Suposto ataque cibernético ao Irã aponta para uma tendência mundial mais ampla
COMENTÁRIO: Relatos da mídia estatal iraniana no início da semana passada indicaram que o país repeliu com sucesso um ataque cibernético “amplo e complexo” que tinha como alvo sua infraestrutura crítica nacional. Embora a atribuição ainda não tenha sido confirmada, as características operacionais se alinham com ataques anteriores atribuídos a grupos como o Predatory Sparrow , ligado a Israel, conhecido por ter como alvo sistemas industriais e governamentais iranianos. No entanto, o incidente da semana passada destaca uma tendência mais ampla: a crescente frequência e sofisticação dos ataques cibernéticos a infraestruturas críticas em todo o mundo. Somente nas últimas semanas e meses, vários incidentes notáveis evidenciaram essa escalada: A França acusou publicamente o grupo de inteligência militar russo APT28 (Fancy Bear) de conduzir uma série de ataques cibernéticos na última década, visando ministérios do governo francês, contratantes de defesa, meios de comunicação e organizações relacionadas às Olimpíadas de Paris de 2024.A Espanha iniciou uma investigação judicial sobre possível sabotagem após um apagão em massa que afetou grandes partes da Espanha, Portugal e sul da França, embora avaliações preliminares de operadoras de rede tenham descartado um ataque cibernético.Hackers ligados à China violaram vários provedores de serviços de internet dos EUA no ataque cibernético Salt Typhoon, que tinha como objetivo coletar informações confidenciais e potencialmente acessar componentes essenciais da rede. Esses incidentes refletem uma mudança estratégica na qual as operações cibernéticas são empregadas não apenas para espionagem, mas como ferramentas de influência e perturbação geopolítica. [ As colunas do SC Media Perspectives são escritas por uma comunidade confiável de especialistas em segurança cibernética do SC Media. Leia mais sobre Perspectives aqui . ] Em resposta a esses ataques, o governo dos EUA tem trabalhado para reforçar medidas de segurança cibernética, incluindo a implementação da Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA) , que visa melhorar a capacidade do país de responder a ameaças cibernéticas. Também tem havido uma ênfase crescente na cooperação internacional para combater ameaças cibernéticas. Por exemplo, a França prometeu trabalhar com aliados para combater ameaças de grupos como o APT28. Recomendações para equipes de segurança Aqui estão cinco maneiras pelas quais as equipes de segurança podem se preparar para possíveis ataques à infraestrutura crítica: Implementar arquiteturas de confiança zero: adotar um modelo de segurança de confiança zero pode ajudar a mitigar riscos, garantindo que nenhuma entidade seja confiável por padrão, independentemente de estar dentro ou fora do perímetro da rede.Atualize e aplique patches nos sistemas regularmente: garanta que todos os sistemas estejam atualizados com os patches de segurança mais recentes para que a equipe possa evitar a exploração de vulnerabilidades conhecidas.Realize auditorias de segurança regulares: avaliações periódicas podem identificar possíveis fraquezas e áreas de melhoria na postura de segurança cibernética da organização.Incentive o treinamento e a conscientização dos funcionários: educar a equipe sobre ataques de phishing e outras ameaças cibernéticas comuns pode reduzir a probabilidade de violações bem-sucedidas.Desenvolver planos de resposta a incidentes: criar um plano de resposta a incidentes (IR) bem definido e testado garante que a organização possa responder de forma rápida e eficaz a incidentes cibernéticos. A crescente prevalência de ataques cibernéticos em infraestruturas críticas exige que as organizações adotem uma abordagem proativa e colaborativa em relação à segurança cibernética. Ao compreender o cenário de ameaças em evolução e implementar medidas de segurança robustas, organizações e nações podem se proteger melhor contra essas ameaças crescentes. Há uma razão para os invasores atacarem hospitais, refinarias de petróleo e empresas de telecomunicações. A sociedade precisa desses sistemas para funcionar, e os invasores sabem disso. Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas, Critical Start Fonte: https://www.scworld.com/perspective/alleged-cyberattack-on-iran-points-to-broader-trend-worldwide-of-at-risk-critical-infrastructure acesso em 28.05.2025 às 10:39
