CenárioMT

Tag: Cibersegurança

  • Meta: O uso não autorizado de dados para treinamento de IA

    Meta: O uso não autorizado de dados para treinamento de IA

    A gigante tecnológica Meta revelou que utilizou todas as postagens públicas de texto e fotos feitas por usuários adultos do Facebook e Instagram desde 2007 para treinar seus modelos de inteligência artificial. A informação foi confirmada pela diretora global de privacidade da empresa, Melinda Claybaugh, durante uma investigação do governo australiano sobre a adoção de IA.

    Durante o inquérito, o senador David Shoebridge do Partido Verde questionou Claybaugh sobre o uso de dados dos usuários desde 2007 para treinamento de IA. A diretora inicialmente negou, mas posteriormente admitiu que a empresa havia coletado todas as postagens públicas a menos que os usuários tivessem explicitamente definido suas contas como privadas.

    A Meta reconhece em seu centro de privacidade e em postagens em seu blog que utiliza postagens e comentários públicos do Facebook e Instagram para treinar modelos de IA generativa. No entanto, a empresa tem sido vaga sobre como os dados são utilizados, quando começou a coletar informações e até que ponto a coleta retrocede.

    A diretora de privacidade também confirmou que a Meta não coleta dados de usuários menores de 18 anos. Entretanto, quando questionada sobre se a empresa coletaria fotos públicas de seus filhos em sua própria conta, Claybaugh respondeu afirmativamente, sem esclarecer se a coleta também se estendia a contas adultas criadas quando o usuário ainda era menor.

    Enquanto usuários europeus têm a opção de desativar a coleta de dados devido a regulamentações de privacidade locais, e a Meta foi recentemente proibida de usar dados pessoais brasileiros para treinamento de IA, bilhões de usuários do Facebook e Instagram em outras regiões não possuem essa opção. Claybaugh afirmou que a Meta não pode dizer se usuários australianos ou de outras regiões terão a opção de desativar a coleta de dados no futuro, alegando incerteza quanto ao cenário regulatório.

    O senador Shoebridge criticou a falta de ação do governo australiano em relação à privacidade, afirmando que empresas como a Meta continuam a monetizar e explorar fotos e vídeos de crianças no Facebook.

  • Microsoft corrige falhas críticas e adverte sobre exploração ativa

    Microsoft corrige falhas críticas e adverte sobre exploração ativa

    Em um novo alerta de segurança, a Microsoft confirmou que três vulnerabilidades no sistema operacional Windows estão sendo ativamente exploradas por cibercriminosos. A revelação foi feita durante a atualização mensal de segurança da empresa, o Patch Tuesday de setembro de 2024.

    Ao todo, foram corrigidas 79 vulnerabilidades, sendo sete classificadas como críticas, 71 como importantes e uma como moderada. Além disso, o navegador Edge, baseado em Chromium, também recebeu 26 correções.

    As três principais vulnerabilidades exploradas são:

    1. CVE-2024-38014: Uma falha no instalador do Windows que permite a elevação de privilégios, abrindo portas para ataques mais complexos.
    2. CVE-2024-38217 e CVE-2024-38226: Ambas relacionadas a bypass de segurança em documentos do Microsoft Office, permitindo a execução de código malicioso. A primeira, inclusive, é conhecida desde 2018.
    3. CVE-2024-43491: Uma falha crítica no Windows Update que permite a execução de código remoto, concedendo aos atacantes controle total sobre sistemas vulneráveis.

    A Microsoft alerta que a exploração dessas vulnerabilidades pode levar à perda de dados, controle de sistemas e até mesmo à interrupção de serviços críticos.

    É fundamental que os usuários e administradores de sistemas apliquem as atualizações de segurança o mais rápido possível. A empresa também recomenda precauções adicionais, como evitar abrir arquivos de fontes desconhecidas e manter softwares e sistemas operacionais sempre atualizados.

    A falha CVE-2024-43491 merece atenção especial. Devido a um problema na pilha de serviços, algumas correções anteriores foram revertidas, deixando sistemas mais antigos vulneráveis a ataques. A Microsoft já disponibilizou atualizações para corrigir essa falha específica.

    Em resumo, a última atualização de segurança da Microsoft é crucial para proteger sistemas Windows contra ataques cibernéticos. Ao aplicar as correções, os usuários e empresas minimizam o risco de serem vítimas de incidentes de segurança.

    Recomenda-se que os usuários busquem mais informações sobre as vulnerabilidades e as atualizações de segurança no site oficial da Microsoft.

  • O Telegram está sendo inundado por redes criminosas

    O Telegram está sendo inundado por redes criminosas

    Recentemente o Telegram perdeu a vista grossa que recebia globalmente, visto que traficantes de drogas, golpistas e conteúdo tóxico estão prosperando na plataforma.

    A internet há muito tempo tem sido um terreno fértil para conteúdo ilegal e prejudicial, mas o Telegram emergiu como um hotspot particularmente preocupante. Com suas políticas laxas de moderação de conteúdo e resistência à cooperação com a lei, o Telegram se tornou um refúgio para redes criminosas, grupos extremistas e aqueles que espalham desinformação.

    A recente prisão do fundador do Telegram, Pavel Durov, na França, sob acusações de cumplicidade em crimes cometidos na plataforma, trouxe nova atenção a esses problemas. Durov, um empresário nascido na Rússia, enfrentou críticas por seu papel na plataforma em facilitar atividades ilegais, como tráfico de drogas, distribuição de material de abuso sexual infantil e fraude.

    Uma investigação do New York Times revelou a extensão da infiltração do Telegram por elementos criminosos e extremistas. Os recursos exclusivos da plataforma, como canais e supergrupos, tornaram-se atraentes tanto para usuários legítimos quanto para aqueles com intenções maliciosas.

    A investigação descobriu milhares de canais operados por supremacistas brancos, traficantes de drogas, traficantes de armas e grupos terroristas. Esses canais têm milhões de seguidores em todo o mundo e promovem conteúdo prejudicial, incluindo discurso de ódio, ameaças de violência e instruções para atividades ilegais.

    O compromisso do Telegram com a privacidade e a liberdade de expressão levou a uma abordagem “mãos à obra” para a moderação de conteúdo, permitindo que o conteúdo prejudicial se proliferasse. A pequena equipe de moderação da empresa luta para acompanhar a vasta quantidade de conteúdo compartilhado na plataforma.

    Embora o Telegram tenha enfrentado críticas de agências de aplicação da lei e organizações de direitos humanos, resistiu a pedidos de moderação de conteúdo mais rigorosa. A empresa argumentou que tais medidas prejudicariam a privacidade do usuário e a liberdade de expressão.

    No entanto, a prisão de Durov e a crescente preocupação pública com o papel do Telegram em facilitar atividades criminosas podem forçar a empresa a reconsiderar sua abordagem. A União Europeia está explorando novas medidas de supervisão no âmbito da Lei de Serviços Digitais, que podem obrigar o Telegram a tomar medidas mais agressivas para combater o conteúdo prejudicial.

    O futuro do Telegram permanece incerto. Embora a empresa enfrente pressão crescente para abordar os problemas sérios em sua plataforma, ainda está por ver se será capaz de encontrar um equilíbrio entre a privacidade do usuário e a segurança.

  • Novo Malware de Android rouba chaves privadas de capturas de tela e imagens

    Novo Malware de Android rouba chaves privadas de capturas de tela e imagens

    Hackers norte-coreanos estão intensificando seus ataques contra a indústria de criptomoedas, utilizando métodos sofisticados para enganar suas vítimas. De acordo com um alerta recente do FBI, um novo malware de Android, chamado SpyAgent, é capaz de roubar chaves privadas armazenadas em capturas de tela e imagens nos dispositivos afetados.

    Descoberto pela empresa de segurança cibernética McAfee, o SpyAgent funciona utilizando uma técnica conhecida como reconhecimento óptico de caracteres (OCR). Essa tecnologia permite que o malware extraia texto de imagens armazenadas no smartphone, incluindo as chaves privadas que podem ser encontradas em capturas de tela de carteiras digitais.

    O malware é distribuído por meio de links maliciosos enviados em mensagens de texto. Ao clicar no link, o usuário é redirecionado para um site aparentemente legítimo e incentivado a baixar um aplicativo que se apresenta como confiável. No entanto, esse aplicativo é na verdade o SpyAgent, e sua instalação compromete a segurança do dispositivo.

    Esses programas fraudulentos são disfarçados como aplicativos bancários, governamentais ou de streaming. Após a instalação, os usuários são solicitados a conceder ao aplicativo permissões para acessar contatos, mensagens e armazenamento local.

    Até o momento, o SpyAgent tem sido principalmente direcionado a usuários sul-coreanos e foi detectado em mais de 280 aplicativos fraudulentos pelos especialistas da McAfee.

    Ataques de malware em ascensão

    Novo Malware de Android rouba chaves privadas de capturas de tela e imagens
    Surfshark

    Em agosto, um malware semelhante chamado “Cthulhu Stealer” foi identificado afetando sistemas MacOS. Assim como o SpyAgent, o Cthulhu Stealer se disfarça como um aplicativo legítimo e rouba informações pessoais do usuário, incluindo senhas da MetaMask, endereços IP e chaves privadas de carteiras frias.

    No mesmo mês, a Microsoft descobriu uma vulnerabilidade no navegador web Google Chrome, que foi provavelmente explorada pelo grupo de hackers norte-coreano conhecido como Citrine Sleet. Esse grupo criou falsas exchanges de criptomoedas e usou esses sites para enviar aplicações de emprego fraudulentas para usuários desavisados. Qualquer usuário que seguisse o processo acabava instalando um malware controlado remotamente em seu sistema, o que levava ao roubo de suas chaves privadas.

    Desde então, a vulnerabilidade do Chrome foi corrigida. No entanto, a frequência dos ataques de malware levou o FBI a emitir um alerta sobre o grupo de hackers norte-coreano.

  • Android: Correção de vulnerabilidade grave no Kernel 

    Android: Correção de vulnerabilidade grave no Kernel 

    A Google corrigiu uma vulnerabilidade crítica no kernel do sistema operacional Android que, segundo a empresa, já estava sendo explorada por cibercriminosos. A falha, identificada como CVE-2024-36971, permite a execução remota de código e foi classificada como de alta severidade.

    De acordo com o boletim de segurança mensal da Google para agosto de 2024, há indícios de que a vulnerabilidade está sendo usada em ataques direcionados e limitados. A empresa não divulgou detalhes sobre a natureza dos ataques ou o grupo responsável, mas Clement Lecigne, da equipe de análise de ameaças da Google (TAG), foi creditado pela descoberta da falha. Isso sugere que a exploração provavelmente está sendo feita por empresas de spyware comercial para invadir dispositivos Android em ataques altamente específicos.

    Além dessa grave falha no kernel, a atualização de agosto também corrigiu outras 46 vulnerabilidades, incluindo problemas em componentes de empresas como Arm, Imagination Technologies, MediaTek e Qualcomm. Entre as falhas corrigidas, há 12 que permitem escalada de privilégios, uma de divulgação de informações e outra que pode causar negação de serviço (DoS) no Android Framework.

    Essa não é a primeira vez este ano que a Google revela falhas no Android sendo exploradas em ataques. Em junho, a empresa divulgou que uma vulnerabilidade de elevação de privilégios no firmware do Pixel (CVE-2024-32896) também havia sido utilizada em ataques direcionados. Posteriormente, a Google confirmou que o problema afetava não apenas os dispositivos Pixel, mas toda a plataforma Android, e está trabalhando com fabricantes de celulares para aplicar as correções necessárias.

    A corrida para corrigir vulnerabilidades críticas ganha ainda mais urgência com a inclusão, pela Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA), da falha CVE-2018-0824 no catálogo de Vulnerabilidades Conhecidamente Exploradas (KEV). Essa falha no Microsoft COM for Windows permite execução remota de código e foi usada por um grupo de hackers patrocinado pelo estado chinês, conhecido como APT41, em um ataque contra um instituto de pesquisa taiwanês. As agências federais americanas têm até 26 de agosto para aplicar a correção.

  • Ataque cibernético provoca grave escassez de sangue nos EUA

    Ataque cibernético provoca grave escassez de sangue nos EUA

    Um ataque de ransomware sofrido pela organização sem fins lucrativos OneBlood, responsável pela coleta de sangue, está causando uma grave crise de abastecimento em diversos hospitais do sudeste dos Estados Unidos. A situação forçou muitas instituições médicas a recorrerem aos seus estoques mínimos e a organizar doações emergenciais.

    A OneBlood fornece sangue para mais de 300 hospitais na Geórgia, Flórida e Carolinas. Com a interrupção do sistema, alguns hospitais podem ser obrigados a adiar procedimentos eletivos até que o abastecimento seja normalizado.

