Pesquisadores alertam sobre entidades de segmentação Nerbian RAT na Itália, Espanha e Reino Unido
Pesquisadores alertam sobre entidades de segmentação Nerbian RAT na Itália, Espanha e Reino Unido
Um trojan de acesso remoto não documentado (RAT) escrito na linguagem de programação Go foi detectado desproporcionalmente visando entidades na Itália, Espanha e Reino Unido Chamado de Nerbian RAT pela empresa de segurança corporativa Proofpoint, o novo malware aproveita as iscas com tema COVID-19 para se propagar como parte de uma campanha de phishing de baixo volume por e-mail que começou em 26 de abril de 2022. “O recém-identificado Nerbian RAT aproveita vários componentes anti-análise espalhados por vários estágios, incluindo várias bibliotecas de código aberto”, disseram os pesquisadores da Proofpoint em um relatório compartilhado com o The Hacker News. "Ele é escrito na linguagem de programação Go agnóstica do sistema operacional (SO), compilada para sistemas de 64 bits e aproveita várias rotinas de criptografia para evitar ainda mais a análise de rede." As mensagens, em número inferior a 100, pretendem ser da Organização Mundial da Saúde sobre medidas de segurança relacionadas ao COVID-19, pedindo às vítimas em potencial que abram um documento do Microsoft Word com macro para acessar os “últimos conselhos de saúde”. A ativação das macros exibe a orientação COVID-19, incluindo etapas para auto-isolamento, enquanto em segundo plano, a macro incorporada aciona uma cadeia de infecção que fornece uma carga útil chamada "UpdateUAV.exe", que atua como conta-gotas para Nerbian RAT ("MoUsoCore. exe") de um servidor remoto. O dropper também faz uso do Chacal "framework anti-VM" de código aberto para dificultar a engenharia reversa, usando-o para realizar verificações anti-reversão e encerrando-se caso encontre depuradores ou programas de análise de memória. O trojan de acesso remoto, por sua vez, está equipado para registrar pressionamentos de tecla, capturar capturas de tela e executar comandos arbitrários, antes de exfiltrar os resultados de volta ao servidor. Embora o dropper e o RAT tenham sido desenvolvidos pelo mesmo autor, a identidade do agente da ameaça ainda é desconhecida. Além disso, a Proofpoint alertou que o dropper pode ser personalizado para fornecer cargas úteis diferentes em ataques futuros, embora em sua forma atual, ele só possa recuperar o Nerbian RAT. “Os autores de malware continuam a operar na interseção de capacidade de código aberto e oportunidade criminosa”, disse Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, em comunicado.
Lincoln College será fechado após 157 anos devido a ataque de ransomware
O Lincoln College, uma escola de artes liberais da zona rural de Illinois, diz que fechará suas portas no final deste mês, 157 anos desde sua fundação e após um golpe brutal em suas finanças pela pandemia de COVID-19 e um recente ataque de ransomware.
Essa decisão foi ainda mais difícil com a faculdade tendo sobrevivido a vários desastres, incluindo um grande incêndio em 1912, a gripe espanhola, a Grande Depressão, as Guerras Mundiais e a crise financeira global de 2008.
No entanto, um ataque de ransomware em dezembro foi a gota d'água que tomou a decisão de encerrar em 13 de maio de 2022, algo que simplesmente não pôde ser evitado.
Principais artigos
READ MORE
Ukraine warns of “chemical attack” phishing pushing A escola notificou o Departamento de Ensino Superior e Comissão de Ensino Superior de Illinois sobre este fechamento permanente, e seu Conselho de Curadores já votou para cessar todas as atividades acadêmicas no final do semestre da primavera.
Esta escola de artes liberais de Illinois é uma das poucas faculdades rurais americanas que o Departamento de Educação qualificou como uma instituição predominantemente negra, como a NBC noticiou pela primeira vez .
“O Lincoln College foi vítima de um ataque cibernético em dezembro de 2021 que frustrou as atividades de admissão e impediu o acesso a todos os dados institucionais, criando uma imagem pouco clara das projeções de matrícula do outono de 2022”, diz um anúncio publicado no site da faculdade.
"Todos os sistemas necessários para os esforços de recrutamento, retenção e angariação de fundos estavam inoperantes.
Felizmente, nenhuma informação de identificação pessoal foi exposta.
“Depois de totalmente restauradas em março de 2022, as projeções mostraram déficits significativos de matrículas, exigindo uma doação ou parceria transformacional para sustentar o Lincoln College além do semestre atual”.
O Lincoln College atende estudantes de todo o mundo há mais de 157 anos.
A perda de história, carreiras e uma comunidade de estudantes e ex-alunos é imensa.
— David Gerlach, presidente do Lincoln College Ransomware: uma ameaça constante às organizações educacionais Embora trágico e o primeiro fechamento de uma escola causado por um ataque de ransomware, o Lincoln College é apenas uma das mais de 1.000 outras escolas atingidas por ransomware no ano passado, de acordo com um relatório da Emsisoft .
Oitenta e oito organizações educacionais foram impactadas diretamente pelo ransomware no ano passado pela Emsisoft, incluindo 62 distritos escolares e campi de 26 faculdades e universidades em todo o país, interrompendo o aprendizado em 1.043 escolas individuais.
Embora o número seja menor do que no ano anterior (quando 1.681 instituições de ensino foram atingidas ), isso ocorre principalmente porque esses ataques atingiram distritos escolares menores em 2021.
Os ataques de ransomware têm sido uma ameaça constante à educação dos EUA há anos.
Um comunicado conjunto da CISA e do FBI alertou em dezembro de 2020 que as instituições de ensino K-12 estavam sendo alvo de agentes maliciosos por extorsão e roubo de dados.
Três meses depois, em março de 2021, a Divisão Cibernética do FBI alertou os administradores de sistema de instituições educacionais cada vez mais alvos do ransomware Pysa .
Em novembro, um apelo à ação de vários senadores dos EUA pediu ao Departamento de Educação dos EUA e ao Departamento de Segurança Interna (DHS) para fortalecer as defesas de segurança cibernética em escolas K-12 em todo o país para acompanhar uma enorme onda de ataques.
Hackers têm como alvo o plugin Tatsu WordPress em milhões de ataques
Os hackers estão explorando massivamente uma vulnerabilidade de execução remota de código, CVE-2021-25094 , no plugin Tatsu Builder para WordPress, que está instalado em cerca de 100.000 sites.
Estima-se que até 50.000 sites ainda executem uma versão vulnerável do plug-in, embora um patch esteja disponível desde o início de abril.
Grandes ondas de ataque começaram em 10 de maio de 2022 e atingiram o pico quatro dias depois.
A exploração está em andamento.
Principais artigos
READ MORE
US links Thanos and Jigsaw ransomware to
55‑year‑old doctor O Tatsu Builder é um plugin popular que oferece recursos poderosos de edição de modelos integrados diretamente no navegador da web.
A vulnerabilidade visada é CVE-2021-25094 , permite que um invasor remoto execute código arbitrário nos servidores com uma versão desatualizada do plug-in (todas as compilações anteriores à 3.3.12).
A falha foi descoberta pelo pesquisador independente Vincent Michel, que a divulgou publicamente em 28 de março de 2022, juntamente com o código de exploração de prova de conceito (PoC).
O fornecedor lançou um patch na versão 3.3.13 e alertou os usuários por e-mail em 7 de abril de 2022, pedindo que aplicassem a atualização.
Número de sites sob ataque (Wordfence) A Wordfence, uma empresa que oferece uma solução de segurança para plugins do WordPress, vem monitorando os ataques atuais.
Os pesquisadores estimam que existam entre 20.000 e 50.000 sites que executam uma versão vulnerável do Tatsu Builder.
Detalhes do ataque O Wordfence relata ter visto milhões de ataques contra seus clientes, bloqueando 5,9 milhões de tentativas em 14 de maio de 2022.
Ataques detectados e bloqueados pelo Wordfence O volume diminuiu nos dias seguintes, mas os esforços de exploração continuam em níveis elevados.
Os agentes de ameaças tentam injetar um dropper de malware em uma subpasta do diretório "wp-content/uploads/typehub/custom/" e torná-lo um arquivo oculto.
Função de verificação de arquivo da extensão pulando arquivos ocultos (darkpills) O conta-gotas é denominado ".sp3ctra_XO.php" e tem um hash MD5 de 3708363c5b7bf582f8477b1c82c8cbf8.
O Wordfence relata que mais de um milhão de ataques vieram de apenas três endereços IP: 148.251.183[.
]254, 176.9.117[.
]218 e 217.160.145[.]62.
Os administradores de sites são aconselhados a adicionar esses IPs à lista de bloqueio.
Of course, these indicators of compromise aren't stable and the attacker could switch to different ones, especially now that they have been publicly exposed.
All users of the Tatsu Builder plugin are strongly recommended to upgrade to version 3.3.13 to avoid attack risks.
"#aiedonline no odysee.com"
Curso Hacker, entre a luz e as trevas
LIVRO LINUX : https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
LIVRO HACKER: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
Chat XMPP: hacker_nao_importa@xmpp.jp (CHAT + SEGURO)
Ajude o canal, seja membro ou:
wellington.aied@gmail.com (PIX)
bc1q7t8d7mdrgxmcrrfxreeqczxgw7eprq6vwrqxqd (BITCOIN)
47qTUYuCk8JWoFBYJtfjZrEGMmJJS2aHecY7Hoi3fJtJRuS6aSEUWAs3J79gMTcwdh3JW7DaHJW4FJ84w84Y4jrZTNzrD9j (MONERO PRIVACIDADE)
0x958caed36f930a48bd6440f26db8431060710973 (ETH)
bnb17pdqgfepp3dta2uwzpur3wnpaa09mcm6k4hvu3 (BNB Binance Coin)
LcQg2P4bKwgjth1npmQKycqcPdKLqqxWLN (Litecoin)
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h
UNIVERSIDADE GRATUITA: http://www.universidadegratuitaead.com.br
OUTROS CANAIS:
CURSO HACKER (ESPELHO): https://odysee.com/@CursoHacker
NOTÍCIAS HACKER: https://www.youtube.com/channel/UCSN_r70Uy_7HmAjjAerbHuw
...
https://www.youtube.com/watch?v=jLU3N74zqLc
Mais de 200 aplicativos na Play Store pegos espionando usuários do Android usando Facestealer
Mais de 200 aplicativos Android disfarçados de aplicativos de fitness, edição de fotos e quebra-cabeças foram observados distribuindo spyware chamado Facestealer para extrair credenciais de usuários e outras informações valiosas.
“Semelhante ao Joker , outro malware móvel, o Facestealer muda seu código com frequência, gerando muitas variantes”, disseram os analistas da Trend Micro Cifer Fang, Ford Quin e Zhengyu Dong em um novo relatório.
"Desde a sua descoberta, o spyware tem continuamente sitiado o Google Play."
Facestealer, documentado pela primeira vez pela Doctor Web em julho de 2021, refere-se a um grupo de aplicativos fraudulentos que invadem o mercado oficial de aplicativos para Android com o objetivo de saquear dados confidenciais, como credenciais de login do Facebook.
Dos 200 aplicativos, 42 são serviços VPN, seguidos por uma câmera (20) e aplicativos de edição de fotos (13).
Além de coletar credenciais, os aplicativos também são projetados para coletar cookies do Facebook e informações de identificação pessoal associadas à conta da vítima.
Além disso, a Trend Micro divulgou que descobriu mais de 40 aplicativos de mineração de criptomoedas desonestos que visam usuários interessados em moedas virtuais com malware projetado para induzir os usuários a assistir a anúncios e pagar por serviços de assinatura.
Alguns dos aplicativos de criptografia falsos, como o Cryptomining Farm Your Own Coin, dão um passo adiante, também tentando roubar chaves privadas e frases mnemônicas (ou frases de sementes) que são usadas para recuperar o acesso a uma carteira de criptomoedas.
Para evitar ser vítima de tais aplicativos fraudulentos, é recomendável que os usuários verifiquem as avaliações negativas, verifiquem a legitimidade dos desenvolvedores e evitem baixar aplicativos de lojas de aplicativos de terceiros.
As descobertas ocorrem quando pesquisadores da NortonLifeLock e da Universidade de Boston publicaram o que chamaram de "maior estudo no dispositivo" de aplicativos potencialmente prejudiciais ( PHAs ) no Android com base em 8,8 milhões de PHAs instalados em mais de 11,7 milhões de dispositivos entre 2019 e 2020.
"Os PHAs persistem no Google Play por 77 dias em média e 34 dias em mercados de terceiros", observou o estudo, apontando o atraso entre quando os PHAs são identificados e quando são removidos, acrescentando que 3.553 aplicativos exibiram migração entre mercados após serem derrubado.
Além disso, a pesquisa também mostra que os PHAs permanecem por um período muito mais longo, em média, quando os usuários trocam de dispositivo e instalam automaticamente os aplicativos ao restaurar a partir de um backup.
Diz-se que até 14.000 PHAs foram transferidos para 35.500 novos dispositivos Samsung usando o aplicativo móvel Samsung Smart Switch, com os aplicativos durando nos telefones por um período de aproximadamente 93 dias.
“O modelo de segurança do Android limita severamente o que os produtos de segurança móvel podem fazer ao detectar um aplicativo malicioso, permitindo que os PHAs persistam por muitos dias nos dispositivos das vítimas”, disseram os acadêmicos.
"O atual sistema de alerta empregado pelos programas de segurança móvel não é eficaz em convencer os usuários a desinstalar prontamente os PHAs."
"#aiedonline no odysee.com"
Curso Hacker, entre a luz e as trevas
URL: https://www.darkreading.com/zscaler/of-exploits-and-experts-the-professionalization-of-cybercrime
LIVRO LINUX : https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
LIVRO HACKER: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
Chat XMPP: hacker_nao_importa@xmpp.jp (CHAT + SEGURO)
Ajude o canal, seja membro ou:
wellington.aied@gmail.com (PIX)
13qGbdDzGpekjhMYe8DCWZqa177z6eNpSW (BITCOIN)
47qTUYuCk8JWoFBYJtfjZrEGMmJJS2aHecY7Hoi3fJtJRuS6aSEUWAs3J79gMTcwdh3JW7DaHJW4FJ84w84Y4jrZTNzrD9j (MONERO PRIVACIDADE)
0x958caed36f930a48bd6440f26db8431060710973 (ETH)
bnb17pdqgfepp3dta2uwzpur3wnpaa09mcm6k4hvu3 (BNB Binance Coin)
LcQg2P4bKwgjth1npmQKycqcPdKLqqxWLN (Litecoin)
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h
OUTROS CANAIS:
CURSO HACKER (ESPELHO): https://odysee.com/@CursoHacker
NOTÍCIAS HACKER: https://www.youtube.com/channel/UCSN_r70Uy_7HmAjjAerbHuw
...
https://www.youtube.com/watch?v=JVBPV_7nWh4
"#aiedonline no odysee.com"
Curso Hacker, entre a luz e as trevas
APOIA-SE: https://cryptofunding.cloud/funding/pages/project/public.php?id=f7348efd-a170-4ff2-9afb-c34ce956bae1
LIVRO LINUX : https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
LIVRO HACKER: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
TELEGRAM: https://t.me/hacker_luz_e_trevas
CANAL COMPLETO: https://odysee.com/@CursoHacker:d
Como ser MEMBRO e apoiar o canal: https://youtu.be/5_arB_2u-1A
Site do sistema de apoia-se: https://cryptofunding.cloud/funding/pages/index/index.php
--- RECOMPENSAS ----
1 - Acessar mais dados sobre as atividades dentro do projeto;
2 - Poder propor atividades para a equipe de especialistas;
3 - Acesso ao mural com notificação;
4 - Enviar mensagem para os especialistas do projeto;
5 - Influenciar na prioridade das atividades de seu interesse;
"#aiedonline em youtube.com/c/aiedonline"
Livro Linux: https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
Livro Hacker: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
Seja membro: https://youtu.be/fEdz5zX2-4M
Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h
SLIDE: https://docs.google.com/presentation/d/1YA5Ds04pn2PgHnBmxwEy1it7stXUxt59aRHXlqBZO6Q/edit?usp=sharing
Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com
Milhões de vitmas do Malware Hydra
INSTRUÇÕES
CONTEÚDO
Todo o conteúdo obtido é de ambiente controlado, informações práticas são de laboratórios com ambiente privado.
