Categoria: Segurança de Informação

Dicas para proteger dados e sistemas
Análises sobre ameaças cibernéticas
Ferramentas de segurança
Boas práticas para empresas

Publicado em por

⚠️ Cuidado com mensagens falsas sobre entregas DPD

Tem recebido mensagens SMS ou emails a informar que foram feitas “2/2 tentativas de entrega” e que deve confirmar os seus dados para evitar a devolução do artigo? Se sim, fique atento: esta é uma mensagem de phishing criada para enganar utilizadores desatentos.

Exemplo da mensagem fraudulenta:
“Foram efetuadas 2/2 tentativas de entrega, confirme os seus dados ou o seu artigo será devolvido: https://dpd.pacotel[.]shop/pt

🔍 Como identificar que é phishing?

  • URL suspeito: A ligação dpd.pacotel.shop não pertence ao domínio oficial da DPD (dpd.pt).
  • Pressão psicológica: Usam linguagem urgente para obrigar à ação rápida (ex: “última tentativa”, “será devolvido”).
  • Solicitação de dados: Ao clicar no link, será redirecionado para um site falso que simula a DPD e pede dados pessoais ou de pagamento.

🛑 O que fazer se receber esta mensagem?

💡 Dicas para se proteger de fraudes digitais

  • Desconfie de mensagens com erros de português ou pressão urgente.
  • Verifique sempre o endereço do site (URL).
  • Contacte diretamente a transportadora pelos canais oficiais.
  • Ative a autenticação em dois fatores sempre que possível.

Este tipo de ataque é comum e bem elaborado, aproveitando o crescimento das compras online. A melhor arma contra o phishing é a informação e a vigilância.

Partilhe este artigo com colegas, familiares e amigos para ajudar a combater estas ameaças.

Fique atento. Fique seguro.

Publicado em por

🛑 Alerta de Phishing via SMS: Falsa mensagem dos CTT Expresso

🚨 Cuidado com mensagens falsas em nome dos CTT Expresso!

Tem circulado uma mensagem fraudulenta via SMS que tenta enganar os utilizadores, fazendo-se passar pelos CTT Expresso e apelando à urgência de um suposto desalfandegamento suspenso.

Exemplo real da mensagem:

Caro(a) cliente o desalfandegamento do envio RD546824927PT foi suspenso por falta de dados de entrega. Atualize os dados em: https://cttexpresso-portugal[.]com

❗ O que torna esta mensagem perigosa?

  • O link apresentado não pertence ao domínio oficial dos CTT (ctt.pt), mas sim a um domínio falso (cttexpresso-portugal.com).
  • É usada uma linguagem formal e um número de envio aparentemente realista para convencer o utilizador da sua legitimidade.
  • O objetivo é roubar dados pessoais e bancários ao simular uma página de pagamento ou atualização de dados.

🔒 Como se proteger deste tipo de fraudes?

  • Nunca clique em links de mensagens suspeitas sem verificar a sua origem.
  • Confirme sempre o domínio do site. O site oficial dos CTT é www.ctt.pt.
  • Se tiver dúvidas, aceda ao site oficial diretamente pelo navegador — nunca através do link da mensagem.
  • Não introduza dados pessoais ou bancários em páginas de origem duvidosa.
  • Use uma solução de segurança com proteção contra phishing no seu telemóvel e computador.

📢 Denuncie e ajude a travar estes esquemas

Se recebeu esta mensagem ou foi vítima deste tipo de fraude:

Mantenha-se vigilante e lembre-se: as entidades oficiais nunca pedem dados sensíveis via SMS com links não verificados.

Publicado por IA · Segurança Informática e Ciberconsciência

Publicado em por

⚠️ Alerta de Phishing: “Notificação de Inconsistência no Seu IRS Modelo 3” é Falsa!

Recentemente, recebemos uma tentativa de phishing altamente disfarçada como uma comunicação da Autoridade Tributária. O email foi enviado com o assunto “Notificação de Inconsistência no Seu IRS Modelo 3”, supostamente relacionado com declarações fiscais de 2024.

