This post is also available in: Português
Uma campanha de furto de informações chamada de Astaroth tem mirado o Brasil com uma variedade de iscas sofisticadas e complexas, incluindo temas relacionados a COVID-19.
A Cisco Talos, multinacional que atua na área de segurança, detectou o novo programa malicioso com foco exclusivo em nosso país. O Astaroth usa uma variedade de phishings, incluindo informações falsas sobre a pandemia do novo Coronavírus, para invadir sistemas e implementar técnicas de ofuscação e antianálise – que inibem tanto a detecção quanto análise de malwares da mesma espécie.
O Astaroth usa uma técnica de phishing já conhecida, porém sofisticada. O usuário recebe uma mensagem de e-mail com um assunto que considera relevante, e dentro há um link que o direciona para um servidor criado pelo agente malicioso.
A partir do acesso a esse link, o pacote Astaroth é baixado na máquina do usuário. Praticamente todos os e-mails de phishing utilizados estavam em português, com termos mais frequentemente usados por aqui, demonstrando a preferência por alvos brasileiros.
A evolução do mal
Essa ameaça é outro exemplo do nível de sofisticação que esse tipo de cibercrime está alcançando. É um tipo de antianálise/evasão que merece muita atenção, pois é alta a probabilidade que se espalhe para nações vizinhas, mirando empresas que fazem negócios em toda a América do Sul.
Outro problema gigante com a segurança digital no Brasil envolve a maior marca de cosméticos do país: a Natura. Por acidente, a empresa deixou centenas de gigabytes de informações pessoais e relacionadas a pagamentos de seus clientes acessíveis pela internet.
O pesquisador da SafetyDetective, Anurag Sen, descobriu no mês passado dois servidores hospedados na Amazon sem proteção – com 272 GB e 1,3 TB de tamanho – pertencentes à Natura, que consistiam em mais de 192 milhões de registros.
De acordo com o relatório, os dados expostos incluem informações de identificação pessoal de 250.000 clientes da Natura, bem como os cookies de login de suas contas, além de arquivos contendo registros dos servidores e usuários.
As informações vazadas também trazem detalhes da conta de pagamento Moip com tokens de acesso para quase 40.000 usuários do wirecard.com.br que os integraram às suas contas Natura. “Cerca de 90% dos usuários eram brasileiros, embora outras nacionalidades também estivessem presentes, incluindo clientes do Peru”, disse Anurag.
Nesse contexto, foram vazadas informações dos clientes como nome completo, nome da mãe, data de nascimento, nome de usuário e senhas. A lista inclui ainda compras recentes, número de telefone, e-mail e endereços físicos.
Exposição gigantesca
Além disso, os servidores desprotegidos também possuíam um arquivo de certificado que contém a chave do servidor Amazon EC2 onde o site da Natura está hospedado. Se explorada, a chave poderia permitir que invasores injetassem diretamente um skimmer digital no site para roubar os detalhes do cartão de pagamento dos usuários em tempo real.
“Os detalhes expostos sobre o back-end, bem como as chaves dos servidores, podem ser aproveitados para realizar novos ataques e permitir uma penetração mais profunda nos sistemas existentes”, alertou o pesquisador, mostrando que os perigos relacionados à segurança da informação vivem perto dos usuários brasileiros – mais perto do que muitos podem imaginar.
Em nota oficial, a Natura disse que os dados estavam em um servidor de testes que foi “eliminado imediatamente após ser identificado, sem qualquer risco de exposição de dados”.
A empresa afirmou que comunica imediatamente seus clientes e consultoras quando há riscos à segurança.
This post is also available in: Português
