DOGCALL

Há um ator emergente de alto nível na Coréia do Norte, o grupo de hackers ScarCruft. Esse grupo de indivíduos também é conhecido como APT37 (Ameaça persistente avançada). Os pesquisadores de segurança cibernética acreditam que o grupo ScarCruft provavelmente está sendo financiado diretamente pelo governo norte-coreano e está sendo usado como uma arma contra governos e autoridades estrangeiros. A maioria dos alvos do APT37 parece ser indivíduos sul-coreanos em posições de importância ou poder. O grupo de hackers ScarCruft possui uma longa lista de ferramentas de hackers, entre as quais o Trojan backdoor DOGCALL. A primeira campanha em que o Trojan DOGCALL foi utilizado ocorreu em agosto de 2016. Instituições Militares e Governamentais Visadas na Coréia do Sul Em 2017, o APT37 lançou uma operação visando órgãos governamentais e...

Postado em October 14, 2019 em Malware

NavRAT

O APT37 (Ameaça Persistente Avançada) é um grupo de hackers que existe há algum tempo e acredita-se que trabalhe em cooperação com o governo norte-coreano (embora essas informações ainda não estejam confirmadas). A maioria das metas do grupo APT37 está concentrada na Coréia do Sul e dez são de alto nível. Recentemente, o APT37 usou emails de spear-phishing para propagar uma ameaça chamada NavRAT (Trojan de Acesso Remoto). Os pesquisadores de malware consideram o método de entrega usado pelos invasores bastante intrigante. Também é interessante ressaltar que a infraestrutura usada nas campanhas envolvendo o NavRAT também não é muito convencional. Propaga-se por E-Mails de Spear-Phishing Os e-mails de spear-phishing mencionados acima conteriam um anexo infectado no formato de um arquivo '.HWP'. Este arquivo corrompido é chamado...

Postado em October 11, 2019 em Remote Administration Tools

Hiddad

Hiddad é um adware baseado no Android. A maior parte da atividade do adware Hiddad está concentrada na Rússia, com mais de 40% das vítimas localizadas lá. No entanto, houve relatos de infecções nos EUA, Índia, Alemanha, Ucrânia, Indonésia, entre outros países. Os criadores do adware Hiddad empregam várias técnicas de engenharia social para atingir o seu objetivo final, que é convencer o usuário a clicar nos seus anúncios. Isso pode não parecer muito, mas os autores do Hiddad podem lucrar com uma receita significativa se conseguirem plantar a sua criação em muitos dispositivos host. Se Espalha através de Aplicativos Falsos Esse pedaço de adware parece ter sido hospedado na Loja oficial do Google Play, posando como vários aplicativos falsos, 'Snap Tube', 'Music Mania' e 'Tube Mate'. Felizmente, os desenvolvedores...

Postado em October 11, 2019 em Adware

AndroidBauts

A botnet AndroidBauts é uma rede de dispositivos Android infectados que são usados para promover anúncios online para usuários. A certa altura, o número de dispositivos infectados era superior a 550.000. Os criadores do botnet AndroidBauts podem coletar dados sobre os dispositivos comprometidos - software e hardware. A maioria dos dispositivos infectados parece estar localizada na Índia e na Indonésia. No entanto, um número significativo de dispositivos Android comprometidos que pertencem ao botnet AndroidBauts também pode ser encontrado na Rússia, Argentina, Vietnã, Malásia e outros países. Propagado por Aplicativos falsos É provável que os operadores do botnet AndroidBauts tenham infectado essa quantidade impressionante de dispositivos hospedando aplicativos falsos na loja oficial do Google Play. Os usuários tendem a ter menos...

Postado em October 11, 2019 em Malware

Lotoor

Lotoor é uma ameaça criada para ter como alvo os dispositivos Android especificamente. A maior parte da atividade de malware Lotoor parece estar localizada na Federação Russa, com mais de 32% dos dispositivos comprometidos concentrados nessa região. No entanto, essa família de malware também parece ser bastante ativa nos EUA, Brasil, Índia, Alemanha, Vietnã e outros. Capacidades do Lotoor A abordagem do malware Lotoor é invadir o dispositivo Android do alvo silenciosamente e procurar várias explorações que possam estar presentes. Então, se algum for detectado, a ameaça Lotoor tentará usá-lo para obter privilégios de administrador. Se essa tentativa for bem-sucedida, o malware Lotoor poderá receber e executar comandos remotos por seus operadores. Isso significa que os autores do Lotoor podem: Coletar dados confidenciais. Desativar as...

Postado em October 11, 2019 em Malware

Jsecoin

O Jsecoin é um serviço usado para minerar criptomoedas por meio do navegador da Web. Isso é obtido injetando código escrito em JavaScript no site de destino. Nem todas as páginas da Web, que se beneficiam deste serviço, são mal intencionadas, às vezes sites genuínos usam esse recurso, mas a diferença é que as páginas legítimas nunca deixam de informar ao usuário que seu sistema será usado para minerar criptomoedas. No entanto, existem sites não autorizados, que não apresentarão ao usuário nenhuma notificação. No caso da criptomoeda que está sendo minerada, é o Monero. Os visitantes de sites que foram injetados com Jsecoin terão grandes quantidades de seu poder de processamento usados para minerar o Monero automaticamente. Frequentemente, essas páginas obscuras da Web garantirão o máximo de poder de processamento possível, sem levar em...

Postado em October 11, 2019 em Malware

APT37

O APT37 (Ameaça Persistente Avançada) é um grupo de hackers que provavelmente opera na Coréia do Norte. Os especialistas especulam que o APT37 pode ser financiado diretamente pelo governo norte-coreano. Esse grupo de hackers também é conhecido como ScarCruft. Até 2017, o APT37 concentrou quase todos os seus esforços em metas localizadas na Coréia do Sul. No entanto, em 2017, o grupo de hackers começou a expandir seu alcance e começou a lançar campanhas em outros estados do leste asiático, como Japão e Vietnã. O APT37 também teve alvos localizados no Oriente Médio. O grupo de hackers também é conhecido por colaborar com outros atores mal-intencionados. O APT37 destina-se a promover os interesses norte-coreanos e, portanto, seus alvos tendem a ser de alto nível. O grupo de hackers tende a atingir indústrias ligadas à fabricação de...

Postado em October 10, 2019 em Malware

COMpfun

O COMpfun é um RAT (Trojan de Acesso Remoto) que pertence ao grupo de hackers Turla e foi detectado pela primeira vez em 2014. Acredita-se que o APT Turla (Ameaça Persistente Avançada) seja um grupo de indivíduos russos que provavelmente são patrocinados pelo Kremlin ( mas esta informação ainda está para ser confirmada). O grupo de hackers Turla tende a atingir indivíduos/organizações de alto nível localizados na Rússia e na Bielorrússia. O Turla APT possui um arsenal impressionante de ferramentas de hackers e, se você comparar o COMpfun RAT a outra de suas ameaças, o Trojan Reductor, verá que o último é muito mais ameaçador e complexo. No entanto, o COMpfun RAT também não deve ser subestimado, pois ainda pode permitir que os invasores sequestrem um sistema e obtenham controle completo sobre ele. Recursos Alguns dos recursos do COMpfun...

Postado em October 10, 2019 em Remote Administration Tools

Mike Ransomware

Uma das ameaças de ransomware detectadas mais recentemente é chamada Mike Ransomware, e parece ser uma variante do HildaCrypt Ransomware. No entanto, há uma diferença significativa entre o HildaCrypt Ransomware e o Mike Ransomware; o último foi criado para se disfarçar como uma cópia do notório STOP Ransomware. Os pesquisadores de malware não determinaram por que os autores do Mike Ransomware adotariam uma abordagem tão incomum. Propagação e Criptografia Ainda não se sabe quais vetores de infecção são empregados na propagação desse Trojan de bloqueio de dados. E-mails de spam contendo anexos infectados, bem como atualizações falsas de aplicativos e cópias falsas de aplicativos legítimos estão entre os métodos de propagação mais populares relacionados à disseminação de ameaças de ransomware. Quando o Mike Ransomware se infiltra em um...

Postado em October 10, 2019 em Ransomware

HildaCrypt Ransomware

No início de outubro de 2019, os pesquisadores de segurança cibernética detectaram um novo Trojan de bloqueio de arquivos. Seu nome é HildaCrypt Ransomware. O HildaCrypt Ransomware adota a mesma abordagem que a maioria das ameaças de ransomware; ele verifica o sistema infiltrado para localizar os arquivos de interesse, bloqueia os dados visados usando um algoritmo de criptografia e solicita o pagamento em troca de uma chave de descriptografia, destinada a desbloquear os arquivos afetados. Propagação e Criptografia Os métodos usados na disseminação do HildaCrypt Ransomware ainda permanecem desconhecidos. É provável que os métodos mais populares de propagação de ameaças de ransomware possam estar em ação no caso do HildaCrypt Ransomware, como atualizações fraudulentas de aplicativos, cópias piratas falsas de soluções de software...

Postado em October 10, 2019 em Ransomware

Bora Ransomware

Os especialistas em segurança cibernética detectam um número crescente de ameaças de ransomware que circulam na Web. Alguns deles são projetos que foram criados do zero, enquanto outros são cópias de Trojans já existentes e bem estabelecidos. Propagação e Criptografia Um dos Trojans de criptografia de dados detectados mais recentemente é o Bora Ransomware. Essa ameaça recém-descoberta pertence à infame família do STOP Ransomware. Os especialistas que estudaram o Bora Ransomware não conseguiram identificar os vetores de infecção que estão envolvidos na disseminação dessa ameaça ao ransomware. Geralmente, os Trojans de bloqueio de arquivos são propagados por meio de campanhas de e-mail de spam em massa. Às vezes, os autores de ransomware também optam por usar atualizações de software falsas e variantes pirateadas fraudulentas de...

Postado em October 10, 2019 em Ransomware

TeleBots

Acredita-se que o TeleBots APT (Ameaça Persistente Avançada) seja originário da Federação Russa. No entanto, esta informação ainda está para ser confirmada. Especialistas em malware determinaram que é provável que alguns dos membros do TeleBots também participem de campanhas ameaçadoras realizadas por outros grupos de hackers, como o GreyEnergy, a equipe Sandworm e o BlackEnergy. Acredita-se que parte do grupo de hackers da TeleBots tenha participado do infame ataque cibernético contra a rede de energia ucraniana em 2015. Essa campanha é significativa, principalmente porque é uma das primeiras do gênero - uma campanha de hackers em larga escala que causa um blecaute total não é uma ocorrência comum. Em 2017, o grupo TeleBots também seguiu metas relacionadas à indústria e finanças localizadas na Ucrânia. O TeleBots APT Criou o Petya...

Postado em October 10, 2019 em Malware

GreyEnergy

Acredita-se que o GreyEnergy APT (Ameaça Persistente Avançada) seja o sucessor do grupo de hackers amplamente destrutivo conhecido como BlackEnergy APT. Há várias razões pelas quais os especialistas em segurança cibernética acreditam que esses dois grupos de hackers estejam relacionados: O grupo de hackers GreyEnergy surgiu na mesma época em que o BlackEnergy APT desapareceu do mundo do crime cibernético. Os APTs GreyEnergy e BlackEnergy tendem a operar com ferramentas de hackers leves e flexíveis, que são modificadas e controladas facilmente. A maioria dos esforços de ambos os grupos de hackers está concentrada na Polônia e na Ucrânia. Ambos tendem a visar setores críticos, como instituições industriais ou relacionadas à energia. A infraestrutura construída e usada pelo GreyEnergy e pelo BlackEnergy APT parece estar intimamente...

Postado em October 11, 2019 em Malware

Reductor

O Turla APT (Ameaça Persistente Avançada) é um grupo de hackers de má reputação, originário da Rússia. Eles também são conhecidos como Uroboros, Snake, Waterbug e Venomous Bear. O Turla APT é muito popular no mundo do crime cibernético e realizou muitas campanhas de hackers devastadoras ao longo dos anos. Alguns pesquisadores de malware acreditam que o grupo de hackers pode ser patrocinado pelo Kremlin, mas essas informações ainda não estão confirmadas. A maioria de suas campanhas está concentrada em ex-estados soviéticos como Bielorrússia e Ucrânia, mas eles também iniciaram operações no Irã. Uma das ferramentas de hackers no arsenal bastante grande do Turla APT é o Reductor RAT (Trojan de Acesso Remoto). Acredita-se que o Reductor RAT seja uma variante atualizada da ameaça COMpfun. O principal objetivo do Trojan COMpfun era servir...

Postado em October 11, 2019 em Remote Administration Tools

Muhstik Ransomware

Os autores de uma ameaça chamada Muhstick Ransomware modificaram levemente a ameaça. No entanto, ainda tem uma semelhança com as variantes de ransomware em que se baseou. O Muhstick Ransomware parece ser uma variante do eCh0raix Ransomware e QNAPCrypt Ransomware. Todos esses Trojans de criptografia de arquivos têm como destino dispositivos QNAP NAS (Network Attached Storage). Muitas vezes, os usuários podem armazenar dados importantes ou informações confidenciais em dispositivos NAS, pois são percebidos como mais seguros do que manter os dados no disco rígido comum. Depois que o Muhstick Ransomware se infiltra em um dispositivo NAS, ele começa a criptografar todas as informações armazenadas nele. Em seguida, uma nota de resgate denominada 'README_FOR_DECRYPT.txt' é descartada para a vítima ler. Como na maioria das ameaças de...

Postado em October 11, 2019 em Ransomware