-
Utilização de ferramentas de acesso remoto (RMM)
Ataques de phishing é uma das formas mais simples de conseguir um meio de transporte para dentro de um ambiente corporativo. O ataque utiliza de técnicas comportamentais e até sentimentais dos colaboradores, justificando um clique que pode dar uma boa dor de cabeça para a empresa. Esse tipo de tática executado com sucesso, é seguido…
-
LOLBIN Windows
Nos últimos dias trabalhamos em cima de um incidente relacionado a um executável assinado dentro do sistema operacional Microsoft Windows interagindo com agentes maliciosos, sim é isso mesmo que leu, um aplicativo oficial da Microsoft sendo utilizado como parte de um ataque, essa é a teoria dos LOLBIN (Living Off the Land Binaries). O ataque…
-
Atenção aos IoTs
Nos últimos dias tenho observado diversos bloqueios pelo IPS (intrusion prevention system) nos logs do firewall. A origem da comunicação apresentava variação, porém o payload era sempre o mesmo /boaform/admin/formLogin?username=adminisp&psd=adminisp.Ao investigar mais a fundo, verifiquei que se trata de um payload utilizado por algumas botnets para realizar ataques em dispositivos ONT. Um artigo da LevelBlue,…
-
Ataques obfuscados via PowerShell
Lidamos recentemente com um incidente onde uma estação realizava semanalmente a execução de um script PowerShell via tarefa agendada. Isso levantou uma dúvida interessante, porque as políticas do próprio PowerShell não bloquearia, a Microsoft desenvolveu a política de execução do PowerShell, recurso de segurança ao qual controla as condições sob as quais o PowerShell carrega…
-
Phishing no Imposto de Renda
Com a chegada da necessidade da declaração brasileira de imposto de renda temos visto o início campanhas de phishing tentando persuadir pessoas físicas a realizarem pagamentos inadequados. O e-mail leva o usuário para uma página falsa do governo brasileiro solicitando o CPF da pessoa. Ao inserir os números do CPF o site falso inicia um…
-
Sobre POCs para ataques a dispositivos Fortinet
Estamos cientes de pelo menos um agente de ameaça explorando vulnerabilidades importantes de execução remota de código (RCE) em produtos Fortinet, como FortiOS e FortiGate, que podem ser usadas para criar arquivos maliciosos ou explorar sistemas. Estamos tratando aqui especificamente das vulnerabilidades catalogadas pela Fortinet como: FG-IR-22-398 (CVE-2022-42475), FG-IR-23-097 (CVE-2023-27997) e FG-IR-24-015 (CVE-2024-21762), todas relacionadas…
-
Importância de executar o básico bem-feito
Recentemente participei de um treinamento em Segurança da Informação, ministrado por um experiente pesquisador na área de Cybersecurity, onde diversas reflexões foram levantadas e entre elas, a importância de mensurar os investimentos na área, por onde começar? O que seria mais importante, altos investimentos em ferramental ou investir em processos? Acredito que para diminuir a…
-
A Armadilha do Módulo Falso
Nas últimas semanas, deparamo-nos com uma fraude envolvendo uma entidade financeira, que ocorreu da seguinte maneira: por meio de uma ligação telefônica, o fraudador solicitava que a vítima acessasse o site abaixo: O site entrava em um modo de ‘aguarde’ e, ao examinarmos o código, identificamos o seguinte caminho: /diagnostico O site sempre apresentava um…
O Diário
de Analistas de Plantão
