nov 29 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pesquisadores detalham falha no AppSync da Amazon Web Services.
    A Amazon Web Services (AWS) resolveu uma vulnerabilidade em sua plataforma que poderia ser armada por um invasor para obter acesso não autorizado a recursos. A falha foi relatada pelo Datadog à AWS em 1º de setembro de 2022, após o qual um patch foi enviado em 6 de setembro. “Este ataque abusa do serviço AppSync para assumir funções de gerenciamento de identidade e acesso em outras contas da AWS, o que permite que um invasor invada uma organização vítima e acesse recursos nessas contas”, disse Nick Frichette, pesquisador da Datadog, em um relatório publicado na semana passada. Em uma divulgação coordenada, a Amazon disse que nenhum cliente foi afetado pela vulnerabilidade e que nenhuma ação do cliente é necessária. O AWS AppSync oferece aos desenvolvedores GraphQL APIs para recuperar ou modificar dados de várias fontes de dados, bem como sincronizar dados automaticamente entre aplicativos móveis e a nuvem.
  • Falha crítica é explorada e fornece acesso a VPNs da Fortinet.
    Um agente de ameaças está distribuindo acesso não autorizado a várias VPNs Fortinet em um fórum de cibercrime russo. Ao avaliar o acesso, os pesquisadores perceberam que o invasor estava tentando adicionar uma nova chave pública à conta do usuário administrador. Uma investigação mais aprofundada revelou que as organizações visadas usavam software FortiOS desatualizado. Isso indicava que o invasor estava gerenciando o desvio de autenticação explorando um canal ou uma falha de caminho alternativo rastreada como CVE-2022-40684 no FortiOS. Essa falha de bypass de autenticação permite que um invasor não autorizado/não autenticado explore a interface administrativa. De acordo com a pesquisa da Cyble publicada em 24 de novembro de 2022, várias versões do Fortinet são afetadas por essa falha, incluindo FortiOS, FortiProxy e FortiSwitchManager. A vulnerabilidade permite que um invasor execute operações na “interface administrativa” por meio de solicitações HTTPS ou HTTP especialmente criadas, leu o comunicado do Cyble. A pesquisa revelou que o software Fortinet era o alvo desde 17 de outubro de 2022.
  • Dados roubados de 5,4 milhões de usuários do Twitter vazaram na internet.
    Mais de 5,4 milhões de registros de usuários do Twitter contendo informações roubadas usando uma vulnerabilidade de API corrigida em janeiro foram compartilhados gratuitamente em um fórum de cibercriminosos. Os dados consistem em informações públicas extraídas, bem como números de telefone privados e endereços de e-mail que não devem ser públicos. Em julho passado, um agente de ameaças começou a vender informações privadas de mais de 5,4 milhões de usuários do Twitter por US$ 30.000. Embora a maioria dos dados consistisse em informações públicas, como IDs do Twitter, nomes, nomes de login, locais e status verificado, também incluía informações privadas, como números de telefone e endereços de e-mail.
Rubens Zolotujin 0 Comentários
nov 28 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google corrige nova falha de Zero Day no navegador Chrome.
    O Google lançou no último dia 24, atualizações de software para corrigir mais uma falha de Zero Day em seu navegador Chrome. Rastreada como CVE-2022-4135, a vulnerabilidade de alta gravidade foi descrita como um estouro de buffer de heap no componente GPU. Clement Lecigne, do Threat Analysis Group (TAG) do Google, foi creditado por relatar a falha em 22 de novembro de 2022. Os bugs de estouro de buffer baseados em heap podem ser armados por agentes de ameaças para travar um programa ou executar código arbitrário, levando a um comportamento não intencional. De acordo com o National Vulnerability Database do NIST, a falha pode permitir que um “atacante remoto que tenha comprometido o processo do renderizador potencialmente execute uma fuga de sandbox por meio de uma página HTML criada”. “O Google está ciente de que existe um exploit para CVE-2022-4135”, reconheceu a gigante da tecnologia em um comunicado. Recomenda-se que os usuários atualizem para a versão 107.0.5304.121 para macOS e Linux e 107.0.5304.121/.122 para Windows para mitigar possíveis ameaças.
  • Malware Emotet continua sendo um grande desafio para organizações e empresas.
    O Emotet é de longe um dos malwares mais perigosos já criados. O malware tornou-se um programa muito destrutivo à medida que crescia em escala e sofisticação. A vítima pode ser qualquer pessoa, desde usuários corporativos a privados, expostos a campanhas de spam. A botnet se distribui por meio de phishing contendo documentos maliciosos do Excel ou do Word. Quando os usuários abrem esses documentos e ativam as macros, o Emotet DLL é baixado e carregado na memória. Ele procura endereços de e-mail e os rouba para campanhas de spam. Além disso, o botnet descarta cargas adicionais e outros ataques que levam a instalação de ransomware. A natureza polimórfica do Emotet, junto com os muitos módulos que ele inclui, torna o malware difícil de identificar.
  • 487 milhões de números de usuários do WhatsApp estão à venda na Deep Web.
    Em 16 de novembro, um agente de ameaças desconhecido anunciou que estava vendendo um banco de dados de quase 500 milhões de números de celulares pertencentes a usuários do WhatsApp. O anúncio de vendas foi encontrado em um notório fórum de cibercriminosos e afirmava ter dados recentes, não anteriores a 2022, de milhões de usuários em todo o mundo. No momento, estima-se que o aplicativo gratuito de mensagens instantâneas tenha mais de dois bilhões de usuários em mais de 180 países. De acordo com os cibercriminosos que o colocaram à venda, o banco de dados contém números de telefone de 487 milhões de pessoas que vivem no Egito, EUA, Reino Unido, Itália, França, Turquia, Rússia, República Tcheca, Chile, etc. Os atores da ameaça não revelaram de que forma coletaram os dados, mas afirmaram que todos os números vieram de usuários ativos do WhatsApp.
Rubens Zolotujin 0 Comentários
nov 25 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Site do Parlamento Europeu é hackeado após resolução crítica sobre a Rússia.
    O site oficial do Parlamento Europeu caiu devido a um “ataque cibernético sofisticado” na tarde da última quarta-feira (23), poucas horas depois que os eurodeputados aprovaram uma resolução de palavras fortes declarando a Rússia um “estado patrocinador do terrorismo”. “O (Parlamento Europeu) está sob um ciberataque sofisticado. Um grupo pró-Kremlin reivindicou a responsabilidade”, disse a presidente do Parlamento Europeu, Roberta Metsola. “Nossos especialistas em TI estão lutando contra isso e protegendo nossos sistemas. Isso, depois de proclamarmos a Rússia como um Estado patrocinador do terrorismo.” A duração total da interrupção não foi clara, mas foi detectada pela primeira vez após a votação russa, que ocorreu no início da tarde. Os legisladores rapidamente foram ao Twitter para condenar o ataque cibernético, colocando a culpa diretamente na Rússia.
  • Hackers invadem organizações no setor de energia por meio de bugs em servidor web.
    Grupos de hackers chineses apoiados pelo estado visaram vários operadores de redes elétricas indianas, comprometendo um sistema nacional indiano de resposta a emergências e a subsidiária de uma empresa multinacional de logística. Os invasores obtiveram acesso às redes internas das entidades hackeadas por meio de câmeras expostas à Internet em suas redes como servidores de comando e controle. Segundo a Microsoft, os invasores exploraram um componente vulnerável no servidor Web, uma solução de software descontinuada desde 2015 que ainda está sendo usada por dispositivos IoT (de roteadores a câmeras). “Boa” é um dos componentes usados para entrar e acessar os consoles de gerenciamento de dispositivos IoT, o que aumenta significativamente o risco de uma infraestrutura crítica ser violada por meio de dispositivos vulneráveis e expostos à Internet executando o servidor web vulnerável.
  • 100 pessoas detidas na maior investigação de fraude do Reino Unido.
