Pouco mais de três meses de pandemia e isolamento social tornaram o home office parte do dia a dia de muitas empresas e colaboradores. Esse regime de trabalho foi adotado para conter o contágio pelo novo coronavírus, fazendo com que empresas tivessem que se adaptar rapidamente.
Assim, elas correram para aperfeiçoar a tecnologia de que já dispunham para permitir que o trabalho fosse executado remotamente. Muitas empresas também migraram, ou estão mudando, para a computação em nuvem, ou reforçaram a presença nesse sistema, em busca de redução de custos e melhorias no gerenciamento dos negócios.
O principal motivo para essa mudança é a existência de uma série de tecnologias voltadas à redução de custos por meio da utilização da computação em nuvem. Elas possibilitam a otimização de recursos financeiros, de materiais e humanos. São soluções que podem ser consideradas indispensáveis num cenário de grave crise econômica.
O melhor aproveitamento desses recursos, no entanto, também exige preparo daqueles que os utilizam. E, embora o treinamento a distância já seja uma realidade de antes da pandemia, muitos só passaram a adotar essa prática por causa da covid-19. Assim, cada vez mais, ocupa o espaço e não fica nada a dever ao presencial.
O treinamento não presencial ganha ainda mais relevância quando se sabe que, pelo menos em algum grau, as empresas deverão se moldar ainda mais à prática do home office. Estudo realizado pelo professor do IBMEC-RJ André Miceli e publicado no site UOL indica que o trabalho remoto deverá crescer 30% depois do fim do confinamento e com a retomada das atividades. O acadêmico defende que a experiência atual vai provocar mudanças na cultura organizacional, e a adoção do home office é um caminho sem retorno.
O treinamento a distância é, pois, uma ferramenta disponível para melhorar o desempenho dos colaboradores, para tirar o máximo das tecnologias oferecidas. E, para contratar o melhor treinamento e obter a excelência nos resultados, há três passos importantes, a saber:
1. O quê?
Avalie corretamente qual é o treinamento mais indicado para as necessidades. Há três grandes temas que são subdivididos em vários treinamentos. São eles: infraestrutura em nuvem, big data e machine learning e desenvolvimento de aplicações. Além desses, também podem ser considerados cursos que abordam metodologias e melhores práticas com foco no lado humano de qualquer projeto que envolva mudanças no comportamento das pessoas.
2. Para quem?
Os treinamentos de infraestrutura em nuvem são destinados a profissionais de TI responsáveis por implementar, implantar, migrar e manter aplicativos na nuvem.
Os cursos do segundo grupo são voltados a profissionais de dados responsáveis por projetar, criar, analisar e otimizar soluções de big data e machine learning.
As aulas dos cursos agrupados no terceiro item são propostas para programadores de aplicativos e engenheiros de software que desenvolvem programas na nuvem.
3. Como?
Decidido qual ou quais treinamentos virtuais serão adotados, é hora de escolher o estilo que mais combina com a equipe. Uma das alternativas mais adotadas é o treinamento virtual orientado por um instrutor, que utiliza o mesmo currículo do presencial, assim como as mesmas demonstrações e atividades práticas.
Nesse tipo de treinamento, instrutor e alunos se conectam via webcam, desenvolvendo um senso de grupo como em uma sala de aula tradicional, mesmo que os participantes estejam em qualquer parte do planeta. Isso cria um ambiente propício para responder a perguntas e apoiar os alunos. Outra possibilidade são os cursos de vídeo com aulas individuais. Dessa maneira, o aluno acessa o material já pronto, sem a intermediação do instrutor, havendo ainda a possibilidade de orientação em determinados momentos do curso, ou de unir os dois métodos.
A votação medida provisória (MP) 959/2020, cujo artigo 4º propõe adiar os efeitos da LGPD (Lei Geral de Proteção de Dados) para maio do ano que vem, foi retirada da pauta da Câmara dos Deputados desta terça-feira (18). Segundo item da agenda do dia, ela foi removida por não haver acordo entre as lideranças da casa.
Publicada no dia 29 de abril, a MP foi prorrogada em junho e irá caducar na próxima quarta-feira (26), caso não seja votada e convertida em lei. Segundo o gabinete de Rodrigo Maia, o tema voltará à pauta da Câmara nesta quinta-feira (20). A previsão original é que a vigência da LGPD começasse no último dia 14 de agosto.
“Vamos deixar de apreciar o item dois da pauta porque não há ainda um acordo mínimo. O deputado Damião Feliciano (PDT-PB, relator do tema) ligou e disse que está pronto, a postos, mas diante do pedido do presidente Rodrigo Maia (DEM-RJ) para que a gente adie para outra sessão, vamos para o item três da pauta”, afirmou o deputado federal Marcos Pereira (Republicanos-SP), primeiro vice-presidente da Câmara.
Com a lei entrando em vigor ou não, as multas previstas por ela, de até 2% do faturamento de empresas — ou de até R$ 50 milhões — em casos de infrações, poderão ser aplicadas somente em agosto de 2021, graças à Lei nº 14.010. Estas punições também só poderão ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), que ainda não foi constituída.
Na segunda-feira (17), véspera de quando era esperada a votação da MP, o site Jota divulgou um estudo interno do Cade (Conselho Administrativo de Defesa Econômica) no qual o órgão se propõe a incorporar as funções da ANPD. Este processo estaria concluído em janeiro de 2021. Contatado por Tilt, o Cade não quis comentar o assunto.
Para Flávia Lefèvre, advogada especializada em direito do consumidor e direitos digitais, a inclusão da ANPD dentro do Cade seria positiva por tirar a autoridade da estrutura da Presidência e colocá-la em um órgão mais independente.
“A proposta parece aderir aos termos do GDPR [a lei de dados da Europa], o que é ponto positivo para que empresas brasileiras atuem a nível internacional e para que tenhamos um ambiente que comprove investimentos estrangeiros no país”, explica Lefèvre.
Grandes plataformas se adaptam às exigências
Algumas das maiores plataformas de internet comunicaram a usuários, nas últimas semanas, que já adaptaram seus serviços para a legislação brasileira. No dia 20 de julho, o Facebook esperava que a lei entrasse em voga em algumas semanas. Por conta disso, informou que solicitaria, a partir daquela data, a permissão para usar certos tipos de dados dos brasileiros.
Além disso, a empresa adicionou um novo aviso de privacidade para o Brasil nas políticas de dados de Facebook e Instagram, inclusive com orientações sobre como usuários podem exercer os direitos garantidos pela lei.
O Twitter afirmou, em comunicado, que criou um programa interno para adequar sua plataforma e práticas à LGPD e também aos “padrões internacionais” da empresa, “sempre tendo por norte o reconhecimento da privacidade e da proteção de dados como um direito fundamental”. A empresa ainda destacou sua política de privacidade como mecanismo de transparência do serviço.
O Google destacou que a LGPD é “favorável ao desenvolvimento de negócios, ao mesmo tempo em que protege os direitos dos cidadãos”. A empresa afirmou já oferecer proteção de dados de acordo com o GDPR e a CCPA (Lei de Privacidade do Consumidor da Califórnia). Quando a lei brasileira entrar em vigor, diz o Google, os termos de serviço serão atualizados.
Até a publicação desta notícia, o TikTok não havia respondido se seus serviços estão preparados para as exigências da LGPD.
Virtualização é uma técnica que permite que uma aplicação de um sistema operacional (ou mesmo um sistema operacional inteiro) rode dentro de outro sistema. É o mesmo que abrir uma distribuição do Linux no Windows e rodá-lo como um software, ou instalar um aplicativo de Windows, como o Photoshop, dentro do Linux.
Complicado? Nem tanto. Existem muitos programas ou mesmo particularidades de um sistema operacional úteis a um determinado público (programadores, ou aqueles que usam plataformas diferentes simultaneamente), e a virtualização é a solução mais simples para ter todos os softwares e recursos necessários em uma máquina só, tornando-a mais fácil de gerenciar. Quase todos os computadores vendidos atualmente possuem recursos mais que suficientes para hospedar dois (ou mais) sistemas operacionais ao mesmo tempo, sem perda de desempenho significativa.
O próprio Windows 7 possui um recurso de virtualização embutido, que permite que softwares desenvolvidos para rodar no Windows XP e até mesmo do bom e velho DOS sejam executados sem modificação. Para experimentar, clique no Menu Iniciar, digite “cmd” na busca, tecle Enter e você terá acesso ao DOS com todas as suas funcionalidades. =)
Embora a visão mais comum que as pessoas têm da aplicação dessa técnica seja a de um grande servidor ou datacenter rodando vários sistemas operacionais ao mesmo tempo, com configurações complicadas e voltado para empresas, o usuário comum também pode se beneficiar dela. Mas como?
Se seu computador for relativamente recente, você pode fazer isso em casa. E por que fazer isso? Por exemplo, muitas impressoras um pouco mais antigas só possuem drivers e funcionam apenas no Windows XP, e imagine que você comprou um computador com o Windows 7. Utilizando softwares como o Oracle VirtualBox ou o VMware Player, ambos gratuitos, você pode rodar o Windows XP como uma máquina virtual dentro do Windows 7 e instalar os drivers nele, utilizando a sua impressora normalmente. Pode também testar um outro sistema operacional, como o Linux ou o Unix, sem fazer qualquer modificação no seu computador. Essas são apenas algumas das aplicações que a virtualização oferece.
Mas como essa técnica funciona?
Vejamos um exemplo na indústria, onde a virtualização é utilizada para extrair o máximo de desempenho com o hardware disponível, já que raras são as vezes em que um servidor está utilizando 100% de sua capacidade de trabalho (processamento, memória, disco, etc). Agora imagine que um servidor possui um processador dual-core e quatro discos rígidos, e uma empresa precise disponibilizar dois sistemas operacionais ao mesmo tempo, como o Windows XP e o Windows 7.
Porém, antes de decidir pela compra do novo equipamento, esta empresa observa que o servidor atual utiliza em média somente 40% do poder de processamento da máquina e apenas 10% da capacidade de disco. É aí que pode entrar a virtualização. Com a ajuda de um software, duas máquinas virtuais são criadas em cima de uma camada de emulação, que diz para cada sistema operacional que ele tem um processador de apenas um núcleo e dois discos. Supondo também que o Windows XP e o Windows 7 exijam os mesmos requisitos, teremos o mesmo computador rodando os dois sistemas ao mesmo tempo, dividindo os recursos por dois e utilizando 80% do processamento e 20% do disco. Isso tudo foi possível sem gastar nada, utilizando somente a tecnologia de virtualização!
Sobrou alguma dúvida sobre virtualização? Tem algo a acrescentar? Fale para nós!
O curso é voltado para profissionais docentes da educação básica, mas também é recomendado para todos que desejam ter noções iniciais sobre os assuntos relacionados à Segurança Digital.
A Fundação Getúlio Vargas (FGV), em parceria com o Núcleo de Informação e Coordenação do Ponto BR (NIC.br), disponibiliza um curso 100% gratuito e online voltado para educadores, mas que também pode ser bastante útil para qualquer profissional que tenha interesse e busca conhecer noções básicas e introdutórias sobre Segurança Digital. Além disso, o conteúdo pode ser uma excelente ferramenta para pais que gostariam de orientar seus filhos e demais membros da família sobre aspectos importantes no meio digital.
O programa do curso está dividido em quatro unidades, que destacam assuntos como: perigos virtuais, práticas seguras, criptografia e segurança digital no contexto dos adolescentes. A capacitação também envolve diversas situações que podem ocorrer no dia a dia com relação ao ambiente digital, seja para tarefas de home office, ou com a segurança física e mental e até mesmo a integridade dos usuários com relação a segurança de dados. O curso também apresenta práticas relacionadas ao cuidado com senhas e dados pessoais.
Os interessados em realizar o curso devem preencher a ficha de inscrição que está disponível no site da FGV – não há processo seletivo. A capacitação, que é caracterizada como de curta e média duração, pode ser realizado em 5 horas. Para mais informações, acesse o portal da FGV.
MONITORAR a disponibilidade e desempenho dos serviços nos servidores de uma empresa, é prevenir os problemas que afetam negativamente a continuidade do negócio e impactam diretamente na produtividade.
Já imaginou poder visualizar o status dos seus servidores, em tempo real, através de gráficos, listas e mapas e ainda gerar relatórios que vão ajuda-lo na tomada de decisão, utilizando Zabbix como base, integrada ao Grafana com dashboards mais intuitivos?
Entenda o conceito de cada uma dessas ferramentas:
O que é Zabbix?
Zabbix é um software que monitora vários parâmetros de rede de computadores e saúde e integridade de servidores. Zabbix usa um mecanismo de notificação flexível tha permite os usuários configurarem alerta de e-mail baseado em praticamente qualquer evento. Isto permite uma rápida reação para problemas em servidores. “Fonte: zabbix.com”
Figura 1- Dashboard Zabbix
Fonte: zabbix.com
O que é Grafana?
O Grafana é uma plataforma de análise para todas as suas métricas. Ele permite consultar, visualizar, alertar e compreender suas métricas, independentemente do local de armazenamento. Crie, explore e compartilhe painéis com sua equipe e promova uma cultura orientada a dados. “Fonte: grafana.com”
Figura 2 – Dashboard Grafana
Fonte: grafana.com
Com a integração do Zabbix e Grafana, você vai obter excelentes dados com gráficos de monitoramento modernos, de forma atrativa, fácil interpretação, visualização com flexibilidade de gráficos e outras funcionalidades que completam o Zabbix.
A CITIS comercializa essa solução para você que:
- Quer implementar a solução, mas possui uma equipe para administrá-la
- Quer implementar a solução e deixar que a CITIS monitore. Conheça: Monitoramento como Serviço
- Já é cliente e possui contrato de suporte ativo (benefício da solução sem custo adicional).
O investimento em ações preventivas visa reduzir paradas inesperadas, insatisfação de colaboradores e clientes, prejuízo técnico e financeiro.
Conte com a nossa equipe para que sua infraestrutura seja gerenciada com excelência, evitando surpresas negativas!
Sempre é bom ter em conta que nossas senhas são as chaves que protegem nossas informações pessoais. No entanto, o uso de senhas fracas, incluindo o uso da mesma senha para acessar várias contas, enfraquece nossa segurança e pode representar sérios riscos à nossa privacidade.
A rotina de acesso às contas de serviços, normalmente, funciona da seguinte forma: realização de um registro com seu nome de usuário e senha que só você conhece. E para acessar novamente, basta retornar à home page e inserir seus dados de login. É claro que, por saber que o processo funciona assim, você prefere configurar a sua conta com uma senha fácil de lembrar. Não é mesmo?
E é justamente aí que os problemas aparecem. O “fácil de lembrar” frequentemente equivale a senhas curtas e simples, além de serem fáceis de adivinhar. Isso é excelente para os programas de quebra de senhas que se fazem passar por um usuário e tentam acessar sua conta usando a técnica de força bruta.
No outro extremo, uma senha longa, complexa e aleatória é difícil de decifrar, mas também difícil de lembrar. E aí está o problema (sim, de novo!). Lembrar muitas senhas complexas e ser capaz de memorizar para qual serviço on-line cada uma das chaves corresponde é algo bastante complicado, a menos que você tenha a memória de um elefante.
De fato, usar “frases como senha”, como “EU ADORO ler o WeLiveSecurity!”, pode ser uma boa ideia, já que é algo fácil de lembrar e, ao mesmo tempo, uma chave suficientemente robusta. No entanto, você acha que os usuários se lembrarão das diferentes frases escolhidas como senha para cada conta on-line ou serviço?
Dar algo em troca
O que muitas pessoas fazem – pelo menos aquelas que não têm a memória de um elefante – é arriscar em termos de senhas de segurança através do uso de chaves como “123456”, sem se preocupar muito com o que pode acontecer. Isso, certamente, até que algumas de suas contas sejam comprometidas e suas informações pessoais sejam vazadas ou, ainda pior, que a sua identidade on-line ou dinheiro sejam roubados. Afinal, faz parte da natureza humana não dar importância aos riscos envolvidos em uma decisão desse tipo até que o problema acabe nos atingindo.
De fato, às vezes, você se sente como se não pudesse ter tudo: ou seja, muitas contas on-line, cada uma com senhas complexas, fáceis de lembrar e únicas. Não é de surpreender que, nesses casos, nossa paciência esteja esgotada e isso nos leve a usar atalhos mentais que acabam estragando o que começou bem. Em outras palavras, acabamos reutilizando uma senha.
Além dessa decisão ir de encontro com a segurança do usuário, a reutilização de uma senha está no mesmo nível de outras práticas que não são aconselháveis em termos de autenticação. As senhas criadas com uma estratégia já usada, incluindo senhas ligeiramente modificadas para cada conta (parcialmente reutilizadas), tendem a ser previsíveis e, portanto, também são bem mais fáceis de decifrar.
Por que é tão arriscado reutilizar senhas?
Credential stuffing é um termo usado para se referir às vulnerabilidades expostas em dados de login que são explorados por cibercriminosos. Isso pode se tornar um problema sério não somente quando um atacante usa dados de acesso roubados ou vazados, mas quando o acesso a essa primeira conta permite que o criminoso também entre em outras contas – frequentemente de maior valor -, mesmo graças ao desempenho de testes de combinações de usuário/senha, os cibercriminosos conseguem acessar outras contas de forma bem simples.
Se um ataque é realizado e os dados de login não são armazenados pelas funções Hash + Salt (pense, por exemplo, no ataque contra a Adobe em 2013), uma senha forte ou mesmo o uso de “frases como senha” pode não ser o suficiente para impedir que um ataque possa tomar o controle de uma conta quando a mesma senha é usada para acessar vários serviços.
Duplo fator de autenticação
Muitas tentativas de aquisição de contas podem ser frustradas com a implementação do duplo fator de autenticação (2FA, por sua sigla em inglês). Um fator de autenticação adicional fornece uma camada extra de defesa além da senha. Além disso, essa estratégia resolve alguns pontos fracos que podem estar presentes na senha escolhida.
Nos últimos tempos, muitos provedores de serviços on-line implementaram o duplo fator em seus esquemas de autenticação. No entanto, conforme apresentado em um relatório recente sobre a taxa de adoção do duplo fator de autenticação nas contas ativas do Google (menos de 10%), embora a opção esteja disponível há anos, a maioria dos usuários simplesmente não aproveita essa importante ferramenta.
Existem também outras formas de autenticação, como o reconhecimento facial, o leitor de impressão digital ou algoritmos que analisam características comportamentais (por exemplo, padrões rítmicos), entre outros.
Existe outra alternativa?
Acredito que você não pretenda cancelar as suas contas on-line como forma de gerenciar facilmente as suas senhas fortes, e é também improvável que você pretenda usar estratégias mnemônicas a fim de se lembrar dessas chaves. Considerando isso, o mais prático é colocar todas as senhas em uma espécie de cofre digital. E essa opção existe com programas de gerenciamento de senhas que criptografam e armazenam todas as suas chaves localmente e sem a necessidade de uma conexão com a Internet.
De qualquer forma, supondo que você confie na implementação de um gerenciador de senhas, a segurança de suas contas será determinada pela qualidade da senha escolhida para acessar esse programa, onde as outras chaves serão armazenadas.
Para ser mais claro, as senhas possuem defeitos. Apesar que, nesta era da Internet, não há outro método de autenticação para os usuários. Embora seu desaparecimento tenha sido previsto em 2004, as senhas foram mantidas e parece que elas ficarão por mais algum tempo.
Veja também:
Você sabe o que é cofre de senhas?
Cofre de senhas: Os dados privilegiados da sua empresa estão protegidos?
Não é a primeira vez que falamos sobre o Mekotio, uma família de trojans bancários voltados para sistemas Windows, presentes na América Latina e distribuídos através de campanhas maliciosas direcionadas a países específicos, como Brasil, Chile e Espanha, entre outros. No entanto, desta vez analisamos suas características de forma mais detalhada, os estágios de suas infecções e seus recursos maliciosos, entre os quais se destaca o roubo de criptomoedas e credenciais bancárias.
Desde sua primeira detecção, em março de 2018, os cibercriminosos por trás dessa ameaça vêm aplicando alterações e atualizações. Embora essas mudanças tenham acrescentado, removido e/ou modificado funcionalidades, o objetivo permanece o mesmo: fazer todo o possível para obter dinheiro ou acessar credenciais do serviço de home banking de suas vítimas. Seguindo esse raciocínio, nossas análises revelaram que, entre todas as suas variantes, o Mekotio tem como alvo mais de 51 instituições bancárias distribuídas em pelo menos três países.
Durante a maior parte de sua existência, essa ameaça teve como único alvo os usuários nos países da América Latina, começando com um forte foco no Brasil e depois apontando principalmente para o Chile. No entanto, ao longo dos últimos meses, foram registradas variantes do Mekotio, destinadas especialmente a usuários na Espanha, com as quais se pode concluir que os cibercriminosos estão constantemente expandindo suas operações.
Quanto às detecções do Mekotio na América Latina, o Chile é o país com o maior número de registros e com uma enorme diferença, seguido pelo Brasil e pelo México, com nível médio de detecções, e depois pelo Peru, Colômbia, Argentina, Equador e Bolívia, com baixo nível de detecção. O restante dos países latino-americanos não apresentou um nível relevante de detecção.
Imagem 1. Detecções do Mekotio nos países da América Latina.
É importante destacar que um número baixo de detecções não implica que a ameaça não esteja presente em outros países da América Latina. Por sua vez, deve-se considerar que, se os atacantes o considerarem lucrativo, poderá haver novas campanhas direcionadas especificamente a países que atualmente não apresentam detecções, como a Espanha.
Essa análise foi realizada principalmente na variante CY do Mekotio, detectada por soluções ESET como o Win32/Spy.Mekotio.CY, voltada para usuários no Chile, o país mais afetado por essa família. No entanto, muitas das características, atividades maliciosas e outras observações feitas durante esta análise também se aplicam a outras variantes distribuídas em outros países, uma vez que fazem parte da mesma família e, portanto, têm semelhanças.
Estágios da infecção
Desde que o Mekotio passou a estar ativo, foram observados vários processos de infecção associados a esse código malicioso, variando o número de estágios, os componentes envolvidos e outros. No entanto, existe uma constante entre todos eles e é o estágio inicial, que começa enviando um e-mail contendo um link malicioso. A seguir, serão detalhados cada um dos estágios envolvidos em um dos processos de infecção usados ??pelo Mekotio:
Imagem 2. Diagrama com os principais estágios do processo de infecção pelo Mekotio.
Engenharia social
O processo de infecção começa com uma campanha de spam. Geralmente, os e-mails enviados usam engenharia social para simular e-mails legítimos e personificar a identidade de empresas ou órgãos governamentais, a fim de enganar o usuário e fazê-lo clicar no link malicioso incluído no corpo da mensagem.
No exemplo apresentado na Imagem 1, a estratégia usada para enganar a vítima é um e-mail, que parece vir de um órgão governamental, com um comprovante de pagamento anexo. Essa estratégia geralmente é muito eficaz para despertar a curiosidade do usuário, pois, se ele realmente pagou um determinado imposto, provavelmente estará interessado em guardar o comprovante – se você não tomou essa ação, provavelmente esteja com receio de receber uma cobrança indevida de algo e prefira pesquisar mais sobre o assunto. Nos dois casos, se o usuário decidir abrir o link para baixar o suposto comprovante, o processo de infecção será iniciado.
Instalação
Depois que o link é aberto, um arquivo .zip compactado começa a ser baixado automaticamente. Depois que o arquivo é descompactado, é possível ver seu conteúdo, que nesse caso trata-se de um instalador .msi.
Ao executar o instalador, as seguintes atividades começaram a ser realizadas:
Download do payload: baixa um arquivo .zip adicional e extrai seu conteúdo no seguinte caminho: “C:\programdata\*nombre aleatorio*\”. Esse arquivo .zip geralmente contém quatro arquivos:
- Intérprete de autoit (.exe): esse é o intérprete oficial da autoit. Seu objetivo é executar as instruções do script que é distribuído junto com esses arquivos.
- Script de Autoit (.au3): contém instruções para carregar a DLL do Mekotio e executar uma das funções que ela exporta.
- Mekotio (.dll): essa DLL contém todo o código que executará as atividades maliciosas que serão explicadas abaixo.
- SQLite3 (.dll): contém as instruções necessárias para que o Mekotio possa roubar as senhas criptografadas armazenadas pelos mecanismos de pesquisa.
Persistência: depois que os quatro arquivos foram baixados e extraídos há pelo menos duas opções, dependendo da variante do Mekotio em questão:
- Uma entrada é gravada em uma das chaves de autorun do registro, adicionando um comando para executar o malware.
- Um atalho é adicionado na pasta de inicialização, cujo parâmetro será um comando para executar o malware.
Dessa forma, o Mekotio é executado automaticamente sempre que o sistema é iniciado.
Como pode ser visto, o instalador executa a função de downloader e, adicionalmente, estabelece a persistência da ameaça no dispositivo infectado. Um detalhe importante é que, como o intérprete do Autoit executa o script, carrega e executa a DLL, o Mekotio será executado no contexto do intérprete. Isso é importante, pois pode ser útil identificar se o computador está infectado.
Recursos do Mekotio (.dll)
As amostras utilizadas para esta análise apresentam várias características interessantes, algumas semelhantes às registradas em outras famílias de trojans bancários na América Latina:
- É desenvolvido em Delphi
- Possui proteção Anti-VM, monitorando a presença de processos como o VBoxService.exe
- Possui proteção Anti-debugging (IsDebuggerPresent)
- Modifica seu comportamento de acordo com o idioma do sistema operacional infectado
- Possui funcionalidade de autodestruição, ou seja, para desativar e parar a infecção
- Contém um grande número de strings criptografadas usando um algoritmo semelhante ao usado em outros trojans bancários na América Latina
- Procura informações sobre produtos de segurança instalados no sistema
- É distribuído junto com a biblioteca SQLite3.dll
Atividades maliciosas realizadas pelo Mekotio
Por se tratar de uma ameaça ativa há algum tempo e presente em vários países, por meio de versões específicas direcionadas a cada um deles, é normal encontrar alguma variabilidade nas atividades maliciosas realizadas pelas diferentes amostras analisadas. No entanto, como mencionamos, existe um fator comum entre todas elas: roubar dinheiro e/ou credenciais bancárias.
A seguir, descreveremos os principais comportamentos maliciosos observados nas amostras analisadas:
Roubo de credenciais bancárias com janelas falsas
Como funciona?
Essa ameaça monitora constantemente os sites acessados ??pelo navegador. Caso você tenha entrado no site de qualquer um dos bancos de interesse dos atacantes, o malware exibirá uma janela de login falsa que finge ser da instituição bancária. O objetivo é que o usuário insira suas credenciais de acesso ao sistema. Uma vez obtidas, elas são enviadas para um servidor remoto que armazena as informações roubadas.
