Mostrando postagens com marcador Cyber Crime. Mostrar todas as postagens
Mostrando postagens com marcador Cyber Crime. Mostrar todas as postagens

DigiLocker é uma loja on-line digital, onde o governo nos permite armazenar dados e arquivos digitalmente. Porém, recentemente, um especialista em segurança descobriu uma nova vulnerabilidade no DigiLocker que comprometeu mais de 3,8 milhões de contas. 
É uma falha de autenticação que colocou em risco o núcleo dos dados dos usuários. Inicialmente, esse problema foi identificado pela primeira vez por um pesquisador de segurança Ashish Ghalot no mês passado e sobreviveu no método de entrada do serviço. 
Esse tipo de vulnerabilidade ajuda os hackers a evitar a autenticação de dois fatores e obter acesso a algumas informações privadas delicadas dos usuários, mas agora a falha já foi determinada e corrigida.
Bem, Ashish Ghalot havia encontrado a falha no DigiLocker quando ele estava analisando o mecanismo de autenticação. Além disso, ele também afirmou que obteve o mecanismo padrão, que solicita uma senha de uso único (OTP) e um PIN para efetuar login no armazenamento digital. 
Depois de obter o OTP, ele foi capaz de burlar o mecanismo de autenticação depois de colocar um número Aadhaar e impedir o link para o DigiLocker, simplesmente modificando os parâmetros. 
Incluindo mais de 38 milhões de usuários registrados, o DigiLocker é um armário baseado em nuvem que serve como plataforma digital para ajudar no processamento on-line de vários registros e no desempenho mais rápido de diferentes assistência de governo a cidadão. Mais importante, o DigiLocker está conectado ao número de celular de um usuário e ao Aadhar ID (um número de identidade exclusivo (UID) atribuído a todos os cidadãos da Índia).
Além de Ashish Ghalot, outros especialistas em segurança também investigaram essa vulnerabilidade do DigiLocker, e também encontraram a principal razão por trás dessa falha e esclarecerão tudo em breve.

Constatações

Em 10 de maio, o pesquisador de segurança, Ashish Ghalot, resumiu todas as suas descobertas no CERT-IN, e o problema foi determinado em 28 de maio. Aqui estão as análises detalhadas descobertas pelo Ashish Ghalot neste evento:
  1. Desvio de OTP devido a falta de autorização - Marcado como crítico
  2. Ignorar / aquisição secreta de PIN - Marcado como crítico
  3. Mecanismo de sessão ruim nas APIs - marcado como alto
  4. Mecanismo de fixação SSL fraco no aplicativo móvel - Marcado como Médio

1. Desvio de OTP devido à falta de autorização

A primeira descoberta é o desvio do OTP devido à falta de autorização, e a falta de autorização torna a situação mais confortável para o invasor. E fica fácil implementar a validação do OTP, apresentando os detalhes de qualquer usuário válido e, em seguida, o fluxo de manipulação para efetuar login como um usuário completamente distinto.

2. Desvio / aquisição secreta de PIN

Em seguida, temos o segredo PIN Bypass / takeover, bem, é uma das falhas, que também é marcada como descoberta crítica. Como qualquer pino de API / URL, ajuda facilmente os hackers a redefinir um pino totalmente novo de qualquer usuário sem autenticação. Em suma, é uma das maneiras mais fáceis de comprometer os dados do usuário, e é por isso que eles foram marcados como críticos.

3. Mecanismo de sessão ruim nas APIs

Depois disso, temos o 'mecanismo de sessão ruim nas APIs', é uma das descobertas marcadas como altas. E nessa descoberta, você perceberá que as chamadas de API do celular estavam utilizando autenticação primária para recuperar quaisquer dados ou realizar transações procuradas.
Mais importante, todas as chamadas são criptografadas, o que implica que todos os usuários devem apresentar suas credenciais, em um formato básico de autenticação que também é criptografado com o algoritmo: AES / CBC / PKCS5Padding.

4. Mecanismo de fixação SSL fraco no aplicativo móvel

Por fim, temos o pobre mecanismo de fixação SSL no aplicativo móvel e, nessa descoberta, o aplicativo usa a fixação SSL fraca, que pode ser ignorada com eficiência em dispositivos como Frida e também em alguns métodos reconhecidos.
De acordo com o Digilocker, a essência da vulnerabilidade era tão forte que a conta DigiLocker de um indivíduo provavelmente poderia ser arbitrada se o invasor percebesse o nome de usuário dessa conta apropriada. Portanto, a falha foi abordada nos dados de preferência e a equipe técnica começou a receber um alerta do CERT-IN.

