Cisco Releases Security Advisory for DVMRP Vulnerability in IOS XR Software

Original release date: August 31, 2020

Cisco has released a security advisory on a vulnerability—CVE-2020-3566—in the Distance Vector Multicast Routing Protocol (DVMRP) feature of Cisco IOS XR software. This vulnerability affects Cisco devices running IOS XR software that have an active interface configured under multicast routing. A remote attacker could exploit this vulnerability to exhaust process memory of an affected device. This vulnerability was detected in exploits in the wild.

The Cybersecurity and Infrastructure Security Agency (CISA) encourages users and administrators to review the Cisco Security Advisory and take the following actions.

• Implement the recommended mitigations.
• Search for indicators of compromise.
• Apply the necessary update, when available.

This product is provided subject to this Notification and this Privacy & Use policy.

from CISA All NCAS Products https://ift.tt/3lCoQF6

Falha permite que hackers esgotem dados de roteadores da Cisco

No último sábado, 29, a fabricante de roteadores Cisco Systems revelou que na semana passada alguns usuários sofreram ataques por parte de hackers. Os invasores exploraram uma vulnerabilidade zero-day capaz de afetar um recurso presente na versão XR do sistema operacional Internetwork Operating System (IOS), dos equipamentos de rede da companhia. O caso se enquadra na classificação de dia zero, pois os hackers encontraram a vulnerabilidade, chamada de CVE-2020-3566, antes mesmo que os desenvolvedores. Ela envolve o recurso Distance Vector Multicast Routing Protocol (DVMRP), que porta um bug que dá a um usuário remoto não autenticado permissão para esgotar a memória e travar processos em execução do dispositivo roteador.Cisco-New.jpgA vulnerabilidade CVE-2020-3566 permite que hackers esgotem dados de roteadores da Cisco. Créditos: Cisco/DivulgaçãoEm comunicado, a Cisco declarou que a falha foi identificada no dia 28 de agosto, data na qual a sua equipe de segurança tomou conhecimento dos ataques. A identificação ocorreu durante atendimentos de suporte e reclamações da empresa e tende a afetar justamente a versão do sistema operacional que é mais comum em roteadores de nível de operadora e de data center.Como ocorrem os ataques O problema, segundo a companhia, ocorre por meio de um "gerenciamento de fila insuficiente" para os pacotes Internet Group Management Protocol (IGP). Esse último faz parte do protocolo IP e gerencia os grupos de multicast, administrando a entrada e a saída de convidados (hosts, em inglês). Assim, o que o hacker faz é explorar a ineficiência e enviar tráfego IGMP para um dispositivo."Uma exploração bem-sucedida pode permitir que o invasor cause esgotamento da memória, resultando em instabilidade de outros processos. Esses processos podem incluir, mas não estão limitados a, protocolos de roteamento internos e externos", alertou a Cisco.Visto isso, a empresa não sabe ao certo se o bug é útil para os hackers de outras formas mais invasivas, que vão além do esgotamento de dados. Uma teoria seria que talvez os invasores o utilizem para travar processos de segurança para obterem acesso ao dispositivo, mas isso ainda está sendo investigado. Solução Por enquanto, o problema só será solucionado dentro de alguns dias, enquanto medidas estão sendo tomadas para criar atualizações gratuitas do software para a versão XR. Por ora, segundo a Cisco, apenas alternativas atenuantes estão sendo oferecidas aos usuários, como o aconselhamento do uso de limitador de taxa. Os clientes poderão baixar o software aprimorado, contanto que esse seja para o qual eles já tenham uma licença válida, "adquirida diretamente da Cisco ou por meio de um revendedor ou parceiro autorizado", de acordo com um comunicado da companhia. A empresa também orienta a investigação de logs do sistema para a verificação da vulnerabilidade. Para mais informações, acesse o site oficial da transnacional.Fonte: Cisco

from Olhar Digital :: Segurança https://ift.tt/3jvcInr

Apple deu aprovação para execução de aplicativo infectado em Macs

A Apple é conhecida pelo controle rígido do que pode ou não ser executado em suas plataformas e até já arrumou problemas por isso (vide o caso da Epic). No entanto, a empresa não é infalível. Um vacilo parece ter permitido que um malware passasse despercebido pela varredura da empresa e tivesse sua distribuição liberada para o MacOS.Todos os apps precisam passar por esse processo conhecido como "notarização", e deve ser seguido por todos os desenvolvedores para aprovação, para que os sistemas de segurança dos Macs permitam sua execução sem transtornos. No entanto, pesquisadores de segurança descobriram o primeiro app "notarizado" que carregava código malicioso.Os pesquisadores Peter Dantini e Patrick Wardle encontraram uma campanha maligna que tentava ludibriar usuários como um instalador do Flash Player. É um tipo de ameaça que normalmente não traz riscos aos usuários do Mac, já que, mesmo se ele baixar alguma coisa indevida, o sistema detecta o código não-notorizado e bloqueia sua execução. Só que neste caso a Apple deu o aval para a reprodução do software, aparentemente por engano.Por trás do suposto instalador do Flash, havia um malware conhecido como Shlayer, que é apontado como um dos mais utilizados para atacar usuários de Mac. Ele é capaz de interceptar o tráfego web do usuário, mesmo se ele estiver utilizando uma conexão criptografada com HTTPS. A partir daí, ele substitui os anúncios dos sites visitados pelo usuário e as buscas, gerando dinheiro para os autores do ataque. É o que se chama de adware.A Apple confirmou o caso quando questionada pelo site TechCrunch. "Software malicioso constantemente muda, e o sistema de notarização da Apple ajuda a manter malware longe do Mac e nos permite responder rapidamente quando ele é descoberto. Quando soubemos deste adware, revogamos a variante identificada, desabilitamos a conta de desenvolvedor e revogamos os certificados associados. Agradecemos aos pesquisadores pelo apoio em manter nossos usuários seguros", diz o comunicado.Wardle nota que parece ter sido a primeira vez que isso acontece, mas não foi a última. Após a Apple remover a notarização do falso instalador do Flash que permitia a instalação de malware, rapidamente os autores do ataque voltaram com um outro aplicativo notorizado que driblava as restrições da companhia, que novamente bloqueou a ameaça.

from Olhar Digital :: Segurança https://ift.tt/2DjNObc

The Blurred Lines and Closed Loops of Google Search

Seemingly small design tweaks to the search results interface may change how and where people find information online.

from Security Latest https://ift.tt/3hFPuut

What is a VPN and How Does it Increase Your Online Security and Privacy?

The number of VPN users has grown considerably over the past few years. According to the report of Go-Globe, 25% of netizens worldwide have used a VPN at least once in the last 30 days. Recently, VPN usage has surged in many countries and its popularity may see VPN usage surpass the estimated profit of USD$27.10 billion by the end of 2020. The VPN global market only seems to increase as time goes by. So, why is that? What do VPNs provide that make them so attractive?

What is a VPN?

A VPN, or a Virtual Private Network, creates a secure communication “tunnel” from your computer to the internet. It encrypts your connection and prevents others from seeing the data you’re transferring. This keeps your data secure from any spying attempts—including from home over your wired connection, but particularly on public Wi-Fi networks, when you’re out and about in places such as coffee shops, restaurants, airports and hotels. It helps ensure that no one can steal your personal details, passwords, or credit card information.

How does a VPN work and why you need a VPN service?

Among other things, a VPN can conceal your IP address to make your online actions virtually untraceable and anonymous, providing greater privacy for everything you do. In fact, there are so many ways a VPN can protect your privacy and security, we need to take a deeper look at what other benefits a VPN can provide.

	Safeguard personal information

This is the era of mobility and most transactions are being done by people on-the-go using their mobile devices to exchange data over public networks. From online shopping, to mobile banking or simply checking emails and social media accounts, these activities can expose your personal information and sensitive data to hackers and cybercriminals. This particularly applies to users relying on public Wi-Fi. Using a VPN will help to mitigate unwanted leakage or theft by securing data in transit to and from the systems that typically try to collect and store your private data.

	Access better streaming contents from other locations

One of the main drivers for using a VPN is to access better streaming content and restricted websites from the region you’re accessing the internet from. This may be true in your own country, but when traveling abroad, there are also chances that you cannot visit a popular website or a social media platform from the country you’re visiting. While using a VPN, you can connect to an IP address in your country and have full access to your favorite media contents and avoid wasting membership fees that you will likely pay for this streaming service.

	Enhance browsing privacy

Some retail apps, social media platforms, and search engines continuously collect and analyze results of your search history. They keep track of all your browsing activities such as items you viewed, contents you liked, and things you tapped and clicked, so they can provide you with more targeted contents and monetize these by showing the same information in your feed through ads.

Note that, simply clearing your browsing history does not completely remove traces of these searches, and targeted ads can get annoying. This is where a VPN can help enhance your browsing privacy. The VPN hides your browser cached data and location from advertisers, which prevents them from serving up content based on your searches and location.

	Save cost on communicating with family and friends abroad

Another motivating factor for the use of a VPN is to save on the cost of communicating with families and friends abroad. There are countries implementing restrictions on the use of certain messaging apps, banning their services. If you are planning to visit a country with such a restriction, a VPN can bypass this constraint, which allows you to make use of your trusted messaging app, eliminate the cost of long-distance calls to family and friends while abroad—and at the same time, maintain the level of security and encryption the messaging app provides.

	Escape content-based bandwidth-throttling

The internet has evolved into streaming more content—videos, music, and more—and ISPs have responded by making higher data usage and higher throughput (bandwidth) pay-as-you-use-more services. But content is still at issue, particularly after the December 2017 FCC ruling. Potential ISP throttling based on content type, source, or destination (e.g., BitTorrent traffic), which could give priority to business over personal usage, is one of the reasons why everyday people are using VPN services, because a VPN provides more usage anonymity, preventing ISPs from potentially tracking your activities and limiting your bandwidth usage accordingly.

Choosing the right VPN for you

Now that you have some understanding of what a VPN is, and what benefits it can give you, it is also important to choose the right VPN for you.

Due to regulatory requirements and laws governing data privacy and securing personal information online, the demand for VPNs is growing. In response, there are a large number of VPN providers in the market today. So how do you choose a reliable VPN? Here are some criteria to help you pick one that best suits your needs:

Faster and more data is better. Using a VPN can often decrease the speed of your internet connection, so you should pick a provider that has a good number of servers and locations and doesn’t pre-throttle your bandwidth. Some also have data limits, so you should opt for those with a higher data limit per month Provides the best encryption. Look for a VPN providing sophisticated ciphers such as 256-bit AES end-to-end encryption. Ensures safe browsing. Look for VPN that can filter and block malicious websites, online fraud, and internet scams and automatically safeguard your internet connection. Provides full anonymity. It is crucial that a VPN vendor has a clear privacy policy. Trusted VPNs will not track the user’s websites, payment information, or online transactions, and do not keep logs. Supports simultaneous devices. Select a VPN that is compatible with your devices and operating systems and can provide you a good number of simultaneous connections on your devices. Cost versus use case. Heavier business usage should be contrasted with everyday consumer use. To pay less for the service (VPNs typically cost from $5 to $12 per month per device, though multi-device bundles are less), you might accept some data limits, if your use case is lighter; sacrifice some speed, if you’re not streaming movies when you’re out and about, (unlikely during the coronavirus lockdown); or some cross-regional server-selection capability, if you’re not travelling in content-restricted regions (since out-of-country travel is also being hampered by the pandemic).

Trend Micro’s Home Division provides two low-cost, safety-focused VPN solutions for everyday users: Trend Micro VPN Proxy One and Trend Micro Wi-Fi Protection, both of which can address light-to-medium VPN needs and meet most of the checklist criteria above.

Trend Micro VPN Proxy One offers fast, secure, stable and anonymous proxy connections for you to access various websites and applications. It connects to the best Trend Micro VPN server intelligently, without you having to do it, and does not limit bandwidth consumption. Trend Micro VPNs do not track your online activities, ensuring you a secure digital life and protecting your online privacy. Trend Micro VPN Proxy One is targeted to Mac and iOS devices.

Trend Micro Wi-Fi Protection turns any public hotspot into a secure Wi-Fi network and VPN with bank-grade data encryption to keep your information safe from hackers. While your VPN is active, Trend Micro Wi-Fi Protection provides exceptional web threat protection and checks websites you visit to safeguard your browsing from online fraud and internet scam. The VPN automatically kicks in when connecting to a Wi-Fi network with low security, such as one with no encryption. Trend Micro Wi-Fi Protection is available for all platforms (PC, Mac, Android, and iOS). Bundles can be purchased for multiple devices and platforms and some bundles can include other Trend Micro products, depending on the region.

Go to the Apple App Store for more details on Trend Micro VPN Proxy One; or for a 30-day trial or to buy, go here: Mac | iOS.

Or visit Trend Micro Wi-Fi Protection for more information, or to buy the multi-platform solution.

The post What is a VPN and How Does it Increase Your Online Security and Privacy? appeared first on .

from Trend Micro Simply Security https://ift.tt/3lxJSF1

Apple Accidentally Approved Malware to Run on MacOS

The ubiquitous Shlayer adware has picked up a new trick, slipping past Cupertino's “notarization” defenses for the first time.

from Security Latest https://ift.tt/2G5Ovpo

How Cryptography Lets Down Marginalized Communities

Speaking at a prestigious crypto conference this month, Seny Kamara called on the field to recognize its blind spots—and fix them.

from Security Latest https://ift.tt/3gEWUN7

A CISO takes a look at consolidating security solutions in their shop

By Brian Gleeson, Head of Infinity Product Marketing I spoke to a good friend the other day, who until quite recently was a practicing chief security officer for a large company. For the sake of this blog I’m going to refer to him as Gustavo, which is not his real name. Anyway, Gustavo broke down…

The post A CISO takes a look at consolidating security solutions in their shop appeared first on Check Point Software.

from Check Point Software https://ift.tt/3bdpZhI

Criptominerador potente é atualizado para atacar Linux

O malware criptominerador Lemon_Duck foi atualizado e agora mira máquinas que rodam Linux por meio de ataques de força bruta via SSH. Ele também explora a falha de segurança do Windows 10 SMBGhost, além de infectar servidores rodando instâncias Redis e Hadoop.O malware foi encontrado no ano passado e é conhecido por ter redes de empresas como alvo, ganhando acesso ao serviço MS SQL ou ao protocolo SMB usando EternalBlue. Uma vez que o dispositivo é infectado, o malware solta um payload XMRig Monero que usa os recursos do sistema para mineração de criptomoedas.Para encontrar dispositivos Linux infectáveis a partir dos ataques de força bruta pelo SSH, o Lemon_Duck usa um módulo de escaneamento para procurar sistemas Linux conectados à internet procurando nos 22 protocolos de controle de transmissão de dados para login remoto SSH.Quando o malware encontra essas máquinas, ele lança um ataque via SSH, como o username root e uma lista de senhas codificadas. Se o ataque tiver sucesso, é baixado e executado um shellcode malicioso.Para que o malware resista entre eventuais reboots do sistema, ele também adiciona uma cron job, que são tarefas executadas em períodos definidos previamente. Posteriormente, ele procura por mais dispositivos Linux para soltar payloads coletando credenciais de autenticação SSH do arquivo / .ssh/known_hosts.shutterstock_772039471.jpgSegundo dados da Kaspersky, os ataques de criptomineradores cresceram 83% naquele ano. Entretanto em 2019 o ritmo diminuiu, segundo a Check Point Research. Imagem: ShutterstockLiquidando competidores e diversificando vetoresOutros malwares de criptomineração são caçados pelo Lemon_Duck para que todos os recursos do sistema infectado sejam usados apenas por ele.O criptominerador também é distribuído a vítimas em potencial por spams em larga escala que contém informações de campanhas sobre Covid-19 que usam uma vulnerabilidade do código arbitrário do CVE-2017-8570 do Microsoft Office para deixar payloads maliciosos.Mais recentemente, os autores adicionaram um módulo que explora a vulnerabilidade do SMBGhost de execução remota o código wormable (CVE-2020-0796). Entretanto, em vez de explorar essa falha em sistemas vulneráveis, o malware usa esse módulo para coletar informações de máquinas comprometidas. Por cerca de dois meses, eles desativaram os módulos EternalBlue e Mimikatz provavelmente para medir a efetividade do módulo SMBGhost.Depois de implantar o XMRig nas máquinas, o malware também tentará desabilitar a compressão SMBv3 e bloquear as portas SMB 445 e 135 para impedir outros de explorar as mesmas vulnerabilidades. Os autores também adicionaram suporte para escanear e hackear servidores rodando bases de dados Redis expostas e clusters Hadoop usando YARN.O Lemon-Duck é um dos mais avançados malwares de criptomineração. Seus criadores atualizam o código com novos vetores e técnicas que ofuscam a detecção e o minerador em si não tem arquivos, o que significa que ele fica residente na memória e não deixa rastros no sistema de arquivos da vítima.Fonte: Bleeping Computer

from Olhar Digital :: Segurança https://ift.tt/2YQhTqh

Porn Sites Still Won’t Take Down Nonconsensual Deepfakes

The videos are racking up millions of views. Meanwhile, for victims, the legal options aren’t keeping up with the technology

from Security Latest https://ift.tt/2YO5umD

How to Protect the Data on Your Laptop

Your laptop is a treasure trove of personal and sensitive information—make sure it's as secure as it can be.

from Security Latest https://ift.tt/31Is2r3

Microsoft atualizará segurança de seus softwares para Linux; entenda

A partir de 24 de setembro, não será mais possível utilizar os protocolos de criptografia Transport Layer Security (TLS) 1.0 e 1.1 em softwares disponibilizados pelo Linux Software Repository da Microsoft. A medida foi tomada após lançamento do novo procedimento de segurança, TLS 1.3, além de questionamentos sobre a segurança dos padrões antigos.O Linux Software Repository da Microsoft é uma fonte oficial de produtos de software disponibilizados pela empresa para as distribuições do sistema operacional livre.A atualização nas tecnologias de criptografia eram esperadas, já que nenhuma das duas versões anteriores faziam parte das regras de uso online atuais. Inclusive, a maioria dos navegadores do mercado acreditam que TLS 1.0 e 1.1 não oferecem a segurança necessária para uma navegação sem riscos. A recomendação era deixar de usá-los, mesmo que não houvessem quaisquer versões do protocolo atualizadas à disposição."Para se adequar aos novos padrões de segurança, o packages.microsoft.com não dará continuidade ao uso dos protocolos Transport Layer Security (TLS) 1.0 e 1.1 para downloads à partir da plataforma", afirmou a Microsoft através da Central de mensagens do Windows.shutterstock_1738291442.jpgSegurança tem sido a principal pauta abordada pela Microsoft, a empresa acredita que o TLS 1.3 será primordial para que o usuário não corra nenhum tipo de risco online. Créditos: Alberto Garcia Guillen / Shutterstock.comOutros problemasEm atualização recente, usuários do Windows detectaram um bug que podia causar sérios danos àqueles que possuem SSDs. Os relatos foram feitos através da internet, dizendo que o Windows fazia otimizações de drive além do necessário, o que pode diminuir a vida útil de seu dispositivo de armazenamento. O defeito foi encontrado na versão 2004 da atualização do Windows. A completa desfragmentação de disco a cada reinicialização do sistema também foi uma das queixas feitas pelos clientes.Um patch já foi disponibilizado pela Microsoft, que reconheceu o problema. Tal correção pode ser feita por membros Insider com a Build 19042.487 (20H2) do Windows 10. Para aqueles que não se enquadram a esses requisitos, recomenda-se desligar a desfragmentação automática através das configurações.Fonte: Bleeping Computer

from Olhar Digital :: Segurança https://ift.tt/2EvpvaZ

A Spate of Arrests Sends the Piracy World Reeling

Plus: ATM hacks, the Belarus internet shutdown, and more of the week's top security news.

from Security Latest https://ift.tt/2EKUf7y

Hacker quase tomou controle de carros da Tesla

Em julho de 2017, Elon Musk, CEO da Tesla, disse que, se alguém conseguissem invadir os sistemas de seus carros autônomos, esse poderia ser o fim da companhia. O mais curioso é que a situação quase aconteceu alguns meses antes.Para sorte da Tesla, quem invadiu os sistemas não tinha intenção maliciosa. Ao contrário: ajudou a companhia a corrigir a falha antes que outros pudessem explorá-la. O hacker foi Jason Hughes, que descobriu uma vulnerabilidade importante na Mothership, o servidor que controla a comunicação da Tesla com toda a sua frota de veículos.Hughes encontrou uma forma de forjar a comunicação com a Mothership. Isso permitia que ele se passasse por um carro produzido pela empresa. Com esse nível de acesso, Hughes sabia a localização de qualquer Tesla em tempo real, se ele estava parado ou em movimento, qual o nível de carga da bateria e a autonomia restante e muito mais.Ciente da gravidade da falha, Hugues comunicou a Tesla. A empresa rapidamente corrigiu a vulnerabilidade na Mothership e os demais bugs explorados por Hugues nos dias seguintes. Como recompensa, ele recebeu 50 mil dólares. Saiba mais sobre o ocorrido em nosso site, www.olhardigital.com.br.

from Olhar Digital :: Segurança https://ift.tt/3b8jTiC

Sistema usa IA para identificar desastres naturais a partir de fotos

Uma equipe de pesquisadores do Massachusetts Institute of Technology (MIT), especializados em Inteligência Artificial, criou um banco de dados com centenas de milhares de imagens de acidentes e desastres naturais, que poderá ser usado para a criação de um algoritmo que reconheça esses incidentes e possa alertar organizações humanitárias e equipes de emergência. O projeto foi apresentado na Conferência Europeia sobre Visão Computacional (ECCV).A ideia é que o sistema consiga reconhecer ocorrências como acidentes de carro, incêndios, terremotos, enchentes e até erupções vulcânicas a partir de imagens compartilhadas nas redes sociais em tempo real. "No entanto, não existem conjuntos de dados de imagens em grande escala para detecção de incidentes", afirmam os pesquisadores.Foi montado então um banco com 447 mil imagens rotuladas como acidentes ou desastres naturais, divididos em 43 categorias, e 697 mil imagens rotuladas sem qualquer incidente. As imagens também contêm rótulos de localização, como praia, ponte, floresta ou casa. "Empregamos um modelo de classificação de linha de base que mitiga erros de falso positivo e realizamos experimentos de filtragem de imagens em milhões de fotos do Flickr e Twitter", contam os pesquisadores.O projeto, chamado Incidents, classificou as imagens por tipos de danos ou eventos específicos que podem exigir atenção ou assistência humana, como congestionamentos ou acidentes de carro. "Nosso conjunto de dados é significativamente maior, mais completo e muito mais diverso do que qualquer outro conjunto de dados disponível relacionado à detecção de incidentes, permitindo o treinamento de modelos robustos capazes de detectar incidentes na natureza", dizem os pesquisadores.A inclusão de imagens cotidianas ainda ajudou o modelo a fazer análises mais precisas. "Podemos observar que, sem usar os negativos da classe durante o treinamento, o modelo não consegue distinguir entre uma lareira e uma casa em chamas, ou detectar quando uma bicicleta quebra por causa de um acidente", explicam os responsáveis pelo Incidents.Para testar a eficácia do sistema, os pesquisadores usaram o conjunto de dados para treinar uma rede neural convolucional e encontraram uma precisão média de 77% em terremotos e inundações no Twitter. O experimento incluiu a análise de 900 mil fotos de cinco terremotos e duas inundações postadas na rede social.Os dados criaram IA capaz de reconhecer terremotos e inundações de quase um milhão de fotos do Twitter com uma precisão média de cerca de 74% e 89%, respectivamente.Via: VentureBeat

from Olhar Digital :: Segurança https://ift.tt/3jpy45G

Polícia Civil deflagra operação contra ataques DDoS em Goiás e SP

As polícias civis de Tocantins e Goiás deflagraram, nesta sexta-feira (28), uma operação contra um grupo de crackers acusados de extorquir provedores de internet. Batizada como Attack Mestre, a operação cumpriu cinco mandados de busca e apreensão e dois mandados de prisão temporária em São Paulo e Goiás. Crackers é o termo usado para designar criminosos que usam seus conhecimentos para quebrar a segurança de computadores e sistemas de forma ilegal. Os investigados são suspeitos de realizar ataques de Negação de Serviço Distribuído (DDoS, na sigla em inglês). Nesse tipo de ação criminosa, bots (robôs) assumem o controle de uma série de computadores e os forçam a acessar o mesmo servidor simultaneamente. shutterstock_446148670.jpgEm ataques DdoS, criminosos sobrecarregam um mesmo servidor de modo a bloquear a conexão à internet dos usuários atacados. Imagem: u3d/ShutterstockDevido à súbita sobrecarga no servidor, o acesso à internet fica indisponível. Então, os criminosos passam a extorquir as empresas provedoras de internet, estabelecendo altas quantias em dinheiro como condição para que o serviço seja restabelecido. Nesse caso específico, os suspeitos exigiam um depósito numa carteira de criptomoedas. De acordo com os investigadores, os suspeitos interromperam as conexões de banda larga de centenas de milhares de usuários nos 26 estados e no Distrito Federal. A investigação é conduzida em conjunto com a Polícia Civil de São Paulo e o Ministério da Justiça e Segurança Pública (MJSP)."Os investigados são detentores de conhecimentos avançados na área da tecnologia da informação e faziam uso de uma estrutura extremamente complexa, dotada de uma rede com diversos computadores infectados por bots, popularmente conhecida como 'zumbis'", informou Alessandro Barreto, coordenador do Laboratório de Operações Cibernéticas do MJSP.Não foi esclarecido de que modo os criminosos tiveram acesso aos computadores atacados, nem a armadilha empregada para que os usuários fizessem download dos bots. Fonte: Agência Brasil 

from Olhar Digital :: Segurança https://ift.tt/2EJcomc

Falha de segurança no Android permite desvio de dados sigilosos

Uma vulnerabilidade de segurança no Android pode ter permitido que aplicativos maliciosos desviassem dados confidenciais de outros aplicativos presentes no mesmo dispositivo.A startup de segurança Oversecured encontrou a falha na biblioteca Play Core, amplamente usada pelo Google, que permite aos desenvolvedores enviar atualizações dentro dos aplicativos e novos módulos de recursos para seus apps Android, como novos níveis de jogo ou pacotes de idiomas.Um aplicativo malicioso no mesmo dispositivo pode explorar essa vulnerabilidade ao injetar módulos maliciosos em outros apps que dependem da biblioteca, assim conseguindo acessar dados sigilosos dos usuários, como senhas e números de cartões de crédito de dentro dos aplicativos.ReproduçãoBug permitia roubar dados sigilosos de outros aplicativos presentes no dispositivo. Imagem: Reprodução/ShutterstockO fundador da Oversecured, Sergey Toshin, afirmou ao TechCrunch que explorar a falha foi "muito fácil". A startup construiu um aplicativo de prova de conceito usando algumas linhas de código e testou a vulnerabilidade no Google Chrome para Android, que dependia de uma versão vulnerável da biblioteca Play Core.Segundo Toshin, o app desenvolvido por sua empresa foi capaz de roubar o histórico de navegação, senhas e cookies de login das vítimas. Além disso, o bug também afetou alguns dos aplicativos mais populares da Google Play Store.O Google reconheceu o bug, cuja avaliação em quesito de gravidade era de 8,8 (de um máximo de 10), e afirmou ter feito a correção do problema. "Agradecemos o fato de o pesquisador ter nos relatado esse problema e, como resultado, ele foi corrigido em março", disse um porta-voz da empresa.Para remover qualquer tipo de risco, Toshin sugere que os desenvolvedores de aplicativos devem atualizar seus apps com a versão mais recente da biblioteca Play Core.Senado aprova LGPDEm menos de seis horas, o Senado aprovou na quarta-feira (26) a antecipação da Lei Geral de Proteção de Dados (LGPD) (Lei nº 13.709), removendo o artigo 4º da MP 959/2020, que jogava o início da vigência da legislação para 1º de janeiro de 2021.Além do episódio inédito na história da República brasileira, mais uma surpresa estampou a página do Diário Oficial na madrugada de quinta, quando o governo federal deu o primeiro passo para a criação da ANPD. A autoridade  deve fiscalizar e punir organizações que não protegerem adequadamente os dados pessoais dos usuários.Via: TechCrunch

from Olhar Digital :: Segurança https://ift.tt/2YMl1nc

Órgão regulador da LGPD pode demorar para ser implementado

Na quinta-feira (27), foi publicado no Diário Oficial da União (DOU) a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por fiscalizar a Lei Geral de Proteção de Dados (LGPD). No entanto, apesar da divulgação, o decreto só deve começar a fiscalização após ser nomeado o diretor-presidente da Autoridade.Com isso, mesmo que a LGPD passe a valer imediatamente, a fiscalização pode demorar um pouco mais do que se imagina. Como requisito para implementação, está um processo de sabatina de todos os membros do Conselho Diretor pelo Senado. Isso significa que a ANPD "não existe" até que esse processo seja realizado.ReproduçãoApesar da divulgação, o decreto só deve começar a fiscalização após ser nomeado o diretor-presidente da AutoridadeFoto: sdecoret/ iStockPor conta da pandemia do novo coronavírus, o Senado passa por um período em que suas atividades estão reduzidas e sem as Comissões, que não estão funcionando. Mesmo com a aprovação da MP 959/2020, que fala sobre a LGPD, a ANPD não foi definida. Caso a lei entre em vigor, há o risco da autoridade responsável por fiscalizar as empresas não ser colocada em prática a tempo.Apresentar o projeto que estrutura a ANPD um dia depois do Senado rejeitar o adiamento da LGPD mostra que as autoridades decidiram correr contra o tempo para deixar tudo em ordem para uma possível implementação, já que adiar a aplicação da lei não foi possível.Competências da ANPDCom a criação da Autoridade, a LGPD ganha alicerce para uma implementação segura e estruturada. Segundo o Governo Federal, o órgão será dotado de autonomia técnica e decisória para proteger os "direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural"."A criação da ANPD é um importante passo tanto para dar a segurança jurídica necessária aos entes públicos e privados que realizam operações de tratamento de dados pessoais e que terão de se adequar à LGPD, como também para viabilizar transferências internacionais de dados que sigam parâmetros adequados de proteção à privacidade, o que pode abrir novos mercados para empresas brasileiras", divulgou, em nota, a Secretaria-Geral da Presidência da República.De acordo com o decreto publicado no DOU, estas são algumas das competências da ANPD:Zelar pela proteção dos dados pessoais, nos termos da legislação;Elaborar diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade;Fiscalizar e aplicar sanções ao descumprimento dos termos dispostos na LGPD;Promover, entre a população, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais;Estimular, entre as empresas, a adoção de padrões para serviços e produtos que facilitem o controle pelos clientes sobre seus dados pessoais;Averiguar reclamações não solucionadas entre clientes e empresas, no que tange à violação de dados e privacidade;Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados e privacidade.Via: Teletime

from Olhar Digital :: Segurança https://ift.tt/3jnZ19T

EUA querem confiscar contas de criptomoedas usadas pela Coreia do Norte

O Departamento de Justiça (DoJ) dos EUA entrou com um pedido de confisco de 280 contas de criptomoedas que teriam sido usadas por hackers norte-coreanos em ataques a duas casas de câmbio virtuais. Os ataques teriam gerado mais de US$ 100 milhões (R$ 560 milhões) em criptomoedas, que teriam sido lavados com a ajuda de dois cidadãos chineses presos em março deste ano.Os ataques seriam uma forma de contornar sanções comerciais e financeiras impostas pelo conselho de segurança da ONU desde 2006, como uma forma de impedir o avanço dos programas nuclear e de mísseis balísticos do governo norte-coreano."A ação de hoje expõe publicamente as conexões contínuas entre o programa de ciberataques da Coreia do Norte e uma rede chinesa de lavagem de criptomoedas', diz o procurador-geral adjunto em exercício Brian Rabbitt, da divisão criminal do DoJ, em um comunicado.Um relatório da ONU publicado no ano passado estima que a Coreia do Norte gerou cerca de US$ 2 bilhões (cerca de R$ 11,2 bilhões) para seus programas de armas de destruição em massa usando "amplos e cada vez mais sofisticados" ataques para roubar de bancos e casas de câmbio de criptomoedas.A Coreia do Norte nega as acusações, dizendo que são uma "invenção" criada para manchar sua imagem.Fonte: Reuters

from Olhar Digital :: Segurança https://ift.tt/3hxUn8R

Saiba como um hacker quase tomou o controle de todos os carros da Tesla

Em julho de 2017 o CEO da Tesla, Elon Musk, subiu ao palco durante um encontro da Associação Nacional de Governadores dos EUA em Rhode Island, nos EUA, e descreveu de forma bem humorada o que seria um cenário apocalíptico para sua empresa em um futuro onde carros totalmente autônomos seriam comuns:"A princípio, se alguém for capaz de digamos, invadir todos os Teslas autônomos, essa pessoa poderia - como uma travessura - dizer "mande todos eles para Rhode Island - em todos os Estados Unidos… e isso seria o fim da Tesla, e haveria um monte de pessoas furiosas em Rhode Island".O que o público não sabia é que essa situação quase aconteceu alguns meses antes. Para sorte da Tesla, quem invadiu seus sistemas não tinha intenção maliciosa e ajudou a empresa a corrigir a falha antes que alguém mais pudesse explorá-la.O primeiro hackO hacker foi Jason Hughes, conhecido como WK057 em fóruns de proprietários de veículos da Tesla por ajudar proprietários a hackear seus carros e por reaproveitar peças de Teslas batidos em sistemas domésticos de armazenamento de energia solar ou kits para converter carros comuns em veículos elétricos.Ele já havia descoberto uma falha nos protocolos de comunicação da Tesla que lhe permitia gerar um mapa com informações atualizadas em tempo real sobre todas as estações da rede Supercharger nos EUA, como quantos carregadores estavam disponíveis em cada uma. E publicou esses dados em um fórum de usuários.ReproduçãoCarro da Tesla conectado a Supercharger. Foto: JL IMAGES / Shutterstock.comA Tesla não ficou feliz com isso, mas o hacker disse que estava disposto a conversar. 20 minutos depois ele estava em uma conferência com o gerente da rede Supercharger e o gerente de segurança de software da Tesla, Aaron Siegel. Hughes concordou em não mais divulgar os dados e, após reportar a vulnerabilidade para a empresa, recebeu uma recompensa de US$ 5 mil.Atacando a nave-mãeSabendo que havia "buracos" na rede, Hugues decidiu explorar mais os sistemas da Tesla, e descobriu algumas pequenas vulnerabilidades que podiam ser usadas em conjunto."Percebi que algumas dessas falhas podiam ser encadeadas, o termo oficial é "corrente de bugs", para ganhar mais acesso a outras coisas na rede deles. Eventualmente consegui acessar um repositório com imagens de servidores na rede deles, um dos quais era a 'Mothership'", disse em declaração ao site Electrek.Mothership, ou "nave-mãe", é o "servidor mestre" que controla a comunicação da Tesla com toda sua frota de veículos. Todos os comandos que a Tesla envia para os carros, e os dados que eles reportam de volta à empresa, passam pela Mothership.Após baixar e analisar os dados encontrados no repositório, Hughes começou a usar a conexão VPN de seu próprio carro com a Tesla para estudar a Mothership, e eventualmente encontrou uma conexão de rede usada por desenvolvedores.Foi aí que ele descobriu uma forma de forjar a sua comunicação com a Mothership, o que lhe permitia se passar por qualquer outro carro produzido pela empresa. Tudo o que ele precisava era saber o número identificador do veículo (VIN, Vehicle Identification Number), algo fácil já que ele também tinha acesso a um banco de dados chamado "Tesladex" com o VIN de todos os carros já fabricados.ReproduçãoPainel (Dashboard) de um Tesla Model 3. Foto: Khairil Azhar Junos / Shutterstock.comCom este nível de acesso, Hughes podia saber tudo sobre qualquer Tesla no mundo, como sua localização em tempo real, se estava parado ou em movimento, nível de carga da bateria, autonomia restante, temperatura interna e muito mais.Ciente da gravidade da falha, Hugues enviou um e-mail para Siegel em uma tarde de março de 2017. Em poucos minutos, ele estava ao telefone com Siegel. Para demonstrar a vulnerabilidade, o hacker disse: "me dê o VIN do Tesla mais próximo de você" e, de sua casa na Carolina do Norte, fez um carro na Califórnia ligar e se mover.A Tesla corrigiu a principal falha na Mothership em algumas horas, e toda a "corrente de bugs" explorada por Hugues em alguns dias. Como recompensa ele recebeu US$ 50 mil, muitas vezes mais que o valor máximo por bug estabelecido pelo programa de caça a bugs da Tesla.Desde então a Tesla redoborou seus esforços na segurança, e continuamente oferece seus carros como alvos em competições como a Pwn2Own, que incentiva hackers a descobrir falhas em produtos e serviços em troca de prêmios em dinheiro."Estamos ansiosos em aprender mais sobre, e recompensar, bons trabalhos na Pwn2Own para que possamos continuar a melhorar nossos produtos e nossa abordagem no projeto de sistemas inerentemente seguros", disse recentemente David Lau, Vice-Presidente de Software de Veículos da Tesla.Fonte: Electrek

from Olhar Digital :: Segurança https://ift.tt/2G7GXCL

This Week in Security News: Trend Micro and Snyk Partner to Fight Open Source Security Flaws and Ransomware Has Gone Corporate

Welcome to our weekly roundup, where we share what you need to know about the cybersecurity news and events that happened over the past few days. This week, learn about Trend Micro and Snyk’s new co-developed solution to help manage the risk of open source vulnerabilities. Also, read about a new ransomware strain that emulates the practices of a legitimate enterprise.

Read on:

Trend Micro, Snyk Fight Open Source Security Flaws

This week, Trend Micro announced plans for a new, co-developed solution with Snyk, which expands on the company’s ongoing strategic partnership to enhance DevOps security. The joint solution will help security teams manage the risk of open source vulnerabilities from the moment open source code is introduced without interrupting the software delivery process. Trend Micro’s COO Kevin Simzer shares more details on the solution in this article.

Securing the Pandemic-Disrupted Workplace: Trend Micro 2020 Midyear Cybersecurity Report

Trend Micro’s 2020 Midyear Security Roundup examines pressing security issues during the first half of this year, including Covid-19-related threats and targeted ransomware attacks, and offers recommendations to help enterprises secure their systems from cybercriminals in the new normal terrain.

Ransomware Has Gone Corporate—and Gotten More Cruel

DarkSide is the latest strain of ransomware built to shake down big-game targets for millions—with attacks that seem legitimate by including guaranteed turnaround times, real-time chat support and brand awareness. As ransomware becomes big business, its purveyors have embraced the tropes of legitimate enterprises, down to corporate responsibility pledges. Ed Cabrera, chief cybersecurity officer at Trend Micro, comments on the serious risks of ransomware in this article.

Probing Attempts on Home Routers Increase in 1H 2020

The current reality of having many connected devices in the home has given rise to incidents of potential home network intrusions. In the first half of 2020, Trend Micro detected more than 10.6 billion suspicious connection attempts on routers’ unavailable TCP ports. TCP port 23, in particular, had the most detections of suspicious connection attempts, with more than 5.3 billion.

Hackers Exploit Autodesk Flaw in Recent Cyberespionage Attack

Threat actors exploited a vulnerability in the popular 3D computer graphics Autodesk software to launch a recent cyber-espionage attack against an international architectural and video production company. Researchers said that further analysis of the attack points to a sophisticated, APT-style group that had prior knowledge of the company’s security systems and used software applications, carefully planning their attack to infiltrate the company and exfiltrate data undetected.

CVE-2020-1380: Analysis of Recently Fixed IE Zero-Day

Microsoft recently patched a zero-day vulnerability that targeted Internet Explorer (IE) 11. It’s a use-after-free (UAF) bug in IE’s JavaScript engine, jscript9.dll. Previously, Trend Micro observed that zero-day attacks against IE usually exploit vbscript.dll and jscript.dll to run shellcode. This time, the target changed to jscript9.dll and used the modern JavaScript engine’s Just-In-Time (JIT) engine to trigger the bug, so Trend Micro decided to dive into the jscrtip9.dll JIT engine to figure out the root cause of CVE-2020-1380.

CSO Insights: Ricoh USA’s David Levine on Employing a Cloud- and Cybersecurity-First Strategy

In this blog, David Levine, vice president of corporate and information security and CSO for Ricoh USA, Inc., shares how his organization accommodates mobility by reinforcing a security-first mindset, employing a cloud-first strategy, managing risk, and enabling employees in the ‘new normal’.

Is the Electric Grid Closer to a Devastating Cyberattack that Could Mean Lights Out?

Could the electric grid be taken down with a $50 device secreted in the bottom of a coffee cup as researchers have claimed? Maybe, but the more likely threat comes from bad actors with improved capabilities who’ve ramped up their attacks on critical infrastructure and utilities. Seventy percent of industrial controls system (ICS) vulnerabilities disclosed in the first half of 2020 can be exploited remotely, according to a report from Claroty.

The Basics of Keeping Your Kubernetes Cluster Secure: Part 1

With Kubernetes’ popularity and increasingly high adoption rates, its security should always be prioritized. In this blog, Trend Micro provides vital tips and recommendations on keeping the master node, the API server, etcd, RBAC, and network policies secure.

After a Decade, Qbot Trojan Malware Gains New, Dangerous Tricks

The Qbot Trojan has been plaguing computer users and businesses for over a decade and the cybercriminals behind it are still coming up with new tricks that keep it one of the most prevalent and successful malware threats. The latest technique observed by security researchers involves the malware inserting itself into the legitimate email threads of their victims to spread.

Surprised by the DarkSide ransomware’s professionalism? Share your thoughts in the comments below or follow me on Twitter to continue the conversation: @JonLClay.

The post This Week in Security News: Trend Micro and Snyk Partner to Fight Open Source Security Flaws and Ransomware Has Gone Corporate appeared first on .

from Trend Micro Simply Security https://ift.tt/3hG8dWW

Are employees the weakest link in your security strategy? Train them!

Email is the number one threat vector. There’s no exception, even with a global pandemic, on the contrary: COVID-19 has been used as an appealing hook by cyber criminals. Data from Trend Micro Smart Protection Network shows that for the first five months of 2020, 92 per cent of all the cyber threats leveraging COVID-19 were spam or phishing email messages.

Email scams can have a big impact, both on the organization and the individual. This was highlighted in a recent report from BBC News where a finance professional from Glasgow, Scotland was targeted by a business email compromise scam. The hackers disguised themselves as the employee’s CEO, and managed to convince her to transfer £200k to their bank account. When the organization realized what happened, they were able to retrieve half of the loss. However, the employee was fired and then pursued in the courts for the remaining sum. Her lawyers argued successfully that she had not received any training to identify these scams and the case was subsequently dismissed. This took a big personal toll on the employee who not only lost her job, but worried about losing her home as well. Her employer suffered financially and their reputation also took a hit. There were no winners in this case, but it really emphasized the importance of security awareness; companies need to arm their employees with the knowledge to protect the business, and ultimately themselves.

A great email security solution can block the majority of threats, but no product can catch 100 per cent of email scams. This means that humans are our last line of defense. Trend Micro Phish Insight service helps you to increase your employees’ awareness of phishing emails and other cyber threats. Best of all, it is completely free, allowing you to increase your cybersecurity while using this budget for other critical initiatives.

Let’s take a look at a customer use case:

A Phish Insight customer in the U.S. launched two phishing simulation campaigns for 1,500 employees in the first half of 2020.  The two campaigns were four months apart and targeted the same employees.
The first campaign was a fake email from CDC with a link that claimed to check new COVID-19 cases. It asked for the user’s log-in information after the link was clicked.

 

 

The second campaign is an email pretending to be from the organization’s IT department. It requested users to verify their account due to an Office 365 inbox storage limitation.

 

 

Both emails are very realistic looking with important and engaging topics that users care about.

So, what do the results look like?

Among the employees getting the emails, the result for the two campaigns shows a positive behavior change in recognizing a phishing email.

	Percentage of employees that clicked the embedded URL in email reduced significantly (11 per cent vs. 7 per cent) Percentage of employees that reported the phishing email to IT has increased significantly (11 per cent vs. 24 per cent)

However, when introducing a more challenging phishing attack (the 2^nd campaign), the percentage of employees who posted their credentials to the phishing site has significantly increased (0.3 per cent vs. 3.4 per cent). While the company’s overall phishing awareness increased (reduced clicks), those who fell victim had a higher chance of giving out their credentials.

The result also shows that back office teams have a higher percentage of phished employees and the importance of on-going training. In addition to continuing phishing awareness training to all employees, the IT department will focus more on back office teams.

Using Phish Insight, the company successfully increased employees’ awareness while being able to target more at risk user groups and identify those that need more help.

Want to train your organization?

To start a phishing simulation for your users, you need $0 budget and only five minutes. With a really simple user experience, you can get up and running with your first simulation today.

Try Phish Insight with no obligation: phishinsight.trendmicro.com

The post Are employees the weakest link in your security strategy? Train them! appeared first on .

from Trend Micro Simply Security https://ift.tt/2QwEZhh

Iranian Hackers Pose as Journalists to Trick Victims Into Installing Malware

An Iranian cyberespionage group known for targeting government, defense technology, military, and diplomacy sectors is now impersonating journalists to approach targets via LinkedIn and WhatsApp and infect their devices with malware. Detailing the new tactics of the "Charming Kitten" APT group, Israeli firm Clearsky said, "starting July 2020, we have identified a new TTP of the group,

from The Hacker News https://ift.tt/3bgwyQN

A Tesla Employee Thwarted an Alleged Ransomware Plot

Elon Musk confirmed Thursday night that a ransomware gang had approached a Gigafactory employee with alleged promises of a big payout.

from Security Latest https://ift.tt/31Cq9fv

Estudo sugere que território de Marte era coberto por gelo

Contrastando com a hipótese de um ambiente quente e úmido presente há quase 3,8 bilhões de anos em Marte, uma nova pesquisa apontou fortes indícios de que o planeta era, na verdade, coberto por gelo. Os estudos foram publicados na revista científica Nature Geoscience no dia 3 de agosto, e fomentaram discussões científicas.Durante cerca de 40 anos, acreditava-se que a origem dos grandes vales presentes em Marte era decorrente de rios alimentados por precipitação, que secaram devido às altas temperaturas e sofreram processos de erosão.No entanto, a pesquisa registra que grande parte dos vales foram forjados pelo derretimento de grandes geleiras (erosões glaciais), sugerindo um ambiente frio e seco no passado do planeta, semelhante ao da Antártica."Embora tenhamos encontrado evidências consistentes com a formação de um pequeno punhado de redes de vale dessa maneira [erosão de rios alimentados por chuvas], nossas observações sugerem que a maioria se formou sob camadas de gelo", explicou Gordon Osinski, pesquisador e co-autor do artigo.1430_flythrough-full2-min.jpgMarte conta conta com mais de 10 mil vales individuais. Foto: Divulgação/NasaDescobertas da pesquisaPara encontrar os resultados descobertos, a equipe de pesquisa — formada por Anna Grau Galofre, A. Mark Jellinek e Gordon R. Osinski — examinou cerca de 10.276 vales individuais encontrados em 66 redes de vales no Planeta Vermelho. Eles criaram algoritmos personalizados capazes de combinar as características da superfície e os processos erosivos formados.Por meio de análises do fluxo da água, os pesquisadores descobriram que 22 das redes de vales foram esculpidas por erosões glaciais, 14 pela água do rio e o restante das redes foram formados por outros processos de erosão.image-from-rawpixel-id-440180-jpeg.jpgSegundo o estudo, grande parte dos vales de Marte foram forjados por erosões glaciais, tendo em vista que a superfície do planeta teria sido coberta por gelo. Foto: RawpixelOs resultados sugerem um ambiente frio no início da história de Marte, mas isso não significa que o planeta foi uma "bola gigante de gelo". Apesar da descoberta trazer novas discussões sobre o antigo ambiente do planeta, é importante que outros processos geológicos não sejam ignorados, segundo Joe Levy, geólogo da Universidade Colgate."Quando você tem alguns bilhões de anos para trabalhar, é bem possível que cada vale tenha vivenciado de tudo, desde erosão glacial a fluxos de lava que provocaram enchentes sob céus prateados. Cada um desses processos muda a forma da rede do vale e deixa uma série de características sobrepostas para trás", lembra Levy.A comprovação da teoria de que Marte era coberta por gelo não exclui a possibilidade de vidas marcianas existentes no passado do planeta. Ambientes como o Lago Vostok, na Antártica, comprovam a viabilidade de presença de seres vivos em ambientes com frio rigoroso.Não à toa, a Nasa enviou um rover à Marte, no final de julho, para procurar sinais de alienígenas antigos. Novas descobertas referentes à vidas antigas no planeta podem esclarecer ainda mais os mistérios do Planeta Vermelho.Via: MIT Technology Review

from Olhar Digital :: Segurança https://ift.tt/3gACncH

How WeChat Censored the Coronavirus Pandemic

In China, the messaging platform blocked thousands of keywords related to the virus, a new report reveals.

from Security Latest https://ift.tt/31xdQkw

How to Vote by Mail and Make Sure It Counts

There's a lot going on with the USPS right now. Here's a complete state-by-state guide to how to get your ballot—and when it's due.

from Security Latest https://ift.tt/2EA9Fvr

Cisco Releases Security Updates

Original release date: August 27, 2020

Cisco has released security updates to address vulnerabilities in Cisco products. An attacker could exploit some of these vulnerabilities to take control of an affected system. For updates addressing lower severity vulnerabilities see the Cisco Security Advisories page.
 
The Cybersecurity and Infrastructure Security Agency (CISA) encourages users and administrators to review the following Cisco Advisories and apply the necessary updates:

• Cisco FXOS and NX-OS Software Cisco Fabric Services Denial of Service Vulnerability cisco-sa-fxos-nxos-cfs-dos-dAmnymbd
• Cisco Nexus 3000 and 9000 Series Switches Privilege Escalation Vulnerability cisco-sa-n3n9k-priv-escal-3QhXJBC
• Cisco NX-OS Software Data Management Engine Remote Code Execution Vulnerability cisco-sa-nxos-dme-rce-cbE3nhZS
• Cisco NX-OS Software Border Gateway Protocol Multicast VPN Session Denial of Service Vulnerability cisco-sa-nxosbgp-mvpn-dos-K8kbCrJp
• Cisco NX-OS Software Border Gateway Protocol Multicast VPN Denial of Service Vulnerability cisco-sa-nxosbgp-nlri-dos-458rG2OQ

This product is provided subject to this Notification and this Privacy & Use policy.

from CISA All NCAS Products https://ift.tt/2YD4W3a

Firefox Launched a New Android App to Lure Users From Chrome

Mozilla has rewritten the app to rely on its own infrastructure rather than Google’s. But will its privacy and UI tweaks convince people to make the switch?

from Security Latest https://ift.tt/34CFZZb

QakBot Banking Trojan Returned With New Sneaky Tricks to Steal Your Money

A notorious banking trojan aimed at stealing bank account credentials and other financial information has now come back with new tricks up its sleeve to target government, military, and manufacturing sectors in the US and Europe, according to new research. In an analysis released by Check Point Research today, the latest wave of Qbot activity appears to have dovetailed with the return of

from The Hacker News https://ift.tt/3htXpee

Bug no Safari possibilita roubo de arquivos em dispositivos Apple

Cansado de esperar por uma resolução da Apple, o pesquisador de segurança Pawel Wylecial decidiu divulgar um bug no navegador Safari que permite o roubo de arquivos em dispositivos macOS e iOS. Cofundador da empresa de segurança polonesa Redteam.Pl, Wylecial publicou os detalhes sobre a falha de segurança descoberta no blog de sua companhia, na última segunda-feira (24).De acordo com Wylecial, o bug reside na API Web Share do Safari — novo recurso que permite o compartilhamento de textos, links, arquivos e outros conteúdos entre navegadores. Como o Safari oferece suporte para o compartilhamento de arquivos armazenados no disco rígido do usuário (por meio do esquema file://URL), o bug pode fazer com que conteúdos privados sejam vazados em questão de segundos.Apesar de a brecha de segurança abrir margem para acessos de hackers aos arquivos por meio de páginas de web maliciosas, o pesquisador de segurança classificou o bug como uma falha "não muito séria". Wylecial lembra que o roubo de dados depende da interação do usuário e de uma engenharia para a indução de vazamentos, mas admite que é extremamente fácil para os invasores tornarem os arquivos "invisíveis", como mostra o vídeo abaixo:Apple tenta abafar o casoA divulgação do bug que possibilita o roubo de dados dos dispositivos iOS e macOS por meio do browser Safari foi divulgado no último 24, mas a Apple foi alertada por Pawel Wylecial desde abril. A gigante de Tim Cook não disponibilizou um patch para solucionar o problema e adiou a correção do bug até março de 2021 — contradizendo a própria política da empresa de divulgar falhas de segurança encontradas em até 90 dias.O problema, no entanto, parece ser recorrente e tem sido comum entre os caçadores de bugs do sistema operacional da Apple. Mesmo com um programa de recompensa para pesquisadores que encontrarem falhas em seu sistema operacional, a companhia tem demorado na resolução dos problemas, "travando" o trabalho dos pesquisadores de bugs.alexandr-bormotin-ntmu8vCwQE0-unsplash.jpgApesar de anunciar programa de recompensa para caçadores de bugs em seu sistema operacional, Apple tem demorado para divulgar e solucionar problemas. Foto: UnsplashEm abril, outro pesquisador de segurança relatou uma experiência semelhante à de Wylecial em seu Twitter. Na publicação, ele descreveu como "piada" o prazo dado pela Apple e disse que a ideia da empresa é manter os pesquisadores calados pelo maior tempo possível.I'm thinking about withdrawing from the Apple Security Bounty program.I see no evidence that Apple is serious about the program. I've heard of only 1 bounty payment, and the bug wasn't even Mac-specific.Also, Apple Product Security has ignored my last email to them for weeks.— Jeff Johnson (@lapcatsoftware) April 21, 2020Em julho, a equipe de segurança Project Zero — da Google — fez duras críticas ao Programa de Pesquisa de Segurança para Dispositivos da Apple, alegando que a companhia limita a divulgação pública das falhas encontradas e amordaça os pesquisadsores de segurança sobre suas descobertas.Contatada pela ZDNet, a Apple não quis comentar sobre o assunto.Via: ZDNet

from Olhar Digital :: Segurança https://ift.tt/2QtsX8o

Atualização do Office 365 permite abrir anexos sem medo de malwares

A Microsoft está cada vez mais próxima de disponibilizar sua tecnologia de segurança, o Application Guard, para os aplicativos da linha 365 (antigo Office). Desta forma, administradores de TI passam a ter mais garantia de que os usuários que tentarem abrir anexos suspeitos não causarão um surto de malwares baixados em seus e-mails.O Application Guard oferece proteção adicional para empresas que utilizam Word, Excel e Power Point na sua versão 365 e também para usuários do Windows 10 Enterprise.A empresa afirma que a tecnologia de segurança, ou Microsoft Defender Application Guard em seu nome completo, “ajuda a prevenir arquivos suspeitos de acessar recursos confiáveis, mantendo sua empresa segura de novos e futuros ataques.”A Microsoft lançou uma prévia privada desta tecnologia em fevereiro, estendendo para outros programas. Até aquele momento, a função era disponível somente para o seu novo navegador, o Edge.print-blog-microsoft.jpgPublicação sobre a Application Guard para os aplicativos da linha 365 Imagem: Blog Oficial do Office 365A função permite aos usuários navegar de forma segura por sites com proteções habilitadas por hardware em conteinerização, técnica que permite alta taxa de desempenho por equipes de programação e desenvolvimento como as que mantém o Youtube e Gmail ativo. Com isso, o navegador é isolado dos processos de operações inferiores tanto do sistema quanto do computador utilizado.A novidade se tornará padrão e estará disponível somente para clientes que possuem a licença Microsoft 365 nos planos E5 ou E5 Security. Segundo os documentos técnicos da empresa, os computadores precisam estar rodando Windows 10 Enterprise nas versões 2004, 20H1, 19041, e ter instalado a versão beta do Office versão 2008 16.0.13212 ou posterior. A plataforna de segurança nativa do sistema operacional da Microsoft, o Windows Defender,  vai utilizar essa nova tecnologia alertando o usuário sobre malwares, fazendo isso em um ambiente virtual isolado e seguro.malware-materia.jpgMalwares podem ser a porta de entrada para ataque a redes, roubos de dados e até mesmo danos físicos a equipamentos. Imagem: ShutterStock No entanto, a empresa percebe algumas restrições criadas por essa tecnologia. Por exemplo, ela evita arquivos não confiáveis a acessar fontes confiáveis. Administradores talvez precisem ativar a função se um usuário quiser acessar os arquivos além desses limites. E mais, os macros e controles do ActiveX ficam desativados com o Application Guard para o Office 365.O que pode ser seguro também pode criar novos processos, como ter que pedir autorização para o departamento de TI para abrir arquivos recebidos de novas fontes, por exemplo, ao receber um documento ou apresentação enviada por um novo cliente, ou até mesmo um novo usuário/funcionário recém cadastrado no sistema.É um pequeno preço a se pagar por uma função de segurança nunca antes imaginada antes da tecnologia de contêineres.Via: ZDNet

from Olhar Digital :: Segurança https://ift.tt/3lkFrxd

MAR-10301706-2.v1 - North Korean Remote Access Tool: VIVACIOUSGIFT

Original release date: August 26, 2020

Notification

This report is provided "as is" for informational purposes only. The Department of Homeland Security (DHS) does not provide any warranties of any kind regarding any information contained herein. The DHS does not endorse any commercial product or service referenced in this bulletin or otherwise.

This document is marked TLP:WHITE--Disclosure is not limited. Sources may use TLP:WHITE when information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release. Subject to standard copyright rules, TLP:WHITE information may be distributed without restriction. For more information on the Traffic Light Protocol (TLP), see https://ift.tt/1qJcHPA.

Summary

Description

This Malware Analysis Report (MAR) is the result of analytic efforts between the Department of Homeland Security (DHS), the Federal Bureau of Investigation (FBI), and the Department of Defense (DoD). Working with U.S. Government partners, DHS, FBI, and DoD identified Remote Access Tool (RAT) malware variants used by the North Korean government. This malware variant has been identified as VIVACIOUSGIFT. The U.S. Government refers to malicious cyber activity by the North Korean government as HIDDEN COBRA. For more information on HIDDEN COBRA activity, visit https[:]//www[.]us-cert.gov/hiddencobra.

FBI has high confidence that HIDDEN COBRA actors are using malware variants in conjunction with proxy servers to maintain a presence on victim networks and to further network exploitation. DHS, FBI, and DoD are distributing this MAR to enable network defense and reduce exposure to North Korean government malicious cyber activity.

This MAR includes malware descriptions related to HIDDEN COBRA, suggested response actions and recommended mitigation techniques. Users or administrators should flag activity associated with the malware and report the activity to the Cybersecurity and Infrastructure Security Agency (CISA) or the FBI Cyber Watch (CyWatch), and give the activity the highest priority for enhanced mitigation.

This report looks at the malware samples known as VIVACIOUSGIFT that is used by advanced persistent threat (APT) cyber actors as a network proxy tool. The proxy requires an encrypted command line argument for its source and destination Internet Protocol (IP) addresses and has command and control (C2) functionality to retrieve and set the destination IP. The command line argument can also contain a source proxy IP, port, and password. The source proxy is used as an additional proxy when communicating with the source IP. The library libcurl version 7.94.1 is used when communicating with the source proxy.

For a downloadable copy of IOCs, see MAR-10301706-2.v1.stix.

Submitted Files (6)

70b494b0a8fdf054926829dcb3235fc7bd0346b6a19faf2a57891c71043b3b38 (70b494b0a8fdf054926829dcb3235f...)

8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1 (8cad61422d032119219f465331308c...)

9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852 (9a776b895e93926e2a758c09e341ac...)

a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118 (a917c1cc198cf36c0f2f6c24652e5c...)

aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83 (aca598e2c619424077ef8043cb4284...)

f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de (f3ca8f15ca582dd486bd78fd57c2f4...)

Findings

a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118

Tags

HIDDEN-COBRAproxytrojan

Details

Name	a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118
Size	408576 bytes
Type	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	40e698f961eb796728a57ddf81f52b9a
SHA1	50b4f9a8fa6803f0aabb6fd9374244af40c2ba4c
SHA256	a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118
SHA512	2ee35d902f2a4022488bdc75cf7531f75de7e8bb4ca8645a9448f33051e835f0cea62e0157ac292187cd9406901f80570b8e17be52fee4a23f3c1aaa1a171cda
ssdeep	12288:E30MB7N+man4IrT0qhPyRg8o//ND6lAMYqcl:i0YNwrT0qhPFtHN2lLYq
Entropy	6.651902

Antivirus

Ahnlab	Trojan/Win32.Banker
Antiy	Trojan[Banker]/Win32.Agent
Avira	TR/SpyBanker.Agent.AM
BitDefender	Trojan.GenericKD.4446633
ClamAV	Win.Trojan.Agent-6971031-0
Comodo	TrojWare.Win32.Ransom.Teerac.C
Cyren	W32/Banker.FTBC-3937
ESET	Win32/Spy.Banker.ADRO trojan
Emsisoft	Trojan.GenericKD.4446633 (B)
Ikarus	Trojan-Spy.Banker
K7	Riskware ( 0040eff71 )
Lavasoft	Trojan.GenericKD.4446633
McAfee	Generic.abb
Microsoft Security Essentials	TrojanSpy:Win32/Banker
NANOAV	Trojan.Win32.Agent.enikaf
Quick Heal	TrojanSpy.Banker
Sophos	Mal/Generic-L
Symantec	Trojan Horse
TrendMicro	BKDR_KL.89AB2FB2
TrendMicro House Call	BKDR_KL.89AB2FB2
Vir.IT eXplorer	Trojan.Win32.Banker.FUW
VirusBlokAda	TrojanBanker.Agent
Zillya!	Trojan.Agent.Win32.763316

YARA Rules

• rule CISA_3P_10301706_02 : HiddenCobra TWOPENCE backdoor dropper proxy spyware trojan
  {
     meta:
         Author = "CISA Trusted Third Party"
         Incident = "10301706.r2.v1"
         Date = "2020-08-11"
         Actor = "Hidden Cobra"
         Category = "Backdoor Dropper Proxy Spyware Trojan"
         Family = "TWOPENCE"
         Description = "Detects strings in TWOPENCE proxy tool"
         MD5_1 = "40e698f961eb796728a57ddf81f52b9a"
         SHA256_1 = "a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118"
         MD5_2 = "dfd09e91b7f86a984f8687ed6033af9d"
         SHA256_2 = "aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83"
         MD5_3 = "bda82f0d9e2cb7996d2eefdd1e5b41c4"
         SHA256_3 = "f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de"
         MD5_4 = "97aaf130cfa251e5207ea74b2558293d"
         SHA256_4 = "9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852"
         MD5_5 = "889e320cf66520485e1a0475107d7419"
         SHA256_5 = "8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1"
     strings:
         $cmd1 = "ssylka"
         $cmd2 = "ustanavlivat"
         $cmd3 = "poluchit"
         $cmd4 = "pereslat"
         $cmd5 = "derzhat"
         $cmd6 = "vykhodit"
         $cmd7 = "Nachalo"
         $cmd8 = "kliyent2podklyuchit"
         $frmt1 = "Host: %s%s%s:%hu"
         $frmt2 = "%s%s%s%s%s%s%s%s%s%s"
     condition:
         (4 of ($cmd*)) and (1 of ($frmt*))
  }

ssdeep Matches

No matches found.

PE Metadata

Compile Date	2016-07-08 19:11:36-04:00
Import Hash	3415ed7e09a44243bcabe4422aeef7dc

PE Sections

MD5	Name	Raw Size	Entropy
0e135280ecde05507a86c5681ee38986	header	1024	2.480337
dfcc176fede07939cc4deb950858b6ce	.text	333824	6.579572
d72f6b9398a7f267dfe5f1bd44778d62	.rdata	51712	6.391152
1e41f003bafe97cb5bfb59b3ad7d7531	.data	6656	3.459925
a8d51b81460671e8fb3df438f0f7fc28	.reloc	15360	5.531184

Packers/Compilers/Cryptors

Microsoft Visual C++ ?.?

Description

This file is a 32-bit Windows executable. The proxy requires a single command line argument. The argument can consist of a maximum of four encrypted strings delineated with the pipe character ("|"). When the four strings are parsed and decrypted, the strings represent the following: source IP and port, destination IP and port, source proxy IP and port, and source proxy password. The IP and port strings have the following format: <IP:port>. If the destination IP is missing from the command line argument, the proxy will wait to get the destination IP from the actor. The source proxy IP and port, as well as the source proxy password, are used as an additional proxy when communicating with the source IP. When communicating with the source proxy, the proxy will use libcurl with the options CURLOPT_HTTPPROXYTUNNEL and CURLOPT_NOBODY.

The following is an example of an encrypted command line argument that is missing the destination IP:

--Begin encrypted command line argument--
<encrypted_string>| |<encrypted_string>|<encrypted_string>
--End encrypted command line argument--

--Begin decrypted command line argument--
<IP>:<port>| |<IP>:<port>|<password>
--End decrypted command line argument--

The encrypted strings inside the command line argument can be individually decrypted with the Python script provided in Figure 1.

Below is the flow of events that happens when the proxy starts and is issued the commands "ustanavlivat" and "pereslat". In the following example, the command line argument does not contain a source proxy. The command line argument can contain a source proxy IP, port, and password. If they exist, the proxy will route all traffic to the source IP through the source proxy. When communicating with the source proxy, the proxy uses the library libcurl with options CURLOPT_HTTPPROXYTUNNEL and CURLOPT_NOBODY. The data that is sent and received is encrypted using a custom encryption routine.

First, it connects to source IP and sends initialization message "Nachalo". It sends a custom hash of "Dazdrav$958478Zohsf9q@%5555ahshdnZXniohs". In return it receives two bytes of data. It sends the length (4 bytes) of string "kliyent2podklyuchit" and then sends the string "kliyent2podklyuchit". It sends the length (4 bytes) of string "Nachalo" and then sends the "Nachalo".

Next, it receives C2 command "ustanavlivat" to set the destination IP address. It receives and decrypts the length of the string "ustanavlivat" and then receives and decrypts the string "ustanavlivat".

Then, it receives C2 command "pereslat" to start the proxy functionality. It receives and decrypts the length of the string "pereslat" and then receives and decrypts the string "pereslat".

Next, it connects to source IP and sends start proxy functionality message "ssylka". It sends a custom hash of "Dazdrav$958478Zohsf9q@%5555ahshdnZXniohs". In response it receives data. Then it sends the length (4 bytes) of string "kliyent2podklyuchit" and then sends the string "kliyent2podklyuchit". Then it sends the length (4 bytes) of string "ssylka" and then sends the string "ssylka".

Finally, it connects to destination IP and starts proxy functionality between source and destination IP.

The proxy uses a custom encryption routine to encode the data sent. The Python script provided in Figure 2 can decode the data.

Screenshots

Figure 1 - The Python script to individually decrypt the encrypted strings inside the command line argument.

Figure 2 - The Python script to decode the encoded data sent by the proxy custom encryption routine.

aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83

Tags

HIDDEN-COBRAdropperproxyspywaretrojan

Details

Name	aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83
Size	232960 bytes
Type	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	dfd09e91b7f86a984f8687ed6033af9d
SHA1	b8fe7884d2dc4983fb0fbca192694ce2f4685e23
SHA256	aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83
SHA512	641dd95c101ae7566defb1a24279badb8c7aa94331442e0f470866b6a1e44c8790a71e83cc1cb188d7530c08bf0e5d227d35caa9a2cf7e54d2f7319381af2d84
ssdeep	3072:XU5r72JE+FYWR0jZLShk4cPT/QzSaQ0sCFneZTznIhZJJcrJ1GHeV9:XU5uJpYnZL05STQNddFnAnGZIrV
Entropy	6.524225

Antivirus

Ahnlab	Trojan/Win32.Alreay
Antiy	Trojan[Banker]/Win32.Alreay
ClamAV	Win.Trojan.Agent-6971031-0
Comodo	TrojWare.Win32.TrojanDropper.Agent.PRQ
Cyren	W32/Alreay.SQQX-6406
ESET	a variant of Win32/Spy.Banker.ADRO trojan
K7	Spyware ( 005198041 )
McAfee	GenericRXFQ-MX!DFD09E91B7F8
Microsoft Security Essentials	TrojanSpy:Win32/Banker!dha
Symantec	Trojan Horse
TrendMicro	TSPY_BA.C25E7684
TrendMicro House Call	TSPY_BA.C25E7684
Zillya!	Trojan.Alreay.Win32.42

YARA Rules

• rule CISA_3P_10301706_02 : HiddenCobra TWOPENCE backdoor dropper proxy spyware trojan
  {
     meta:
         Author = "CISA Trusted Third Party"
         Incident = "10301706.r2.v1"
         Date = "2020-08-11"
         Actor = "Hidden Cobra"
         Category = "Backdoor Dropper Proxy Spyware Trojan"
         Family = "TWOPENCE"
         Description = "Detects strings in TWOPENCE proxy tool"
         MD5_1 = "40e698f961eb796728a57ddf81f52b9a"
         SHA256_1 = "a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118"
         MD5_2 = "dfd09e91b7f86a984f8687ed6033af9d"
         SHA256_2 = "aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83"
         MD5_3 = "bda82f0d9e2cb7996d2eefdd1e5b41c4"
         SHA256_3 = "f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de"
         MD5_4 = "97aaf130cfa251e5207ea74b2558293d"
         SHA256_4 = "9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852"
         MD5_5 = "889e320cf66520485e1a0475107d7419"
         SHA256_5 = "8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1"
     strings:
         $cmd1 = "ssylka"
         $cmd2 = "ustanavlivat"
         $cmd3 = "poluchit"
         $cmd4 = "pereslat"
         $cmd5 = "derzhat"
         $cmd6 = "vykhodit"
         $cmd7 = "Nachalo"
         $cmd8 = "kliyent2podklyuchit"
         $frmt1 = "Host: %s%s%s:%hu"
         $frmt2 = "%s%s%s%s%s%s%s%s%s%s"
     condition:
         (4 of ($cmd*)) and (1 of ($frmt*))
  }

ssdeep Matches

99	9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852

PE Metadata

Compile Date	2016-09-18 23:24:39-04:00
Import Hash	6b8fa355d78d649f199232a25e22d630

PE Sections

MD5	Name	Raw Size	Entropy
41a5273e6d92dfe9de72f76c18f6475f	header	1024	2.398805
e6412e7fb561ead2b3eddef9bafd3518	.text	198656	6.554337
a9890fd54b24cf53425649a92fe290ad	.rdata	18432	5.115959
884e0d48d1830995eeade874d295ced0	.data	5632	3.201975
0e79f25ba5ec9ae1502fe80ec7b08f79	.reloc	9216	5.674607

Packers/Compilers/Cryptors

Microsoft Visual C++ ?.?

Description

This file is a 32-bit Windows executable. It has similar functionality as a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118.

f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de

Tags

HIDDEN-COBRAproxytrojan

Details

Name	f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de
Size	265216 bytes
Type	PE32+ executable (GUI) x86-64, for MS Windows
MD5	bda82f0d9e2cb7996d2eefdd1e5b41c4
SHA1	9ff715209d99d2e74e64f9db894c114a8d13229a
SHA256	f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de
SHA512	6774cc49f5200d1a427b5a2af77d27eaac671f405e01f3ded2d152e5e08d1217d2b3b9d8508d2924aee5f0925abc32f83645756cf248222193eb13194eb39add
ssdeep	6144:+TW3SZ4GvcPPWi9JhJTxPm26ebMk5Q35m8LERov:invQThJsexib
Entropy	6.304640

Antivirus

Ahnlab	Trojan/Win32.Alreay
Antiy	Trojan[Banker]/Win32.Alreay
Avira	TR/AD.APTLazerus.dsenf
BitDefender	Gen:Variant.Razy.368693
ClamAV	Win.Trojan.Agent-6971031-0
Comodo	Malware
Cyren	W64/Alreay.C
ESET	a variant of Win64/NukeSped.BB trojan
Emsisoft	Gen:Variant.Razy.368693 (B)
Ikarus	Trojan.Win64.Nukesped
K7	Trojan ( 00538e2b1 )
Lavasoft	Gen:Variant.Razy.368693
McAfee	PWS-Banker.gen.gj
Symantec	Trojan.Gen.6
Systweak	trojan.banker
TrendMicro	BKDR64_.8979788A
TrendMicro House Call	BKDR64_.8979788A
VirusBlokAda	TrojanBanker.Alreay
Zillya!	Trojan.GenericKD.Win32.133035

YARA Rules

• rule CISA_3P_10301706_02 : HiddenCobra TWOPENCE backdoor dropper proxy spyware trojan
  {
     meta:
         Author = "CISA Trusted Third Party"
         Incident = "10301706.r2.v1"
         Date = "2020-08-11"
         Actor = "Hidden Cobra"
         Category = "Backdoor Dropper Proxy Spyware Trojan"
         Family = "TWOPENCE"
         Description = "Detects strings in TWOPENCE proxy tool"
         MD5_1 = "40e698f961eb796728a57ddf81f52b9a"
         SHA256_1 = "a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118"
         MD5_2 = "dfd09e91b7f86a984f8687ed6033af9d"
         SHA256_2 = "aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83"
         MD5_3 = "bda82f0d9e2cb7996d2eefdd1e5b41c4"
         SHA256_3 = "f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de"
         MD5_4 = "97aaf130cfa251e5207ea74b2558293d"
         SHA256_4 = "9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852"
         MD5_5 = "889e320cf66520485e1a0475107d7419"
         SHA256_5 = "8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1"
     strings:
         $cmd1 = "ssylka"
         $cmd2 = "ustanavlivat"
         $cmd3 = "poluchit"
         $cmd4 = "pereslat"
         $cmd5 = "derzhat"
         $cmd6 = "vykhodit"
         $cmd7 = "Nachalo"
         $cmd8 = "kliyent2podklyuchit"
         $frmt1 = "Host: %s%s%s:%hu"
         $frmt2 = "%s%s%s%s%s%s%s%s%s%s"
     condition:
         (4 of ($cmd*)) and (1 of ($frmt*))
  }

ssdeep Matches

No matches found.

PE Metadata

Compile Date	2016-05-01 23:24:39-04:00
Import Hash	b2b084698f33fd93bc9e72f0c2af26b5

PE Sections

MD5	Name	Raw Size	Entropy
379ffb6e4aeb96c753dbe1f16dae01db	header	1024	2.516799
33c1647f8f3a870e4c8f9b48b5ec2c82	.text	212480	6.373885
5bb6bf3a50e4982066d5746d99945853	.rdata	31232	5.302106
a62c434f5beb6282b437c5e0dc40c616	.data	7168	2.877953
6ba7963edd09a132976d6830462fc17f	.pdata	11776	5.348074
06ce263d0dc81197b88ff3f576787648	.reloc	1536	2.915027

Packers/Compilers/Cryptors

Microsoft Visual C++ 8.0 (DLL)

Description

This file is a 64-bit Windows executable. It has similar functionality as a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118.

9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852

Tags

HIDDEN-COBRAproxyspywaretrojan

Details

Name	9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852
Size	232960 bytes
Type	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	97aaf130cfa251e5207ea74b2558293d
SHA1	c7e7dd96fefca77bb1097aeeefef126d597126bd
SHA256	9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852
SHA512	d8b750263ac8b295a934ef60a694108257c489055c6aee24bae000d70d0bdde70934e8c2a157d38c15469bc5fb2a6cfcb733ddd4729ba05200dfa243913cf73d
ssdeep	3072:6U5r72JE+FYWR0jZLShk4cPT/QzSaQ0sCFneZTznIhZJJcrJ1GHeV9:6U5uJpYnZL05STQNddFnAnGZIrV
Entropy	6.524151

Antivirus

Ahnlab	Trojan/Win32.Alreay
Antiy	Trojan[Banker]/Win32.Alreay
BitDefender	Trojan.Generic.22528938
ClamAV	Win.Trojan.Agent-6971031-0
Comodo	Malware
Cyren	W32/Alreay.SQQX-6406
ESET	a variant of Win32/Spy.Banker.ADRO trojan
Emsisoft	Trojan.Generic.22528938 (B)
Ikarus	Trojan-Spy.Agent
K7	Spyware ( 005198041 )
Lavasoft	Trojan.Generic.22528938
McAfee	GenericRXFQ-MX!97AAF130CFA2
Microsoft Security Essentials	Trojan:Win32/Alreay
NANOAV	Trojan.Win32.Alreay.ettzed
NetGate	Trojan.Win32.Malware
Sophos	Troj/Banker-GUU
Symantec	Trojan.Gen.2
TrendMicro	Trojan.79245AFC
TrendMicro House Call	Trojan.79245AFC
VirusBlokAda	TrojanBanker.Alreay
Zillya!	Trojan.Alreay.Win32.42

YARA Rules

• rule CISA_3P_10301706_02 : HiddenCobra TWOPENCE backdoor dropper proxy spyware trojan
  {
     meta:
         Author = "CISA Trusted Third Party"
         Incident = "10301706.r2.v1"
         Date = "2020-08-11"
         Actor = "Hidden Cobra"
         Category = "Backdoor Dropper Proxy Spyware Trojan"
         Family = "TWOPENCE"
         Description = "Detects strings in TWOPENCE proxy tool"
         MD5_1 = "40e698f961eb796728a57ddf81f52b9a"
         SHA256_1 = "a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118"
         MD5_2 = "dfd09e91b7f86a984f8687ed6033af9d"
         SHA256_2 = "aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83"
         MD5_3 = "bda82f0d9e2cb7996d2eefdd1e5b41c4"
         SHA256_3 = "f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de"
         MD5_4 = "97aaf130cfa251e5207ea74b2558293d"
         SHA256_4 = "9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852"
         MD5_5 = "889e320cf66520485e1a0475107d7419"
         SHA256_5 = "8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1"
     strings:
         $cmd1 = "ssylka"
         $cmd2 = "ustanavlivat"
         $cmd3 = "poluchit"
         $cmd4 = "pereslat"
         $cmd5 = "derzhat"
         $cmd6 = "vykhodit"
         $cmd7 = "Nachalo"
         $cmd8 = "kliyent2podklyuchit"
         $frmt1 = "Host: %s%s%s:%hu"
         $frmt2 = "%s%s%s%s%s%s%s%s%s%s"
     condition:
         (4 of ($cmd*)) and (1 of ($frmt*))
  }

ssdeep Matches

99	aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83

PE Metadata

Compile Date	2017-02-20 06:09:30-05:00
Import Hash	6b8fa355d78d649f199232a25e22d630

PE Sections

MD5	Name	Raw Size	Entropy
bb573973d723ebac15a2dd783a56921f	header	1024	2.372576
e6412e7fb561ead2b3eddef9bafd3518	.text	198656	6.554337
a9890fd54b24cf53425649a92fe290ad	.rdata	18432	5.115959
884e0d48d1830995eeade874d295ced0	.data	5632	3.201975
0e79f25ba5ec9ae1502fe80ec7b08f79	.reloc	9216	5.674607

Packers/Compilers/Cryptors

Microsoft Visual C++ ?.?

Description

This file is a 32-bit Windows executable. It has similar functionality as a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118.