📩 Como Funciona o Esquema

O remetente utilizava o nome “CorrecaoFiscal” e o email exxxxxxxxxxxs@pxxxxxxxxxxxxxxxxt.blog, claramente não oficial. O corpo da mensagem apresentava-se em português formal, mencionando:

“Aos seus dados fiscais foi identificada uma divergência na sua declaração de IRS Modelo 3 – ano de 2024.”

Logo em seguida, solicitava ao destinatário que clicasse num link para “consultar e corrigir a divergência”, o qual redirecionava para um endereço suspeito hospedado em servidores da Amazon Web Services:


https://inovacaoriscouberlandiaperfurador[.]s3[.]us-east-1[.]amazonaws[.]com/8586.html

Este tipo de técnica visa roubar credenciais, dados pessoais ou até instalar malware no dispositivo da vítima.

🚨 Sinais de Alerta (Red Flags)

  • Domínio suspeito: pxxxxxxxxxxxxxxxxt.blog não é um domínio governamental.
  • Link encurtado/AWS: Um documento fiscal oficial jamais seria entregue via um link de armazenamento público da Amazon.
  • Tom urgente e alarmista: Tática comum para forçar decisões impulsivas.
  • Erro de português leve, mas presente: Indicador típico de phishing.
  • Email assinado de forma genérica: “Diretor(a) – Geral CorrecaoFiscal”, sem nomes, cargos ou contactos reais.

🔐 Como Te Proteger

  • Nunca cliques em links suspeitos: Confirma sempre a origem.
  • Verifica o domínio do remetente: Emails oficiais das Finanças terminam geralmente em .gov.pt.
  • Consulta o Portal das Finanças diretamente: Nunca acedas via links em emails.
  • Usa proteção antiphishing: Soluções de segurança como DNS sinkholes ou firewalls filtradas são essenciais.
  • Reporta o incidente: Envia uma cópia do email para o CSIRT relevante.

🛡️ Conclusão

Este tipo de fraude está cada vez mais sofisticado, imitando a comunicação de entidades credíveis como a Autoridade Tributária. Partilha este alerta com colegas, familiares e amigos, para que ninguém caia neste esquema.

Se tiveres dúvidas ou fores vítima de phishing, contacta imediatamente um profissional de cibersegurança ou as autoridades competentes.

Fica atento. Protege os teus dados. E denuncia sempre.
🖥️ Publicado por Inteligência Artificial | 💼 Segurança Digital e Consciencialização

Publicado em por

RAID 0

O que é RAID 0 e como funciona?

RAID 0 é uma configuração de armazenamento que utiliza o conceito de “striping”, ou seja, os dados são divididos em blocos e distribuídos entre dois ou mais discos.

Esta abordagem tem como objetivo melhorar o desempenho, pois as operações de leitura e escrita são paralelizadas, mas não oferece qualquer redundância de dados, o que significa que não há cópia dos dados em caso de falha de um disco.

Como o RAID 0 funciona?

Em RAID 0, os dados são fragmentados em pequenos blocos e distribuídos de forma alternada pelos discos.

Por exemplo, se tiver dois discos, o primeiro disco vai armazenar o primeiro bloco de dados e o segundo disco armazena o bloco seguinte. Repetindo-se o processo ate todos os blocos serem escritos.

Isso permite que o sistema aceda aos dados de forma mais rápida, pois pode ler ou escrever em ambos os discos ao mesmo tempo.

Exemplo prático de RAID 0:

Imagine que tem dois discos de 1 TB configurados em RAID 0.

Se decidir gravar 100 GB de dados, os dados serão divididos em blocos e distribuídos igualmente entre os dois discos. O primeiro disco armazena metade dos dados e o segundo disco armazena a outra metade.

Com esta distribuição, os tempos de leitura e escrita são muito mais rápidos do que se estivesse a gravar os dados num único disco.

Quantos mais discos pertencerem ao RAID 0 mais rápida se torna a leitura ou escrita.

Atenção que há limites pois quantos mais discos adicionarmos maior é a probabilidade de haver um que falhe e nesse caso perdemos todos os dados.

Há também limitações técnicas do numero máximo de discos permitidos pela tecnologia usada que varia de fabricante para fabricante.

