Open in app

Sign in

Write

Sign in

Bússola — Edição #5

Morphus Cybersecurity
blog.morphus
7 min readMay 19, 2020

--

Guildma

Em agosto de 2019, descobrimos uma nova variante do trojan brasileiro Guildma, também conhecido como Astaroth. Um cavalo de Tróia (Trojan), termo que faz alusão ao conto grego, é qualquer malware que engana os usuários sobre sua verdadeira intenção.

A descoberta que fizemos dessa variante incluía uma estratégia inovadora para se manter ativo, utilizando o Facebook e o YouTube para obter uma nova lista de seus servidores C2. Um servidor de comando e controle (C&C o C2)
é um dispositivo “mestre” que orquestra os dispositivos infectados por um malware e, assim, realiza comandos e recebe informações desses dispositivos.

A lista de servidores C2 era criptografada e hospedada em dois perfis do Facebook e três do YouTube mantidos e constantemente atualizados pelos cibercriminosos. Notificamos o Facebook e YouTube e tais perfis foram removidos.

Nesta época, estávamos diante da versão 142. Em março de 2020, a ESET publicou um estudo sobre a versão 152, destacando as mudanças mais notáveis e, recentemente, a Cisco Talos divulgou um estudo detalhado sobre tal trojan.

Na versão 138, o Guildma adicionou a capacidade de coletar dados de instituições (principalmente bancos) fora do Brasil. Na versão que analisamos (142) identificamos mais de 100 bancos da América Latina, porém na versão 145, estas instituições foram removidas, focando, novamente, somente no Brasil.

Guildma é um trojan do tipo information stealer que, além de visar o roubo de credenciais de instituições financeiras, tem como objetivo o roubo de dados pessoais, contas de e-mail, credenciais de diversos e-commerces e serviços de streaming, entre outros.

Apesar de já haver mais de 10 versões posteriores à que nos deparamos em agosto de 2019, não houve alterações substanciais na funcionalidade ou distribuição. Na versão 142, que descobrimos, a estratégia de distribuir de servidores C&C acontecia através dos perfis do YouTube e do Facebook. Atualmente, somente o YouTube ainda é utilizado, a mesma técnica que outro trojan latino-americano chamado Casbaneiro utiliza.

O vetor de entrada costuma ser um e-mail malicioso, ou seja, um e-mail falso se passando por diversas empresas com contextos diferentes. Assim como outros malwares, segundo a Cisco Talos, o Guildma também utilizou o tema COVID-19 como isca para suas vítimas, forjando ser um e-mail do Ministério da Saúde do Brasil.

Constatamos, mais uma vez, que serviços legítimos como os da Cloudflare, YouTube, Google, entre outros, são utilizados por atores maliciosos, tendência que só tende a aumentar.

Reforçamos o princípio do menor privilégio e as campanhas de conscientização de segurança. Além da importância de entender verdadeiramente os TTPs das ameaças (táticas, técnicas e procedimentos).

Microsoft Patch Tuesday

Toda 2ª terça-feira de cada mês, a Microsoft lança regularmente patches (correções de falhas) de software para seus produtos. Você pode acompanhar mensalmente estas correções através do nosso dashboard acessível aqui.

No Patch Tuesday de maio, foram corrigidas 111 vulnerabilidades, das quais 16 são críticas. De acordo com a Microsoft, nenhuma destas foi divulgada anteriormente ou está sendo explorada. Neste Patch Tuesday, há um total de 28 vulnerabilidades com potencial de execução remota de código (RCE), ou seja, com possibilidade de um atacante executar códigos maliciosos em sua própria máquina para atacar um software e/ou um sistema Windows em execução em outra máquina.

Adobe

A Adobe lançou 36 patches (correções) de segurança para os softwares Adobe Acrobat e Reader para Windows e macOS e para o Adobe DNG Software Development Kit (SDK) para Windows e macOS. Das 36 falhas, 16 são classificadas como críticas, pois permitem a execução de código arbitrário ou o desvio de recursos de segurança. As atualizações do Acrobat e do Reader, concentram 24 das 36 vulnerabilidades, metade das quais são consideradas críticas.

Firefox

A Mozilla lançou atualizações de segurança para resolver 11 vulnerabilidades, sendo três de severidade crítica, nos navegadores Web Firefox e Firefox ESR.

O Firefox ESR, do inglês Extended Support Release, é uma versão voltada para instituições (como empresas e universidades) que queiram oferecer um navegador customizado e padronizado em uma ampla quantidade de dispositivos.

As falhas afetam versões anteriores ao Mozilla Firefox 76.0 e versões anteriores do Mozilla Firefox ESR 68.8. Um invasor poderia explorar algumas dessas vulnerabilidades para assumir o controle de um sistema afetado.

SAP

A alemã SAP, empresa de softwares de gestão de empresa, corrigiu em maio, no seu Security Patch Day, 22 correções de vulnerabilidades em diversos de seus produtos. Dessas vulnerabilidades, seis são críticas em vários de seus produtos. Todas essas, com exceção de uma, são remotamente exploráveis, não requerem interação do usuário e têm uma baixa complexidade de ataque.

Palo Alto Networks

A Palo Alto Networks, empresa multinacional americana de segurança cibernética com sede em Santa Clara, Califórnia, famosa por seu firewall, informou que corrigiu mais de 24 vulnerabilidades no PAN-OS. O PAN-OS é um software que roda nos produtos da Palo Alto Networks®.

As versões afetadas do PAN-OS e GlobalProtect App, podem ser consultadas no Advisory em conjunto com todas as falhas lançadas.

Caso utilize os softwares acima, recomendamos que aplique as correções o mais brevemente possível.

Quando a Lei Geral de Proteção do Dados Pessoais realmente começa?

No dia 29 de abril de 2020, o Presidente da República editou a Medida Provisória de No 959/2020, onde tratou da prorrogação da entrada da Lei Geral de Proteção de Dados pessoais, LGPD, para o dia 3 de maio de 2021.

Em paralelo, existia um Projeto de Lei de No 1.179/2020, que foi inicialmente proposto pelo Senado Federal, onde um dos assuntos tratados era o adiamento da LGPD, mas de forma diferente ao que a Medida Provisória propusera.

A proposta dos Senadores era modificar o art. 65 da LGPD em dois tempos distintos: o 1o tempo seria que as sanções tratadas na Lei iniciariam em agosto de 2021 e os demais artigos e, inclusive, o início da própria Lei, em janeiro de 2021.

O Projeto de Lei foi aprovado pelo Senado no dia 13 de abril e remetido à casa revisora, Câmara dos Deputados, para análise e possíveis modificações.

No dia 14 de maio de 2020, quase um mês depois da aprovação pelo Senado, a Câmara dos Deputados aprovou, mas novamente, houve uma mudança no que trata do adiamento da LGPD.

Alguns artigos e emendas foram alterados pela Câmara dos Deputados, por isso, o PL1.179 voltou ao Senado para rejeição ou aprovação de forma definitiva.

Ontem dia 19/05/2020, o Senado rejeitou o texto substitutivo da Câmara dos Deputados, mas aprovou um destaque feito pela Câmara dos Deputados, ficando assim, os prazos valendo até à sanção presidencial e aprovação da MP959, de acordo com os cenários abaixo:

Se pensarmos a nível de risco estratégico, a demora, falta de prioridade e de comprometimento dos governantes, em relação ao assunto, extremamente relevante, traz incertezas e, principalmente, possibilidade de impacto na imagem das empresas com a possibilidade iminente das sanções administrativas e financeiras.

Acompanhe aqui as cenas dos próximos capítulos da MP959 X PL1179.

Lgpd
Guildma
Malware
Morphus
Cybersecurity

--

--

Morphus Cybersecurity
blog.morphus

Written by Morphus Cybersecurity

11 Followers
Editor for

Há 17 anos, tratando cibersegurança como ciência aplicada.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams