Mostrando postagens com marcador Malwares. Mostrar todas as postagens
Mostrando postagens com marcador Malwares. Mostrar todas as postagens
Recentemente, os especialistas em segurança descobriram um novo malware "Lucifer", baseado em DDoS e criptografia auto-propagável, que explora vulnerabilidade crítica para infectar dispositivos Windows. 
Essa vulnerabilidade foi descoberta em 29 de maio de 2020, após investigar a vulnerabilidade, os especialistas a nomearam como Lucifer, e esse malware é capaz de conduzir ataques DDoS , e é muito conhecido por todos os tipos de explorações em diferentes dispositivos vulneráveis ​​do Windows.
Lucifer - Novo malware auto-propagador explora vários bugs crític
De acordo com o relatório da Palo Alto Networks, o principal motivo da vulnerabilidade era infectar o computador, atacando-o com explorações críticas, pois eles pretendem tirar vantagem de um registro "exaustivo" de vulnerabilidades não corrigidas.
Porém, existem correções acessíveis para todos os bugs significativos e de alta gravidade, mas várias empresas foram atingidas pelo malware e nem sequer se candidataram às correções ainda.

Campanha Lucifer: Cryptojacking e DDoS

Inicialmente, o autor desse malware decidiu nomeá-lo como Satan DDoS, embora já exista um malware com nome semelhante a "Satan ransomware". Portanto, o autor, depois de discutir com sua equipe, decidiu manter o nome "Lúcifer". 
Depois de decidir o nome, os especialistas reconheceram duas versões do Lucifer durante a pesquisa. No entanto, no início, eles se concentraram na versão 1 e, em seguida, destacaram as alterações e as corrigiram na versão 2 na próxima parte.
Bem, o malware "Lucifer" compreende um total de três seções, e todas as três seções contêm um binário para uma finalidade especial.
A seção de suporte ao x86 inclui uma versão x86 do XMRig 5.5.0 compactada por UPX, enquanto a seção de recursos x64 inclui uma versão x64 do XMRig 5.5.0 compactada por UPX.
Por último, a seção SMB inclui um binário, que contém muitos grupos de equações, como EternalBlue e EternalRomance, e o implacável backdoor DoublePulsar.

Lúcifer: Versão 2

Bem, se falarmos sobre a versão 2 de "Lucifer", é bastante comparável ao seu precursor. Como suas habilidades e comportamentos gerais são muito semelhantes aos originais, e mais importante, ele separa o XMRig para criptojacking , não apenas isso, mas também gerencia a operação C2 e se desenvolve por exploração e vulnerabilidade de força bruta. 
Ambas as versões compartilham muitas semelhanças, mas a versão 2 tem algumas diferenças surpreendentes, o que faz com que seja melhor que a versão 1.
Os especialistas também opinaram que o malware está crescendo em sofisticação; é por isso que eles alertam os usuários e pedem que sejam cuidadosos.
Além disso, as empresas poderiam se defender com ações simples de segurança, como implementar patches e alterar e colocar algumas senhas fortes.
  • HFS encontrado na resposta HTTP: CVE-2014-6287
  • Jetty encontrado na resposta HTTP: CVE-2018-1000861
  • Servlet encontrado na resposta HTTP: CVE-2017-10271
Nenhuma palavra-chave encontrada na resposta HTTP: -
Todos esses malwares são perigosos e os especialistas recomendam fortemente a todas as organizações que mantenham seu sistema atualizado, removam todas as credenciais fracas e tenham uma camada de proteção para ajudar em situações de emergência.

Lucifer - Novo malware auto-propagador explora vários bugs críticos para infectar dispositivos Windows

20:23 , , , , ,

Pesquisadores de segurança cibernética descobriram dois ataques distintos que poderiam ser explorados contra os modernos processadores Intel para vazar informações confidenciais dos ambientes de execução confiável da CPU (TEE).

Chamada SGAxe , a primeira das falhas é uma evolução do ataque CacheOut anteriormente descoberto (CVE-2020-0549) no início deste ano, que permite que um invasor recupere o conteúdo do cache L1 da CPU.

"Ao usar o ataque prolongado contra os enclaves de arquitetura SGX fornecidos pela Intel e assinados, recuperamos a chave de atestado secreta usada para provar criptograficamente a genuinidade dos enclaves pela rede, permitindo passar enclaves falsos como genuínos", um grupo de acadêmicos de a Universidade de Michigan disse.

A segunda linha de ataque, apelidada de CrossTalk por pesquisadores da VU University Amsterdam, permite que o código controlado pelo invasor seja executado em um núcleo da CPU para atingir os enclaves SGX em execução em um núcleo completamente diferente e determinar as chaves privadas do enclave.

