0
0
Bem-vindo ao resumo semanal do Dark Reading das histórias imperdíveis da semana, apresentando os detalhes sobre a violação da Neopets e o que isso significa para empresas voltadas para o consumidor de todos os tipos; Google Drive e o problema com o uso malicioso de aplicativos em nuvem; uma série de divulgações sobre campanhas patrocinadas pelo Estado; e um problema de publicidade maliciosa relacionada ao Google Ads.
Os editores da Dark Reading reuniram todas as informações interessantes sobre ameaças e histórias de incidentes cibernéticos que simplesmente não chegamos antes, mas que nos sentiríamos errados por não cobrir. No resumo “caso você tenha perdido” (ICYMI) desta semana, continue lendo para saber mais sobre o seguinte:
- Segurança relaxada da Neopets & Gaming
- Hackers da SolarWinds adotam o Google Drive em ataques à embaixada
- Ataques do Estado-Nação aumentam no APT-a-Palooza
- Abusos do Google Ads como parte de golpes de suporte técnico
Segurança relaxada da Neopets & Gaming
Neopets esta semana se tornou a terceira plataforma de jogos no espaço de uma semana a ser atingida por um ataque cibernético (depois de Bandai Namco e Roblox ), destacando o interesse que os invasores têm em atingir empresas de “atividade de lazer” durante os meses de verão. Segundo relatos, o fornecedor de animais de estimação virtuais foi roubado por seu código-fonte, bem como pelas informações pessoais pertencentes a seus 69 milhões de usuários.
Um hacker que atende pelo apelido de “TarTarX” está colocando as mercadorias ilícitas à venda por 4 bitcoins, o que significa cerca de US$ 92.000 usando a taxa de câmbio de sexta-feira. As PII roubadas parecem incluir dados como nomes de usuário, nomes, endereços de e-mail, CEPs, datas de nascimento, sexo, país e informações relacionadas ao jogo dos membros.
Não está claro como o TarTarX obteve acesso ao site, mas Javvad Malik, defensor da conscientização de segurança da KnowBe4, observa que o ataque deve ser um alerta para todas as empresas focadas no consumidor para proteger melhor seus dados.
“Já vimos fabricantes de brinquedos e desenvolvedores de jogos serem atingidos no passado devido à grande quantidade de dados pessoais que coletam”, diz ele. “Tais organizações devem estar atentas às informações que coletam e ao propósito delas. Manter dados excessivos significa maior responsabilidade caso ocorra uma violação.”
Todos os usuários afetados pela violação devem garantir que a senha usada para o Neopets não seja usada em outro lugar, devido ao potencial de ataques de preenchimento de credenciais , acrescenta ele.
Hackers da SolarWinds adotam o Google Drive em ataques à embaixada
Os hackers por trás do amplo ataque à cadeia de suprimentos da SolarWinds estão de volta, desta vez abusando do Google Drive para contrabandear malware nas máquinas dos alvos.
A ameaça persistente avançada (APT), rastreada como APT29, Cloaked Ursa, Cozy Bear ou Nobellium, lançou duas ondas de ataques por e-mail entre maio e junho. De acordo com uma análise da Unidade 42 da Palo Alto Networks, os ataques atingiram uma embaixada estrangeira em Portugal e outra no Brasil. O grupo usou uma suposta agenda para uma próxima reunião com um embaixador como isca.
“Em ambos os casos, os documentos de phishing continham um link [do Google Drive] para um arquivo HTML malicioso (EnvyScout) que servia como um dropper para arquivos maliciosos adicionais na rede de destino, incluindo uma carga útil do Cobalt Strike”, de acordo com o post da Unidade 42 . semana .
O APT29 é considerado pelo governo dos EUA como afiliado ao Serviço de Inteligência Estrangeira da Rússia (SVR) e é amplamente considerado responsável não apenas pela SolarWinds, mas também pelo hack do Comitê Nacional Democrata dos Estados Unidos (DNC) em 2016.
O uso de serviços de nuvem legítimos para fornecer cargas maliciosas está aumentando à medida que os cibercriminosos procuram tirar proveito da confiança arraigada que milhões de usuários corporativos (e gateways de e-mail) têm neles. Lior Yaari, CEO e cofundador da Grip Security, observou que isso aponta para a necessidade de melhorar o conteúdo proveniente do aplicativo de software como serviço (SaaS).
“A recente atividade maliciosa descoberta usando o Google Drive é emblemática do desafio de segurança SaaS – acessibilidade universal e facilidade de implantação”, disse ele em comunicado ao Dark Reading. “Antes do Google Drive, havia o Dropbox e antes do Dropbox, o APT29 estava atingindo a Microsoft . 365 . O desafio de segurança do SaaS para campanhas como essas apenas ilustra a tendência de explorar os pontos fortes do SaaS para fins nefastos. E o problema só piora com mais SaaS fora da vista de muitas equipes de segurança.”