Falha no DigiLocker da Índia permite que hackers acessem mais de 3,8 milhões de contas sem senha

04:00 , , , ,

A internet está cheia de cibercriminosos e outros elementos ruins. Conectar-se à Internet, principalmente usando um ponto de acesso Wi-Fi público, abre os riscos de falsificação e espionagem. Os hackers podem facilmente colocar suas mãos em suas informações pessoais, tornando-o vulnerável a roubo de identidade, perda de dinheiro e aberto a outros perigos.


É fácil e gratuito para conectar-se ao WiFi público, portanto, não é de admirar que a maioria das pessoas goste de usá-lo. Alguns shoppings, restaurantes, bibliotecas, hospitais etc. que oferecem Wi-Fi público exigem que você digite uma senha de rede sem fio, enquanto outros a deixam em aberto.
No entanto, lembre-se do TANSTAFL - Não existe coisa como almoço grátis e também se aplica ao Wi-Fi público gratuito. Você pode acabar pagando um alto preço comprometendo a segurança dos dados e das informações usando essas redes abertas, a menos que se proteja - em alguns casos, você também pode colocar outras pessoas em risco.

Riscos associados ao Wi-Fi público

As redes Wi-Fi públicas não são apenas abertas para uso do público, mas também são criadouros de hackers e espionagem online. Independentemente de você acessar um Wi-Fi público protegido por uma senha de rede ou não, suas atividades on-line são vulneráveis ​​aos olhos dos investigadores cibernéticos.
 
Vamos começar examinando alguns riscos comuns associados ao uso de Wi-Fi público, para que você saiba do que precisa para se proteger:

Malware

Esses arquivos que contêm vírus podem seqüestrar seu dispositivo de computação (smartphone, tablet ou laptop) e roubar as informações armazenadas nessas máquinas. Você pode ser atraído a baixar esses arquivos maliciosos em nome da atualização do sistema ou de outras maneiras.

Ataques MITM

Os ataques MITM (homem no meio) são muito comuns em redes Wi-Fi públicas. É aqui que os hackers se inserem no meio da comunicação e roubam todas as informações trocadas no canal de comunicação.

Vilão público Wi-Fis

Às vezes, você pode cair na armadilha de se conectar a redes Wi-Fi públicas não autorizadas, criadas com o único objetivo de roubar todas as informações transportadas pela rede gratuita. Quando você está nessa rede, você joga nas mãos dos cibercriminosos e todos os seus dados transmitidos on-line enquanto está conectado a esta rede estão agora nas mãos dos vilões que podem usar as informações para prejudicá-lo de várias maneiras.

Roubos de cookies

Nem todos os sites e redes Wi-Fi públicas usam criptografia, o que o torna vulnerável ao roubo de cookies. Depois que eles se apossarem dos cookies da sua sessão durante uma comunicação não criptografada, terceiros poderão replicá-los facilmente e realizar transações exatamente como você.

Worms

Os worms de computador, diferentemente dos vírus, não precisam de um programa para serem executados. Eles podem simplesmente transferir de um dispositivo para outro quando usam a mesma rede. Quando você está em um Wi-Fi público, torna-se vulnerável aos worms nos dispositivos de outras pessoas que também usam a mesma rede aberta. Se seus dispositivos não tiverem proteção adequada instalada, é provável que eles sejam infectados.

Sniffing

Analisadores de pacotes ou sniffers podem ser usados ​​para monitorar o tráfego em qualquer rede. O objetivo real deste hardware é registrar o tráfego de rede para rastrear atividades perigosas, mas pode ser facilmente usado por ladrões on-line para rastrear suas atividades na Internet. O sniffing de pacotes pode ser facilmente instalado e usado para falsificar e espionar usuários públicos de Wi-Fi enquanto realizam suas atividades online. 

Como se manter seguro em Wi-Fi público?

