Documentos falsos e mineradores de criptomoedas: especialistas identificam técnicas que 'ocultam' invasões de hackers do Vietnã

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Microsoft e Trend Micro identificaram novas ferramentas de ataque empregadas por um grupo de invasores contra alvos no Vietnã.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====

Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
03/12/2020 11h49 Atualizado há 10 horas
Postado em 03 de dezembro de 2020 às 21h50m

  *.- Post.N. -\- 3.895 -.*  

Empresas descrevem técnicas usadas para despistar profissionais de segurança. — Foto: Simon Stratford/Freeimages

Especialistas em segurança da Microsoft e da Trend Micro detalharam novas técnicas de ataque usadas por um grupo de espiões digitais que vêm atuando contra alvos no Vietnã.

A Microsoft apontou que esses invasores podem instalar mineradores de criptomoeda para despistar os times de segurança das organizações, enquanto a Trend Micro analisou um software espião para macOS que se disfarça de documento do Word.

Embora cada empresa tenha divulgado um relatório próprio sobre suas descobertas e não haja indício de colaboração entre elas, ambas mencionaram que as técnicas foram empregadas pelo grupo de invasores conhecido como "APT32".

A Trend Micro usa o codinome "OceanLotus" para descrever esse grupo, enquanto a Microsoft se refere a eles como "Bismuth".

Outra semelhança entre os casos descritos pela Microsoft e pela Trend Micro está nos alvos atingidos: organizações no Vietnã.

Fora disso, contudo, os casos são muito diferentes. A Microsoft estudou um ataque que atingiu computadores com Windows, utilizando uma série de técnicas específicas para ocultar a atividade dos invasores nesse sistema operacional.

A Trend Micro, por sua vez, detalhou o funcionamento de um programa espião para o macOS, da Apple.

No macOS, invasores se aproveitam de extensão falsa

O ataque identificado pela Trend Micro utilizou um truque para esconder um programa malicioso de macOS em um suposto documento do Microsoft Word.

Os espiões se aproveitaram de uma particularidade técnica na maneira que computadores processam texto para fazer com que um arquivo ".doc", que normalmente seria aberto pelo Word, fosse executado como um programa.

Embora o arquivo pareça ter a extensão ".doc", ele na realidade possui um caractere invisível que faz com que o sistema não reconheça a extensão visível para o usuário.

Como o macOS não reconhece a extensão, o arquivo passa a ser aberto pelo interpretador de comandos do sistema – na prática, o arquivo se transforma em um programa.

Para completar o disfarce, os criminosos injetaram um ícone falso no programa, deixando-o com a mesma aparência de um documento de Word.

Após ser executado, o programa instala o software espião no sistema e então abre um arquivo do Word para que a vítima não suspeite que foi alvo de um ataque.

Apesar da engenhosidade desse truque, ele pode ser facilmente replicado por outros invasores – o que significa que usuários precisam ter muito cuidado ao abrir arquivos aparentemente benignos.

Minerador de criptomoeda para despistar técnicos

O ataque contra Windows descrito pela Microsoft utiliza uma série de técnicas conhecidas para se ocultar no sistema, em especial a execução por "dentro" de programas conhecidos, inclusive o próprio antivírus Defender incluído no Windows.

Ou seja, mesmo que a vítima confira o "Gerenciador de Tarefas" do Windows – que mostra os programas em execução –, ela não suspeitará da presença do vírus.

No entanto, os especialistas da empresa chamaram atenção para outro detalhe: a instalação de um minerador de criptomoeda.

Mineradores de criptomoeda se aproveitam do poder de processamento do computador invadido para contribuir com a mineração de criptomoeda em benefício do invasor.

Na prática, eles conseguem transformar o poder de processamento e a energia elétrica da vítima em um benefício financeiro para o invasor.

Como esses ataques são muito comuns, a Microsoft acredita que o objetivo dos invasores é despistar os técnicos que estiverem investigando esses ataques.

Segundo essa hipótese, os times responsáveis pela análise da invasão considerariam que o ataque é de baixa sofisticação – uma invasão "corriqueira" – após encontrar um programa malicioso com esse tipo de característica.

Induzindo os profissionais ao erro, o programa de espionagem poderia evitar uma investigação mais aprofundada. Na pior das hipóteses, a organização atacada poderia não perceber que seus dados foram roubados pelo software espião.

A Microsoft recomenda que as instituições levem isso em conta ao investigar ataques e códigos maliciosos encontrados em seus computadores.

Quem é o 'OceanLotus'

Ativo pelo menos desde 2012, o grupo que a Trend Micro chama de "OceanLotus" também já foi chamado de "SeaLotus" e de "Cobalt Kitty" no passado.

O nome "Cobalt Kitty" é uma derivação de um software comercial destinado a equipes que realizam testes de invasão e que já foi utilizado por esses invasores – eles são conhecidos por misturar ferramentas comerciais e próprias em suas ações.

O nome "Bismuth" (bismuto), adotado pela Microsoft, segue o padrão da fabricante do Windows de batizar os grupos de espiões digitais com nomes de elementos químicos.

De acordo com a Microsoft, esse grupo redige e-mails sob medida para as vítimas e até se corresponde com elas para criar um vínculo de confiança antes de enviar os arquivos maliciosos que darão início à invasão e, por sua vez, a captura de dados da rede do alvo. Pela forma de atuação, é considerado um grupo de "ameaça avançada".

Ataques do OceanLotus já foram registrados contra empresas privadas e instituições governamentais. Recentemente, a consultoria Recorded Future detalhou um ataque realizado contra o governo do Camboja.

Especialistas já vincularam as atividades desse grupo aos interesses do Vietnã, levantando inclusive a hipótese de que os responsáveis por essas ações seriam financiados pelo governo vietnamita.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------

IBM diz que processo de transporte de vacinas contra Covid-19 é alvo de hackers

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Cibercriminosos enviaram e-mails falsos para empresas envolvidas na logística das doses. Empresa não revelou se o ataque teve algum sucesso.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====
Por G1  
03/12/2020 12h22 Atualizado há 9 minutos
Postado em 20 de dezembro de 2020 às 12h40m

  *.- Post.N. -\- 3.894 -.*  

Hackers tentaram obter informações sobre processo de logística da vacina contra Covid-19. — Foto: REUTERS/Dado Ruvic

A IBM emitiu um alerta nesta quinta-feira (3) sobre hackers que visam empresas essenciais para a distribuição de vacinas contra Covid-19.

A empresa disse em publicação em seu blog que descobriu "uma campanha global de phishing" (um tipo de golpe que tenta enganar as pessoas por meio de e-mails falsos) focada em organizações associadas à "cadeia fria" da vacina contra Covid-19 – mas não indicou se ela foi bem-sucedida.

A "cadeia fria" é o processo necessário para manter as doses da vacina em temperaturas extremamente baixas, enquanto são transportadas. Vacinas como a desenvolvida pela Pfizer e BioNTech, por exemplo, precisam ser mantida a menos 70 graus Celsius.

• Saiba mais: Insumos, aprovação e transporte. Veja o caminho até a vacinação contra a Covid-19

A unidade de cibersegurança da IBM afirmou ter detectado um grupo avançado de hackers trabalhando para coletar informações sobre diferentes aspectos desse processo de logística.

Para isso, os hackers usaram e-mails meticulosamente elaborados com armadilhas eletrônicas enviados em nome de um executivo da Haier Biomedical, uma empresa chinesa especializada em transporte de vacinas e armazenamento de amostras biológicas.

O objetivo dos criminosos era obter credenciais de login dessas companhias para ter acesso a "redes corporativas e informações sensíveis sobre a distribuição da vacina", segundo os pesquisadores.

O relatório sugere que os invasores poderiam roubar informações, obter detalhes sobre tecnologia e contrato, criar confusão e desconfiança nas vacinas ou até mesmo perturbar o esquema de logística.

Os hackers realizaram "um esforço excepcional", disse a analista da IBM Claire Zaboeva, que ajudou a produzir o relatório. Eles pesquisaram a marca, o modelo e o preço correto de várias unidades de refrigeração da Haier, afirmou Zaboeva.

A IBM não revelou se a campanha teve algum sucesso, e disse que a coordenação do ataque sugere que houve participação de alguma nação, sem apontar para nenhum país específico.

Entre os alvos do ataque estavam um órgão de fiscalização aduaneira da Comissão Europeia e empresas de diversos países.

A IBM não apresentou os nomes das companhias afetadas, mas disse que todas provavelmente estavam associadas com um programa de logística liderada pela Gavi, uma aliança internacional de vacinação.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos também publicou o relatório, alertando os membros da Warp Speed – a operação nacional de vacinação do governo dos Estados Unidos – para ficarem atentos.

Na quarta-feira (2), a Interpol emitiu um alerta solicitando que forças de segurança de todo o mundo se preparem para lidar com ações criminosas relacionadas às vacinas.

