Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Análise de APPs relacionados a COVID19 usando Tacyt (II)Andrés Naranjo Amador Aparicio 7 septiembre, 2020 Continuamos com a pesquisa iniciada no post anterior em que analisamos esse tipo de aplicação com nossa ferramenta Tacyt . Em relação ao aplicativo analisado, podemos perceber que uma rápida olhada nas permissões no Tacyt já deixa claro que não se trata de um APP convencional: permissões de chamadas, contas, SMS, eliminação de processos, NFC, gravar áudio e um longo etc. Tudo isso é muito mais típico de um APP malicioso do que de um APP legítimo, qualquer que seja sua funcionalidade. As probabilidades de que seja um cavalo de Tróia em execução em segundo plano para acessar informações confidenciais geradas através do dispositivo móvel são, portanto, altas. As seguintes permissões que o APP precisa para ser executado no terminal se destacam como críticas: android.permission.CALL_PHONE – Permite que um aplicativo inicie uma chamada telefônica sem passar pela IU do discador para o usuário confirmar a chamada.android.permission.INTERNET – Permite que aplicativos abram conexões de rede.android.permission.NFC – Permite que aplicativos executem operações de I / O por meio de NFC.android.permission.READ_CONTACTS – Permite a um aplicativo ler os dados de contato do usuário.android.permission.READ_PHONE_STATE – Permite acesso somente leitura ao status do telefone, incluindo informações atuais da rede celular, status da chamada e uma lista de todas as contas de telefone registradas no dispositivo.android.permission.READ_SMS – Permite a um aplicativo ler mensagens SMS.android.permission.RECEIVE_SMS – Permite que um aplicativo receba mensagens SMS.android.permission.RECORD_AUDIO – Permite a um aplicativo gravar áudio.android.permission.SEND_SMS – Permite que um aplicativo envie mensagens SMS. Após a instalação do APP em um dispositivo Android, observa-se que ele só faz conexões com o endereço IPv4 149.154.167.99 no protocolo HTTPS. Também podemos ver que o endereço IP anterior corresponde a um dos servidores do Telegram encarregados de gerenciar os bots para se comunicarem por este meio. Após descompilar e analisar o código do APP malicioso, vemos que ele usa técnicas de ofuscação para tentar evitar a detecção por mecanismos antimalware existentes ou pelos mecanismos de proteção presentes nos dispositivos móveis atuais. O APP usa SQLite para armazenar localmente as informações confidenciais que obtém do dispositivo da vítima onde está instalado e, presumivelmente, para cada vítima, envia um aviso para um bot do Telegram. Além disso, é muito provável que todas as informações que o APP malicioso coleta de cada uma de suas vítimas, como mensagens de áudio, buscas realizadas com o navegador em busca de parâmetros ou cookies de sessão, informações obtidas através da webcam , etc., é armazenado localmente em um banco de dados SQLite para despejo posterior em um servidor centralizado controlado pelo cibercriminoso. Com essas claras indicações, já é possível verificar que muitos mecanismos antimalware identificam o APP como malicioso , detectando especificamente o famoso Trojan Cerberus, que permite o controle total do sistema. Os atacantes mais uma vez disfarçaram o Trojan com um tema marcante e relevante para o momento, tentando maximizar os downloads. Conclusão Como em tantas outras ocasiões e aproveitando as repercussões e incertezas geradas pela pandemia COVID-19, muitos aplicativos maliciosos estão usando técnicas de engenharia social para controlar dispositivos por meio de cavalos de Tróia tradicionais. Podemos apenas recomendar o download apenas de aplicativos de fontes oficiais para evitar problemas de segurança e privacidade. FaceApp e dados pessoais, já não falamos sobre isso?Nossa história com Govertis
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...
Telefónica Tech Boletim semanal de Cibersegurança 3 – 9 dezembro Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada...
Telefónica Tech Boletim semanal de Cibersegurança 28 outubro – 4 novembro Uso de Raspberry Robin em cadeias complexas de infecção Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software...
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...