Notícias do nosso Centro de Especialistas em Cibersegurança
Trazemos-lhe as últimas notícias e alertas detectados pela cibersecurança.
Conecte-se conosco através deste e-mail: siainfo@sia.es
Participar em:
Destaques da cibersegurança
Vulnerabilidades
A Comissão do Mercado Financeiro do Chile revela um ataque ao seu servidor Microsoft Exchange no qual foram exploradas vulnerabilidades de ProxyLogon
Uma vulnerabilidade do Microsoft Office corrigida em 2017 ainda está a ser alvo de cibercriminosos (CVE-2017-11882)
Malware
A campanha distribui o falso aplicativo de desktop Telegram por meio de anúncios do Google
Aumento dos ataques de Pysa ransomware a organizações educativas
Cibersegurança
Pesquisador publica como carregar um ficheiro zip até 3 mb como se fosse uma imagem PNG no twitter
O aplicativo fintech do Microfinance Bank filtra contas de clientes online
Últimas ameaças detectadas
Nueva campaña de malspam suplantando a la Seguridad Social distribuye el troyano Mispadu
Sumário executivo
Nova campanha de malspam a falsificar a identidade da Segurança Social.
Dados
Tipo:
TLP:
Metas:
Bens afectados:
Vector de ataque:
Tags:
Malware
White
Múltiplos
Múltiplos
Malspam
AgênciaFiscal, SegurançaSocial, malspam, malware
Descrição
Uma nova campanha de malspam está a utilizar um modelo que personifica a Segurança Social.
O modelo de e-mail imita o Ministério da Inclusão, Segurança Social e Migração e refere-se a uma liquidação de impostos supostamente não pagos.
O modelo escolhido pelos ciberataqueiros segue a mesma estrutura que as campanhas anteriores. O utilizador que recebe a notificação é informado de que tem um pagamento pendente e é-lhe fornecida uma ligação a um domínio malicioso. Desta vez é legítimo que os websites feitos com WordPress tenham sido comprometidos a redireccionar para o descarregamento fraudulento, por isso se clicar no link fornecido para descarregar o alegado relatório irá proceder ao descarregamento do ficheiro que está alojado no serviço de correio com Yandex de origem russa.
Detalhes técnicos
O ficheiro .zip descarregado tem um ficheiro VBS de apenas 20 kilobytes e contém uma série de chamadas de funções cuidadosamente ofuscadas como medida anti-análise.
Após a execução do código, é feita uma tentativa de ligação a um IP localizado no Brasil para obter um ficheiro PHP que será utilizado para descarregar e executar o código malicioso com a funcionalidade de trojan bancário.
Desta vez, é uma variante do Trojan Mispadu bancário, uma das ameaças que mais afectou os utilizadores espanhóis no último ano.
Técnicas utilizadas
INITIAL ACCESS
Phishing : Spearphishing Link. T1192
DEFENSE EVATION
Signed Binary Proxy Execution: Rundll32. T1218
Deobfuscate/Decode Files or Information. T1140
Masquerading. T1036
Scripting. T1064
CREDENTIAL ACCESS
Input Capture. T1056
Unsecured Credentials: Credentials In Files. T1552.001
Unsecured Credentials: Credentials in Registry. T1552.002
DISCOVERY
File and Directory Discovery. T1083
Process Discovery. T1057
Software Discovery: Security Software Discovery. T1518.001
System Information Discovery. T1082
COLLECTION
Clipboard Data. T1115
Screen Capture. T1113
COMMAND AND CONTROL
Encrypted Channel. T1573
EXFILTRATION
Exfiltration Over C2 Channel. T1041
Recomendações
Detecção
- Analisar os cabeçalhos dos e-mails para determinar a origem e legitimidade dos e-mails.
- Analisar e-mails contendo o mesmo assunto e diferentes destinatários.
- Analisar e recolher todos os eventos notáveis dos sistemas de detecção (Antivírus, IDS...).
- Revisar entradas de arquivo
Mitigação
- Proceder ao isolamento dos computadores infectados para evitar a propagação de malware na rede.
- Proceder à remoção de todas as amostras de malware e dos seus pontos de persistência.
Protección
- Permitir a exibição de extensões de ficheiros para impedir a execução de código malicioso disfarçado de ficheiros legítimos e não executáveis.
- Desactivar macros em documentos do Microsoft Office e outras aplicações semelhantes.
- Não confie em nenhum e-mail de um remetente desconhecido.
- Não aceder a ligações ou descarregar anexos a partir de e-mails suspeitos.
- Não responda a tais e-mails, nem ligue para os números de telefone que eles possam incluir.
- Alterar o programa padrão para ficheiros com extensões .js, .vbs, .vbe, .hta, .wsf, .wsc... para evitar que sejam executados directamente, clicando duas vezes sobre eles.
- Utilizar filtros ou funções anti-spam no e-mail.
- Utilizar ferramentas de scan (Antivírus, IDS...) que detectem comportamentos suspeitos.
- Ter uma correcta segregação na arquitectura da rede.
- Ter um inventário actualizado de todos os bens.
- Realizar auditorias de segurança contínuas aos sistemas para detectar vulnerabilidades.
A SIA, uma empresa do Grupo Indra, é a empresa especializada em ciber-segurança do Grupo Indra. Oferece soluções tecnologicamente avançadas e serviços inovadores, levando o conceito de ciber-segurança um passo à frente.
A Indra é uma das principais empresas mundiais de tecnologia e consultoria: o parceiro tecnológico para as operações essenciais dos negócios de clientes em todo o mundo.