A votação medida provisória (MP) 959/2020, cujo artigo 4º propõe adiar os efeitos da LGPD (Lei Geral de Proteção de Dados) para maio do ano que vem, foi retirada da pauta da Câmara dos Deputados desta terça-feira (18). Segundo item da agenda do dia, ela foi removida por não haver acordo entre as lideranças da casa.
Publicada no dia 29 de abril, a MP foi prorrogada em junho e irá caducar na próxima quarta-feira (26), caso não seja votada e convertida em lei. Segundo o gabinete de Rodrigo Maia, o tema voltará à pauta da Câmara nesta quinta-feira (20). A previsão original é que a vigência da LGPD começasse no último dia 14 de agosto.
“Vamos deixar de apreciar o item dois da pauta porque não há ainda um acordo mínimo. O deputado Damião Feliciano (PDT-PB, relator do tema) ligou e disse que está pronto, a postos, mas diante do pedido do presidente Rodrigo Maia (DEM-RJ) para que a gente adie para outra sessão, vamos para o item três da pauta”, afirmou o deputado federal Marcos Pereira (Republicanos-SP), primeiro vice-presidente da Câmara.
Com a lei entrando em vigor ou não, as multas previstas por ela, de até 2% do faturamento de empresas — ou de até R$ 50 milhões — em casos de infrações, poderão ser aplicadas somente em agosto de 2021, graças à Lei nº 14.010. Estas punições também só poderão ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), que ainda não foi constituída.
Na segunda-feira (17), véspera de quando era esperada a votação da MP, o site Jota divulgou um estudo interno do Cade (Conselho Administrativo de Defesa Econômica) no qual o órgão se propõe a incorporar as funções da ANPD. Este processo estaria concluído em janeiro de 2021. Contatado por Tilt, o Cade não quis comentar o assunto.
Para Flávia Lefèvre, advogada especializada em direito do consumidor e direitos digitais, a inclusão da ANPD dentro do Cade seria positiva por tirar a autoridade da estrutura da Presidência e colocá-la em um órgão mais independente.
“A proposta parece aderir aos termos do GDPR [a lei de dados da Europa], o que é ponto positivo para que empresas brasileiras atuem a nível internacional e para que tenhamos um ambiente que comprove investimentos estrangeiros no país”, explica Lefèvre.
Grandes plataformas se adaptam às exigências
Algumas das maiores plataformas de internet comunicaram a usuários, nas últimas semanas, que já adaptaram seus serviços para a legislação brasileira. No dia 20 de julho, o Facebook esperava que a lei entrasse em voga em algumas semanas. Por conta disso, informou que solicitaria, a partir daquela data, a permissão para usar certos tipos de dados dos brasileiros.
Além disso, a empresa adicionou um novo aviso de privacidade para o Brasil nas políticas de dados de Facebook e Instagram, inclusive com orientações sobre como usuários podem exercer os direitos garantidos pela lei.
O Twitter afirmou, em comunicado, que criou um programa interno para adequar sua plataforma e práticas à LGPD e também aos “padrões internacionais” da empresa, “sempre tendo por norte o reconhecimento da privacidade e da proteção de dados como um direito fundamental”. A empresa ainda destacou sua política de privacidade como mecanismo de transparência do serviço.
O Google destacou que a LGPD é “favorável ao desenvolvimento de negócios, ao mesmo tempo em que protege os direitos dos cidadãos”. A empresa afirmou já oferecer proteção de dados de acordo com o GDPR e a CCPA (Lei de Privacidade do Consumidor da Califórnia). Quando a lei brasileira entrar em vigor, diz o Google, os termos de serviço serão atualizados.
Até a publicação desta notícia, o TikTok não havia respondido se seus serviços estão preparados para as exigências da LGPD.
Virtualização é uma técnica que permite que uma aplicação de um sistema operacional (ou mesmo um sistema operacional inteiro) rode dentro de outro sistema. É o mesmo que abrir uma distribuição do Linux no Windows e rodá-lo como um software, ou instalar um aplicativo de Windows, como o Photoshop, dentro do Linux.
Complicado? Nem tanto. Existem muitos programas ou mesmo particularidades de um sistema operacional úteis a um determinado público (programadores, ou aqueles que usam plataformas diferentes simultaneamente), e a virtualização é a solução mais simples para ter todos os softwares e recursos necessários em uma máquina só, tornando-a mais fácil de gerenciar. Quase todos os computadores vendidos atualmente possuem recursos mais que suficientes para hospedar dois (ou mais) sistemas operacionais ao mesmo tempo, sem perda de desempenho significativa.
O próprio Windows 7 possui um recurso de virtualização embutido, que permite que softwares desenvolvidos para rodar no Windows XP e até mesmo do bom e velho DOS sejam executados sem modificação. Para experimentar, clique no Menu Iniciar, digite “cmd” na busca, tecle Enter e você terá acesso ao DOS com todas as suas funcionalidades. =)
Embora a visão mais comum que as pessoas têm da aplicação dessa técnica seja a de um grande servidor ou datacenter rodando vários sistemas operacionais ao mesmo tempo, com configurações complicadas e voltado para empresas, o usuário comum também pode se beneficiar dela. Mas como?
Se seu computador for relativamente recente, você pode fazer isso em casa. E por que fazer isso? Por exemplo, muitas impressoras um pouco mais antigas só possuem drivers e funcionam apenas no Windows XP, e imagine que você comprou um computador com o Windows 7. Utilizando softwares como o Oracle VirtualBox ou o VMware Player, ambos gratuitos, você pode rodar o Windows XP como uma máquina virtual dentro do Windows 7 e instalar os drivers nele, utilizando a sua impressora normalmente. Pode também testar um outro sistema operacional, como o Linux ou o Unix, sem fazer qualquer modificação no seu computador. Essas são apenas algumas das aplicações que a virtualização oferece.
Mas como essa técnica funciona?
Vejamos um exemplo na indústria, onde a virtualização é utilizada para extrair o máximo de desempenho com o hardware disponível, já que raras são as vezes em que um servidor está utilizando 100% de sua capacidade de trabalho (processamento, memória, disco, etc). Agora imagine que um servidor possui um processador dual-core e quatro discos rígidos, e uma empresa precise disponibilizar dois sistemas operacionais ao mesmo tempo, como o Windows XP e o Windows 7.
