github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Novo malware para Android possui mais de 400 milhões de downloads. m novo malware para Android, distribuído como um SDK de publicidade, foi descoberto em vários aplicativos e baixado mais de 400 milhões de vezes. O módulo de spyware, identificado como ‘SpinOk’, pode roubar dados privados armazenados nos dispositivos dos usuários e enviá-los para um servidor remoto. O SpinOk se comporta de maneira aparentemente legítima, usando minijogos que levam a recompensas diárias para despertar o interesse do usuário. No entanto, em segundo plano, o SDK do trojan verifica os dados do sensor do dispositivo Android (giroscópio, magnetômetro) para confirmar que não está sendo executado em um ambiente isolado. O aplicativo então se conecta a um servidor remoto para baixar uma lista de URLs usadas para exibir os minijogos esperados. Enquanto os minijogos são exibidos para os usuários dos aplicativos como esperado, o SDK é capaz de realizar funções maliciosas adicionais, como listar arquivos em diretórios, procurar arquivos específicos, fazer upload de arquivos do dispositivo ou copiar e substituir o conteúdo da área de transferência. Vários aplicativos foram removidos do Google Play, indicando que o Google recebeu relatórios sobre o SDK malicioso e removeu os aplicativos ofensivos até que os desenvolvedores submeteram uma versão limpa.
:arrow_right: Ransomware Moneybird é usado contra organizações israelenses. O grupo de ameaças Agrius foi observado usando uma nova cepa de ransomware chamada Moneybird contra entidades israelenses. O grupo é, no entanto, conhecido por realizar ataques destrutivos de limpeza de dados disfarçados de infecções por ransomware em Israel. A Microsoft vinculou a Agrius ao Ministério de Inteligência e Segurança (MOIS) do Irã, que opera o grupo MuddyWater. Agrius, também conhecido como Pink Sandstorm ou Americium, está ativo há quase dois anos e é conhecido por desenvolver malware baseado em .NET. No entanto, o ransomware Moneybird foi desenvolvido em C++. O Moneybird ransomware criptografa arquivos importantes e lança uma nota de resgate aconselhando a organização a fazer contato dentro de 24 horas ou suas informações roubadas serão vazadas. Para baixar algumas das cargas úteis, o agente da ameaça abre um navegador e se conecta a serviços de compartilhamento de arquivos genuínos. A maioria dessas atividades é realizada manualmente pelos agentes de ameaças via RDP. Em dezembro de 2022, o agente da ameaça foi vinculado a um conjunto de tentativas de invasões disruptivas. Essas invasões visavam indústrias de diamantes localizadas em Israel, Hong Kong e África do Sul. Esses ataques usaram um limpador que virou ransomware baseado em DotNET conhecido como Apóstolo e seu sucessor conhecido como Fantasy.
:arrow_right: Nova operação de ransomware está usando código fonte do Lockbit e Babuk. Uma nova operação de ransomware, apelidada de Buhti, está usando o código-fonte vazado do criptografador do ransomware LockBit e Babuk. Além disso, usa um ladrão de informações desenvolvido sob medida para exfiltrar dados. A pesquisa sugere que este ransomware não está associado a nenhum grupo de ameaças existente. Portanto, seu desenvolvedor está sendo rastreado como um novo grupo conhecido como Blacktail. Ele usa uma versão modificada da variante LockBit 3.0, também conhecida como LockBit Black. O código-fonte do construtor Windows LockBit 3.0 vazou em setembro de 2022. Embora agente de ameaças adapte seu criptografador de códigos-fonte vazados, ele não pode ser considerado um malware imitador. Isso ocorre porque ele investiu um esforço significativo no desenvolvimento de sua ferramenta de exfiltração personalizada e táticas proativas de infiltração de rede. A ferramenta de exfiltração, escrita em Golang, foi projetada para roubar arquivos, arquivá-los e enviá-los para um servidor controlado por invasores. Para exfiltração de rede, ele abusa da vulnerabilidade recentemente corrigida CVE-2023-27350 no PaperCut NG e MF para atingir máquinas Windows e Linux. As amostras de malware detectadas em fevereiro exploraram a vulnerabilidade de desserialização CVE-2022-47986 no Aspera Faspex da IBM.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: