Tomando como ponto de partida que um simples antivírus já não basta para proteger a vida digital, a ESET propõe uma abordagem integrada da cibersegurança doméstica para utilizadores de todos os níveis de experiência. A ESET, a maior empresa europeia especialista em cibersegurança, anunciou hoje o lançamento da sua nova oferta inovadora e integrada para utilizadores domésticos. Com mais de 30 anos de experiência no mercado, a ESET está a unificar o seu portfólio de produtos de consumo amplamente difundidos. Em particular, a ESET apresenta três novos níveis de subscrição orientados para o consumidor, proporcionando uma proteção da vida digital ampla e fiável com novas funcionalidades como Virtual Private Network (VPN) e uma extensão de Privacidade e Segurança do Browser. Respondendo à procura dos consumidores por uma abordagem tudo-em-um que permita uma utilização fácil e intuitiva com todas as novas funcionalidades, a ESET introduziu uma versão melhorada do ESET HOME, a plataforma de gestão de segurança das licenças dos produtos e de funcionalidades complementares. Está disponível em todos os principais sistemas operativos – Windows, macOS, Android e iOS – e inclui visibilidade das redes domésticas e dispositivos inteligentes conectados. Plataforma de gestão de segurança completa Para responder às necessidades dos utilizadores domésticos por uma administração eficaz dos vários aspetos da segurança digital, a ESET tornou o ESET HOME numa plataforma integrada. Com o ESET HOME, é possível gerir dispositivos, fazer compras online, ativar e renovar subscrições, descarregar ou atualizar soluções de segurança, e ativar as funcionalidades de segurança VPN, Gestor de Palavras-Passe e muito mais. Para melhorar a experiência do utilizador e simplificar a gestão da plataforma, a ESET efetuou várias alterações na interface, incluindo introduzir o seu Estado Geral de Proteção, que permite aos utilizadores visualizar o nível de proteção nas suas casas numa janela única. Esta janela combina a validade das licenças de um utilizador, bem como o estado de segurança dos dispositivos ligados à conta em três categorias: Protegido, Atenção Necessária e Alerta de Segurança. Estas alterações visam proporcionar aos utilizadores uma proteção de ponta, com o mínimo de intervenção para configurar o produto. O ESET HOME é um portal web fácil de utilizar e uma aplicação móvel disponível para iOS e Android. Explore os novos níveis de subscrição e as suas funcionalidades Com este lançamento, são também introduzidos três níveis de subscrições: ESET HOME Security Essential, ESET HOME Security Premium e ESET HOME Security Ultimate. Os níveis de subscrições oferecem uma proteção completa, desde o nível de entrada de proteção até ao nível máximo, cobrindo as necessidades complexas dos utilizadores e dos seus agregados familiares em termos de privacidade e segurança na vida digital. As subscrições do ESET HOME Security estão disponíveis em todos os principais sistemas operativos – Windows, macOS, Android e iOS.
De acordo com Ricardo Neves, Marketing Manager na ESET Portugal: “Estas novas soluções elevam a proteção dos dispositivos para um novo patamar de sofisticação. Os utilizadores vão beneficiar de uma proteção mais abrangente adaptada às necessidades de segurança cada vez mais exigentes.” Para mais informações, por favor visite www.eset.pt. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Novas-solucoes-de-seguranca-para-utilizadores-domesticos/
O novo relatório da ESET visa monitorizar as atividades de grupos que devido às suas fortes ligações a outros estados são habitualmente designados de grupos avançados de Advanced Persistent Threat – ou grupos APT. A ESET, empresa europeia especialista em cibersegurança, divulgou o seu mais recente relatório sobre as atividades de grupos de ameaça organizados – designados grupos Advanced Persistent Threat (APT) – selecionados que foram observados, investigados e analisados pelos investigadores da ESET de abril de 2023 até o final de setembro de 2023.
A investigação da ESET descobriu campanhas de ciberataque levadas a cabo por grupos APT alinhados com a China na União Europeia (UE) que exploraram vulnerabilidades para extrair dados de entidades governamentais e organizações associadas. Além disso, o relatório acompanha a evolução da ciberguerra conduzida pela Rússia na Ucrânia, desde atividades de sabotagem a espionagem. Grupos APT em manobras de ciberespionagem na UE O novo relatório APT da ESET descreve as operações na UE de dois grupos APT alinhados com a China não identificados anteriormente. O primeiro, o DigitalRecyclers, comprometeu repetidamente uma organização governamental na UE desde 2018, usando ferramentas desenvolvidas por agentes maliciosos do Paquistão, na última década. O segundo grupo APT, o PerplexedGoblin, usa uma backdoor descoberta pela ESET em novembro de 2022 para atacar também uma organização governamental na UE. Já os grupos APT Sednit e Sandworm, alinhados com a Rússia, o grupo APT Konni, alinhado com a Coreia do Norte, e os grupos APT Winter Vivern e SturgeonPhisher, geograficamente não atribuídos, exploraram também vulnerabilidades em software desde o WinRAR, até ao Outlook, para atingir várias organizações governamentais na Europa e na Ásia Central. A evolução da ciberguerra na Ucrânia O principal alvo dos grupos APT alinhados com a Rússia continuou a ser a Ucrânia, onde a ESET descobriu novas versões de malware destinado a eliminar dados e aplicações – ou wipers. Enquanto alguns grupos têm como alvo os utilizadores do Telegram para tentar extrair informações ou, pelo menos, alguns metadados relacionados com o Telegram, outros utilizam ativamente o serviço para publicitar as suas operações de sabotagem. O grupo APT mais ativo na Ucrânia continuou a ser o Gamaredon, que melhorou significativamente as suas capacidades de recolha de dados através do redesenvolvimento de ferramentas existentes e da implantação de novas ferramentas. Relatórios técnicos para proteção estratégica Versões técnicas detalhadas dos relatórios de atividade de grupos APT são produzidas pela ESET para clientes privados que visam ajudar as organizações encarregues de proteger os cidadãos, infraestruturas nacionais críticas e ativos de elevado valor contra ciberataques a outros países. As descrições completas dessas atividades foram anteriormente fornecidas exclusivamente a esses clientes. Mais informações sobre os relatórios APT PREMIUM da ESET, que fornecem insights de alta qualidade, estratégicos, acionáveis e táticos sobre ameaças à cibersegurança, estão disponíveis no site da ESET Threat Intelligence. Para mais informações técnicas, consulte o relatório APT no WeLiveSecurity. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Relatorio-de-Atividades-de-Grupos-APT-Abr-Set-2023
Devido ao seu já considerável historial de ciberataques, bem como às suas fortes ligações ao governo da Coreia do Norte, o grupo de ciberespionagem Lazarus é atualmente designado um grupo de Advanced Persistent Threat – ou grupo APT. Investigadores da ESET, empresa europeia especialista em cibersegurança, descobriram um ataque do grupo APT Lazarus contra uma empresa aeroespacial em Espanha, no qual o grupo utilizou várias ferramentas com o objetivo final de promover ações de ciberespionagem. Um grupo com fortes ligações ao governo da Coreia do Norte, o Lazarus obteve acesso inicial à rede da empresa em Espanha no ano passado, após uma campanha altamente direcionada de phishing (também designada de spearphishing), onde operadores do grupo se fizeram passar por recrutadores da Meta – a empresa por detrás do Facebook, Instagram e WhatsApp.
Para levar a cabo o ataque, o grupo APT Lazarus distribuiu malware que executava ações específicas que os atacantes desejavam realizar (ou payload) de um novo tipo, que a ESET designou de LightlessCan. Este payload é uma ferramenta complexa e, possivelmente, em evolução que exibe um elevado nível de sofisticação no seu design e operabilidade, representando um avanço significativo nas capacidades maliciosas quando comparado com outras ferramentas. Na primeira abordagem aos funcionários da empresa visada, o recrutador impostor contactou as vítimas através do LinkedIn Messaging, uma funcionalidade da plataforma de rede social profissional LinkedIn, enviando-lhes dois desafios de programação supostamente necessários como parte do processo de recrutamento, que a vítima descarregou e executou num dispositivo da empresa. A investigação da ESET foi capaz de reconstruir os passos iniciais de acesso e analisar o conjunto de ferramentas utilizadas pelo Lazarus graças à cooperação com a empresa aeroespacial afetada. O Lazarus enviou vários payloads para os sistemas das vítimas, o mais notável dos quais o trojan de acesso remoto (Remote Access Trojan – RAT) sofisticado e anteriormente não documentado LightlessCan. O trojan imita as funcionalidades de uma vasta gama de comandos nativos do Windows, normalmente utilizados de forma fraudulenta pelos agentes maliciosos, permitindo uma execução discreta dentro do próprio RAT em vez de execuções visíveis na consola. Esta mudança estratégica aumenta a dissimulação, tornando a deteção e análise das atividades do grupo APT mais difícil. Outro mecanismo usado para minimizar a exposição foram os execution guardrails – um conjunto de protocolos e mecanismos de proteção implementados para salvaguardar a integridade e a confidencialidade do payload durante a sua implementação e execução, impedindo eficazmente a desencriptação em máquinas não visadas, como as dos investigadores de segurança. O Lazarus (também conhecido como HIDDEN COBRA) é um grupo APT de ciberespionagem com fortes ligações à Coreia do Norte que está ativo desde, pelo menos, 2009. A diversidade, o número e a excentricidade na implementação das campanhas do Lazarus definem este grupo, que executa os três pilares das atividades cibercriminosas: ciberespionagem, cibersabotagem e procura de ganhos financeiros. As empresas aeroespaciais não são um alvo invulgar para os grupos APT alinhados com a Coreia do Norte. O país efetuou vários testes de mísseis avançados que violam as resoluções do Conselho de Segurança das Nações Unidas. Para mais informações técnicas sobre o grupo APT Lazarus, o seu último ataque e o LightlessCan, consulte o artigo completo no WeLiveSecurity. Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Lazarus-ataca-empresa-aeroespacial/ Os emails de phishing são uma arma predileta de criminosos para roubar dados pessoais dos utilizadores e instalar malware nos seus dispositivos. Mas é possível atenuar o dano causado pelo primeiro clique no link errado. O phishing caracteriza-se por tentativas de ataque, muitas vezes por email ou websites fraudulentos, em que agentes maliciosos fazem-se passar por pessoas ou entidades de confiança para manipular as vítimas a ceder informações sensíveis, clicar em links maliciosos, entre outros. Entre todas as categorias de ciberameaças detetadas pela telemetria da ESET, empresa europeia líder em soluções de cibersegurança, os ataques de phishing em emails foram das principais ameaças para os utilizadores em Portugal na primeira metade do ano[i]. Erros ortográficos, gramática estranha, linguagem urgente ou ameaçadora, falta de contexto – tudo isto são sinais comuns de ataques de phishing em emails.