70b494b0a8fdf054926829dcb3235fc7bd0346b6a19faf2a57891c71043b3b38

Tags

HIDDEN-COBRAbackdoorproxytrojan

Details

Name	70b494b0a8fdf054926829dcb3235fc7bd0346b6a19faf2a57891c71043b3b38
Size	1637888 bytes
Type	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	3c9e71400b72cc0213c9c3e4ab4df9df
SHA1	bdb632b27ddb200693c1b0b80819a7463d4e7a98
SHA256	70b494b0a8fdf054926829dcb3235fc7bd0346b6a19faf2a57891c71043b3b38
SHA512	c7a02fadb9fbbe0cf05dddd6a78cbf48b9030638420b421b4ff83816ae1cabbe54656b4e1c8e4020cacab93388934b6c79d3d21fe560ed4c7131ad5eba481ed0
ssdeep	24576:5gDgaE2r55ENJSOZ8jsAMZMF2kPupVevS6ieT17cZ/hJMIYO0:+D9vrrs8OZxZI+wvTTahqO
Entropy	7.956784

Antivirus

Ahnlab	Trojan/Win32.Agent
Antiy	Trojan/Win32.AGeneric
Avira	TR/Crypt.TPM.Gen
BitDefender	Gen:Variant.Symmi.79278
Comodo	Malware
ESET	Win32/Spy.Banker.AECT trojan
Emsisoft	Gen:Variant.Symmi.79278 (B)
K7	Trojan ( 0040f4ef1 )
Lavasoft	Gen:Variant.Symmi.79278
McAfee	Generic Trojan.ej
Microsoft Security Essentials	TrojanSpy:Win32/Banker
NANOAV	Trojan.Win32.TPM.etiucd
Quick Heal	Trojan.Generic
Sophos	Troj/Agent-AXNK
Symantec	Trojan.Gen.2
TrendMicro	BKDR_KL.22A80489
TrendMicro House Call	BKDR_KL.22A80489
VirusBlokAda	Backdoor.Agent
Zillya!	Backdoor.Agent.Win32.64626

YARA Rules

No matches found.

ssdeep Matches

No matches found.

PE Metadata

Compile Date	2017-02-20 06:09:30-05:00
Import Hash	baa93d47220682c04d92f7797d9224ce

PE Sections

MD5	Name	Raw Size	Entropy
a32e7b28831808e208355ae637e006f0	header	4096	0.814733
ca42a315c5287101ffdf2d7843b74d34		119296	7.972251
d41d8cd98f00b204e9800998ecf8427e	.rsrc	0	0.000000
9e66a842d63673e7febfc6646ea43c43	.idata	512	1.308723
5668c4714f706c7f669afb1e7f9c6ba7		512	0.260771
de90eb0d146d89f2c2dd76ecf17ea09e	dworqjxn	1512960	7.955321
4857cc05e1ea968cfc978d53f2f34126	omrcmqfn	512	3.378388

Description

This file is a 32-bit Windows executable. It has similar functionality as a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118.

8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1

Tags

HIDDEN-COBRAproxyspywaretrojan

Details

Name	8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1
Size	480768 bytes
Type	PE32+ executable (DLL) (GUI) x86-64, for MS Windows
MD5	889e320cf66520485e1a0475107d7419
SHA1	f5fc9d893ae99f97e43adcef49801782daced2d7
SHA256	8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1
SHA512	8da0ab0b3072b3966c5e32c22e7ac5654ff3923b3cf28cc895ae10d520a27bb70360e4d94e54422033aa7c7527d10774ab6d8b8569bab8b6909eb3eab40d62bc
ssdeep	6144:sdqAqUok+00rm9TOi9Vc7/VtXvWLnJlh+efvoRKmjbL/xY4fTKKWSFle3IDgDi2C:xABogwttXuLnJlkkiKU/xtKYydF9iIU
Entropy	6.465490

Antivirus

Ahnlab	Trojan/Win32.Alreay
Antiy	Trojan/Win32.BTSGeneric
Avira	TR/Spy.Banker.xbkax
BitDefender	Trojan.Generic.20466258
ClamAV	Win.Trojan.Agent-6971031-0
Comodo	Malware
ESET	a variant of Win64/Spy.Banker.AX trojan
Emsisoft	Trojan.Generic.20466258 (B)
Ikarus	Trojan-Spy.Win64.Agent
K7	Spyware ( 00504e561 )
Lavasoft	Trojan.Generic.20466258
McAfee	Trojan-FLEP!889E320CF665
Microsoft Security Essentials	TrojanSpy:Win64/Cyruslish.A
NANOAV	Trojan.Win64.Alreay.elwnmb
Sophos	Troj/Banker-GSY
Symantec	Trojan.Gen.2
TrendMicro	BKDR64_.D1FB2862
TrendMicro House Call	BKDR64_.D1FB2862
VirusBlokAda	TrojanBanker.Alreay
Zillya!	Trojan.Banker.Win64.148

YARA Rules

• rule CISA_3P_10301706_02 : HiddenCobra TWOPENCE backdoor dropper proxy spyware trojan
  {
     meta:
         Author = "CISA Trusted Third Party"
         Incident = "10301706.r2.v1"
         Date = "2020-08-11"
         Actor = "Hidden Cobra"
         Category = "Backdoor Dropper Proxy Spyware Trojan"
         Family = "TWOPENCE"
         Description = "Detects strings in TWOPENCE proxy tool"
         MD5_1 = "40e698f961eb796728a57ddf81f52b9a"
         SHA256_1 = "a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118"
         MD5_2 = "dfd09e91b7f86a984f8687ed6033af9d"
         SHA256_2 = "aca598e2c619424077ef8043cb4284729045d296ce95414c83ed70985c892c83"
         MD5_3 = "bda82f0d9e2cb7996d2eefdd1e5b41c4"
         SHA256_3 = "f3ca8f15ca582dd486bd78fd57c2f4d7b958163542561606bebd250c827022de"
         MD5_4 = "97aaf130cfa251e5207ea74b2558293d"
         SHA256_4 = "9a776b895e93926e2a758c09e341accb9333edc1243d216a5e53f47c6043c852"
         MD5_5 = "889e320cf66520485e1a0475107d7419"
         SHA256_5 = "8cad61422d032119219f465331308c5a61e21c9a3a431b88e1f8b25129b7e2a1"
     strings:
         $cmd1 = "ssylka"
         $cmd2 = "ustanavlivat"
         $cmd3 = "poluchit"
         $cmd4 = "pereslat"
         $cmd5 = "derzhat"
         $cmd6 = "vykhodit"
         $cmd7 = "Nachalo"
         $cmd8 = "kliyent2podklyuchit"
         $frmt1 = "Host: %s%s%s:%hu"
         $frmt2 = "%s%s%s%s%s%s%s%s%s%s"
     condition:
         (4 of ($cmd*)) and (1 of ($frmt*))
  }

ssdeep Matches

No matches found.

PE Metadata

Compile Date	2016-08-26 00:11:49-04:00
Import Hash	1cd9192feb9402723bdada868b8c98de

PE Sections

MD5	Name	Raw Size	Entropy
2fb3e4c0734998f9629ba86c4e7c6e99	header	1024	2.603055
9319545c7ac53b81b3d56a722dad8ef1	.text	364032	6.423307
e406c9d4f3bdbdbab8191bb701e4ff57	.rdata	81920	6.056842
6198d24ba115f17c5597e2773cb51a75	.data	8704	3.090138
f7b6096db3b9ad55c3bad4c47de6d5b4	.pdata	22016	5.758547
ddf5f86578d6de91c211211bdd72f63f	.reloc	3072	3.181451

Description

This file is a 32-bit Windows executable. It has similar functionality as a917c1cc198cf36c0f2f6c24652e5c2e94e28d963b128d54f00144d216b2d118.

Mitigation

The following Snort rules were provided by a CISA trusted third party:

// The following Snort rule can be used to detect proxy handshake
alert tcp any any -> any any (msg:"Proxy handshake detected"; content:"|a7 00 a7 00 fb 00 b0 00 8e 00 c5 00 b0 00 48 00 17 00 c5 00 8b 00 6a 00 8e 00 ec 00 f3 00 fe 00 d9 00 f3 00 a7 00 6a 00 ec 00 a7 00 b0 00 17 00 fc 00 48 00 48 00 09 00 09 00 09 00 48 00 8e 00 ce|"; rev:1; sid:1;)

// The following Snort rule can be used to detect encrypted proxy string kliyent2podklyuchit
alert tcp any any -> any any (msg:"Proxy string detected"; content:"|d1 14 23 b3 c7 b2 ac fe 70 0d 1c d1 14 b3 d7 f9 38 23 ac|"; rev:1; sid:1;)

// The following Snort rule can be used to detect encrypted proxy string poluchit
alert tcp any any -> any any (msg:"Proxy string detected"; content:"|70 0d 14 d7 f9 38 23 ac|"; rev:1; sid:1;)

// The following Snort rule can be used to detect encrypted proxy string pereslat
alert tcp any any -> any any (msg:"Proxy string detected"; content:"|70 c7 be c7 c9 14 ab ac|"; rev:1; sid:1;)

Recommendations

CISA recommends that users and administrators consider using the following best practices to strengthen the security posture of their organization's systems. Any configuration changes should be reviewed by system owners and administrators prior to implementation to avoid unwanted impacts.

• Maintain up-to-date antivirus signatures and engines.
• Keep operating system patches up-to-date.
• Disable File and Printer sharing services. If these services are required, use strong passwords or Active Directory authentication.
• Restrict users' ability (permissions) to install and run unwanted software applications. Do not add users to the local administrators group unless required.
• Enforce a strong password policy and implement regular password changes.
• Exercise caution when opening e-mail attachments even if the attachment is expected and the sender appears to be known.
• Enable a personal firewall on agency workstations, configured to deny unsolicited connection requests.
• Disable unnecessary services on agency workstations and servers.
• Scan for and remove suspicious e-mail attachments; ensure the scanned attachment is its "true file type" (i.e., the extension matches the file header).
• Monitor users' web browsing habits; restrict access to sites with unfavorable content.
• Exercise caution when using removable media (e.g., USB thumb drives, external drives, CDs, etc.).
• Scan all software downloaded from the Internet prior to executing.
• Maintain situational awareness of the latest threats and implement appropriate Access Control Lists (ACLs).

Additional information on malware incident prevention and handling can be found in National Institute of Standards and Technology (NIST) Special Publication 800-83, "Guide to Malware Incident Prevention & Handling for Desktops and Laptops".

Contact Information

• 1-888-282-0870
• CISA Service Desk (UNCLASS)
• CISA SIPR (SIPRNET)
• CISA IC (JWICS)

CISA continuously strives to improve its products and services. You can help by answering a very short series of questions about this product at the following URL: https://www.cisa.gov/forms/feedback/

Document FAQ

What is a MIFR? A Malware Initial Findings Report (MIFR) is intended to provide organizations with malware analysis in a timely manner. In most instances this report will provide initial indicators for computer and network defense. To request additional analysis, please contact CISA and provide information regarding the level of desired analysis.

What is a MAR? A Malware Analysis Report (MAR) is intended to provide organizations with more detailed malware analysis acquired via manual reverse engineering. To request additional analysis, please contact CISA and provide information regarding the level of desired analysis.

Can I edit this document? This document is not to be edited in any way by recipients. All comments or questions related to this document should be directed to the CISA at 1-888-282-0870 or CISA Service Desk.

Can I submit malware to CISA? Malware samples can be submitted via three methods:

• Web: https://malware.us-cert.gov
• E-Mail: submit@malware.us-cert.gov
• FTP: ftp.malware.us-cert.gov (anonymous)

CISA encourages you to report any suspicious activity, including cybersecurity incidents, possible malicious code, software vulnerabilities, and phishing-related scams. Reporting forms can be found on CISA's homepage at www.cisa.gov.

This product is provided subject to this Notification and this Privacy & Use policy.

from CISA All NCAS Products https://ift.tt/3b2Sr5Y