mar 30 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Fornecedores de spyware foram pegos explorando falhas de Zero Day em Smartphones.
    Uma série de vulnerabilidades de dia zero que foram abordadas no ano passado foram exploradas por fornecedores de spyware comercial para atingir dispositivos Android e iOS, revelou o Threat Analysis Group (TAG) do Google. As duas campanhas distintas foram limitadas e altamente direcionadas, aproveitando a lacuna entre o lançamento de uma correção e quando ela foi realmente implantada nos dispositivos visados. Esses fornecedores estão permitindo a proliferação de ferramentas hacking perigosas, armando governos que não seriam capazes de desenvolver esses recursos internamente. A primeira das duas operações ocorreu em novembro de 2022 e envolveu o envio de links encurtados por mensagens SMS para usuários localizados na Itália, Malásia e Cazaquistão. A segunda campanha, observada em dezembro de 2022, consistia em vários Zero Days direcionados à versão mais recente do Samsung Internet Browser, com as explorações entregues como links únicos via SMS para dispositivos localizados nos Emirados Árabes Unidos.
  • Novo relatório mostra aumento de 400% nos ataques em APIs.
    O Relatório de segurança de API do Salt Labs, do primeiro trimestre de 2023, descobriu que houve um aumento de 400% em invasores únicos (mais de 4800) nos últimos seis meses. O relatório deixa claro que os invasores estão aprendendo a explorar APIs e eles estão cada vez mais persistentes. O relatório também descobriu que 80% dos ataques ocorreram em APIs autenticadas, tornando-se um problema generalizado para todos. Dado que é um dos tipos de ataque mais fáceis de executar, não é surpresa que os invasores estejam cada vez mais direcionando essa rota para uma organização. As Vulnerabilidades descobertas na natureza representam uma preocupação crítica para pequenas e grandes empresas. Os dados do relatório mostram que a confiança nas APIs continuam a crescer à medida que elas se tornam cada vez mais imperativas para o sucesso das organizações.
  • Gangues de ransomware estão atacando sistemas OT.
    A ENISA tem motivos para acreditar que as gangues de ransomware começarão a atacar os sistemas de tecnologia operacional de transporte (OT) em um futuro previsível. O setor de transporte, que compreende as indústrias aeronáutica, marítima, ferroviária e rodoviária, é um subgrupo do setor industrial, de acordo com o Global Industry Classification Standard (GICS). Não se trata apenas da circulação de pessoas, mas também de produtos. No entanto, relatos de OT sendo direcionados têm sido raros. A agência acredita que isso mudará em breve devido a muitos fatores, incluindo esforços contínuos de digitalização no setor que aumentam a conectividade de TI e OT, a alta probabilidade de empresas pagarem demandas de resgate para evitar impactos sociais e comerciais críticos e o número crescente de vulnerabilidades identificadas em ambientes OT.
Rubens Zolotujin 0 Comentários
mar 27 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft emite alerta sobre exploração da vulnerabilidade do Outlook.
    A Microsoft compartilhou na sexta-feira (24), orientações para ajudar os clientes a descobrir indicadores de comprometimento (IoCs) associados a uma falha do Outlook corrigida recentemente. Rastreada como CVE-2023-23397 (pontuação CVSS: 9,8), a falha crítica está relacionada a um caso de escalonamento de privilégios que pode ser explorado para roubar hashes do NT Lan Manager (NTLM) e realizar um ataque de retransmissão sem exigir nenhuma interação do usuário. A equipe de resposta a incidentes da Microsoft disse que encontrou evidências de exploração potencial da falha já em abril de 2022. “As organizações devem revisar o registro de eventos SMBClient, eventos de criação de processos e outras telemetrias de rede disponíveis para identificar exploração potencial via CVE-2023-23397”, disse a Microsoft. No início deste ano, a Microsoft também pediu aos clientes que mantivessem seus servidores Exchange locais atualizados, bem como tomassem medidas para reforçar suas redes para mitigar possíveis ameaças.
  • OpenAI revela bug por trás do incidente de exposição de dados do ChatGPT.
    A OpenAI divulgou que um bug na biblioteca de código aberto Redis foi responsável pela exposição de informações pessoais de outros usuários e títulos de bate-papo no serviço ChatGPT no início da semana passada. A falha, que veio à tona em 20 de março de 2023, permitia que alguns usuários visualizassem breves descrições das conversas de outros usuários na barra lateral do histórico de bate-papo, levando a empresa a desligar temporariamente o chatbot. “Também é possível que a primeira mensagem de uma conversa recém-criada esteja visível no histórico de bate-papo de outra pessoa se ambos os usuários estiverem ativos ao mesmo tempo”, disse a empresa. Para piorar a situação, a empresa de pesquisa de IA com sede em San Francisco disse que introduziu uma alteração no servidor por engano que levou a um aumento nos cancelamentos de solicitações, aumentando assim a taxa de erro.
Rubens Zolotujin 0 Comentários
mar 24 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Extensão falsa do ChatGPT é flagrada sequestrando contas do Facebook.
    O Google interveio para remover uma falsa extensão do navegador Chrome que se disfarçava como o serviço ChatGPT da OpenAI para coletar cookies de sessão do Facebook e sequestrar as contas. A extensão “ChatGPT For Google”, uma versão trojanizada de um complemento legítimo de navegador de código aberto, atraiu mais de 9.000 instalações desde 14 de março de 2023, antes de sua remoção. Ele foi originalmente carregada na Chrome Web Store em 14 de fevereiro de 2023. Uma vez de posse dos cookies da vítima, o agente da ameaça passa a assumir o controle da conta do Facebook, alterar a senha, alterar o nome e a foto do perfil e até mesmo usá-lo para disseminar propaganda extremista. As descobertas são mais uma prova de que os cibercriminosos são capazes de adaptar rapidamente suas campanhas para lucrar com a popularidade do ChatGPT para distribuir malware e realizar ataques oportunistas.
  • Novo Trojan bancário é direcionado para 450 aplicativos financeiros.
    Um trojan bancário Android chamado Nexus já foi adotado por vários agentes de ameaças para atingir 450 aplicativos financeiros e conduzir fraudes. Segundo os pesquisadores, o Nexus parece estar em seus estágios iniciais de desenvolvimento. O Nexus fornece todos os principais recursos para realizar ataques ATO (Account Takeover) contra portais bancários e serviços de criptomoeda, como roubo de credenciais e interceptação de SMS. O trojan, que apareceu em vários fóruns de cibercriminosos no início do ano, é anunciado como um serviço de assinatura para sua clientela por uma taxa mensal de US$ 3.000. O malware, como outros trojans bancários, contém recursos para controlar contas relacionadas a serviços bancários e de criptomoedas, realizando ataques de sobreposição e keylogging para roubar as credenciais dos usuários.
  • Cisco corrige vulnerabilidades de alta gravidade no software IOS.
    A Cisco publicou esta semana seu pacote semestral atualização do software IOS e IOS XE, que aborda dez vulnerabilidades, incluindo seis classificadas como ‘alta gravidade’. Os mais importantes são três bugs de segurança que podem ser explorados por invasores remotos e não autenticados para causar uma condição de negação de serviço (DoS). Outra falha DoS de alta gravidade foi resolvida no recurso de criação de perfil de cliente baseado em HTTP do software IOS XE para controladores de LAN sem fio (WLCs). Rastreado como CVE-2023-20067, o problema pode ser explorado por um invasor adjacente, sem autenticação. A Cisco também tratou de uma validação de entrada insuficiente na CLI do software IOS XE SD-WAN, que poderia permitir que um invasor autenticado executasse comandos no sistema operacional com privilégios de nível raiz. A Cisco diz que não tem conhecimento de nenhuma dessas falhas exploradas em ataques maliciosos. Informações adicionais sobre as falhas resolvidas podem ser encontradas na página de segurança da Cisco.
Rubens Zolotujin 0 Comentários
mar 23 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Evento de Cibersegurança 2023 imperdível em São Paulo.
    A HackerSec, principal empresa de cibersegurança do Brasil, anunciou a data da 4ª edição do seu evento oficial, o HackerSec Conference 2023. O evento acontecerá no dia 17 de junho de 2023 e promete ser ainda maior que a edição anterior. Reunindo centenas de especialistas em cibersegurança do mundo todo. O evento é conhecido por trazer as principais tendências, inovações e desafios do mundo cibernético. Com uma programação repleta de palestras, o evento tem como objetivo levar conhecimento sobre hacking e cibersegurança para estudantes e profissionais da área. Além disso, o HackerSec Conference é uma oportunidade única para estabelecer contatos com outros profissionais e empresas do setor de cibersegurança.
  • CISA alerta sobre falhas críticas de segurança em sistemas de controle industrial.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) divulgou oito avisos de Sistemas de Controle Industrial (ICS) na terça-feira (21), alertando sobre falhas críticas que afetam equipamentos da Delta Electronics e Rockwell Automation. Isso inclui 13 vulnerabilidades de segurança no InfraSuite Device Master da Delta Electronics, um software de monitoramento de dispositivos em tempo real. Todas as versões anteriores a 1.0.5 são afetadas pelos problemas. “A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor não autenticado obtenha acesso a arquivos e credenciais, aumente privilégios e execute remotamente código arbitrário”, disse a CISA. No topo da lista está o CVE-2023-1133 (pontuação CVSS: 9,8), uma falha crítica que surge do fato de que o InfraSuite Device Master aceita pacotes UDP não verificados e desserializa o conteúdo, permitindo assim que um invasor remoto não autenticado execute código arbitrário.
  • Fórum de vazamento de dados sai do ar após líder ser preso nos EUA.
    De acordo com informações publicadas na imprensa americana, Conor Brian Fitzpatrick seria o operador do site, onde atendia pelo pseudônimo Pompompurin. Ele foi preso na cidade de Peekskill, nas proximidades de Nova York, e teria admitido ser o responsável pelo Breached após sua prisão, que aconteceu no último dia 15. Ainda segundo a imprensa local, as autoridades teriam passado horas na residência do acusado, removendo sacos com evidências antes de prender Fitzpatrick. Por outro lado, não existem informações sobre a apreensão de dispositivos usados pelo jovem ou infraestruturas ligadas ao fórum, além de valores monetários que seriam ligados à operação. Antes mesmo da divulgação da prisão, um administrador autointitulado Baphomet afirmou estar assumindo as operações da plataforma. Dias após afirmar que o Breached Forums passaria por uma reformulação, o novo responsável pelas operações confirmou o fim do espaço usado para vazamentos de dados.
Rubens Zolotujin 0 Comentários
mar 22 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Novas variantes do malware ShellBot ataca servidores Linux.
    Servidores Linux SSH mal gerenciados estão sendo visados como parte de uma nova campanha que implanta diferentes variantes de um malware chamado ShellBot. ShellBot, é um malware DDoS desenvolvido em Perl e caracteristicamente usa o IRC para se comunicar com o servidor de comando e controle. O ShellBot é instalado em servidores com credenciais fracas, mas somente depois que os agentes de ameaças identificam sistemas com a porta SSH 22 aberta. Uma lista de credenciais SSH conhecidas é usada para iniciar um ataque de dicionário para violar o servidor e implantar a carga útil, logo após ele aproveita o protocolo Internet Relay Chat ( IRC ) para se comunicar com um servidor remoto.
  • Ferrari diz que ataque de ransomware expôs dados de clientes.
    A fabricante italiana de carros esportivos Ferrari disse na segunda-feira (20), que um agente de ameaça exigiu um resgate relacionado a informações de clientes que podem ter sido expostas em um ataque de ransomware. “Após o recebimento do pedido de resgate, imediatamente iniciamos uma investigação em colaboração com uma empresa líder global de segurança cibernética terceirizada”, disse a montadora. “Além disso, informamos as autoridades relevantes e estamos confiantes de que investigarão em toda a extensão da lei”. A empresa não disse quando o incidente ocorreu, mas pode estar relacionado a relatos de um ataque de ransomware em outubro de 2022, quando o grupo “RansomEXX” alegou ter roubado e vazado 7 GB de dados da Ferrari, que foi negado pela montadora na época. Em notificações enviadas por e-mail aos clientes, a Ferrari disse que as informações expostas incluem nome, endereço, endereço de e-mail e número de telefone.
  • A falha no Google Pixel permiti a recuperação de imagens.
    Uma falha ‘Acropalypse’ na ferramenta de marcação do Google Pixel possibilitou a recuperação parcial de capturas de tela e imagens editadas ou redigidas, incluindo aquelas que foram cortadas ou tiveram seu conteúdo mascarado, nos últimos cinco anos. A ferramenta de marcação é um editor de imagem integrado que permite redigir, cortar e alterar imagens em um dispositivo Google Pixel. A vulnerabilidade foi descoberta pelos pesquisadores de segurança Simon Aarons e David Buchanan, que relataram no Twitter que foi possível recuperar informações confidenciais de imagens editadas nos últimos cinco anos usando um ataque que eles apelidaram de “Acropalypse”. Aarons compartilhou um exemplo de como eles usaram a falha do Acropalypse para restaurar uma foto carregada no Discord de um cartão de crédito cujo número foi editado usando o recurso de marcador preto da ferramenta Markup. Depois de executar a foto por meio do exploit Acropalypse, eles recuperaram a imagem original.
Rubens Zolotujin 0 Comentários
mar 16 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • SAP lança atualizações de segurança corrigindo cinco vulnerabilidades críticas.
    O fornecedor de software SAP lançou atualizações de segurança para 19 vulnerabilidades, cinco classificadas como críticas, o que significa que os administradores devem aplicá-las o mais rápido possível para mitigar os riscos associados. As falhas corrigidas este mês afetam muitos produtos, mas os bugs de gravidade crítica afetam o SAP Business Objects Business Intelligence Platform (CMC) e o SAP NetWeaver. Falhas de segurança em produtos SAP são alvos excelentes para agentes de ameaças porque são comumente usadas por grandes organizações em todo o mundo e podem servir como pontos de entrada para sistemas extremamente valiosos. A SAP é o maior fornecedor de ERP do mundo, com 24% de participação no mercado global com 425.000 clientes em 180 países. Mais de 90% da Forbes Global 2000 usa seus produtos ERP, SCM, PLM e CRM. Em fevereiro de 2022, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) instou os administradores a corrigir um conjunto de vulnerabilidades graves que afetam os aplicativos de negócios SAP para evitar roubo de dados, ataques de ransomware e interrupção de processos e operações de missão crítica.
  • Nova operação de criptojacking está visando clusters Kubernetes.
    Pesquisadores de segurança cibernética descobriram a primeira campanha ilícita de mineração de criptomoeda usada desde o início de fevereiro de 2023. “A nova operação de criptojacking da Dero concentra-se na localização de clusters Kubernetes com acesso anônimo habilitado em uma API Kubernetes e escuta em portas não padrão acessíveis pela Internet”, disse CrowdStrike em um novo relatório. Os ataques, atribuídos a um ator desconhecido com motivação financeira, começam com a verificação de clusters Kubernetes com autenticação definida como –anonymous-auth=true, que permite solicitações anônimas ao servidor para descartar cargas iniciais de três endereços IP diferentes baseados nos EUA. Isso inclui a implantação de um Kubernetes DaemonSet chamado “proxy-api”, que, por sua vez, é usado para soltar um pod malicioso em cada nó do cluster Kubernetes para iniciar a atividade de mineração.
  • Cibercriminosos estão atacando sistemas Windows para implantar o ransomware Magniber.
    De acordo com o Threat Analysis Group (TAG) do Google, os criminosos estão explorando um bug do Microsoft SmartScreen para distribuir o ransomware Magniber, potencialmente infectando centenas de milhares de dispositivos. A TAG descobriu o exploit in-the-wild e o relatou à Microsoft no mês passado. Rastreada como CVE-2023-24880, a vulnerabilidade do Windows-Office foi corrigida com o Patch Tuesday. Ela está relacionada a uma vulnerabilidade semelhante de desvio do recurso de segurança do Windows SmartScreen, CVE-2022-44698, que a Microsoft corrigiu em dezembro, mas não antes dos invasores a encontrarem e usarem para lançar o mesmo malware.
Rubens Zolotujin 0 Comentários
mar 15 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Microsoft lança patches para 80 novas falhas de segurança.
    A atualização Patch Tuesday da Microsoft para março de 2023 está sendo lançada com correções para um conjunto de 80 falhas de segurança, duas das quais foram exploradas ativamente. Oito dos 80 bugs são classificados como Críticos, 71 são classificados como Importantes e um é classificado como Moderado em gravidade. As atualizações se somam a 29 falhas que a gigante da tecnologia corrigiu em seu navegador Edge baseado em Chromium nas últimas semanas. A divulgação também ocorre quando a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou as duas das falhas ao catálogo de Vulnerabilidades Exploradas Conhecidas e anunciou um novo programa piloto que visa alertar entidades críticas de infraestrutura sobre vulnerabilidades associadas à exploração conhecida de ransomware. Além da Microsoft, atualizações de segurança também foram lançadas por outros fornecedores desde o início do mês para corrigir várias vulnerabilidades.
  • Ransomware LockBit é a operação do cibercrime mais bem-sucedida do mundo.
    O ransomware LockBit foi descoberto pela primeira vez em setembro de 2019 e era anteriormente conhecido como ABCD ransomware por causa da extensão “.abcd virus” observada pela primeira vez. O grupo opera como um modelo Ransomware-as-a-service (RaaS). Resumindo, isso significa que os afiliados fazem um depósito para usar a ferramenta e depois dividem o pagamento do resgate com o grupo LockBit. Foi relatado que algumas afiliadas estão recebendo uma participação de até 75%. Os operadores do LockBit publicaram anúncios de seu programa de afiliados em fóruns de cibercriminosos russos, afirmando que não operarão na Rússia ou em nenhum país da CEI. Em 2022, o grupo publicou mais ataques bem sucedidos do que qualquer outro grupo de ransomware. Um dos recursos exclusivos do LockBit é seu programa de recompensas de bugs para seus criadores e compiladores de ransomware.
  • Falha do Fortinet FortiOS é explorada em ataque cibernéticos.
    Entidades governamentais e grandes organizações foram alvo de uma ameaça desconhecida ao explorar uma falha de segurança no software Fortinet FortiOS que pode resultar em perda de dados e corrupção de sistema operacional e arquivos. “A complexidade da exploração sugere um ator avançado e altamente direcionado a alvos governamentais ou relacionados ao governo”, disseram os pesquisadores da Fortinet em um comunicado na semana passada. A falha de zero day em questão é CVE-2022-41328, um bug de segurança média no FortiOS que pode levar à execução arbitrária de código. A falha de segurança veio à tona, depois que vários dispositivos FortiGate pertencentes a um cliente sofreram uma parada repentina do sistema e subsequente falha de inicialização, indicando uma violação de integridade. A Fortinet disse que o ataque foi altamente direcionado, com evidências apontando para organizações governamentais ou afiliadas ao governo.
Rubens Zolotujin 0 Comentários
mar 14 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Extensão falsa do ChatGPT sequestra contas de usuários.
    Uma falsa extensão do navegador Chrome da marca ChatGPT vem com recursos para sequestrar contas do Facebook e criar contas de administrador, destacando um dos diferentes métodos que os criminosos cibernéticos estão usando para distribuir malware. Ao sequestrar contas comerciais de alto perfil do Facebook, o agente da ameaça cria um exército de bots do Facebook para utilizar em anuncios pagos. O complemento do navegador é promovido por meio de postagens patrocinadas pelo Facebook e, embora ofereça a capacidade de se conectar ao serviço ChatGPT, também foi projetado para coletar cookies e dados de contas do Facebook usando uma sessão autenticada já ativa. O desenvolvimento ocorre quando os agentes de ameaças estão capitalizando a enorme popularidade do ChatGPT desde seu lançamento no final do ano passado para criar versões falsas do chatbot e induzir usuários desavisados a instalá-los.Também foram detectados aplicativos ChatGPT falsos distribuídos pela Google Play Store e outras lojas de aplicativos Android de terceiros para enviar o malware SpyNote aos dispositivos das pessoas.