No entanto, algumas ameaças de phishing são mais difíceis de detetar. Algumas envolvem um investimento significativo de tempo e um planeamento meticuloso por parte dos agentes maliciosos, que até examinam as comunicações anteriores das suas vítimas, o que acaba por tornar o ataque altamente convincente e bem-sucedido. Basta um deslize e uns segundos para ser vítima de um ataque de phishing – e nem mesmo os profissionais de TI estão isentos deste risco! Uma mensagem de email aparentemente inócua pode conter um link no qual deve clicar antes que, jura o seu autor, “seja tarde demais”. Considerando a popularidade dos ataques de phishing em emails em Portugal, é importante para os utilizadores conhecerem as suas opções após se aperceberem que clicaram no sítio errado. A ESET deixa 10 passos essenciais: 1. Não forneça mais informações Digamos que recebeu um email de uma loja online que levanta suspeitas, mas clicou no link do corpo do email sem pensar muito ou apenas por curiosidade. O link envia-o para um website que parece legítimo, mas as dúvidas persistem na sua mente. A abordagem mais simples é não partilhar qualquer informação adicional. Não introduza o seu login nem forneça os detalhes da sua conta bancária. Se os cibercriminosos só queriam os seus dados e não comprometeram o seu dispositivo com malware, é provável que tenha acabado de escapar a um ataque pior. 2. Desligue o seu dispositivo da Internet Alguns ataques de phishing podem levá-lo a dar aos agentes maliciosos acesso ao seu computador, smartphone ou outro dispositivo. Estes podem instalar malware, recolher informações sobre si e o seu dispositivo ou obter controlo remoto do dispositivo comprometido. Para reduzir os danos, é imperativo agir rapidamente. Comece por desligar o dispositivo comprometido da Internet. Se utilizar um PC com uma ligação por cabo, basta desligar o cabo de Internet do seu computador. Se estiver ligado através de Wi-Fi, desligue-o nas definições do dispositivo ou ligue o modo de avião no seu smartphone. 3. Faça backup dos seus dados Desligar-se da Internet impedirá que mais dados sejam enviados para o servidor malicioso, mas os seus dados continuam a estar em perigo. Deve fazer um backup dos seus ficheiros, principalmente dos documentos sensíveis ou dos ficheiros com elevado valor pessoal, como fotografias e vídeos. No entanto, fazer backup dos seus dados depois de terem sido comprometidos pode ser arriscado, uma vez que podem já ter sido comprometidos por malware. É provável que faça backup do malware juntamente com as fotografias da sua última festa de aniversário. Em vez disso, deve fazer backup dos seus ficheiros regularmente e de forma preventiva. Se o malware atingir o seu dispositivo, pode recuperar os seus dados a partir de um disco rígido externo, uma pen USB ou serviço de armazenamento na cloud. 4. Efetue uma verificação de malware e outras ameaças Execute uma verificação completa do seu dispositivo utilizando software anti-malware de um especialista em cibersegurança, enquanto o dispositivo ainda está desligado da Internet. Se o processo de verificação não encontrar qualquer risco potencial, mas ainda tiver dúvidas, contacte o seu fornecedor de cibersegurança. E se ainda não estiver a utilizar qualquer software anti-malware multicamada com funcionalidades anti-phishing, arranje um! 5. Considere uma reposição de fábrica A reposição de fábrica significa repor o smartphone no seu estado original, removendo todas as apps e ficheiros instalados. No entanto, alguns tipos de malware podem persistir no seu dispositivo mesmo após uma reposição total, mas é provável que a limpeza do seu dispositivo móvel ou computador remova com êxito qualquer ameaça. Lembre-se de que uma reposição de fábrica é irreversível e irá limpar todos os dados armazenados localmente. Nunca é demais sublinhar a importância de efetuar backups regulares! 6. Reponha as suas passwords Os emails de phishing podem induzi-lo a divulgar os seus dados sensíveis, tais como números de identificação, detalhes bancários e de cartões de crédito ou credenciais de acesso. Mesmo que não forneça os seus dados, é possível que, se tiver malware instalado no seu dispositivo, este possa localizá-los. Se pensa que este é o caso, principalmente se os emails de phishing lhe pedirem para fornecer um login específico, deve alterar imediatamente as suas credenciais de login, especialmente se reciclar a mesma password em várias contas. Estas situações realçam a importância de utilizar nomes de utilizador passwords únicos para diferentes serviços online. 7. Contacte bancos, autoridades e fornecedores de serviços Se introduziu dados bancários/cartões de crédito ou dados de acesso a um website com acesso aos seus cartões, informe imediatamente o seu banco. O seu cartão pode ser bloqueado ou congelado para evitar futuras fraudes, e pode evitar ou minimizar qualquer perda financeira. Não se esqueça de verificar se o seu banco (ou outro serviço de pagamento comprometido) tem uma política de reembolso para as vítimas de burlas. Para evitar que outras pessoas caiam no mesmo esquema, é importante também contactar as autoridades locais. 8. Detete as diferenças Os criminosos que conseguem entrar com sucesso num dos seus dispositivos ou contas podem tentar estabelecer a sua presença durante o máximo de tempo possível. Podem alterar os seus logins, endereços de email, números de telefone ou qualquer coisa que os ajude a solidificar a sua posição na sua conta. Reveja a sua atividade nas contas das redes sociais, as informações bancárias e o seu histórico de encomendas de compras online. Se, por exemplo, detetar algum pagamento que pareça estranho, desconhecido ou não autorizado, comunique-o, altere as suas credenciais e peça um reembolso. 9. Procure dispositivos não reconhecidos Se os agentes maliciosos roubaram os detalhes da sua conta, é provável que tenham tentado iniciar sessão a partir do seu próprio dispositivo. A maioria das plataformas de redes sociais mantém um registo das suas sessões de login atuais nas definições de privacidade. Verifique-o e force o fim de sessão em qualquer dispositivo desconhecido. 10. Notifique os seus amigos, contactos, fornecedores de serviços e empregador Por vezes, os cibercriminosos utilizam a sua lista de contactos numa conta comprometida para espalhar ligações de phishing ou spam. Tenha em atenção este facto e tome medidas para evitar que outros sejam vítimas do mesmo esquema. Se um ciberataque estiver relacionado com as suas contas de trabalho ou com dispositivos emitidos pela sua entidade patronal, siga as regras da sua empresa para lidar com ciberincidentes e comunique imediatamente o caso à sua chefia e ao departamento de TI. Os principais serviços de email, como o Outlook ou o Gmail, também oferecem ferramentas para denunciar emails de phishing diretamente da sua caixa de entrada. Imagem: https://fotos.aempress.com/WhiteHat/ESET/Ataques-de-phishing-em-Portugal [i] A ameaça com maior expressão em Portugal entre dezembro de 2022 e maio de 2023 (H1 2023) foi a ameaça de email HTML/Phishing.Agent trojan, que constituiu 27,67% das deteções no período. Esta ameaça refere-se a documentos HTML maliciosos enviados por email, que, quando abertos num navegador web, remetem o utilizador para um site de phishing (Fonte: telemetria da ESET para Portugal em H1 2023). No mês do regresso ao trabalho, a ESET mantém-no a par das 5 principais tendências que marcam a paisagem atual das ciberameaças. O regresso ao trabalho depois do período de férias é um momento propício para passar em revista as principais tendências que caracterizam as ciberameaças da atualidade. Afinal, ficar um passo à frente das tendências do cibercrime é uma parte integral do combate contra agentes maliciosos: por um lado, da parte dos consumidores e empresas, que necessitam de continuar a aumentar as suas defesas; por outro, da parte de especialistas como a ESET, que fornecem soluções avançadas de cibersegurança. Relatórios europeus recentes, quer da Europol, quer da agência britânica de serviços de segurança National Crime Agency (NCA), fornecem uma fotografia valiosa da atual paisagem de ameaças para funcionários de TI e consumidores na Europa. Desde Estados “arranjados” com grupos de cibercrime organizado, até uma epidemia de fraudes, passando pela normalização do cibercrime, são vários os motivos para querer ficar atento – e protegido. As 5 tendências do cibercrime a ter em conta 1. Estados associados a cibercriminosos Atividades patrocinadas pelo Estado e o cibercrime foram, durante anos, áreas bastante distintas. A primeira girava em torno da ciberespionagem e/ou de ataques destrutivos destinados a promover objetivos geopolíticos e militares. A segunda centrava-se, de forma mais simplista, em ganhar dinheiro. Segundo a NCA, estamos a assistir cada vez mais a uma convergência entre as duas. Esta convergência não se manifesta apenas no facto de alguns agentes utilizarem técnicas de cibercrime para roubar dinheiro ao Estado. Ou no facto de alguns governos ignorarem atividades do ransomware e de outros grupos. “No último ano, começámos a ver Estados hostis começarem a utilizar grupos de crime organizado – nem sempre da mesma nacionalidade – como proxies,” alerta Graeme Biggar, chefe da NCA. “É uma evolução que nós e os nossos colegas do MI5 e do policiamento de combate ao terrorismo estamos a acompanhar de perto.” Não é a primeira vez que os peritos, incluindo a ESET, se apercebem de uma ligação crescente entre o crime organizado e os Estados-nação. De facto, há apenas três meses, os investigadores da ESET escreveram sobre o interessante caso do grupo denominado Asylum Ambuscade, que se situa entre o crime e a espionagem. 2. O roubo de dados está a alimentar uma epidemia de fraude No Reino Unido, a fraude representa atualmente 40% de toda a criminalidade, sendo três quartos dos adultos visados em 2022, quer por telefone, quer pessoalmente ou online, de acordo com a NCA. Isto deve-se, em parte, a um fluxo contínuo de dados comprometidos que chegam aos mercados da dark web. A Europol vai mais longe, afirmando que os dados são a “mercadoria central” da economia do cibercrime, alimentando a extorsão (por exemplo, ransomware), a engenharia social (por exemplo, phishing) e muito mais. Os próprios dados vendidos nesses mercados não são cada vez mais apenas informações estáticas, como detalhes de cartões, mas compilados a partir de múltiplos pontos de dados recuperados do dispositivo de uma vítima, afirma a Europol. A cadeia de abastecimento da cibercriminalidade, desde o roubo de dados até à fraude, pode envolver muitos intervenientes. Esta economia baseada em serviços é surpreendentemente eficaz. No entanto, a NCA afirma que estes serviços profissionais também podem ajudar as autoridades policiais, “fornecendo um rico conjunto de alvos que, quando interrompidos, têm um impacto desproporcionado no ecossistema criminoso”. 3. As mesmas vítimas são frequentemente objeto de vários ataques A forma como o submundo do cibercrime funciona atualmente significa que mesmo as organizações que acabaram de ser atacadas podem não conseguir respirar de alívio por o pior já ter passado. Hoje, os cibercriminosos vendem a vários agentes de ameaças o acesso às mesmas organizações. Isto significa que o mesmo conjunto de credenciais empresariais comprometidas pode estar a circular entre vários agentes de ameaças, diz a Europol. 4. O phishing continua a ser surpreendentemente eficaz O phishing tem sido um dos principais vetores de ameaça desde há muitos anos e continua a ser uma via privilegiada para obter logins e informações pessoais, bem como para implementar malware de forma dissimulada. Continua a ser popular e eficaz porque os seres humanos continuam a ser o elo mais fraco da cadeia de segurança, defende a Europol. A utilização generalizada de kits de phishing ajuda a automatizar e a baixar a fasquia para os cibercriminosos menos capazes tecnicamente, com a ESET descobriu recentemente no caso “Telekopye”. A Europol também alerta para o facto de já estarem a ser utilizadas ferramentas de IA generativa para criar vídeos deepfake e escrever mensagens de phishing mais realistas. 5. O comportamento criminoso é cada vez mais normalizado entre os jovens Os sites da dark web foram desde sempre um local de comércio não só de dados roubados e ferramentas de ataque, mas também de conhecimento. De acordo com a Europol, esta situação persiste atualmente, com os utilizadores a procurarem e a receberem recomendações sobre como evitar a deteção e como tornar os seus ataques mais eficazes. Tutoriais, FAQs e manuais de instruções oferecem ajuda em campanhas de fraude, lavagem de dinheiro, exploração sexual de crianças, phishing, malware e muito mais. Talvez mais preocupante seja o facto de os sites e fóruns clandestinos – alguns dos quais funcionam na Internet “de superfície” – serem também utilizados para recrutar jovens, segundo a Europol. Os jovens estão especialmente expostos: um relatório de 2022 citado pela Europol afirma que 69% dos jovens europeus já cometeram pelo menos uma forma de cibercriminalidade ou de dano ou risco online, incluindo branqueamento de capitais e pirataria digital. Para mais informação sobre tendência da paisagem atual de ciberameaças também pode consultar o mais recente Relatório de Ameaças da ESET, que resume as principais estatísticas dos sistemas de deteção da especialista europeia. Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Tendencias-da-paisagem-de-ciberameacas/ O Telekopye é um kit de ferramentas que atua como um bot do Telegram e que ajuda atacantes com menor conhecimento técnico a enganar as suas vítimas. Investigadores da ESET, empresa europeia líder em soluções de cibersegurança, descobriram um kit de ferramentas que ajuda agentes maliciosos com menor experiência técnica a cometer cibercrimes. Designado “Telekopye”, o kit está implementado como um bot de Telegram e possui capacidades que incluem criar websites de phishing, enviar SMS e emails de phishing, e criar falsas capturas de ecrã. Segundo a telemetria da ESET, a ferramenta Telekopye está ativa desde 2015 e encontra-se em desenvolvimento ativo. Várias pistas apontam para a Rússia como o país de origem dos autores e utilizadores desta ferramenta. “Descobrimos o código-fonte de um kit de ferramentas que ajuda tanto os agentes maliciosos que eles não precisam de ser particularmente versados em TI, mas apenas de ser persuasivos para com as vítimas. Este kit de ferramentas é implementado como um bot de Telegram que, quando ativado, fornece vários menus fáceis de navegar na forma de botões clicáveis que podem acomodar muitos cibercriminosos de uma só vez,” explica o investigador da ESET, Radek Jizba. “As vítimas desta operação fraudulenta são designadas ‘Mamutes’ pelos agentes maliciosos. Por uma questão de clareza, e seguindo a mesma lógica, referimo-nos nas nossas conclusões aos cibercriminosos que utilizam o Telekopye como Neandertais.” O Telekopye foi transferido várias vezes para o VirusTotal, principalmente da Rússia, Ucrânia e Uzbequistão. Estes são os países a partir dos quais os atacantes normalmente operam, com base na língua utilizada nos comentários do código e na localização da maioria dos mercados visados. Apesar de os principais alvos dos cibercriminosos serem mercados online populares na