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------

iPhone tinha falha em 'Wi-Fi secreto' que permitia hackear aparelho e criar vírus capaz de se propagar a outros celulares

=======.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____--------------______---------   -----------____---.=.=.=.= ====


Erro encontrado por especialista do Google já foi corrigido pela Apple no iOS 13.5. Aparelhos com AirDrop, Wi-Fi e Bluetooth ligados podiam ser atacados sem intervenção da vítima.  
===+===.=.=.= =---____---------   ---------____------------____::_____   _____= =..= = =..= =..= = =____   _____::____-------------______---------   ----------____---.=.=.=.= +====

Por Altieres Rohr
É fundador de um site especializado na defesa contra ataques cibernéticos
02/12/2020 16h33 Atualizado há 53 minutos
Postado em 02 de dezembro de 2020 às 17h40m

  *.- Post.N. -\- 3.893 -.*  

Apple desenvolveu rede própria de Wi-Fi para recursos exclusivos como o AirDrop, mas falha grave poderia comprometer a segurança dos smartphones da fabricante — Foto: Thomas Peter/Reuters

Um celular normalmente não pode ser invadido por espiões sem que a vítima ao menos receba algum conteúdo ou até instale um aplicativo malicioso no aparelho. Porém, uma vulnerabilidade do iPhone permitia quebrar essas "regras" e assumir completamente o controle do aparelho, desde que ele estivesse próximo do invasor.

Usando essa falha, um criminoso poderia ler a memória do dispositivo, receber fotos da câmera e propagar um vírus para outros celulares iPhone.

O problema foi encontrado pelo especialista do Google Ian Beer. Ele faz parte do "Projeto Zero", uma equipe de "caçadores de falhas" que investigam brechas existentes em qualquer produto de tecnologia, mesmo que não sejam do Google.

O erro foi relatado à Apple e corrigido pela fabricante no iOS 13.5, lançado em maio de 2020. Se o iPhone não estiver atualizado com pelo menos esta versão do sistema, ele continua vulnerável (veja o cenário completo abaixo).

Depois de relatar a vulnerabilidade para a fabricante do iPhone, garantindo a proteção dos usuários, o especialista do Google iniciou uma "odisseia" de seis meses para aperfeiçoar um ataque viável no mundo real e compreender as possibilidades que esse erro pode ter aberto para criminosos e espiões.

No fim, Beer conseguiu desenvolver um programa que usa adaptadores de Wi-Fi USB comuns, que podem ser encontrados no varejo, para manipular a comunicação de uma rede Wi-Fi exclusiva da Apple e, com isso, assumir o controle total de qualquer iPhone vulnerável nas proximidades.

Apesar da gravidade do problema, não há nenhuma evidência de que a falha tenha sido explorada no mundo real. Contudo, há indícios de que o código vulnerável já estava sendo observado por outros especialistas.

Em vídeo de demonstração, especialista Ian Beer usa notebook com adaptadores USB (centro) para explorar falha e receber foto (direita) previamente tirada por iPhone (esquerda). Exploração da brecha não interfere no funcionamento do smartphone e vítima não suspeitaria que o aparelho foi invadido — Foto: Reprodução/YouTube/Ian Beer

'Wi-Fi secreto' acionado por Bluetooth

A jornada de Beer começou com a análise de um "Wi-Fi secreto" usado pela Apple chamado de AWDL (Apple Wireless Direct Link, ou "link direto sem fio da Apple").

Ao contrário do Wi-Fi, que usa um sistema de comunicação comum a todos os fabricantes, o AWDL é desenvolvido pela Apple e apenas utiliza o Wi-Fi como rádio de transmissão.

Ele é ligado automaticamente para o uso de alguns recursos próprios da empresa, como o AirDrop, e sua finalidade é realizar a transferência direta de conteúdo entre dispositivos da Apple.

Uma equipe formada por sete pesquisadores investigou e detalhou o funcionamento do AWDL em 2019, e o que se sabe sobre essa tecnologia basicamente se resume a pesquisas como esta. Como se trata de um canal exclusivo, a Apple não fornece documentação técnica.

Quando ativado pelo iPhone, o AWDL não atrapalha o uso do Wi-Fi normal. Isso é possível graças a um truque: a antena de Wi-Fi "muda de canal" em intervalos de milissegundos.

Como o Wi-Fi prevê situações de perda de sinal ou interferência, o máximo que pode acontecer é uma redução da capacidade de transmissão. Qualquer comunicação perdida será retransmitida, e o usuário não perceberá que está conectado em duas redes ao mesmo tempo.

Com essa troca rápida de canais de transmissão, o iPhone alterna constantemente entre a rede Wi-Fi que está em uso e a rede secundária exclusiva para dispositivos Apple.