Quem pode ser vítima?
Diferentemente de outros trojans bancários mais genéricos, essa funcionalidade do Mekotio é especificamente direcionada a usuários de home banking de um pequeno conjunto de países. No entanto, é importante destacar que a ameaça não visa apenas usuários de contas bancárias normais, mas também aqueles que entram em contas comerciais.
Para conseguir isso, os atacantes criam inúmeras variantes do mesmo malware; cada versão é direcionada apenas para um país específico. Por esse motivo, é comum encontrar amostras projetadas para roubar credenciais de bancos presentes em um determinado país e, mesmo que esse banco esteja presente em outro país, será possível encontrar variantes diferentes. Consequentemente, essa funcionalidade não tem um grande alcance, pois afeta exclusivamente usuários infectados com a variante que aponta para o país em que vivem e que, por sua vez, são clientes de um dos bancos selecionados.
Ao analisar as amostras direcionadas ao Chile, descobriu-se que o malware procura roubar as credenciais de acesso às páginas de home banking dos 24 bancos com maior presença no país. No caso do Brasil, a mesma dinâmica se repete, apontando para 27 instituições bancárias.
Roubo de senhas armazenadas por navegadores
Uma peculiaridade que caracteriza algumas variantes do Mekotio é a capacidade de roubar as credenciais de acesso armazenadas no sistema por alguns navegadores, como Google Chrome e Opera. Geralmente, ao tentar acessar um site usando um formulário de login, o navegador pergunta ao usuário se ele deseja salvar a senha no computador e, se autorizado, continuar fazendo isso. Além disso, juntamente com a senha, o usuário e o site associado à conta que acabou de ser inserida também são armazenados.
No entanto, o mecanismo de segurança usado por esses navegadores para proteger credenciais armazenadas não é eficaz nos casos em que o dispositivo já está comprometido por malware. Isso ocorre porque a função de criptografia usada ao salvar a senha está projetada para que essas informações possam ser descriptografadas apenas pelo mesmo usuário do sistema operacional que as criptografou em um primeiro momento Como o malware é executado como um aplicativo de usuário, você pode facilmente quebrar senhas.
Depois que as senhas em texto simples são obtidas, o Mekotio as guarda em um arquivo junto com os usuários e sites aos quais estão associados e passa a extrfiltrá-las por meio de um POST para um site provavelmente comprometido pelos cibercriminosos. A partir deste momento, as credenciais do usuário são comprometidas e ficam nas mãos dos atacantes.
Essa funcionalidade maliciosa não se limita apenas ao roubo de credenciais bancárias, mas também afeta todas as contas cujos dados também foram armazenados no sistema por esses navegadores. Isso aumenta consideravelmente o alcance e o potencial malicioso do Mekotio, podendo afetar qualquer usuário e não apenas aqueles que usam serviços de home banking.
Curiosamente, esses navegadores armazenam senhas criptografadas em um banco de dados SQLite3, portanto, o malware deve ter a capacidade de lidar com esse tipo de banco de dados. Com base nisso, o Mekotio geralmente é distribuído junto com a dll “SQLite3.dll“, que contém todas as instruções necessárias para obter as senhas armazenadas.
Substituição de endereços de carteiras de bitcoin
Essa funcionalidade maliciosa consiste em substituir os endereços de carteiras de bitcoin copiados para a área de transferência pelo endereço da carteira do atacante. Dessa forma, se um usuário infectado quiser fazer uma transferência ou um depósito para um determinado endereço e usar o comando copiar (clique direito-copiar/ctrl+c) em vez de digitar manualmente, ao querer colar (clique direito-colar/ctrl+v) o endereço para o qual a transferência foi feita não será colado, mas sim o endereço do atacante. Se o usuário não perceber essa diferença e decidir continuar a operação, ele acabará enviando o dinheiro diretamente para o atacante.
Exemplo da dinâmica:
Passo 1: um usuário copia o endereço de uma carteira de bitcoin em um computador infectado pelo Mekotio.
Imagem 3. O endereço de uma carteira de bitcoin é copiado aleatoriamente para ver como o Mekotio a substitui na área de transferência.
Passo 2: o usuário cola o endereço que copiou anteriormente.
Figura 4. O comando “colar” é usado para observar como o Mekotio substituiu o endereço na área de transferência.
Passo 3: É possível ver como o endereço que foi colado no passo 2 é diferente do endereço que foi copiado no passo 1.
Imagem 5. Você pode ver a diferença entre o endereço inicialmente copiado e o endereço colado.
Embora esse mecanismo de roubo seja muito simples e possa ser facilmente combatido através da verificação do endereço para o qual ele será transferido, revisando o histórico de transferências recebido pelas carteiras do atacante, pode-se concluir que muitas pessoas foram vítimas dessa dinâmica.
Imagem 6. Saldo de um dos endereços de Bitcoin usados por criminosos cibernéticos, onde é registrado que o recebimento de transferências por aproximadamente 0,27 BTC. Pode-se ver que os atacantes não mantêm o dinheiro em suas carteiras, mas o transferem para outras de forma bem rápida, dificultando o rastreamento.
É importante destacar que os criminosos cibernéticos por trás do Mekotio não usam um único endereço para receber o dinheiro roubado, mas sim muitos deles. Durante nossas análises, registramos diferentes variantes desse malware usando endereços diferentes, possibilitando aos atacantes distribuir novas versões através da modificação do endereço periodicamente para dificultar o rastreamento.
