Uma vasta coleção de 361 milhões de endereços de email derivados de credenciais roubadas por malware de roubo de senhas, em ataques de credential stuffing e de violações de dados foi adicionada ao serviço de notificação de violação de dados Have I Been Pwned, permitindo que qualquer pessoa verifique se suas contas foram comprometidas.
Pesquisadores de cibersegurança coletaram essas credenciais de numerosos canais de cibercrime no Telegram, onde os dados roubados são comumente vazados para os usuários do canal para construir reputação e assinantes.
Os dados roubados geralmente são vazados como combinações de usuário e senha (geralmente obtidos através de ataques de credential stuffing ou violações de dados), nomes de usuário e senhas junto a uma URL associada a eles (roubados via malware de roubo de senhas) e cookies brutos (roubados através de malware de roubo de senha).
Os pesquisadores compartilharam 122 GB de credenciais com Troy Hunt, o proprietário do Have I Been Pwned, coletadas de muitos canais do Telegram.
De acordo com Hunt, este conjunto de dados é enorme, contendo 361 milhões de endereços de email únicos, dos quais 151 milhões nunca foram vistos anteriormente pelo serviço de notificação de violação de dados.
"Contém 1.7k arquivos com 2B linhas e 361M endereços de email únicos, dos quais 151M nunca foram vistos no HIBP antes," postou Hunt.
Junto a esses endereços estavam senhas e, em muitos casos, o site ao qual os dados pertencem.
Com um conjunto de dados tão grande, é impossível verificar se todas as credenciais vazadas são legítimas.
No entanto, Hunt disse que utilizou formulários de redefinição de senha dos sites para confirmar que muitos endereços de email vazados estão corretamente associados ao site listado nas credenciais roubadas.
Hunt não pôde confirmar a senha, pois isso exigiria fazer login na conta, o que seria ilegal.
Com um conjunto de dados tão grande, nenhum site que permita logins fica imune a essas credenciais vazadas.
Malware de roubo de informações é uma infecção que rouba senhas, cookies, histórico de navegador, carteiras de criptomoedas e outros dados de um dispositivo infectado.
Esses dados são compilados em um arquivo chamado "log" e, em seguida, transmitidos de volta aos servidores do ator de ameaça, onde são vendidos em mercados de cibercrime, compartilhados com outros atores de ameaça ou utilizados para violar outras contas da vítima.
Esse tipo de malware é comumente distribuído através de mídias sociais, softwares crackeados, produtos de VPN falsos ou simplesmente por meio de campanhas de e-mail maliciosas enviadas através de sites de suporte de empresas de jogos hackeados.
Os dados incluem o nome de usuário, senha e URL que um membro usou para fazer login em nossos fóruns, que foram salvos no gerenciador de senhas de seu navegador.
Os usuários que estão infectados com malware de roubo de informações agora terão que redefinir todas as senhas em todas as contas que foram salvas no gerenciador de senhas do navegador, e em qualquer outro site que use as mesmas credenciais.
Infelizmente, as credenciais roubadas geralmente não são compartilhadas com um carimbo de data e hora para indicar quando foram roubadas.
Portanto, os usuários afetados devem considerar que todas as suas credenciais foram comprometidas.
Embora essa seja uma tarefa árdua, pelo menos eles saberão por que suas contas e serviços exibiram comportamento estranho ao longo dos anos.
Essas pessoas constantemente relatam comportamento estranho em seus dispositivos ou redes, mas nunca são encontradas infecções por malware.
O usuário agora pode obter algum fechamento, sabendo que não estavam loucos, mas sim que a atividade maliciosa provavelmente se deve ao fato de suas credenciais terem sido previamente roubadas e atores de ameaça as abusando para sua própria diversão ou atividade maliciosa.
O malware de roubo de informações tornou-se uma praga para a cibersegurança, usado por atores de ameaça para conduzir ataques massivos, como ransomware e ataques de roubo de dados.
Alguns ataques bem conhecidos causados por credenciais sendo roubadas por malware de roubo de informações incluem ataques ao governo da Costa Rica, Microsoft, CircleCi e uma conta na Orange Spain RIPE que levou a uma má configuração intencional de BGP.
Mais recentemente, atores de ameaça roubaram dados de bancos de dados Snowflake usando o que se acredita serem credenciais comprometidas roubadas usando malware de roubo de informações.
Infelizmente, não há uma solução fácil para evitar ataques de roubo de informações, pois são de baixa complexidade, o que lhes confere uma ampla distribuição por meio de uma variedade de ataques.
A melhor defesa é praticar bons hábitos de cibersegurança, incluindo não abrir anexos de fontes não confiáveis, baixar software apenas de fontes confiáveis, ativar extensões de arquivo no Windows, usar software antivírus e manter seu software atualizado.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...