📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O AppsFlyer Web SDK foi temporariamente sequestrado esta semana com código malicioso usado para roubar criptomoedas em um ataque à cadeia de suprimentos.
A carga útil pode interceptar endereços de carteiras de criptomoedas inseridos em sites e substituí-los por endereços controlados pelo invasor para desviar fundos para o autor da ameaça.
Como o SDK da AppsFlyer é usado por milhares de aplicativos para análise de marketing (engajamento e retenção de usuários), o impacto se estende a um número significativo de usuários finais.
De acordo com a AppsFlyer, sua plataforma SDK é usada por 15 mil empresas em todo o mundo para mais de 100 mil aplicativos móveis e web. É um dos principais SDKs de “parceiros de medição móvel” (MMP) usados para rastrear atribuição de campanhas de marketing e eventos no aplicativo.
A suspeita de comprometimento foi descoberta por pesquisadores da Profero, que “confirmaram a presença de JavaScript ofuscado e controlado por invasores sendo entregue a usuários que visitam sites e aplicativos que carregam o SDK da AppsFlyer”.
A AppsFlyer não confirmou nenhum incidente além de um problema de disponibilidade de domínio publicado em sua página de status em 10 de março de 2026.
Em 9 de março, Profero descobriu uma carga maliciosa servida pelo SDK a partir de seu domínio oficial, em ‘websdk.appsflyer.com’, que também foi relatado por vários usuários.
“Embora todo o escopo, duração e causa raiz do incidente permaneçam não verificados, a atividade destaca como os atores da ameaça podem abusar da confiança em SDKs de terceiros amplamente implantados para impactar sites, aplicativos e usuários finais downstream”, explica Profero.
O JavaScript injetado foi projetado para preservar a funcionalidade normal do SDK, mas, em segundo plano, ele carrega e decodifica strings ofuscadas em tempo de execução e conecta-se às solicitações de rede do navegador.
O malware monitora as páginas em busca de atividades de entrada de carteiras de criptomoedas. Ao detectar um endereço de carteira, ele o substitui pela carteira do invasor enquanto exfiltra o endereço original da carteira e os metadados associados.
Os endereços direcionados incluem Bitcoin, Ethereum, Solana, Ripple e TRON, cobrindo uma grande variedade de transações de criptomoedas convencionais.
Os pesquisadores sugerem que a janela de exposição provavelmente ocorrerá entre 9 de março, 22h45 UTC, e 11 de março. Não está claro se o comprometimento afetou os usuários do SDK além desse ponto.
BleepingComputer entrou em contato com a AppsFlyer com perguntas sobre as descobertas da Profero, e um porta-voz confirmou por meio de uma declaração que código não autorizado foi entregue por meio do SDK da AppsFlyer:
“A AppsFlyer detectou e continha um incidente de registro de domínio em 10 de março que expôs temporariamente o AppsFlyer Web SDK em execução em um segmento de sites de clientes a códigos não autorizados.
“O SDK móvel não foi afetado e nossa investigação até o momento não identificou evidências de que dados de clientes nos sistemas da AppsFlyer tenham sido acessados. Levamos esse incidente muito a sério e temos nos comunicado ativamente com os clientes", disse a AppsFlyer ao BleepingComputer.
O fornecedor disse que o problema foi resolvido e que os clientes da AppsFlyer receberam comunicação direta e atualizações sobre o incidente."
"O SDK móvel permaneceu seguro para uso durante todo o processo, e o SDK web é seguro para uso." - Porta-voz da AppsFlyer
A empresa disse que a investigação está em andamento e está trabalhando com especialistas forenses externos. Mais informações serão compartilhadas após a conclusão da investigação.
Dada a incerteza sobre o que exatamente aconteceu e o escopo do incidente, as organizações que implantam o SDK devem revisar os logs de telemetria para solicitações de API suspeitas de websdk.appsflyer.com, fazer downgrade para versões conhecidas do SDK e investigar possíveis comprometimentos.
A AppsFlyer foi novamente implicada em um incidente de segurança cibernética no início deste ano, quando o notório grupo de ameaças ShinyHunters alegou que aproveitou o SDK para violar a cadeia de suprimentos do Match Group, roubando mais de 10 milhões de registros de usuários do Hinge, Match.com e OkCupid.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
A carga útil pode interceptar endereços de carteiras de criptomoedas inseridos em sites e substituí-los por endereços controlados pelo invasor para desviar fundos para o autor da ameaça.
