Força Bruta nos hashes do AD

Diego Piffaretti
, 24/02/2021 | Source: Mundo Tecnológico

Olá! Pessoal, uma dica bacana que eu trago, apesar de utilizar uma técnica antiga mas que vejo poucas pessoas fazendo proativamente, que é a de força bruta em hashes do AD.

Você sabe se os funcionários estão realmente criando senhas boas? Como você mede isso? Não custa dizer, senha por si só já era a muito tempo, você sempre precisa combinar isso com um segundo fator. Mas sabemos que nas empresas não é 100% das coisas que costumam terem a possibilidade de exigir esse segundo fator e é ai que mora o perigo! Basta descobrir 1 senha e uma porta onde dê pra entrar somente com ela e pronto!

A sugestão que eu dou é que seja feito ao menos 1 vez no ano testes de força bruta nos hashes do AD para que você veja o quanto de conscientização você precisa trabalhar na empresa ou até mudar politicas. Eu desconheço um benchmarking de porcentagem de quebra de senha, mas pela minha experiência de anos fazendo isso eu diria para trabalhar com os seguinte valores:

  • Entre 0 e 8% – Está num nível de maturidade otimo
  • Entre 8 e 20% – Está bom, mas precisa trablhar um pouco ainda na conscientização
  • Entre 20% e 40% – Precisa trabalhar forte na conscientização, com campanhas mais pesadas. É hora de começar a ligar o radar!
  • Acima de 40% – Significa que alguma coisa bem errada está acontecendo, hora de ligar o alerto vermelho. Eu diaria que você precisa rever primeiro toda a sua politica de senha. Aumentar a quantidade de caracteres minimos exigidos, aumentar a complexidade de senha como um todo, e além disso fazer campanhas pesadas de conscietização.

Pegando os hashes

Para pegar os hashes no AD, existem diversas formas e ferramentas. Porém aqui estou no olhar de que é um teste acordado, onde alguem que tenha acesso ao AD irá extrair esses hashes. Para isso a forma mais simples na minha opnião é usando ntdsutil. Caso queira saber mais sobre outras ferramentas segue aqui um otimo material de referência:

Para executar o ntdsutil, basta alguem com privilégio de admin no AD rodar no CMD com privilegio elevado os seguintes comandos:

ntdsutil
activate instance ntds
ifm
create full C:\ntdsutil
quit
quit

Após executar o comando, serão geradas 2 pastas:

Active Directory e registry

Após feito o dump deverá transformar os arquivos no formato para a força bruta.

Para isso usaremos uma outra ferramenta, o secretsdump. O mesmo pode ser baixado clicando aqui:

https://github.com/SecureAuthCorp/impacket

Após instalado, segue a linha de comando:

secretsdump.py -system ARQUIVO_SYSTEM -ntds ARQUIVO_ntds.dit LOCAL

O arquivo que for gerado já está no formato correto para a tentativa de quebra.

Força Bruta

Para o ataque de força bruta efetivamente falando, a primeira coisa é decidir que tipo de ataque você quer fazer, se um ataque de dicionário ou de rainbow table.

Não vou me aprofundar aqui na explicação, mas basicamente o Rainbow Tables é uma tabela de hashes, ou seja, será feito um teste só de “cara crachá”, um teste de comparação. Já no ataque de dicionário você vai fazer processar o calculo de trasnformar cada palavra/senha que está no seu dicionário no formato de hash que está tentando quebrar e comparar.

A vantagem do rainbow table é a velocidade, que é infinitamente mais rápido. Em contrapartida você vai precisar de muito mais espaço em disco pois você já vai ter que gerar sua rainbow table com as regras aplicadas. Iremos falar logo a frente sobre regras.

O dicionário é mais lento mas tem a vantagem de ocupar menos espaço e de ser maliavél, você aplica as regras que quiser no tempo que desejar com mais facilidade. Para os meus testes eu costumo usar mais ataque de dicionario e é baseado nele que vou continuar minha explicação.

Após escolhido a técnica, você deve escolher a ferramenta. Existem algumas, hashcat, john, hydra. Eu considero o hashcat como a melhor ferramenta disparado. Não vou me alongar aqui nos motivos, apenas acreditem em mim 🙂 rsrsrs !