Rússia, como o OLX e o YULA, a ESET também observou alvos que não são nativos da Rússia, como o BlaBlaCar ou o eBay, e até outros que não têm nada em comum com a Rússia, como o JOFOGAS e o Sbazar. A ESET conseguiu recolher várias versões do Telekopye, o que sugere um desenvolvimento ativo. O kit de ferramentas tem várias funcionalidades diferentes que os agentes maliciosos podem utilizar em toda a sua extensão. Estas incluem o envio de emails de phishing, a criação de páginas web de phishing, o envio de mensagens SMS, a criação de códigos QR e a criação de falsas capturas de ecrã. Além disso, algumas versões do Telekopye podem armazenar dados da vítima (normalmente detalhes de cartões ou endereços de email) no disco onde o bot é executado. Os cibercriminosos não transferem o dinheiro roubado das vítimas para as suas próprias contas. Em vez disso, todos os agentes maliciosos usam uma conta Telekopye partilhada, controlada pelo administrador do Telekopye. O Telekopye mantém um registo do sucesso de cada atacante, registando as contribuições associadas a essa conta partilhada – quer num simples ficheiro de texto, quer numa base de dados SQL. Consequentemente, os cibercriminosos são pagos pelo administrador do Telekopye deduzindo as taxas de administração. Os grupos de cibercriminosos que utilizam o Telekopye estão organizados numa hierarquia de cinco classes, do menor para o maior privilégio. Os atacantes das classes superiores pagam taxas de comissão mais baixas. “A maneira mais fácil de saber se está a ser alvo de um agente malicioso do Telekopye, ou de qualquer outro atacante, é procurar anomalias, erros e discrepâncias na linguagem utilizada. Insista na troca presencial de dinheiro e bens sempre que possível quando negociar bens em segunda mão em mercados online e evite enviar dinheiro a não ser que tenha a certeza do seu destino,” aconselha Jizba. Para informação técnica sobre esta investigação, consulte o artigo dedicado no WeLiveSecurity. Imagem: https://fotos.aempress.com/WhiteHat/ESET/Telekopye/ A ESET Research, braço de investigação da empresa europeia de cibersegurança ESET, descobriu um novo grupo de ciberespionagem, o MoustachedBouncer. O seu nome deve-se à sua presença na Bielorrússia e está alinhado com os interesses do governo local. Ativo desde pelo menos 2014, o grupo visa exclusivamente as embaixadas estrangeiras, incluindo as europeias, na Bielorrússia. Desde 2020, o MoustachedBouncer tem sido capaz de efetuar ataques adversary-in-the-middle (AitM) ao nível do ISP, na Bielorrússia, para comprometer os seus alvos. O grupo usa dois conjuntos de ferramentas que a ESET chamou de NightClub e Disco. A investigação foi apresentada durante a conferência Black Hat USA 2023 a 10 de agosto, pelo investigador da ESET Matthieu Faou.
De acordo com a telemetria da ESET, o grupo tem como alvo as embaixadas estrangeiras na Bielorrússia, e a ESET identificou quatro países cujos funcionários das embaixadas foram visados: dois da Europa, um do Sul da Ásia e um de África. A ESET estima que o MoustachedBouncer está muito provavelmente alinhado com os interesses da Bielorrússia e é especializado em espionagem, especificamente contra embaixadas estrangeiras na Bielorrússia. O MoustachedBouncer utiliza técnicas avançadas para comunicações de Comando e Controlo (C&C), incluindo a interceção de redes ao nível do ISP para o implante Disco, emails para o implante NightClub e DNS num dos plugins NightClub. Embora a ESET Research monitorize o MoustachedBouncer como um grupo separado, encontrou elementos que fazem com que estime com baixa confiança que ele está a colaborar com outro grupo de ciberespionagem ativo, o Winter Vivern, que teve como alvo funcionários do governo de vários países europeus, incluindo a Polónia e a Ucrânia, em 2023. “Para comprometer os seus alvos, os operadores do MoustachedBouncer adulteram o acesso à Internet das suas vítimas, provavelmente ao nível do ISP, fazendo o Windows acreditar que está por detrás de um portal cativo. Para os intervalos de IP visados pelo MoustachedBouncer, o tráfego de rede é redirecionado para uma página aparentemente legítima, mas falsa, do Windows Update,” afirmou Matthieu Faou, investigador da ESET que descobriu o novo grupo de ciberespionagem. “Esta técnica de adversary-in-the-middle ocorre apenas contra algumas organizações selecionadas, talvez apenas embaixadas, e não em todo o país. O cenário do AitM lembra-nos os grupos cibercriminosos Turla e StrongPity, que instalaram software trojanizado em tempo real ao nível do ISP.” “Embora não se possa descartar totalmente o comprometimento dos routers para realizar ataques AitM nas redes das embaixadas, a presença de capacidades de interceção legal na Bielorrússia sugere que a manipulação do tráfego está a acontecer ao nível do ISP e não nos routers dos alvos,” explica o investigador da ESET. Desde 2014, as famílias de malware utilizadas pelo MoustachedBouncer evoluíram, e uma grande mudança ocorreu em 2020, quando o grupo começou a utilizar ataques adversary-in-the-middle. O MoustachedBouncer opera as duas famílias de implantes em paralelo, mas