out 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novo malware para Android infecta 20 milhões de usuários.
    Foi confirmado que um malware para Android recém-descoberto infectou cerca de 20 milhões de usuários. O malware, apelidado de Clicker, foi infiltrado na Google Play Store usando 16 aplicativos maliciosos diferentes. Pesquisadores da McAfee revelaram que o malware está se passando por ferramentas de utilidade legítimas para atingir usuários de telefones Android. Essas ferramentas incluem Lanterna (Torch), leitores de QR, Câmera, Conversores de Unidade e Gerenciadores de Tarefas. À primeira vista, esses aplicativos podem parecer um software Android bem feito. No entanto, eles estão ocultando recursos de fraude de anúncios, equipados com configuração remota e técnicas de Firebase Cloud Messaging (FCM). Depois que o usuário baixa e abre esses aplicativos, uma solicitação HTTP é enviada para iniciar as configurações remotas e, eventualmente, o malware Clicker Android é baixado. Os pesquisadores destacam que o novo malware para Android foi projetado para interromper o ecossistema de publicidade móvel. Ele permite que seus operadores gerem receita exibindo anúncios fraudulentos nos dispositivos das vítimas.
  • Hackers dizem que roubaram 100.000 e-mails da agência nuclear do Irã.
    Um grupo ativista que se autodenomina Black Reward e afirma ser do Irã foi ao Telegram na última sexta-feira com alegações de que havia acessado um servidor de e-mail administrado por uma empresa relacionada à Organização de Energia Atômica do Irã e exfiltrado 324 caixas de entrada com mais de 100.000 mensagens totalizando mais de 50G de arquivos. A Black Reward afirmou que o conteúdo do carregamento inclui planos de construção de uma usina nuclear, informações pessoais de iranianos que trabalham para a Organização e detalhes do passaporte de engenheiros russos que auxiliam os esforços de energia nuclear do Irã. Detalhes técnicos e relatórios estão supostamente entre os itens, que o Black Reward também detalhou no Twitter.
  • CISA alerta sobre cibercriminosos visando organizações na área da saúde.
    A agência de cibersegurança e inteligência dos EUA publicou um alerta sobre uma gangue de cibercriminosos conhecida como Daixin Team, visando principalmente o setor de saúde no país. A Daixin Team é um grupo de ransomware e extorsão de dados que tem como alvo o setor de saúde pública com operações de ransomware e extorsão de dados desde pelo menos junho de 2022. Nos últimos quatro meses, o grupo foi vinculado a vários incidentes de ransomware no setor de Saúde, criptografando servidores relacionados a registros eletrônicos de saúde, diagnósticos, imagens e serviços de intranet. Um desses ataques foi direcionado ao OakBend Medical Center em 1º de setembro de 2022, com o grupo alegando ter desviado cerca de 3,5 GB de dados, incluindo mais de um milhão de registros com informações de pacientes e funcionários.
Rubens Zolotujin 0 Comentários
out 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Brasil bate recorde em golpes financeiros.
    Os golpes financeiros na internet estão cada vez mais sofisticados, dificultando a segurança dos usuários de instituições financeiras. O resultado disso é o número significativo desse tipo de abordagens criminosas registradas no Brasil: foram 5 milhões de investidas, de janeiro a julho de 2022. Isso representa mais de mil tentativas de golpe por hora. O crime mais comum é a clonagem do cartão de crédito. Também são muito praticados o phishing, o golpe do pix, do WhatsApp e da falsa Central de Atendimento. As vítimas são pessoas físicas ou jurídicas, geralmente abordadas por telefone, por aplicativos de mensagens ou por anúncios em sites e aplicativos. 3 em cada 10 brasileiros já sofreram tentativa de golpe, de acordo com informações da Federação Brasileira de Bancos (Febraban). O levantamento feito pela instituição mostra que o número tem crescido rapidamente – em setembro de 2021, o percentual era de 21%. Em dezembro do mesmo ano, 22%. E, no último mês de junho, 31%.
  • Ransomware LockBit lidera como uma das ameaças mais sofisticadas.
    O LockBit, manteve sua posição de líder em ameaças de ransomware. Cada uma de suas variantes, ou seja, LockBit 1.0 , LockBit 2.0 e LockBit 3.0, causou graves danos e impactos gigantescos durante suas campanhas maliciosas. Os pesquisadores do DarkFeed revelaram que cibercriminosos afiliados ao LockBit acumularam 103 vítimas em setembro. No segundo trimestre de 2022, o LockBit era o grupo mais ativo no submundo do crime cibernético, mantendo o recorde de maior número de vítimas em um trimestre (231). Um dos afiliados do ransomware LockBit 3.0 roubou dados da empresa de tecnologia japonesa Oomiya e ameaçou vazar esses dados, se a empresa não pagasse o resgate exigido. Especialistas acreditam que o grupo de ameaças por trás do LockBit continuará a visar empresas em todo o mundo com recursos aprimorados.