Novos golpes de investimento usam anúncios do Facebook, domínios RDGA e verificações de IP para filtrar vítimas
Pesquisadores de segurança cibernética revelaram dois agentes de ameaças que orquestram golpes de investimento por meio de endossos falsos de celebridades e ocultam suas atividades por meio de sistemas de distribuição de tráfego (TDSes). Os grupos de atividades foram batizados de Reckless Rabbit e Ruthless Rabbit pela empresa de inteligência de ameaças de DNS Infoblox. Observou-se que os ataques atraem vítimas com plataformas falsas, incluindo corretoras de criptomoedas, que são então anunciadas em plataformas de mídia social. Um aspecto importante desses golpes é o uso de formulários da web para coletar dados do usuário. “O Reckless Rabbit cria anúncios no Facebook que levam a notícias falsas com o endosso de uma celebridade à plataforma de investimentos”, disseram os pesquisadores de segurança Darby Wise, Piotr Glaska e Laura da Rocha . “O artigo inclui um link para a plataforma fraudulenta que contém um formulário web incorporado que persuade o usuário a inserir suas informações pessoais para ‘se cadastrar’ na oportunidade de investimento.” Alguns desses formulários, além de solicitar nomes de usuários, números de telefone e endereços de e-mail, oferecem a capacidade de gerar automaticamente uma senha, uma informação essencial que é usada para avançar para a próxima fase do ataque: verificações de validação. Os agentes de ameaças realizam solicitações HTTP GET para ferramentas legítimas de validação de IP, como ipinfo[.]io, ipgeolocation[.]io ou ipapi[.]co, para filtrar tráfego de países nos quais não estão interessados. Também são realizadas verificações para garantir que os números e endereços de e-mail fornecidos sejam autênticos. Caso o usuário seja considerado digno de exploração, ele é posteriormente encaminhado por meio de um TDS que o leva diretamente para a plataforma fraudulenta, onde é persuadido a abrir mão de seus fundos com promessas de altos retornos, ou para uma página diferente que o instrui a aguardar uma ligação de seu representante. “Algumas campanhas usam call centers para fornecer às vítimas instruções sobre como abrir uma conta e transferir dinheiro para a plataforma de investimento falsa”, explicaram os pesquisadores. “Para usuários que não passam na etapa de validação, muitas campanhas simplesmente exibem uma página de agradecimento.” Um aspecto importante da atividade é o uso de um algoritmo de geração de domínio registrado ( RDGA ) para configurar nomes de domínio para plataformas de investimento duvidosas, uma técnica também adotada por outros agentes de ameaças, como Prolific Puma, Revolver Rabbit e VexTrio Viper. Ao contrário dos algoritmos tradicionais de geração de domínio (DGAs), os RDGAs utilizam um algoritmo secreto para registrar todos os nomes de domínio. Diz-se que o Reckless Rabbit vem criando domínios desde abril de 2024, visando principalmente usuários na Rússia, Romênia e Polônia, excluindo tráfego do Afeganistão, Somália, Libéria, Madagascar e outros. Os anúncios do Facebook usados para direcionar os usuários a artigos de notícias falsas são intercalados com conteúdo publicitário relacionado a itens listados para venda em mercados como a Amazon, em uma tentativa de evitar a detecção e ações de fiscalização. Além disso, os anúncios contêm imagens não relacionadas e exibem um domínio falso (por exemplo, “amazon[.]pl”) que é diferente do domínio real para o qual o usuário será redirecionado ao clicar no link (por exemplo, “tyxarai[.]org”). Por outro lado, acredita-se que o Ruthless Rabbit esteja ativamente executando campanhas fraudulentas de investimento desde pelo menos novembro de 2022, direcionadas a usuários do Leste Europeu. O que diferencia esse agente de ameaças é que ele administra seu próprio serviço de camuflagem (“mcraftdb[.]tech”) para realizar verificações de