso assim o pretendam. No entanto, ter este método de registo rápido de contas na plataforma será mais simples para novatos darem os primeiros passos na mesma.

Anteriormente a esta mudança, a integração dos utilizadores nas diferentes instâncias era mais complicada, já que estes teriam de procurar uma que se adaptasse a si, de uma longa lista. O processo poderia ser visto como complicado para alguns – e na verdade, muitos acabavam por nem registar contas exatamente por esse motivo, pensando também que teriam de registar uma conta individual em cada instância que existia.

A medida pode, no entanto, ser vista também com alguma controvérsia, tendo em conta que está a dar foco para a principal instância da entidade. No entanto, o CEO do Mastodon, Eugen Rochko, afirma que esta mudança será algo necessário para ajudar os novos utilizadores, e a longo prazo irá beneficiar todos na plataforma. Ao mesmo tempo, a ideia de ambiente aberto do Mastodon continua bem presente, e isso não vai mudar – os utilizadores ainda possuem total controlo sobre o que pretendem, e mesmo que comecem na instância do Mastodon.social, nada impede de mudar no futuro.

Ao mesmo tempo, a plataforma encontra-se ainda a lançar algumas novidades, previstas para breve, como é o caso da capacidade de citar mensagens dentro do serviço e de melhorar a forma como conteúdos e perfis são apresentados na plataforma.

02/05/2023
Cuidado com um novo malware que se propaga pela Google

Existe uma nova ameaça para os utilizadores do Google, que se propaga tentando infetar sistemas Windows através de falsa publicidade.

Apelidado de “LOBSHOT”, este novo malware para Windows distribui-se, sobretudo, por publicidade da Google, que redireciona os utilizadores para falsos sites de software popular como o 7-ZIP, VLC, OBS, Notepad++, CCleaner, TradingView, Rufus, entre outros.

Quando os utilizadores pesquisam por estes programas no Google, a publicidade tende a surgir no topo dos resultados, aparentemente associada com os sites onde os utilizadores podem descarregar os mesmos. No entanto, as versões que são distribuídas redirecionam para sites de terceiros, com conteúdo malicioso.

De acordo com os investigadores da empresa de segurança Elastic Security Labs, o malware possui a capacidade de se instalar no sistema como um servidor VNC, dando controlo aos atacantes para controlarem remotamente o mesmo. Com este acesso, os atacantes podem descarregar conteúdos de e para o sistema, bem como executar o mesmo para levar à infeção por outras variantes de malware e ransomware.

Quando o LOBSHOT se instala no sistema, este começa por verificar se o Microsoft Defender se encontra ativo, e caso esteja, desativa o mesmo. No entanto, caso o Defender não seja identificado, o malware cria uma entrada no registo, que faz com que o mesmo inicie automaticamente com o sistema, enviado de cada vez informação sobre o mesmo para os atacantes.

O malware possui ainda a capacidade de verificar se o utilizador possui alguma carteira de criptomoedas instalada no sistema, e em caso positivo, tenta recolher os dados da mesma – incluindo de extensões no Edge, Chrome e Firefox.

No entanto, o malware também instalada no sistema uma variante de hVNC, basicamente, um sistema oculto de VNC que permite aos atacantes obterem acesso remoto, a qualquer momento, para o sistema infetado. Isto permite que os mesmos recolham dados dos utilizadores sem estes se aperceberem, ou literalmente controlem o dispositivo.

Como sempre, é importante que os utilizadores tenham atenção aos locais de onde se encontram a descarregar novo software, e que verifiquem sempre se o mesmo é proveniente do site legitimo. Outra medida de proteção pode passar por usar um bloqueador de publicidade – que neste caso, bloqueia a publicidade da Google, prevenindo que a mesma possa chegar aos utilizadores.

Apesar do uso de bloqueadores de publicidade ser algo controverso para alguns, neste caso é recomendado que se tenha em prioridade a segurança dos utilizadores, e sem dúvida que se consegue isso com esta medida.

Usar um software de segurança atualizado também será importante, e não apenas manter a proteção do Microsoft Defender, que apesar de ter vindo a melhorar, ainda se encontra longe de atingir o patamar de alguns softwares de segurança mais reconhecidos no mercado.

01/05/2023
Malware para Android infiltra-se na Google Play Store com 100 milhões de downloads

De tempos a tempos existe malware que consegue escapar das teias de segurança da Google, acabando por se infiltrar na Play Store e alcançando um maior leque de utilizadores. Foi o que aconteceu recentemente com um novo malware, conhecido como Goldoson.