Porém, antes de decidir pela compra do novo equipamento, esta empresa observa que o servidor atual utiliza em média somente 40% do poder de processamento da máquina e apenas 10% da capacidade de disco. É aí que pode entrar a virtualização. Com a ajuda de um software, duas máquinas virtuais são criadas em cima de uma camada de emulação, que diz para cada sistema operacional que ele tem um processador de apenas um núcleo e dois discos. Supondo também que o Windows XP e o Windows 7 exijam os mesmos requisitos, teremos o mesmo computador rodando os dois sistemas ao mesmo tempo, dividindo os recursos por dois e utilizando 80% do processamento e 20% do disco. Isso tudo foi possível sem gastar nada, utilizando somente a tecnologia de virtualização!
Sobrou alguma dúvida sobre virtualização? Tem algo a acrescentar? Fale para nós!
O curso é voltado para profissionais docentes da educação básica, mas também é recomendado para todos que desejam ter noções iniciais sobre os assuntos relacionados à Segurança Digital.
A Fundação Getúlio Vargas (FGV), em parceria com o Núcleo de Informação e Coordenação do Ponto BR (NIC.br), disponibiliza um curso 100% gratuito e online voltado para educadores, mas que também pode ser bastante útil para qualquer profissional que tenha interesse e busca conhecer noções básicas e introdutórias sobre Segurança Digital. Além disso, o conteúdo pode ser uma excelente ferramenta para pais que gostariam de orientar seus filhos e demais membros da família sobre aspectos importantes no meio digital.
O programa do curso está dividido em quatro unidades, que destacam assuntos como: perigos virtuais, práticas seguras, criptografia e segurança digital no contexto dos adolescentes. A capacitação também envolve diversas situações que podem ocorrer no dia a dia com relação ao ambiente digital, seja para tarefas de home office, ou com a segurança física e mental e até mesmo a integridade dos usuários com relação a segurança de dados. O curso também apresenta práticas relacionadas ao cuidado com senhas e dados pessoais.
Os interessados em realizar o curso devem preencher a ficha de inscrição que está disponível no site da FGV – não há processo seletivo. A capacitação, que é caracterizada como de curta e média duração, pode ser realizado em 5 horas. Para mais informações, acesse o portal da FGV.
MONITORAR a disponibilidade e desempenho dos serviços nos servidores de uma empresa, é prevenir os problemas que afetam negativamente a continuidade do negócio e impactam diretamente na produtividade.
Já imaginou poder visualizar o status dos seus servidores, em tempo real, através de gráficos, listas e mapas e ainda gerar relatórios que vão ajuda-lo na tomada de decisão, utilizando Zabbix como base, integrada ao Grafana com dashboards mais intuitivos?
Entenda o conceito de cada uma dessas ferramentas:
O que é Zabbix?
Zabbix é um software que monitora vários parâmetros de rede de computadores e saúde e integridade de servidores. Zabbix usa um mecanismo de notificação flexível tha permite os usuários configurarem alerta de e-mail baseado em praticamente qualquer evento. Isto permite uma rápida reação para problemas em servidores. “Fonte: zabbix.com”
Figura 1- Dashboard Zabbix
Fonte: zabbix.com
O que é Grafana?
O Grafana é uma plataforma de análise para todas as suas métricas. Ele permite consultar, visualizar, alertar e compreender suas métricas, independentemente do local de armazenamento. Crie, explore e compartilhe painéis com sua equipe e promova uma cultura orientada a dados. “Fonte: grafana.com”
Figura 2 – Dashboard Grafana
Fonte: grafana.com
Com a integração do Zabbix e Grafana, você vai obter excelentes dados com gráficos de monitoramento modernos, de forma atrativa, fácil interpretação, visualização com flexibilidade de gráficos e outras funcionalidades que completam o Zabbix.
A CITIS comercializa essa solução para você que:
- Quer implementar a solução, mas possui uma equipe para administrá-la
- Quer implementar a solução e deixar que a CITIS monitore. Conheça: Monitoramento como Serviço
- Já é cliente e possui contrato de suporte ativo (benefício da solução sem custo adicional).
O investimento em ações preventivas visa reduzir paradas inesperadas, insatisfação de colaboradores e clientes, prejuízo técnico e financeiro.
Conte com a nossa equipe para que sua infraestrutura seja gerenciada com excelência, evitando surpresas negativas!
Sempre é bom ter em conta que nossas senhas são as chaves que protegem nossas informações pessoais. No entanto, o uso de senhas fracas, incluindo o uso da mesma senha para acessar várias contas, enfraquece nossa segurança e pode representar sérios riscos à nossa privacidade.
A rotina de acesso às contas de serviços, normalmente, funciona da seguinte forma: realização de um registro com seu nome de usuário e senha que só você conhece. E para acessar novamente, basta retornar à home page e inserir seus dados de login. É claro que, por saber que o processo funciona assim, você prefere configurar a sua conta com uma senha fácil de lembrar. Não é mesmo?
E é justamente aí que os problemas aparecem. O “fácil de lembrar” frequentemente equivale a senhas curtas e simples, além de serem fáceis de adivinhar. Isso é excelente para os programas de quebra de senhas que se fazem passar por um usuário e tentam acessar sua conta usando a técnica de força bruta.
No outro extremo, uma senha longa, complexa e aleatória é difícil de decifrar, mas também difícil de lembrar. E aí está o problema (sim, de novo!). Lembrar muitas senhas complexas e ser capaz de memorizar para qual serviço on-line cada uma das chaves corresponde é algo bastante complicado, a menos que você tenha a memória de um elefante.
De fato, usar “frases como senha”, como “EU ADORO ler o WeLiveSecurity!”, pode ser uma boa ideia, já que é algo fácil de lembrar e, ao mesmo tempo, uma chave suficientemente robusta. No entanto, você acha que os usuários se lembrarão das diferentes frases escolhidas como senha para cada conta on-line ou serviço?