Proximo passo é o hardware! Sim caro leitor, tentar rodar um teste de força bruta num processador Celeron da vida você vai sofrer!

O ideal é que você tenha um equipamento com uma placa gráfica, assim você pode inclusive somente usar o poder de processamento da sua placa de vídeo e seu computador fica com o processador intacto. Você também pode optar por pegar uma super máquina em cloud, numa AWS da vida e afins, usar só por tempo determinado dessa atividade, as vezes o custo compensa.

Eu no caso costumo fazer os testes em um computador da minha atual empresa que possuia seguinte configuração:

NVIDIA Quadro M2200 – 4GB GDDR5

Windows  10

Desempenho: 8256.5 Milhões de Hashes por segundo

Uma dica, o hashcat é todo por interface de linha de comando. Mas você pode baixar o hashkiller, uma ferramenta que vai te prover uma interface gráfica para o seu hashcat e facilitar muito a sua vida.

https://hashkiller.io/download

Você já tem quase tudo que precisa. Agora falta o mais importante: O Dicionário!. O seu sucesso vai depender praticamente disso, de ter um bom dicionário!

Aonde eu consigo bons dicionarios? Eu prefiro dizer que o melhor dicionário é aquele que você mesmo cria! Precisa dedicar tempo, paciência e criativade. Em linhas gerias dicas que eu dou: busque por dicinário aurelio, nomes de time de futebol, girias, palavrões, nomes, sobrenomes, usar os proprios logins e nomes dos proprios funcionários que constarem no proprio dump do AD, nome de filme, nome de personagem, desenho, frases de religião, nome de deuses, nomes de anjos, cidades, paises, comidas,marcas, cor, animais, nome de sistemas da sa empresa, palavras usuais da empresa, nome da empresa e de suas filiais/join ventures e por ai vai. Coloque tudo em um TXT, tudo em caixa baixa de preferência. Sanitize caracteres como Ç ou assentuações. Sanitize também as linhas duplicadas. Complemente seu dicionário com dicionários de internet. Um bem famoso é o rockyou, que já vem no Kali.

DICA: busque por wordlist no github, e você vai achar várias! Pode buscar por wordlist PT-BR que vai achar bastante em português também.

Depois de montado o seu dicionário basta fazer os testes combinando o seu dicionário com as rules do hashcat, além disso utilizar a técnica de apendar arquivos na frente e atrás funcionam muito bem, por exemplo, você pode criar um segundo arquivo TXT com as palavras: 123, 321, @123, @321 .. Aqui sua imaginação é quem manda. E mandar combinar o dicionario que você montou com esse segundo TXT.

Você pode encontrar boas rules no github também. Eu já acho as que vem no hashcat muito boas.

Eu considero pela minha experiência que um bom dicionário é aquele que é rico de palavras da cultura do pais do usuário que você está quebrando a senha + a maior quantidade de palavras possíveis que possam ser usuais + boas regras e boas combinações + um certo entedimento de como as pessoas pensam, como geralmente as pessoas criaram as suas senhas e isso só a experiência ao longo do tempo irá lhe responder, a combinação de todos esses fatores lhe trará sucesso na sua quebra de senhas.

Analisando os resultados

Sugiro que na etapa anterior você anote o tempo de execução de cada tipo de teste que você fizer para que você gere uma métrica do tipo: Em X horas foi possivel quebrar Y senhas.

Com as senhas quebradas, o proximo ponto é sanitizar a sua base. Verificar dos hashes quebrados, quais usuarios são contas habilitadas e quais estão desabilitadas. Quebrar senha de usuario desabilitado não é muito útil, e portanto deveria ser expurgado da sua contabilização. Após sanitizar sua lista, ai sim você poderá dar inicio a sua analise estatistica.

Com as senhas quebradas em mãos, coloque todas as senhas em um arquivo txt. Uma ferramenta excelente para fazer analise estatistica das senhas é o PIPAL:

https://github.com/digininja/pipal

Se algum leitor conhecer alguma parecida, por favor inclusive peço me indicar, mas essa é a melhor que conheço. Ela vai gerar dados bem riscos, como top 10 senhas entre outros.

