A complete unknown

A complete unknown

Cibercriminosos transformam Airbnbs em centros de fraude e acabam presos

Oito membros de uma rede internacional de cibercrime foram presos na Bélgica e na Holanda. Eles transformavam propriedades alugadas pelo Airbnb em centros de fraude — basicamente call centers temporários — de onde lançavam campanhas de phishing e roubavam milhões de euros de vítimas.

Acredita-se que o grupo tenha contatado vítimas em toda a Europa por meio de e-mail, SMS ou mensagens no WhatsApp, fingindo ser funcionários de bancos ou integrantes de uma força-tarefa de prevenção a fraudes. Os criminosos afirmavam que as contas das vítimas haviam sido comprometidas, instigando-as a clicar em links que as direcionavam a sites de phishing projetados para se parecer com páginas bancárias legítimas. Assim, cada vítima era levada a inserir suas informações pessoais nessas páginas maliciosas, permitindo que os criminosos assumissem o controle e rapidamente esvaziassem as contas.

A operação, coordenada pela Europol, foi fruto de uma colaboração entre as autoridades belgas e holandesas, resultando no desmantelamento da rede e na apreensão de equipamentos usados nas fraudes. Os suspeitos são acusados de phishing, fraude online, fraude de helpdesk bancário, lavagem de dinheiro e participação em organização criminosa.

Fique atento! Para evitar ser enganado por agentes de phishing e fraudadores de suporte técnico, trate todas as comunicações não solicitadas com cautela. Caso receba uma mensagem suspeita, entre em contato com seu banco pelos números oficiais encontrados no site da instituição, a fim de confirmar quaisquer problemas com suas contas.

Saiba mais ➝


A espionagem cibernética através do Visual Studio Code

Caro leitor, alguma vez você já usou o Visual Studio Code, a ferramenta de edição de código-fonte da Microsoft? Acredito que muitos já utilizaram. Acontece que um grupo de atacantes – relacionados ao governo chinês – é suspeito de espionagem cibernética de grandes provedores B2B de serviços de tecnologia da informação, em uma campanha conhecida como Operação Olho Digital (Operation Digital Eye) e grande parte das  intrusões envolveram um abuso do Visual Studio Code e da infraestrutura do Microsoft Azure para estabelecer comando e controle (C2), evadindo mecanismos de segurança e fazendo com que atividade maliciosa parecesse legítima. Vamos entender como essa situação ocorreu.

Primeiramente, estamos falando da weaponização de uma extensão do Microsoft Visual Studio Code, o Remote Tunnels, que permite com que um usuário se conecte a uma máquina remota – como um PC ou uma máquina virtual – através de um túnel seguro, sem a necessidade de SSH. Uma vez obtido o acesso inicial à máquina da vítima, os atacantes estabeleciam túneis através do Visual Studio Code e podiam iniciar atividades maliciosas, como manipulação de arquivos e execução arbitrária de comandos e, como o tráfego era tunelado para uma infraestrutura da Microsoft Azure, não havia indícios de uma atividade ilegal sendo executada, nem tampouco bloqueio por firewall ou ferramentas de detecção automática.

O acesso inicial muitas vezes ocorria através de uma injeção de SQL em aplicações web e bancos de dados publicados na internet (muitas vezes com o uso de SQLmap). Na sequência, um ataque bem sucedido era acompanhado de uma web shell conhecida como PHPsert, estabelecendo um acesso remoto persistente ao ambiente da vítima. Outros ataques, como “pass the hash”, também eram executados através de ferramentas como Mimikatz.

Ainda não se sabe qual grupo está por trás destes ataques, mas um dado chama a atenção: os operadores destas atividades costumavam ficar ativos no ambiente de suas vítimas em horário comercial da China, especialmente entre 9 da manhã e 9 da noite. Além do mais, o abuso do Visual Studio Code para espionagem cibernética mostra como agentes maliciosos chineses fazem uso de uma ferramenta de desenvolvimento comum para mascarar suas atividades maliciosas, indicando como grupos de APT da China podem ser difíceis de detectar.

