Menu

DefCon-Lab.org

Blog Posts

Toxic Security Team desfigura site da Dep. Federal Janete Capiberibe

O Grupo Hacker Toxic Security Team parece estar obstinado por desfiguração de páginas. Dessa vez as vítimas foram os sites da Deputada Federal Janete Capiberibe – PSB do Amapá.

http://www.janetecapiberibe.com.br/images/Noticias/2014/maio/tst.png
http://blogdajanete.net/images/Noticias/2014/maio/tst.png

Esse é o quarto ataque do grupo relatado qui no Lab em menos de uma semana. Ontem (13/03/18) ele desfigurou o site da Revista da Justiça Federal do Rio Grande do Sul (JFRS), veja matéria aqui. No dia 11/03/18, a

Continuar Lendo

Empresas públicas e as criptomoedas (3)

Já falamos aqui no Lab sobre evidências de que empresas públicas brasileiras estiveram engajadas em atividades de mineração de criptomoedas nos últimos meses.

Em outro post, mostramos que o endereço IP 179.106.201.172 (AS 263083 – Parque Tecnológico de Itaipu – PTI) apresentou comportamento consistente como um nó da rede Bitcoin.

Identificamos a ocorrência de outro endereço IP, também do Parque Tecnológico de Itaipu, como nó integrante da rede Bitcoin.

Dessa vez trata-se do endereço IP 179.106.200.222. O registro foi identificado

Continuar Lendo

Depois da Receita Federal, Toxic Security Team desfigura site da Justiça Federal

O Grupo Hacker Toxic Security Team desfigurou na madrugada de hoje (13/03/18) o site da Revista da Justiça Federal do Rio Grande do Sul (JFRS). Até o momento, cerca de 12 horas depois, a desfiguração continua ativa na URL http://revistadigital.jfrs.jus.br/ojs-2.3.8/public/site/images/candysec/tst.png

Conforme postado aqui no Lab dia 11/03/18, a Revista da Receita Federal do Brasil (RFB) também foi desfigurada pelo mesmo grupo hacker.

O atacante CandySec optou por veicular o mesmo manifesto

Continuar Lendo

Novos Ataques de Negação de Serviço com Memcached

O maior ataque distribuído de negação de serviço (DDoS) de que se tem conhecimento foi registrado em 28/02 e visou o GitHub. O ataque DDoS mediu 1.3 Tbps de tráfego e foi desferido por oito minutos de duração. Isso dobrou o recorde anterior, que foi o DDoS associado à botnet Mirai, em setembro de 2016 e que atingiu 620 Gbps.

O ataque atingiu esse patamar porque foi eficiente em refletir memcached para amplificação de tráfego. Um

Continuar Lendo

Subdomínio da Receita Federal é desfigurado

O Grupo Hacker Toxic Security Team desfigurou na madrugada de hoje (11/03/18) o site da Revista da Receita Federal do Brasil. Até o momento, cerca de 20 horas depois, a desfiguração continua ativa na URL http://www.revistadareceitafederal.receita.fazenda.gov.br/public/site/images/candysec/tst.png

O atacante postou mensagem em inglês contra o governo brasileiro. Em seguida escreveu “Síria livre …”

O grupo já tinha sido destaque no Lab com um vazamento de dados do PCdoB

Chama a atenção o fato de

Continuar Lendo

A saga da pescaria na Bahia continua

Casos de Phishing hospedados nos domínios ba.gov.br e tjba.jus.br já foram relatados aqui no Blog no post Sorria, tem pescaria na Bahia. Praticamente quarenta dias se passaram, mas a saga da pescaria no Tribunal de Justiça do Estado da Bahia continua.

O phishing pode ser acessado por meio da URL http://www5.tjba.jus.br/infanciaejuventude/templates/ja_purity/Login.php

Ao executar o comando:

wget -qO- http://www5.tjba.jus.br/infanciaejuventude/templates/ja_purity/Login.php

Obtém-se o seguinte código fonte.

<html><head> <meta http-equiv="Refresh" content="0;URL=http://andis-fischheilpraxis.de/language/pdf_fonts/online/Logon.html" > <html> <head> <meta http-equiv="Content-Language" content="en-gb"> <style> </style>
Continuar Lendo

Malware Bancário Emotet no Brasil

Identificamos publicação em site de compartilhamento de texto que indica que algumas páginas brasileiras estão distribuindo o trojan bancário conhecido como Emotet.

Foram observados 16 domínios brasileiros que correspondem à 43 URLs entre as 370 apresentadas na publicação (conforme tabela abaixo).

Há indicação de finalidade da URL como comando e controle, payload ou distribuição. No caso das URLs brasileiras, 30 tem uso como payload e 13 são utilizadas para distribuição (não há comando e

Continuar Lendo

Vazamento de dados – PCdoB

Hoje tivemos um post sobre a relação entre ataques de desfiguração de página e ações hacktivistas.

Nossa conclusão foi de que entre hacktivistas brasileiros ações com “vazamentos de dados e ataques de negação de serviço são práticas mais frequentes que os ataques de desfiguração”.

Poucas horas depois da nossa publicação o Partido Comunista Brasileiro (PCdoB) foi atacado pelo grupo brasileiro Toxic Security Team. O grupo divulgou em site de compartilhamento de código detalhes sobre o banco de dados do PCdoB.

O grupo apresentou motivação político-ideológica

Continuar Lendo

Hacktivismo, desfiguração e eleições

Já falamos sobre casos de desfiguração de página contra eventos de segurança/defesa ou de órgãos públicos em invasão de Roraima (e a escalada que o ataque pode desencadear em saga de Roraima).

Hoje vamos falar sobre ataques de desfiguração de página realizados com propósitos político-ideológicos, comumente referido como hacktivismo.

Nesse tipo de ação hackers e/ou grupos manifestam seu descontento com autoridades públicas por meio de ataques dirigidos contra páginas pessoais das autoridades, portais de partidos políticos ou de órgãos

Continuar Lendo

A melhor defesa é ter uma defesa melhor

O título do post parece acidental ou tautológico, mas vamos falar sobre a necessidade de aprimorar medidas defensivas através da proatividade.

Há um volume de dados quase inacreditável de novos vazamento de senhas. Diariamente surgem listas de senhas vazadas em sites como o pastebin.compastebin.ca ou de compartilhamento de arquivos na Web ou na Deep Web.  Um desses casos já foi inclusive relatado aqui no Lab como a divulgação de

Continuar Lendo