Mostrando postagens com marcador Ataque Hacker. Mostrar todas as postagens
Mostrando postagens com marcador Ataque Hacker. Mostrar todas as postagens

quinta-feira, 9 de maio de 2019

Ataque em andamento roubando cartões de crédito de mais de cem sites de compras

Por Swati Khandelwal em 8 de maio de 2019 no site The Hacker News - traduzido por Google Translate


corte de cartão de crédito magento




Pesquisadores do NetLab, da empresa chinesa de segurança cibernética Qihoo 360, revelaram detalhes de uma campanha de invasão de cartões de crédito que atualmente rouba informações de cartões de pagamento de clientes que visitam mais de 105 sites de comércio eletrônico.


Enquanto monitoravam um domínio malicioso, o www.magento-analytics [.] Com , nos últimos sete meses, os pesquisadores descobriram que os invasores injetavam scripts maliciosos JS hospedados neste domínio em centenas de sites de compras online.


Os scripts JavaScript em questão incluem o código de verificação de cartão de crédito digital que, quando executado em um site, automaticamente rouba informações do cartão de pagamento, como nome do proprietário do cartão de crédito, número do cartão de crédito, prazo de validade, informações do CVV inseridas pelos clientes.


Em uma entrevista por e-mail, o pesquisador da NetLab disse ao The Hacker News que eles não têm dados suficientes para determinar como os hackers infectaram sites afetados em primeiro lugar ou quais vulnerabilidades eles exploraram, mas confirmaram que todos os sites de compras afetados estão atropelando o e-mail Magento. comércio software CMS.


Uma análise mais detalhada revelou que o script malicioso envia dados de cartões de pagamento roubados para outro arquivo hospedado no servidor magento-analytics [.] Com controlado pelos atacantes.



"Tome uma vítima como exemplo, www.kings2.com, quando um usuário carrega sua página inicial, o JS também é executado. Se um usuário seleciona um produto e acessa as" Informações de pagamento "para enviar as informações do cartão de crédito, após Os dados CVV são inseridos, as informações do cartão de crédito serão carregadas ", explicam os pesquisadores em um post publicado hoje.

A técnica usada pelo grupo por trás dessa campanha não é nova e exatamente igual à que os infames grupos de hackers de cartões de crédito da MageCart usaram em centenas de seus recentes ataques, incluindo Ticketmaster , British Airways e Newegg .


No entanto, os pesquisadores da NetLab não vincularam explicitamente esse ataque a nenhum dos grupos da MageCart .


Além disso, não se confunda com o nome de domínio - www.magento-analytics [.] Com.


Ter o Magento no nome de domínio não significa que o domínio malicioso esteja de alguma forma associado à popular plataforma Magento ecommerce CMS; em vez disso, os invasores usaram essa palavra-chave para disfarçar suas atividades e confundir usuários comuns.


Segundo os pesquisadores, o domínio malicioso usado na campanha está registrado no Panamá, no entanto, nos últimos meses, o endereço IP passou de "Estados Unidos, Arizona" para "Rússia, Moscou" e depois para "China, Hong Kong". "


Embora os pesquisadores descobriram que o domínio malicioso tem roubado informações de cartões de crédito há pelo menos cinco meses, com um total de 105 sites já infectados com o JS malicioso, eles acreditam que esse número pode ser maior do que o que apareceu em seu radar.


Ainda ontem, um usuário postou em um fórum que seu site Magento também foi hackeado recentemente e invasores secretamente injetaram um script de roubo de cartão de crédito do mesmo domínio, aparentemente uma variante separada que ainda não foi listada no site do 360 NetLab.


Como os atacantes geralmente exploram vulnerabilidades conhecidas no software de comércio eletrônico on-line para injetar seus scripts maliciosos, os administradores de sites são altamente aconselhados a seguir as melhores práticas de segurança, como aplicar atualizações e patches mais recentes, limitar privilégios para sistemas críticos e proteger servidores da Web.


Os administradores de sites também são aconselhados a utilizar a CSP ( Content Security Policy, política de segurança de conteúdo ), que efetivamente permite assumir o controle rigoroso sobre exatamente quais recursos podem ser carregados em seu site.