Um TEE, como o Software Guard Extensions ( SGX ) da Intel , refere-se a um enclave seguro, uma área dentro de um processador que garante confidencialidade e integridade de código e dados. Ele oferece salvaguardas contra a modificação de software e dados confidenciais por atores mal-intencionados que podem ter invadido a máquina (virtual) de destino.

Ataque SGAxe: Extraindo dados confidenciais dos enclaves SGX


O SGAxe se baseia no ataque de execução especulativa do CacheOut para roubar dados do SGX. Segundo os pesquisadores, enquanto a Intel tomou medidas para lidar com ataques de canal lateral contra o SGX por meio de várias atualizações de microcódigo e novas arquiteturas, as atenuações se mostraram ineficazes.

Essa exploração, como resultado, resulta em um ataque de execução transitória que pode recuperar chaves criptográficas SGX de uma máquina Intel totalmente atualizada, que é confiável pelo servidor de atestado da Intel.

Atestadoé um mecanismo oferecido como parte do SGX que permite aos enclaves provar a terceiros que foram inicializados corretamente em um processador Intel genuíno. A idéia é garantir que o software executado dentro da CPU não tenha sido violado e ter maior confiança de que o software está sendo executado dentro do enclave.

"Em poucas palavras, usamos o CacheOut para recuperar as chaves de vedação do espaço de endereço do enclave de citações de produção da Intel", afirmaram os pesquisadores. "Finalmente, usamos as chaves de vedação recuperadas para descriptografar o armazenamento de longo prazo do enclave de cotação, obtendo as chaves de atestado EPID das máquinas".
Ao quebrar essa confiança, o SGAxe facilita para um invasor criar um enclave desonesto que passa no mecanismo de atestado da Intel, resultando na perda de garantias de segurança.

"Com as chaves de atestado de produção da máquina comprometidas, qualquer segredo fornecido pelo servidor é imediatamente legível pelo aplicativo host não confiável do cliente, enquanto todas as saídas supostamente produzidas por enclaves em execução no cliente não podem ser confiáveis ​​para correção", disseram os pesquisadores. "Isso efetivamente torna inúteis os aplicativos DRM baseados em SGX, pois qualquer segredo provisionado pode ser recuperado trivialmente".

Embora a Intel tenha emitido correções para o CacheOut em janeiropor meio de uma atualização de microcódigo para fornecedores OEM e subsequentemente por meio de atualizações de BIOS para usuários finais, as atenuações do SGAxe exigirão corrigir a causa raiz do cacheOut (também conhecido como L1D Eviction Sampling ).

"É importante observar que o SGAxe depende do CVE-2020-0549, que foi atenuado em microcódigo (confirmado pelos pesquisadores em seu artigo CacheOut atualizado) e distribuído no ecossistema", afirmou a Intel em um comunicado de segurança .

O fabricante de chips também executará uma recuperação TCB (Trusted Compute Base) para invalidar todas as chaves de atestado assinadas anteriormente.

"Esse processo garantirá que seu sistema esteja em um estado seguro, de modo que ele possa usar novamente o atestado remoto", afirmaram os pesquisadores.

CrossTalk Attack: vazando informações entre os núcleos da CPU


O CrossTalk ( CVE-2020-0543 ), a segunda exploração SGX, é o que a Universidade VU chama de ataque MDS (Microarchitectural Data Sampling). Ele tira proveito de um buffer de "armazenamento temporário" legível em todos os núcleos da CPU para montar ataques de execução transitórios nos núcleos e extrair toda a chave privada ECDSA de um enclave seguro em execução em um núcleo de CPU separado.

"O buffer de armazenamento retém os resultados de instruções offcore executadas anteriormente em todos os núcleos da CPU", observaram os pesquisadores. "Por exemplo, ele contém os números aleatórios retornados pelo DRNG de hardware off-line, hashes de status da guarda de inicialização e outros dados confidenciais."


Em outras palavras, o CrossTalk funciona lendo o buffer temporário durante a execução transitória, a fim de vazar dados confidenciais acessados ​​por instruções da vítima executadas anteriormente.

O fato de o buffer reter a saída das instruções RDRAND e RDSEED permite que uma parte não autorizada rastreie os números aleatórios gerados e, portanto, comprometa as operações criptográficas que sustentam o enclave SGX, incluindo o processo de atestado remoto acima mencionado .

Com os processadores Intel lançados de 2015 a 2019, contando os processadores Xeon E3 e E, suscetíveis aos ataques, os pesquisadores da VU University disseram que compartilhava com a Intel uma prova de conceito demonstrando o vazamento do conteúdo do buffer de teste em setembro de 2018, seguido por um PoC implementando vazamentos RDRAND / RDSEED em julho de 2019.

