Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Extensão na Chrome Web Store ativa há um ano rouba dados de cartão de créditoElevenPaths 22 enero, 2019 Detectamos uma extensão para o navegador Google Chrome, ainda ativa, que rouba dados de formulários nas páginas visitadas pelas vítimas. O complemento do navegador, que ainda se encontra disponível na loja de extensões do Chrome, está ativo desde fevereiro do ano passado. Ele, no entanto, não aparece nas buscas da web store e só pode ser acessado através de um link que os atacantes estão distribuindo por meio de injeções de JavaScript em páginas que direcionam o usuário para a extensão. A extensão simula um “leitor Flash” criado pelo suposto desenvolvedor fbsgang.info. Uma vez instalada, injeta uma pequena função em todas as páginas visitadas pelo usuário ao explorar uma funcionalidade da API webRequest.onBeforeRequest que permite criar um “hook” que será chamado imediatamente antes de uma nova solicitação HTTP dentro da página (por exemplo, ao clicar no botão “Enviar” de um formulário). Essa função monitora a inserção de expressões numéricas características de cartões de crédito (ao examinar o código vemos expressões padrão para Visa (vvregex), MasterCard (mcregex), etc.), ao detectar a inserção de um número de cartão válido a extensão codifica os dados em JSON e os envia ao atacante através de uma solicitação AJAX. De maneira prática, ela emprega a função “sendFormData” que contém a URL destino codificada em base64: aHR0cDovL2Zic2dhbmcuaW5mby9jYy9nYXRlLnBocA== que, uma vez decodificada, leva à: hxxp://fbsgang.info/cc/gate.php Assim, se trata de uma extensão simples que aproveita o grande poder de alcance de uma única chamada API. No momento em que a detectamos, a extensão contava com pouco mais de 400 instalações e não se difundiu massivamente, ao menos até agora. O complemento está na loja desde fevereiro de 2018 mas como as atacantes não a configuraram como “pública”, não é possível encontrá-la através de busca. ¿Como ela é distribuída então? Ao invés de captar vítimas através da busca ou então de um envio massivo de e-mails, algo que faria com que o ataque fosse muito mais efetivo, mas também muito mais detectável, os atacantes preferiram outra técnica. Eles infectam páginas web (hospedagens completas com todas as suas subpáginas, como observamos) com um JavaScript que detecta se o navegador é o Google Chrome. Caso positivo, simplesmente redirecionam a vítima para uma página falsa de instalação do Flash, que faz o download da extensão maliciosa. Aqui encontramos um erro dos atacantes, que não finalizaram corretamente a página que indica a necessidade de instalação do Flash (ou a desativaram por alguma razão), a página exibe hoje o índice de arquivos do servidor. Isso não afeta a extensão, só sua técnica de difusão. Se acessamos uma página em cache, podemos ver que sua versão anterior tinha aspecto muito mais real. Se observarmos seu código fonte: E o código JavaScript, após sua decodificação, demonstrado abaixo: Resumindo, apresenta uma solicitação de instalação ao Adobe Flash e redireciona o usuário à loja de extensões do Chrome, diretamente à página da extensão falsa “leitor Flash” que comentamos ao início, completando o ciclo de ataque. Nós alertamos ao Google sobre a extensão para que seja retirada do site o mais rápido possível. Recomendamos que você busque o JavaScript com a estrutura demonstrada acima para garantir que nenhuma página em seu servidor está infectada. Ainda que o ataque pareça contido, a extensão ainda é uma grande ameaça, seu hash é: 4d2efd3eebcae2b26ad3009915c6ef0cf69a0ebf. Utilizamos a ferramenta NETO, desenvolvida pela ElevenPaths para analisar extensões em geral nesse estudo. Aqui você pode acessar o relatório completo da ferramenta. Inovação e Laboratório em ElevenPaths www.elevenpaths.com A frustração de reduzir a superfície de ataque em soluções open sourceCampanha de conscientização de funcionários
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
Roberto Velasco DevSecOps: 7 fatores-chave para implementar segurança em DevOps DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC)....
ElevenPaths Boletim semanal de cibersegurança 5-11 junho Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço,...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Gonzalo Álvarez Marañón Recupere o controle de seus dados pessoais graças à identidade descentralizada no Blockchain Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era...
Sergio de los Santos E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia...