jul 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos atacam rede de Alerta de radioatividade da Espanha.
    A polícia espanhola prendeu duas pessoas por suspeita de hackear a Rede de Alerta de Radioatividade (RAR) do país. A RAR, operada pela Direção Geral de Proteção Civil e Emergências da Espanha, é uma rede de sensores de radiação gama. Ela monitora partes da Espanha – que opera usinas nucleares – quanto à radiação excessiva. A polícia não detalhou o motivo do ataque. No entanto, o ataque fez com que as conexões do sensor falhassem, reduzindo a capacidade de detectar radiação em torno de algumas das usinas nucleares do país. “Embora seja ótimo ver que a polícia espanhola levou muito a sério o ataque cibernético contra a rede de alerta de radioatividade do país, também deve servir como um lembrete da necessidade de proteger dispositivos físicos dentro do setor de infraestrutura crítica, ” disse Simon Chassar, CRO da empresa de segurança cibernética industrial Claroty.
  • Ransomware se tornou um risco geopolítico para os governos.
    Durante meses, os líderes ocidentais alertaram sobre o risco de um conflito militar na Ucrânia se espalhar para o resto do mundo. Seus temores podem ainda não ter se concretizado diretamente, mas vários governos da América Latina certamente começaram a sentir o impacto. Grupos de crimes cibernéticos encorajados podem estar redefinindo alvos aceitáveis, o que tem implicações para governos em todos os lugares. No primeiro semestre de 2022, Costa Rica, Peru, México, Equador, Brasil e Argentina foram todos alvos de hackers russos como Conti, ALPHV, LockBit 2.0 e BlackByte. Todos os países condenaram publicamente a Rússia na ONU por invadir a Ucrânia, e alguns votaram pela suspensão do país do Conselho de Direitos Humanos da ONU. O invasores têm anunciado métodos de acesso de redes comprometidas de baixo custo especificamente relacionados a entidades na América Latina. Entre as organizações visadas por atores de ameaças estavam a Secretaria de Estado das Finanças do Rio de Janeiro, o município de Quito no Equador, a Controladoria Geral do Peru, a República do Peru e a Costa Rica.
  • EUA expandem parceria de segurança cibernética com a Ucrânia.
    A agência de segurança cibernética do governo dos EUA assinou um acordo com sua contraparte ucraniana para trabalhar mais de perto em segurança cibernética. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) anunciou ontem que assinou um Memorando de Cooperação (MoC) com o Serviço Estatal Ucraniano de Comunicações Especiais e Proteção de Informações da Ucrânia (SSSCIP). Alargará a relação existente entre as duas agências, disse a CISA. Sob o acordo, as duas organizações trocarão informações e melhores práticas relacionadas a incidentes cibernéticos. Eles também compartilharão informações técnicas sobre segurança de infraestrutura crítica em tempo real, disse Oleksandr Potii, vice-presidente do SSSCIP.
Rubens Zolotujin 0 Comentários
jul 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Aplicativos para Android foram encontrados na Google Play Store distribuindo Malware.
    Aproximadamente 30 aplicativos Android maliciosos com downloads cumulativos de quase 10 milhões foram encontrados na Google Play Store distribuindo Malware. Todos eles foram incorporados a vários programas, incluindo software de edição de imagem, teclados virtuais, ferramentas e utilitários de sistema, aplicativos de chamada, aplicativos de coleta de papel de parede e entre outros. Embora disfarçados de aplicativos reais, seu objetivo principal é solicitar permissões para exibir janelas sobre outros aplicativos e executar em segundo plano para veicular anúncios intrusivos e maliciosos. Para dificultar que as vítimas detectem e desinstalem os aplicativos, os trojans de ocultam seus ícones da lista de aplicativos instalados na tela inicial ou substituem os ícones por outros que provavelmente serão menos notados. Embora esses aplicativos tenham sido eliminados, não é surpresa que esse tipo de ameaça tenha se mostrado resiliente, com os cibercriminosos constantemente encontrando novas maneiras de contornar as proteções implementadas pelo Google.
  • LibreOffice lança atualização para corrigir 3 novas vulnerabilidades.
    A equipe por trás do LibreOffice lançou atualizações de segurança para corrigir três falhas de segurança no software de produtividade, uma das quais pode ser explorada para obter a execução arbitrária de código nos sistemas afetados. “Um adversário poderia, portanto, criar um certificado arbitrário com um número de série e uma string de emissor idêntica a um certificado confiável que o LibreOffice apresentaria como pertencente ao autor confiável, potencialmente levando o usuário a executar código arbitrário contido em macros indevidamente confiáveis”, disse a LibreOffice em um comunicado. As três vulnerabilidades, que foram relatadas pela OpenSource Security GmbH, foram abordadas nas versões 7.2.7, 7.3.2 e 7.3.3 do LibreOffice.
  • EUA oferecem recompensa de US$ 10 milhões por informações sobre hackers norte-coreanos.
    O Departamento de Estado dos EUA anunciou recompensas de até US$ 10 milhões por qualquer informação que possa ajudar a interromper o roubo de criptomoedas, a espionagem cibernética e outras atividades ilícitas apoiadas pelo Estado da Coreia do Norte. “Se você tiver informações sobre quaisquer indivíduos associados a grupos cibernéticos maliciosos vinculados ao governo norte-coreano (como Andariel, APT38, Bluenoroff, Guardiões da Paz, Kimsuky ou Lazarus Group) e que estejam envolvidos em atacar infraestrutura crítica dos EUA em violação o Computer Fraud and Abuse Act, você pode ser elegível para receber uma recompensa”, disse o departamento em um tweet. O valor é o dobro da recompensa que a agência divulgou em março de 2022 por detalhes sobre os mecanismos financeiros empregados por atores patrocinados pelo Estado que trabalham em nome do governo norte-coreano.
Rubens Zolotujin 0 Comentários
jul 27 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos roubam US$ 6 milhões de criptomoedas em plataforma de música.
    A plataforma de música descentralizada Audius foi hackeada no último fim de semana, com os agentes de ameaças roubando mais de 18 milhões de tokens AUDIO no valor de aproximadamente US$ 6 milhões. Audius é uma plataforma de streaming descentralizada hospedada no blockchain Ethereum, onde artistas podem ganhar tokens AUDIO compartilhando suas músicas, e os usuários podem ganhar tokens selecionando e ouvindo conteúdo. Minutos após o ataque, a plataforma respondeu congelando vários serviços até que os desenvolvedores pudessem implantar correções para evitar mais roubos de tokens. O sistema de contrato da Audius passou por duas avaliações de segurança detalhadas em agosto de 2020 e outubro de 2021. O conjunto de contratos explorados foi previamente auditado pela equipe da empresa de segurança em blockchain OpenZeppelin, mas a vulnerabilidade não foi detectada na época, disseram os desenvolvedores do projeto. Ainda de acordo com o time, as criptomoedas restantes estão seguras e as correções foram implantadas nesta segunda.
  • Malware GoMet está sendo usado em ataques contra a Ucrânia.
    O malware foi usado em um ataque direcionado a uma grande empresa de desenvolvimento de software ucraniana. Os pesquisadores acreditam que o ataque foi realizado por atores patrocinados pelo Estado russo. O GoMet é um software simples escrito na linguagem de programação Go e inclui quase todas as funções usuais que um invasor prefere em um agente controlado remotamente. O backdoor suporta agendamento de trabalho usando Cron ou agendador de tarefas baseado no sistema operacional, download de arquivo, execução de comando único e capacidade de abrir um shell ou fazer upload de um arquivo. O GoMet possui capacidade de ataque em cadeia, em que os invasores obtêm acesso a uma rede ou máquina para obter acesso a várias redes e computadores para conexões de um host infectado a outro, alcançando hosts isolados da Internet. A Ucrânia continua enfrentando uma série de ataques, o backdoor do GoMet está entre os mais recentes.
  • Joe Biden define prioridades cibernéticas para agências federais em 2024.
    O governo Biden divulgou no final da semana passada orientações que estabelecem as prioridades de financiamento de segurança cibernética que as agências federais devem aderir para o próximo ciclo orçamentário do ano fiscal de 2024. O memorando de 22 de julho – assinado pela diretora do Escritório de Administração e Orçamento Sholanda Young e pelo diretor nacional Chris Inglis – é um esforço para motivar as organizações a se aproximarem dos padrões estabelecidos por uma ordem executiva abrangente que o presidente Joe Biden assinou em resposta à campanha de espionagem da SolarWinds, bem como outras estratégias cibernéticas divulgadas pela Casa Branca.
