set 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pesquisadores alertam sobre novo malware em Go.
    Um novo malware criado em Go, chamado Chaos, tem crescido rapidamente em volume nos últimos meses para atacar uma ampla variedade de sistemas Windows e Linux dentro de ambientes corporativos. O Malware possue a capacidade de enumerar o ambiente do host, executar comandos remotos, carregar módulos adicionais, propagar automaticamente através do roubo e força bruta de chaves privadas SSH, bem como lançar ataques DDoS. A maioria dos bots estão localizados na Europa, especificamente na Itália, com outras infecções relatadas na China e nos EUA, representando coletivamente “centenas de endereços IP exclusivos” durante um período de um mês, de meados de junho a meados de julho de 2022. O Chaos faz jus ao seu nome, explorando vulnerabilidades de segurança conhecidas para obter acesso inicial, e posteriormente reconhecimento para realizar movimento lateral na rede comprometida. Um servidor GitLab localizado na Europa foi uma das vítimas do botnet Chaos nas primeiras semanas de setembro,disse a empresa, acrescentando que identificou uma série de ataques DDoS direcionados a entidades que abrangem jogos, serviços financeiros e tecnologia, mídia e entretenimento e provedores de hospedagem.
  • Cibercriminosos vendem ferramenta na Deep Web para distribuição de Malware.
    Vendido na Deep Web por € 189 por mês, o Quantum Builder é uma ferramenta personalizável para gerar arquivos de atalho maliciosos, bem como cargas HTA, ISO e PowerShell para entregar e distribuir malware de próximo estágio nos hosts visados, neste caso o Agent Tesla. A cadeia de ataque em vários estágios começa com um spear-phishing contendo um anexo de arquivo GZIP que inclui um atalho projetado para executar o código do PowerShell responsável por iniciar um aplicativo HTML remoto (HTA) usando MSHTA. Os e-mails de phishing pretendem ser uma mensagem de confirmação de pedido de um fornecedor de açúcar mascavo, com o arquivo LNK disfarçado como um documento PDF. O arquivo HTA, por sua vez, descriptografa e executa outro script de carregador do PowerShell, que atua como um downloader para buscar o malware Agent Tesla e executá-lo com privilégios administrativos. O Quantum Builder está sendo usado nos últimos meses por agentes de ameaças com o objetivo distribuir uma variedade de malware, como RedLine Stealer, IcedID, GuLoader, RemcosRAT e AsyncRAT.
  • Estrutura Java Pebble é vulnerável a injeção de comando.
    O mecanismo de modelagem Java Pebble estava vulnerável a um bug que poderia permitir que invasores ignorassem seus mecanismos de segurança e conduzissem ataques de injeção de comando contra servidores host. O Pebble Templates é conveniente devido ao seu sistema de modelagem fácil de usar para aplicativos da Web, recursos de internacionalização e recursos de segurança, como escape automático e um validador de acesso ao método de lista de bloqueio que impede ataques de execução de comandos.
Rubens Zolotujin 0 Comentários
set 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Hackers usam arquivos do PowerPoint para entregar malware.
    Hackers que trabalham para a Rússia começaram a usar uma nova técnica de execução de código que depende do movimento do mouse em apresentações do Microsoft PowerPoint para acionar um script PowerShell. O agente da ameaça APT28, atrai alvos com um arquivo PowerPoint (.PPT) supostamente vinculado à Organização para Cooperação e Desenvolvimento Econômico (OCDE), uma organização intergovernamental que trabalha para estimular o progresso econômico e o comércio em todo o mundo. Dentro do arquivo PPT há dois slides, ambos com instruções em inglês e francês para usar a opção Interpretação no aplicativo de videoconferência Zoom. Os pesquisadores dizem que o ator da ameaça tem como alvo entidades dos setores de defesa e governo de países da União Europeia e do Leste Europeu e acreditam que a campanha de espionagem está em andamento.
  • Samsung é processada por recentes violações de dados.