Saiba mais ➝


Patches & Updates

  • WhatsApp: Finalmente um problema de privacidade no WhatsApp foi corrigido pela Meta. A funcionalidade “Visualização Única”, existente desde 2021, promete entregar mensagens de visualização única que se deletam após serem abertas. Mas, utilizando a aplicação web do WhatsApp e uma extensão específica de navegador era possível visualizar indefinidamente estas mensagens de “visualização única”, inclusive baixando as eventuais mídias enviadas. Em sua nova atualização, o WhatsApp não permite mais que extensões de navegador obtenham acesso às mensagens enviadas de visualização única, corrigindo o problema.
  • QNAP: A empresa com sede em Taiwan anunciou no fim de semana patches para várias vulnerabilidades QTS e QuTS Hero demonstradas no Pwn2Own Ireland 2024. A mais grave das falhas de segurança é a CVE-2024-50393 (pontuação CVSS de 8.7), um problema de injeção de comando que pode permitir que invasores remotos executem comandos arbitrários em dispositivos vulneráveis.
  • Google: A Google lançou uma nova ferramenta open source: Vanir, que tem o objetivo de ser um validador de patches de segurança para Android. Hoje, o Vanir conta com uma taxa de acerto de 97% e cobre 95% de todas as vulnerabilidades Android, Wear e Pixel que já contenham fixes publicados. A ideia é automatizar o processo de atualização de dispositivos móveis, diminuindo as vulnerabilidades expostas. Um dado curioso é que o Vanir não conta com a validação de metadados, como números de versão, histórico de repositórios ou configurações de build, mas técnicas de refinamento de assinatura com múltiplos algoritmos de análise de padrões, reduzindo drasticamente os alarmes falsos na ferramenta.
  • NTLM 0-day: Dias depois que pesquisadores relataram ter encontrado uma vulnerabilidade de “hash NTLM disclosure” de dia zero em todas as versões do Windows Workstation e Server, do Windows 7 às versões atuais do Windows 11, a Microsoft lançou novas orientações para organizações sobre como mitigar ataques de retransmissão (relay) NTLM por padrão, porém ainda não há patch disponível.


Destaques pelo mundo

  • Deloitte: Um porta-voz da Deloitte disse à SecurityWeek que a companhia está ciente das alegações de um grupo de ransomware sobre o roubo de uma quantidade significativa de informações pertencentes à empresa. “Nossa investigação indica que as alegações estão relacionadas ao sistema de um único cliente que fica fora da rede da Deloitte. Nenhum sistema da Deloitte foi afetado.”
  • Cisco: O Cisco Talos publicou alertas para quatro vulnerabilidades de alto risco e três vulnerabilidades críticas em um roteador industrial da MC Technologies e em uma ferramenta de BGP conhecida como GoCast, respectivamente. As vulnerabilidades, divulgadas aos fabricantes em março e abril, permanecem sem correção oito meses depois. Essas vulnerabilidades podem ser exploradas por atacantes autenticados e não autenticados para executar comandos arbitrários.
  • Ubisoft: A Microsoft suspendeu parcialmente uma restrição de compatibilidade que impedia a atualização para o Windows 24H2 em sistemas com determinados jogos da Ubisoft tais como Star Wars Outlaws e Avatar: Frontiers of Pandora. A medida foi adotada após a desenvolvedora francesa corrigir falhas que causavam travamentos, congelamentos e problemas de áudio nos títulos afetados.
  • Mandiant: Atualmente, navegadores podem contar com uma tecnologia de isolamento de que permite o roteamento de todas as solicitações de navegador local através de navegadores remotos hospedados em um ambiente de nuvem ou máquinas virtuais, resultando na execução de scripts e outros artifícios maliciosos em ambiente controlado ao invés do local. Entretanto, a empresa Mandiant identificou um novo método de bypass dessa tecnologia através do uso de QR Codes. Nesta técnica, um atacante codifica o payload malicioso em QR Codes visíveis em uma página web, haja vista que a renderização de uma página não é removida pelo mecanismo de isolamento, permitindo que um servidor de comando e controle (C2) decodifique este payload. A técnica não é perfeita e possui algumas limitações técnicas, como o tamanho máximo de dados que um QR Code pode carregar e a latência – além de eventuais mecanismos adicionais de segurança, como reputação de domínio – mas, ainda trata-se de uma técnica que pode ser explorada em ambientes reais.


Quer saber mais? Siga-nos nas redes sociais: Linkedin, Instagram e Twitter.

Segurança nunca é demais, ainda mais nos dias de hoje.

Compartilhe o conhecimento, espalhe a segurança!

Conte-nos o que achou nos comentários :)

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari Abib e Murilo Lopes

Diretor de arte: George Lopes

Entre para ver ou adicionar um comentário

Outras pessoas também visualizaram

Conferir tópicos