Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Como se está ocultando o Emotet e malwares de macro nos últimos temposElevenPaths 7 noviembre, 2019 Nesse blog vamos revisar de forma rápida algumas formas simples para reconhecer visualmente nas linhas de código as últimas ameaças de malware de marco. Apresentaremos três exemplo comuns hoje em dia, mas podem existir muitos mais. Você poderá ver uma imagem clara do que o usuário verá e como será incitado a executar as macros maliciosas e finalizaremos com uma breve revisão da estrutura de código de cada amostra com sua característica principal. O malware de macro é uma ameaça muito ativa nos últimos tempos que está passando por uma dourada desde 2014, depois de muitos anos de silencia (praticamente desde o início dos anos 2000). Ultimamente, o Office por si só, seja através de vulnerabilidades ou de macros maliciosas, está se convertendo em uma ameaça crítica. No gráfico abaixo, podemos observar que que os ataques e falhas que usam a plataforma Office cresceram até 70% do total em 2018. A seguir, vamos analisar três exemplos de malware de macro típicos. Cases para nada O has analizado nesse exemplo é o seguinte: 0af2ecaab930bdcb2daff398115a17750c96b5d34cb69df0b9884d5363043ebf Quando se abre o arquivo malicioso, o documento mostra uma imagem similar a esta, esperando que o próprio usuário habilite as macros. O arquivo contém até 12 macros, de diferentes tamanhos: As macros mais pesadas se caracterizam pela grande quantidade de código comentado. Nessa amostra em particular, foram usadas muitas instruções “case” que nãos ervem para nada além de ofuscar o código e tentar enganar os antivírus. Comentários sem sentido A amostra analisada é: f86caacee45fe5c5d010cd4ce227e9218612a27db4a5126e2ed0d5ae125fc4a4 Quando o usuário abre o documento, é mostrada a tela abaixo, esperando que ele próprio haja para garantir a infecção. Os arquivos maliciosos estão hospedados em sites comprometidos (normalmente em WordPress) onde também estão armazenados outros documentos perigosos e payloads que podem ser descarregados nos dispositivos dos usuários. No exemplo, encontramos quatro macros, duas mais volumosas e outras duas menores. A macro de 680 bytes nesse exemplo usa em seu código elementos visuais orientados a eventos (por exemplo campos de texto que chamam funções). Os elementos visuais não são mostrados e servem, novamente, somente para despistar os antivírus. Esse último recurso abaixo é bastante comum nas últimas ameaças Emotet. As macros contêm uma infinidade de comentários, palavras aleatórias reais misturadas com funções matemáticas também com a função de evitar a detecção. O objetivo: iniciar uma nova instância do navegador para fazer o download de mais arquivos maliciosos. Emotet clássico, MACs e e-mails criados Há vários tipos de malware na família Emotet, mas o exemplo em azul acima é um dos mais habituais. A amostra analisada é: 99cbb727d4e6ae593f1106b4d8bdb5e312001619 Novamente, as amostras incluem cerca de cinco macros. Aqui podemos ver que o código está cheio de comentários, são valores como endereços de e-mail aparentemente válidos, endereços MAC e valores de hash. Todos os valores nessas linhas não têm função aparente, além de despistar os antivírus. Conclusões e recomendações Ainda que não tenhamos realizado uma análise muito exaustiva de cada amostra, pudemos ver os exemplos mais representativos do malware de macro. É possível encontrar outras aparências visuais e formatos mas temos que notar que, sempre que o documento incite o usuário a habilitar macros explicitamente, é bem possível que ele seja um malware. O que acontece quando esses documentos são executados? Depende, mas a carga maliciosa pode incluir desde ransomware até instruções para movimentação lateral de exploração na rede. Resumidamente, podemos concluir que: As ameaças malware de macro continuam sendo usadas e os motores de antivírus tem muitos problemas na detecção estática graças aos truques utilizados nos códigos e que vimos anteriormenteNão conhecer o inimigo torna mais difícil o combate. É importante conhecer os exemplos de macros maliciosas, como as capturas de tela apresentadas aqui, isso permitirá que o usuário não habilite as macros Na dúvida, e se o documento contiver informação confidencial, você pode usar a nossa ferramenta Diario. Verificação em duas etapas no WhatsApp, segurança adicional ou enganação?Os programadores saudáveis comem cereais criptográficos todas as manhãs
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...