Enquanto isso, os compradores on-line também são aconselhados a revisar regularmente seu cartão de crédito e extratos bancários para qualquer atividade desconhecida. Não importa o quão pequena transação não autorizada você perceba, você deve sempre e imediatamente denunciá-lo ao seu banco imediatamente.
Postado por às Nenhum comentário:
Marcadores: , ,

quinta-feira, 31 de janeiro de 2019

Vazamento expõe dados de 3,4 milhões de clientes de serviços de streaming

por Adriano Lopes em 



Cinco banco de dados vazados, que somam 3,4 milhões de usuários de serviços de streaming de música e vídeo, além de plataforma de jogos, foram comprometidos em diversos países. A informação é do dfndr lab, braço de pesquisas da empresa de segurança digital PSafe. A informação surge dias depois do segundo maior ataque da história, que vazou dados de mais de 700 milhões de pessoas.
O dfndr lab teve acesso aos dados graças a documentos vazados por hackers. Esses arquivos contêm senhas e e-mails de usuários. Com esses dados em mãos, cibercriminosos tem em mãos total acesso a esses serviços e podem utilizá-los tal qual os donos originais das contas.
Esse acesso pode ser ainda maior, já que muitos usuários têm o hábito de replicar login e senha em diferentes serviços, oferecendo ainda mais acesso aos seus dados pessoais a pessoas maliciosas.
Segundo Emilio Simoni, diretor do dfndr lab, compartilhar suas conquistas na Deep Web é um hábito comum de cibercriminosos, o que aumenta ainda mais a vulnerabilidade desses usuários. Esses bancos de dados, segundo Simoni, teriam obtidos através de ataques de phishing, quando um hacker cria uma conta falsa de um serviço existente e pede informações aos usuários, que os fornecem acreditando que a mensagem recebida é do serviço assinado.
A PSafe, contudo, não disse quais serviços tiveram dados vazados.
O laboratório alerta para a importância de alguns cuidados para evitar que usuários fiquem vulneráveis. O primeiro deles é evitar clicar em links suspeitos, recebidos via WhatSapp, SMS ou e-mail. Se você não está esperando receber uma mensagem do serviço que assinou, não clique.
Outra forma é verificar se o site do serviço que está acessando é o oficial. Serviços de streaming, como Spotify e Netflix possuem domínios com final .br, por exemplo.
Além disso, outra boa prática recomendada pela empresa é não utilizar a mesma senha para vários serviços diferentes.
Postado por às Nenhum comentário:
Marcadores: , ,

segunda-feira, 28 de janeiro de 2019

Hackers estão conduzindo ataques RDP usando uma nova técnica para ignorar proteções

Por Mundo Hacker em 28/01/2019.


Um componente do Microsoft Windows, RDP foi projetado para fornecer aos administradores, engenheiros e usuários acesso remoto aos sistemas. No entanto, os hackers (blackhat) têm usado a tecnologia para fins nefastos, e a tendência continua, especialmente porque um ataque RDP é geralmente mais difícil de detectar do que um backdoor.
“Os hackers continuam a preferir o RDP para as vantagens de estabilidade e funcionalidade sobre backdoors não-gráficos, que podem deixar artefatos indesejados em um sistema.”
Estes permitem que os atacantes estabeleçam uma conexão com um servidor remoto bloqueado por um firewall e abusem dessa conexão como um mecanismo de transporte para “ encapsular ” serviços de escuta locais através do firewall, tornando-os acessíveis ao servidor remoto. 
O tunelamento de rede e o encaminhamento de porta aproveitam os “ furos ” de firewall (portas não protegidas pelo firewall que permitem o acesso de aplicativos a um serviço em um host na rede protegida pelo firewall) para estabelecer uma conexão com um servidor remoto bloqueado por um firewall.
Uma vez estabelecida uma conexão ao servidor remoto através do firewall, a conexão pode ser usada como um mecanismo de transporte para enviar ou “encapsular” serviços de escuta locais (localizados dentro do firewall) através do firewall, tornando-os acessíveis ao servidor remoto ( localizado fora do firewall).
Um utilitário usado para encapsular sessões RDP é PuTTY Link , ou Plink , que permite que atacantes estabeleçamseguroconexões de rede shell ( SSH ) para outros sistemas. Com muitos ambientes de TI que não inspecionam protocolos ou não bloqueiam as comunicações SSH de sua rede, os invasores podem usar a ferramenta para criar túneis criptografados e estabelecer conexões RDP com o servidor de comando e controle (C & C). 

Como funciona?

Túnel RDP de entrada, um utilitário comum usado para encapsular sessões RDP é o PuTTY Link, comumente conhecido como Plink . 
Ataque RDP

FIG: Desvio do firewall corporativo usando RDP e tunelamento de rede com SSH como exemplo
Ataque RDP

FIG: Exemplo de um túnel RDP bem sucedido criado usando o Plink
Ataque RDP

FIG: Exemplo de encaminhamento de porta bem-sucedido do servidor C2 do invasor para a vítima

Pivô Jump Box

Não apenas o RDP é a ferramenta perfeita para acessar sistemas comprometidos externamente,mas as sessões RDP também podem ser encadeadas em vários sistemas como uma maneira de mover-se lateralmente por um ambiente.
A FireEye observou agentes de ameaças usando o shell de rede nativo do Windowsnetsh) comando para utilizar o encaminhamento de porta RDP como uma maneira de acessar redes segmentadas recentemente descobertas, que só podem ser acessadas através de uma jump box administrativa.
Ataque RDP
“ Por exemplo , um agente de ameaça poderia configurar o jump box para escutar em uma porta arbitrária o tráfego sendo enviado de um sistema previamente comprometido. O tráfego seria então encaminhado diretamente através da caixa de salto para qualquer sistema na rede segmentada usando qualquer porta designada, incluindo a porta RDP padrão TCP 3389 , ”

Prevenção do Túnel RDP

Se o RDP estiver habilitado, os hackers terão uma maneira de se mover lateralmente e manter a presença no ambiente por meio de encapsulamento ou encaminhamento de porta. Para reduzir a vulnerabilidade e detectar esses tipos de ataques de RDP, as organizações devem se concentrar nos mecanismos de prevenção e detecção baseados em host e em rede.
  • Serviço de Área de Trabalho Remota: Desabilite o serviço de área de trabalho remota em todas as estações de trabalho de usuários finais e sistemas para os quais o serviço não é necessário para conectividade remota.
  • Firewalls com base em host: ative regras de firewall baseadas em host que negam explicitamente as conexões RDP de entrada.
  • Contas locais: Impedir o uso de RDP usando contas locais em estações de trabalho, habilitando a configuração de segurança “Negar logon através de serviços de área de trabalho remota”.
Fonte GBHackers
Postado por às Nenhum comentário:
Marcadores: , , ,

quinta-feira, 21 de dezembro de 2017

Hackers Targeting Servers Running Database Services for Mining Cryptocurrency


database-hacking
Security researchers have discovered multiple attack campaigns conducted by an established Chinese criminal group that operates worldwide, targeting database servers for mining cryptocurrencies, exfiltrating sensitive data and building a DDoS botnet.

The researchers from security firm GuardiCore Labs have analyzed thousands of attacks launched in recent months and identified at least three attack variants—Hex, Hanako, and Taylor—targeting different MS SQL and MySQL servers for both Windows and Linux.


The goals of all the three variants are different—Hex installs cryptocurrency miners and remote access trojans (RATs) on infected machines, Taylor installs a keylogger and a backdoor, and Hanako uses infected devices to build a DDoS botnet.

So far, researchers have recorded hundreds of Hex and Hanako attacks and tens of thousands of Taylor attacks each month and found that most compromised machines are based in China, and some in Thailand, the United States, Japan and others.


To gain unauthorized access to the targeted database servers, the attackers use brute force attacks and then run a series of predefined SQL commands to gain persistent access and evade audit logs.


What's interesting? To launch the attacks against database servers and serve malicious files, attackers use a network of already compromised systems, making their attack infrastructure modular and preventing takedown of their malicious activities.

hacking-mysql-mssql-database
For achieving persistent access to the victim's database, all three variants (Hex, Hanko, and Taylor) create backdoor users in the database and open the Remote Desktop port, allowing attackers to remotely download and install their next stage attack—a cryptocurrency miner, Remote Access Trojan (RAT) or a DDoS bot.

"Later in the attack, the attacker stops or disables a variety of anti-virus and monitoring applications by running shell commands," the researchers wrote in their blog post published Tuesday. 
"The anti-virus targeted is a mixture of well-known products such as Avira and Panda Security and niche software such as Quick Heal and BullGuard."
Finally, to cover their tracks, the attackers deletes any unnecessary Windows registry, file, and folder entry using pre-defined batch files and Visual Basic scripts.

Administrators should check for the existence of the following usernames in their database or systems in order to identify if they have been compromised by the Chinese criminal hackers.

  • hanako
  • kisadminnew1
  • 401hk$
  • Guest
  • Huazhongdiguo110

To prevent compromise of your systems, researchers advised administrators to always follow the databases hardening guides (provided by both MySQL and Microsoft), rather than just having a strong password for your databases.
"While defending against this type of attacks may sound easy or trivial—'patch your servers and use strong passwords'—we know that 'in real life' things are much more complicated. The best way to minimize your exposure to campaigns targeting databases is to control the machines that have access to the database," the researchers advised. 
"Routinely review the list of machines that have access to your databases, keep this list to a minimum and pay special attention to machines that are accessible directly from the internet. Every connection attempt from an IP or domain that does not belong to this list should be blocked and investigated."
Postado por às Nenhum comentário:
Marcadores: , , ,

sexta-feira, 15 de dezembro de 2017

Sophisticated ‘MoneyTaker’ group stole millions from Russian & US banks

By Wagas  em 12/12/2017 no site HackRead

Sophisticated ‘MoneyTaker’ group stole millions from Russian & US banks
The IT security researchers at Moscow based cybercrime prevention firm Group-IB has identified the presence of a dangerous and sophisticated group of cybercriminals that has so far stolen more than $10 million from banking and financial sectors.
Dubbed MoneyTaker by researchers, the group has in last 18 months conducted 20 successful attacks in Russia, United Kingdom, and the United States. The group targeted card processing systems like AWS CBR (Russian Interbank System) and purportedly SWIFT (SWIFT international bank messaging service in the United States.
Sophisticated 'MoneyTaker' group stole millions from Russian & US banks
On average, MoneyTaker stole a whopping $3 million from three Russian financial institutions while a sum of $500,000 was stolen from banks in the United States. But, the group is not limiting itself to money or banking sector, in fact, MoneyTaker also targeted financial software vendors and law firms.
“Criminals stole documentation for OceanSystems’ FedLink card processing system, which is used by 200 banks in Latin America and the US,” says the report compiled by Group-IB.
Researchers confirmed that MoneyTaker targeted 20 companies with 1 in the UK, 3 in Russia and 16 in the US. All those attacks went unreported and undetected since the group used publically available tools for the operations.
“MoneyTaker uses publicly available tools, which makes the attribution and investigation process a non-trivial exercise. In addition, incidents occur in different regions worldwide, and at least one of the US Banks targeted had documents successfully exfiltrated from their networks, twice. Group-IB specialists expect new thefts in the near future and in order to reduce this risk, Group-IB would like to contribute our report identifying hacker tools, techniques as well as indicators of compromise we attribute to MoneyTaker operations,” said Dmitry Volkov, Group-IB Co-Founder and Head of Intelligence.
However, MoneyTaker first caught the attention when Group-IB’ researchers tracked the group’s activities after it stole money from a US bank in 2016 by gaining access to First Data’s “STAR” network operator portal.
“In 2016, Group-IB identified 10 attacks conducted by MoneyTaker; 6 attacks on banks in the US, 1 attack on a US service provider, 1 attack on a bank in the UK and 2 attacks on Russian banks. Only one incident involving a Russian bank was promptly identified and prevented that is known to Group-IB.”
“In 2017, the number of attacks has remained the same with 8 US banks, 1 law firm and 1 bank in Russia being targeted. The geography, however, has narrowed to only the USA and Russia.”
Sophisticated 'MoneyTaker' group stole millions from Russian & US banks
Furthermore, researchers noted links between all 20 attacks conducted by the group in 2016 and 2017 including using the same tools, similarly distributed infrastructure, one-time-use components in the attack toolkit and spying on the target after a successful attack.
To evade detection, the group uses fileless malware, and SSL certificates generated using names of popular institutions such as Microsoft, Yahoo, Bank of America, Federal Reserve Bank, and Microsoft. Moreover, MoneyTaker uses a distributed infrastructure and delivers payloads to the victim with IP addresses in MoneyTaker’s whitelist.
MoneyTaker takes advantage of borrowed and self-written tools such as it developed an application equipped with keylogging and screenshot capabilities. The app can take screenshots and capture keystrokes from a targeted device and steal content.
To take full control of the operation, MoneyTaker uses a Pentest framework Server. On it, the hackers install a legitimate tool for penetration testing – Metasploit. The group uses Metasploit to conduct following activities:
1 Network reconnaissance
2. search for vulnerable applications
3. exploit vulnerabilities
4. escalate systems privileges
5. collect information
Another astonishing discovery by Group-IB researchers regarding MoneyTaker is that it uses privilege escalation tools based on codes presented at the Russian cybersecurity conference ZeroNights 2016. In some attacks, the group used Citadel and Kronos banking Trojans. In this case, Kronos was used to deliver Point-of-Sale (POS) malware dubbed ScanPOS.
Remember, in August this year, FBI arrested WannaCry hero Marcus Hutchins for “creating and distributing Kronos banking trojan.” Kronos stole banking credentials from around the world but primarily targeted the United Kingdom and North Ameri
Postado por às Nenhum comentário:
Marcadores: , , , , ,