Por fim, gere uma apresentação com os gráficos e apresente a quem seja de interesse, dependendo da % de senhas quebradas, tome as medidas de proteção que melhores sem encaixarem na sua estratégia. Ao se adotar isso como um processo continuo, você poderá também gerar estatisticas de reincidências, que é o usuário que teve a senha quebrada por 2 anos consecutivos, e esse funcionário você pode trabalhar com uma conscientização mais especifica.

Espero que tenham gostado das dicas, sei que não é nada muito novo, mas apesar disso eu realmente não vejo as empresas praticando esse tipo de teste com uma frequência estabelecida e gerando insumos que gerem um valor para o aumento da sua maturidade de segurança. Fica a dica!

Conversas do app ClubHouse podem estar expostas

A rede social baseada em áudio ClubHouse supostamente está passando por problemas de segurança. Segundo o ThreatPost, pesquisadores afirmam que as conversas que ocorrem no aplicativo estão sendo gravadas. Aparentemente um usuário foi capaz de violar feeds de áudio de salas do ClubHouse e transmiti-los em um site. Outro usuário também supostamente escreveu um código que permite que qualquer pessoa ouça as conversas do ClubHouse sem o convite necessário para entrar na rede social. Outros códigos maliciosos projetados para violar o ClubHouse também foram bloqueados, dizem as informações. O ThreatPost destaca que os problemas de segurança do ClubHouse estão na plataforma de engajamento de voz e vídeo em tempo real fornecida pela startup Agora, com sede em Xangai. O tráfego do app é direcionado ao servidor da empresa na China, incluindo metadados pessoais, sem criptografia, de acordo com o Stanford Internet Observatory (SIO), que foi o primeiro a alertar sobre a privacidade do ClubHouse e as proteções de segurança da rede social. Assim, os usuários do ClubHouse devem estar cientes de que seus dados provavelmente estão expostos. 😒

Não somos polícia para investigar vazamentos, diz diretor presidente da ANPD

Guilherme Petry
, 24/02/2021 | Source: The Hack

Não somos polícia para investigar vazamentos, diz diretor presidente da ANPD

As investigações da Autoridade Nacional de Proteção de Dados (ANPD) com relação aos últimos grandes vazamentos de dados ainda estão em andamento. No entanto, o órgão revelou que não tem estrutura nem competência para investigar vazamentos. "A investigação [e] o poder de polícia, não nos cabe", disse o diretor presidente, Waldemar Gonçalves.

Segundo ele, não há nada conclusivo nas investigações da ANPD até agora, por isso, entrou em contato com todos as outras instituições que podem ajudar com o caso. “Acionamos a Polícia Federal, a Secretaria Nacional do Consumidor (Senacon), o Gabinete de Segurança Institucional, o Cert.br, o Ministério Público Federal, todos os órgãos que poderiam compor com a ANPD e dar celeridade a esse processo investigativo”, disse.

Durante o painel "A ANPD no contexto das empresas de telecom e mídia" do Seminário Políticas de Telecomunicações, do Teletime, nesta terça-feira (23), Waldemar discutiu a ação da ANPD, principalmente no setor de telecomunicações e entretenimento. Durante sua palestra, revelou que a ANPD não tem poder de polícia para investigar vazamentos.

“Temos a missão de fiscalizar, mas a investigação, o poder de polícia, não nos cabe. Mas a ação junto aos órgãos foi bem recebida pelos mesmos. Tivemos pronto apoio e estamos tratando e esperamos que o processo investigativo tenha um final conclusivo. Sabemos que quanto mais tempo dificulta mais as investigações, mas acreditamos que teremos resultados.”


Fonte: Convergência Digital; Seminário Políticas de Telecomunicações.

China 'clonou e utilizou' uma vulnerabilidade zero day da NSA antes dela ser vazada na internet

Guilherme Petry
, 23/02/2021 | Source: The Hack

China 'clonou e utilizou' uma vulnerabilidade zero day da NSA antes dela ser vazada na internet

Uma vulnerabilidade zero day, desenvolvida pela Agência de Segurança Nacional dos Estados Unidos (NSA) pode ter sido utilizada por cibercriminosos ligados ao governo chinês para espionar os Estados Unidos, anos antes do seu código fonte ter sido vazado na internet.

De acordo com um estudo da Check Point, um malware chinês, o Jian (APT31), foi desenvolvido com base em uma arma cibernética, o EpMe, desesenvolvido pelo Equation Group, possivelmente ligado à NSA.

O Jian foi utilizado pelo APT31 para atacar a fabricante de aeronaves norte-americana, Lockheed Martin. No entanto, segundo os pesquisadores, embora seja quase idêntico ao EpMe, o Jian é mais sofisticado, explora mais vulnerabilidades e foi equipado com mais ferramentas anti-detecção.

"O CVE-2017-0005, um zero-day atribuído pela Microsoft como APT31 chinês (Zircônio), é, na verdade, uma réplica de um exploit do Equation Group com o codinome “EpMe”. O APT31 teve acesso aos arquivos do EpMe, tanto suas versões de 32 bits quanto de 64 bits, mais de 2 anos antes do vazamento do Shadow Brokers", escrevem os pesquisadores Eyal Itkin e Itay Cohen, da Check Point Reasearch.

Os pesquisadores explicam que o EpMe foi desenvolvido em 2013. Entre 2014 e 2015, cibercriminosos chineses, do APT31, financiados pelo governo, desenvolveram o "Jian", descrito como "a espada cibernética de dois gumes chinesa", um clone do EpMe. Já no começo de 2017, um grupo identificado como Shadow Brokers, publicou o código fonte da ferramenta na internet, com objetivo de expor uma parte das ameaças e das práticas anti-éticas realizadas pelo próprio governo dos EUA.

"O APT31 adquiriu as próprias amostras de exploits, em todas as suas versões com suporte. Tendo datado as amostras do APT31 para 3 anos antes do vazamento "Lost in Translation" do Shadow Broker, nossa estimativa é que essas amostras de exploit do Equation Group poderiam ter sido adquiridas pelo APT chinês capturado-o durante uma operação de rede do Equation Group em um alvo chinês; ou capturado durante uma operação do Equation Group em uma rede de terceiros que também foi monitorada pelo APT chinês; ou ele foi capturado pelo APT chinês durante um ataque à infraestrutura do Equation Group", escrevem.

A Microsoft, corrigiu a vulnerabilidade que atingia seu sistema operacional, o Windows, em 2017, depois que o código do EpMe foi vazado.


Fontes: Check Point.

Google adiciona recurso que verifica senha em apps Android

O Google está adicionando um suporte para o serviço de verificação de senha para aplicativos Android para avisar os usuários se suas senhas salvas foram comprometidas ou vazadas em violações de dados. Segundo o BleepingComputer, a empresa lançou inicialmente a extensão do Chrome Password Checkup em fevereiro de 2019. Agora, por meio do recurso de preenchimento automático de senhas, o recurso está disponível para apps do sistema operacional Android. Segundo a reportagem, o preenchimento automático com o Google preenche formulários automaticamente com informações salvas, incluindo credenciais, endereços ou informações de pagamento. Sempre que o usuário preencher ou salvar credenciais em um aplicativo, elas serão verificadas em uma lista de credenciais comprometidas conhecidas. Se a senha estiver comprometida, o usuário será alertado. O preenchimento automático com o Google apenas verifica a segurança das credenciais que já foram salvas na conta do Google ou quando é solicitado pelo Android e o usuário aceita. O BleepingComputer informa que o processo de verificação é seguro, pois apenas hashes são usados para verificar o banco de dados de violação, com credenciais de violação conhecidas com os mesmos dois primeiros bytes sendo usados para a verificação real. O preenchimento automático com o Google está disponível para dispositivos que executam o sistema Android 9 e posterior.

Conversas do Clubhouse foram vazadas em reprodutor do app para outras plataformas

Guilherme Petry
, 23/02/2021 | Source: The Hack

Conversas do Clubhouse foram vazadas em reprodutor do app para outras plataformas

Um desenvolvedor conhecido como AiX, foi capaz de transmitir, conversas realizadas ao vivo no Clubhouse - um dos mais recentes aplicativos de rede social que permite somente conversas por áudio - em seu aplicativo paralelo, o Open Clubhouse, para qualquer pessoa acessar.

