Dentre as not\u00edcias desta semana, destacamos: a Microsoft iniciou a\u00e7\u00f5es legais contra NoIP, empresa de hospedagem que supostamente ganhava dinheiro ao deixar cibercriminosos usarem seu servi\u00e7o para organizar campanhas maliciosas; a campanha de amea\u00e7a avan\u00e7ada \u00a0(APT) Miniduke ressurgiu depois de mais de um ano de aus\u00eancia.<\/p>\n
NoIP<\/strong><\/p>\n NoIP \u00e9 um provedor din\u00e2mico de nomes de dom\u00ednio (DNS). Eles fornecem um servi\u00e7o que permite aos usu\u00e1rios comprar nomes de dom\u00ednio para sites como qualquer outro provedor de DNS. A diferen\u00e7a, em termos simples, \u00e9 que os sistemas de DNS cl\u00e1ssicos \u00e9 que os din\u00e2micos permitem que os administradores atualizem facilmente seus nomes de dom\u00ednio e endere\u00e7os IP. Este recurso pode ser uma ferramenta valiosa para os cibercriminosos que buscam evitar a detec\u00e7\u00e3o de antiv\u00edrus que bloqueariam os endere\u00e7os IP dos sites de hospedagem de malware ou atuando como um servidor de\u00a0controle de uma botnet. Infelizmente, neste cen\u00e1rio, muitas empresas que n\u00e3o s\u00e3o maliciosas usam o DNS din\u00e2mico e os servi\u00e7os do NoIP.<\/p>\n Segundo a Microsoft, \u00a0o \u201cNoIP operava como o dono de uma infraestrutura utilizada por cibercriminosos para infectar as v\u00edtimas inocentes com a fam\u00edlia de malware \u00a0Bladabindi (NJrat) e Jenxcus (NJw0rm)\u201d<\/p>\n Uma das formas para que a Microsoft interrompa as opera\u00e7\u00f5es do malware \u00e9 por meio da aquisi\u00e7\u00e3o de uma ordem de restri\u00e7\u00e3o tempor\u00e1ria, ou seja, uma autoriza\u00e7\u00e3o legal que d\u00e1 \u00e0 empresa a capacidade de aproveitar os dom\u00ednios utilizados para as opera\u00e7\u00f5es maliciosas e redirigir o tr\u00e1fego para dom\u00ednios controlados pela Microsoft. A tarefa de \u201cSinkholing\u201d implementada pela Microsoft, \u00e9 um m\u00e9todo amplamente aceit\u00e1vel para interromper o funcionamento das redes de botnets e de outras empresas.<\/p>\n Pela explica\u00e7\u00e3o do Threatpost, os pesquisadores muitas vezes trabalham com provedores de hospedagem para redirecionar o tr\u00e1fego de dom\u00ednios maliciosos para aqueles controlados pelos pesquisadores ou pelas autoridades da lei, ajudando a cortar a linha de vida das opera\u00e7\u00f5es. O problema \u00e9 que o NoIP afirma que n\u00e3o foi contactado pela Microsoft neste caso.<\/p>\n A decis\u00e3o causou um rebuli\u00e7o na comunidade de seguran\u00e7a. Uma raz\u00e3o para a controv\u00e9rsia \u00e9 bastante t\u00edpica: o que d\u00e1 \u00e0 Microsoft \u2013 uma empresa privada com seu pr\u00f3prio conjunto de valores objetivos, e n\u00e3o uma ag\u00eancia de aplica\u00e7\u00e3o da lei \u2013 a autoridade para tomar o que equivale a uma a\u00e7\u00e3o de execu\u00e7\u00e3o contra outra empresa ou grupo de indiv\u00edduos. Em ess\u00eancia, parece que a Microsoft \u00e9 o policiamento da Internet com base em seus pr\u00f3prios interesses. Infelizmente, as den\u00fancias foram mais fortes desta vez, porque a Microsoft acidentalmente derrubou um n\u00famero de sites leg\u00edtimos no processo de realizar este queda particular.<\/p>\n Voc\u00ea pode ler o que disse o diretor de Pesquisa e An\u00e1lise da equipe Global da Kaspersky Lab, Costin Raiu aqui.<\/p>\n Miniduke est\u00e1 de volta\u00a0<\/strong><\/p>\n A campanha de amea\u00e7a persistente avan\u00e7ada (APT) Miniduke\u00a0est\u00e1 de volta. Os pesquisadores da Kaspersky Lab descobriram pela primeira vez a campanha de espionagem de malware em fevereiro do ano passado. Na \u00e9poca, ela estava sendo implantado para espionar principalmente os governos da Europa. Miniduke foi o \u00fanico entre os outros atores da APT no momento da sua descoberta inicial para uma s\u00e9rie de raz\u00f5es, incluindo que o malware se comunica em parte usando o Twitter e envia os arquivos execut\u00e1veis \u200b\u200bprojetados para atualizar o malware, de forma escondida em .Gif, em m\u00e1quinas infectadas.<\/p>\n Esta segunda onda \u2013 analisada em um artigo da SecureList na quinta-feira \u2013 mostra que a campanha tem aumentado tanto em alcance e complexidade na sequ\u00eancia ap\u00f3s um um ano de interrup\u00e7\u00e3o. Al\u00e9m da orienta\u00e7\u00e3o do governo, militares e organiza\u00e7\u00f5es de energia, a campanha rouba dados de traficantes de drogas on-line, sobretudo aqueles que vendem horm\u00f4nios e ester\u00f3ides. Al\u00e9m disso, uma vez que o malware implantado pela campanha rouba informa\u00e7\u00f5es dos seus alvos, ele quebra essa informa\u00e7\u00e3o em partes pequenas e dispersa as partes, dificultando assim a vida dos pesquisadores que procuram saber mais sobre a campanha.<\/p>\n O novo Miniduke, chamado Cosmicduke, conta com novas ferramentas criadas para roubar mais informa\u00e7\u00f5es de maneira\u00a0mais eficiente. Voc\u00ea pode ler a reportagem completa no Threatpost.<\/p>\n