    Mais de 100 pessoas foram presas na maior operação de fraude de todos os tempos no Reino Unido, que derrubou um site que a polícia descreve como uma “loja de falsificação completa” usada por golpistas para roubar dezenas de milhões de libras dos britânicos por meio de ligações bancárias falsas. Estima-se que mais de 200.000 vítimas em potencial foram visadas pelo site de fraude iSpoof, que foi retirado do ar esta semana pela unidade de crimes cibernéticos da Scotland Yard com a ajuda das autoridades dos EUA e da Ucrânia. Em média 20 pessoas a cada minuto do dia estavam sendo contatadas por golpistas que se escondiam atrás de identidades falsas criadas usando o site e estima-se que os criminosos podem ter roubado cerca de £ 50 milhões. É provável que o valor real seja maior, pois a fraude costuma ser subnotificada. Os usuários do serviço, que foi fechado esta semana, acreditavam que eram anônimos.
Rubens Zolotujin 0 Comentários
nov 24 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Ransomware RansomExx é atualizado para linguagem Rust.
    RansomExx é um ransomware que surgiu pela primeira vez em 2018 sob o nome Defray. Desde então, o malware passou por várias alterações, com as atualizações mais recentes sendo adicionadas na linguagem Rust. Isso torna o RansomExx o ransomware mais recente a se juntar à lista crescente de ransomwares que mudam para outras linguagens. O ransomware escrito em linguagem Rust tem baixas taxas de detecção e esta é uma das principais razões para os desenvolvedores de ransomware optarem por esta linguagem. A nova variante do RansomExx, que também é escrita em Rust, inclui funcionalidade semelhante aos seus predecessores C++. A variante usa AES-256 com algoritmos RSA para criptografar arquivos específicos nos computadores das vítimas. Cada arquivo criptografado recebe uma nova extensão de arquivo com caracteres aleatórios. Os pesquisadores avaliam que essas últimas mudanças do RansomExx podem não ser uma atualização significativa na funcionalidade e que o grupo continuará fazendo desenvolvimentos para melhorar as técnicas de evasão.
  • Aplicativos gerenciadores de arquivos do Android infectam milhares de dispositivos.
    Uma nova coleção de aplicativos maliciosos para Android se passando por gerenciadores de arquivos se infiltrou na loja oficial de aplicativos do Google Play, infectando os usuários com o trojan bancário Sharkbot. Os aplicativos não carregam a carga maliciosa na instalação para evitar a detecção quando enviados no Google Play, mas, em vez disso, buscam-na posteriormente em um recurso remoto. Como os aplicativos trojan são gerenciadores de arquivos, é menos provável que levante suspeitas ao solicitar permissões perigosas para carregar o malware Sharkbot. Em um novo relatório da Bitdefender, analistas descobriram os novos aplicativos trojan para Android disfarçados de gerenciadores de arquivos e os reportaram ao Google. Todos eles já foram removidos da Google Play Store.
  • Malware VenomSoftX se disfarça de extensão do Google Chrome.
    O VenomSoftX é um malware que se disfarça de extensão do Google Chrome para furtar carteiras de criptomoedas, roubar senhas e o conteúdo da área de transferência do Windows. A praga chega junto com jogos e softwares pirateados baixados por meio de torrent e também pode atingir outros browsers, como Brave, Edge e Firefox. De acordo com a Avast, empresa de segurança que emitiu o mais recente alerta sobre a onda de infecções, pelo menos 93 mil tentativas de contaminação foram bloqueadas desde o começo deste ano. Por outro lado, uma análise das transferências em criptomoedas associadas à quadrilha, que atende pelo nome de ViperSoftX, mostra que os bandidos já lucraram mais de US$ 130 mil, com os ataques neste ano. Os ativos financeiros parecem ser o principal foco aqui, com a extensão desviando os valores manipulados pelos usuários a partir do navegador para contas sob o controle dos criminosos.
Rubens Zolotujin 0 Comentários
nov 23 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Vulnerabilidades de firmware BMC expõem dispositivos OT e IoT.
    Pesquisadores da empresa Nozomi Networks descobriram mais de uma dúzia de vulnerabilidades no firmware do controlador de gerenciamento de placa base (BMC). O BMC é um processador especializado que permite aos administradores controlar e monitorar remotamente um dispositivo sem ter que acessar o sistema operacional ou os aplicativos executados nele. O BMC pode ser usado para reinicializar um dispositivo, instalar um sistema operacional, atualizar o firmware, monitorar parâmetros do sistema e analisar logs. Muitas vulnerabilidades do BMC foram encontradas nos últimos anos, com pesquisadores alertando que a exploração dessas falhas pode permitir que um invasor remoto comprometa e até danifique o servidor de destino. No entanto, grande parte da pesquisa se concentrou em servidores de TI. A pesquisa da Nozomi Networks visou um BMC que é usado para tecnologia operacional (OT) e dispositivos IoT.