Rubens Zolotujin 0 Comentários
jul 26 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft adiciona proteção contra ataques de força bruta para o RDP no Windows 11.
    A Microsoft agora está tomando medidas para evitar ataques de força bruta no Remote Desktop Protocol (RDP) como parte das compilações mais recentes para o sistema operacional Windows 11, em uma tentativa de aumentar a linha de base de segurança para atender ao cenário de ameaças em evolução. Para esse fim, a política padrão para compilações do Windows 11 – principalmente, compilações do Insider Preview 22528.1000 e mais recentes – bloqueará automaticamente as contas por 10 minutos após 10 tentativas de entrada inválidas. “As compilações do Windows 11 agora têm uma política de bloqueio de conta DEFAULT para mitigar o RDP e outros vetores de senha de força bruta”, disse David Weston, vice-presidente de segurança da Microsoft. “Esta técnica é muito comumente usada em Human Operated Ransomware e outros ataques – esse controle tornará a força bruta muito mais difícil, o que é incrível!”
  • Cibercriminosos enganam desenvolvedores falsificando metadados de commit no GitHub.
    Um aviso foi emitido por pesquisadores sobre um novo método de ataque à cadeia de suprimentos no qual os hackers utilizam metadados de confirmação falsos para legitimar arquivos maliciosos do GitHub. Os commits são componentes essenciais no sistema GitHub e possuem um hash ou ID exclusivo. Eles registram todas as alterações feitas nos documentos, a linha do tempo da alteração e quem fez a alteração. Os criminosos podem adulterar os metadados de confirmação para fazer com que os repositórios pareçam relevantes e atualizados. É possível falsificar o committer e vincular o commit a uma conta legítima do GitHub. Commits falsos podem ser gerados automaticamente e adicionados ao gráfico de atividade do GitHub do usuário, fingindo que estão ativos na plataforma de hospedagem de código há muito tempo.
  • Grupo de ransomware Lockbit alega ter roubado 78GB de arquivos da Receita Federal Italiana.
    A gangue de ransomware Lockbit afirma ter hackeado a Agência da Receita Italiana (Agenzia delle Entrate) e adicionado a agência governamental à lista de vítimas relatadas em seu site de vazamento na deep web. O grupo alega ter roubado 78 GB de dados, incluindo documentos da empresa, digitalizações, relatórios financeiros e contratos, e planeja lançar capturas de tela de arquivos e amostras muito em breve. Se o ataque for confirmado, pode representar um dos incidentes mais graves sofridos pelas agências governamentais italianas. A Agenzia delle Entrate , ou a Receita Federal italiana, aplica o código financeiro da Itália e cobra impostos e receitas. A agência oferece vários serviços online para contribuintes italianos e não italianos. Neste momento, não se sabe se a gangue do ransomware já entrou em contato com o governo italiano ou o valor do resgate que está exigindo. A gangue do ransomware dá 5 dias para a Agência pagar o ransomware para evitar o vazamento de dados roubados.
Rubens Zolotujin 0 Comentários
jul 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • SonicWall emite patch para bug crítico que afeta seus produtos Analytics e GMS.
    A SonicWall publicou na última sexta-feira (22), um aviso de segurança alertando sobre uma falha crítica de injeção de SQL que afeta os produtos GMS (Global Management System) e Analytics On-Prem. “A SonicWall PSIRT sugere fortemente que as organizações que usam a versão do Analytics On-Prem descrita abaixo devem atualizar para a respectiva versão corrigida imediatamente”, adverte a SonicWall em um comunicado. A falha, rastreada como CVE-2022-22280, permite injeção de SQL devido à neutralização inadequada de elementos especiais usados em um comandos SQL. Ela carrega uma classificação de gravidade de 9,4, categorizando-a como “crítica”, e é explorável a partir da rede sem exigir autenticação ou interação do usuário, além de possuir baixa complexidade de ataque. A SonicWall esclarece que ainda não está ciente de nenhum relatório de exploração ativa na natureza ou da existência de uma exploração de prova de conceito.