    Representados pela Clarkson Law Firm, dois usuários da Samsung entraram com uma ação coletiva contra a fabricante de eletrônicos pelas duas violações de dados que a empresa sofreu em 2022. A queixa de 43 páginas apresentada ao Tribunal Distrital Federal do Distrito Norte da Califórnia alega que a Samsung coletou dados de usuários desnecessariamente e depois os armazenou e vendeu sem as devidas proteções de segurança, o que levou a duas violações de dados consecutivas. O processo alega que a Samsung desativou intencionalmente funções e recursos específicos de seus produtos eletrônicos, incluindo TVs e impressoras, e exigiu que os usuários enviassem informações de identificação pessoal, como endereços residenciais e datas de nascimento. Além disso, a denúncia alega que a gigante da eletrônica armazenou, monitorou e vendeu os dados coletados sem protegê-los adequadamente, embora estivesse dizendo aos usuários que “segurança e privacidade estão no centro do que fazemos e do que pensamos todos os dias”.
  • Ucrânia diz que Rússia planeja ataques cibernéticos em suas infraestruturas críticas.
    O governo ucraniano alertou na segunda-feira sobre “ataques cibernéticos maciços” da Rússia visando instalações de infraestrutura crítica localizadas no país e em seus aliados. Os ataques teriam como alvo o setor de energia, disse a Diretoria Principal de Inteligência do Ministério da Defesa da Ucrânia (GUR). “Pelos ataques cibernéticos, o inimigo tentará aumentar o efeito dos ataques de mísseis nas instalações de fornecimento de eletricidade, principalmente nas regiões leste e sul da Ucrânia”, disse a agência em um breve comunicado. O GUR também alertou para a intensificação dos ataques distribuídos de negação de serviço (DDoS) direcionados à infraestrutura crítica dos aliados mais próximos da Ucrânia, principalmente a Polônia e os estados bálticos da Estônia, Letônia e Lituânia.
Rubens Zolotujin 0 Comentários
set 27 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Falha de Zero Day permite que hackers controlem o WhatsApp remotamente.
    Duas vulnerabilidades críticas de Zero Day foram corrigidas silenciosamente pelo WhatsApp. Como resultado dessas falhas de segurança, os invasores poderão executar remotamente códigos arbitrários em dispositivos Android e iOS. Com mais de um bilhão de usuários em todo o mundo usando aparelhos Android e iPhone, o WhatsApp é um dos aplicativos de mensagens mais populares do mundo, graças à sua natureza focada na privacidade. Essas duas vulnerabilidades foram descobertas pela equipe de segurança interna do WhatsApp e foram registradas como “Críticas” e receberam uma pontuação de 10/10. Na Deep Web, estima-se que as vulnerabilidades de Dia Zero sejam vendidas entre US$ 5 mil e US$ 25 mil. Para que os usuários não sejam afetados por esses bugs críticos de RCE, o WhatsApp aconselha os usuários atualizem o aplicativo.
  • Grupo de Ransomware BlackCat está atualizando seu arsenal de ataque.
    Os cibercriminosos estão ajustando seu arsenal para expandir e aumentar sua distribuição de Malware. “Entre alguns dos desenvolvimentos mais notáveis está o uso de uma nova versão da ferramenta de exfiltração de dados Exmatter e o uso do Eamfo, malware de roubo de informações projetado para roubar credenciais armazenadas pelo software de backup Veeam”, disseram os pesquisadores da Symantec. O BlackCat, é considerado um sucessor renomeado de DarkSide e BlackMatter, ambos fechados no ano passado após uma série de ataques de alto perfil, incluindo o do Colonial Pipeline. O agente da ameaça, como outros notórios grupos de ransomware, é conhecido por executar uma operação de ransomware como serviço (RaaS), que envolve seus principais desenvolvedores recrutando a ajuda de afiliados para realizar os ataques. Os refinamentos mais recentes dizem respeito ao Exmatter, uma ferramenta de exfiltração de dados usada pelo BlackCat em seus ataques de ransomware.
  • Servidores Microsoft SQL são invadidos em ataques de ransomware.