    O ataque cibernético foi detectado na segunda-feira, paralisando a infraestrutura online da organização. Desde então, a OneBlood tem operado manualmente, imprimindo etiquetas e coletando informações dos doadores em papel. Apesar dos esforços para agilizar o processo, o envio de sangue aos hospitais está enfrentando atrasos.

    “Os doadores estão comparecendo, mas o gargalo está na entrega do produto aos hospitais devido aos processos manuais de etiquetagem”, afirmou Susan Forbes, porta-voz da OneBlood.

    A situação é tão grave que a organização alertou mais de 250 hospitais parceiros para ativar protocolos de escassez de sangue. Outros bancos de sangue da região estão tentando auxiliar, mas o volume disponível é limitado.

    Hospitais como o Tallahassee Memorial HealthCare foram obrigados a remarcar cirurgias eletivas, enquanto a Universidade de Miami organizou uma campanha de doação emergencial.

    Especialistas em cibersegurança alertam para o crescente número de ataques a instituições de saúde nos Estados Unidos. De acordo com a Check Point Software Technologies, esses estabelecimentos enfrentam uma média de 1.671 ataques por semana.

    “O fato de o criminoso não ter causado diretamente a morte de um paciente não significa que ele não seja indiretamente responsável”, afirma Allan Liska, analista de ransomware da Recorded Future.

    Os ataques a hospitais são particularmente lucrativos para os cibercriminosos, tanto financeiramente quanto em termos de publicidade. A empresa de saúde Change Healthcare, por exemplo, pagou US$ 22 milhões de resgate.

    No entanto, neste caso específico, a população pode ajudar a mitigar os efeitos do ataque através da doação de sangue. A OneBlood faz um apelo urgente por doações de sangue O positivo, O negativo e plaquetas.

  • GSI recebe nesta quinta-feira propostas para cibersegurança no país

    GSI recebe nesta quinta-feira propostas para cibersegurança no país

    A criação de uma agência nacional e o aumento do orçamento para o combate ao cibercrime são algumas das propostas que constam do documento Contribuições da Sociedade Civil e dos Setores Produtivos para a Estratégia Nacional de Cibersegurança, que será apresentado hoje (1º) ao Gabinete de Segurança Institucional da Presidência da República (GSI), na capital paulista.

    O relatório é a primeira contribuição para a elaboração de projetos que ajudem o país na construção da nova Estratégia Nacional de Segurança Cibernética, elaborada pelo GSI, por meio do Comitê Nacional de Cibersegurança (CNCiber).

    Em entrevista hoje (31) à Agência Brasil, a fundadora e CEO do Instituto Nacional de Combate ao Cibercrime (INCC), Luana Tavares, disse que o relatório é fruto de oito meses de trabalho, período em que foram levantados dados sobre a situação de cibersegurança brasileira.

    “O plano parte do princípio de que, para que um país tenha um grau mais alto de resiliência cibernética, ele precisa ter uma política ou uma estratégia nacional que seja tão robusta e complexa quanto é esse problema”, disse Luana, no seminário Mulheres e Cibersegurança, nesta quarta-feira (31), na sede da Federação das Indústrias do Estado de São Paulo (Fiesp).

    De acordo com a fundadora do instituto, o Brasil é um dos países que mais sofrem com os crimes cibernéticos em todo o mundo.

    “O Brasil é o segundo país mais atacado do mundo. Existem diversas pesquisas que mostram os números. Aliás, esse é um ponto que criticamos no documento: não existem pesquisas ou dados públicos sobre o assunto. Isso, inclusive, se tornou um dos pilares do documento, que é a informação e o conhecimento especializado. Precisamos que os dados estejam sob o poder do Estado para começarmos a gerar estatísticas”, afirmou.

    Mulher no computador - tecnologia - Fotos do Canva
    GSI recebe nesta quinta-feira propostas para cibersegurança no país – Fotos do Canva

    Propostas

    O documento mostra a necessidade de investimentos para o combate ao crime e para orientar a atividade de segurança cibernética. “Quando a gente compara com os Estados Unidos e o Reino Unido, por exemplo, que já estão mais avançados na questão, o Brasil investe proporcionalmente 49 vezes menos do que os EUA e 15 vezes menos que o Reino Unido, já ajustando para o PIB [Produto Interno Bruto]. O orçamento é muito pequeno e é óbvio que, quando falamos no momento de crise de arrocho fiscal ou de ajuste fiscal para atingir as metas fiscais, é muito complexo se falar em investimento. Porém, essa é uma pauta que tem gerado muitas perdas.”