validação. Os usuários que passam pelas verificações são posteriormente encaminhados para uma plataforma de investimento, onde são solicitados a inserir suas informações financeiras para concluir o processo de registro. “Um TDS permite que os agentes de ameaças fortaleçam sua infraestrutura, tornando-a mais resiliente ao fornecer a capacidade de ocultar conteúdo malicioso de pesquisadores de segurança e bots”, disse a Infoblox. Esta não é a primeira vez que campanhas fraudulentas de investimento deste tipo são descobertas. Em dezembro de 2024, a ESET expôs um esquema semelhante, denominado Nomani, que utiliza uma combinação de malvertising em redes sociais, publicações com a marca da empresa e depoimentos em vídeo com inteligência artificial (IA) de personalidades famosas. No mês passado, as autoridades espanholas revelaram que prenderam seis indivíduos com idades entre 34 e 57 anos por supostamente executarem um golpe de investimento em criptomoedas em larga escala que usava ferramentas de IA para gerar anúncios deepfake com figuras públicas populares para enganar as pessoas. Renee Burton, vice-presidente de inteligência de ameaças da Infoblox, disse ao The Hacker News que eles “teriam que analisar mais de perto para ver se há alguma evidência” para verificar se há alguma conexão entre essas atividades e aquelas conduzidas pela Reckless Rabbit e pela Ruthless Rabbit. “Agentes de ameaças como Reckless e Ruthless Rabbits serão implacáveis em suas tentativas de enganar o maior número possível de usuários”, disseram os pesquisadores. “Como esses tipos de golpes se mostraram altamente lucrativos para eles, eles continuarão a crescer rapidamente — tanto em número quanto em sofisticação.” Golpes de Caixas Misteriosas Proliferam por Meio de Anúncios no Facebook# O desenvolvimento ocorre no momento em que a Bitdefender alerta sobre um aumento em golpes sofisticados de assinatura que usam uma rede de mais de 200 sites falsos e convincentes para enganar os usuários, fazendo-os pagar assinaturas mensais e compartilhar seus dados de cartão de crédito. “Criminosos criam páginas no Facebook e publicam anúncios completos para promover o já clássico golpe da ‘caixa misteriosa’ e outras variantes”, afirmou a empresa romena . “O golpe da ‘caixa misteriosa’ evoluiu e agora inclui pagamentos recorrentes quase ocultos, além de links para sites de diversas lojas. O Facebook é usado como a principal plataforma para esses novos e aprimorados golpes da caixa misteriosa.” Os anúncios patrocinados desonestos anunciam liquidações de marcas como Zara ou oferecem uma chance de comprar uma “caixa misteriosa” contendo produtos da Apple e tentam atrair usuários alegando que eles podem adquirir um deles pagando uma quantia mínima de dinheiro, às vezes tão baixa quanto US$ 2. Os cibercriminosos usam vários truques para driblar os esforços de detecção, incluindo a criação de várias versões do
Microsoft revela novos agentes de IA que podem modificar as configurações do Windows
A Microsoft anunciou novas experiências do Windows para PCs Copilot+, incluindo agentes de IA que facilitarão a alteração de configurações no seu computador Windows. A empresa diz que os usuários poderão usar esses novos agentes para encontrar rapidamente as configurações que desejam alterar usando linguagem natural e até mesmo instruí-los a fazer isso sem qualquer envolvimento do usuário além do prompt. “Propusemo-nos a resolver uma das frustrações mais comuns que ouvimos – encontrar e alterar configurações no seu PC – usando o poder dos agentes. Um agente usa a IA no dispositivo para entender sua intenção e, com sua permissão, automatizar e executar tarefas”, disse Navjot Virk , vice-presidente sênior de Experiências do Windows. Com esta atualização das Configurações, você poderá simplesmente descrever o que precisa de ajuda, como “como controlar meu PC por voz” ou “o ponteiro do meu mouse é muito pequeno”, e o agente recomendará as etapas corretas para resolver o problema. Com a sua permissão e por sua iniciativa, ele pode até mesmo realizar as ações para alterar suas configurações em seu nome.” Essa experiência estará disponível inicialmente apenas para falantes