.
Infosec em resumo Fornecedor de software de defesa contra bots Human Security na semana passada detalhado um ataque que “vendeu dispositivos móveis e de TV conectada (CTV) fora da marca em varejistas on-line populares e sites de revenda… pré-carregados com um malware conhecido chamado Triada”.
Human chamou a campanha para infectar e distribuir os dispositivos Android de BADBOX. Os dispositivos infectados foram vendidos por menos de US$ 50. Os pesquisadores da Human encontraram mais de 200 modelos com malware pré-instalado e, quando foram comprar sete dispositivos específicos, descobriram que 80% das unidades estavam infectadas com BADBOX.
A análise de dispositivos infectados rendeu informações sobre um módulo de fraude publicitária que os pesquisadores da Human chamaram de PEACHPIT. No seu auge, o PEACHPIT funcionava em uma botnet que abrangia 121 mil dispositivos Android por dia. Os invasores também criaram aplicativos maliciosos para iOS, que rodavam em 159 mil dispositivos Apple por dia no auge da campanha PEACHPIT.
Esses dispositivos infectados exibiam mais de quatro bilhões de anúncios por dia – todos invisíveis para os usuários.
Segurança Humana relatório técnico [PDF] no BADBOX e PEACHPIT descreve a campanha: “Um fabricante chinês (possivelmente muitos fabricantes) constrói uma ampla variedade de dispositivos baseados em Android, incluindo telefones, tablets e caixas CTV.
“Em algum momento entre a fabricação desses produtos e sua entrega aos revendedores, lojas físicas de varejo e armazéns de comércio eletrônico, um backdoor de firmware… é instalado e as caixas dos produtos são lacradas em plástico, preparando esses dispositivos para fraudes na chegada ao seu destino .”
A Human Security trabalhou com a Apple e o Google para interromper o PEACHPIT, mas alertou que os dispositivos BADBOX continuam abundantes.
“Qualquer pessoa pode comprar acidentalmente um dispositivo BADBOX online sem nunca saber que era falso, conectá-lo e, sem saber, abrir esse malware backdoor”, escreveu Rosemary Cipriano, da Human Security. “Esse malware pode ser usado para roubar PII, executar bots ocultos, criar peers de saída de proxy residencial, roubar cookies e senhas de uso único e mais esquemas de fraude exclusivos.”
–Simon Sharwood
Sony lança um MOVEit
Já se passaram quatro meses desde que a exploração em massa de vulnerabilidades no software de transferência de arquivos MOVEit da Progress Software foi anunciada publicamente, e apenas um pouco mais recentemente que a gangue de ransomware Clop adicionou a Sony à sua lista de vítimas.
No início de outubro, a Sony admitiu que era uma vítima. Em uma notificação de violação arquivado com o estado norte-americano do Maine, a Sony admitiu que 6.791 de seus funcionários norte-americanos tiveram seus dados expostos devido à vulnerabilidade MOVEit, que foi vulnerável a um ataque de injeção de SQL que permite que hackers elevem seus privilégios e obtenham acesso não autorizado aos ambientes alvo.
No final de julho, mais de 400 organizações e 20 milhões de indivíduos foram vítimas da vulnerabilidade MOVEit – incluindo clientes importantes como a Sony, o fornecedor de energia Shell e o Departamento de Energia dos EUA.
De acordo com a carta de violação enviada aos funcionários da Sony e seus familiares, a Sony Interactive Entertainment – subsidiária que lida com videogames e consoles como o PlayStation – teve seu ambiente MOVEit comprometido já em 28 de maio, poucos dias antes da Progress anunciar a vulnerabilidade. . A Sony demorou até 2 de junho para descobrir que havia sido afetada, momento em que imediatamente retirou seu sistema MOVEit do ar em resposta.
A Sony redigiu as informações expostas em seu modelo de carta arquivado no estado do Maine, portanto não está imediatamente claro quais informações pessoais foram expostas. O site do Maine diz apenas que nomes “ou outros identificadores pessoais[s]” foram roubados em combinação com números de segurança social.
Não está claro por que a Sony esperou tanto para reconhecer publicamente a violação, embora seja importante notar que esta não é a única violação com a qual a Sony está lidando no momento.
Ransomed.vc, que ultimamente tem como alvo empresas japonesas, reivindicado ele invadiu a Sony e roubou 3,14 GB de dados de seus servidores – embora essa afirmação tenha sido contestada por outros hackers. Desde então, a Sony confirmado a violação do Ransomed.vc, o que significa que o perímetro de segurança da Sony foi violado duas vezes nos últimos quatro meses.
Como também informamos esta semana, exploração em massa de uma vulnerabilidade em outro software Progress, WS_FTP, supostamente começou, então espere que mais violações de alto perfil venham.
Vulnerabilidades críticas: edição CURL up and die
CURL – a ferramenta de busca de URL de linha de comando usada por bilhões de dispositivos para buscar conteúdo da web – contém uma vulnerabilidade tão séria que seu desenvolvedor Daniel Stenberg achou por bem encurtar o ciclo de lançamento para lançar um patch crítico em 11 de outubro.