  • Cibercriminosos exploram falha no VMware para implantar mineradores de criptografia e ransomware.
    Uma vulnerabilidade agora corrigida no VMware Workspace ONE Access foi observada sendo explorada para fornecer mineradores de criptomoedas e ransomware nas máquinas afetadas. O objetivo do invasor é utilizar os recursos da vítima o máximo possível, não apenas para instalar o RAR1Ransom para extorsão, mas também para espalhar o GuardMiner para coletar criptomoedas. O problema, rastreado como CVE-2022-22954 (pontuação CVSS: 9,8), diz respeito a uma vulnerabilidade de execução remota de código que decorre de um caso de injeção de modelo do lado do servidor. Embora a deficiência tenha sido abordada pelo provedor de serviços de virtualização em abril de 2022, desde então ela está sob exploração ativa. A Fortinet disse que observou em agosto de 2022 ataques que buscavam armar a falha para implantar o botnet Mirai em dispositivos Linux, bem como o RAR1Ransom e o GuardMiner , uma variante do minerador XMRig Monero.
Rubens Zolotujin 0 Comentários
out 13 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Falha no VMware vCenter Server divulgada no ano passado ainda não foi corrigida.
    A VMware informou aos seus clientes que o vCenter Server 8.0 (a versão mais recente) ainda está aguardando um patch para resolver uma vulnerabilidade de escalonamento de privilégios de alta gravidade divulgada em novembro de 2021. Essa falha de segurança (CVE-2021-22048) foi encontrada por Yaron Zinar e Sagi Sheinfeld da CrowdStrike no mecanismo IWA (Integrated Windows Authentication) do vCenter Server e também afeta as implantações da plataforma de nuvem híbrida Cloud Foundation da VMware. Os invasores com acesso não administrativo podem explorá-lo para elevar privilégios a um grupo com privilégios mais altos em servidores sem patches. Embora os patches estejam pendentes para todos os produtos afetados, a VMware oferece uma solução alternativa que permite que os administradores removam o vetor de ataque. Para bloquear tentativas de ataque, a VMware aconselha os administradores a alternar para o Active Directory sobre autenticação LDAPs OU Federação de Provedores de Identidade para AD FS (somente vSphere 7.0) da Autenticação Integrada do Windows (IWA) afetada. “A autenticação do Active Directory sobre LDAP não é afetada por essa vulnerabilidade.
  • Atualização da Microsoft abordou um total de 85 vulnerabilidades de segurança.
    A atualização Patch Tuesday da Microsoft para o mês de outubro abordou um total de 85 vulnerabilidades de segurança, incluindo correções para uma falha de Zero Day explorada ativamente. Dos 85 bugs, 15 são classificados como Críticos, 69 são classificados como Importantes e um é classificado como Moderado em gravidade. A atualização, no entanto, não inclui mitigações para as falhas ProxyNotShell exploradas ativamente no Exchange Server. Os patches vêm junto com atualizações para resolver outras 12 falhas no navegador Edge baseado em Chromium que foram lançadas desde o início do mês. No topo da lista de patches deste mês está o CVE-2022-41033, uma vulnerabilidade de escalonamento de privilégios no Windows COM+ Event System Service.
  • Atualização do Chrome corrige várias vulnerabilidades de alta gravidade.
    O Google anunciou na terça-feira que a atualização mais recente do Chrome corrige seis vulnerabilidades de alta gravidade, incluindo quatro bugs de uso após a liberação. Todas as vulnerabilidades recém-resolvidas foram descobertas por pesquisadores externos e a gigante da internet distribuiu US$ 38.000 em recompensas por bugs. Com base nos valores de recompensas de bugs que o Google pagou, a mais grave das falhas recém-resolvidas é a CVE-2022-3445, uma vulnerabilidade de uso posterior no Skia, a biblioteca de gráficos 2D de código aberto que serve como mecanismo gráfico do Chrome. O Google diz em seu comunicado que pagou uma recompensa de US $ 15.000 por bugs a Nan Wang e Yong Liu, da Qihoo 360, por relatar o problema no mês passado.
Rubens Zolotujin 0 Comentários
out 5 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft ainda não lançou patch para falhas no Exchanger Server.
    A Microsoft revisou suas medidas de mitigação para as falhas de Zero Day recém-divulgadas e exploradas ativamente no Exchange Server depois que descobriu que elas poderiam ser contornadas. As duas vulnerabilidades, rastreadas como CVE-2022-41040 e CVE-2022-41082, receberam o codinome ProxyNotShell devido a semelhanças com outro conjunto de falhas chamado ProxyShell, que a gigante da tecnologia resolveu no ano passado. A fabricante do Windows, que ainda não lançou uma correção para os bugs, reconheceu que um único agente de ameaças patrocinado pelo estado pode estar explorando as falhas desde agosto de 2022 em ataques direcionados limitados. Enquanto isso, a empresa disponibilizou soluções temporárias para reduzir o risco de exploração restringindo padrões de ataque conhecidos por meio de uma regra no Gerenciador do IIS. No entanto, de acordo com o pesquisador de segurança Jang ( @testanull), o padrão de URL pode ser facilmente contornado, o mesmo observou que as mitigações de bloqueio são “desnecessariamente precisas e, portanto, insuficientes”. Não está claro quando a Microsoft planeja enviar um patch para as duas vulnerabilidades, mas é possível que eles sejam enviados como parte das atualizações do Patch Tuesday na próxima semana, em 11 de outubro de 2022.