O Open Clubhouse está desligado, mas seu site ainda exibe uma mensagem sobre como o aplicativo funcionava. "Este é um reprodutor de áudio do Clubhouse [...] um cliente Clubhouse aberto para Android, para computador e para qualquer pessoa sem convite", diz a descrição.

Conversas do Clubhouse foram vazadas em reprodutor do app para outras plataformas
Captura de tela atual do site onde funcionava o Open Clubhouse. Foto: The Hack.

Em entrevista ao TechCrunch, AiX explica que desenvolveu o app para que todos pudessem acessar o Clubhouse, mesmo sem um convite ou um smartphone da Apple, já que o app é exclusivo para iOS e só são aceitos usuários convidados.

"[Algumas empresas] pedem muitas informações aos usuários, analisam esses dados e até abusam deles. Enquanto isso, eles restringem a forma como as pessoas usam os aplicativos e não dão aos usuários os direitos que eles merecem. Para mim, isso constitui monopólio ou exploração", justifica AiX.

Um porta-voz do Clubhouse disse ao Bloomberg que o responsável pelo Open Clubhouse foi banido permanentemente da plataforma, além de que medidas adicionais de segurança serão tomadas para que isso não aconteça de novo.

No entanto, pesquisadores de segurança acreditam que impedir que isso aconteça novamente pode ser uma terefa complicada. Já que não é necessário estar na sala para conseguir capturar o seu áudio, como é o caso de AiX, que descobriu uma forma de reproduzir o conteúdo das salas, mesmo não estando nelas.

O código do Open Clubhouse está disponível no GitHub, caso alguém se interesse em reproduzir o aplicativo, ou estudar como são extraídos os áudios das conversas registradas no app.

Clubhouse a serviço do governo chinês?

O fato de poder transmitir ao vivo, conversas realizadas no Clubhouse preocupa pesquisadores de segurança e privacidade. Principalmente por conta da tecnologia do Clubhouse, que foi desenvolvida pela Agora, uma startup de Xangai.

Embora a política de privacidade do app explique que seja proibido gravar, transmitir e reproduzir áudios do Clubhouse, sem a permissão dos usuários, o governo chinês pode exigir acesso a qualquer dado armazenado em território chinês. Ou seja, se por um acaso, a empresa trocar dados com um servidor da Agora, na China, o governo chinês pode acessar esses dados.

De acordo com o Stanford Internet Observatory (SIO), o ID de usuário e o ID da sala são transmitidos para o servidor do Clubhouse em texto simples, sem criptografia. Além disso, o Clubhouse provavelmente tem acesso ao áudio bruto das conversas e "potencialmente oferece ao governo chinês".

"Em pelo menos uma instância, a SIO observou metadados de sala sendo retransmitidos para servidores que acreditamos estarem hospedados na RPC, e áudio para servidores gerenciados por entidades chinesas e distribuídos em todo o mundo via Anycast. Também é possível conectar IDs de Clubhouse a perfis de usuário.", escrevem os pesquisadores.

Uma das práticas de dados do Clubhouse que mais chamou atenção dos pesquisadores do SIO é que a empresa afirma armazenar por tempo indeterminado, o áudio de conversas e grupos, para fins de investigação, confiança e segurança.

"A Política de Privacidade do Clubhouse afirma que o áudio do usuário será gravado "temporariamente" para fins de investigação de confiança e segurança. A política não especifica a duração do armazenamento 'temporário'. Temporário pode significar alguns minutos ou alguns anos [...] O governo chinês pode legalmente exigir áudio (ou outros dados de usuários) armazenados na China", explicam.


Fontes: Bloomberg; Techcrunch; Stanford Internet Observatory.

[Segurança] Dicas para usar o Pix de forma segura

Anchises
, 23/02/2021 | Source: AnchisesLandia- Brazilian Security Blogger

Eu já publiquei aqui no Blog um post com dicas de segurança para usar o Pix, o sistema brasileiro de pagamentos instantâneos, bem quando o sistema começou a entrar em operação. Agora que já estamos mais acostumados com o uso do Pix no dia-a-dia, eu decidi criar um post novo e atualizado sobre o assunto.A cada inovação tecnológica, os ciber criminosos buscam novas falhas de segurança e se

NVIDIA vai cortar o poder de mineração da RTX 3060 em 50%

Guilherme Petry
, 22/02/2021 | Source: The Hack

NVIDIA vai cortar o poder de mineração da RTX 3060 em 50%

A NVIDIA, fabricante de processadores gráficos, com sede na Califórnia, EUA, anunciou na quinta-feira (18), que vai equipar novas unidades da RTX 3060 (além de inserir uma atualização de driver para quem já comprou) com ferramentas que identificam algorítimos de mineração de Ethereum e reduzem o poder deles em 50%.

