Boletim Diário: 09/09/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Malware Android usa reconhecimento de imagens para roubar carteiras de criptomoedas. Pesquisadores da McAfee descobriram uma nova campanha de malware chamada SpyAgent, que visa roubar credenciais de criptomoedas de usuários de Android por meio de técnicas de reconhecimento de imagem. O malware foi projetado para identificar chaves de criptografia armazenadas em imagens salvas no dispositivo. Essas chaves, que consistem em uma sequência de 12 palavras, são usadas para recuperar carteiras de criptomoedas, tornando-as um alvo valioso para cibercriminosos. Disfarçado como aplicativos legítimos, como bancos, serviços governamentais e até plataformas de streaming, o SpyAgent engana os usuários e, uma vez instalado, começa a coletar dados sigilosos. Além de acessar imagens, o malware também envia mensagens de texto, contatos e outras informações armazenadas no dispositivo para servidores controlados pelos invasores. Enquanto a interface do aplicativo exibe telas de carregamento ou erros para distrair o usuário, o SpyAgent opera silenciosamente em segundo plano. Desde janeiro de 2024, o SpyAgent tem como principal alvo usuários na Coreia do Sul. A McAfee identificou mais de 280 aplicativos falsos envolvidos nessa campanha. Os produtos de segurança móvel da McAfee já estão configurados para detectar e bloquear essa ameaça, protegendo os dispositivos contra essas atividades maliciosas. O malware é distribuído principalmente por meio de campanhas de phishing, onde os usuários são induzidos a clicar em links maliciosos enviados por mensagens de texto ou redes sociais. Esses links levam a sites falsos que se parecem com páginas legítimas, induzindo os usuários a baixar o arquivo APK infectado. Durante a instalação, o SpyAgent solicita permissões de acesso a mensagens, contatos e imagens, disfarçando essas solicitações como necessárias para o funcionamento do aplicativo.

:arrow_right: Ataques de typosquatting comprometem a segurança no GitHub Actions. Pesquisadores de segurança identificaram que a plataforma GitHub Actions, amplamente utilizada para integração contínua (CI/CD), está vulnerável a ataques de typosquatting, expondo desenvolvedores a códigos maliciosos ocultos. O typosquatting ocorre quando adversários criam nomes de domínio ou pacotes com pequenas variações de nomes legítimos, esperando que erros de digitação induzam os usuários a acessar recursos maliciosos. Essa técnica, anteriormente vista em repositórios como PyPI, npm e Maven Central, agora também ameaça o GitHub Actions. A plataforma permite que qualquer pessoa publique ações, que são executadas no contexto do repositório do usuário. Assim, se um desenvolvedor cometer um erro de digitação ao configurar uma ação, pode acabar executando uma versão maliciosa criada por atacantes. Um ataque bem-sucedido poderia permitir que códigos maliciosos fossem executados sem que o desenvolvedor percebesse. Isso pode resultar em roubo de informações, modificação de código ou introdução de vulnerabilidades como backdoors, comprometendo builds e deploys futuros. Pior ainda, a ação comprometida pode usar as credenciais do GitHub para infectar outros repositórios na organização, amplificando os danos. Os desenvolvedores são aconselhados a verificar cuidadosamente os nomes das ações que utilizam e garantir que elas sejam de fontes confiáveis, além de realizar verificações periódicas em seus fluxos de CI/CD para detectar problemas relacionados ao typosquatting. Os especialistas destacam a facilidade com que esses ataques podem ocorrer, ressaltando a necessidade de vigilância constante para evitar comprometer projetos inteiros.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/