Últimas notícias

Fique informado

Detectados pacotes maliciosos em PyPI contendo técnicas de phishing

29 de março de 2023

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Check Point Software analisa o Azov, aquele que parece um simples ransomware mas não é

A Check Point Research analisou 17 mil amostras relacionadas ao Azov, os especialistas identificaram duas versões de “Azov ransomware” 

15 de dezembro de 2022

Check Point Software anuncia solução nativa da nuvem para segurança de ambiente AWS

A solução CloudGuard Network Security as a Service (NSaaS) aprimora a proteção da AWS e reduz a sobrecarga operacional; além de bloquear preventivamente o Log4j e ameaças similares

1 de dezembro de 2022

Check Point Software lança hub acelerador para startups de segurança cibernética

Além de orientar os participantes nos estágios de crescimento, o CyberUp, dará aos clientes da Check Point Software acesso à inovação

24 de novembro de 2022

Segundo pesquisa Check Point, Brasil tem aumento de 37% em ataques cibernéticos no terceiro trimestre de 2022

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, divulga dados atualizados sobre as tendências de ataques cibernéticos referentes ao terceiro trimestre de 2022

10 de novembro de 2022

Check Point alerta para a existência de uma vulnerabilidade crítica no OpenSSL

O OpenSSL, por sua vez, definiu a vulnerabilidade crítica da seguinte forma: “Severidade crítica. Afeta as configurações mais comuns e também é provável que elas possam ser exploradas.

3 de novembro de 2022

Check Point Software analisa os ciberataques de grupo russo à Eslováquia e aos Estados Unidos

A Check Point Research (CPR)descobriu que cibercriminosos pertencentes ao grupo russo Anonymous, que na semana passada se tornou parte do Killnet, estão atacando (aparentemente em formato DDoS) os sites dos principais bancos, aeroportos, serviços de táxi e provedores de hospedagem na Eslováquia.

11 de outubro de 2022

Uber sofre uma falha de segurança em seus sistemas e Check Point Software destaca orientações de prevenção

A Check Point Software, uma fornecedora de soluções de cibersegurança global, comenta sobre uma violação de segurança nos sistemas do Uber.

16 de setembro de 2022

Check Point Software analisa o impacto dos ciberataques a instituições governamentais do Japão

A interrupção da vida cotidiana dos cidadãos com ciberataques ao governo e sites organizacionais são um meio infalível de incomodar o governo.

8 de setembro de 2022

Check Point Software ressalta as cinco dicas para navegar na Internet com segurança

A Check Point Software aproveita o Dia do Internauta para reforçar a proteção dos usuários, listando cinco dicas para navegar na Internet com segurança

23 de agosto de 2022

Os pacotes maliciosos detectados pelos especialistas demonstram como o phishing é outra ferramenta em uso pelos criminosos para esconder a sua intenção

Os usuários que instalaram os pacotes de contas foram expostos a um atacante e provavelmente a um PII stealer; tais pacotes já foram removidos pela equipe da PyPI.

Os pesquisadores da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, detectaram uma conta de phishing maliciosa no PyPI (Python Package Index), repositório de software oficial de terceiros para Python.

Os pacotes maliciosos detectados pelos especialistas demonstram como o phishing é outra ferramenta em uso pelos criminosos para esconder a sua intenção.

Embora fingindo ser auxiliares relacionados ao async-io, esses pacotes acabaram sendo agentes maliciosos; baixando e executando de maneira oculta código ofuscado como parte de seu processo de instalação.

Os especialistas da Check Point Software divulgaram a conta à PyPI e, pouco depois, os pacotes mencionados foram removidos pela equipe da PyPI.

O PyPI (Python Package Index) é o repositório oficial de pacotes de software para a linguagem de programação Python onde os programadores podem encontrar, instalar e compartilhar pacotes Python de código aberto com outros.

O PyPI é operado pela Python Software Foundation (PSF), e é acessível por meio do programa de instalação de pacotes com ferramenta PIP, que está incluída na maioria das instalações Python.

Os usuários podem procurar pacotes pelo nome ou por uma senha, e podem baixar e instalar pacotes com um único comando.

O PyPI acolhe milhares de pacotes Python de código aberto, desde bibliotecas para computação científica e análise de dados, a estruturas para desenvolvimento web e machine learning (ML). Qualquer pessoa pode fazer upload de um pacote para o PyPI, desde que atenda a certos requisitos e diretrizes definidas pelo PSF.

Muitas estruturas e ferramentas Python populares, tais como Django, Flask e Pandas, estão disponíveis no PyPI com uma vasta gama de outros pacotes para vários fins, tornando-o um recurso crítico para os desenvolvedores no ecossistema Python.

É importante notar que os atacantes não estão de braços cruzados, pois vemos continuamente novas técnicas e estratégias com as quais eles tentam esconder a sua intenção maliciosa (de utilizar a esteganografia, em direção aos cryptojackers que se apropriam do sistema instalador para extrair a criptomoeda para seu lucro), uma vez que o pacote malicioso em PyPI usa técnicas de phishing.

Os ataques em detalhe

O primeiro pacote avaliado e que chamou a atenção dos pesquisadores da Check Point Software foi o aiotoolsbox; embora parecendo benigno à primeira vista, acabou por ser uma réplica exata do pacote legítimo do aiotools.

Enquanto a tipografia (utilizando nomes de pacotes que se assemelham aos benignos populares para enganar os usuários na instalação dos maliciosos) é um ataque bastante comum ao mundo da cadeia de suprimentos, a cópia de identidade do pacote benigno é uma prática menos comum (para a maioria dos casos imitar o nome do pacote é apenas o suficiente), e é de um modo geral aquilo a que assistimos no mundo do phishing.

Tal esforço pode indicar uma campanha mais sofisticada, tendo em conta que os responsáveis pela instalação podem ter uma segunda visão dos pacotes que estão prestes a instalar (curiosamente, uma campanha maliciosa semelhante foi previamente identificada pelos modelos de machine learning desses especialistas).

pacotes maliciosos
O pacote benigno aiotools
pacotes maliciosos
Caixa maliciosa de aiotools

Análise dos metadados dos pacotes: ambos compartilham o mesmo autor enquanto têm um administrador diferente. Baseando-se no fato de que, de acordo com o protocolo de publicação de pacotes PyPI, os campos de autor são texto livre enquanto o administrador é um usuário autenticado, o atacante poderia facilmente imitar o campo de autor, enquanto para os campos do administrador eles precisam confiar em outra coisa.

De acordo com os detalhes do administrador da aiotoolsbox, eles são contribuintes do PyPI desde 2019. Dado o fato de que os únicos dois pacotes que eles têm foram publicados recentemente, é justo supor que essa conta foi violada recentemente.

Quanto ao código de configuração da aiotoolsbox, este inclui um estranho fragmento que, como parte do processo de instalação, baixa um zip da web, extrai, executa e, por fim, apaga o seu conteúdo.

O primeiro ponto interessante aqui é o fato de o zip ser baixado de um servidor que é suposto ser “files[.]pythonhosted[.]org” . Isto acaba por ser a segunda camada de phishing do ataque, enquanto o servidor tenta se esconder como o site oficial de alojamento de pacotes PyPI.

Outro ponto interessante é que o nome do arquivo baixado corresponde à versão Python em uso, também conhecido por Python 3.9, que receberá um zip chamado 39[.]zip.

Isto parece ser outro nível de phishing, fazendo o usuário comum assumir que se trata de algo legítimo que está vendo, provavelmente algum tipo de fluxo interno PIP.

Ao observar o zip baixado, ele incluía um código ofuscado do pyArmor que dificulta a compreensão de sua intenção maliciosa.

No entanto, olhando para os nomes dos arquivos baixados, é justo assumir que o pacote é para roubo de identidade pessoal (um Personally Identifiable Information – PII stealer), com a intenção de coletar e roubar os segredos do instalador.

Dado o fato de este zip ter sido baixado de forma oculta durante o processo de instalação, pode-se concluir que este não é um caso benigno.

No que se refere à estrutura do pacote aiotoolsbox, além do referido setup[.]py, o resto dos arquivos parece ter sido retirado do pacote benigno aiotools, fazendo com que o usuário comum obtenha as funcionalidades de base que procurava, sem saber que acabou de instalar um pacote malicioso.

Ao pesquisar as versões anteriores do aiotoolsbox, foi possível notar que ele foi carregado algumas vezes com versões diferentes (primeiro 1.4.7 e só depois 1.4.5 e 1.4.6).

Na verificação da diferença entre essas versões, vê-se que tinham a mesma estrutura e a única diferença estava no arquivo setup[.]py, mais especificamente no IP do servidor que utilizam.