Este malware conseguiu distribuir-se recentemente por mais de 60 aplicações legitimas, que coletivamente possuem mais de 100 milhões de downloads. De acordo com os investigadores da empresa de segurança McAfee, responsáveis pela descoberta, o malware conseguiu infiltrar-se através da exploração de extensões de terceiros que eram usadas em aplicações legitimas.

Uma vez instalado nos sistemas, o malware tinha a capacidade de recolher dados das aplicações instaladas no dispositivo, dados da rede sem fios e a localização do utilizador via GPS. Além disso, este poderia também realizar fraudes relacionadas com publicidade, tocando automaticamente em campanhas publicitárias como se fossem do utilizador.

Quando uma aplicação infetada pelo Goldoson era instalada nos dispositivos, este começava por receber alguns parâmetros de configuração de um servidor remoto, que eram usados depois para iniciar as atividades maliciosas.

O nível de recolha de dados baseava-se nas permissões que a app usada poderia ter. Como se tratavam de apps legitimas, a maioria poderiam ter permissões perfeitamente legítimas para o uso que se pretendia, mas o malware aproveitava as mesmas para recolher o máximo de informação e dados possíveis.

Sobre a fraude com publicidade, o malware era capaz de carregar em segundo plano páginas contendo publicidade da Google, que depois carregava secretamente como se fosse a vítima do dispositivo infetado, gerando receitas para os criminosos.

A maioria das aplicações que foram infetadas com o malware foram prontamente corrigidas pelos seus programadores. As que não foram corrigidas, a Google procedeu com a sua remoção da Play Store por violarem os termos da plataforma – mesmo que as apps em questão não fossem diretamente as maliciosas.

No entanto, é importante ter em conta que este malware pode distribuir-se por outras aplicações, que podem encontrar-se em plataformas externas da Play Store. Normalmente, este género de malware que realiza atividades em segundo plano é extremamente difícil de identificar, uma vez que não apresenta qualquer interação para com o utilizador.

Uma das formas de identificar este género de malware passa por avaliar possíveis desgastes excessivos da bateria de forma súbita, ou aquecimento anormal com o dispositivo em repouso.

15/04/2023
Ataques DDoS estão a usar menos sistemas, mas mais poderosos

Os ataques DDoS estão a evoluir, com o objetivo final de serem ainda mais destrutivos contra potenciais vítimas dos mesmos. Até agora, muitos dos ataques DDoS eram realizados através da exploração de falhas em dispositivos da Internet das Coisas, que apesar de terem uma pouca capacidade de largura de banda, existiam em elevadas quantidades pela internet.

Desta forma, usando um elevado número de equipamentos seria possível realizar ataques bastante elevados e de uma força destrutiva grande. No entanto, de acordo com a empresa de segurança Cloudflare, este género de ataques encontra-se agora a mudar de tática, passando invés disso a usar VPS e servidores comprometidos – que possuem um valor consideravelmente mais elevado de largura de banda.

Por norma, um servidor conta com uma largura de banda consideravelmente superior, pelo que, com um menor número, é possível lançar ataques que podem chegar a ser 5000 vezes mais fortes do que seria possível com dispositivos da Internet das Coisas.

Em parte, estes géneros de ataques tiram proveito não apenas de sistemas comprometidos, mas também de plataformas que permitem criar este género de sistemas de forma consideravelmente mais simples. Muitos fornecedores de sistemas cloud permitem que os utilizadores possam ter planos gratuitos de servidores para “teste”, o que é suficiente para criar uma enchente de sistemas disponíveis para serem usados em ataques – mesmo que sejam limitados, a sua capacidade de largura de banda é bastante superior à de dispositivos da Internet das coisas.

A Cloudflare indica que tem vindo a trabalhar com alguns fornecedores de serviços cloud, no sentido de desativar sistemas que estariam a ser usados para este género de ataques.

A empresa sublinha ainda que as atividades de ataques DDoS aumentaram consideravelmente durante o início deste ano. A empresa registou um aumento de 60% anual no volume de ataques DDoS por extorsão – onde as vítimas são ameaçadas de ataques caso não paguem um determinado valor.

Serviços na Internet, plataformas de marketing e de software, bem como serviços associados a videojogos estiveram entre os principais alvos deste género de ataques, com a tendência a ser para aumentarem nos próximos meses.

A nível dos ataques propriamente ditos, a maioria possui menos de 10 minutos de duração, com larguras de banda em torno dos 500 Mbps. No entanto, regista-se um aumento nos ataques com até 100 Gbps de largura de banda.

12/04/2023
Nova extensão maliciosa descoberta capaz de roubar dados sensiveis

Os navegadores possuem formas de expandir as suas funcionalidades através das extensões, mas, ao mesmo tempo, se os utilizadores não tiverem atenção, este é também um ponto onde podem surgir problemas.

As extensões possuem um alargado acesso ao navegador e aos dados que transitam no mesmo, e, portanto, estas podem ser usadas para os mais variados fins – nem todos benignos. É o exemplo de uma extensão recentemente descoberta pelos investigadores da empresa Trustwave.

Apelidada de Rilide, esta extensão maliciosa foca-se em navegadores baseados em Chromium, e pode realizar várias atividades nos mesmos. O objetivo da extensão parece ser recolher dados de login e carteiras de criptomoedas.

Uma vez instalada, a extensão começa a comunicar com um servidor remoto, de onde receber as ordens e envia os dados. Este servidor, em controlo dos atacantes, é a porta de entrada para o ataque.

A extensão distribui-se sobretudo sobre campanhas maliciosas do Google Ads, mas também se pode instalar automaticamente no navegador caso o sistema base esteja comprometido. Uma vez instalada, a extensão monitoriza toda a atividade do utilizador.

Quando é identificado que o utilizador acede a carteiras de criptomoedas, esta é capaz de recolher os dados de acesso, e até de contornar autenticação das mesmas – incluindo a autenticação em duas etapas, com o objetivo de roubar os fundos e enviar para carteiras em controlo dos atacantes.

Esta é ainda capaz de injetar scripts nos sites, que podem realizar o mais variado leque de ações finais.

Como sempre, a principal linha de defesa parte dos próprios utilizadores, que devem ter atenção aos locais de onde descarregam os conteúdos e às extensões que são instaladas no navegador – a maioria dos navegadores alerta sempre que uma nova extensão é instalada no mesmo, sobretudo quando o processo é feito de forma automática no sistema.

06/04/2023
Centro de dados usa calor dos servidores para aquecer piscina

Os centros de dados estão entre os locais onde mais calor é gerado por todos os servidores ativos, e muitas vezes esse calor não é propriamente aproveitado. Para os servidores, manter o calor próximo dos componentes não será positivo, mas também não se aproveita para nada depois de ser extraído.

No entanto, uma empresa no Reino Unido encontra-se a tentar mudar essa ideia. A Deep Green desenvolveu um sistema que pretende reaproveitar o calor dos seus servidores para algo benéfico. De acordo com o portal Datacenter Dynamics, os sistemas desta empresa estão a ser aproveitados para que, com o calor gerado pelos mesmos, se possa aquecer uma pequena piscina comunitária.

De acordo com o CEO da empresa, o sistema encontra-se atualmente a ser usado com um servidor onde se encontram quatro processadores, e que geram certamente uma elevada quantidade de calor. Este sistema encontra-se a ser usado para tarefas relacionadas com IA, e eventualmente deve vir a ser adaptados para outro género de atividades.

Os servidores da entidade estão submergidos em óleo mineral, o que lhes permite manter uma temperatura consistente. No entanto, é o “segundo uso” do calor que será interessante, pois esse óleo mineral encontra-se ligado a um sistema de aquecimento da piscina próxima, que é capaz de manter a mesma aquecida durante longos períodos de tempo.

Através deste sistema, a empresa poupa cerca de 24.000 dólares por ano em eletricidade, que de outra forma teria de ser usada para aquecer a piscina. Ao mesmo tempo, será também um método amigo do meio ambiente, uma vez que reaproveita o “gasto” de um outro lado para algo benéfico.

Ao mesmo tempo, a empresa espera que, conforme mais servidores venham a ser adicionados no sistema, o aquecimento do sistema venha também a aumentar. Portanto conforme a empresa venha a apostar mais no desenvolvimento da tecnologia, mais benefícios serão criados a nível de poupança de eletricidade para a piscina.

20/03/2023
Blizzard promete resolução de problemas em Diablo IV

Desde que a versão de teste de Diablo IV foi lançada, os jogadores têm vindo a queixar-se de vários problemas com o jogo. Apesar de ainda se encontrar disponível em formato de Open Beta, o título tem vindo a receber tanto criticas positivas como negativas.

A maioria das negativas dizem respeito aos problemas e bugs do jogo no lançamento. Um deles encontra-se nas longas linhas de espera para entrar nos servidores online. Face a este problema, a Blizzard veio agora confirmar que se encontra a trabalhar para resolver esta situação.

Na mais recente lista de atualizações fornecidas pela empresa, a Blizzard afirma que implementou um conjunto de correções a nível do servidor, que não só devem otimizar as listas de espera para entrar no jogo, mas também otimizar o desempenho e experiência do mesmo para todos.

No entanto, ainda existe trabalho a ser feito, sendo que a editora afirma encontrar-se a investigar um problema que, para utilizadores em consolas, previne que os mesmos consigam aceder aos servidores. Esta situação ainda se encontra a ser analisada, e espera-se que a correção seja fornecida em breve.

De relembrar que, neste momento, o jogo ainda se encontra em formato de acesso antecipado ao Open Beta, que está disponível apenas para quem tenha adquirido antecipadamente o jogo. A fase de beta aberto para todos apenas vai começar a 24 de março e termina no dia 27.

Espera-se que a versão final do jogo venha a ficar disponível no dia 6 de junho, para PC e as principais consolas no mercado.

19/03/2023
Dor de cabeça para a privacidade: detalhes cortados de fotos no Pixel podem ser recuperados

Os donos de dispositivos Google Pixel talvez queiram ter atenção aos locais onde partilham capturas de ecrã, quando estas tenham sido editadas usando as próprias ferramentas do sistema. Ao que parece, existe uma nova falha que pode revelar informação sensível de capturas de ecrã que tenham sido editadas usando as ferramentas do Pixel para tal.

Descoberta pelo investigador de segurança Simon Aarons, esta falha foi apelidada de Aprocalypse, e quando explorada, pode permitir que informação potencialmente sensível seja revelada pelas capturas de ecrã dos dispositivos Pixel da Google.

Muitas vezes, para ocultar informação potencialmente sensível, os utilizadores cortam partes das capturas de ecrã. No entanto, parece que quem tenha realizado isso com as ferramentas da Google, não estaria a remover completamente essa parte da imagem, sendo que esta falha permite restaurar a imagem original que tenha sido capturada.

Apenas com o ficheiro original, é possível restaurar a imagem que tinha sido originalmente cortada. Existe mesmo um site, desenvolvido pelo investigador, para comprovar como a falha funciona, e parece que afeta praticamente todos os dispositivos mais recentes da linha Pixel – incluindo o Pixel 7.

O site encontra-se criado apenas para demonstrar a falha, sendo que todo o processamento é feito localmente e as imagens não são enviadas para o servidor do mesmo.

Tecnicamente, a falha explora a forma como as ferramentas da Google fazem o “corte” das imagens, onde modificam o conteúdo das imagens finais, mas ainda mantêm a informação das imagens originais. Isto permite que os dados da imagem cortada possam ser “reativados”, obtendo a imagem completa.

A Google encontra-se atualmente a analisar esta falha, e parece ter sido notificada da mesma, mas ainda se desconhece como irá aplicar medidas para prevenir a mesma. De notar que esta falha afeta todos os conteúdos que tenham sido criados usando as ferramentas de edição integradas nos próprios Google Pixel – quem use ferramentas de terceiros para a tarefa não se encontra afetado.

19/03/2023
Reddit encontra-se inacessível em praticamente todo o mundo

O Reddit encontra-se a investigar uma falha, que aparenta encontrar-se a afetar praticamente toda a sua plataforma, a nível global. A falha encontra-se a impedir os utilizadores de carregarem conteúdos, tanto na versão web como a partir das aplicações.

De acordo com os relatos de vários utilizadores, confirmados pelo TugaTech, quando se acede ao site encontram-se a verificar vários erros no carregamento de conteúdos, desde falhas nas publicações a erros de ligação ao servidor do Reddit.

A falha foi, entretanto, confirmada pelo Reddit, que indica encontrar-se a investigar a mesma. Do que foi confirmado, a falha encontra-se associada com sistemas internos da empresa, embora ainda se desconheçam detalhes do que ocorreu. Faz cerca de duas horas que a falha foi confirmada e ainda sem qualquer resolução prevista.

As falhas parecem estar a ocorrer a nível mundial, sendo que afetam praticamente todos os utilizadores que tentam aceder ao serviço. De notar que esta é a segunda falha que o Reddit sofre em menos de um mês – tendo sido a anterior a 10 de Fevereiro, e que durou quase quatro horas antes de ter sido resolvida.

14/03/2023