Vantagens do RAID 0:

  • Desempenho superior: Como os dados são distribuídos entre vários discos, o RAID 0 proporciona uma melhoria significativa nas velocidades de leitura e escrita, o que é ideal para aplicações que exigem grande largura de banda, como edição de vídeo e jogos de alto desempenho.
  • Capacidade total utilizável: Diferente do RAID 1, onde a capacidade é reduzida pela duplicação dos dados, no RAID 0 toda a capacidade dos discos é utilizável. Por exemplo, dois discos de 1 TB em RAID 0 fornecem 2 TB de armazenamento utilizável.

Limitações do RAID 0:

  • Sem redundância de dados: A principal desvantagem do RAID 0 é que não oferece qualquer proteção contra falhas de disco. Se um dos discos falhar, todos os dados armazenados no RAID 0 são perdidos, pois não há cópia dos dados em outro disco.
  • Maior risco de falha: Como o RAID 0 distribui os dados entre vários discos, se um disco falhar, o risco de perda de dados aumenta, já que a falha de qualquer disco compromete todo o sistema.

Exemplo de uso de RAID 0:

RAID 0 é frequentemente utilizado em situações onde o desempenho é prioritário em relação à segurança dos dados. Um exemplo comum é em sistemas de jogos ou estações de trabalho de edição de vídeo, onde a velocidade de leitura e escrita é essencial e a perda de dados não é uma preocupação imediata.

Referências:

Publicado em por

RAID 1

O que é RAID 1 e como funciona?

RAID 1 é uma configuração de armazenamento em disco que utiliza “espelho” (Mirror) de dados.

Em termos simples, os dados gravados num disco são copiados automaticamente para outro disco, criando uma cópia exata (ou espelho) do conteúdo.

Isso proporciona maior segurança, pois, se um dos discos falhar, os dados ainda estarão disponíveis no outro disco.

Como o RAID 1 funciona?

O RAID 1 exige pelo menos dois discos rígidos.

Quando os dados são gravados num disco, o sistema faz uma cópia idêntica no outro disco, garantindo que os dados estejam duplicados.

Isso significa que se um disco falhar, o sistema pode continuar a funcionar normalmente, acessando o segundo disco com os mesmos dados.

Exemplo prático de RAID 1:

Imagine que tem dois discos de 1 TB configurados em RAID 1.

Você grava 100 GB de dados no primeiro disco. O RAID 1 irá automaticamente copiar esses 100 GB para o segundo disco.

Agora, ambos os discos possuem os mesmos 100 GB de dados.

Se o primeiro disco falhar, ainda pode aceder aos 100 GB de dados diretamente no segundo disco.

Vantagens do RAID 1:

  • Segurança dos dados: A principal vantagem do RAID 1 é a redundância de dados. Ele oferece proteção contra falhas de hardware, permitindo que os dados sejam recuperados facilmente a partir do disco espelhado.
  • Leitura mais rápida: Como os dados estão duplicados em dois discos, o sistema pode ler de ambos simultaneamente, o que pode melhorar o desempenho de leitura em algumas situações.
  • Fácil recuperação: Se um disco falhar, a recuperação dos dados é simples. Normalmente, basta substituir o disco danificado e o sistema irá reconstruir os dados automaticamente a partir do disco saudável.

Limitações do RAID 1:


  • Custo de armazenamento: Como os dados são duplicados em dois discos, você só tem a metade da capacidade utilizável. Por exemplo, com dois discos de 1 TB em RAID 1, você terá 2 TB de capacidade total, mas apenas 1 TB de armazenamento utilizável.

  • Desempenho de gravação: Embora a leitura seja mais rápida, a gravação de dados pode ser ligeiramente mais lenta, pois o sistema tem que escrever os dados em ambos os discos simultaneamente.

Exemplo de uso de RAID 1:

Um exemplo comum de uso de RAID 1 é em servidores de armazenamento de dados importantes, como backups ou arquivos sensíveis.

Empresas e utilizadores que precisam garantir que os seus dados não sejam perdidos em caso de falha de hardware costumam usar esta configuração para proteger informações cruciais.

