6 maneiras que hackers estão explorando a crise do COVID-19

Dan Swinhoe, CSO (EUA) em 24/03/2020

Foto: Shutterstock

Email

Embora as organizações possam tomar várias medidas para garantir que os funcionários estejam bem equipados para trabalhar remotamente de maneira segura, os atores dessas ameaças, de todas as faixas, já estão tirando proveito da situação do COVID19/coronavírus. Para não perder uma oportunidade, os hackers estão intensificando as operações para espalhar malware através de e-mails, aplicativos, sites e mídias sociais com o tema Covid19. Aqui está uma análise dos possíveis vetores de ameaças e técnicas que os hackers estão usando para atacar as organizações.

E-mails de phishing

O e-mail é e continuará sendo o maior vetor de ameaças para pessoas e organizações. Os cibercriminosos há muito tempo usam eventos mundiais em campanhas de phishing para aumentar sua taxa de acertos, e o coronavírus não é uma exceção.

A Digital Shadows relata que os mercados da dark web estão anunciando kits de phishing COVID19 usando um anexo de e-mail corrompido disfarçado como um mapa de distribuição do surto do vírus por preços que variam de US$ 200 a US$ 700.

Os temas desses e-mails variam, de artigos de analistas de setores específicos da indústria e detalhes das orientações oficiais de saúde do governo a vendedores de máscaras ou outras informações sobre operações e logística durante esse período. As cargas incluídas nesses e-mails variam de ransomware e keyloggers a trojans de acesso remoto e ladrões de informação.

"Nossa equipe de pesquisa de ameaças observou inúmeras campanhas de e-mail maliciosas COVID-19, com muitas delas usando o medo para tentar convencer as vítimas em potencial a clicar. Os criminosos enviaram ondas de e-mails que variavam o disparo de uma dúzia a mais de 200.000 por vez, e o número de campanhas está aumentando. Inicialmente, assistimos a uma campanha por dia em todo o mundo, agora observamos três ou quatro por dia", diz Sherrod DeGrippo, Diretor Sênior de Pesquisa e Detecção de Ameaças da Proofpoint.

Segundo DeGrippo, cerca de 70% dos e-mails revelados pela equipe de ameaças da Proofpoint liberava malwares, com o restante sendo usado na tentativa de roubo de credenciais das vítimas através de páginas de destino falsas, como o Gmail ou o Office 365. A Proofpoint diz que o volume acumulado de e-mails/iscas relacionado ao coronavírus representa agora a maior coleção de tipos de ataque unidos por um único tema que a empresa já viu.

O NCSC e a Organização Mundial de Saúde (OMS), entre outros, fizeram avisos públicos sobre e-mails fraudulentos que fingem ser de órgãos oficiais. Vários e-mails de phishing que afirmam ser do Centro de Controle e Prevenção de Doenças (CDC) estão circulando.

A BAE Systems relata que os hackers que enviam e-mails com o tema COVID-19 incluem a Transparent Tribe (também conhecida como APT36), direcionada para o governo indiano, os grupos Sandworm/OlympicDestroyer e Gamaredon, vinculados à Rússia, e os grupos afiliados chineses Operation Lagtime e Mustang Panda APTS.

Aplicativos maliciosos

Embora a Apple tenha colocado limites em aplicativos relacionados ao COVID-19 em sua App Store e o Google tenha removido alguns da Play Store, aplicativos maliciosos ainda podem representar uma ameaça para os usuários. O DomainTools descobriu um site que pedia aos usuários que baixassem um aplicativo Android que suspostamente forneceria informações estatísticas e de rastreamento sobre o COVID-19, incluindo recursos visuais do mapa de calor. No entanto, o aplicativo é realmente carregado com um ransomware para Android, agora conhecido como COVIDLock. A nota de resgate exigia US$ 100 em bitcoin, em 48 horas, e ameaça de apagar os contatos, fotos e vídeos, bem como a memória do telefone do usuário. Um token de desbloqueio foi descoberto.

O DomainTools relatou que os domínios associados ao COVIDLock foram usados anteriormente para distribuir malware relacionado à pornografia. "A história de longo prazo dessa campanha, agora parecendo desativada, sugere que esse golpe do COVID-19 seja um novo empreendimento e experimento do hacker por trás desse malware", disse Tarik Saleh, Engenheiro de Segurança Sênior e Pesquisador de Malware da DomainTools, em um blog.

A Proofpoint também descobriu uma campanha pedindo aos usuários que doassem seu poder computacional para o SETI@Home, mas dedicados à pesquisa sobre o COVID-19, apenas para fornecer malware de roubo de informações fornecido via BitBucket.