Ao ver os detalhes do IP, a versão inicial era um IP russo, enquanto a última era da Alemanha. Provavelmente outro nível de ocultação, assumindo que um IP russo será mais alarmante que um alemão.

Finalmente, ao examinar a conta de outro pacote – async-proxy -, no seu setup[.]py menciona aiotoolsbox como o seu único requisito, fazendo com que qualquer pessoa que o instale coloque também a maliciosa aiotoolsbox.

Detecção dos pacotes maliciosos

Os especialistas da Check Point Software realizaram a detecção da conta de phishing maliciosa no PyPI (Python Package Index) por meio da CloudGuard Spectral*, plataforma de segurança da empresa centrada no desenvolvimento de códigos, usando também seus modelos de machine learning.

Com os ataques à cadeia de suprimentos cada vez mais frequentes, é essencial ter uma proteção verificando todos os elementos de software que se utiliza, especialmente aqueles que não são desenvolvidos pelo próprio usuário.

A Check Point Software visa construir um processo de desenvolvimento seguro, equipando os desenvolvedores com as ferramentas certas para isso. Para combater pacotes maliciosos que levam a riscos na cadeia de suprimentos, seus pesquisadores estão monitorando atentamente o PyPI e o NPM em busca de entidades maliciosas.

As ferramentas automatizadas da plataforma CloudGuard Spectral se integram às ferramentas dos desenvolvedores para detectar vulnerabilidades de código e identificar segredos e configurações incorretas no código antes da implantação, evitando o uso não autorizado para fins nocivos.

Com esta plataforma, as organizações podem impedir a exposição de chaves de API, tokens e credenciais, além de corrigir configurações incorretas de segurança.

Para mais detalhes técnicos, acesse o blog da Check Point Software.

A plataforma CloudGuard Spectral é resultado da aquisição que a Check Point Software realizou em fevereiro de 2022 da Spectral.

Com esta aquisição, a Check Point Software estendeu sua solução em nuvem Check Point CloudGuard com uma plataforma de segurança voltada para o desenvolvedor, e fornece uma ampla gama de uso de segurança de aplicativos em nuvem, incluindo varredura de infraestrutura como código (IaC – Infrastructure as Code) e detecção de segredos codificados.

Sobre a Check Point Research

A Check Point Research fornece inteligência líder em ciberameaças para os clientes da Check Point Software e para a maior comunidade de inteligência em ameaças.

A equipe de pesquisas coleta e analisa dados globais de ciberataques armazenados no ThreatCloud para manter os hackers afastados, garantindo que todos os produtos da Check Point sejam atualizados com as mais recentes proteções.

A equipe de pesquisas consiste em mais de 100 analistas e pesquisadores que colaboram com outros fornecedores de segurança, policiais e vários CERTs.

Sobre a Check Point Software Technologies Ltd.

A Check Point Software Technologies Ltd. é um fornecedor líder em soluções de cibersegurança para empresas privadas e governos em todo o mundo.

O portfólio de soluções do Check Point Infinity protege organizações privadas e públicas contra os ataques cibernéticos de 5ª geração com uma taxa de detecção de malware, ransomware e outras ameaças que é líder de mercado.

O Infinity compreende quatro pilares principais, oferecendo segurança total e prevenção contra ameaças de 5ª geração em ambientes corporativos: Check Point Harmony, para usuários remotos; Check Point CloudGuard, para proteger nuvens automaticamente; Check Point Quantum, para proteger perímetros de rede e data centers, todos controlados pelo gerenciamento de segurança unificado mais abrangente e intuitivo do setor; e Check Point Horizon, uma suíte de operações de segurança que prioriza a prevenção. A Check Point Software protege mais de 100.000 organizações de todos os portes.

Check Point Software lança serviços globais de resiliência cibernética de ponta a ponta

Check Point Software comenta sobre os ataques DDoS do Killnet contra a OTAN nesta semana

Check Point Software une forças com a Samsung para elevar a segurança móvel

Check Point Software abre novo centro educacional para ampliar a conscientização sobre segurança cibernética

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.

Aqui no Crypto ID você encontra reunidos os melhores estudos e pesquisas sobre o universo da Segurança da Informação aplicada a diversas verticais de negócios. Acesse nossa coluna e conheça!

O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!

Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!