Dar algo em troca
O que muitas pessoas fazem – pelo menos aquelas que não têm a memória de um elefante – é arriscar em termos de senhas de segurança através do uso de chaves como “123456”, sem se preocupar muito com o que pode acontecer. Isso, certamente, até que algumas de suas contas sejam comprometidas e suas informações pessoais sejam vazadas ou, ainda pior, que a sua identidade on-line ou dinheiro sejam roubados. Afinal, faz parte da natureza humana não dar importância aos riscos envolvidos em uma decisão desse tipo até que o problema acabe nos atingindo.
De fato, às vezes, você se sente como se não pudesse ter tudo: ou seja, muitas contas on-line, cada uma com senhas complexas, fáceis de lembrar e únicas. Não é de surpreender que, nesses casos, nossa paciência esteja esgotada e isso nos leve a usar atalhos mentais que acabam estragando o que começou bem. Em outras palavras, acabamos reutilizando uma senha.
Além dessa decisão ir de encontro com a segurança do usuário, a reutilização de uma senha está no mesmo nível de outras práticas que não são aconselháveis em termos de autenticação. As senhas criadas com uma estratégia já usada, incluindo senhas ligeiramente modificadas para cada conta (parcialmente reutilizadas), tendem a ser previsíveis e, portanto, também são bem mais fáceis de decifrar.
Por que é tão arriscado reutilizar senhas?
Credential stuffing é um termo usado para se referir às vulnerabilidades expostas em dados de login que são explorados por cibercriminosos. Isso pode se tornar um problema sério não somente quando um atacante usa dados de acesso roubados ou vazados, mas quando o acesso a essa primeira conta permite que o criminoso também entre em outras contas – frequentemente de maior valor -, mesmo graças ao desempenho de testes de combinações de usuário/senha, os cibercriminosos conseguem acessar outras contas de forma bem simples.
Se um ataque é realizado e os dados de login não são armazenados pelas funções Hash + Salt (pense, por exemplo, no ataque contra a Adobe em 2013), uma senha forte ou mesmo o uso de “frases como senha” pode não ser o suficiente para impedir que um ataque possa tomar o controle de uma conta quando a mesma senha é usada para acessar vários serviços.
Duplo fator de autenticação
Muitas tentativas de aquisição de contas podem ser frustradas com a implementação do duplo fator de autenticação (2FA, por sua sigla em inglês). Um fator de autenticação adicional fornece uma camada extra de defesa além da senha. Além disso, essa estratégia resolve alguns pontos fracos que podem estar presentes na senha escolhida.
Nos últimos tempos, muitos provedores de serviços on-line implementaram o duplo fator em seus esquemas de autenticação. No entanto, conforme apresentado em um relatório recente sobre a taxa de adoção do duplo fator de autenticação nas contas ativas do Google (menos de 10%), embora a opção esteja disponível há anos, a maioria dos usuários simplesmente não aproveita essa importante ferramenta.
Existem também outras formas de autenticação, como o reconhecimento facial, o leitor de impressão digital ou algoritmos que analisam características comportamentais (por exemplo, padrões rítmicos), entre outros.
Existe outra alternativa?
Acredito que você não pretenda cancelar as suas contas on-line como forma de gerenciar facilmente as suas senhas fortes, e é também improvável que você pretenda usar estratégias mnemônicas a fim de se lembrar dessas chaves. Considerando isso, o mais prático é colocar todas as senhas em uma espécie de cofre digital. E essa opção existe com programas de gerenciamento de senhas que criptografam e armazenam todas as suas chaves localmente e sem a necessidade de uma conexão com a Internet.
De qualquer forma, supondo que você confie na implementação de um gerenciador de senhas, a segurança de suas contas será determinada pela qualidade da senha escolhida para acessar esse programa, onde as outras chaves serão armazenadas.
Para ser mais claro, as senhas possuem defeitos. Apesar que, nesta era da Internet, não há outro método de autenticação para os usuários. Embora seu desaparecimento tenha sido previsto em 2004, as senhas foram mantidas e parece que elas ficarão por mais algum tempo.
Veja também:
Você sabe o que é cofre de senhas?
Cofre de senhas: Os dados privilegiados da sua empresa estão protegidos?
Não é a primeira vez que falamos sobre o Mekotio, uma família de trojans bancários voltados para sistemas Windows, presentes na América Latina e distribuídos através de campanhas maliciosas direcionadas a países específicos, como Brasil, Chile e Espanha, entre outros. No entanto, desta vez analisamos suas características de forma mais detalhada, os estágios de suas infecções e seus recursos maliciosos, entre os quais se destaca o roubo de criptomoedas e credenciais bancárias.
Desde sua primeira detecção, em março de 2018, os cibercriminosos por trás dessa ameaça vêm aplicando alterações e atualizações. Embora essas mudanças tenham acrescentado, removido e/ou modificado funcionalidades, o objetivo permanece o mesmo: fazer todo o possível para obter dinheiro ou acessar credenciais do serviço de home banking de suas vítimas. Seguindo esse raciocínio, nossas análises revelaram que, entre todas as suas variantes, o Mekotio tem como alvo mais de 51 instituições bancárias distribuídas em pelo menos três países.
Durante a maior parte de sua existência, essa ameaça teve como único alvo os usuários nos países da América Latina, começando com um forte foco no Brasil e depois apontando principalmente para o Chile. No entanto, ao longo dos últimos meses, foram registradas variantes do Mekotio, destinadas especialmente a usuários na Espanha, com as quais se pode concluir que os cibercriminosos estão constantemente expandindo suas operações.
Quanto às detecções do Mekotio na América Latina, o Chile é o país com o maior número de registros e com uma enorme diferença, seguido pelo Brasil e pelo México, com nível médio de detecções, e depois pelo Peru, Colômbia, Argentina, Equador e Bolívia, com baixo nível de detecção. O restante dos países latino-americanos não apresentou um nível relevante de detecção.
Imagem 1. Detecções do Mekotio nos países da América Latina.
É importante destacar que um número baixo de detecções não implica que a ameaça não esteja presente em outros países da América Latina. Por sua vez, deve-se considerar que, se os atacantes o considerarem lucrativo, poderá haver novas campanhas direcionadas especificamente a países que atualmente não apresentam detecções, como a Espanha.
Essa análise foi realizada principalmente na variante CY do Mekotio, detectada por soluções ESET como o Win32/Spy.Mekotio.CY, voltada para usuários no Chile, o país mais afetado por essa família. No entanto, muitas das características, atividades maliciosas e outras observações feitas durante esta análise também se aplicam a outras variantes distribuídas em outros países, uma vez que fazem parte da mesma família e, portanto, têm semelhanças.
Estágios da infecção
Desde que o Mekotio passou a estar ativo, foram observados vários processos de infecção associados a esse código malicioso, variando o número de estágios, os componentes envolvidos e outros. No entanto, existe uma constante entre todos eles e é o estágio inicial, que começa enviando um e-mail contendo um link malicioso. A seguir, serão detalhados cada um dos estágios envolvidos em um dos processos de infecção usados ??pelo Mekotio:
Imagem 2. Diagrama com os principais estágios do processo de infecção pelo Mekotio.
Engenharia social
O processo de infecção começa com uma campanha de spam. Geralmente, os e-mails enviados usam engenharia social para simular e-mails legítimos e personificar a identidade de empresas ou órgãos governamentais, a fim de enganar o usuário e fazê-lo clicar no link malicioso incluído no corpo da mensagem.
No exemplo apresentado na Imagem 1, a estratégia usada para enganar a vítima é um e-mail, que parece vir de um órgão governamental, com um comprovante de pagamento anexo. Essa estratégia geralmente é muito eficaz para despertar a curiosidade do usuário, pois, se ele realmente pagou um determinado imposto, provavelmente estará interessado em guardar o comprovante – se você não tomou essa ação, provavelmente esteja com receio de receber uma cobrança indevida de algo e prefira pesquisar mais sobre o assunto. Nos dois casos, se o usuário decidir abrir o link para baixar o suposto comprovante, o processo de infecção será iniciado.
Instalação
Depois que o link é aberto, um arquivo .zip compactado começa a ser baixado automaticamente. Depois que o arquivo é descompactado, é possível ver seu conteúdo, que nesse caso trata-se de um instalador .msi.
Ao executar o instalador, as seguintes atividades começaram a ser realizadas:
Download do payload: baixa um arquivo .zip adicional e extrai seu conteúdo no seguinte caminho: “C:\programdata\*nombre aleatorio*\”. Esse arquivo .zip geralmente contém quatro arquivos:
- Intérprete de autoit (.exe): esse é o intérprete oficial da autoit. Seu objetivo é executar as instruções do script que é distribuído junto com esses arquivos.
- Script de Autoit (.au3): contém instruções para carregar a DLL do Mekotio e executar uma das funções que ela exporta.
- Mekotio (.dll): essa DLL contém todo o código que executará as atividades maliciosas que serão explicadas abaixo.
- SQLite3 (.dll): contém as instruções necessárias para que o Mekotio possa roubar as senhas criptografadas armazenadas pelos mecanismos de pesquisa.
Persistência: depois que os quatro arquivos foram baixados e extraídos há pelo menos duas opções, dependendo da variante do Mekotio em questão:
- Uma entrada é gravada em uma das chaves de autorun do registro, adicionando um comando para executar o malware.
- Um atalho é adicionado na pasta de inicialização, cujo parâmetro será um comando para executar o malware.
Dessa forma, o Mekotio é executado automaticamente sempre que o sistema é iniciado.
Como pode ser visto, o instalador executa a função de downloader e, adicionalmente, estabelece a persistência da ameaça no dispositivo infectado. Um detalhe importante é que, como o intérprete do Autoit executa o script, carrega e executa a DLL, o Mekotio será executado no contexto do intérprete. Isso é importante, pois pode ser útil identificar se o computador está infectado.
Recursos do Mekotio (.dll)
As amostras utilizadas para esta análise apresentam várias características interessantes, algumas semelhantes às registradas em outras famílias de trojans bancários na América Latina:
- É desenvolvido em Delphi
- Possui proteção Anti-VM, monitorando a presença de processos como o VBoxService.exe
- Possui proteção Anti-debugging (IsDebuggerPresent)
- Modifica seu comportamento de acordo com o idioma do sistema operacional infectado
- Possui funcionalidade de autodestruição, ou seja, para desativar e parar a infecção
- Contém um grande número de strings criptografadas usando um algoritmo semelhante ao usado em outros trojans bancários na América Latina
- Procura informações sobre produtos de segurança instalados no sistema
- É distribuído junto com a biblioteca SQLite3.dll
Atividades maliciosas realizadas pelo Mekotio
Por se tratar de uma ameaça ativa há algum tempo e presente em vários países, por meio de versões específicas direcionadas a cada um deles, é normal encontrar alguma variabilidade nas atividades maliciosas realizadas pelas diferentes amostras analisadas. No entanto, como mencionamos, existe um fator comum entre todas elas: roubar dinheiro e/ou credenciais bancárias.
A seguir, descreveremos os principais comportamentos maliciosos observados nas amostras analisadas:
Roubo de credenciais bancárias com janelas falsas
Como funciona?
Essa ameaça monitora constantemente os sites acessados ??pelo navegador. Caso você tenha entrado no site de qualquer um dos bancos de interesse dos atacantes, o malware exibirá uma janela de login falsa que finge ser da instituição bancária. O objetivo é que o usuário insira suas credenciais de acesso ao sistema. Uma vez obtidas, elas são enviadas para um servidor remoto que armazena as informações roubadas.
Quem pode ser vítima?
Diferentemente de outros trojans bancários mais genéricos, essa funcionalidade do Mekotio é especificamente direcionada a usuários de home banking de um pequeno conjunto de países. No entanto, é importante destacar que a ameaça não visa apenas usuários de contas bancárias normais, mas também aqueles que entram em contas comerciais.
Para conseguir isso, os atacantes criam inúmeras variantes do mesmo malware; cada versão é direcionada apenas para um país específico. Por esse motivo, é comum encontrar amostras projetadas para roubar credenciais de bancos presentes em um determinado país e, mesmo que esse banco esteja presente em outro país, será possível encontrar variantes diferentes. Consequentemente, essa funcionalidade não tem um grande alcance, pois afeta exclusivamente usuários infectados com a variante que aponta para o país em que vivem e que, por sua vez, são clientes de um dos bancos selecionados.