Domínios inválidos

Novos sites estão sendo rapidamente criados para disseminar informações relacionadas à pandemia. No entanto, muitos deles também serão armadilhas para vítimas inocentes. A Recorded Future relata que centenas de domínios relacionados ao COVID-19 foram registrados todos os dias nas últimas semanas. O Checkpoint sugere que os domínios relacionados ao COVID-19 tenham 50% mais chances de serem maliciosos do que outros domínios registrados no mesmo período.

O NCSC informou que sites falsos estão se passando por Centros de Controle de Doenças (CDC) dos EUA e criando nomes de domínio semelhantes ao endereço da web do CDC para solicitar "senhas e doações de bitcoin para financiar uma vacina falsa".

Reason Security e Malwarebytes relataram um site de mapas de calor de infecção do COVID-19 que está sendo usado para espalhar malware. O site é carregado com o malware AZORult, que rouba credenciais, números de cartões de pagamento, cookies e outros dados confidenciais baseados no navegador, e os filtra para um servidor de comando e controle. Ele também procura carteiras de criptomoedas, pode pegar capturas de tela não autorizadas e coletar informações de dispositivos de máquinas infectadas.

Pontos de extremidade inseguros e usuários finais

Com um grande número de funcionários ou até empresas inteiras trabalhando remotamente por um longo período de tempo, aumentam os riscos em torno dos endpoints e das pessoas que os utilizam. Os dispositivos que a equipe usa em casa podem se tornar mais vulneráveis se os funcionários não atualizarem seus sistemas regularmente.

Trabalhar em casa por longos períodos de tempo também pode incentivar os usuários a baixar aplicativos de sombra para dispositivos ou desprezar políticas de segurança que eles normalmente seguiriam no escritório. Um menor número de viagens de negócios pode reduzir a chance de os funcionários terem problemas de segurança nas fronteiras, mas apenas reduz a ameaça de conexão com redes Wi-Fi inseguras ou a perda de dispositivos se eles realmente ficarem em casa. Aqueles que saem para trabalhar em cafés - e alguns provavelmente o farão - ainda podem ser suscetíveis a roubo ou perda de dispositivos ou ataques do tipo intermediário.

A International Association of Information Technology Asset Managers (Associação Internacional de Gerentes de Ativos de Tecnologia da Informação) recomenda que todos os ativos de TI que estão sendo levados para casa sejam desconectados e rastreados e que as empresas forneçam políticas e conselhos sobre como os ativos serão usados em casa (especialmente se as pessoas estiverem acostumadas a compartilhar dispositivos com a família). Orienta também que lembrem os usuários sobre as políticas em torno de conexão com Wi-Fi público, e que verifiquem se eles continuam a atualizar seu software, conforme necessário.

Vulnerabilidades em fornecedores e terceiros

Todo parceiro, cliente e provedor de serviços do seu ecossistema provavelmente está passando pelos mesmos problemas que a sua organização. Entre em contato com partes críticas do seu ecossistema de terceiros para garantir que eles estejam tomando medidas para proteger sua força de trabalho remota.

Direcionar organizações de saúde

Nos últimos dias, o site de Saúde Pública de Illinois foi atingido com ransomware, enquanto o Departamento de Saúde e Serviços Humanos (HHS) sofreu uma tentativa de ataque DDoS. É provável que organizações de saúde de todas as formas e tamanhos estejam mais estressadas do que o habitual, o que pode tornar a equipe mais descuidada quanto ao que clicam.

Criminosos oportunistas ou aqueles que desejam interromper as operações podem ter mais chances de atingir o setor. Os CISOs do setor de saúde ou que fornecem a esse setor devem lembrar a equipe de estar vigilante quanto a links e documentos suspeitos e garantir que suas operações sejam resistentes a ataques DDoS.

Prioridades de segurança para o trabalho remoto em grande escala

Liviu Arsene, Pesquisadora Global de Segurança Cibernética da Bitdefender, recomenda que as organizações sigam as seguintes etapas para garantir um trabalho remoto seguro e estável:

• Aumente o número de conexões VPN simultâneas para acomodar todos os funcionários remotos;
• Configure e suporte software de conferência que garanta uma conexão estável de voz e vídeo
• Verifique se todos os funcionários têm credenciais válidas que não expiram em menos de 30 dias, pois a alteração das credenciais expiradas do Active Directory pode ser difícil quando remotas.
• Envie regras e diretrizes sobre aplicativos aceitos e plataformas colaborativas para que os funcionários estejam cientes do que é sancionado e suportado e do que não é.
• Tenha procedimentos de implementação gradual para implantar atualizações, pois entregá-las todas de uma vez a funcionários conectados à VPN pode criar congestionamentos de largura de banda e afetar o tráfego de entrada e saída.
• Habilite a criptografia de disco para todos os pontos de extremidade para reduzir o risco de perda de dados em dispositivos comprometidos.

Hackers Can Now Steal Data Even From Faraday Cage Air-Gapped Computers

Por Swati Khandelwal em 08/02/2018 no site The Hackers News

A team of security researchers—which majorly focuses on finding clever ways to get into air-gapped computers by exploiting little-noticed emissions of a computer's components like light, sound and heat—have published another research showcasing that they can steal data not only from an air gap computer but also from a computer inside a Faraday cage.

Air-gapped computers are those that are isolated from the Internet and local networks and so, are believed to be the most secure devices that are difficult to infiltrate.

Whereas, Faraday cages are metallic enclosures that even blocks all electromagnetic signals, such as Wi-Fi, Bluetooth, cellular and other wireless communications, making any device kept inside the cage, even more, isolate from outside networks.

However, Cybersecurity Research Center at Israel's Ben Gurion University, directed by 38-year-old Mordechai Guri, has developed two techniques that helped them exfiltrate data from computers placed inside a Faraday cage.

Dubbed MAGNETO [pdf] and ODINI [pdf], both the techniques make use of proof-of-concept (PoC) malware installed on an air-gapped computer inside the Faraday cage to control the "magnetic fields emanating from the computer by regulating workloads on the CPU cores" and use it to transmit data stealthily.

"Everyone was talking about breaking the air gap to get in, but no one was talking about getting the information out," Guri says. "That opened the gate to all this research, to break the paradigm that there's a hermetic seal around air-gapped networks."

According to the researcher, once a computer (no matter if it is air-gapped or inside a Faraday cage) has been infected, hackers can exfiltrate stolen data without needing to wait for another traditional connection to the infected machine.

How MAGNETO & ODINI Attacks Work:

Once a motivated attacker somehow succeeded in planting malware on an air-gapped computer, the malware then collects small pieces of information, like keylogging data, encryption keys, credential tokens, and passwords.

Also Read: CIA developed Malware for Hacking Air-Gapped Networks.

The PoC malware developed by the team then electrically generates a pattern of magnetic field frequencies by regulating CPU's workload, which can be achieved by overloading the CPU with calculations that increase power consumption and generate a stronger magnetic field.

These electromagnetic (acoustic, optical and thermal) emissions from the infected computer are powerful enough to carry a small stream of stolen data to a nearby device, a receiver planted by the hacker.

The process involves translating data first into binary, i.e. 0 and 1, and the transmitting it into morse-code-like patterns in accordance with electromagnetic emission.

"The transmitting program leaves only a small footprint in the memory, making its presence easier to hide from AVs. At the OS level, the transmitting program requires no special or elevated privileges (e.g., root or admin), and hence can be initiated from an ordinary userspace process," the paper reads.

"The transmitting code mainly consists of basic CPU operations such as busy loops, which do not expose malicious behaviors, making it highly evasive from automated analysis tools."

Also Read: Stealing Data from Air-Gapped Computers Using CCTV Cameras

While both MAGNETO and ODINI attacks are designed to exfiltrate data from a secured computer using electromagnetic emissions, the only difference between the two is:

• MAGNETO is a short-distance attack where an Android app installed on the attacker's smartphone can receive stolen data with the help of phone's magnetometer— a magnetic sensor that can transmit data even if the smartphone is placed inside a Faraday bag or is set to airplane mode.
• ODINI attack enables attackers to capture electromagnetic signals from a slightly longer range using a dedicated magnetic sensor.

In case of MAGNETO, the team managed to achieve only up to 5 bits/sec over a distance of up to 12.5 cm (5 inches), while ODINI is quite more efficient with a maximum transfer rate of 40 bits/sec over a range of 100 to 150 cm (3-5 feet).

Both ODINI and MAGNETO also work if the targeted air-gapped device is inside a Faraday cage, which is designed to block electromagnetic fields, including Bluetooth, Wi-Fi, cellular, and other wireless communications.

Researchers suggest three different approaches that can be used to prevent attackers from establishing a covert magnetic channel, i.e., shielding, jamming, and zoning.

Video Demonstration of MAGNETO And ODINI Attacks

The team published proof-of-concept video demonstrations for both MAGNETO and ODINI attacks, which shows both the attacks in action.

It's not the first time Ben-Gurion researchers came up with a covert technique to target air-gapped computers. Their previous research of hacking air-gap computers include:

• aIR-Jumper attack that steals sensitive information from air-gapped computers with the help of infrared-equipped CCTV cameras that are used for night vision.
• USBee attack that can be used steal data from air-gapped computers using radio frequency transmissions from USB connectors.
• DiskFiltration attack that can steal data using sound signals emitted from the hard disk drive (HDD) of the targeted air-gapped computer;
• BitWhisper that relies on heat exchange between two computer systems to stealthily siphon passwords or security keys;
• AirHopper that turns a computer's video card into an FM transmitter to capture keystrokes;
• Fansmitter technique that uses noise emitted by a computer fan to transmit data; and
• GSMem attack that relies on cellular frequencies.

Smartphone sensors can leak the four-digit PIN code to hackers

By Uzair Amir on January 1, 2018  no site HackRead

Smartphones have remained the primary domain of experimentation for cybercriminals as they are always finding out ways to exploit and crack smartphones mainly Android devices. Apparently, researchers at Singapore based Nanyang Technology University or NTU Singapore, have identified a brand new way with which cyber-crooks can compromise a smartphone, which involves the use of device’s sensors.

Believe it or not but the very own sensors of a smartphone could provide cyber-criminals the key to cracking your device. Researchers found that 99.5% of the time the method worked and their device got unlocked. It is worth noting that the researchers tested the method thrice and monitored the data from six sensors installed on an Android smartphone. They were able to correctly guess the 4-digit PIN code for the device.

Researchers tried to identify the PIN code through exploiting sensors installed inside Android smartphones by letting three people enter a varied range of 4-digit number sequences (about 70 times) randomly and then applied machine learning to the sequences in order to predict the pin code. The team tested six sensors including the magnetometer, accelerometer, gyroscope, ambient light sensor, barometer and proximity sensor. They noted that when combined with the accelerometer, the gyroscope gave much accurate information and the team hit 10,000 4-digit combos of codes every time. The smartphone they tested had one of 50 most commonly used PIN codes.

10 records where the keys 0-8-5-2 were pressed for two different sensors. Red

dots signalize the time where the display was touched, while green dots signal the

release. (Screenshot grab: NTU)

Finally, they managed to guess the PIN code with 100% accuracy, which is a ground-breaking discovery since previously in a similar research the Newcastle University, UK, researchers could guess PIN code of a smartphone with 70% accuracy.

The team opined that the discovery highlights a critical flaw in smartphone security that is posed by the built-in sensors. Since the sensors inside the phone do not need user permissions for storing data and are always open for being accessed by apps, therefore, these can easily jeopardize phone’s security.

The researchers believe their work highlights a significant flaw in smartphone security, as using the sensors within the phones require no permissions to be given by the phone user and are openly available for all apps to access.

The project’s lead researcher Shivam Bhasin wrote: “When you hold your phone and key in the PIN, the way the phone moves when you press 1, 5, or 9, is very different. Likewise, pressing 1 with your right thumb will block more light than if you pressed 9.”

The layout of the app. In the foreground, a user can type in a PIN. In the background, user set the relevant sensors, before measuring. (Screenshot grab: NTU)

The discovery is also alarming since researchers claim that presence of malicious applications on smartphones is an issue of concern because if these apps record sensor data then the information can be used to hack into the device. Therefore, to prevent your smartphone from being hacked, it is recommended by NTU researchers that longer codes must be used instead of 4-digits. Furthermore, a backup system in the device such as a fingerprint or facial recognition is also helpful but in the end, it all depends upon smartphone makers to identify ways of locking down data stored by the sensors.

As researchers wrote in their paper [PDF]:

“Limiting the maximum operating frequency of the sensors can reduce the attack feasibility. Alternatively, disabling sensors while sensitive operations like PIN entry can also prevent such attacks. However, these are just temporary fixes, and sensors access in smartphones must be rethought, in general.”

It was quite amusing that although a different code was entered by every individual on the phone the experiment also proved that the higher data is fed to the algorithm the better would be the success rate. This means, if a malicious app is unable to accurately guess the PIN right after getting installed, it can eventually guess the correct code using machine learning, which would help in learning the PIN entry pattern.

Therefore, Dr. Bhasin urges that mobile operating systems must be modified so that access to these six sensors could be restricted and users are able to choose to give permissions to trusted apps only. Dr. Bhasin and his colleagues Mr. David Berene and Mr. Bernhard Jungk spent 10 months on the research project and published their findings in Cryptology ePrint archive on Dec 6.