No caso do endereço analisado na imagem 7, pode-se ver que ele recebeu 6 transações para um total de 0,2678 BTC, aproximadamente US$ 2.500 de acordo com o preço atual do Bitcoin. Essas transações foram recebidas no período entre 25/10/2018 e 14/06/2020. É importante observar que esse período não cobre todo o período de atividade do Mekotio e, por sua vez, as transferências mais recentes podem ocorrer devido as infecções antigas que não foram resolvidas. Considerando esses detalhes e o fato de existirem muitos outros endereços vinculados a essa ameaça, é possível que o total roubado pelos atacantes por meio dessa funcionalidade exceda consideravelmente o valor mencionado anteriormente.
Indicadores de comprometimento (IoC)
Persistência
Procurar vestígios dos mecanismos usados ??para obter persistência é uma das maneiras mais eficazes de detectar essa infecção, uma vez que não são muito sofisticadas. Aqui estão duas opções, dependendo da variante do Mekotio que infectou o sistema:
- Revisar todas as entradas do registro usadas para o Autorun.
- Revisar os atalhos na pasta de inicialização.
O comando usado no atalho e o escrito nas entradas de registro devem se referir a um executável que corresponderá ao intérprete do Autoit.
Esses locais podem ser facilmente controlados usando uma ferramenta como o Autoruns, que faz parte do Sysinternals do Windows e pode ser baixada gratuitamente.
Arquivos usados
O Mekotio usa vários arquivos para armazenar as senhas roubadas ou como indicadores com base nos quais modifica seu comportamento:
- C:\Users\*nombre del usuario*\*nome do interpretador AI*.jkl
- C:\Users\*nombre del usuario*\*nome do interpretador AI *.exe.jpg
- C:\Users\*nombre del usuario*\Bizarro.txt
- C:\Users\*nombre del usuario*\V.txt
- C:\Users\*nombre del usuario*\Ok.txt
- C:\Users\*nombre del usuario*\Etc
Deve-se notar que a maioria desses arquivos não coexiste, portanto, encontrar um único é motivo suficiente para suspeitar de uma infecção e analisar o computador de forma mais detalhada.
Processo com ícone do Autoit
Se um programa com o logo do Autoit e um nome de aparência aleatória (letras sem sentido) for encontrado em execução em nosso sistema, é muito provável que o computador esteja infectado. Isso pode ser verificado usando algum software visor de processos ativos, como o “Process Explorer”.
Imagem 7. Captura da janela do Process Explorer, onde os processos em execução estão listados. Você pode ver o que corresponde ao Mekotio sendo executado no contexto do interpréte do Autoit.
Em geral, não é possível visualizar esse processo no gerenciador de tarefas do Windows, pois o Mekotio usa mecanismos para evitar ser listado nele.
Tráfego de rede
O tráfego de rede entre o Mekotio e seu C&C envolve uma troca frequente de mensagens que possuem uma estrutura bem definida: <|*Comando*|>.
Esse formato é respeitado pelos comandos enviados pelo Mekotio e pelos comandos enviados pela C&C. Alguns exemplos de comandos usados ??pela ameaça são:
|
|
As trocas são iniciadas pelo computador infectado. Esse dispositivo envia um comando seguido de informações roubadas sobre o sistema, por exemplo: sistema operacional, usuário, software de segurança instalado, etc.
A característica mais importante para o usuário do computador infectado é que parte desse tráfego viaja sem criptografia. Portanto, se a presença de strings semelhantes a esses comandos for observada no tráfego de nossa rede, será conveniente realizar as análises correspondentes para descartar uma infecção.
Hashes, sites e C&C
Esses elementos geralmente são bons identificadores de comprometimento. Nesse caso, no entanto, eles têm eficácia limitada, pois os cibercriminosos por trás da ameaça garantem que o período de validade desses elementos seja muito curto.
- Hash: as amostras distribuídas geralmente contêm pequenas variações em seu código para tornar o hash diferente em cada um deles.
- Sites para armazenar senhas roubadas: embora sejam usadas em várias amostras, elas também têm variabilidade.
- Servidores C&C: o endereço IP do C&C é baixado de um documento público no Google Docs. Os atacantes modificam este documento periodicamente, para que o mesmo C&C não seja usado por longos períodos de tempo.
Dicas para se proteger do Mekotio
Os usuários que usam serviços home banking e residem em países com níveis mais altos de detecção devem estar mais alertas. Isso não significa que os países que ainda não foram alcançados por essas campanhas não precisam ser cautelosos porque, se os atacantes começarem a concentrar seus esforços em novas regiões, poderão se tornar um novo alvo da ameaça.
Portanto, é recomendável aplicar boas práticas e critérios de segurança, medidas suficientes para evitar ser vítima do Mekotio. Alguns dos mais importantes, em relação direta a essa ameaça, são:
- Não abra links contidos em e-mails que pareçam suspeitos.
- Também não faça o download de anexos em e-mails suspeitos.
- Caso um arquivo comece a ser baixado automaticamente, não o abra.
- Seja cauteloso ao baixar e extrair arquivos .zip, rar ou outras compactações quando vierem de fontes não confiáveis, pois geralmente são usados ??para ocultar malware e evitar certos mecanismos de segurança.
- Seja especialmente cauteloso ao baixar/executar instaladores .msi ou executáveis ??.exe, verificando sua legitimidade e submetendo-os à análise de um produto de segurança.
- Tenha um produto de segurança, como antivírus, instalado e atualizado.
- Mantenha todos os softwares do dispositivo atualizado.
Em cada um dos pontos mencionados, o objetivo é cortar algumas das etapas do processo de infecção e instalação. Caso essas etapas sejam interrompidas, o Mekotio não será executado.
Técnicas de MITRE ATT&CK
| Táctica | ID | Nombre | Descripción |
|---|---|---|---|
| Initial access | T1192 | Spearphishing Link | El ataque comienza mediante el envío de un link malicioso |
| T1194 | Spearphishing via Service | Las direcciones de email personal también son alcanzadas por el spearphishing | |
| Execution | T1204 | User Execution | La etapa inicial de instalación requiere que el usuario ejecute el instalador malicioso |
| T1064 | Scripting | El instalador contiene un script malicioso que descarga el malware y lo instala en el sistema | |
| T1129 | Execution through Module Load | La ejecución de Mekotio comienza cuando el script de Autoit carga la dll y ejecuta la función inicial | |
| T1059 | Command-Line Interface | A lo largo de su ejecución Mekotio tiene la capacidad para ejecutar varios comandos a través de cmd.exe | |
| Persistence | T1060 | Registry Run Keys / Startup Folder | La persistencia es establecida en una entrada de autorun del registro o mediante un acceso directo en la carpeta de inicio |
| Defense evasion | T1497 | Virtualization/Sandbox Evasion | Mekotio cuenta con protección para detectar si está siendo ejecutado en una máquina virtual |
| Credential access | T1503 | Credentials from Web Browsers | Roba credenciales almacenadas por navegadores como Google Chrome y Opera |
| T1056 | Input Capture | Roba credenciales bancarias al capturar el input ingresado en ventanas falsas | |
| Collection | T1074 | Data Staged | Almacena la información en archivos específicos para luego exfiltrarla |
| T1115 | Clipboard Data | Reemplaza las direcciones de billeteras de Bitcoin presentes en el portapapeles por la dirección del atacante | |
| T1005 | Data from Local System | Roba datos del sistema como el producto antivirus instalado, versión del SO, usuario, etc | |
| T1119 | Automated Collection | Toda la extracción de información es automatizada, sin la participación del atacante | |
| T1008 | Fallback Channels | En caso de que el sitio al que se exfiltra la información este caído se cuenta con otro de respaldo | |
| T1024 | Custom Cryptographic Protocol | La información para conectarse al C&C se encuentra cifrada mediante un algoritmo custom similar al de otros troyanos bancarios de Latinoamérica. | |
| T1001 | Data Obfuscation | Los comandos intercambiados con el atacante probablemente se encuentren ofuscados | |
| T1043 | Commonly Used Port | La información es exfiltrada a través del puerto TCP:80 (HTTP) | |
| Exfiltration | T1020 | Automated Exfiltration | La información es exfiltrada automáticamente, sin intervención del atacante |
| T1048 | Exfiltration Over Alternative Protocol | La información es exfiltrada a través del protocolo HTTP | |
| Impact | T1529 | System Shutdown/Reboot | Bajo ciertas condiciones, ejecuta comandos para apagar el equipo |
Um estudante de engenharia de uma universidade do Chipre baixou e analisou mais de um bilhão de credenciais que vazaram em várias violações de dados sofridas por diferentes empresas. Uma das principais descobertas dessa análise é que 123456 é a senha mais comum e mais reutilizada nos últimos cinco anos, repetindo-se mais de sete milhões de vezes.
As combinações de nome de usuário e senha que compõem esse enorme pacote de credenciais analisadas estão disponíveis publicamente em fóruns de hacking, portais de compartilhamento de arquivos ou mesmo repositórios como GitHub ou GitLab. De fato, muitas dessas credenciais vazadas foram coletadas e usadas por serviços como Have I Been Pwned e até mesmo por gigantes da tecnologia como Google, Microsoft ou Apple para implantar sistemas que avisam os usuários ao criar uma nova senha que seja fraca ou muito comum, destaca o portal ZDNet.
Além de confirmar algo que já sabíamos, dado que a afirmação de que 123456 é uma das senhas mais comuns coincide com o que é revelado anualmente pelo relatório publicado pela NordPass com sua lista anual das piores senhas, o estudo realizado pelo estudante Ata Hakç?l produziu outros dados interessantes que refletem de alguma forma como os usuários interagem com as senhas.
As mais de um bilhão de credenciais analisadas foram compostas por 168.919.919 senhas e 393.386.953 nomes de usuários. Do número total de senhas analisadas, apenas 8,83% eram senhas únicas; ou seja, não se repetem. No entanto, o lado oposto dessa realidade é que uma alta porcentagem de senhas se repete. De fato, de acordo com a análise de Hakç?l, a lista com as 1000 senhas mais frequentemente repetidas representa 6,6% de todas as senhas, enquanto a lista das milhões de senhas mais comuns é composta por 36,2% do total de senhas analisadas.
Por outro lado, outros dados interessantes que emergem da análise são os seguintes: o comprimento médio das senhas é de 9,8 caracteres; que apenas 12% das senhas contêm caracteres especiais; que 29% das senhas são compostas apenas por letras e 13% apenas por números e que 34% de todas as senhas terminam com um número.
Tudo isso demonstra a falta de complexidade de uma alta porcentagem das senhas e como são vulneráveis aos ataques de força bruta, um tipo de ataque com maior porcentagem de sucesso na medida em que as senhas são fracas. O ataque consiste no uso de diferentes técnicas para testar combinações de senhas para descobri-las e obter acesso a um sistema.
Veja também:
A importância de criar senhas seguras
As 25 senhas mais populares de 2018
Cofre de senhas: Os dados privilegiados da sua empresa estão protegidos?