  • 90% das organizações têm falhas de segurança do Microsoft 365.
    Um estudo publicado recentemente avaliou 1,6 milhão de usuários do Microsoft 365 em três continentes, descobrindo que 90% das organizações tinham brechas nas proteções de segurança essenciais. A pesquisa do estudo revela que muitos procedimentos comuns de segurança não estão sendo seguidos 100% do tempo. Isso deixa lacunas nas defesas de segurança da maioria das organizações. Embora a maioria das empresas tenha sólidas políticas de segurança documentadas, a pesquisa descobriu que a maioria não está sendo implementada de forma consistente devido a dificuldades em relatórios e recursos de TI limitados. No geral, quase todas as organizações estão deixando a porta aberta para ameaças de segurança cibernética devido a credenciais fracas, principalmente para contas de administrador. No geral, o estudo revela que os desafios de geração de relatórios tornam a segurança e o gerenciamento de licenças incrivelmente difíceis, levando a riscos e custos desnecessários.
  • Pesquisadores alertam sobre cibercriminosos usando malware baseado em Go.
    Um malware baseado em Go, conhecido como Aurora Stealer, está sendo cada vez mais implantado como parte de campanhas projetadas para roubar informações confidenciais de hosts comprometidos. Essas cadeias de infecção alavancaram páginas de phishing que se passavam por páginas de download de software legítimo, incluindo carteiras de criptomoedas, ferramentas de acesso remoto, e sites falsos de download de software crackeado. Anunciado pela primeira vez em fóruns de cibercriminosos em abril de 2022, o Aurora foi oferecido como um malware de commodity para outros atores de ameaças, descrevendo-o como uma “botnet multifuncional com recursos de roubo, download e acesso remoto”. A nova variante, foi projetada para roubar carteiras de criptomoedas, navegadores web e outros dados do sistema, enquanto remove recursos existentes.
Rubens Zolotujin 0 Comentários
nov 22 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google identifica 34 versões crackeadas do kit de ferramentas Cobalt Strike.
    As versões, de 1.44 a 4.7, somam um total de 275 arquivos JAR exclusivos, de acordo com as descobertas da equipe do Google Cloud Threat Intelligence (GCTI). A versão mais recente do Cobalt Strike é a versão 4.7.2. O Cobalt Strike, desenvolvido pela Fortra, é uma estrutura adversária usada para simular cenários de ataque e testar a resiliência de suas defesas cibernéticas. Ele inclui um Team Server que atua como o hub de comando e controle (C2) para comandar remotamente dispositivos infectados e um stager projetado para fornecer uma carga útil de próximo estágio chamada Beacon, um implante completo que se reporta ao C2 servidor. Devido ao seu amplo conjunto de recursos, as versões não autorizadas do software têm sido cada vez mais utilizadas por muitos agentes de ameaças para promover suas atividades pós-exploração. Em uma tentativa de combater esse abuso, o GCTI lançou um conjunto de regras YARA de código aberto para sinalizar diferentes variantes do software usado por grupos de cibercriminosos.
  • Malware Emotet retorna com campanha de Malspam.
    Segundo os pesquisadores, milhares de e-mails foram enviados por dia desde o início de novembro de 2022. A nova atividade sugere que o Emotet está retornando à sua funcionalidade total, atuando como uma rede de entrega para as principais famílias de malware. Entre os principais países visados estão os EUA, Reino Unido, Japão, Alemanha, Itália, França, Espanha, México e Brasil. A Europol chamou o Emotet de “o malware mais perigoso do mundo” por sua capacidade de atuar como um “abridor de portas” para implantar binários de próximo estágio que facilitam o roubo de dados e a instalação de ransomware. Cadeias de infecção envolvendo o malware são conhecidas por empregar iscas genéricas, bem como a técnica de sequestro de thread de e-mail para atrair os destinatários a abrir anexos do Excel habilitados para macro.
  • Novos ataques utilizam o desvio de segurança do Windows para implantar malware.
