A guerra cibernética continua. Grupos de hackers russos fazem vítimas ao redor do mundo; EUA identifica novas violações do TikTok e novos malwares se espalham entre usuários do MacBook e do Linux.
O que você vai ler hoje:
- Novo malware do Mac pode roubar dados do Telegram e de outros aplicativos
- Mais de 300.000 links maliciosos foram bloqueados por agências de segurança internacionais
- FBI e NSA publicam alerta de segurança a usuários do Linux
- Mais polêmicas em torno do TikTok denunciam outras violações de dados dos usuários
- Pesquisadores identificam novo grupo de hackers russos em atividade há 3 anos
Novo malware do Mac pode roubar dados do Telegram e de outros aplicativos
Projetos de Xcode estão sendo explorados para espalhar um malware do Mac especializado em comprometer o Safari e outros navegadores.
Xcode é um ambiente de desenvolvimento integrado (IDE) gratuito usado no macOS para desenvolver softwares e aplicativos relacionados à Apple.
Embora ainda não esteja claro como o XCSSET penetra nos projetos Xcode, presume-se que, uma vez incorporado ao sistema, o malware é executado durante a construção de um projeto.
Isso se torna especialmente preocupante quando vários desenvolvedores afetados pela ameaça têm o hábito de compartilhar seus projetos no GitHub – o que, segundo os pesquisadores, pode resultar em supply chain attacks para usuários que dependem desses repositórios.
Após “pegar uma carona” nesses projetos, e adentrando um sistema vulnerável, o XCSSET se volta aos navegadores, usando potenciais vulnerabilidades para roubar dados do usuário, incluindo conteúdo do Evernote, informações de blocos de notas e dados de comunicação de aplicativos como Skype e Telegram.
Além disso, a equipe responsável pela identificação do malware acredita que o elemento UXSS da cadeia de ataque pode ser usado não só para roubar informações gerais do usuário, mas também como um meio de modificar as sessões do navegador para exibir sites maliciosos, alterar endereços de carteiras de criptomoedas, colher informações de cartão de crédito da Apple Store e roubar credenciais de fontes como Apple ID, Google, Paypal e Yandex.
Mais de 300.000 links maliciosos, anunciando esquemas de criptomoeda, foram bloqueados por agências de segurança internacionais
Mais de 300.000 links maliciosos que anunciam esquemas falsos de enriquecimento rápido, desenhados para enganar usuários e fazer com que entreguem seu dinheiro a criminosos cibernéticos, foram eliminados em uma repressão do National Cyber Security Center (NCSC) do Reino Unido.
Os golpes mostram fraudadores tentando atrair pessoas para fazer falsos investimentos, usando endossos, também falsos, de celebridades, sugerindo que eles ganharam milhões comprando e vendendo bitcoin ou outro tipo de criptomoeda.
Os links para tais golpes são promovidos em artigos de fake news, em páginas projetadas para parecer que estão sendo publicadas em sites legítimos.
Os artigos, que são distribuídos por e-mails de phishing e publicidade digital paga, visam induzir as vítimas a dar seu dinheiro ou dados bancários a criminosos cibernéticos.
Felizmente, muitos dos golpes foram retirados do ar após serem relatados ao Serviço de Denúncias de E-mail Suspeito do NCSC, que já recebeu mais de 1,8 milhão de relatórios de comportamento potencialmente criminoso desde seu lançamento em abril deste ano.
FBI e NSA publicam alerta de segurança a usuários do Linux
O FBI e a NSA publicaram hoje um alerta de segurança conjunto, contendo detalhes sobre um novo tipo de malware do sistema operacional Linux que as duas agências dizem ter sido desenvolvido e implantado em ataques ao redor do mundo por hackers militares da Rússia.
As duas agências afirmam que os hackers usaram o malware chamado Drovorub para plantar backdoors nas redes hackeadas.
O Drovorub, segundo as agências, é um sistema multicomponente, que vem com um implantador, um rootkit de módulo de kernel, uma ferramenta de transferência de arquivos, um módulo de encaminhamento de backdoors e um servidor de comando e controle (C2).