    Servidores Microsoft SQL vulneráveis estão sendo alvo de uma nova onda de ataques com o ransomware FARGO, alertam pesquisadores de segurança. Os servidores MS-SQL são sistemas de gerenciamento de banco de dados que contêm dados para serviços e aplicativos na Internet. Interrompê-los pode causar sérios problemas para os negócios. O FARGO é uma das linhagens de ransomware mais proeminentes que se concentram em servidores MS-SQL, juntamente com o GlobeImposter. Além disso, essa linhagem é a mesma que os pesquisadores da Avast nomearam como “ TargetCompany ” em um relatório em fevereiro, destacando que os arquivos criptografados por ela podem ser recuperados gratuitamente em alguns casos. Os pesquisadores observam que a infecção por ransomware começa com o processo MS-SQL na máquina comprometida baixando um arquivo .NET usando o cmd.exe e powershell.exe.
Rubens Zolotujin 0 Comentários
set 19 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Após ataque Hacker, Uber alega que não há dados confidenciais expostos.
    A Uber, em um comunicado, disse que “não há evidências” de que as informações privadas dos usuários tenham sido comprometidas em uma violação de seus sistemas internos que foi descoberta na última quinta-feira. “Não temos evidências de que o incidente envolveu acesso a dados confidenciais de usuários (como histórico de viagens)”, disse a empresa. “Todos os nossos serviços, incluindo Uber, Uber Eats, Uber Freight e o aplicativo Uber Driver estão operacionais.” A empresa também disse que colocou de volta online todas as ferramentas de software internas que tinham sido derrubadas anteriormente como precaução. A Uber não forneceu mais detalhes sobre como o incidente aconteceu além de dizer que seus esforços de investigação e resposta estão em andamento. A violação supostamente envolveu um jovem de 18 anos, que através de um ataque bem sucedido teve acesso às credenciais de um funcionário.
  • CISA ordena que agências corrijam vulnerabilidade usada em ataques cibernéticos.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou 6 falhas ao seu catálogo de Vulnerabilidades Conhecidas e está ordenando que as agências federais sigam as instruções do fornecedor para corrigi-las. Das seis falhas de segurança, apenas uma foi divulgada este ano. Ele afeta a plataforma Apex One da Trend Micro para detecção e resposta automatizadas a ameaças. A CISA está dando às agências federais até 6 de outubro para corrigir vulnerabilidades de segurança que foram relatadas entre 2010 e 2022. A exploração da maioria delas dá a um invasor permissões de nível administrador (escalação de privilégios locais – LPE) no sistema. O bug mais antigo que a CISA ordenou que as agências federais corrigissem é de 2010 e foi usado para espalhar o worm Stuxnet que danificou as centrífugas da usina de enriquecimento de urânio de Natanz para retardar os avanços do país no desenvolvimento de armas nucleares. O problema de segurança que afeta o Trend Micro Apex One e o Apex One as a Service é o mais recente. Foi divulgado no início deste mês (CVE-2022-40139) e os agentes de ameaças o exploraram para pelo menos um ataque.
  • Cibercriminosos estão espalhando versões trojanizadas do aplicativo PuTTY.
    A ameaça foi atribuída a Coreia do Norte que está alavancando uma “nova metodologia de spear phish” que envolve o uso de versões trojanizadas dos aplicativos PuTTY SSH e Telnet. “O UNC4034 estabeleceu comunicação com a vítima pelo WhatsApp e os atraiu para baixar um pacote ISO malicioso sobre uma oferta de trabalho falsa que levou à implantação do backdoor AIRDRY.V2 por meio de uma instância trojanizada do utilitário PuTTY”, disseram os pesquisadores da Mandiant. O ponto de entrada do ataque é um arquivo ISO que se disfarça como parte de uma potencial oportunidade de emprego na Amazon. O arquivo foi compartilhado pelo WhatApp após estabelecer contato inicial por e-mail.
Rubens Zolotujin 0 Comentários
set 16 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • A CISA adicionou mais 2 falhas de segurança ao seu Catálogo de Vulnerabilidades Conhecidas.