Ataques do Estado-Nação aumentam no APT-a-Palooza
Falando em APTs, várias campanhas apoiadas por estados-nação vieram à tona esta semana. Por exemplo, o Citizen Lab disse que confirmou forense que pelo menos 30 indivíduos foram infectados com o spyware móvel Pegasus do NSO Group após uma extensa campanha de espionagem que ocorreu no final do ano passado. O esforço visava manifestantes e ativistas pró-democracia tailandeses que pediam reformas na monarquia.
O Grupo de Análise de Ameaças do Google, por sua vez, sinalizou uma estranha operação de falsa bandeira na Ucrânia. O grupo de hackers ligado à Rússia Turla (também conhecido como Snake, Uroburos e Venomous Bear) criou um aplicativo Android malicioso que se disfarça como uma ferramenta para hackers ucranianos que desejam realizar ataques distribuídos de negação de serviço (DDoS) contra sites russos. Turla apelidou o aplicativo de CyberAzov, em referência ao Regimento ou Batalhão Azov, um grupo de extrema-direita que se tornou parte da guarda nacional da Ucrânia.
O CyberAzov está “hospedado em um domínio controlado pelo ator e divulgado por meio de links em serviços de mensagens de terceiros”, segundo o Google TAG . Enquanto o aplicativo é distribuído sob o pretexto de realizar ataques DDoS, “o ‘DoS’ consiste apenas em uma única solicitação GET para o site de destino, não o suficiente para ser eficaz”.
Na realidade, o aplicativo é “projetado para mapear e descobrir quem gostaria de usar tal aplicativo para atacar sites russos”, de acordo com um comentário adicional de Bruce Schneier.
Enquanto isso, a Cisco Talos observou uma campanha incomum direcionada a entidades ucranianas, que provavelmente pode ser atribuída à Rússia. Esse ataque se destacou em meio à enxurrada de ataques cibernéticos que foram montados contra a Ucrânia, disseram os pesquisadores, porque o ataque teve como alvo uma grande empresa de desenvolvimento de software cujos produtos são usados em várias organizações estatais na Ucrânia.
“Como esta empresa está envolvida no desenvolvimento de software, não podemos ignorar a possibilidade de que a intenção do autor da ameaça era obter acesso a um ataque no estilo da cadeia de suprimentos”, disseram os pesquisadores em uma publicação nesta semana, acrescentando que o acesso persistente também pode foram aproveitados de outras maneiras, incluindo obter acesso mais profundo à rede da empresa ou lançar ataques adicionais, como ransomware.
Também notável é o fato de que o esforço girou em torno de “um malware bastante incomum” chamado GoMet; O GoMet é um backdoor de código aberto que foi visto pela primeira vez em março.
E, finalmente, o governo da Bélgica divulgou uma declaração divulgando uma série de ataques contra seu setor de defesa e organizações de segurança pública provenientes de três grupos de ameaças ligados à China: APT27, APT30 e APT31 (também conhecido como Gallium ou UNSC 2814).
As “atividades cibernéticas maliciosas … afetaram significativamente nossa soberania, democracia, segurança e sociedade em geral, visando o FPS Interior e a Defesa belga”, segundo o comunicado .
Abusos do Google Ads como parte de golpes de suporte técnico
As pessoas que pesquisam no Google por Amazon, Facebook, YouTube ou Walmart podem ser sequestradas pelo navegador, alertaram pesquisadores nesta semana.
Uma campanha de malvertising está abusando da rede de anúncios do Google para redirecionar os visitantes para uma infraestrutura de golpes de suporte técnico, de acordo com a Malwarebytes.
“Os agentes de ameaças estão comprando espaço publicitário para palavras-chave populares e seus erros de digitação associados”, explicaram os pesquisadores em uma postagem . “Um comportamento humano comum é abrir um navegador e fazer uma pesquisa rápida para chegar ao site desejado sem inserir o URL completo. Normalmente, um usuário clica (cegamente) no primeiro link retornado (seja um anúncio ou um resultado da pesquisa orgânica).”
Nos resultados de pesquisa do Google, esses primeiros links retornados podem ser anúncios que redirecionam os usuários para avisos falsos, pedindo-lhes que liguem para agentes desonestos da Microsoft para obter suporte, explicaram os pesquisadores.
“As vítimas estavam simplesmente tentando visitar esses sites e confiaram na Pesquisa do Google para levá-los até lá. Em vez disso, eles acabaram com um seqüestro de navegador irritante tentando enganá-los”, lamentaram os pesquisadores.
A abordagem poderia ser usada com a mesma facilidade para redirecionar para sites maliciosos que fornecem malware ou páginas de phishing, observaram os pesquisadores. Os usuários – especialmente os usuários corporativos – devem sempre ter o cuidado de serem céticos quando ocorrerem redirecionamentos inesperados do navegador.
FONTE: DARK READING