Além disso, ele é projetado para ser furtivo, utilizando tecnologias avançadas de 'rootkit' que dificultam a detecção da ameaça. Esse elemento furtivo permite que os operadores implantem o malware em diversos tipos diferentes de alvos, permitindo que um ataque ocorra a qualquer momento.
Para evitar a ameaça, os agentes de cibersegurança recomendam que as organizações dos atualizem qualquer sistema Linux para a versão 3.7 do kernel, ou posterior, para aproveitar um recurso de segurança que evitaria que os hackers instalassem o rootkit do Drovorub.
O alerta oficial você pode conferir aqui.
Mais polêmicas em torno do TikTok denunciam outras violações de dados dos usuários
O TikTok foi flagrado violando sua própria política de privacidade e as regras de segurança do Google para rastrear usuários do Android secretamente.
Um novo relatório chocante do Wall Street Journal afirma que o aplicativo vinculou novas instalações de seu aplicativo ao endereço MAC imutável dos dispositivos de seus usuários por 15 meses.
Resumindo, isso contorna a política do Google, de permitir que os usuários redefinam os IDs usados para rastreamento de anúncios.
O WSJ diz que o TikTok interrompeu essa prática em novembro – antes que sua atual crise de segurança nos EUA aumentasse e antes de se falar em proibições e vendas. Mas isso não será suficiente para impedir o nocaute que a plataforma deve experimentar no país.
No momento, o TikTok não parece coletar mais dados do que os outros aplicativos de mídia social com os quais compete. Mas, se esse rastreamento tivesse surgido antes, provavelmente teria levado o Google a exigir uma mudança estrutural do app ou suspendê-lo completamente.
O problema sério dessas últimas descobertas é que elas contornam uma das proteções mais importantes da indústria de anúncios, que impede que um dispositivo seja vinculado a um usuário específico.
A indústria defende o fato de que os usuários são anônimos, e tanto a Apple quanto o Google estão aumentando as proteções no iOS e no Android para garantir isso. Mas quando um aplicativo importante quebra essas regras e tenta mascarar a prática, existe uma séria preocupação.
Pesquisadores identificam novo grupo de hackers russos em atividade há 3 anos
Pesquisadores de segurança descobriram um novo grupo de hackers russos que, alegadamente, se concentraram nos últimos três anos em espionagem corporativa, visando empresas em todo o mundo para roubar documentos que contenham segredos comerciais e dados pessoais de funcionários.
Batizado de RedCurl, as atividades desse novo grupo foram detalhadas em um relatório de 57 páginas divulgado pela empresa de segurança cibernética Group-IB.
A empresa tem rastreado o grupo desde o começo de 2019, quando foi chamada pela primeira vez para investigar uma violação de segurança em uma empresa hackeada pelo grupo.
Desde então, o Group-IB disse que identificou 26 outros ataques do RedCurl, realizados contra 14 organizações, que remontam a 2018.
As vítimas variaram entre países e setores da indústria, e incluem empresas de construção, varejistas, agências de viagens, seguradoras, bancos e escritórios de de advocacia e consultoria ao redor do mundo.
Mas, apesar da ação prolongada, o grupo não usou ferramentas complexas ou técnicas inovadores de hacking para seus ataques. Pelo contrário: o grupo dependeu muito do spear-phishing para o acesso inicial aos sistemas hackeados.
"A característica distintiva do RedCurl, no entanto, é que o conteúdo do e-mail é cuidadosamente elaborado", disseram os pesquisadores. "Por exemplo, os e-mails exibiam o endereço e o logotipo da empresa-alvo, enquanto o endereço do remetente apresentava o nome de domínio da empresa.
“Além disso, os invasores se passaram por membros da equipe de RH da organização-alvo e enviaram e-mails para vários funcionários ao mesmo tempo, o que os deixou menos vigilantes, especialmente considerando que muitos deles trabalhavam no mesmo departamento”, acrescentaram.
Os e-mails incluíam links para arquivos com malware que as vítimas tinham que baixar. Depois que as vítimas executaram o conteúdo dos arquivos bloqueados, elas foram infectadas com uma coleção de cavalos de Tróia baseados em PowerShell.
Treinamento dos colaboradores, bem como soluções de cibersegurança de ponta a ponta, são fundamentais para a prevenção da sua empresa.
Consulte a assessoria de especialistas da Compugraf e saiba como se proteger!