The Consumer Authentication Strength Maturity Model (CASMM) é um modelo visual para ajudar as pessoas a visualizarem seus níveis atuais de maturidade quanto às suas senhas de usuários – além de mostrar como melhorá-las.
Continue lendo
Uma “análise de malware” é um processo para entender como um malware funciona, o que faz e qual seu impacto no ambiente alvo. Pode envolver análise de toda a campanha ou infraestrutura do malware e até mesmo chegar em atribuição.
Continue lendo
Embora 2021 apresente ameaças em evolução e novos desafios, também oferecerá novas ferramentas e tecnologias que, esperamos, mudarão o equilíbrio em direção à defesa.
Continue lendo
Arquivos PDF maliciosos estão sendo enviados como anexo em e-mails de phishing e, ao abrir, malware no Android é executado em segundo plano.
Continue lendo
Vba2Graph é uma ferramenta para análise de malware baseado em macros VBA. Gera gráficos de chamadas a partir do VBA para analisar documentos maliciosos.
Continue lendo
O Droidefense é um framework para análise de malware em Android. Possui recursos que tenta contornar rotinas anti análise para se chegar ao código.
Continue lendo
Uma nova técnica para infectar usuários com malware está sendo utilizada em documentos do Office, sem utilizar scripts de macro. Este ataque se aproveita de vulnerabilidade corrigida em novembro. O payload foi projetado para roubar credenciais de e-mail, FTP e browsers.
Continue lendo
FakeNet é uma ferramenta para análise de malwares que auxilia na análise dinâmica de um software malicioso. Ela simula uma rede onde permite que o malware trabalhe de forma funcional nessas interfaces simuladas, proporcionando um nível de análise detalhado sobre a atividade do malware dentro de um ambiente seguro.
Continue lendo
Pesquisadores encontraram três aplicativos para Android de jogos da Sega que se conectam a servidores inseguros e correm o risco de vazamento de dados do usuário. Outros aplicativos para Android que fazem uso da biblioteca Android/Inmobi.D ou de alguma variante dela também podem estar em risco.
Continue lendo
As campanhas de spam que fornecem o malware Zyklon HTTP estão tentando explorar três vulnerabilidades relativamente novas do Microsoft Office. Os ataques visam empresas de telecomunicações, seguros e serviços financeiros.
Continue lendo
Código do exploit usado em ataque zero-day em roteador Huawei torna-se público e pode ser usado para ataques DDoS através de botnets, incluindo botnets IoT.
Continue lendo
Uma nova variante do Trojan bancário Dridex é parte de um sofisticado ataque de phishing visando usuários do sistema cloud de gestão contábil Xero, além de outros serviços financeiros e contábeis.
Continue lendo
Os cibercriminosos brasileiros estão usando a versão original do ransomware XPan e atacando pequenas e médias empresas com sede no Brasil com o malware. O ataque é muito direcionado contra servidores com conexões RDP (Remote Desktop Protocol) expostas à Internet.
Continue lendo
Em uma nova análise do malware Shamoon2, pesquisadores da Arbor Networks’ Security Engineering and Response Team (ASERT) dizem ter descoberto novas pistas sobre as ferramentas e técnicas usadas na mais recente onda de ataques.
Shamoon2 surgiu em novembro, aproximadamente quatro anos após o Shamoon original ter sido usado em ataques contra a Saudi Aramco, uma empresa nacional de petróleo e gás natural sediada na Arábia Saudita. Assim como o malware Shamoon original, a versão atualizada também destrói o disco rígido do computador, limpando o registro mestre de inicialização e os dados. O Shamoon2 possui, além do segmento petroquímico, foco também no sistema de bancos centrais da Arábia Saudita, segundo relatos.
Contudo, até a semana passada, os pesquisadores ainda estavam buscando respostas básicas para perguntas sobre como o Shamoon2 infecta seus hosts e sua infraestrutura de back-end. Neal Dennis, analista de inteligência de ameaças cibernéticas da Arbor Networks, disse que graças à pesquisa de terceiros, a equipe da ASERT foi capaz de responder a novas perguntas sobre o Shamoon2.
“Esperamos que, através do fornecimento de indicadores adicionais, os investigadores e os defensores da rede serão capazes de descobrir e mitigar ainda mais o Shamoon2”, disse Dennis, também explicando sua pesquisa em uma postagem no blog.
Na semana passada, a IBM X-Force informou como o Shamoon2 estava infectando os hosts. Em seu relatório, a X-Force disse que as macros maliciosas baseadas em documentos foram usadas como meios de infecções iniciais. Os e-mails enviados para destinos incluíram um documento contendo uma macro mal-intencionada que, quando aprovada para execução, permite comunicações de comando e controle para o servidor do invasor por meio de comandos do PowerShell.
Em seguida, os invasores utilizam este acesso para implantar ferramentas adicionais e acessar outros recursos da rede. Os atacantes, então, baixam e implementam o malware Shamoon2 na vítima.
Usando a pesquisa da X-Force como um trampolim, Dennis disse que a ASERT foi capaz de ir mais a fundo e realizar uma análise pela primeira vez da infraestrutura do Shamoon2. Ao analisar três amostras de malware X-Force, Dennis disse que ele era capaz de rastreá-los de volta para domínios maliciosos, endereços IP e outros artefatos de malware Shamoon2 desconhecidos.
ASERT disse que sua análise do Shamoon2 mostra conexões com grupos patrocinados pelo Estado do Oriente Médio, como Magic Hound e PuppyRAT. Isso pode não ser uma grande revelação, considerando que em 2012 o malware Shamoon também estava ligado a grupos do Oriente Médio patrocinados pelo Estado. “Agora podemos começar a ver quem está por trás do Shamoon2 e como funciona sua infraestrutura de backend”, disse Dennis.
Dennis afirmou que os pesquisadores da ASERT conseguiram, concomitantemente à pesquisa da X-Force, fazer uma referência cruzada com o nome do autor do documento malicioso “gerry.knight” e outros endereços IP usados pelo PowerShell do Shamoon2 para os agentes de ameaças Magic Hound e PuppyRAT.
“Neste caso, uma amostra do relatório da IBM indicou que o autor do documento era ‘gerry.knight'”, disse Dennis. Isso levou os pesquisadores da ASERT a três amostras adicionais de documentos usados para distribuir macros maliciosas não relacionadas às campanhas Shamoon2, disse Dennis. Essas amostras corresponderam aos documentos existentes que foram usados nas campanhas do Magic Hound.
Uma pista adicional era um arquivo “sloo.exe”, injetado pelo Shamoon2 na pasta “Temp” do computador alvo. “O arquivo foi criado em C:\Documents and Settings\Admin\Local Settings\Temp\sloo.exe. Além desse arquivo, a amostra também contactou 104.238.184[.]252 para o executável do PowerShell”, escreveu Dennis em uma descrição técnica de sua pesquisa.
Ele disse ainda que a pesquisa separada por Palo Alto Networks atribuiu o arquivo “sloo.exe” e também atividades relacionadas ao Magic Hound.
Outras análises em IPs usadas pelo PowerShell do Shamoon2 também mostraram as campanhas de coleta de credenciais existentes, uma vez usadas no domínio go-microstf[.]com, originalmente configurado para spoofear a página de login do Google Analytics. Esta campanha de spoof, disse Dennis, estava ativa em janeiro, o período de tempo dos últimos ataques do Shamoon2.
“Nós temos realizado muitas pesquisas relacionadas e ligamos muitos pontos pela primeira vez”, disse Dennis. “Com esta pesquisa adicional, esperamos fornecer mais contexto na ameaça em curso do Shamoon2.”
Publicado originalmente no ThreatPost em 24 de fevereiro de 2017.
Este conteúdo foi traduzido com permissão. ThreatPost não é afiliado com este site.
Autor: Tom Spring
Tradução por Tiago Souza
Imagem destacada deste post: William Verrill
Ciberespiões podem usar seu smartphone através de ataques, permitindo ao atacante acessar dados armazenados no telefone e escutar todas as comunicações. Os benefícios de se ter um “implante” no celular de uma vítima são óbvios para ciberespiões: eles podem monitorar tudo que a vítima ouve, vê e diz.
Continue lendo