Referências:

Publicado em por

Phishing no Metro de Lisboa

Anúncio Falso Prometia Empréstimos Atraentes

Recentemente, passageiros do Metropolitano de Lisboa foram surpreendidos por um anúncio que prometia empréstimos bancários entre 5.000 e 900.000 euros para particulares e empresas. O cartaz, com aparência profissional e posicionado em locais de grande visibilidade, incluía um código QR que, ao ser lido, direcionava os utilizadores para um esquema de phishing.

Segundo informações divulgadas pelo SAPO TEK, o Metropolitano de Lisboa confirmou que os outdoors eram falsos e que a responsabilidade pela sua colocação recai sobre a empresa concessionária Publimetro, responsável pela exploração dos espaços publicitários nas estações.

As pessoas que interagissem com o anúncio começavam a receber e-mails solicitando o envio de dados pessoais.

O conteúdo das mensagens apresentava sinais de alerta, como formatação incomum, números de contacto com indicativo brasileiro e frases típicas de mensagens geradas por bots, como “Acrescente uma assinatura do email”.

Este incidente destaca a sofisticação crescente das campanhas de phishing, que utilizaram meios físicos, como publicidade em espaços públicos, para enganar as vítimas.

A utilização de plataformas consideradas confiáveis, como o metro, confere uma aparência de legitimidade às fraudes, tornando-as ainda mais perigosas.

Como se Proteger:

  • Desconfie de Ofertas Atraentes: Propostas de empréstimos com condições muito vantajosas podem ser armadilhas.
  • Verifique a Legitimidade: Antes de fornecer qualquer informação, confirme a autenticidade da oferta através dos canais oficiais da instituição financeira.
  • Cuidado com Códigos QR: Evite ler códigos QR de fontes desconhecidas ou suspeitas.
  • Atenção aos Detalhes: Erros de ortografia, formatação estranha e contactos internacionais em comunicações supostamente locais são sinais de alerta.
  • Não Partilhe Informações Pessoais: Instituições legítimas não solicitam dados sensíveis por e-mail ou mensagens não solicitadas.

Este caso serve como um lembrete da importância de manter a vigilância e adotar práticas seguras ao lidar com ofertas financeiras, especialmente quando apresentadas de forma inesperada ou em locais públicos.

Para mais informações sobre como se proteger de fraudes financeiras digitais, consulte a campanha #ficaadica do Banco de Portugal: Bank of PortugalBank

Fonte: https://tek.sapo.pt/noticias/internet/artigos/anuncio-falso-prometia-emprestimo-bancario-aliciante-publicado-no-metropolitano-revelou-se-phishing?utm_source=chatgpt.com

Publicado em por

[Alerta] : Campanha de Phishing a Utilizadores da Steam

Uma recente campanha de phishing foi identificada, visando utilizadores da plataforma de jogos Steam. Esta ameaça foi detalhada na plataforma Open Threat Exchange (OTX) da LevelBlue (anteriormente AlienVault), onde especialistas em segurança partilham informações sobre ameaças emergentes.

Objetivo da Campanha

Os cibercriminosos criaram páginas falsas que imitam o site oficial da Steam, com o intuito de enganar os utilizadores e obter as suas credenciais de acesso. Estas páginas fraudulentas são projetadas para parecerem autênticas, tornando difícil para os utilizadores comuns distinguirem entre o site legítimo e o falso.

Como Proteger-se

Para evitar cair em esquemas de phishing, recomendamos as seguintes práticas:

  • Verifique o URL: Antes de inserir informações sensíveis, assegure-se de que o endereço do site é o oficial da Steam
  • Cuidado com links suspeitos: Evite clicar em links recebidos por e-mail ou mensagens que solicitem informações pessoais ou de login.
  • Ative a autenticação de dois fatores (2FA): Adicione uma camada extra de segurança à sua conta Steam ativando o 2FA.
  • Utilize soluções de segurança confiáveis: Ferramentas de segurança podem ajudar a identificar e bloquear sites de phishing.

Como Podemos Ajudar

Na nossa loja de IT, oferecemos soluções para proteger os seus dados e dispositivos contra ameaças cibernéticas:

  • Consultoria em Segurança da Informação: Ajudamos a implementar políticas e práticas de segurança eficazes.
  • Soluções Anti-Phishing: Fornecemos ferramentas para detetar e prevenir ataques de phishing.
  • Formação de Utilizadores: Oferecemos workshops e materiais educativos para sensibilizar os utilizadores sobre ameaças cibernéticas.