Tudo isso pode ter assustado você e pode parecer que o uso de Wi-Fi público é sempre inseguro e o torna vulnerável. No entanto, existem etapas que você pode seguir para usar o Wi-Fi público enquanto permanece protegido. Depois, tudo é gratuito, e será uma pena deixá-lo desperdiçar. E você pode não ter outra opção, ou pelo menos não econômica, para ficar on-line enquanto estiver de férias em que nenhuma outra rede está disponível. 
Então, aqui estão as boas notícias. Você tem defesas que pode adotar para superar as ameaças do Wi-Fi público. Você só precisa seguir algumas instruções de segurança e ficar vigilante. Aqui estão algumas dicas para ajudar você a se manter seguro em redes Wi-Fi públicas.
  1. Ficar com HTTPS
Nunca conecte-se a um site através de conexões não criptografadas. Verifique se o site usa SSL / HTTPS para manter o intercâmbio de dados criptografado, para que, mesmo que alguém inicie um ataque MITM, ele não consiga entender as informações transmitidas entre o navegador e o site. Alguns plugins de navegador como Force-TLS e HTTPS-Everywhere também podem ajudar. Isso garante que você não use acidentalmente uma conexão HTTP simples acidentalmente.


O SSL (Secure Socket Layer) ativa o HTTPS (Hyper Text Transfer Protocol Secure) mais seguro, o que garante que apenas os terminais de comunicação saibam criptografar e descriptografar os dados no canal de comunicação, para que os hackers não possam roubar suas informações durante o transporte. Se você é proprietário de um site e deseja proteger a reputação da sua empresa com a proteção dos dados de seus clientes, visite o ClickSSL e escolha um certificado SSL para atender às suas necessidades.
  1. Desativar compartilhamento de arquivos
A opção de compartilhamento de arquivos está ativada por padrão na maioria dos dispositivos. Essa é uma conveniência em redes seguras e privadas, mas se torna uma enorme vulnerabilidade nas redes W-Fi públicas. Verifique se as opções de compartilhamento de arquivos estão desativadas antes de conectar-se a um Wi-Fi público para manter suas máquinas de computação e seus dados armazenados nesses dispositivos em segurança.
  1. Desativar a conexão automática
Existem muitas redes Wi-Fi públicas ao seu redor e, se o seu Wi-Fi estiver ativado, a configuração de conexão automática permitirá que o dispositivo ingresse em qualquer rede Wi-Fi disponível. Sempre mantenha seu Wi-Fi desligado, a menos que você decida conectar-se a uma rede Wi-Fi. Manter o Wi-Fi desligado não vai custar nada, mas mantê-lo-á protegido contra o Wi-Fis público com o qual você pode não achar seguro se conectar.
  1. Verifique a rede Wi-Fi pública
Sempre que você se conectar a um novo Wi-fi público, crie o hábito de verificar o nome da conexão com os trabalhadores empregados nessa área. Isso ajudará você a ficar longe de redes não autorizadas criadas por cibercriminosos. Melhor ainda, tente não se conectar a redes abertas que não usam proteção por senha para autenticar as conexões. É mais seguro usar redes Wi-Fi com as quais funcionários e clientes se conectam para suas necessidades de Internet.
  1. Use uma VPN
Usar uma VPN (rede virtual privada) é a coisa mais segura a se fazer ao usar um Wi-Fi público. A VPN cria um túnel criptografado para todas as suas atividades na Internet. Isso protege seus dados de serem roubados enquanto estão sendo trocados entre o seu dispositivo de computação e os servidores aos quais você se conecta. A VPN não deixa escopo de vazamento de dados, pois fornece criptografia completa de ponta a ponta. 
Sua VPN também pode oferecer um proxy anônimo, que você pode usar para navegar anonimamente, sem revelar sua localização real, o que dificulta que alguém o rastreie ou rastreie.
  1. Use aplicativos de segurança
Independentemente do nível de segurança da sua rede, é fundamental que você mantenha seus dispositivos também seguros. Utilize um bom aplicativo antivírus ou anti-malware para detectar qualquer atividade suspeita no seu dispositivo de computação. Os aplicativos de segurança funcionam como uma camada adicional de proteção contra vírus e malware que procuram invadir seu computador ou smartphone. Verifique se você está sempre com a versão mais recente do software de segurança instalada em seus dispositivos; mais ainda, se você usar Wi-Fi público, que pode estar carregando malware cujo crack pode precisar de uma atualização de software.
  1. Padrões de navegação
Os maiores riscos do uso de Wi-Fis público são espionagem e roubo de informações confidenciais. É melhor mudar seus hábitos de navegação em redes Wi-Fi públicas. Independentemente das medidas de segurança necessárias, não há nada chamado proteção 100%. Tente não se envolver em transações financeiras e troca de informações confidenciais por Wi-Fi público. Às vezes, simplesmente não vale o risco de comprometer seus dados pessoais e confidenciais, o que pode não apenas ser perigoso, mas também levar a perdas irreversíveis.
  1. Práticas de senha segura
Mantenha sua conta segura e isso não se limita aos serviços bancários e compras on-line. Isso também significa manter suas mídias sociais, email e contas de armazenamento de dados on-line protegidas usando senhas fortes e difíceis de adivinhar. Nunca use palavras do dicionário ou informações conhecidas do público - use senhas aleatórias com combinações de letras maiúsculas, minúsculas, números e símbolos. Use a autenticação de dois fatores sempre que possível, para que, mesmo que sua senha seja comprometida, ninguém possa entrar na sua conta. Além disso, evite usar as mesmas senhas em todos os lugares. Seja extremamente cuidadoso em redes Wi-Fi públicas e nunca use a opção “salvar senha” ou logins automáticos. Certifique-se de que você sempre efetue logout completamente quando terminar de usar um login.
  1. Excluir redes Wi-Fi públicas
Seu dispositivo está configurado por padrão para lembrar as redes Wi-Fi às quais você se conecta. Embora isso seja conveniente, também significa que sua máquina de computação acessará automaticamente a rede Wi-Fi pública se você estiver na área de cobertura e seu Wi-Fi estiver ligado. Por motivos de segurança, sempre remova as redes Wi-Fi públicas quando terminar de usá-las. Lembre-se, os hackers também podem atacar redes e, se o seu dispositivo se conectar a uma rede comprometida, você ficará vulnerável.