Ao analisar as amostras direcionadas ao Chile, descobriu-se que o malware procura roubar as credenciais de acesso às páginas de home banking dos 24 bancos com maior presença no país. No caso do Brasil, a mesma dinâmica se repete, apontando para 27 instituições bancárias.
Roubo de senhas armazenadas por navegadores
Uma peculiaridade que caracteriza algumas variantes do Mekotio é a capacidade de roubar as credenciais de acesso armazenadas no sistema por alguns navegadores, como Google Chrome e Opera. Geralmente, ao tentar acessar um site usando um formulário de login, o navegador pergunta ao usuário se ele deseja salvar a senha no computador e, se autorizado, continuar fazendo isso. Além disso, juntamente com a senha, o usuário e o site associado à conta que acabou de ser inserida também são armazenados.
No entanto, o mecanismo de segurança usado por esses navegadores para proteger credenciais armazenadas não é eficaz nos casos em que o dispositivo já está comprometido por malware. Isso ocorre porque a função de criptografia usada ao salvar a senha está projetada para que essas informações possam ser descriptografadas apenas pelo mesmo usuário do sistema operacional que as criptografou em um primeiro momento Como o malware é executado como um aplicativo de usuário, você pode facilmente quebrar senhas.
Depois que as senhas em texto simples são obtidas, o Mekotio as guarda em um arquivo junto com os usuários e sites aos quais estão associados e passa a extrfiltrá-las por meio de um POST para um site provavelmente comprometido pelos cibercriminosos. A partir deste momento, as credenciais do usuário são comprometidas e ficam nas mãos dos atacantes.
Essa funcionalidade maliciosa não se limita apenas ao roubo de credenciais bancárias, mas também afeta todas as contas cujos dados também foram armazenados no sistema por esses navegadores. Isso aumenta consideravelmente o alcance e o potencial malicioso do Mekotio, podendo afetar qualquer usuário e não apenas aqueles que usam serviços de home banking.
Curiosamente, esses navegadores armazenam senhas criptografadas em um banco de dados SQLite3, portanto, o malware deve ter a capacidade de lidar com esse tipo de banco de dados. Com base nisso, o Mekotio geralmente é distribuído junto com a dll “SQLite3.dll“, que contém todas as instruções necessárias para obter as senhas armazenadas.
Substituição de endereços de carteiras de bitcoin
Essa funcionalidade maliciosa consiste em substituir os endereços de carteiras de bitcoin copiados para a área de transferência pelo endereço da carteira do atacante. Dessa forma, se um usuário infectado quiser fazer uma transferência ou um depósito para um determinado endereço e usar o comando copiar (clique direito-copiar/ctrl+c) em vez de digitar manualmente, ao querer colar (clique direito-colar/ctrl+v) o endereço para o qual a transferência foi feita não será colado, mas sim o endereço do atacante. Se o usuário não perceber essa diferença e decidir continuar a operação, ele acabará enviando o dinheiro diretamente para o atacante.
Exemplo da dinâmica:
Passo 1: um usuário copia o endereço de uma carteira de bitcoin em um computador infectado pelo Mekotio.
Imagem 3. O endereço de uma carteira de bitcoin é copiado aleatoriamente para ver como o Mekotio a substitui na área de transferência.
Passo 2: o usuário cola o endereço que copiou anteriormente.
Figura 4. O comando “colar” é usado para observar como o Mekotio substituiu o endereço na área de transferência.
Passo 3: É possível ver como o endereço que foi colado no passo 2 é diferente do endereço que foi copiado no passo 1.
Imagem 5. Você pode ver a diferença entre o endereço inicialmente copiado e o endereço colado.
Embora esse mecanismo de roubo seja muito simples e possa ser facilmente combatido através da verificação do endereço para o qual ele será transferido, revisando o histórico de transferências recebido pelas carteiras do atacante, pode-se concluir que muitas pessoas foram vítimas dessa dinâmica.
Imagem 6. Saldo de um dos endereços de Bitcoin usados por criminosos cibernéticos, onde é registrado que o recebimento de transferências por aproximadamente 0,27 BTC. Pode-se ver que os atacantes não mantêm o dinheiro em suas carteiras, mas o transferem para outras de forma bem rápida, dificultando o rastreamento.
É importante destacar que os criminosos cibernéticos por trás do Mekotio não usam um único endereço para receber o dinheiro roubado, mas sim muitos deles. Durante nossas análises, registramos diferentes variantes desse malware usando endereços diferentes, possibilitando aos atacantes distribuir novas versões através da modificação do endereço periodicamente para dificultar o rastreamento.
No caso do endereço analisado na imagem 7, pode-se ver que ele recebeu 6 transações para um total de 0,2678 BTC, aproximadamente US$ 2.500 de acordo com o preço atual do Bitcoin. Essas transações foram recebidas no período entre 25/10/2018 e 14/06/2020. É importante observar que esse período não cobre todo o período de atividade do Mekotio e, por sua vez, as transferências mais recentes podem ocorrer devido as infecções antigas que não foram resolvidas. Considerando esses detalhes e o fato de existirem muitos outros endereços vinculados a essa ameaça, é possível que o total roubado pelos atacantes por meio dessa funcionalidade exceda consideravelmente o valor mencionado anteriormente.
Indicadores de comprometimento (IoC)
Persistência
Procurar vestígios dos mecanismos usados ??para obter persistência é uma das maneiras mais eficazes de detectar essa infecção, uma vez que não são muito sofisticadas. Aqui estão duas opções, dependendo da variante do Mekotio que infectou o sistema:
- Revisar todas as entradas do registro usadas para o Autorun.
- Revisar os atalhos na pasta de inicialização.
O comando usado no atalho e o escrito nas entradas de registro devem se referir a um executável que corresponderá ao intérprete do Autoit.
Esses locais podem ser facilmente controlados usando uma ferramenta como o Autoruns, que faz parte do Sysinternals do Windows e pode ser baixada gratuitamente.