    A agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), adicionou 2 novas vulnerabilidades ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, uma vulnerabilidade de escalação de privilégios do Windows, rastreada como CVE-2022-37969 , e um problema de execução de código arbitrário, rastreado como CVE-2022-32917, afetando iPhones e Macs. Os especialistas recomendam também que organizações privadas revisem o Catálogo e resolvam as vulnerabilidades em sua infraestrutura. A falha CVE-2022-37969 foi corrigida pela Microsoft com o lançamento das atualizações de segurança do Patch Tuesday de setembro de 2022, é uma vulnerabilidade de elevação de privilégio do driver do sistema de arquivos de log comum do Windows. A empresa não compartilhou detalhes sobre os ataques que exploram essa vulnerabilidade. O segundo problema adicionado ao catálogo CISA é uma vulnerabilidade de execução de código arbitrário rastreada como CVE-2022-32917. Essa falha é o oitavo problema de dia zero ativamente explorado pela Apple este ano. A vulnerabilidade afeta o iPhone 6s e posterior, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad 5ª geração e posterior, iPad mini 4 e posterior e iPod touch (7ª geração e Macs executando macOS Big Sur 11.7 e macOS Monterey 12.6. A CISA ordena que as agências federais corrijam essas vulnerabilidades até 5 de outubro de 2022.
  • Hackers estão usando RATs modificados para espionagem cibernética.
    Um agente de ameaças rastreado como Webworm foi vinculado a trojans de acesso remoto para Windows, alguns dos quais estão em fase de pré-implantação ou teste. “O grupo desenvolveu versões personalizadas de três trojans de acesso remoto (RATs), incluindo Trochilus RAT , Gh0st RAT e 9002 RAT”, disse a equipe Symantec Threat Hunter. O Webworm, ativo desde 2017, tem um histórico de notáveis agências governamentais, empresas envolvidas em serviços de TI e indústrias de energia elétrica localizadas na Rússia, Geórgia, Mongólia e vários outros países asiáticos. As cadeias de ataque envolvem o uso de malware dropper que abriga um carregador projetado para lançar versões modificadas dos trojans de acesso remoto Trochilus, Gh0st e 9002.
  • Google melhora proteções do Chrome contra a exploração de bugs.
    O Google esta semana compartilhou mais informações sobre a tecnologia introduzida recentemente destinada a reduzir a exploração de vulnerabilidades de uso após a liberação no navegador Chrome. De acordo com o Google, uma maneira de reduzir a superfície de ataque é minimizar o número de interfaces do sistema operacional acessíveis a partir da caixa de proteção do processo de renderização. Para falhas de segurança no processo do navegador, o Google introduziu MiraclePtr, que reescreve a base de código para usar um tipo de ponteiro inteligente chamado ‘raw_ptr’ para evitar a exploração de bugs use-after-free.
Rubens Zolotujin 0 Comentários
set 14 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Mais de 280.000 sites WordPress estão vulneráveis a ataques de Zero Day.
    Uma falha de dia zero na versão mais recente de um plugin premium do WordPress conhecido como WPGateway está sendo ativamente explorada, potencialmente permitindo que invasores assumam completamente os sites afetados. Rastreado como CVE-2022-3180 (pontuação CVSS: 9,8), o problema está sendo armado para adicionar um usuário administrador malicioso a sites que executam o plug-in WPGateway, observou a empresa de segurança WordPress Wordfence. “Parte da funcionalidade do plug-in expõe uma vulnerabilidade que permite que invasores não autenticados insiram um administrador malicioso”, disse Ram Gall, pesquisador do Wordfence , em um comunicado. O WPGateway é cobrado como um meio para os administradores do site instalarem, fazerem backup e clonarem plugins e temas do WordPress a partir de um painel unificado. O Wordfence disse que bloqueou mais de 4,6 milhões de ataques tentando tirar proveito da vulnerabilidade contra mais de 280.000 sites nos últimos 30 dias.
  • Apple lança atualizações para iOS e macOS para corrigir falha explorada ativamente.
    A Apple lançou outra rodada de atualizações de segurança para resolver várias vulnerabilidades no iOS e no macOS, incluindo uma nova falha de dia zero que foi usada em ataques de modo geral. A falha CVE-2022-32917, está enraizada no componente Kernel e pode permitir que um aplicativo malicioso execute código arbitrário com privilégios de kernel. “A Apple está ciente de um relatório de que esse problema pode ter sido explorado ativamente”, reconheceu a fabricante do iPhone em um breve comunicado, acrescentando que resolveu o bug com verificações de limite aprimoradas. Os patches estão disponíveis nas versões iOS 15.7, iPadOS 15.7, iOS 16, macOS Big Sur 11.7 e macOS Monterey 12.6.
  • FBI alerta sobre vulnerabilidades em dispositivos médicos após vários alertas da CISA.
    O FBI alertou esta semana que centenas de vulnerabilidades em dispositivos médicos amplamente utilizados estão deixando uma porta aberta para ataques cibernéticos. A agência disse que identificou “um número crescente” de vulnerabilidades representadas por dispositivos médicos não corrigidos que rodam em software desatualizado e dispositivos que não possuem recursos de segurança adequados. O FBI citou especificamente vulnerabilidades encontradas em bombas de insulina, desfibriladores intracardíacos, telemetria cardíaca móvel e marca-passos, observando que hackers mal-intencionados podem assumir o controle dos dispositivos e alterar leituras, administrar doses de drogas ou “pôr em risco a saúde do paciente”. “Atores de ameaças cibernéticas que exploram vulnerabilidades de dispositivos médicos afetam negativamente as funções operacionais das instalações de saúde, segurança do paciente, confidencialidade e integridade dos dados”, disse o alerta.
Rubens Zolotujin 0 Comentários
set 12 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ataque GIFShell cria shell reverso usando GIFs do Microsoft Teams.
    Uma nova técnica de ataque chamada ‘GIFShell’ permite que os agentes de ameaças abusem do Microsoft Teams para novos ataques de phishing e execução secreta de comandos para roubar dados usando GIFs. O novo cenário de ataque ilustra como os invasores podem reunir várias vulnerabilidades e falhas do Microsoft Teams para abusar da infraestrutura legítima da Microsoft para entregar arquivos maliciosos, comandos e realizar exfiltração de dados por meio de GIFs. Como a exfiltração de dados é feita através dos próprios servidores da Microsoft, o tráfego será mais difícil de detectar por software de segurança que o vê como tráfego legítimo do Microsoft Team. O principal componente desse ataque é chamado de ‘GIFShell’, que permite que um invasor crie um shell reverso que fornece comandos maliciosos por meio de GIFs codificados em base64 no Teams e exfiltra a saída por meio de GIFs recuperados pela própria infraestrutura da Microsoft.
  • Hackers exploram vulnerabilidade de Zero Day no WordPress.
    Uma falha de dia zero em um plugin do WordPress chamado BackupBuddy está sendo ativamente explorada, divulgou a empresa de segurança do WordPress Wordfence. Esta vulnerabilidade possibilita que usuários não autenticados baixem arquivos arbitrários do site afetado, que podem incluir informações confidenciais. O BackupBuddy permite que os usuários façam backup de toda a instalação do WordPress a partir do painel, incluindo arquivos de tema, páginas, postagens, widgets, usuários e arquivos de mídia, entre outros. Estima-se que o plugin tenha cerca de 140.000 instalações ativas, com a falha (CVE-2022-31474, pontuação CVSS: 7.5) afetando as versões 8.5.8.0 a 8.7.4.1. Os usuários do plug-in BackupBuddy são aconselhados a atualizar para a versão mais recente.
  • EUA apreendem mais de US$ 30 milhões em criptomoedas roubadas.
    Mais de US$ 30 milhões em criptomoedas roubadas da Axie Infinity pelo Lazarus Group foram recuperadas. As apreensões representam aproximadamente 10% do total de fundos roubados da Axie Infinity (contabilizando as diferenças de preço entre o tempo roubado e apreendido) e demonstram que está se tornando mais difícil para os cibercriminosos sacarem com sucesso seus ganhos criptográficos ilícitos. O Grupo Lazarus é uma ameaça persistente avançada (APT) que é impulsionada por esforços para apoiar as metas operacionais da Coreia do Norte, que incluem espionagem e geração de receita para a nação atingida por sanções por meio de instituições financeiras em greve. A apreensão também ocorre quando seis usuários do Tornado Cash, incluindo funcionários da Coinbase, entraram com uma ação nesta semana contra o Departamento do Tesouro dos EUA, a secretária do Tesouro Janet Yellen e outros funcionários por sua decisão de aplicar sanções à plataforma.
Rubens Zolotujin 0 Comentários
set 7 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Servidores linux estão se tornando o alvo favorito dos grupos de Ransomware.
    O sistema operacional Linux está se tornando, cada vez mais, um ponto de interesse para cibercriminosos na hora de atacar empresas com ransomware. Apenas no primeiro semestre de 2022, houve um aumento de 75% no volume de golpes contra estruturas desse tipo, na comparação com o mesmo período do ano passado, uma demonstração clara de aumento de escopo. Os dados apontam apontam mais de 1,9 mil detecções de campanhas contra o ecossistema entre janeiro e junho deste ano, contra 1,1 mil registradas no período anterior. Entre as razões para esse crescimento está a adoção cada vez maior das plataformas baseadas em Linux por serviços de cloud computing, tão necessários nesta era do trabalho híbrido. Com isso, vêm deslizes dos administradores na hora de proteger seus sistemas ou um desconhecimento sobre uma nova tecnologia, que acabam facilitando os ataques contra o mercado corporativo. Na medida em que a profissionalização do mercado cibercriminoso segue adiante, assim como a oferta de sequestro digital como serviço, três grupos surgem como as principais ameaças. Além do LockBit, que foi o responsável pelo ataque à empresa brasileira de atendimentos Atento, estão as quadrilhas Conti e BlackCat, a segunda em volume de ataques contra empresas do Brasil.
  • Vulnerabilidade crítica de RCE afeta dispositivos Zyxel NAS.
    A fabricante de equipamentos de rede Zyxel lançou patches para uma falha crítica de segurança que afeta seus dispositivos de armazenamento conectado à rede (NAS). Rastreado como CVE-2022-34747 (pontuação CVSS: 9,8), o problema está relacionado a uma “vulnerabilidade de string de formato” que afeta os modelos NAS326, NAS540 e NAS542. “Uma vulnerabilidade de formato de string foi encontrada em um binário específico de produtos Zyxel NAS que pode permitir que um invasor obtenha execução remota não autorizada de código por meio de um pacote UDP criado”, disse a empresa em um comunicado divulgado em 6 de setembro. Hackear dispositivos NAS está se tornando uma prática comum.
  • Ciberriminosos arrecadaram cerca de R$ 7 bilhões em três meses.
    Um conceito que tem ganhado força é o “crypto-hacking”, que consiste no uso de dispositivos de outras pessoas sem o consentimento delas para mineração de extração de criptomoedas. Só no primeiro trimestre de 2022, foram registradas 78 grandes ações de crypto-hacking, que geraram um prejuízo de nada menos que R$ 7 bilhões. Estima-se que o aumento deste tipo de ameaça tenha sido de 136% em relação ao mesmo período do ano passado. A principal motivação para realização do crypto-hacking é o roubo das criptomoedas para uso em atividades criminosas ou para troca por moeda corrente dos países. O processo desse tipo de ataque é o mesmo usado para espalhamento de malware, eles podem entrar nos dispositivos por meio de e-mails com links suspeitos e engenharia social, por exemplo.
Rubens Zolotujin 0 Comentários
set 6 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • China acusa NSA de hackear universidade de pesquisa militar.
    A China acusou a Agência de Segurança Nacional dos EUA de hackear o sistema de informação de uma importante universidade chinesa que desenvolve armas secretas para os militares do país. As autoridades chinesas disseram que rastrearam a origem dos recentes ataques cibernéticos na Universidade Politécnica do Noroeste do país ao Escritório de Operações de Acesso Adaptado da NSA, uma unidade secreta da agência conhecida por invadir computadores em todo o mundo. A China tem se manifestado cada vez mais ao acusar indivíduos ou grupos dos EUA de realizar ataques cibernéticos a usuários e instituições chinesas, no que alguns analistas chamam de campanha de informação para combater as alegações dos EUA contra hackers chineses. Em fevereiro, uma empresa chinesa de segurança cibernética vinculou a NSA a uma operação de hackers com alvos em 45 países, incluindo a China.
  • Falha crítica no TikTok permite sequestro de contas.
    Uma falha de alta gravidade foi detectada no aplicativo TikTok para Android, permitindo que invasores assumissem contas com apenas um clique. A falha, engana as vítimas alvo para clicar em um link malicioso. Segundo a Microsoft, os invasores poderiam abusar da falha, identificada como CVE-2022-28799, para sequestrar contas de usuários e obter acesso a suas informações confidenciais. Especialistas observaram que clicar no link malicioso expôs 70 métodos que poderiam ser usados por um invasor com uma exploração para sequestrar o componente WebView do aplicativo TikTok. Os invasores podem usar esse acesso para modificar os perfis do TikTok e informações confidenciais dos usuários, como enviar mensagens, postar vídeos privados e fazer upload de vídeos em nome dos usuários.