    Outra questão é a proposta de criação de uma estrutura central de cibersegurança. “Esse é o caminho que os países mais desenvolvidos estão trilhando, ou seja, a criação de uma agência ou de um centro nacional de cibersegurança que tenha como olhar e viés uma abordagem de educação e conscientização, e não apenas de regulamentação. Seria um centro para educar a sociedade para maior consciência em relação à cibersegurança”, defendeu.

    Segundo a especialisttas, os crimes cibernéticos, principalmente os golpes aplicados por meio do celular, atingem muitas pessoas no país, mas poucos sabem como se prevenir. “Cerca de 62% dos brasileiros não sabem o que é um e-mail. Não tem noção básica dos dados da segurança cibernética. Esse é um nível de consciência muito aquém do esperado para um tema que tem acometido os brasileiros diariamente, como é o caso das tentativas de golpe e de fraude. Por isso eu defendo que agência tenha como papel principal a educação da sociedade. Este não é um problema que o Estado consegue enfrentar sozinho.”

    Estratégia

    Outra contribuição que o documento apresenta para a Estratégia Nacional de Segurança Cibernética é com relação à legislação.

    “É um desafio criar a tipificação correta ou a qualificação dos crimes de forma mais adequada em relação àqueles que são aplicados por meios eletrônicos. Hoje, a gente tem na legislação a lei do ciberbullying e a legislação, que pune o estelionato eletrônico cometido por meios eletrônicos. É o que hoje tem sido mais utilizado pelas forças de segurança nos boletins de ocorrência para reportar alguns tipos de crime cometidos nesse ambiente. Porém isso não consegue compreender a complexidade e o número de diferentes tipos de crime que existem no ambiente cibernético. Por isso, a discussão sobre o Código Penal no Congresso precisa ser feita como um novo marco, e não apenas como uma discussão que acaba sendo gerada conforme o crime acontece”, disse.

    Outra questão que é levantada pelo documento é a proposta de criação de uma Política Nacional de Compartilhamento de Dados de Incidentes. De acordo com Luana, é preciso que seja criado um centro nacional de cibersegurança e que este centro ou agência consiga centralizar os dados de incidentes para gerar estatísticas e novas formas de combate a esse tipo de crime.

    “Hoje as empresas acabam tendo uma certa insegurança. Têm uma série de questões ligadas a LGPD [Lei Geral de Proteção de Dados Pessoais], sobre o que se pode compartilhar de dados em relação a um incidente, mas também tem a questão de imagem, de impacto do valor daquela empresa quando ela sofre um crime cibernético. Só que ao mesmo tempo a gente precisa ter esses dados para que nós saibamos os tipos novos de incidentes que estão acontecendo e a gente consiga gerar inteligência tanto para a prevenção quanto resposta dos incidentes”, explicou.

    — news —

  • Mozilla defende nova ferramenta de privacidade em meio à críticas

    Mozilla defende nova ferramenta de privacidade em meio à críticas

    O Firefox, navegador conhecido por seu foco em privacidade, está em meio a uma controvérsia após a introdução de uma nova funcionalidade. A empresa afirma que a medida visa combater a intensa vigilância online, mas críticos temem que isso possa abrir portas para mais coleta de dados.

    A nova ferramenta, chamada “Privacy-preserving attribution” (PPA), coleta e agrega dados anônimos sobre a interação dos usuários com anúncios. A ideia, segundo o CTO da Mozilla, Bobby Holley, é criar um sistema que satisfaça tanto anunciantes quanto usuários, sem recorrer às práticas predatórias de coleta de dados atuais.

    A decisão de incluir a PPA por padrão gerou críticas, com muitos usuários preocupados com qualquer compartilhamento de informações, mesmo que anônimo. Holley defendeu a escolha, argumentando que diálogos de consentimento são uma distração e que o objetivo é oferecer melhores configurações padrão.

    A Mozilla garante que a PPA não envolve rastreamento e que os dados coletados são apenas agregados, sem identificação individual. A empresa também ressalta que não há troca de dinheiro com o Meta, parceiro no desenvolvimento da ferramenta.

    Contudo, a desconfiança permanece. Usuários apontam que, mesmo com boas intenções, a indústria publicitária tem histórico de explorar brechas. A Mozilla afirma que o protótipo atual é limitado e que os protocolos de privacidade foram rigorosamente auditados.