De acordo com a empresa, as placas de vídeo da NVIDIA são exclusivamente desenvolvidas para gamers e não devem ser utilizadas para processar criptomoedas. "Nossas GPUs GeForce RTX introduzem tecnologias de ponta, adaptados para atender às necessidades de jogadores e aqueles que criam experiências digitais", escreve a empresa um comunicado.

A decisão foi publicada junto com o anúncio dos novos NVIDIA Cryptocurrency Mining Processor (CMP), processadores dedicados a mineração de criptomoedas, que não processam vídeo (não tem nem saída para monitor), para que parem de utilizar suas placas de vídeo para minerar criptomoedas.

"Para atender às necessidades específicas da mineração Ethereum, estamos anunciando a linha de produtos Nvidia CMP, ou Cryptocurrency Mining Processor, para mineração profissional", escreve a empresa.

NVIDIA vai cortar o poder de mineração da RTX 3060 em 50%
Modelo de um processador CMP. Foto: Nvidia.

Os processadores CMP não geram vídeo, mas prometem melhor desempenho e eficiência de mineração. "O CMP não possui saídas de exibição, permitindo um fluxo de ar aprimorado durante a mineração, para que possam ser instalados de forma mais compacta. Os CMPs também têm tensão e frequência de pico de núcleo mais baixas, o que melhora a eficiência energética da mineração", diz.

A decisão da NVIDIA, no entanto, não altera muito os casos de "crypto jacking", malwares desenvolvidos para minerar criptomoedas na máquina das vítimas, já que quem paga a conta de luz é a vítima e o cibercriminoso continua recebendo criptomoedas sem gastar nada com isso. A única diferença é que eventualmente vão passar a receber 50% menos.

A NVIDIA está em processo de compra da Arm, empresa que está produzindo os novos processadores M1 da Apple. O principal objetivo da compra é investir no desenvolvimento de inteligência artificial.


Fonte: Nvidia.

Malware misterioso encontrado em 30 mil Macs confunde pesquisadores de segurança

Guilherme Petry
, 22/02/2021 | Source: The Hack

Malware misterioso encontrado em 30 mil Macs confunde pesquisadores de segurança

Pesquisadores de segurança da Red Canary, desenvolvedora norte-americana de segurança da informação, descobriram quase 30 mil Macs infectados com um novo malware misterioso, silencioso e até então inofensivo. O “Silver Sparrow”, como foi batizado, foi descoberto no começo de fevereiro deste ano.

O malware misterioso chamou atenção dos pesquisadores, primeiramente, por não oferecer nenhuma ameaça ao usuário, ou seja, sem nenhum “payload” malicioso. Além disso, ele roda nativamente nos novos modelos de Macs da Apple, equipados com processadores M1, fabricados pela Arm.

Outra característica misteriosa do Silver Sparrow é que ele foi desenvolvido com um "killer switch", um mecanismo de auto-remoção completa, recurso normalmente utilizado em campanhas mais elaboradas. Além disso, utiliza API JavaScript do MacOS Installer para executar comandos, o que dificulta a investigação.

Segundo os pesquisadores, que estão monitorando os 29.139 Macs infectados, ainda não foi notada nenhuma ação por parte dos cibercriminosos, nem mesmo uma troca de dados envolvendo o aplicativo malicioso. Os pesquisadores temem que esses vírus possa entrar em ação de forma massiva, a partir de uma condição desconhecida.

"Os engenheiros de detecção do Red Canary, encontraram uma cepa de malware para macOS [...] Esse malware, seja ele qual for, não exibiu os comportamentos que esperamos de um malware convencional [...] Principalmente pela maneira como ele usa JavaScript para execução - algo que não havíamos encontrado anteriormente em outros malwares para macOS - e o surgimento de um binário relacionado compilado para a nova arquitetura M1 ARM64 da Apple", escreve os pesquisadores da Red Canary.

"Além do mistério da carga útil, o Silver Sparrow inclui uma verificação de arquivo que causa a remoção de todos os mecanismos de persistência e scripts. Ele verifica a presença de ~ / Library /._ insu no disco e, se o arquivo estiver presente, o Silver Sparrow remove todos os seus componentes do terminal. A presença desse recurso também é um mistério", escrevem.

Comportamento curioso

Comportamento curioso é o que não falta no Silver Sparrow. Os pesquisadores identificaram que quando o malware é executado em Macs mais antigos, equipados com processadores Intel, ele exibe uma tela preta, com a clássica mensagem: “Hello, World!” e nada mais.

Malware misterioso encontrado em 30 mil Macs confunde pesquisadores de segurança
Mensagem exibida ao executar o Silver Sparrow em um Mac equipado com processador Intel. Foto: Erika Noerenberg via Red Canary.

Já nos Macs mais novos, equipados com processadores M1, desenvolvidos internamente pela Apple e fabricados pela Arm, o malware exibe uma tela laranja, com o texto “You did it!” (você conseguiu, em português). O que gerou ainda mais dúvidas.

Malware misterioso encontrado em 30 mil Macs confunde pesquisadores de segurança
Mensagem exibida ao executar o Silver Sparrow em um Mac equipado com processador M1 Foto: Jimmy Astle via Red Canary.

“A primeira versão do malware Silver Sparrow que analisamos continha um binário Mach-O estranho, compilado para Intel x86_row que parecia não desempenhar nenhuma função adicional na execução, simplesmente [uma mensagem]: ‘Hello, World!’ [...] A segunda versão também incluiu um binário Mach-O estranho que foi compilado para ser compatível com Intelx86_64 e M1 ARM64. Desta vez, exibindo a mensagem: ‘You dit it!’”, escrevem.

Como saber se foi infectado

Os pesquisadores lembram que o procedimento para detectar o Silver Sparrow em um Mac é muito parecido com o procedimento para detectar outros malwares para macOS. “Essas análises nos ajudam a encontrar várias famílias de malware para macOS”, explicam.

Para detectar o Silver Sparrow, procure por um processo chamado “PlistBuddy”, depois, procure um comando contendo “LaunchAgents; RunAtLoad; true” na mesma frase. Depois, procure um processo com nome semelhante a “sqlite3” rodando junto com um comando contendo “LSQuarantine”. Por fim, procure por um processo “que pareça estar executando o curl em conjunto com uma linha de comando que contém: s3.amazonaws.com”.


Fonte: Red Canary.

Silver Sparrow: Malware infecta Macs com chip M1

Um malware que visa Macs com o chip M1 da Apple está infectando máquinas em todo o mundo, informa o ThreatPost. A descoberta de pesquisadores de segurança segue outra, que descobriu um adware para macOS criado para atingir o novo processador da Apple. O system-on-a-chip (SoC) M1 foi lançado no ano passado. Com os novos Macs começando a ser lançados junto ao chip, os cibercriminosos estão voltando sua atenção para esses alvos. O ThreatPost já havia informado sobre a descoberta de uma variante do “Pirrit”, um aplicativo malicioso de distribuição de adware que tem agora como alvo específico o novo M1. Agora, o malware apelidado de Silver Sparrow está em cena, sendo totalmente novo e desenvolvido para o ecossistema M1, segundo analistas da empresa de cibersegurança Red Canary. Eles explicam que o malware foi executado em máquinas e parece estar a espera de mais instruções. Isso significa que os autores são adversários avançados e sofisticados, disseram os pesquisadores. Não está claro como o malware se espalha. A infraestrutura do Silver Sparrow está hospedada na plataforma de nuvem Amazon Web Services S3, de acordo com a Red Canary, e os domínios de callback que ele usa são hospedados por meio da rede de distribuição de conteúdo (CDN) da Akamai. Segundo a empresa, em 17 de fevereiro deste ano, o malware já havia infectado 29.139 endpoints macOS em 153 países, de acordo com pesquisadores, sendo os principais alvos o Canadá, a França, a Alemanha, o Reino Unido e os Estados Unidos.