  • Canal popular do YouTube está distribuindo instalador malicioso do navegador Tor.
    Um popular canal do YouTube em chinês surgiu como um meio de distribuir uma versão trojanizada de um instalador do Windows para o navegador Tor. A Kaspersky apelidou a campanha OnionPoison, com todas as vítimas localizadas na China. A escala do ataque ainda não está clara, mas a empresa russa de segurança cibernética disse que detectou vítimas que aparecem em sua telemetria desde março de 2022. A versão maliciosa do instalador do Tor Browser está sendo distribuída por meio de um link presente na descrição de um vídeo que foi carregado no YouTube em 9 de janeiro de 2022. Já foi visto mais de 64.500 vezes até hoje.
  • Pesquisadores relatam vulnerabilidade no repositório PHP Packagist.
    Pesquisadores divulgaram detalhes sobre uma falha de segurança de alta gravidade agora corrigida no Packagist, um repositório de pacotes de software PHP, que poderia ter sido explorado para montar ataques à cadeia de suprimentos de software. “Esta vulnerabilidade permite obter o controle do Packagist “, disse o pesquisador Thomas Chauchefoin. Packagist é usado pelo gerenciador de pacotes PHP Composer para determinar e baixar dependências de software que são incluídas pelos desenvolvedores em seus projetos. Uma exploração bem-sucedida da falha significava que solicitações para atualizar um pacote poderiam ter sido sequestradas para distribuir dependências maliciosas executando comandos arbitrários no servidor de back-end executando a instância oficial do Packagist.
Rubens Zolotujin 0 Comentários
out 4 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos vazam 7GB de dados da Ferrari após ataque.
    Os dados do site da Ferrari foram publicados em um site de vazamento na Deep Web de propriedade do grupo de ransomware RansomEXX. Os invasores alegam ter obtido documentos internos, fichas técnicas, manuais de reparo e outras informações. O conjunto de dados roubados consiste em quase 7 GB. Uma captura de tela dos dados roubados mostra um documento marcado como ‘confidencial’. Parece um contrato de compra para um modelo específico de um carro da marca Ferrari. O vazamento marca a segunda vez que a Ferrari teve os documentos da empresa roubados em menos de um ano. Em dezembro de 2021, a fabricante italiana foi atingida pela gangue cibernética Everest. No início deste ano, os agentes de ameaças interferiram na entrada da Ferrari no mercado NFT.
  • Gangue de ransomware alega ter invadido empresa de defesa dos EUA.
    O grupo de cibercriminosos BlackCat alega ter violado a empresa de TI NJVC, que apoia o Governo Federal, organizações de inteligência e o Departamento de Defesa dos Estados Unidos e conta com mais de 1.200 funcionários em diversos locais ao redor do mundo. O BlackCat adicionou o NJVC à lista de vítimas em seu site de vazamento na Deep Web e está ameaçando liberar os dados supostamente roubados caso não seja pago o resgate. “Recomendamos fortemente que vocês entrem em contato conosco para discutir a situação. Caso contrário, os dados confidenciais em nossa posse serão divulgados em etapas a cada 12 horas. existe muito material”, cita o comunicado dos invasores. Estima-se que o BlackCat está operando desde novembro de 2021 e lançou grandes ataques em janeiro de 2022 para interromper a OilTanking GmbH, uma empresa alemã de combustíveis, e em fevereiro de 2022 contra a companhia aérea Swissport. O grupo tem como alvo empresas de setores críticos, incluindo energia, instituições financeiras, serviços jurídicos e tecnologia.
  • Hackers exploram a vulnerabilidade em driver da Dell.
    O Lazarus Group, apoiado pela Coreia do Norte, foi observado implantando um rootkit no Windows aproveitando uma exploração em um driver de firmware da Dell. “A campanha começou com e-mails de spear phishing contendo documentos maliciosos com temas da Amazon e teve como alvo um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica”, disse o pesquisador da ESET, Peter Kálnai. O rootkit explora uma falha de driver da Dell para obter a capacidade de ler e gravar na memória do kernel. O problema, rastreado como CVE-2021-21551, está relacionado a um conjunto de vulnerabilidades críticas de escalonamento de privilégios em dbutil_2_3.sys.
Rubens Zolotujin 0 Comentários