de inglês e começará a ser implementada para Windows Insiders em PCs Copilot+ com Snapdragon e, posteriormente, para aqueles que usam dispositivos com AMD e Intel. Redmond também está aprimorando a busca do Windows e adicionando mais ações de texto e imagem do tipo “Clique para Fazer” , como Agendar uma reunião com o Teams, Enviar uma mensagem com o Teams, Perguntar ao Copilot do M365, Converter para tabela com o Excel e Rascunhar com o Copilot no Word. Diversas novas ações, incluindo Perguntar ao Copilot, Praticar no Reading Coach e Ler com o Immersive Reader, já estão disponíveis para Windows Insiders. Fotos, Paint e a Ferramenta de Recorte ganham vários recursos novos nos PCs Copilot+ projetados para simplificar a edição e a criação de imagens. Elas incluem o Photos Relight para adicionar controles de iluminação dinâmicos às imagens, o Paint Sticker Generator para criar adesivos digitais por meio de prompts de texto, o Paint Object Select para selecionar e editar instantaneamente elementos específicos na tela e o Snipping Tool Perfect Screenshot para ajustar a área de captura e eliminar a necessidade de cortes após a captura. A Ferramenta de Recorte também está recebendo algumas novas ferramentas de captura, que ajudarão a extrair texto diretamente de imagens e selecionar valores de cor de qualquer elemento na tela. Nas próximas semanas, a Microsoft começará a lançar mais experiências do Windows 11 para todos os Windows 11 Insiders, como um complemento de telefone para o menu Iniciar , ações de IA no Explorador de Arquivos que ajudarão a editar imagens e resumir conteúdo, e uma nova função de escrita no Bloco de Notas que permitirá a criação de texto a partir de um prompt. Em março, a Microsoft anunciou que começou a testar o recurso “Desenhar e Segurar” da Ferramenta de Recorte, que ajuda a desenhar formas perfeitas, e um recurso de resumo de texto com tecnologia de IA no Bloco de Notas. A Microsoft também adicionou uma ferramenta de reescrita de texto ao Bloco de Notas em novembro, chamada “Rewrite” e anteriormente conhecida como CoWriter . Fonte: https://www.bleepingcomputer.com/news/microsoft/microsoft-unveils-new-ai-agents-that-can-modify-windows-settings/ acesso em 28.05.2025 às 10:30
‘Aranha Venenosa’ tem como alvo gerentes de contratação em esquema de phishing
Pesquisadores do Arctic Wolf Labs detalharam uma nova campanha de spear-phishing que tem como alvo gerentes de contratação e recrutadores se passando por candidatos a emprego. Um agente de ameaças rastreado como “Venom Spider” está mirando funcionários de RH, como recrutadores, com um esquema complexo de phishing que capitaliza a necessidade desses funcionários abrirem anexos de e-mail. Pesquisadores da Arctic Wolf, fornecedora de segurança, monitoraram a campanha, que tem como alvo gerentes de contratação e recrutadores com e-mails especializados em spear-phishing. Como o Arctic Wolf Labs explicou em uma publicação de blog em 2 de maio , os funcionários responsáveis pelo processo de contratação podem estar entre os mais vulneráveis a esse tipo de ataque cibernético. “Os recrutadores e gerentes de contratação que trabalham em departamentos de RH são frequentemente considerados o ponto fraco de uma organização pelos invasores, pois a própria natureza de seu trabalho significa que eles devem abrir regularmente anexos de e-mail (por exemplo: currículos e cartas de apresentação) enviados a eles por fontes externas e desconhecidas, incluindo candidatos a empregos e agências de contratação”, dizia a postagem do blog. A pesquisa detalha o Venom Spider , um agente de ameaças com motivação financeira que se candidata a empregos reais usando currículos falsos. Os e-mails enviados contêm arquivos que, quando baixados, geram um backdoor multifuncional chamado “More_eggs”. Como a aranha venenosa ataca sua presa O Venom Spider está ativo há vários anos, com atividades que datam pelo menos do final da década de 2010. A ProofPoint publicou uma pesquisa no início de 2019 detalhando como o backdoor More_eggs foi usado já em meados de 2018. Nessa campanha, o Venom Spider publicava vagas falsas e contatava usuários por meio do serviço de