Boletim semanal de cibersegurança 16–22 Abril

Fodcha: nova botnet DdoS

Pesquisadores da 360netlab e da CNCERT descobriram uma nova botnet focada na realização de ataques de negação de serviço, que estariam se expandindo rapidamente na Internet.

Esta nova botnet tem sido chamada de Fodcha, desde que o primeiro C2 estava no domínio dobrado[.] em, e desde que ele usa o algoritmo ChaCha para criptografar o tráfego de rede.

Sua disseminação é realizada através da exploração de vulnerabilidades n-day em produtos Android, GitLab, Realtek Jungle SDK, Zhone Router ou Totolink Routers entre outros; bem como através do compromisso de senhas fracas da Telnet/SSH graças, em parte, ao uso da ferramenta de ataque de força bruta crazyfia.

O início da atividade de Fodcha remonta a janeiro, com um pico significativo de ataques registrados em 1º de março, mas, mesmo assim, a atividade teria se intensificado a partir do final de março.

Precisamente, por volta de 19 de março houve uma mudança nas versões da botnet, derivada de acordo com os pesquisadores para um fechamento nos servidores antigos pelos provedores de nuvem.

INCONTROLLER/PIPEDREAM novo malware contra ambientes ICS/SCADA

Recentemente, foi descoberto um novo malware direcionado aos sistemas de controle industrial (ICS) e sistemas de monitoramento, controle e aquisição de dados (SCADA), o que poderia levar a interrupções, degradação ou até destruição de sistemas.

Pesquisadores da Mandiant  catalogaram esse malware como INCONTROLLER, enquanto a equipe de Dragos o batizou como PIPEDREAM, também apontando que ele teria sido desenvolvido pelo ator de ameaças CHERNOVITE.

Este malware se destaca por ter um conjunto de ferramentas para atacar os sistemas de suas vítimas, da mesma forma que não explora uma vulnerabilidade específica, mas se aproveita das funcionalidades nativas dos sistemas ics afetados, por isso tanto pesquisadores quanto várias agências de segurança dos EUA (CISA, o FBI e o CSA) publicaram uma série de medidas para detecção e proteção. Deve-se notar, embora nas investigações tenha sido detectado que o malware poderia atingir diferentes fabricantes, ele tem módulos desenvolvidos especificamente para os controladores logísticos programáveis (PLC) Schneider Electric e Omron.

HOMAGE: vulnerabilidade zero-click no iOS utilizado em campanha de espionagem

A equipe do The Citizen Lab publicou uma investigação onde detalha uma campanha de espionagem realizada entre 2017 e 2020 que eles chamaram de Catalangate, e que envolveu a exploração de várias vulnerabilidades no iOS.

O mais relevante é o uso de uma nova exploração para uma vulnerabilidade de zero-click no iOS usada para infectar dispositivos com spyware pertencentes ao NSO Group. Essa vulnerabilidade foi nomeada como HOMAGE, afetou um componente do iMessage e afetou versões do iOS antes do 13.1.3, tendo já sido corrigido no iOS 13.2 (deve-se notar que a versão estável mais recente do iOS é 15.4).

Da mesma forma, os pesquisadores também teriam detectado o uso de outras vulnerabilidades: outro zero-click descoberto em 2020 e chamado KISMET que afetou as versões iOS 13.5.1 e iOS 13.7, bem como outra no WhatsApp já corrigida CVE-2019-3568. Como resultado desta investigação, foi detectado que pelo menos 65 pessoas que teriam sido infectadas com Pegasus e spyware Candiru.

Vulnerabilidades no formato de codificação de áudio ALAC

Pesquisadores da Check Point anunciaram a existência de várias vulnerabilidades no Apple Lossless Audio Codec (ALAC), também conhecido como Apple Lossless, um formato de codificação de áudio.

Explorar a falha descoberta pode permitir que um invasor execute código remotamente em um dispositivo vulnerável se conseguir enganar o usuário para abrir um arquivo de áudio manipulado; um ataque que eles chamaram de ALHACK.

A ALAC foi inicialmente desenvolvida pela Apple, e no final de 2011 a empresa a tornou de código aberto, tendo sido incorporada desde então em muitos dispositivos e programas. Desde o seu lançamento, a Apple atualizou a versão proprietária várias vezes, mas o codeshare não foi corrigido desde então.

Portanto, é aceitável que todos os provedores externos que usam o código inicial fornecido pela Apple em 2011 tenham uma versão vulnerável.

Segundo os pesquisadores, foi exatamente isso que aconteceu no caso da Qualcomm e da MediaTek, empresas que teriam incorporado o código vulnerável aos decodificados de áudio usados por mais da metade dos smartphones atuais. A divulgação das falhas tem sido feita de forma responsável, por isso, antes de tornar pública sua descoberta, a Check Point alertou a MediaTek e a Qualcomm, ambas as empresas corrigindo as vulnerabilidades em dezembro de 2021: CVE-2021-0674 e CVE-2021-0675 no caso da Mediatek e CVE-2021-30351 no caso da Qualcomm. Os detalhes técnicos da vulnerabilidade serão divulgados em maio próximo no congresso cansecwest