Arquivos usados
O Mekotio usa vários arquivos para armazenar as senhas roubadas ou como indicadores com base nos quais modifica seu comportamento:
- C:\Users\*nombre del usuario*\*nome do interpretador AI*.jkl
- C:\Users\*nombre del usuario*\*nome do interpretador AI *.exe.jpg
- C:\Users\*nombre del usuario*\Bizarro.txt
- C:\Users\*nombre del usuario*\V.txt
- C:\Users\*nombre del usuario*\Ok.txt
- C:\Users\*nombre del usuario*\Etc
Deve-se notar que a maioria desses arquivos não coexiste, portanto, encontrar um único é motivo suficiente para suspeitar de uma infecção e analisar o computador de forma mais detalhada.
Processo com ícone do Autoit
Se um programa com o logo do Autoit e um nome de aparência aleatória (letras sem sentido) for encontrado em execução em nosso sistema, é muito provável que o computador esteja infectado. Isso pode ser verificado usando algum software visor de processos ativos, como o “Process Explorer”.
Imagem 7. Captura da janela do Process Explorer, onde os processos em execução estão listados. Você pode ver o que corresponde ao Mekotio sendo executado no contexto do interpréte do Autoit.
Em geral, não é possível visualizar esse processo no gerenciador de tarefas do Windows, pois o Mekotio usa mecanismos para evitar ser listado nele.
Tráfego de rede
O tráfego de rede entre o Mekotio e seu C&C envolve uma troca frequente de mensagens que possuem uma estrutura bem definida: <|*Comando*|>.
Esse formato é respeitado pelos comandos enviados pelo Mekotio e pelos comandos enviados pela C&C. Alguns exemplos de comandos usados ??pela ameaça são:
|
|
As trocas são iniciadas pelo computador infectado. Esse dispositivo envia um comando seguido de informações roubadas sobre o sistema, por exemplo: sistema operacional, usuário, software de segurança instalado, etc.
A característica mais importante para o usuário do computador infectado é que parte desse tráfego viaja sem criptografia. Portanto, se a presença de strings semelhantes a esses comandos for observada no tráfego de nossa rede, será conveniente realizar as análises correspondentes para descartar uma infecção.
Hashes, sites e C&C
Esses elementos geralmente são bons identificadores de comprometimento. Nesse caso, no entanto, eles têm eficácia limitada, pois os cibercriminosos por trás da ameaça garantem que o período de validade desses elementos seja muito curto.
- Hash: as amostras distribuídas geralmente contêm pequenas variações em seu código para tornar o hash diferente em cada um deles.
- Sites para armazenar senhas roubadas: embora sejam usadas em várias amostras, elas também têm variabilidade.
- Servidores C&C: o endereço IP do C&C é baixado de um documento público no Google Docs. Os atacantes modificam este documento periodicamente, para que o mesmo C&C não seja usado por longos períodos de tempo.
Dicas para se proteger do Mekotio
Os usuários que usam serviços home banking e residem em países com níveis mais altos de detecção devem estar mais alertas. Isso não significa que os países que ainda não foram alcançados por essas campanhas não precisam ser cautelosos porque, se os atacantes começarem a concentrar seus esforços em novas regiões, poderão se tornar um novo alvo da ameaça.
Portanto, é recomendável aplicar boas práticas e critérios de segurança, medidas suficientes para evitar ser vítima do Mekotio. Alguns dos mais importantes, em relação direta a essa ameaça, são:
- Não abra links contidos em e-mails que pareçam suspeitos.
- Também não faça o download de anexos em e-mails suspeitos.
- Caso um arquivo comece a ser baixado automaticamente, não o abra.
- Seja cauteloso ao baixar e extrair arquivos .zip, rar ou outras compactações quando vierem de fontes não confiáveis, pois geralmente são usados ??para ocultar malware e evitar certos mecanismos de segurança.
- Seja especialmente cauteloso ao baixar/executar instaladores .msi ou executáveis ??.exe, verificando sua legitimidade e submetendo-os à análise de um produto de segurança.
- Tenha um produto de segurança, como antivírus, instalado e atualizado.
- Mantenha todos os softwares do dispositivo atualizado.
Em cada um dos pontos mencionados, o objetivo é cortar algumas das etapas do processo de infecção e instalação. Caso essas etapas sejam interrompidas, o Mekotio não será executado.
Técnicas de MITRE ATT&CK
| Táctica | ID | Nombre | Descripción |
|---|---|---|---|
| Initial access | T1192 | Spearphishing Link | El ataque comienza mediante el envío de un link malicioso |
| T1194 | Spearphishing via Service | Las direcciones de email personal también son alcanzadas por el spearphishing | |
| Execution | T1204 | User Execution | La etapa inicial de instalación requiere que el usuario ejecute el instalador malicioso |
| T1064 | Scripting | El instalador contiene un script malicioso que descarga el malware y lo instala en el sistema | |
| T1129 | Execution through Module Load | La ejecución de Mekotio comienza cuando el script de Autoit carga la dll y ejecuta la función inicial | |
| T1059 | Command-Line Interface | A lo largo de su ejecución Mekotio tiene la capacidad para ejecutar varios comandos a través de cmd.exe | |
| Persistence | T1060 | Registry Run Keys / Startup Folder | La persistencia es establecida en una entrada de autorun del registro o mediante un acceso directo en la carpeta de inicio |
| Defense evasion | T1497 | Virtualization/Sandbox Evasion | Mekotio cuenta con protección para detectar si está siendo ejecutado en una máquina virtual |
| Credential access | T1503 | Credentials from Web Browsers | Roba credenciales almacenadas por navegadores como Google Chrome y Opera |
| T1056 | Input Capture | Roba credenciales bancarias al capturar el input ingresado en ventanas falsas | |
| Collection | T1074 | Data Staged | Almacena la información en archivos específicos para luego exfiltrarla |
| T1115 | Clipboard Data | Reemplaza las direcciones de billeteras de Bitcoin presentes en el portapapeles por la dirección del atacante | |
| T1005 | Data from Local System | Roba datos del sistema como el producto antivirus instalado, versión del SO, usuario, etc | |
| T1119 | Automated Collection | Toda la extracción de información es automatizada, sin la participación del atacante | |
| T1008 | Fallback Channels | En caso de que el sitio al que se exfiltra la información este caído se cuenta con otro de respaldo | |
| T1024 | Custom Cryptographic Protocol | La información para conectarse al C&C se encuentra cifrada mediante un algoritmo custom similar al de otros troyanos bancarios de Latinoamérica. | |
| T1001 | Data Obfuscation | Los comandos intercambiados con el atacante probablemente se encuentren ofuscados | |
| T1043 | Commonly Used Port | La información es exfiltrada a través del puerto TCP:80 (HTTP) | |
| Exfiltration | T1020 | Automated Exfiltration | La información es exfiltrada automáticamente, sin intervención del atacante |
| T1048 | Exfiltration Over Alternative Protocol | La información es exfiltrada a través del protocolo HTTP | |
| Impact | T1529 | System Shutdown/Reboot | Bajo ciertas condiciones, ejecuta comandos para apagar el equipo |
Um estudante de engenharia de uma universidade do Chipre baixou e analisou mais de um bilhão de credenciais que vazaram em várias violações de dados sofridas por diferentes empresas. Uma das principais descobertas dessa análise é que 123456 é a senha mais comum e mais reutilizada nos últimos cinco anos, repetindo-se mais de sete milhões de vezes.