"As mitigações contra ataques de execução transitórios existentes são amplamente ineficazes", resumiu a equipe. "A maioria das mitigações atuais depende do isolamento espacial de limites que não são mais aplicáveis ​​devido à natureza de núcleo cruzado desses ataques. Novas atualizações de microcódigo que bloqueiam todo o barramento de memória para essas instruções podem atenuar esses ataques - mas somente se houver problemas semelhantes que ainda não foram encontrados. "

Em resposta às descobertas, a Intel abordou a falha em uma atualização de microcódigo distribuída aos fornecedores de software ontem após um período prolongado de divulgação de 21 meses devido à dificuldade em implementar uma correção.

A empresa recomendou que os usuários dos processadores afetados atualizassem para a versão mais recente do firmware fornecida pelos fabricantes do sistema para solucionar o problema.

SGAxe e CrossTalk: chips Intel têm falhas em recurso de segurança

21:02 , , , , , ,

Especialistas em segurança alertaram que os hackers estão usando um novo ransomware Java multi-plataforma, “Tycoon”, para atingir usuários de Windows e Linux para bloquear os arquivos.
Todos sabemos que os hackers estão constantemente procurando novos meios de atacar centros de dados e sistemas de usuários normais para roubar dados e informações essenciais.
Como o Microsoft Windows é o sistema operacional mais usado, é por isso que os hackers o tornam alvo. os hackers estão prestando cada vez mais atenção a outros sistemas operacionais, como macOS e Linux. 
Como os hackers estão apostando maciçamente em malware e ransomware multiplataforma, isso afeta todas as principais plataformas. O principal objetivo dessa vulnerabilidade crítica é infectar as SMBs dos setores de software e educação.

Tycoon Ransomware

Os especialistas em segurança da BlackBerry Research and Intelligence Team em associação com os Serviços de resposta cibernética da KPMG no Reino Unido nomearam esse ransomware como "Tycoon" e está em operação desde o final de 2019.
Aqui, o principal recurso do Tycoon Ransomware está infectando todos os usuários de Windows e Linux da mesma forma, pois é um ransomware escrito em linguagem de programação Java.
Os hackers ocultam o Tycoon dentro de um arquivo ZIP modificado que executa o Trojan quando a vítima o abre. Eles geralmente usam o servidor RDP e as redes vulneráveis ​​para se infiltrar nos sistemas.
Depois que o hacker consegue executar o ransomware no sistema da vítima, ele começa a ganhar persistência no sistema e, para isso, executa uma injeção de IFEO (opções de execução de arquivo de imagem) na função de teclado na tela do Windows.
Também altera a senha do Active Directory, desativa o antivírus e instala a ferramenta de utilitário de hacker como serviço do ProcessHacker.
Depois de concluir todas essas etapas, o ransomware começa a criptografar todos os dados presentes no computador e nas unidades de rede.
Depois que tudo é feito, ele envia automaticamente a chave privada para o hacker de forma segura, destrói a chave privada do sistema da vítima e, finalmente, exibe a mensagem de surpresa para a vítima.
Os arquivos que são criptografados com o Tycoon ransomware terminam com duas extensões, que não foram vistas até agora, ".grinch e .thanos".
Inicialmente, os pesquisadores de segurança da BlackBerry detectaram o ransomware depois que um hacker atacou uma rede de um instituto educacional europeu. Aqui, o invasor acessou a rede por meio de um servidor de salto RDP conectado à Internet e implantou um backdoor persistente.
Aqui, os especialistas em segurança justificaram que o hacker deixou a porta dos servidores vulneráveis ​​e, depois de sete dias, o hacker voltou a entrar na rede do instituto pela porta dos fundos.

Além disso, os pesquisadores de segurança apontam que essa forma de ataque não é comum, pois, além de codificados em Java, os atacantes usam o arquivo de imagem Java (JIMAGE) localizado em lib \ modules no diretório build para ocultar a carga maliciosa .
De acordo com os pesquisadores de segurança, o Tycoon ransomware está sendo implantado em uma campanha ativa de ataque de ransomware, usando os mecanismos de distribuição altamente direcionados para se infiltrar em pequenas e médias empresas (pequenas e médias empresas), instituições de ensino e indústrias de software, pois aqui eles podem ganhar quantias substanciais de dinheiro como resgate.

Proteção e mitigação

Para nos proteger desse tipo de malware e ransomware, sempre devemos ter um backup dos nossos arquivos mais importantes. É imperativo manter nosso sistema operacional e todos os programas instalados atualizados.
Além disso, você deve manter instalado um bom antivírus para Windows ou Linux, qualquer que seja o sistema operacional em uso. Além disso, você também deve ter cuidado ao baixar arquivos da Internet por padrão, pois a maioria deles contém malware.
Aqui estão as extensões e assinaturas de arquivos usadas pelos atacantes mencionados abaixo.
Extensão de arquivos criptografados: -
  • thanos
  • grinch
  • redrum
Assinatura de arquivos criptografados: -
  • happyny3.1
  • redrum3_0
Então, o que você pensa sobre isso? Compartilhe todas as suas opiniões e pensamentos na seção de comentários abaixo.