Stenberg não entrou em detalhes, dizendo que se o fizesse “ajudaria a identificar a área problemática com uma precisão muito elevada”. Stenberg disse apenas que os últimos anos de lançamentos foram afetados. Dois CVEs estão incluídos – ambos afetando o libcurl e apenas o de maior gravidade afetando a própria ferramenta CURL.
Em outras notícias sobre vulnerabilidade:
- CVSS 10.0 – CVE-2023-2306: O software da câmera de vigilância IP Qognify NiceVision versão 3.1 e anteriores contém credenciais codificadas.
- CVE 9,8 – vários CVEs: Vários modelos de switches, firewalls e roteadores da Hitachi Energy contêm um conjunto de vulnerabilidades que podem ser exploradas para ter “um alto impacto” na disponibilidade, integridade e confidencialidade dos dispositivos.
- Vários CVEs: X.org corrigiu cinco vulnerabilidades nas bibliotecas libX11 e libXpm, abordando um bug de acesso à memória fora dos limites e outras vulnerabilidades – certifique-se de corrigir.
O ataque de ransomware Blackbaud de 2020 ainda rende dividendos aos reguladores
Volte sua mente para 2020 e você deve se lembrar de ter ouvido falar da empresa de software Blackbaud sendo pega encobrindo um ataque de ransomware por pagando os criminosos e tentando varrer o incidente para debaixo do tapete.
Como você pode imaginar pelo fato de estarmos falando sobre isso, isso não funcionou. A Blackbaud, que desenvolve software para organizações sem fins lucrativos e gerenciamento de doadores, investiu US$ 3 milhões para a SEC em março de 2023 por não admitir o incidente e, ao admiti-lo, não reconhecer que, como resultado, um pacote inteiro de PII foi roubado de 13.000 clientes.
Agora, os procuradores-gerais de todos os 50 estados dos EUA protegido outro acordo sobre as “práticas deficientes de segurança de dados e resposta inadequada” de Blackbaud ao incidente. O total? Quarenta e nove milhões e meio de dólares, divididos entre os estados.
“As empresas que vendem software como serviço têm a obrigação de protegê-lo no mais alto nível e devem ser imediatamente receptivas e proativas caso ocorra um roubo cibernético”, disse o procurador-geral de Nova Jersey, Matthew Platkin, sobre o acordo.
Qakbot está de volta dos mortos – mais ou menos
A venerável operação de malware Qakbot parece estar viva e bem, apesar de um remoção internacional do botnet e do carregador de malware no final de agosto.
O Qakbot foi detectado pela primeira vez em 2007 e, desde então, os seus operadores – que se acredita serem russos – provaram ser muito bons em adaptando às circunstâncias.
Caso em questão: um descoberta por pesquisadores de segurança da Talos, que avaliaram “com confiança moderada” que uma campanha de ransomware Cyclops/Ransom Knight que começou pouco antes da derrubada do Qakbot em agosto está sendo dirigida pelas mesmas pessoas.
“Acreditamos que a operação do FBI não afetou a infraestrutura de entrega de e-mail de phishing do Qakbot, mas apenas seus servidores de comando e controle”, disse Talos sobre suas descobertas. Apesar da persistência dos operadores do Qakbot, o malware Qakbot não parece ter se saído tão bem.
“Não vimos os atores da ameaça distribuindo o Qakbot após a remoção da infraestrutura”, disse Talos. “Dado que os operadores permanecem ativos, eles podem optar por reconstruir a infraestrutura do Qakbot para retomar totalmente a sua atividade pré-remoção.”
Bem, obrigado por tentar, FBI e parceiros internacionais de aplicação da lei.
Dados genéticos de clientes roubados no ataque 23andMe
A empresa de genética 23andMe admitido foi atingido por um ataque de preenchimento de credenciais que levou ao roubo de PII que inclui resultados de ancestralidade genética.
Os vazadores divulgaram inicialmente um milhão de linhas de informações pertencentes a pessoas com herança Ashkenazi, mas desde então começaram a se oferecer para vender dados de contas em massa por alguns dólares cada, e afirmam ter dados sobre mais de 13 milhões Clientes 23andMe.
O número de contas à venda não reflete o número real de pessoas que tiveram informações genéticas roubadas – muitas das contas comprometidas teriam optado por um recurso de comparação de DNA que permitia aos invasores extrair dados genéticos pertencentes a outras pessoas que não o titular da conta.
Sendo este um ataque de preenchimento de credenciais, aqueles que tiveram suas contas violadas estavam usando os mesmos nomes de usuário e senhas em outros sites que haviam sido violados. Ou seja, o próprio 23andMe não foi hackeado – seus usuários tiveram seus nomes de usuário e senhas descobertos em outros sites, e essas credenciais foram então usadas para acessar suas contas 23andMe devido aos detalhes de login serem os mesmos. É por isso que é importante usar senhas exclusivas por site ou conta.
O 23andMe oferece autenticação de dois fatores, mas as pessoas afetadas pela violação provavelmente não a usavam. Aí está a sua lição. ®
.