Fonte: https://otx.alienvault.com/pulse/63fcbb1398645e14b5ce6cf3

Lista de url’s maliciosos

s[.]team-added-friend[.]com
shopstempowered[.]wallpapersenginelive[.]com
s[.]team-friend-added[.]com
s[.]team-sth[.]com
steamcommvvunity[.]ru
steamcomunity[.]cc
s[.]team[.]tj
s[.]team-q[.]cc
s[.]team[.]yt
s[.]team-am[.]com
s[.]team-ns[.]com
s[.]team-qpn[.]com
s[.]team-ba[.]com
s[.]team-gb[.]com
steemcommunty[.]com
help[.]steampowrewed[.]com
s[.]team-ud[.]com
steamcommynitu[.]com
s[.]team-zt[.]com
subnautica2-earlybetas[.]com
store[.]workshopmodvote[.]com
s[.]team-jg[.]com
teamcommunity-join[.]com

Publicado em por

Microsoft e Parceiros Internacionais Desmantelam Operação de Malware Lumma Stealer

Em maio de 2025, a Microsoft liderou uma operação global de cibersegurança que desmantelou a infraestrutura por trás do Lumma Stealer — um dos malwares de roubo de dados mais populares entre cibercriminosos nos últimos anos.

Esta ação coordenada teve como objetivo proteger milhões de utilizadores em todo o mundo contra o roubo de informações pessoais e empresariais, incluindo credenciais de acesso, dados bancários e carteiras de criptomoedas.

O que é o Lumma Stealer?

O Lumma Stealer, também conhecido como LummaC2, é um malware do tipo infostealer, projetado para infiltrar-se em sistemas Windows e extrair dados confidenciais. Operava sob um modelo de “malware como serviço” (MaaS), sendo amplamente comercializado em fóruns clandestinos por cibercriminosos, devido à sua facilidade de uso e eficácia em contornar medidas de segurança.

O Impacto do Malware

Entre março e maio de 2025, mais de 394.000 dispositivos Windows foram infetados com o Lumma Stealer. Os dados roubados eram utilizados em ataques subsequentes, como fraudes financeiras, acessos indevidos a sistemas empresariais, ou revendidos no mercado negro digital.

A Operação de Interrupção

Liderada pela Microsoft Digital Crimes Unit (DCU), a ação contou com apoio de:

  • Departamento de Justiça dos EUA (DoJ)
  • Europol
  • Japan Cybercrime Control Center (JC3)
  • Empresas tecnológicas como Cloudflare, ESET e Lumen

Os resultados foram impressionantes:

  • Apreensão de mais de 2.300 domínios maliciosos usados para controlar sistemas infetados.
  • Redirecionamento de 1.300 desses domínios para “sinkholes” — servidores controlados pela Microsoft que monitorizam e interrompem as comunicações do malware.
  • Encerramento de servidores de comando e controlo (C2) e mercados onde o malware era vendido e distribuído.

Por que isto é importante para os nossos clientes?

O Lumma Stealer foi especialmente eficaz contra pequenas e médias empresas que, muitas vezes, não contam com equipas especializadas em cibersegurança. Esta operação:

  • Reduz o risco de infeção ativa, mas não elimina a ameaça de futuras variantes.
  • Destaca a importância de manter sistemas atualizados e protegidos com soluções antivírus e firewalls eficazes.
  • Reforça a necessidade de educação contínua em cibersegurança e monitorização de rede constante — serviços que a nossa loja fornece.

Como proteger-se?

Na nossa loja de IT, ajudamos a proteger a sua empresa através de:

  • Monitorização de redes e endpoints com Wazuh e OPNsense
  • Implementação de firewalls com DNS Sinkhole e Proxy filtrado
  • Consultoria em segurança ofensiva e defensiva
  • Formação em boas práticas de cibersegurança

Saiba mais

Se quiser aprofundar os detalhes técnicos ou legais da operação, recomendamos as seguintes fontes oficiais da Microsoft:

Publicado em por

Raspberry Robin: Investigação Revela 200 Domínios C2 e Indicadores de Compromisso (IoCs)

Recentemente, uma investigação revelou quase 200 domínios de “Command / control” (C2) associados ao malware Raspberry Robin, também conhecido como Roshtyak ou Storm-0856.