  • TSA revisa e reedita os requisitos de cibersegurança para oleodutos e gasodutos.
    A Transportation Security Administration (TSA) anunciou a revisão e reedição de sua Diretiva de Segurança relativa à segurança cibernética de oleodutos e gasodutos. Esta diretiva revisada continuará o esforço para construir resiliência de segurança cibernética para os oleodutos críticos do país. Desenvolvida com ampla contribuição de partes interessadas do setor e parceiros federais, incluindo a Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA, a diretiva de segurança reeditada para empresas de pipeline críticas segue a diretiva anunciada em julho de 2021. A diretiva estende os requisitos de segurança cibernética por mais um ano e se concentra em medidas baseadas em desempenho para alcançar resultados críticos de segurança cibernética. Após o ataque de ransomware em maio de 2021 ao Colonial Pipeline, a TSA emitiu várias diretivas de segurança exigindo que proprietários e operadores de pipelines críticos implementassem várias medidas de segurança cibernética urgentemente necessárias.
  • Spyware Candiru está explorando vulnerabilidade no Google Chrome para atingir jornalistas.
    A falha de “Zero Day” do Google Chrome, explorada ativamente, que veio à tona no início deste mês, foi armada por uma empresa de spyware israelense e usada em ataques contra jornalistas no Oriente Médio. A empresa de segurança cibernética Avast vinculou a exploração ao Candiru (também conhecido como Saito Tech), que tem um histórico de aproveitar falhas anteriormente desconhecidas para implantar o Spyware Candiru, um implante modular com recursos semelhantes ao Pegasus. “Especificamente, uma grande parte dos ataques ocorreu no Líbano, onde os jornalistas estavam entre os alvos”, disse o pesquisador de segurança Jan Vojtěšek, que relatou a descoberta da falha, em um artigo. “Acreditamos que os ataques foram altamente direcionados.”
Rubens Zolotujin 0 Comentários
jul 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo Malware permite que os invasores instalem rootkits em sistemas operacionais Linux.
    A ameaça para Linux não detectada anteriormente, chamada Lightning Framework pela Intezer, está equipada com uma infinidade de recursos, tornando-a uma das estruturas mais complexas desenvolvidas para direcionar sistemas Linux. “A estrutura tem recursos passivos e ativos para comunicação com o agente da ameaça, incluindo a abertura de SSH em uma máquina infectada e uma configuração de comando e controle maleável polimórfica”, disse Ryan Robinson, pesquisador da Intezer, em um novo relatório publicado esta semana. Alguns dos comandos notáveis recebidos do servidor permitem que o malware imprima a máquina, execute comandos shell, carregue arquivos no servidor C2, grave dados arbitrários no arquivo e até mesmo se atualize e remova do host infectado.
  • Cibercriminosos estão espalhando o ransomware LockBit por diversas redes comprometidas.
    A Symantec, uma divisão da Broadcom Software, observou os agentes de ameaças estão visando máquinas Windows para espalhar o ransomware LockBit. Em um ataque observado pela Symantec, o LockBit foi visto identificando informações relacionadas ao domínio, criando uma política de grupo para movimentação lateral e executando um comandos em todos os sistemas dentro do mesmo domínio, que atualiza a política de grupo. Pouco depois de aparecer pela primeira vez em setembro de 2019, a gangue expandiu suas operações, usando uma rede de afiliadas para implantar o ransomware LockBit nas redes das vítimas. O ransomware, que atualmente atingiu a versão 3.0, evoluiu nos últimos anos, assim como seus operadores que lançaram recentemente um programa de recompensas de bugs para eliminar pontos fracos no código do malware e na operação RaaS como um todo. As políticas de proteção do Symantec Data Center Security (DCS) para servidores Windows e controladores de domínio impedem a instalação do ransomware LockBit.
  • Atlassian lança patch de segurança para vulnerabilidade crítica do Confluence.