Como o AWDL não está sempre ligado, Beer teve que encontrar uma saída para "convencer" o iPhone a usar essa rede. A solução foi recorrer a outra rede de comunicação sem fio: o Bluetooth.

Enviando uma série de transmissões por Bluetooth, o iPhone entenderá que há um contato próximo para o AirDrop e abrirá o canal de comunicação direta da Apple, permitindo a exploração da falha.

Exploração caseira

Em seu relato dos passos para encontrar uma maneira de explorar a falha, o especialista do Google Ian Beer definiu alguns critérios: ele queria utilizar apenas dispositivos ou componentes de fácil aquisição e explorar a vulnerabilidade de uma maneira invisível, sem causar travamentos ou erros que poderiam alertar a vítima.

Durante o percurso, o especialista chegou a descobrir mais duas vulnerabilidades no AWDL, que ele teve de "contornar" para evitar uma pane de sistema que causaria a reinicialização do dispositivo. Beer publicou um vídeo demonstrando esse cenário, em que uma falha é usada para simplesmente travar diversos iPhones de uma só vez.

Outro desafio foi encontrar dispositivos Wi-Fi capazes de "conversar" com o AWDL do iPhone. Depois de adquirir vários adaptadores USB, ele encontrou as capacidades necessárias – mas não em um só dispositivo. Portanto, foi necessário usar dois adaptadores USB de Wi-Fi simultaneamente para transmitir e monitorar todos os dados no formato estabelecido pela Apple.

Quando conseguiu estabelecer uma comunicação com o iPhone pelo AWDL, Beer ainda teve que estudar detalhes da programação da tecnologia e identificar outros erros no código que permitiriam a manipulação da memória de forma limpa, sem intervir de forma negativa no funcionamento do aparelho.

Com esse obstáculo superado, ele programou um pequeno programa que seria executado no aparelho e elaborou uma sequência de transmissões para manipular o iPhone tal maneira que esse código seria incluído na memória e executado pelo sistema durante o processamento do tráfego da rede. Feito isso, o ataque estava completo.

"A lição desse projeto não deve ser: ninguém vai gastar seis meses da própria vida só para hackear meu telefone, está tudo bem. Em vez disso, a lição deveria ser: um indivíduo, trabalhando sozinho em seu quarto, conseguiu construir a capacidade de comprometer seriamente os usuários do iPhone com quem ele tiver contato próximo", explicou Beer.

• SAIBA MAIS: Samsung corrige falha que pode comprometer celular Android com recebimento de imagem

Quando a falha pode ser explorada

Para estar vulnerável a esse problema, o iPhone deve estar nas seguintes condições:

1. iOS em versão abaixo de 13.5 (o 13.5 e versões superiores estão imunes)
2. Wi-Fi habilitado (não é necessário estar conectado a nenhuma rede)
3. Bluetooth habilitado
4. AirDrop habilitado para "apenas contatos" ou "todos"
5. Proximidade com o invasor (esta falha específica não pode ser explorada por SMS ou outras transmissões de longa distância)

Como o próprio sistema operacional do iPhone é responsável por gerenciar a comunicação de rede, a exploração dessa brecha contorna diversas medidas de segurança, como a restrição da instalação de programas fora da App Store.

Para evitar essa e outras falhas, recomenda-se manter o iOS atualizado. Se o AirDrop não costuma ser usado, é possível desabilitá-lo com a opção "Recepção Inativa". No entanto, pode haver outros métodos para forçar o iPhone a ligar o AWDL.

• SAIBA MAIS: Especialistas descobrem métodos para hackear sistemas da Apple e empresa paga R$ 1,5 milhão em recompensas
• Em quais circunstâncias um vídeo pode roubar informações do seu celular?

• Detalhes técnicos foram retidos por um ano

O Projeto Zero é uma iniciativa do Google para melhorar a segurança de qualquer serviço ou produto de tecnologia popular. A empresa financia especialistas que buscam vulnerabilidades e as relatam para os fabricantes.

Pelas regras do projeto, todas as brechas investigadas são mantidas em sigilo por 90 dias após serem comunicadas, ou até o fabricante disponibilizar uma solução para o problema. Em casos mais graves, porém, o prazo pode ser estendido.

A falha no AWDL foi encontrada por Ian Beer em novembro de 2019. Os detalhes técnicos só vieram a público agora – um ano depois. Dessa forma, o problema pôde ser corrigido e houve tempo para que a maioria dos usuários atualizassem o sistema do smartphone, ficando imunes a esse ataque.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

------++-====-----------------------------------------------------------------------=================---------------------------------------------------------------------------------====-++------