Conclusão

A internet é uma parte essencial de nossas vidas diárias agora - se você fala de trabalho, entretenimento ou apenas fica conectado com amigos e familiares. Independentemente do nosso status social ou econômico, passamos muito tempo online. O Wi-Fi agora se tornou um local comum - incluindo edifícios particulares, escolas, shoppings, escritórios, bibliotecas, hospitais, restaurantes e muito mais. A maioria desses locais oferece redes Wi-Fi públicas que são difíceis de resistir, apesar de virem com seu próprio conjunto de ameaças.
É quase impossível ficar completamente longe das redes Wi-Fi públicas, mas você pode tomar algumas precauções essenciais de segurança para se manter seguro online ao conectar-se em tais gateways de Internet abertos. A maioria das vulnerabilidades de segurança resulta da ignorância e a vigilância é sua melhor proteção em tais situações. Não importa quanta proteção você se cubra; o Wi-Fi público sempre carrega um elemento de risco. Use as técnicas mencionadas neste artigo para manter seguro o uso de redes Wi-Fi públicas.

Riscos associados às redes Wi‑Fi públicas: quais são ? Aqui está como se proteger.

17:02 , , , ,

Especialistas em segurança alertaram que os hackers estão usando um novo ransomware Java multi-plataforma, “Tycoon”, para atingir usuários de Windows e Linux para bloquear os arquivos.
Todos sabemos que os hackers estão constantemente procurando novos meios de atacar centros de dados e sistemas de usuários normais para roubar dados e informações essenciais.
Como o Microsoft Windows é o sistema operacional mais usado, é por isso que os hackers o tornam alvo. os hackers estão prestando cada vez mais atenção a outros sistemas operacionais, como macOS e Linux. 
Como os hackers estão apostando maciçamente em malware e ransomware multiplataforma, isso afeta todas as principais plataformas. O principal objetivo dessa vulnerabilidade crítica é infectar as SMBs dos setores de software e educação.

Tycoon Ransomware

Os especialistas em segurança da BlackBerry Research and Intelligence Team em associação com os Serviços de resposta cibernética da KPMG no Reino Unido nomearam esse ransomware como "Tycoon" e está em operação desde o final de 2019.
Aqui, o principal recurso do Tycoon Ransomware está infectando todos os usuários de Windows e Linux da mesma forma, pois é um ransomware escrito em linguagem de programação Java.
Os hackers ocultam o Tycoon dentro de um arquivo ZIP modificado que executa o Trojan quando a vítima o abre. Eles geralmente usam o servidor RDP e as redes vulneráveis ​​para se infiltrar nos sistemas.
Depois que o hacker consegue executar o ransomware no sistema da vítima, ele começa a ganhar persistência no sistema e, para isso, executa uma injeção de IFEO (opções de execução de arquivo de imagem) na função de teclado na tela do Windows.
Também altera a senha do Active Directory, desativa o antivírus e instala a ferramenta de utilitário de hacker como serviço do ProcessHacker.
Depois de concluir todas essas etapas, o ransomware começa a criptografar todos os dados presentes no computador e nas unidades de rede.
Depois que tudo é feito, ele envia automaticamente a chave privada para o hacker de forma segura, destrói a chave privada do sistema da vítima e, finalmente, exibe a mensagem de surpresa para a vítima.
Os arquivos que são criptografados com o Tycoon ransomware terminam com duas extensões, que não foram vistas até agora, ".grinch e .thanos".
Inicialmente, os pesquisadores de segurança da BlackBerry detectaram o ransomware depois que um hacker atacou uma rede de um instituto educacional europeu. Aqui, o invasor acessou a rede por meio de um servidor de salto RDP conectado à Internet e implantou um backdoor persistente.
Aqui, os especialistas em segurança justificaram que o hacker deixou a porta dos servidores vulneráveis ​​e, depois de sete dias, o hacker voltou a entrar na rede do instituto pela porta dos fundos.

Além disso, os pesquisadores de segurança apontam que essa forma de ataque não é comum, pois, além de codificados em Java, os atacantes usam o arquivo de imagem Java (JIMAGE) localizado em lib \ modules no diretório build para ocultar a carga maliciosa .
De acordo com os pesquisadores de segurança, o Tycoon ransomware está sendo implantado em uma campanha ativa de ataque de ransomware, usando os mecanismos de distribuição altamente direcionados para se infiltrar em pequenas e médias empresas (pequenas e médias empresas), instituições de ensino e indústrias de software, pois aqui eles podem ganhar quantias substanciais de dinheiro como resgate.

Proteção e mitigação

Para nos proteger desse tipo de malware e ransomware, sempre devemos ter um backup dos nossos arquivos mais importantes. É imperativo manter nosso sistema operacional e todos os programas instalados atualizados.
Além disso, você deve manter instalado um bom antivírus para Windows ou Linux, qualquer que seja o sistema operacional em uso. Além disso, você também deve ter cuidado ao baixar arquivos da Internet por padrão, pois a maioria deles contém malware.
Aqui estão as extensões e assinaturas de arquivos usadas pelos atacantes mencionados abaixo.
Extensão de arquivos criptografados: -
  • thanos
  • grinch
  • redrum
Assinatura de arquivos criptografados: -
  • happyny3.1
  • redrum3_0
Então, o que você pensa sobre isso? Compartilhe todas as suas opiniões e pensamentos na seção de comentários abaixo.