    A empresa reconhece que a publicidade digital é uma realidade, mas acredita que é possível encontrar um equilíbrio entre os interesses dos anunciantes e a privacidade dos usuários. A PPA é um passo nessa direção, segundo a Mozilla, que espera que a ferramenta possa substituir práticas de vigilância mais invasivas.

    Enquanto a discussão sobre a PPA continua, uma coisa é certa: a batalha pela privacidade online está longe de acabar.

  • Técnica de ataque “SnailLoad” permite espionar usuários pela variação de ping da rede

    Técnica de ataque “SnailLoad” permite espionar usuários pela variação de ping da rede

    Uma nova pesquisa da Universidade Tecnológica de Graz, na Áustria, revelou uma técnica de ataque preocupante chamada “SnailLoad”. O que torna esse ataque perigoso é sua capacidade de permitir que invasores remotos descubram quais sites e vídeos um usuário está acessando, sem precisar ter acesso direto ao tráfego de rede da vítima.

    Anteriormente, pesquisadores já haviam demonstrado que era possível, através de ataques “man-in-the-middle” (MitM) ou invadindo a rede Wi-Fi da vítima, descobrir quais sites ela acessava e até mesmo as ações realizadas dentro de aplicativos.

    O SnailLoad, no entanto, é bem mais sorrateiro. Ele não requer a proximidade física do invasor nem a execução de nenhum código malicioso no dispositivo da vítima, como Javascript.

    Como funciona o SnailLoad?

    Técnica de ataque "SnailLoad" permite espionar usuários pela variação de ping da rede

    Funciona assim: o atacante começa medindo a latência (tempo de resposta) para diferentes sites e vídeos do YouTube que a vítima possa acessar. Com isso, ele cria uma espécie de “impressão digital” de latência para cada alvo.

    Na etapa seguinte, o invasor precisa fazer com que a vítima carregue dados de um servidor malicioso. Isso pode ser feito através de um download de arquivo, mas também por meio de qualquer conteúdo aparentemente legítimo, como imagens, fontes, folhas de estilo ou anúncios veiculados nesse servidor.

    “A principal ameaça aqui é que qualquer servidor TCP pode obter sorrateiramente rastros de latência de qualquer cliente que se conecte a ele”, explica Stefan Gast, um dos pesquisadores envolvidos no projeto, ao SecurityWeek.

    O nome “SnailLoad” (“carga lenta”, em tradução livre) é devido a um detalhe crucial do ataque: o servidor malicioso precisa carregar o conteúdo lentamente para que o invasor tenha tempo suficiente de monitorar a variação da latência da conexão.

    Isso acontece porque, tipicamente, os servidores possuem internet veloz. Já a lentidão costuma acontecer quando o tráfego chega aos sistemas do provedor de internet (ISP) ou ao roteador da vítima, onde os pacotes de dados sofrem atrasos. Esses gargalos de banda são justamente o que o invasor aproveita para fazer suas medições de latência.

    Enquanto a vítima baixa o conteúdo do servidor malicioso, o invasor compara os dados obtidos com as “impressões digitais” de latência criadas anteriormente. Dessa forma, ele consegue descobrir qual dos sites ou vídeos da sua lista a vítima está acessando em outra janela do navegador.

    Para aumentar a precisão do ataque, os pesquisadores sugerem que o invasor utilize uma rede neural convolucional (CNN) para “treinar” o reconhecimento dos padrões de latência.

    Felizmente, mitigar esse ataque não é simples, pois ele se baseia no próprio funcionamento da internet. Contudo, os pesquisadores acreditam que o SnailLoad ainda não esteja sendo explorado em grande escala.

    Além disso, na forma atual, o ataque tem limitações. O invasor precisa ter uma lista prévia de sites que a vítima possa visitar, e a precisão cai se a vítima estiver realizando outras atividades online além de assistir ao vídeo ou acessar o site alvo.

    Os testes conduzidos pela equipe da TU Graz envolveram 10 vídeos do YouTube e 100 sites populares. A precisão variou entre 37% e 98%, dependendo do tipo de recurso e da conexão de internet utilizada.

    Os detalhes do SnailLoad serão apresentados por Stefan Gast e Daniel Gruss, renomado pesquisador de segurança da informação conhecido pelos ataques Meltdown e Spectre, na conferência Black Hat USA 2024, que acontece este ano.

  • Malware usa emojis através do Discord para invadir computadores Linux

    Malware usa emojis através do Discord para invadir computadores Linux

    Ataques direcionados exploram plataforma de comunicação popular para controlar dispositivos infectados.