terça-feira, 12 de dezembro de 2017

Notice of Ransomware Attack Released by National Capital Poison Center

Por David Bisson em 12/12/2017 no site The State of Security

Resultado de imagem para The National Capital Poison Center


The National Capital Poison Center (NCPC) in Washington, DC has published notice of a ransomware attack it suffered back in 2017.
According to the news release (PDF), the critical health resource detected a ransomware infection on its systems in October 2017. It then launched an investigation into the matter with the assistance of a third-party forensic expert. Here’s what the NCPC has learned so far:
While this investigation is ongoing, on November 27, 2017, NCPC determined that unauthorized access to a database server occurred on October 21, 2017, and that unauthorized access to the data stored on that server cannot be ruled out. The possibly affected database contains information provided during calls made to or from the center between January 1997 and October 21, 2017.
The NCPC goes on to clarify that the affected database did not contain Social Security Numbers, passport data, or any type of financial information. Instead it consisted of personal information collected during call center calls like a person’s name, date of birth, address, phone number, email address, and medical recommendations discussed over the phone.

At this time, it’s unclear what ransomware struck the NCPC, whether it paid the ransom or restored from backups, and how many people the attack might have affected.
Dr. Toby Litovitz, Executive and Medical Director of NCPC, urges those concerned by the possible exposure of their personal information to reach out to the Center:
NCPC takes the security of information stored on our systems very seriously, and we understand this incident may cause concern or inconvenience. We continue to work with third-party forensic investigators to ensure the security of our systems, and encourage people to contact us at 877-218-3009 (U.S. and Canada callers) or 814-201-3664 (international callers) with any questions or concerns.
The NCPC currently lacks complete contact information for at least some of the records in the affected database. As a result, it’s posting the ransomware notice on its homepage (poison.org) along with the websites of state media outlets and publications. It’s also urging those who might be affected to place a fraud alert or credit freeze on their credit reports with TransUnion, Experian, Equifax, and Innovis.
In the meantime, organizations can protect themselves against ransomware attacks by implementing foundational security measures that, among other things, protect data via encryption, limit what individuals can access sensitive information, and ensure an organization can recover from a data corruption incident using data backups. Learn more about these controls and how they pair with Tripwire’s solutions here.
News of this attack follows less than three months after Arkansas Oral & Facial Surgery Center notified128,000 patients of a ransomware attack that might have exposed their information.
Postado por às Nenhum comentário:
Marcadores: , , ,
Assinar: Postagens (Atom)