Tycoon Ransomware - Novos Ransomware atacam usuários de Windows e Linux

00:31 , , ,

Um ataque em larga escala atingiu centenas de milhares de sites que usam o WordPress durante 24 horas, tentando coletar credenciais de banco de dados para roubar arquivos de configuração após explorar vulnerabilidades XSS conhecidas em plugins e temas do sistema de gerenciamento de conteúdo. XSS (ou Cross-site scripting) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web.
Entre os dias 29 e 31 de maio, a Wordfence Firewall bloqueou mais de 130 milhões de ataques destinados a coletar credenciais de banco de dados de 1,3 milhão de sites, baixando seus arquivos de configuração, segundo Ram Gall, engenheiro de QA e analista de ameaças da empresa de segurança cibernética. “O pico deste ataque ocorreu no dia 30. Nesse dia, os ataques representaram 75% de todas as tentativas de exploração de vulnerabilidades de plugins e de temas do WordPress.”
Os invasores estavam tentando baixar o arquivo de configuração wp-config.php do WordPress, que contém credenciais do banco de dados e informações de conexão, além de chaves exclusivas de autenticação. Se conseguissem explorar com êxito quaisquer plugins vulneráveis ​​usados ​​pelos sites, os hackers poderiam facilmente roubar credenciais de seus bancos de dados e invadi-los.
Com base nos 20 mil endereços IP diferentes usados ​​para iniciar os ataques, os pesquisadores de segurança da Wordfence conseguiram vincular essa campanha massiva a outro ataque em larga escala que começou em 28 de abril e ressurgiu no dia 11 de maio para atingir também centenas de milhares de sites WordPress vulneráveis.
Nessa campanha, o ator de ameaças — rastreado pela Wordfence desde fevereiro — estava tentando instalar backdoors (portas dos fundos) ou redirecionar visitantes para sites de malvertising (que usame publicidade online para espalhar malware), explorando vulnerabilidades de scripts entre sites (XSS) em plugins corrigidos meses ou anos atrás e anteriormente alvejados em outros ataques. .
Os atacantes por trás dessas campanhas foram capazes de realizar mais de 20 milhões de ataques contra mais de meio milhão de sites apenas no dia 3 de maio. Para se defender desse tipo de ataque, os proprietários e administradores do site WordPress devem manter todos os seus plugins e temas atualizados para corrigir as vulnerabilidades que esse agente de ameaças está tentando explorar para comprometer seus sites. Também devem excluir ou desativar os que foram removidos do repositório do WordPress, já que não são mais mantidos e podem vir com vulnerabilidades de segurança anteriormente não descobertas que nunca serão corrigidas. Com agências de notícias internacionais.

Hackers tentam roubar logins de 1,3 milhão de sites WordPress

07:30 , , , , , , ,

A exchange de criptomoedas japonesa Coincheck diz que os hackers assumiram o controle de sua conta em um registrador de domínio local e sequestraram um de seus nomes de domínio, que posteriormente foram usados ​​para entrar em contato com alguns de seus clientes.
A Coincheck interrompeu as operações de remessa em sua plataforma na terça-feira enquanto investigava o incidente. Outras operações, como saques ou depósitos, não foram bloqueadas.
De acordo com um relatório de incidente publicado ontem, a empresa disse que o ataque inicial ocorreu no domingo, 31 de maio. Os hackers obtiveram acesso à conta da Coincheck no Oname.com, provedor de registro de domínio da empresa. Oname também confirmou o incidente .
Embora a Coincheck não tenha fornecido detalhes técnicos sobre o ataque, o pesquisador de segurança japonês Masafumi Negishi disse que os hackers modificaram a entrada DNS principal do domínio coincheck.com da Coincheck.
A exchange japonesa usa o serviço DNS gerenciado da Amazon, o que significa que um servidor DNS da Amazon estava lidando com a operação de retornar o endereço IP do servidor no qual os clientes dos usuários (navegador, aplicativos móveis, carteiras) precisavam se conectar ao domínio coincheck.com.

Hackers registraram domínio parecido com o da Coincheck

De acordo com Masafumi , o hacker registrou um domínio parecido no servidor da AWS e substituiu o awsdns-61.org original por awsdns-061.org (observe o 0 extra na frente de 61 ) no back-end do Oname.com. Isso permitiu ao hacker gerenciar consultas DNS para o portal Coincheck.
Os hackers não usaram esse acesso para redirecionar todo o tráfego da Web da exchange para um clone do Coincheck. Tal ataque teria sido detectado imediatamente.Em vez disso, os hackers enviaram e-mails de spear-phishing para certos usuários, personificando o domínio coincheck.com e redirecionando respostas de e-mail para seus próprios servidores.




Coincheck diz que detectou o ataque depois de observar anormalidades no tráfego. Os hackers tiveram acesso ao domínio da empresa até segunda-feira, 1 de junho às 20:52, horário de Tóquio, quando a empresa recuperou o acesso ao seu domínio.Acredita-se que os hackers entraram em contato com os clientes e pediram que eles verificassem as informações da conta, que poderiam ser reutilizadas posteriormente para invadir contas e roubar fundos.
Coincheck disse que cerca de 200 clientes parecem ter se envolvido com os hackers, acreditando que estavam se comunicando com a equipe oficial da Coincheck.A exchange japonesa disse que não tinha evidências para confirmar que os hackers usaram qualquer informação que possam ter aprendido durante as recentes conversas por e-mail para violar contas e roubar fundos.
A plataforma está atualmente classificada em 39ª na lista das principais exchanges do CoinMarketCap. A empresa é famosa por ser hackeada em janeiro de 2018 e perder US$ 500 milhões, o maior roubo de criptomoedas da história .