  • Pesquisadores detectaram uma versão atualizada do malware SharkBot.
    Os pesquisadores da Fox IT detectaram uma versão atualizada do SharkBot que foi carregada na Google Play Store oficial. Enquanto as variantes anteriores do dropper dependiam de permissões de acessibilidade para instalar automaticamente o malware Sharkbot, esta nova pede à vítima para instalar o malware como uma atualização falsa para o antivírus. O SharkBot é um trojan bancário que está ativo desde outubro de 2021, permite roubar credenciais de contas bancárias e contornar mecanismos de autenticação multifator. O malware foi detectado no final de outubro, o nome vem de um dos domínios usados para seus servidores de comando e controle. O SharkBot é capaz de realizar transações não autorizadas por meio de sistemas de transferência automática (ATS), uma técnica de ataque avançada que é incomum no malware Android. Em 16 de agosto de 2022, os pesquisadores da Fox-IT observaram novos servidores C2 fornecendo uma lista de alvos, incluindo bancos Espanha, Austrália, Polônia, Alemanha, Estados Unidos da América e Áustria.
Rubens Zolotujin 0 Comentários
set 5 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • HackerSec promove cibersegurança no metrô de São Paulo.
    A empresa referência em cibersegurança no Brasil, HackerSec, começou a promover no metrô de São Paulo, sendo a primeira empresa da área a realizar esse feito e ajudar com crescimento do mercado de cibersegurança. “Mais uma vez a HackerSec é pioneira na área. Uma das coisas que acreditamos é que a cibersegurança é para todas as pessoas e empresas, e um dos nossos objetivos é a democratização desse mercado”, comenta Andrew Martinez, CEO da empresa. O Brasil é hoje o país com o maior déficit de profissionais em cibersegurança no mundo, superando as 440mil vagas de trabalho. Além disso, é um dos países onde mais crescem o número de ações de criminosos digitais, tornando a proteção uma das coisas mais importantes para a sobrevivência dos negócios. “Queremos que a cibersegurança seja comum a toda população e que as empresas estejam realmente protegidas e cientes da importância que o tema tem”, completa Andrew Martinez.
  • VMware pede que os administradores corrijam o bug crítico de autenticação.
    A VMware alertou os administradores para corrigir uma falha crítica de segurança de desvio de autenticação que afeta usuários de domínio local em vários produtos e permite que invasores não autenticados obtenham privilégios de administrador. A falha (CVE-2022-31656) foi relatada por Petrus Viet, da VNG Security, que descobriu que ela afeta o VMware Workspace ONE Access, o Identity Manager e o vRealize Automation. “Esta vulnerabilidade crítica deve ser corrigida ou mitigada imediatamente de acordo com as instruções do VMSA”, alertou a VMware. “Todos os ambientes são diferentes, têm diferentes tolerâncias ao risco e têm diferentes controles de segurança e defesa em profundidade para mitigar o risco, de modo que os clientes devem tomar suas próprias decisões sobre como proceder. No entanto, dada a gravidade da vulnerabilidade, é recomendável uma ação imediata.”
  • Google corrige falha crítica de Bluetooth no sistema operacional Android.
    O Google publicou seu boletim mensal de segurança de agosto na última segunda-feira, detalhando os últimos patches disponíveis para o Android. Um total de 37 vulnerabilidades foram corrigidas, incluindo uma falha crítica de segurança no componente System que pode levar à execução remota de código via Bluetooth sem a necessidade de privilégios de execução adicionais. A vulnerabilidade do Bluetooth é rastreada como CVE-2022-20345 e foi corrigida no Android 10, 11, 12 e 12L. As falhas restantes que foram corrigidas no boletim de segurança do Google de agosto receberam uma classificação de alta gravidade, pois muitas delas podem levar ao aumento de privilégios ou à divulgação de informações. O boletim tem dois níveis de patch de segurança para dar aos parceiros Android a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente.
Rubens Zolotujin 0 Comentários