Sites brasileiros e mineração de criptomoeda

Já falamos no Lab sobre a mineração de criptomoeda com um novo modelo de negócio capitaneado pela Coinhive.

Hoje nosso sistema de Monitoramento Avançado Persistente identificou publicação da comunidade Malware Reverse BR, realizada em site de compartilhamento de texto, contendo uma lista de sites brasileiros aos quais foi atribuída mineração pela Coinhive.

São 75 páginas com o código embutido, listadas abaixo. Dentre as páginas há site do município gaúcho de Cachoeira do Sul (aparentemente já solucionado).

juliosemeghini.com.br
cursowellington.com.br
sinproesemma.org.br

Continuar Lendo

Empresas públicas e as criptomoedas (2)

Já falamos aqui no Lab sobre evidências que empresas públicas brasileiras estiveram engajadas em atividades de mineração de criptomoedas nos últimos meses.

Nosso sistema de monitoramento avançado persistente reportou uma atualização de uma das empresas citadas no post original.

O endereço IP 179.106.201.172 (AS 263083 – Parque Tecnológico de Itaipu – PTI) apresentou comportamento consistente como um nó de Bitcoin. O registro foi identificado como ativo durante o dia 05 de março, na porta 8555 e com o user agent BitCore 0.14.1.6.

Continuar Lendo

Fischerei

Já falamos aqui sobre o phishing como um vetor de ataque utilizado em páginas falsas hospedadas em sites de governo e sobre casos de phishing na Bahia.

Aproveitamos o ensejo para fazer nova atualização do assunto, desta vez num caso de phishing que aparentemente almeja vítimas que falem alemão. Nosso sistema de monitoramento avançado persistente identificou nas últimas horas ataque dirigido contra câmara de vereadores de município do estado da São Paulo.

Bebedouro (SP): http://www.camarabebedouro.sp.gov.br/a1n2t3i4g5o7/libraries/joomla/document/fm.htm

Continuar Lendo

Mapeamento global do HTTPS (Parte 1)

HTTPS – o que é e porque devo me importar

O HTTPS (Hyper Text Transfer Protocol Secure) é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente por meio de certificados digitais.

Uma boa razão para que a comunicação pela internet use o HTTPS é evitar que

Continuar Lendo

Desfiguração

A desfiguração de página é um dos ataques registrados com maior frequência em redes brasileiras. Em geral, é vista como um constrangimento (alteração do conteúdo da página) sem consequências severas. Mas o impacto dessas ações nem sempre está limitado, como vimos nos posts sobre a a invasão de Roraima e a saga de Roraima os prejuízos de um deface podem escalar rapidamente.

Existe também a crença de que as ações de desfiguração não requerem conhecimento técnico sofisticado (de fato

Continuar Lendo

Estelionato na Web: storemartin.com

Hoje não é o dia da mentira e muito menos é o Natal, mas acredite, Papai Noel apareceu e fomos sorteados para um prêmio que nós não nos cadastramos para concorrer. Só sendo muito sortudo mesmo ! Ainda mais considerando que o prêmio é uma Smart TV LED 43″ Ultra HD 4K LG.

Veja abaixo o conteúdo do e-mail recebido.

De todo modo, resolvemos analisar o caso com um pouco mais de profundidade. Em primeiro lugar, o texto está acima

Continuar Lendo

Hacktivismo

O hacktivsmo é um fenômeno que acompanha a internet desde a sua popularização. O baixo custo de entrada para ações cibernéticas ofensivas (recursos humanos e financeiros), o anonimato das ações e a facilidade de acesso a alvos outrora distantes tornam essa forma de atuação bastante atrativa para grupos que possuam alguma plataforma política.

Numa matriz de risco é comum que essa ameaça seja avaliada com alta probabilidade de ocorrência e impacto de baixa monta.

Mas é oportuno lembrar que, além

Continuar Lendo

Phishing 2.0

Já comentamos aqui no DefCon-Lab que o phishing é um vetor de ataque utilizado por muitos tipos de ameaças cibernéticas (estatais e não-estatais) e de diferentes formas (links maliciosos em serviços de mensageria ou e-mails, páginas falsas) com o objetivo de obter dados pessoais, credenciais de acesso a aplicações, informações bancárias, etc.

A novidade observada pelo DefCon-Lab nos últimos meses é o incremento de conexão segura (sites https com suporte à criptografia SSL/TLS) para hospedar o phishing. Nos últimos 6 meses observação,

Continuar Lendo

Ativo institucional, uso pessoal

O final de semana foi animado. Alguns vazamentos coletados pelo nosso monitoramento avançado persistente são exemplos de uma prática recorrente por parte dos usuários, o uso de um ativo institucional (conta de e-mail) para fins pessoais.

Nos dois exemplos indicados a seguir servidores de entidades públicas brasileiras utilizaram o seu e-mail corporativo para realizar cadastro em sites privados: uma consultoria de gestão de pessoas brasileira e um broker de criptomoedas búlgaro.

Continuar Lendo

Você já minerou criptomoedas sem saber

Nesse post vamos explorar as formas “legítimas” pelas quais a mineração de criptomoedas pode ser imposta aos visitantes/usuários de aplicações web (mesmo sem o seu conhecimento), além dos efeitos que essa mineração pode ter sobre a infraestrutura do usuário.

Sucessivos eventos demonstram a popularização das criptomoedas e a atratividade da mineração como atividade econômica.

– Na última semana, milhares de sites oficiais de governos de diversos países foram afetados por um plugin malicioso de mineração de criptomoedas (Monero).

Continuar Lendo