As combinações de nome de usuário e senha que compõem esse enorme pacote de credenciais analisadas estão disponíveis publicamente em fóruns de hacking, portais de compartilhamento de arquivos ou mesmo repositórios como GitHub ou GitLab. De fato, muitas dessas credenciais vazadas foram coletadas e usadas por serviços como Have I Been Pwned e até mesmo por gigantes da tecnologia como Google, Microsoft ou Apple para implantar sistemas que avisam os usuários ao criar uma nova senha que seja fraca ou muito comum, destaca o portal ZDNet.
Além de confirmar algo que já sabíamos, dado que a afirmação de que 123456 é uma das senhas mais comuns coincide com o que é revelado anualmente pelo relatório publicado pela NordPass com sua lista anual das piores senhas, o estudo realizado pelo estudante Ata Hakç?l produziu outros dados interessantes que refletem de alguma forma como os usuários interagem com as senhas.
As mais de um bilhão de credenciais analisadas foram compostas por 168.919.919 senhas e 393.386.953 nomes de usuários. Do número total de senhas analisadas, apenas 8,83% eram senhas únicas; ou seja, não se repetem. No entanto, o lado oposto dessa realidade é que uma alta porcentagem de senhas se repete. De fato, de acordo com a análise de Hakç?l, a lista com as 1000 senhas mais frequentemente repetidas representa 6,6% de todas as senhas, enquanto a lista das milhões de senhas mais comuns é composta por 36,2% do total de senhas analisadas.
Por outro lado, outros dados interessantes que emergem da análise são os seguintes: o comprimento médio das senhas é de 9,8 caracteres; que apenas 12% das senhas contêm caracteres especiais; que 29% das senhas são compostas apenas por letras e 13% apenas por números e que 34% de todas as senhas terminam com um número.
Tudo isso demonstra a falta de complexidade de uma alta porcentagem das senhas e como são vulneráveis aos ataques de força bruta, um tipo de ataque com maior porcentagem de sucesso na medida em que as senhas são fracas. O ataque consiste no uso de diferentes técnicas para testar combinações de senhas para descobri-las e obter acesso a um sistema.
Veja também:
A importância de criar senhas seguras
As 25 senhas mais populares de 2018
Cofre de senhas: Os dados privilegiados da sua empresa estão protegidos?
Muitas pessoas pensam que ataques extremamente tecnológicos e ameaças nunca antes vistas são a única forma de atuação dos cibercriminosos. Sim, criminosos dispõe desses recursos, mas existem formas muito menos tecnológicas de atacar empresas e residências. Entenda como não ser vítima deste recurso responsável por boa parte do sucesso dos criminosos.
A Engenharia Social está presente nos ataques digitais e também fora deles há muito, muito tempo. A utilização dessa técnica para ataques digitais é muito significativa e se bem utilizada aumentam as chances dos atacantes terem sucesso em comprometer suas vítimas. Tudo isso porque essa a Engenharia Social se aproveita de um fator considerado por alguns como o elo mais fraco da corrente de segurança da informação, as pessoas.
Aos que ainda não estão familiarizados, Engenharia Social refere-se a conduzir as ações de uma pessoa para que ela faça algo do interesse do atacante.
Existem algumas formas de praticar Engenharia Social, mas em linhas gerais, é possível dividir este tipo de ataque em três metodologias principais:
#Phishing
Muito utilizado em ciberataques, consiste em enviar um e-mail com características que o tornem muito parecido com um e-mail real. Estes e-mails normalmente contém instruções que conduzem a vítima a baixar um malware ou a responder a mensagem com dados preciosos para o atacante.
Em nosso exemplo, um e-mail se passando pela Netflix, a mensagem foi enviada a vítima incitando-a a clicar no link para evitar o cancelamento de sua assinatura devido as informações cadastrais conflitantes com a operadora de cartão de crédito.
#Vishing
Uma abreviação de Voice Phishing. É uma técnica similar ao Phishing, mas usa o telefone para obter as informações que o atacante tem interesse. Pode ou não incluir ferramentas que mascarem a informação de origem da chamada telefônica.
#Impersonation
É a prática que leva o atacante a se passar por outra pessoa com o objetivo de obter informações, ter acesso a lugares restritos, áreas e departamentos de empresas ou a computadores.
Dentre os ataques que citamos, o Phishing é o tipo de ataque com uma maior quantidade de recursos tecnológicos envolvidos, mas nem são tantos recursos assim. Os outros dois ataques lidam basicamente com pessoas e a forma como elas interagem entre si.
Confira exemplos
Como o Phishing é um tipo de ataque que costuma ser mais familiar a todos, daremos exemplos de Vishing e Impersonation para que fique mais claro onde estes ataques podem ocorrer e como algumas vezes eles parecem inofensivos.