numa determinada máquina, apenas uma é implantada de cada vez. A ESET acredita que o Disco é usado em conjunto com ataques AitM, enquanto o NightClub é usado para vítimas em que a interceção de tráfego ao nível do ISP não é possível devido a uma mitigação, como a utilização de uma VPN encriptada em que o tráfego da Internet é encaminhado para fora da Bielorrússia. “A principal conclusão é que as organizações em países estrangeiros onde a Internet não é de confiança devem utilizar um túnel VPN encriptado para um local de confiança para todo o seu tráfego de Internet, de modo a contornar quaisquer dispositivos de inspeção de rede. Devem também utilizar software de cibersegurança atualizado e de alta qualidade,” aconselha Faou. O implante NightClub utiliza serviços de email gratuitos, nomeadamente o serviço de webmail checo Seznam.cz e o fornecedor de webmail russo Mail.ru, para roubar dados. A ESET acredita que os atacantes criaram as suas próprias contas de email, em vez de comprometerem contas legítimas. O MoustachedBouncer concentra-se no roubo de ficheiros e na monitorização de discos, incluindo os externos. As capacidades do NightClub também incluem a gravação de áudio, a captura de screenshots e o registo de teclas premidas. Para mais detalhes técnicos sobre o MoustachedBouncer, leia o artigo completo aqui. Imagem de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/MoustachedBouncer/ A ESET, empresa europeia líder em soluções de cibersegurança, divulgou dados exclusivos para Portugal que revelam a prevalência das ameaças detetadas em emails na primeira metade do ano. A telemetria da ESET, cujos resultados foram recentemente compilados num Relatório de Ameaças correspondentemente ao período de dezembro de 2022 a maio de 2023 (ou H1 2023), fornece sinais valiosos da atual paisagem de ciberameaças para os utilizadores em Portugal. Entre todas as ciberameaças nas várias categorias registadas pela ESET em H1 2023, a ameaça com maior expressão no território português foi a ameaça de email HTML/Phishing.Agent trojan, que constituiu 27,67% das deteções. Esta ameaça, que na sua categoria específica representa mais de um terço das deteções (35,1%), refere-se a documentos HTML maliciosos enviados por email que, quando abertos num navegador web, remetem o utilizador para um site de phishing. Tipicamente, esse site fraudulento terá a aparência legítima de um fornecedor de serviços bancários, pagamento ou rede social. Como acontece habitualmente com ciberameaças de elevada expressão, a HTML/Phishing.Agent Trojan registou um grande número de deteções a nível global. Esta ameaça de email teve especial incidência no Japão, Estados Unidos e Reino Unido. Além das ameaças de email relacionadas com tentativas de phishing, outra ameaça de email em destaque em Portugal durante a primeira metade do ano foi a DOC/Fraud Trojan (7,5% das deteções na sua categoria), que, à imagem do que a ESET registou globalmente, reflete um crescimento das tentativas de sextortion. Esta ameaça cobre sobretudo documentos Microsoft Word com vários tipos de conteúdos fraudulentos, distribuídos como anexos de email. Os principais tipos de anexo de email maliciosos em Portugal na primeira metade de 2023 foram os scripts (66,07%), que são muitas vezes utilizados por cibercriminosos para automatizar processos em tentativas de phishing. Os executáveis (14,48%) e os documentos de Office (10,8%) também foram anexos maliciosos populares entre cibercriminosos na primeira metade do ano. Para mais informações, consulte o Relatório de Ameaças H1 2023 da ESET. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/Ameacas-de-email-lideram-ciberameacas-em-Portugal/ O novo Relatório de Ameaças da ESET revela a incrível capacidade de adaptação dos cibercriminosos a medidas de segurança: através da exploração de vulnerabilidades, acessos não-autorizados, acesso a informação sensível, ou fraude a utilizadores vulneráveis. A ESET divulgou o seu Relatório de Ameaças relativo à primeira metade de 2023 (H1 2023), resumindo as principais estatísticas dos sistemas de deteção da ESET e destacando exemplos das suas análises de cibersegurança, incluindo o regresso dos emails fraudulentos de “sextortion” e o aumento das apps de empréstimos fraudulentas. O Relatório de Ameaças H1 2023 da ESET (que cobre o período de dezembro de 2022 a maio de 2023) revela as novas tendências e adaptabilidade dos agentes maliciosos, com exploração de vulnerabilidades, acessos não-autorizados, acesso a informação sensível, ou fraude a utilizadores vulneráveis. Um dos principais motivos para as mudanças nos padrões de ataque são as políticas de segurança mais estritas introduzidas pela Microsoft, em particular na abertura de ficheiros que autorizam macros. Numa tentativa de contornar as medidas de segurança da Microsoft, cibercriminosos substituíram os macros do Office por ficheiros OneNote maliciosos, tirando partido da capacidade de incorporar scripts e ficheiros diretamente no OneNote. Em resposta, a Microsoft ajustou a configuração predefinida, levando os cibercriminosos a continuar a explorar vetores de ataque alternativos, com a intensificação dos ataques de força bruta contra os servidores Microsoft SQL a representar potencialmente uma das abordagens de substituição testadas. No âmbito do ransomware, a telemetria da ESET apresentada no Relatório de Ameaças H1 2023 sugere que agentes maliciosos estão cada vez mais a reutilizar código-fonte anteriormente divulgado para desenhar novas variantes de ransomware. E embora as ameaças de criptomoeda estejam a decrescer de forma constante, as atividades cibercriminosas relacionadas com criptomoeda continuam a persistir, nomeadamente técnicas de “cryptomining” e “cryptostealing”, que estão a ser incorporadas em mais variantes de malware. Noutras ameaças vocacionadas para o enriquecimento financeiro, a ESET observou no Relatório de Ameaças H1 2023 o regresso do chamados emails fraudulentos de sextortion, que exploram os receios das pessoas em relação às suas atividades online, bem como um crescimento alarmante de aplicações de empréstimos fraudulentas, que se fazem passar por serviços legítimos de empréstimo pessoal e que tiram partido de indivíduos vulneráveis com necessidades financeiras urgentes. Para mais informações, consulte o Relatório de Ameaças H1 2023 da ESET. Foto: https://fotos.aempress.com/WhiteHat/ESET/Relatorio-de-Ameacas-H1-2023/
Deteções do Emotet pela ESET: Jan 2022 – Jun 2023 A ESET, empresa europeia líder em soluções de cibersegurança, revela as mais recentes atividades do infame Emotet desde o seu regresso à paisagem das ciberameaças no final de 2021.O Emotet é uma família de malware ativa desde 2014, operada por um grupo cibercriminoso conhecido como Mealybug ou TA542.
Embora tenha começado como um trojan bancário, o Emotet evoluiu mais tarde para uma rede de dispositivos online infetados com malware – ou botnet – tornando-se numa das ciberameaças mais prevalentes em todo o mundo. Em janeiro de 2021, o Emotet foi alvo de um takedown limitado, em resultado de um esforço internacional e colaborativo de oito países, coordenado pela Eurojust e Europol. No entanto, o Emotet voltou ao ativo em novembro de 2021 com várias campanhas de spam, que terminaram abruptamente em abril de 2023. Nas suas últimas campanhas de 2022-2023, a maioria dos ataques detetados pela ESET visaram em particular o Sul da Europa e o Japão. “O Emotet propaga-se através de emails de spam. Pode extrair informações e distribuir malware third-party a computadores comprometidos. Os operadores do Emotet não são muito exigentes quanto aos seus alvos, instalando o seu malware em sistemas pertencentes a indivíduos e empresas de todas as dimensões,” comentou a propósito o investigador da ESET Jakub Kaloč. Ao longo do final de 2021 e até meados de 2022, o Emotet propagou-se principalmente através de documentos maliciosos do Microsoft Word e Microsoft Excel com macros VBA incorporados. Em julho de 2022, a Microsoft mudou as regras do jogo para todas as famílias de malware como o Emotet ao desativar os macros VBA em documentos obtidos na Internet. “A desativação do principal vetor de ataque do Emotet fez com que os seus operadores procurassem novas formas de comprometer os seus alvos. O grupo Mealybug começou a fazer experiências com ficheiros LNK e XLL maliciosos. Em 2023, os operadores do Emotet executaram três campanhas distintas de spam malicioso (ou ‘malspam’), onde cada uma testava uma via de invasão e técnica de engenharia social ligeiramente diferentes,” continuou Kaloč. “No entanto, o tamanho cada vez menor dos ataques e as constantes mudanças na abordagem podem sugerir uma insatisfação com os resultados.” Após o seu ressurgimento, o Emotet recebeu várias atualizações. As características mais assinaláveis foram o facto de o botnet ter mudado o seu esquema de encriptação e ter implementado várias novas técnicas de camuflagem para proteger os seus módulos. Os operadores do Emotet investiram esforços significativos para evitar a monitorização e o rastreio do seu botnet desde o seu regresso. Além disso, implementaram vários módulos novos e melhoraram os existentes para se manterem rentáveis. O Emotet propaga-se através de emails de spam, e as pessoas confiam muitas vezes nesses emails porque utilizam com sucesso uma técnica de sequestro de threads de email. Antes do seu takedown, o Emotet usava módulos designados de Outlook Contact Stealer e Outlook Email Stealer, que eram capazes de roubar emails e informações de contacto do Outlook. No entanto, como nem todas as pessoas usam o Outlook, o Emotet pós-takedown também se concentrou numa aplicação de email alternativa gratuita (Thunderbird). Além disso, começou a usar o módulo Google Chrome Credit Card Stealer, que rouba informações de cartões de crédito armazenados no browser da Google. De acordo com a investigação e telemetria da ESET, os botnets Emotet estão em silêncio desde o início de abril de 2023, muito provavelmente devido à descoberta de um novo vetor de ataque eficaz. Para mais informação técnica, consulte a investigação no WeLiveSecurity. Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/O-regresso-do-Emotet |
Marcas e Empresas
All
Data
September 2023
|