Tycoon Ransomware - Novos Ransomware atacam usuários de Windows e Linux

00:31 , , ,



Um chinês  desenvolveu novos recursos para direcionar sistemas com falta de ar, na tentativa de filtrar dados confidenciais para espionagem, de acordo com uma pesquisa publicada recentemente pela Kaspersky.

O APT, conhecido como Cycldek, Goblin Panda ou Conimes, emprega um extenso conjunto de ferramentas para movimentação lateral e roubo de informações nas redes de vítimas, incluindo ferramentas, táticas e procedimentos personalizados não relatados anteriormente em ataques contra agências governamentais no Vietnã, Tailândia e Laos.

"Uma das ferramentas recém-reveladas é denominada USBCulprit e foi encontrada a confiar na mídia USB para filtrar os dados das vítimas", Kasperskydisse. "Isso pode sugerir que a Cycldek esteja tentando alcançar redes com falta de ar nos ambientes das vítimas ou confie na presença física para o mesmo objetivo".

Observada pela primeira vez pelo CrowdStrike em 2013, a Cycldek tem uma longa história de destacar os setores de defesa, energia e governo no sudeste da Ásia, particularmente no Vietnã, usando documentos ilegais que exploram vulnerabilidades conhecidas (por exemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) no Microsoft Office para eliminar um malware chamado NewCore RAT.

Exfiltrando dados para unidades removíveis


A análise da Kaspersky sobre o NewCore revelou duas variantes diferentes (denominadas BlueCore e RedCore) centradas em dois grupos de atividades, com semelhanças no código e na infraestrutura, mas também contêm recursos exclusivos do RedCore - a saber, um keylogger e um RDP logger que capturam detalhes sobre usuários conectados a um sistema via RDP.

"Cada grupo de atividades tinha um foco geográfico diferente", disseram os pesquisadores. "Os operadores do cluster BlueCore investiram a maior parte de seus esforços em metas vietnamitas com vários outliers no Laos e na Tailândia, enquanto os operadores do cluster RedCore começaram com foco no Vietnã e foram desviados para o Laos até o final de 2018".

Os implantes BlueCore e RedCore, por sua vez, baixaram uma variedade de ferramentas adicionais para facilitar o movimento lateral (HDoor) e extrair informações (JsonCookies e ChromePass) de sistemas comprometidos.

O principal deles é um malware chamado USBCulprit, capaz de digitalizar vários caminhos, coletando documentos com extensões específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) e exportá-los para uma unidade USB conectada.

Além disso, o malware é programado para se copiar seletivamente em determinadas unidades removíveis, para que possa se mover lateralmente para outros sistemas com folga de ar sempre que uma unidade USB infectada for inserida em outra máquina.

Uma análise de telemetria da Kaspersky descobriu que a primeira instância do binário remonta a 2014, com as amostras mais recentes registradas no final do ano passado.

O mecanismo inicial de infecção baseia-se no aproveitamento de binários mal-intencionados que imitam componentes antivírus legítimos para carregar o USBCulprit no que é chamado de seqüestro de ordem de pesquisa DLL antes de continuar a coletar as informações relevantes, salvá-las na forma de um arquivo RAR criptografado e extrair os dados para um dispositivo removível conectado.

"As características do malware podem dar origem a várias suposições sobre seus objetivos e casos de uso, um dos quais é alcançar e obter dados de máquinas com folga", disseram os pesquisadores. "Isso explicaria a falta de qualquer comunicação de rede no malware e o uso de apenas mídia removível como meio de transferir dados de entrada e saída".

Por fim, as semelhanças e diferenças entre os dois tipos de malware são indicativas do fato de que os atores por trás dos clusters estão compartilhando código e infraestrutura, enquanto operam como dois ramos diferentes em uma única entidade maior.

"O Cycldek é um exemplo de ator que tem uma capacidade mais ampla do que a percebida publicamente", concluiu Kaspersky. "Embora a maioria das descrições conhecidas de sua atividade dê a impressão de um grupo marginal com recursos inferiores, a variedade de ferramentas e o período de operações mostram que o grupo tem uma posição extensa dentro das redes de alvos de destaque no sudeste asiático".

Nova ferramenta de espionagem USBCulprit rouba dados de computadores

21:04 , , , , , , , ,
Assinar: Postagens (Atom)

 
Anonymous News © 2020 - All Rights Reserved Designed by Anonymous NewsLuizCod3r