Este malware atua como um “Initial Access Broker” (IAB), facilitando a infiltração de diversos grupos criminosos, muitos com ligações a entidades russas.

Sua capacidade de adaptação e evolução contínua o torna uma ameaça persistente e sofisticada. (APT)

Neste artigo, vamos explorar como o Raspberry Robin opera, seus métodos de propagação e infraestrutura C2, além de apresentar indicadores de compromisso (IoCs) atualizados para ajudar na deteção e mitigação desse malware.

Evolução e Métodos de Propagação

Desde sua descoberta em 2019, o Raspberry Robin tem demonstrado uma capacidade notável de adaptação:
• Dispositivos USB e Atalhos Maliciosos:
Inicialmente, o malware se espalhava por meio de drives USB infetados, utilizando arquivos de atalho (LNK files) disfarçados como pastas legítimas. Ao serem executados, esses atalhos ativavam o malware.


• Abuso de Dispositivos QNAP:
Raspberry Robin explorou dispositivos QNAP comprometidos como intermediários para baixar cargas maliciosas adicionais, sendo conhecido como o “QNAP worm”.


• Arquivos de Script do Windows (WSF):
O malware passou a utilizar arquivos de script do Windows para se propagar, muitas vezes distribuídos via plataformas como o Discord.


• Exploits de Dia Zero:
O Raspberry Robin também foi observado explorando vulnerabilidades como a CVE-2023-36802 para escalonamento de privilégios locais antes mesmo da divulgação pública.

Infraestrutura de Comando e Controle (C2)

A análise recente revelou detalhes importantes sobre a infraestrutura C2 do Raspberry Robin:
• Domínios de Curta Duração e Fast Flux:
Utilizando a técnica de fast flux, o malware altera rapidamente seus domínios C2, dificultando sua identificação e bloqueio.


• Registros em TLDs Específicos:
Muitos dos domínios associados possuem TLDs como .wf, .pm, .re, .nz, .eu, .gy, .tw e .cx, registrados por registradores como Sarek Oy, 1API GmbH e NETIM.


• Uso da Rede Tor:
Algumas variantes do Raspberry Robin utilizam a rede Tor para ofuscar suas comunicações C2, dificultando ainda mais o rastreamento.

Indicadores de Compromisso (IoCs)

Para auxiliar na identificação e mitigação de ameaças relacionadas ao Raspberry Robin, aqui estão os principais IoCs associados:

Domínios de Comando e Controle (C2)
• q2[.]rs
• m0[.]wf
• h0[.]wf
• 2i[.]pm

Endereço IP Associado
• 3.64.163.50

Hashes de Arquivos Maliciosos
• SHA-1: ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e
• SHA-1: 8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b
• SHA-1: 36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5

Conclusão e Recomendações

O Raspberry Robin continua a evoluir como uma ameaça crítica, especialmente por sua capacidade de atuar como vetor inicial para outros malwares como SocGholish, Dridex, LockBit e IcedID.

A identificação e o bloqueio dos IoCs listados são fundamentais para mitigar os riscos associados a essa ameaça.

Recomenda-se:
• Implementar soluções de EDR (Endpoint Detection and Response) para detetar atividades anómalas.
• Monitorizar comunicações com os domínios e IPs indicados.
• Atualizar assinaturas de antivírus e firewalls regularmente.
• Implementar políticas de bloqueio para dispositivos USB suspeitos.

Para uma análise mais aprofundada, consulte fontes de inteligência de ameaças como o AlienVault OTX.

A colaboração contínua entre profissionais de segurança é essencial para combater ameaças como o Raspberry Robin.

Para fortalecer a segurança e detetar atividades relacionadas ao Raspberry Robin, você pode configurar regras específicas no Wazuh.

Abaixo estão exemplos de regras para identificar conexões suspeitas, execução de arquivos maliciosos e exploração de vulnerabilidades.

Deteção de Conexões com Domínios C2 Conhecidos

Crie uma regra no Wazuh para monitorar logs de firewall ou DNS em busca de conexões com os domínios de comando e controle:

<group name="raspberry_robin_c2, malware, network">
  <rule id="100001" level="10">
    <decoded_as>json</decoded_as>
    <field name="destination.domain" type="pcre2">
      (\.wf|\.pm|\.rs|\.re|\.nz|\.eu|\.gy|\.tw|\.cx)$
    </field>
    <description>Conexão com domínio potencialmente associado ao Raspberry Robin</description>
    <mitre>
      <id>T1071</id> <!-- Application Layer Protocol -->
      <id>T1090</id> <!-- Proxy -->
    </mitre>
  </rule>
</group>

• Ação: Bloquear ou Monitorizar logs para identificar conexões suspeitas.
• Fontes: Logs de firewall, IDS/IPS ou resoluções DNS.

Deteção de Hashes Maliciosos

Para identificar a execução de arquivos maliciosos associados ao Raspberry Robin, configure a verificação de integridade para Monitorizar hashes:

<group name="raspberry_robin_hashes, malware, file_monitor">
  <rule id="100002" level="12">
    <decoded_as>json</decoded_as>
    <field name="file.hash.sha1">
      (ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e| 
       8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b| 
       36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5)
    </field>
    <description>Deteção de hash malicioso relacionado ao Raspberry Robin</description>
    <mitre>
      <id>T1059</id> <!-- Command and Scripting Interpreter -->
    </mitre>
  </rule>
</group>

• Ação: Geração de alerta de alta prioridade.
• Fontes: Logs de antivírus, EDR ou soluções de Monitorização de arquivos.

Deteção de Exploração de Vulnerabilidades (CVE-2023-36802)

Caso seu ambiente esteja vulnerável à exploração da CVE-2023-36802, você pode criar uma regra para detetar atividades suspeitas:

<group name="raspberry_robin_hashes, malware, file_monitor">
  <rule id="100002" level="12">
    <decoded_as>json</decoded_as>
    <field name="file.hash.sha1">
      (ae80fc23e8ca53dcf79e98679a57aae1c896030573a25a3df804fee390d0624e| 
       8f68bc9bfcacc9aac93049d82ef4d05d1b0240176addfb01388129a039fe473b| 
       36e424573e49cd9bc5e878dfff4656e84ffa9b369536f755260f2175f3b5fbb5)
    </field>
    <description>Deteção de hash malicioso relacionado ao Raspberry Robin</description>
    <mitre>
      <id>T1059</id> <!-- Command and Scripting Interpreter -->
    </mitre>
  </rule>
</group>

• Ação: Alertar e iniciar investigações de possível exploração. • Fontes: Logs de eventos do Windows ou logs de segurança de endpoint.

Deteção de Acesso a IPs Suspeitos

Se houver deteção de conexões com IPs associados ao Raspberry Robin, a seguinte regra pode ser usada:

<group name="raspberry_robin_ip, network, malware">
  <rule id="100004" level="10">
    <decoded_as>json</decoded_as>
    <field name="destination.ip">3.64.163.50</field>
    <description>Conexão com IP associado ao Raspberry Robin</description>
    <mitre>
      <id>T1071</id> <!-- Application Layer Protocol -->
    </mitre>
  </rule>
</group>

• Ação: Bloquear a conexão e investigar a origem. • Fontes: Logs de firewall, IDS ou SIEM.

Conclusão

A implementação destas regras no Wazuh ajuda a identificar atividades suspeitas relacionadas ao Raspberry Robin. Para uma defesa mais robusta:
• Monitorize continuamente: Utilize dashboards no Wazuh para acompanhar alertas em tempo real.
• Automatize respostas: Integre com ferramentas SOAR (Security Orchestration, Automation, and Response) para respostas rápidas.
• Atualize IoCs: Reveja regularmente os indicadores de compromisso em fontes confiáveis como o AlienVault OTX.

Essas medidas irão reforçar a postura de segurança da sua organização contra ameaças emergentes.

Mantenha-se vigilante e seguro!