mensagens diretas do LinkedIn. O agente da ameaça distribuía payloads por meio de sites falsos de recrutamento, bem como anexos maliciosos. Em sua atividade mais recente, detalhada pela Arctic Wolf, o Venom Spider tem enviado e-mails de spear-phishing para recrutadores corporativos ou gerentes de contratação. A mensagem contém um link para um site externo, que inclui uma caixa de captcha (usada para burlar os scanners automáticos). Assim que a vítima passa na verificação de captcha, um arquivo zip é baixado, “o que o recrutador é levado a acreditar ser o currículo do candidato”. Em vez disso, o arquivo zip contém um arquivo de imagem “g.jpg” — uma “distração”, de acordo com a Arctic Wolf — bem como um atalho malicioso do Windows, ou arquivo .Ink, que atua como carga útil para o primeiro estágio do ataque. O arquivo .Ink baixa um arquivo .bat da infraestrutura do invasor. O arquivo .bat, por sua vez, abre o WordPad (para induzir o funcionário a pensar que um arquivo real está sendo acessado) enquanto inicia secretamente o aplicativo legítimo do Windows “ie4uinit.exe” para executar comandos e código JavaScript. Como parte de tudo isso, o código malicioso cria uma biblioteca executável conhecida como “More_eggs_Dropper”. “A biblioteca executável More_eggs_Dropper é complexa, utilizando código ofuscado que gera código JavaScript polimorficamente. A execução da biblioteca é atrasada para evitar o sandbox e a análise por pesquisadores”, disse Arctic Wolf. “O More_eggs_Dropper cria um executável legítimo do Windows msxsl.exe para executar arquivos XML que também podem conter código JavaScript. Sabe-se que essa técnica foi usada pelo Venom Spider em campanhas anteriores.” Da mesma forma, o arquivo .Ink inicial é gerado polimorficamente, o que significa que um novo arquivo é baixado a cada vez do servidor do invasor, com ofuscação e tamanho de arquivo diferentes. O More_eggs_Dropper cria um iniciador JavaScript, um payload JavaScript e um executável para executar arquivos XML. Seus payloads, por fim, levam à execução do More_eggs, o payload primário na cadeia de ataque. O backdoor coleta informações do sistema das vítimas e se comunica com um servidor de comando e controle (C2). Por fim, o More_eggs é usado para “executar código JavaScript adicional ou arquivos executáveis no sistema da vítima”. Arctic Wolf disse que o Venom Spider vem realizando esses ataques desde pelo menos outubro de 2023. Como os defensores podem se proteger Embora haja muito a ser dito sobre a natureza complexa da campanha do Venom Spider, no fim das contas, trata-se apenas de mais uma campanha de phishing. Por isso, os pesquisadores da Arctic Wolf recomendam treinar regularmente os funcionários para identificar e combater ataques de spear-phishing. Além disso, “funcionários que trabalham em departamentos vulneráveis, como RH e Recrutamento, devem receber treinamento adicional que os ensine a sempre serem extremamente cautelosos com anexos que sejam arquivos LNK, ISO ou VBS.” “Esses tipos de arquivo costumam ser enviados como arquivos zip para contornar filtros de e-mail”, dizia a postagem do blog. “Os funcionários devem ser ensinados a inspecionar rotineiramente os arquivos anexados clicando com o botão direito do mouse no arquivo e selecionando ‘Propriedades’ (no Windows) ou ‘Obter Informações’ (no Mac) antes de abri-los.” Embora elementos do esquema do Venom Spider possam parecer óbvios, Stefan Hostetler, pesquisador sênior de inteligência de ameaças da Arctic Wolf, disse ao Dark Reading que “é importante entender que, na economia atual, pode haver centenas de candidatos se candidatando a vagas de emprego anunciadas publicamente”. Em outras palavras, a pressão exercida sobre os recrutadores dá aos invasores uma “vantagem imediata”. Hostetler diz que os departamentos de RH são um alvo comum para agentes de ameaças e que, embora a Arctic Wolf Labs não tenha uma visão completa de quão disseminada a campanha é, a longa vida dessa atividade até o momento significa que “é lógico que a campanha é bem-sucedida e está em constante evolução”. Fonte: https://www.darkreading.com/cyber-risk/venom-spider-phishing-scheme acesso em 28.05 às 10:14