MINHA OPNIÃO PODE NÃO AGRADAR.
DIREITO SOBRE MARCAS
Toda tecnologia citada aqui será citada como referência para estudo e devidos direitos serão respeitados.
2
Olá!
Não Importa
Vou falar sobre: Milhões de vítmas do Malware Hydra
Para entrar em contato: TELEGRAM
3
1
MUDANÇA EM CURSO
Um clássico malware infectando milhões
4
Bancos e aplicações financeiras são alvos de quadrilhas que utilizam malwares para seus fins.
5
SOBRE
Hydra é uma variante do Android BankBot, um tipo de malware projetado para roubar credenciais bancárias.
Solicitando que o usuário habilite permissões perigosas, como acessibilidade, e toda vez que o aplicativo bancário é aberto, o malware está fazedo é substituindo a página de login do aplicativo bancário legítimo por uma maliciosa.
6
A mudança
O malware Hydra Banking Trojan tem como alvo os aplicativos bancãrios que rodam no Android desde 2019, mas recentemente vem se alastrando por países europeus.
7
A mudança
Pesquisadores do Threat Protection Labs identificaram um novo padrão e técnica em uso, vendo esse malware sendo preparado e pronto para ser implantado para atingir um conjunto mais amplo de usuários do Android.
8
AAAA
O malware está se passando por grandes bancos respeitáveis na Alemanha e na Áustria, como:
Volksbank;
Bank Austria;
BAWAG PSK;
CommerzBank;
Deutsche Bank;
easybank;
Santander.
9
Procedimento
10
ATAQUE EM ANDAMENTO
Atualmente um ataque em massa está em execução desde o último trimestre de 2021 (estamos em abril 2022);
São mais de 50 milhões de vítmas (segundo avira.com);
11
AMOSTRAS OBTIDAS DA URL
12
DOMÍNIOS NESTE IP
13
ALVOS NO MOMENTO
14
ALVOS NO MOMENTO
15
DETECTANDO
ANDROID/Dropper.Agent.GAAN.Gen
ANDROID/Dropper.FKLB.Gen
ANDROID/Dropper.FKHF.Gen
16
COMPORTAMENTO
O serviço de acessibilidade é usado;
Descarta um DEX que é excluído depois;
Oculta o ícone do iniciador;
As preferências salvas contêm uma lista de no
...
https://www.youtube.com/watch?v=jFZcrDe4RZQ
"#aiedonline no odysee.com"
Curso Hacker, entre a luz e as trevas
URL: https://www.nbcnews.com/tech/security/states-look-secure-election-results-websites-ahead-midterms-rcna50441
LIVRO LINUX : https://docs.google.com/document/d/14S8MAcjspdbBWsja-Ijb_GQfs4C1PzJmDcTJ3bYXyeQ/edit?usp=sharing
LIVRO HACKER: https://docs.google.com/document/d/17R67zmmJw46yMGYpqt9WOjdo4mLCBjNQbmCNcQuLDlc/edit?usp=sharing
Chat XMPP: hacker_nao_importa@xmpp.jp (CHAT + SEGURO)
Ajude o canal, seja membro o faça um PIX de qualquer valor para wellington.aied@gmail.com
TELEGRAM: https://t.me/joinchat/VPKVjQZAptLV4n0h
OUTROS CANAIS:
CURSO HACKER (ESPELHO): https://odysee.com/@CursoHacker
NOTÍCIAS HACKER: https://www.youtube.com/channel/UCSN_r70Uy_7HmAjjAerbHuw
...
https://www.youtube.com/watch?v=xYjM_8UjS7U