    Novos ataques de phishing usam uma vulnerabilidade de dia zero no Windows para descartar o malware Qbot sem exibir avisos de segurança. Quando os arquivos são baixados de um local remoto não confiável, como a Internet ou um anexo de e-mail, o Windows adiciona um atributo especial ao arquivo chamado Marca da Web. Esta Marca da Web (MoTW) é um fluxo de dados alternativo que contém informações sobre o arquivo, como a zona de segurança de URL da qual o arquivo se origina, seu referenciador e sua URL de download. Quando um usuário tenta abrir um arquivo com um atributo MoTW, o Windows exibe um aviso de segurança perguntando se ele tem certeza de que deseja abrir o arquivo. “Embora os arquivos da Internet possam ser úteis, esse tipo de arquivo pode danificar seu computador. Se você não confia na fonte, não abra este software”, diz o aviso do Windows.
Rubens Zolotujin 0 Comentários
nov 18 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • DuckDuckGo agora permite que todos os usuários Android bloqueiem rastreadores.
    O recurso ‘App Tracking Protection’ do DuckDuckGo agora está disponível para Android, permitindo que todos os usuários bloqueiem rastreadores de terceiros em todos os seus aplicativos instalados. O aplicativo DuckDuckGo para Android é um navegador web com foco na privacidade, mecanismo de pesquisa e utilitário de proteção de dados. Ele inclui vários recursos de privacidade, incluindo anonimato do termo de pesquisa, bloqueio de rastreador oculto, proteção de rastreador de e-mail, HTTPS automático e limpeza do histórico de navegação com um toque. A ‘Proteção contra rastreamento de aplicativos’ visa aumentar a privacidade em todo o sistema operacional, bloqueando scripts de rastreamento de terceiros em outros aplicativos Android instalados no dispositivo. O recurso funciona configurando o aplicativo DuckDuckGo para Android como uma VPN no dispositivo, o que permite que o aplicativo filtre o tráfego de outros aplicativos e bloqueie os rastreadores.
  • Hackers iranianos comprometeram a rede de uma agência federal dos EUA.
    Atores de ameaças patrocinados pelo governo iraniano foram acusados de comprometer uma agência federal dos EUA, aproveitando-se da vulnerabilidade Log4Shell em um servidor VMware Horizon não corrigido. Os detalhes, que foram compartilhados pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), vêm em resposta aos esforços de resposta a incidentes realizados pela autoridade entre junho e julho de 2022. “Os atores de ameaças cibernéticas exploraram a vulnerabilidade Log4Shell em um servidor VMware Horizon não corrigido, instalaram o software de mineração de criptografia XMRig, moveram-se lateralmente para o controlador de domínio (DC), comprometeram credenciais e implantaram proxy reverso em vários hosts para manter a persistência”, observou a CISA. LogShell, também conhecido como CVE-2021-44228, é uma falha crítica de execução remota de código na biblioteca de log baseada em Java no Apache Log4j amplamente usada.
  • Hackers chineses usam 42.000 domínios em campanha de phishing.
    Um grupo apelidado de Fangxiao está aproveitando a confiança associada a marcas internacionais populares para orquestrar uma campanha de phishing em larga escala. “Ele tem como alvo empresas em vários segmentos verticais, incluindo varejo, bancos, viagens e energia”, disseram as pesquisadoras Emily Dennison e Alana Witten. “Incentivos financeiros ou físicos prometidos são usados para induzir as vítimas a espalhar ainda mais a campanha via WhatsApp”. Os usuários que clicam em um link enviado pelo aplicativo de mensagens são direcionados a um site controlado pelo grupo, que, por sua vez, os envia a um domínio de destino que se faz passar por uma marca conhecida, onde as vítimas são levadas a sites que distribuem aplicativos fraudulentos e recompensas falsas.
Rubens Zolotujin 0 Comentários
nov 17 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Firefox corrige vulnerabilidades de alto impacto.
    A Mozilla anunciou o lançamento do Firefox 107. A versão mais recente do popular navegador da Web corrige um número significativo de vulnerabilidades. Um total de 19 identificadores CVE foram atribuídos às falhas de segurança corrigidas pelo Firefox 107, e nove deles receberam uma classificação de ‘alto impacto’. As falhas de alto impacto incluem problemas que podem levar à divulgação de informações, desvio de notificação em tela cheia que pode ser usado para ataques de falsificação ou execução arbitrária de código resultante de bugs de uso após a liberação. Vários bugs de segurança de memória descobertos pelos desenvolvedores da Mozilla receberam um único CVE e uma classificação de ‘alto impacto’. O Firefox não é tão visado por agentes de ameaças quanto o Chrome, mas sua popularidade ainda o torna um alvo tentador. No início deste ano, os usuários foram avisados sobre duas vulnerabilidades do Firefox sendo exploradas em ataques.
  • Pesquisadores descobrem falhas em instâncias do Amazon RDS.
    O Amazon RDS é um serviço web que possibilita a configuração de bancos de dados relacionais na nuvem Amazon Web Services (AWS). Ele oferece suporte para diferentes mecanismos de banco de dados, como MariaDB, MySQL, Oracle, PostgreSQL e SQL Server. A causa raiz dos vazamentos decorre de um recurso chamado public RDS snapshots, que permite criar um backup de todo o ambiente de banco de dados em execução na nuvem e pode ser acessado por todas as contas da AWS. “Certifique-se de que, ao compartilhar um snapshot como público, nenhuma de suas informações privadas sejam incluídas no compartilhamento”, adverte a Amazon em sua documentação. “Quando um snapshot é compartilhado publicamente, ele concede permissão a todas as contas da AWS para copiar o snapshot e criar instâncias de banco de dados a partir dele.” É altamente recomendável que os instantâneos do RDS não sejam acessíveis publicamente para evitar possíveis vazamentos ou uso indevido de dados confidenciais ou qualquer outro tipo de ameaça à segurança.
  • Grupo APT chinês tem como alvo agências governamentais e de defesa na Ásia.
    De acordo com os pesquisadores da Symantec, o Billbug teve como alvo uma autoridade de certificação digital, bem como agências governamentais e organizações de defesa em vários países da Ásia na última campanha. Ele visava a empresa de autoridade de certificação possivelmente para roubar certificados digitais legítimos e implantar malware assinado para evitar detecção. Supõe-se que o Billbug esteja obtendo acesso inicial às redes de destino, explorando vulnerabilidades conhecidas em aplicativos voltados para o público. O Billbug está utilizando essas ferramentas personalizadas com utilitários disponíveis publicamente para evitar rastreamentos de log suspeitos ou disparar alarmes em ferramentas de segurança e para dificultar os esforços de detecção e atribuição.
Rubens Zolotujin 0 Comentários
nov 15 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Gangue Lockbit vazou dados roubados da gigante global de alta tecnologia Thales.
    No início deste mês, o grupo francês de defesa e tecnologia confirmou estar ciente de que o grupo de ransomware LockBit 3.0 alegou ter roubado alguns de seus dados. Thales foi adicionado à lista de vítimas do grupo Lockbit 3.0 em 31 de outubro, a quadrilha ameaçou publicar dados roubados até 7 de novembro de 2022, caso a empresa não pagasse o resgate dentro do prazo. O prazo foi atingido e a gangue do ransomware manteve sua promessa e executou suas ameaças. Na sexta-feira, o grupo começou a publicar dados confidenciais roubados da empresa. A Thales minimizou o incidente e explicou que a violação de segurança não terá impacto em suas atividades. Esta é a segunda vez este ano que o Thales foi vítima de um ataque cibernético orquestrado pela gangue Lockbit. O primeiro ataque ocorreu em janeiro e na época a empresa também se recusou a pagar o resgate. Na época, a gangue vazou centenas de arquivos Zip, o mais recente datado de 1º de janeiro de 2022. Os arquivos vazados incluíam código interno.
  • NSA publica orientação sobre como mitigar problemas de segurança em memória de software.
    A Agência de Segurança Nacional (NSA) publicou orientações sobre como as organizações podem implementar proteções contra problemas comuns de segurança de memória de software. Causados por programas que gerenciam ou alocam memória, os problemas de segurança de memória de software são frequentemente explorados para execução remota de código (RCE). Representando a causa mais comum de vulnerabilidades em muitos casos (a Microsoft e o Google culpam os problemas de segurança da memória por 70% de seus bugs), os problemas de segurança da memória também podem levar ao comportamento incorreto do programa e à degradação do desempenho. Embora as ferramentas de análise de software possam detectar defeitos de gerenciamento de memória e algumas proteções possam existir, o uso de uma linguagem de software segura para memória pode prevenir ou mitigar a maioria desses problemas, diz a NSA. A NSA recomenda usar uma linguagem de memória segura quando possível.
  • Mais de 15.000 sites WordPress comprometidos em campanha maliciosa.
    Uma nova campanha maliciosa comprometeu mais de 15.000 sites WordPress em uma tentativa de redirecionar os visitantes para portais falsos de perguntas e respostas. A técnica de envenenamento do mecanismo de pesquisa foi projetada para promover um “punhado de sites falsos de perguntas e respostas de baixa qualidade” que compartilham modelos de criação de sites semelhantes e são operados pelo mesmo agente de ameaças. Algumas das páginas mais comumente infectadas consistem em wp-signup.php, wp-cron.php, wp-links-opml.php, wp-settings.php, wp-comments-post.php, wp-mail.php, xmlrpc.php, wp-activate.php, wp-trackback.php e wp-blog-header.php. Esse comprometimento extenso permite que o malware execute os redirecionamentos para sites de escolha do invasor.
Rubens Zolotujin 0 Comentários
nov 14 2022
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos escondem Malware em Imagens PNG.
    Um grupo de ameaças rastreado como ‘Worok’ utiliza esteganografia para ocultar malware em imagens PNG para infectar seus alvos. Isso foi confirmado por pesquisadores da Avast, que se basearam nas descobertas da ESET, a primeira a identificar e relatar a atividade da Worok no início de setembro de 2022. O Worok tinha como alvo vítimas de alto perfil, incluindo entidades governamentais no Oriente Médio, Sudeste Asiático e África do Sul, mas sua visibilidade na cadeia de ataques do grupo era limitada. Embora o método usado para violar as redes permaneça desconhecido, a Avast acredita que o Worok provavelmente usa o sideload de DLL para executar o carregador de malware CLRLoader na memória. Isso é baseado em evidências de máquinas comprometidas, onde os pesquisadores da Avast encontraram quatro DLLs contendo o código CLRLoader. Em seguida, o CLRLoader carrega a DLL de segundo estágio (PNGLoader), que extrai bytes incorporados em arquivos PNG e os usa para montar dois executáveis. A esteganografia oculta o código dentro de arquivos de imagem que parecem normais quando abertos em um visualizador de imagens.
  • Cisco corrige 33 vulnerabilidades em produtos de firewall corporativo.
    A Cisco anunciou o lançamento de patches para 33 vulnerabilidades de alta e média gravidade que afetam produtos de firewall corporativo que executam o software Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) e Firepower Management Center (FMC). O mais grave dos defeitos de segurança é o CVE-2022-20927, um bug na funcionalidade de políticas de acesso dinâmico (DAP) do software ASA e FTD, permitindo que um invasor remoto não autenticado cause uma condição de negação de serviço (DoS). Devido ao processamento inadequado de dados recebidos do módulo Posture (HostScan), um invasor pode enviar dados HostScan criados para fazer com que o dispositivo afetado seja recarregado, explica a Cisco. A Cisco corrigiu as falhas como parte de seu conjunto semestral de correções para software ASA, FTD e FMC. Os patches foram programados para publicação em 26 de outubro, mas a empresa atrasou seu lançamento em cerca de duas semanas.
  • Aplicativo malicioso está distribuindo Trojan na Google Play Store.
    O Google removeu dois novos aplicativos maliciosos que foram detectados na Play Store para Android, distribuindo o malware bancário Xenomorph. O Xenomorph é um trojan que rouba credenciais de aplicativos bancários nos dispositivos dos usuários, ele também é capaz de interceptar mensagens e notificações SMS dos usuários, permitindo que ele roube senhas de uso único e solicitações de autenticação multifator. O Xenomorph, documentado pela primeira vez pela ThreatFabric no início de fevereiro, é conhecido por abusar das permissões de acessibilidade do Android para realizar ataques de sobreposição, em que telas de login falsas são apresentadas em cima de aplicativos bancários legítimos.
Rubens Zolotujin 0 Comentários