Vishing:
O criminoso liga para a vítima pouco antes das 18 horas, “Boa tarde Senhor Fulano, eu sou a Ciclana do Banco Security, estamos fazendo uma validação de dados cadastrais, o senhor poderia me informar seu CPF, e-mail, data de nascimento e endereço de residência? ”. Para não ter dores de cabeça com o banco, o senhor Fulano passa todos os dados necessários para que diversos tipos de fraude, financeiras e digitais, sejam possíveis.
Impersonation #1:
Criminosos coletaram informações sobre uma empresa situada no 4º andar de um prédio comercial no centro de uma grande cidade. Precisam acessar o local fisicamente para conseguir colocar um dispositivo que coletará dados da rede e permitirá que os criminosos tenham acesso remoto. Por conhecerem a rotina sabem que na hora do almoço de sexta-feira frequentemente a empresa recebe entrega de comida para o almoço. Um dos criminosos se disfarça de entregador de delivery e consegue ter acesso ao prédio sem qualquer verificação. Chegando ao andar vê que a porta está aberta sem nenhum tipo de tranca, ele entra, posiciona o dispositivo em local estratégico sem que os funcionários se deem conta, pois estão tentando descobrir quem pediu a comida. Missão cumprida.
Por mais que o exemplo soe um tanto quanto James Bond, ele é muito verossímil. Uniformes de diversas empresas podem ser encontrados com facilidade na internet, ou em último caso podem ser produzidos, pois nada mais são do que roupas com cores específicas com algo estampado ou bordado.
Impersonation #2:
Neste exemplo, os criminosos querem juntar informações sobre funcionários de uma determinada empresa. Perto do horário de saída deles os criminosos se posicionam próximos aos principais meios de deslocamento coletivo, como ponto de ônibus ou portas de metro, vestem roupas de alguma empresa de telefonia, TV a cabo ou até mesmo do Greenpeace e começam a fazer as entrevistas, coletando basicamente tudo que um ataque necessita, informações o suficiente para compor listas de senhas mais eficientes, detalhes da rotina dos funcionários, cargos interessantes para ações criminosas como sequestros por exemplo.
Basicamente essas técnicas podem ser usadas para diversos fins, e não apenas para cometer crimes digitais. E é uma das formas mais efetivas utilizadas pelos criminosos para ter sucesso em suas ações, pois as pessoas tendem a confiar em símbolos de autoridade, como marcas, uniformes, enfim, tudo que desperte a confiança das vítimas é utilizado pelos criminosos.
Falamos das três principais ramificações da Engenharia Social, mas não podemos deixar de mencionar o Shoulder Surfing (mesmo não sendo uma das vertentes principais).
Apesar do nome, com certeza, você já está familiarizado com esta técnica, que nada mais é do que o criminoso olhar por sobre os ombros, ou por qualquer ângulo que o permita ver a informação que deseja.
Os criminosos costumam utilizar essa técnica simples para ver os dados digitados num caixa eletrônico de banco antes de se apropriar do cartão de suas vítimas, por exemplo. Em ambientes corporativos é mais presente quando os criminosos observam suas vítimas digitando a senha de rede ou uma chave usada para abertura de um arquivo criptografado.
Como se proteger
Como se proteger de ataques que quase não usam recursos tecnológicos? Bem, na verdade a resposta é bem simples, desconfiando. Daremos algumas dicas de postura que auxiliarão a evitar que os criminosos tenham sucesso nesses tipos de ataque.
- Proteger-se de Phishing é razoavelmente fácil, caso você esteja atento. Além de desconfiar de todo e-mail que pareça fora dos padrões por ser muito bom, como uma promoção incrível que deixe produtos caros quase de graça, ou muito ruim como uma dívida exorbitante que surgiu do nada, há características nos phishings que os atacantes não conseguem mudar, como por exemplo o endereço real de origem. Se você receber um e-mail que diz ser do seu banco e o e-mail de quem te enviou for qualquercoisa@xuayausik.com certamente não é seu banco falando com você. Outra característica que torna os Phishing passíveis de serem identificados são os links, eles nunca irão levar você ao site oficial da empresa que estão fingindo ser, serão sempre para locais diversos da internet.
- Para se proteger de Vishing é necessário resistir, pois o ímpeto do ser humano é ajudar e evitar conflitos. Ao receber ligações no trabalho ou em casa, de quem quer que seja, desconfie de quem está falando com você. Se receber ligações de uma empresa pedindo para que confirme os dados, peça que eles citem os dados que já tem e você apenas completa as informações. Caso seja exigido que você fale, talvez isso já possa ser considerado como um sinal de que se trata de um golpe, neste caso uma boa alternativa é pedir que lhe passem um telefone para que você possa confirmar se se trata realmente da empresa. Após pesquisa e confirmação, caso seja realmente necessário a atualização dos dados, ligue e atualize.
- Criminosos que assumem uma identidade falsa comumente não são descobertos, mesmo que não tenham posse de documentos que a comprovem que são quem estão dizendo ser. Isso acontece por que para serem descobertos é necessário que as pessoas iniciem um conflito com ele, questionando a suposta verdade que eles estão apresentando. Apesar deste tipo de ataque ser mais comum entre responsáveis por segurança física, como agentes de segurança patrimonial, ela pode ser observada em diversas esferas. Quem nunca ouviu falar da frase “Você sabe com quem você está falando?”, não é mesmo?!. Boa parte das vezes é apenas um blefe e confrontar a verdade apresentada costuma fazer com que o criminoso desista de seu intento. Caso tenha dúvidas sobre alguém ser realmente quem ele diz ser, faça como na recomendação anterior, consiga formas de comprovar a autenticidade do que é apresentado.
- Evitar que senhas e informações pessoais sejam coletadas por meio de observação é bem simples, basta adotar uma postura adequada. Em filas de banco, fique atento a pessoas próximas e procure proteger o teclado com a mão livre, isso serve também para digitar a senha do cartão em lojas ou restaurantes. Em ambiente corporativo peça que as pessoas não fiquem tão próximas para a digitação da informação ou evite digitá-la quando houverem pessoas muito próximas. Medidas simples costumam ser muito eficientes para impedir ataques.