    Um novo malware Linux apelidado de “DISGOMOJI” está causando preocupação entre especialistas em segurança cibernética, devido à sua inovadora tática de utilizar emojis no Discord para comunicação e controle remoto. O malware foi descoberto direcionado a agências governamentais na Índia e acredita-se estar ligado a um grupo de hackers do Paquistão conhecido como UTA0137.

    O DISGOMOJI é distribuído por meio de emails de phishing contendo um arquivo ZIP que, quando executado, baixa um documento PDF falso e o malware em si. Uma vez instalado, o malware se conecta a um servidor Discord controlado pelos invasores e espera por comandos na forma de emojis. Nove emojis diferentes são usados para representar comandos específicos, como executar comandos, tirar screenshots, baixar arquivos, roubar documentos, compactar perfis do Firefox e pesquisar drives USB em busca de dados.

    A utilização de emojis para comunicação e controle remoto torna o DISGOMOJI uma ameaça particularmente insidiosa, pois dificulta sua detecção por softwares de segurança tradicionais que geralmente se baseiam em análise de texto. Além disso, o malware parece ser bem desenvolvido e direcionado a um público específico, sugerindo que os ataques foram cuidadosamente planejados.

    A descoberta do DISGOMOJI destaca a necessidade de as organizações, especialmente as governamentais, estarem vigilantes contra novas ameaças cibernéticas e utilizarem soluções de segurança robustas para proteger seus sistemas. Recomenda-se atualizar o software antivírus e antimalware com frequência, ter cuidado ao abrir emails e anexos de remetentes desconhecidos, implementar uma política de segurança robusta que inclua treinamento de conscientização sobre segurança cibernética para funcionários e monitorar os sistemas de rede em busca de atividades suspeitas.

    Pontos chave:

    • O malware DISGOMOJI usa emojis no Discord para comunicação e controle remoto.
    • O malware foi direcionado a agências governamentais na Índia.
    • Acredita-se que o DISGOMOJI esteja ligado ao grupo de hackers UTA0137 do Paquistão.
    • O malware é capaz de roubar informações do sistema, tirar screenshots, baixar arquivos, instalar outros malwares e realizar outras ações maliciosas.
    • A utilização de emojis para comunicação e controle remoto torna o DISGOMOJI uma ameaça difícil de detectar.
    • As organizações precisam estar vigilantes contra novas ameaças cibernéticas e implementar medidas de segurança robustas para proteger seus sistemas.

    Segue imagem e tradução abaixo:

    Malware usa emojis através do Discord para invadir computadores

    Aqui está uma lista traduzida dos emojis usados pelo malware DISGOMOJI e suas ações correspondentes:

    1. Corrida: Executa um comando no dispositivo infectado. O comando específico provavelmente é enviado junto com o emoji no canal do Discord.
    2. Câmera com flash: Tira uma captura de tela da tela da vítima e a envia de volta ao invasor no canal do Discord como um anexo.
    3. Dedo indicador apontando para baixo: Baixa um arquivo do dispositivo da vítima para um local especificado pelo invasor (provavelmente incluído com o emoji).
    4. Dedo indicador apontando para cima: Envia (faz upload) um arquivo para o dispositivo da vítima de um local designado pelo invasor (provavelmente incluído com o emoji).
    5. Dedo indicador em diagonal para a direita: Carrega um arquivo do dispositivo da vítima para um serviço de armazenamento remoto de arquivos chamado OSHI (potencialmente controlado pelo invasor).
    6. Dedo indicador em diagonal para a esquerda: Carrega um arquivo do dispositivo da vítima para um serviço separado de compartilhamento de arquivos remoto (serviço específico desconhecido).
    7. Fogo: Procura e envia todos os arquivos de documento (incluindo formatos pdf, zip, rar, jpg, doc) do dispositivo da vítima para o invasor, provavelmente para extração de dados.
    8. Raposa: Compacta todos os perfis do Firefox no dispositivo da vítima. Esses perfis compactados podem então ser recuperados pelo invasor para posterior coleta de informações.
    9. Caveira: Encerra completamente o processo do malware DISGOMOJI, usando a função os.Exit().

    Esta lista fornece informações valiosas sobre os recursos do invasor com o DISGOMOJI. Isso destaca a importância de permanecer vigilante contra essas ameaças cibernéticas em constante evolução.