HACKERS INVADEM UM DOS DOMÍNIOS DA COINCHECK

21:24 , , , , ,



Um chinês  desenvolveu novos recursos para direcionar sistemas com falta de ar, na tentativa de filtrar dados confidenciais para espionagem, de acordo com uma pesquisa publicada recentemente pela Kaspersky.

O APT, conhecido como Cycldek, Goblin Panda ou Conimes, emprega um extenso conjunto de ferramentas para movimentação lateral e roubo de informações nas redes de vítimas, incluindo ferramentas, táticas e procedimentos personalizados não relatados anteriormente em ataques contra agências governamentais no Vietnã, Tailândia e Laos.

"Uma das ferramentas recém-reveladas é denominada USBCulprit e foi encontrada a confiar na mídia USB para filtrar os dados das vítimas", Kasperskydisse. "Isso pode sugerir que a Cycldek esteja tentando alcançar redes com falta de ar nos ambientes das vítimas ou confie na presença física para o mesmo objetivo".

Observada pela primeira vez pelo CrowdStrike em 2013, a Cycldek tem uma longa história de destacar os setores de defesa, energia e governo no sudeste da Ásia, particularmente no Vietnã, usando documentos ilegais que exploram vulnerabilidades conhecidas (por exemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) no Microsoft Office para eliminar um malware chamado NewCore RAT.

Exfiltrando dados para unidades removíveis


A análise da Kaspersky sobre o NewCore revelou duas variantes diferentes (denominadas BlueCore e RedCore) centradas em dois grupos de atividades, com semelhanças no código e na infraestrutura, mas também contêm recursos exclusivos do RedCore - a saber, um keylogger e um RDP logger que capturam detalhes sobre usuários conectados a um sistema via RDP.

"Cada grupo de atividades tinha um foco geográfico diferente", disseram os pesquisadores. "Os operadores do cluster BlueCore investiram a maior parte de seus esforços em metas vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos até o final de 2018".

Os implantes BlueCore e RedCore, por sua vez, baixaram uma variedade de ferramentas adicionais para facilitar o movimento lateral (HDoor) e extrair informações (JsonCookies e ChromePass) de sistemas comprometidos.

O principal deles é um malware chamado USBCulprit, capaz de digitalizar vários caminhos, coletando documentos com extensões específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) e exportá-los para uma unidade USB conectada.

Além disso, o malware é programado para se copiar seletivamente em determinadas unidades removíveis, para que possa se mover lateralmente para outros sistemas com folga de ar sempre que uma unidade USB infectada for inserida em outra máquina.

Uma análise de telemetria da Kaspersky descobriu que a primeira instância do binário remonta a 2014, com as amostras mais recentes registradas no final do ano passado.

O mecanismo inicial de infecção baseia-se no aproveitamento de binários mal-intencionados que imitam componentes antivírus legítimos para carregar o USBCulprit no que é chamado de seqüestro de ordem de pesquisa DLL antes de continuar a coletar as informações relevantes, salvá-las na forma de um arquivo RAR criptografado e extrair os dados para um dispositivo removível conectado.

"As características do malware podem dar origem a várias suposições sobre seus objetivos e casos de uso, um dos quais é alcançar e obter dados de máquinas com folga", disseram os pesquisadores. "Isso explicaria a falta de qualquer comunicação de rede no malware e o uso de apenas mídia removível como meio de transferir dados de entrada e saída".

Por fim, as semelhanças e diferenças entre os dois tipos de malware são indicativas do fato de que os atores por trás dos clusters estão compartilhando código e infraestrutura, enquanto operam como dois ramos diferentes em uma única entidade maior.

"O Cycldek é um exemplo de ator que tem uma capacidade mais ampla do que a percebida publicamente", concluiu Kaspersky. "Embora a maioria das descrições conhecidas de sua atividade dê a impressão de um grupo marginal com recursos inferiores, a variedade de ferramentas e o período de operações mostram que o grupo tem uma posição extensa dentro das redes de alvos de destaque no sudeste asiático".

Nova ferramenta de espionagem USBCulprit rouba dados de computadores

21:04 , , , , , , , ,
Assinar: Postagens (Atom)

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r