Como o SDK da AppsFlyer é usado por milhares de aplicativos para análise de marketing (engajamento e retenção de usuários), o impacto se estende a um número significativo de usuários finais.
De acordo com a AppsFlyer, sua plataforma SDK é usada por 15 mil empresas em todo o mundo para mais de 100 mil aplicativos móveis e web. É um dos principais SDKs de “parceiros de medição móvel” (MMP) usados para rastrear atribuição de campanhas de marketing e eventos no aplicativo.
A suspeita de comprometimento foi descoberta por pesquisadores da Profero, que “confirmaram a presença de JavaScript ofuscado e controlado por invasores sendo entregue a usuários que visitam sites e aplicativos que carregam o SDK da AppsFlyer”.
A AppsFlyer não confirmou nenhum incidente além de um problema de disponibilidade de domínio publicado em sua página de status em 10 de março de 2026.
Em 9 de março, Profero descobriu uma carga maliciosa servida pelo SDK a partir de seu domínio oficial, em ‘websdk.appsflyer.com’, que também foi relatado por vários usuários.
“Embora todo o escopo, duração e causa raiz do incidente permaneçam não verificados, a atividade destaca como os atores da ameaça podem abusar da confiança em SDKs de terceiros amplamente implantados para impactar sites, aplicativos e usuários finais downstream”, explica Profero.
O JavaScript injetado foi projetado para preservar a funcionalidade normal do SDK, mas, em segundo plano, ele carrega e decodifica strings ofuscadas em tempo de execução e conecta-se às solicitações de rede do navegador.
O malware monitora as páginas em busca de atividades de entrada de carteiras de criptomoedas. Ao detectar um endereço de carteira, ele o substitui pela carteira do invasor enquanto exfiltra o endereço original da carteira e os metadados associados.
Os endereços direcionados incluem Bitcoin, Ethereum, Solana, Ripple e TRON, cobrindo uma grande variedade de transações de criptomoedas convencionais.
Os pesquisadores sugerem que a janela de exposição provavelmente ocorrerá entre 9 de março, 22h45 UTC, e 11 de março. Não está claro se o comprometimento afetou os usuários do SDK além desse ponto.
BleepingComputer entrou em contato com a AppsFlyer com perguntas sobre as descobertas da Profero, e um porta-voz confirmou por meio de uma declaração que código não autorizado foi entregue por meio do SDK da AppsFlyer:
“A AppsFlyer detectou e continha um incidente de registro de domínio em 10 de março que expôs temporariamente o AppsFlyer Web SDK em execução em um segmento de sites de clientes a códigos não autorizados.
“O SDK móvel não foi afetado e nossa investigação até o momento não identificou evidências de que dados de clientes nos sistemas da AppsFlyer tenham sido acessados. Levamos esse incidente muito a sério e temos nos comunicado ativamente com os clientes", disse a AppsFlyer ao BleepingComputer.
O fornecedor disse que o problema foi resolvido e que os clientes da AppsFlyer receberam comunicação direta e atualizações sobre o incidente."
"O SDK móvel permaneceu seguro para uso durante todo o processo, e o SDK web é seguro para uso." - Porta-voz da AppsFlyer
A empresa disse que a investigação está em andamento e está trabalhando com especialistas forenses externos. Mais informações serão compartilhadas após a conclusão da investigação.
Dada a incerteza sobre o que exatamente aconteceu e o escopo do incidente, as organizações que implantam o SDK devem revisar os logs de telemetria para solicitações de API suspeitas de websdk.appsflyer.com, fazer downgrade para versões conhecidas do SDK e investigar possíveis comprometimentos.
A AppsFlyer foi novamente implicada em um incidente de segurança cibernética no início deste ano, quando o notório grupo de ameaças ShinyHunters alegou que aproveitou o SDK para violar a cadeia de suprimentos do Match Group, roubando mais de 10 milhões de registros de usuários do Hinge, Match.com e OkCupid.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #appsflyer #web #sdk #sequestrado #para #espalhar #código #javascript #para #roubo #de #criptografia
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário