Vídeo: Man Punches a Kangaroo in the Face to Rescue His Dog (Original HD) || ViralHog (Outubro 2024)
As campanhas "Watering hole" são mais visíveis ultimamente, com os pesquisadores identificando novos incidentes quase todos os dias. O ataque que comprometeu vários computadores no Facebook, Twitter, Apple e Microsoft no mês passado parece ter impactado mais empresas também.
O Facebook divulgou no mês passado que alguns de seus desenvolvedores foram infectados com um Trojan para Mac depois de visitar um fórum de desenvolvedores de dispositivos móveis hackeados. Na época, a empresa indicou que muitas outras empresas também haviam sido afetadas. Parece que os invasores infectaram funcionários em "uma ampla gama de empresas-alvo, em todos os setores", segundo o The Security Ledger no início desta semana. A lista de organizações afetadas incluía fabricantes de automóveis de destaque, agências governamentais dos EUA e "até uma das principais fabricantes de doces", segundo o relatório.
"A variedade de tipos de serviços e entidades visados não reflete um ataque direcionado a um único setor de tecnologia ou indústria", disse Joe Sullivan, chefe de segurança do Facebook, ao The Security Ledger .
O que é um Watering Hole?
Os invasores parecem ter invadido outros dois sites de desenvolvimento de aplicativos para dispositivos móveis - um dedicado aos desenvolvedores do Android - além do fórum de desenvolvedores do iPhone que criou os desenvolvedores do Facebook, informou o Security Ledger . Outros sites - não apenas o desenvolvedor de aplicativos móveis ou outros tipos de desenvolvimento de software - também foram usados nesta ampla campanha, de acordo com fontes familiarizadas com a investigação.
Em um ataque a água, os invasores comprometem e manipulam um site para fornecer malware aos visitantes do site. No entanto, as motivações dos invasores nesse tipo de ataque são diferentes dos sites de hackers, como forma de protesto ou intenção de roubar informações ou dinheiro. Em vez disso, esses invasores estão aproveitando sites e aplicativos não seguros para atingir a classe de usuários que provavelmente visitarão esse site específico. No caso do site do Conselho de Relações Exteriores, em dezembro, os agressores provavelmente estavam atrás de políticos e outros que lidam com política externa. Os desenvolvedores de dispositivos móveis provavelmente visitarão um fórum de desenvolvedores e a lista continua.
Hacked ou ataque de furo de água?
As operações de rega parecem ser ataques du jour , com novos relatórios de locais sendo comprometidos todos os dias. O Websense Security Labs descobriu ontem que os sites relacionados ao governo israelense ict.org.il e herzliyaconference.org foram hackeados para servir como exploração do Internet Explorer. O ataque baixou um arquivo dropper do Windows e abriu um backdoor persistente para se comunicar com o servidor de comando e controle, disse Websense. Os laboratórios estimaram que os usuários estavam sendo infectados em 23 de janeiro.
A empresa encontrou pistas indicando o mesmo grupo "Elderwood" por trás do ataque do Conselho de Relações Exteriores também por trás desta campanha.
O National Journal, uma publicação para especialistas em política em Washington, DC, foi encontrada servindo variantes do rootkit ZeroAccess e antivírus falso esta semana, descobriram os pesquisadores da Invincea. O momento do ataque é um pouco surpreendente, porque a revista encontrou malware em seu site em fevereiro e acabou de protegê-lo e limpá-lo. O ataque mais recente usou duas vulnerabilidades conhecidas do Java e direcionou os visitantes para um site que hospedava o kit de exploração Fiesta / NeoSploit.
Por que esses ataques estão acontecendo?
Os desenvolvedores são "alvos tipicamente fáceis", pois têm amplo acesso a recursos internos e geralmente têm direitos de administrador (ou de altos privilégios) em seus próprios computadores, de acordo com Rich Mogull, analista e CEO da Securosis. Os desenvolvedores passam muito tempo em vários sites de desenvolvedores e podem participar de discussões em fóruns. Muitos desses sites de fórum não possuem a melhor segurança e são vulneráveis a comprometimentos.
Independentemente de o atacante estar lançando um ataque direcionado, ou ainda contando com uma campanha generalizada para render o maior número possível de vítimas, os criminosos "perseguem o funcionário se quiser acessar a empresa", escreveu Anup Ghosh, CEO e fundador da Invincea.
Embora os invasores possam ter lançado uma ampla rede e não tenham como alvo específico um tipo de usuário, os criminosos escolheram esses sites por um motivo. Sites, publicações e fóruns de desenvolvedores do governo são sites de alto tráfego, oferecendo aos atacantes um amplo conjunto de possíveis vítimas.
Depois que os atacantes têm uma lista de vítimas, eles podem identificar as vítimas de alto valor e criar a próxima rodada de ataques, o que pode envolver mais engenharia social ou instruir o malware residente a fazer o download de malware adicional.
Do ponto de vista do usuário, isso apenas destaca a importância de manter suas ferramentas, software e sistema operacional de segurança atualizados com os patches mais recentes. Os atacantes não estão apenas usando zero dias; muitos dos ataques realmente contam com vulnerabilidades antigas e conhecidas, porque as pessoas simplesmente não atualizam regularmente. Se seu trabalho exigir que você acesse sites que usam Java, tenha um navegador dedicado para esses sites e desative o Java no navegador padrão para acessar o restante da Web.
Tenha cuidado lá fora.