    A Atlassian lançou correções para corrigir uma vulnerabilidade crítica de segurança relacionada ao uso de credenciais codificadas que afetam o aplicativo Questions For Confluence para Confluence Server e Confluence Data Center. A falha, rastreada como CVE-2022-26138, surge quando o aplicativo em questão é habilitado em um dos dois serviços, fazendo com que ele crie uma conta de usuário do Confluence com o nome de usuário “disabledsystemuser”. “Um invasor remoto não autenticado com conhecimento da senha codificada pode explorar isso para fazer login no Confluence e acessar quaisquer páginas às quais o grupo de usuários do confluence tenha acesso”, disse a empresa em um comunicado, acrescentando que “a senha codificada é trivial obter após baixar e revisar as versões afetadas do aplicativo.”
Rubens Zolotujin 0 Comentários
jul 21 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Sistema VoIP Elastix é invadidos por cibercriminosos.
    Uma campanha em grande escala tem como alvo os servidores de telefonia VoIP Elastix, mais de 500.000 amostras de malware já foram detectadas em apenas três meses. Acredita-se que os invasores estejam abusando da vulnerabilidade de execução remota de código classificada como CVE-2021-45461. Essa falha é explorada desde dezembro de 2021. A campanha recente ainda está ativa e compartilha semelhanças com outra operação de 2020. A operação explorou sistematicamente servidores SIP de vários fabricantes. Os pesquisadores forneceram detalhes técnicos sobre as táticas usadas em campanhas recentes para evitar a infecção.
  • Botnet sequestrou 30.000 hosts para minerar criptomoedas.
    O grupo de criptomineração “8220” expandiu em tamanho para abranger até 30.000 hosts infectados, operando uma botnet e mineradores de criptomoedas por meio de vulnerabilidades conhecidas e vetores de infecção de força bruta de acesso remoto. Esse crescimento foi impulsionado pelo uso de Linux e vulnerabilidades comuns de aplicativos em nuvem e configurações mal feitas para serviços como Docker, Apache WebLogic e Redis. Além de executar o minerador de criptomoedas, o script de infecção também foi projetado para remover ferramentas de segurança em nuvem e realizar força bruta no SSH por meio de uma lista de 450 credenciais codificadas para se propagar lateralmente pela rede. As versões mais recentes do script também são conhecidas por empregar listas de bloqueio para evitar comprometer hosts específicos, como servidores honeypot que podem sinalizar seus esforços ilícitos.
  • Comando Cibernético dos EUA expõe malware direcionado a entidades ucranianas.
    O Comando Cibernético dos EUA compartilhou na última quarta-feira (20) os detalhes técnicos relacionados ao que a agência diz ser vários tipos de malware direcionados a entidades ucranianas nos últimos meses. Autoridades ucranianas compartilharam as informações com o governo dos EUA, disse o Cyber Command, e então a agência enviou vários detalhes técnicos para o VirusTotal, Pastebin e GitHub. A agência não atribuiu o malware. Mas, logo após o lançamento do Cyber Command, a empresa de segurança cibernética Mandiant publicou sua própria análise e concluiu que a atividade era “o trabalho de dois grupos separados de espionagem cibernética”. Esses grupos – rastreados como UNC1151 e UNC2589 – têm atuado no ataque à Ucrânia em várias operações, disse Mandiant. Acredita-se que o UNC1151 esteja associado ao governo da Bielorrússia como parte da campanha de desinformação regional em andamento conhecida como Ghostwriter , enquanto o UNC2589 é um esforço que trabalha em apoio aos objetivos do governo russo, disse Mandiant. O Cyber Command disse que compartilhou os detalhes como parte de um esforço para aumentar a conscientização.
Rubens Zolotujin 0 Comentários
jul 20 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão visando sistemas de controle industrial.