  • Malware GoBruteforcer visa serviços populares da Web.
    Uma nova botnet baseada em Golang chamada GoBruteforcer foi flagrada escaneando e infectando servidores populares da web, incluindo FTP e MySQL. A botnet, hospedada em um site legítimo, implanta um bot Internet Relay Chat (IRC) em servidores comprometidos e o utiliza para se comunicar com o servidor C2 do invasor para obter mais instruções. Os pesquisadores da Palo Alto Networks revelaram que o GoBruteforcer é compatível com várias arquiteturas de processador, incluindo x86, x64 e ARM. O malware requer certas condições especiais, como o uso de argumentos específicos no momento da execução e a instalação de serviços direcionados já com senhas fracas. Ele é executado somente quando essas condições são atendidas. Os desenvolvedores adicionaram um módulo multiscan ao seu código-fonte para escanear e encontrar um conjunto mais amplo de máquinas-alvo em potencial. Após uma invasão bem-sucedida, o GoBruteforcer implanta um bot IRC com a URL do invasor.
  • Malware BATLOADER usa anúncios do Google para fornecer cargas úteis.
    O downloader de malware conhecido como BATLOADER foi observado abusando do Google Ads para fornecer cargas secundárias como Vidar Stealer e Ursnif. Os anúncios maliciosos são usados para falsificar uma ampla variedade de aplicativos e serviços legítimos, como Adobe, OpenAPI’s ChatGPT, Spotify, Tableau e Zoom. BATLOADER, como o nome sugere, é um carregador responsável por distribuir malware de próximo estágio, como ladrões de informações, malware bancário, Cobalt Strike e até mesmo ransomware. Uma das principais características das operações do BATLOADER é o uso de táticas de representação de software para distribuição de malware.
Rubens Zolotujin 0 Comentários
mar 13 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Akamai mitigou um ataque DDoS recorde que atingiu o pico de 900 Gbps.
    A Akamai informou que em 23 de fevereiro de 2023, mitigou o maior ataque DDoS de todos os tempos. O tráfego de ataque atingiu um pico de 900,1 gigabits por segundo e 158,2 milhões de pacotes por segundo. O DDoS recorde foi lançado contra um cliente da Prolexic na Ásia-Pacífico (APAC). A maior parte do tráfego malicioso (48%) foi gerenciada por centros de depuração na região APAC, mas a empresa afirma que todos os seus 26 centros foram carregados, com apenas um centro em HKG lidando com 14,6% do tráfego total. Em janeiro, a Microsoft anunciou que sua plataforma de proteção Azure DDoS mitigou um ataque recorde de 3,47 Tbps direcionado a um de seus clientes com uma taxa de pacotes de 340 milhões de pacotes por segundo. O ataque ocorreu em novembro e atingiu um cliente na Ásia, originado de aproximadamente 10.000 fontes e de vários países em todo o mundo, incluindo Estados Unidos, China, Coréia do Sul, Rússia, Tailândia, Índia, Vietnã, Irã, Indonésia e Taiwan.
  • Casa Branca aloca US$ 3,1 bilhões para cibersegurança em novo orçamento.
    A Casa Branca alocou um total de US$ 3,1 bilhões para infraestrutura de segurança cibernética em seu último relatório orçamentário. Publicado na quinta-feira, o documento mostra que US$ 145 milhões desse valor serão destinados a tornar a Agência de Segurança Cibernética e Infraestrutura (CISA) mais resiliente e defensável. Dos fundos restantes, US$ 98 milhões serão investidos na implementação do Cyber Incident Reporting for Critical Infrastructure e US$ 425 milhões para melhorar a segurança cibernética interna e os recursos analíticos da CISA. “Para se proteger contra adversários estrangeiros e salvaguardar os sistemas federais dos quais o povo americano depende, o Orçamento reforça a segurança cibernética ao garantir que cada agência aumente a segurança dos serviços públicos”, diz o documento.
  • Prometei Botnet infecta mais de 10.000 servidores Exchange.
    Uma versão atualizada de um malware botnet chamado Prometei infectou mais de 10.000 sistemas em todo o mundo desde novembro de 2022. As infecções são geograficamente indiscriminadas e oportunistas, com a maioria das vítimas relatadas no Brasil, Indonésia e Turquia. O Prometei, observado pela primeira vez em 2016, é um botnet modular que apresenta um grande repertório de componentes e vários métodos de proliferação, alguns dos quais também incluem a exploração de falhas do ProxyLogon Microsoft Exchange Server. A variante mais recente do Prometei (chamada v3) aprimora seus recursos existentes para desafiar a análise forense e aprofundar ainda mais seu acesso às máquinas vítimas. A sequência de ataque ocorre da seguinte forma: ao obter uma posição bem-sucedida, um comando do PowerShell é executado para baixar o malware botnet de um servidor remoto.
Rubens Zolotujin 0 Comentários
mar 9 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • CISA atualiza seu catálogo com 3 novas falhas de segurança.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), adicionou três falhas de segurança ao seu catálogo de Vulnerabilidades Conhecidas, citando evidências de exploração ativa. O mais crítico dos três é o CVE-2022-35914, que diz respeito a uma vulnerabilidade de execução remota de código na biblioteca de terceiros htmlawed presente no Teclib GLPI, um ativo de código aberto e pacote de software de gerenciamento de TI. Os detalhes exatos em torno da natureza dos ataques são desconhecidos, mas os pesquisadores de segurança em outubro de 2022 observaram tentativas de exploração. Desde então, uma prova de conceito (PoC) utilizando o cURL foi disponibilizada no GitHub e um scanner “em massa” foi anunciado para venda, disse Jacob Baines, pesquisador de segurança da VulnCheck, em dezembro de 2022. Além disso, os dados coletados pelo GreyNoise revelaram 40 endereços IP maliciosos dos EUA, Holanda, Hong Kong, Austrália e Bulgária, tentando abusar da falha.
  • Chrome 111 corrige várias vulnerabilidades.
    O Google anunciou esta semana o lançamento do Chrome 111 para o canal estável com patches para 40 vulnerabilidades. Um total de 24 dos bugs de segurança abordados foram relatados por pesquisadores externos. Isso inclui oito falhas de alta gravidade, 11 bugs de média gravidade e cinco problemas de baixa gravidade. Três das vulnerabilidades de alta gravidade relatadas por pesquisadores externos são bugs de uso após a liberação que afetam Swiftshader, DevTools e WebRTC, pelos quais o Google distribuiu recompensas de $15.000, $4.000 e $3.000, respectivamente. Além disso, o Chrome 111 resolve problemas de implementação inapropriados de gravidade média em solicitações de permissão, instalações de WebApp e preenchimento automático, um bug de estouro de buffer de heap e uma vulnerabilidade de uso após a liberação no Core.
  • Vulnerabilidade em plataforma da Toyota forneceu acesso a dados de clientes.
    Uma falha grave na plataforma de gerenciamento de relacionamento com o cliente (CRM) Toyota Customer 360, permitiu que um pesquisador de segurança tivesse acesso a informações pessoais dos clientes da montadora no México. O aplicativo web agrega dados de clientes de toda a organização, fornecendo uma visão única de todas as informações do cliente, incluindo informações pessoais e detalhes de compras e serviços. O pesquisador norte-americano Eaton Zveare conseguiu contornar a autenticação no aplicativo e acessar os dados do cliente, incluindo nomes, endereços, números de telefone, endereços de e-mail, histórico do veículo, dados de compra e serviço e CPF. O que Zveare descobriu foi que ele receberia uma mensagem de erro ‘403 solicitação bloqueada’ ao tentar acessar a página de produção, mas que ele poderia modificar o código Angular JavaScript nos aplicativos Web de desenvolvimento para ignorar a autenticação.
Rubens Zolotujin 0 Comentários