    Um agente de ameaças foi detectado visando Sistemas de Controle Industrial (ICS) para criar uma rede de botnet. O invasor está fazendo isso promovendo software de quebra de senha para PLCs e HMIs por meio de várias contas de mídia social. A campanha oferece o desbloqueio de terminais PLC e HMI da Automation Direct, Siemens, Fuji Electric, Mitsubishi, Weintek, ABB e muito mais. O exploit ( CVE-2022-2003 ) usado pelo programa malicioso foi limitado apenas a comunicações seriais. Isso requer uma conexão serial direta de uma estação de trabalho de engenharia (EWS) ao PLC. Em segundo plano, a ferramenta descarta um malware que cria um botnet ponto a ponto para diferentes tarefas, chamado Sality. Sality é um malware antigo que requer uma arquitetura de computação distribuída para concluir tarefas, como mineração de criptografia e quebra de senha, mais rapidamente. Embora ainda esteja evoluindo , seus recursos incluem encerrar processos em execução, baixar cargas adicionais, estabelecer conexões com sites remotos e roubar dados do host. A campanha ainda está ativa e os administradores do PLC devem estar atentos a tais ameaças.
  • Especialistas descobrem novo spyware visando usuários da Apple.
    Pesquisadores de segurança cibernética descobriram um spyware anteriormente não documentado que visava o sistema operacional macOS da Apple. O malware com codinome CloudMensis, usa exclusivamente serviços de armazenamento em nuvem pública, como pCloud, Yandex Disk e Dropbox, para receber comandos de invasores e exfiltrar arquivos. O CloudMensis, escrito em Objective-C, foi descoberto pela primeira vez em abril de 2022 e foi projetado para atingir as arquiteturas da Intel e da Apple. O vetor de infecção inicial para os ataques e os alvos ainda são desconhecidos. Mas sua distribuição muito limitada é uma indicação de que o malware está sendo usado como parte de uma operação altamente direcionada contra entidades de interesse. A cadeia de ataque detectada abusa da execução de código e privilégios administrativos para lançar uma carga útil de primeiro estágio que é utilizada para executar o malware.
  • Aplicativos falsos fraudam investidores em mais de US$ 42 milhões.
    Os cibercriminosos estão usando aplicativos falsos de investimentos em criptomoedas para roubar investidores dos EUA. Eles já roubaram cerca de US$ 42,7 milhões em fundos de 244 vítimas. Entre dezembro de 2021 e maio de 2022, os cibercriminosos se passaram por uma empresa financeira dos EUA genuína para fraudar as vítimas. Os invasores engananaram as vítimas para que instalassem um aplicativo falso e depositassem criptomoedas em carteiras supostamente associadas no aplicativo. O FBI alertou que os fraudadores estavam usando vários nomes de empresas, como Yibit e Supayos. Os fraudadores entraram em contato com vários investidores dos EUA e ofereceram serviços legítimos de investimento em criptomoedas
Rubens Zolotujin 0 Comentários
jul 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ministério da Saúde de Israel sofre ataque cibernético.
    O site do Ministério da Saúde de Israel enfrentou interrupções no acesso a usuários no exterior, supostamente devido a um ataque cibernético que ocorreu no último domingo (17). O site ainda estava funcionando para israelenses locais. No entanto, aqueles que tentavam usar o site do exterior não conseguiam fazê-lo de forma intermitente. O órgão governamental disse que o assunto está sendo tratado internamente e pela unidade de e-Government, órgão estatal responsável pela manutenção dos serviços de internet. Hackers pró-iranianos, que se autodenominam Altahrea Team, reivindicaram a responsabilidade pelo ataque cibernético, segundo a mídia israelense. O grupo teria escrito em seu canal Telegram que o ataque foi realizado porque Israel bombardeou a Faixa de Gaza no fim de semana.
  • Spyware Pegasus é usado para hackear dispositivos de ativistas.
    Ativistas tailandeses envolvidos nos protestos pró-democracia do país tiveram seus smartphones infectados com o infame spyware patrocinado pelo governo. Acredita-se que pelo menos 30 indivíduos, entre ativistas, acadêmicos, advogados e funcionários de ONGs, tenham sido infe1ctados, muitos dos quais já foram detidos, e presos por suas atividades políticas ou críticas ao governo. “O momento das infecções é altamente relevante para eventos políticos específicos na Tailândia, bem como ações específicas do sistema de justiça tailandês”, disse o Citizen Lab em um relatório. “Em muitos casos, por exemplo, as infecções ocorreram um pouco antes dos protestos e outras atividades políticas das vítimas”. As descobertas são o resultado de notificações de ameaças enviadas pela Apple em novembro passado para alertar os usuários que acredita terem sido alvo de invasores patrocinados pelo Estado. Os ataques envolveram o uso de dois exploits de zero clique – KISMET e FORCEDENTRY – para comprometer os telefones das vítimas e implantar o Pegasus.
  • Falha no sistema de arquivos de rede do Windows resulta em execução de remota de código.
    A Trend Micro Research publicou uma vulnerabilidade de execução remota de código do Windows Network File System. A vulnerabilidade estava contida no sistema de arquivamento de rede do Windows (NFS) e ocorreu devido ao tratamento inadequado de solicitações NFSv4. Ele pode ser explorado enviando chamadas RPC maliciosas para um servidor de destino. A exploração bem-sucedida pode resultar na execução arbitrária de código como SYSTEM, enquanto a exploração malsucedida pode simplesmente travar o destino. A vulnerabilidade foi “devido ao cálculo incorreto do tamanho das mensagens de resposta”, segundo os pesquisadores. Os invasores podem usar essa vulnerabilidade para disparar uma solicitação com operações suficientes para criar um erro de cálculo gigante. A execução de código arbitrário pode ser o resultado, ou um simples travamento do sistema.
Rubens Zolotujin 0 Comentários
jul 18 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo ataque pode remover o anonimato de usuários on-line direcionados.
    Pesquisadores do Instituto de Tecnologia de Nova Jersey (NJIT) alertou sobre uma nova técnica que pode ser usada para eliminar as proteções de anonimato e identificar um visitante único em um site. O ataque de desanonimização direcionado baseado em cache é um vazamento entre sites que envolve o invasor aproveitando um serviço como Google Drive, Dropbox ou YouTube para compartilhar um recurso de forma privada (por exemplo, imagem, vídeo ou uma lista de reprodução do YouTube) com o alvo, seguido pela incorporação do recurso compartilhado no site de ataque. Isso pode ser alcançado, compartilhando o recurso de forma privada com o alvo usando o endereço de e-mail da vítima ou o nome de usuário apropriado associado ao serviço e, em seguida, inserindo o recurso vazado usando uma tag HTML. O ataque, em poucas palavras, visa desmascarar os usuários de um site sob o controle do invasor, conectando a lista de contas vinculadas a esses indivíduos com suas contas de mídia social ou endereços de e-mail por meio de um conteúdo compartilhado. Pesquisadores do MIT revelaram no mês passado que a causa raiz por trás de um ataque de impressão digital de site não é devido a sinais gerados por contenção de cache (também conhecido como canal lateral baseado em cache), mas sim devido a interrupções do sistema.
  • Cibercriminosos estão visando pequenas e médias empresas com Ransomware.
    O grupo de cibercriminosos da Coréia do Norte, que se autodenomina H0lyGh0st, está sendo rastreado pelo Microsoft Threat Intelligence Center sob o apelido DEV-0530, uma designação atribuída a um grupo desconhecido, emergente ou em desenvolvimento na atividade de ameaça. As entidades visadas incluem principalmente empresas de pequeno e médio porte, como organizações de manufatura, bancos, escolas e empresas de planejamento de eventos e reuniões. A metodologia padrão do grupo é criptografar todos os arquivos no dispositivo de destino e usar a extensão de arquivo.h0lyenc, enviar à vítima uma amostra dos arquivos como prova e exigir o pagamento em Bitcoin em troca de restaurar o acesso aos arquivos. Os valores de resgate exigidos pelo DEV-0530 variam entre 1,2 e 5 bitcoins, embora uma análise da carteira de criptomoedas do invasor não mostre pagamentos de resgate bem-sucedidos de suas vítimas no início de julho de 2022.
  • Falha de segurança do Microsoft Teams deixou os usuários vulneráveis.
    Um pesquisador de segurança descobriu que invasores podem abusar de um recurso popular no Microsoft Teams para realizar ataques de XSS. O Microsoft Teams, juntamente com serviços de teleconferência comparáveis, incluindo o Zoom, experimentou um aumento de popularidade nos últimos anos. A pandemia de Covid-19 forçou as organizações a adotarem modelos de trabalho remoto sempre que possível. Com tantos usuários, qualquer vulnerabilidade no Microsoft Teams pode ter um impacto generalizado.
Rubens Zolotujin 0 Comentários