abr 27 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • VMware lança patches críticos para Workstation e software Fusion.
    A VMware lançou atualizações para resolver várias falhas de segurança que afetam seus softwares Workstation e Fusion, sendo que a mais crítica pode permitir que um invasor local obtenha a execução do código. A vulnerabilidade, rastreada como CVE-2023-20869, é descrita como uma vulnerabilidade de estouro de buffer baseada em pilha que reside na funcionalidade de compartilhamento de dispositivos Bluetooth do host com a máquina virtual. “Um ator mal-intencionado com privilégios administrativos locais em uma máquina virtual pode explorar esse problema para executar o código com o processo VMX da máquina virtual em execução no host”, disse a empresa. Também corrigida pela VMware está uma vulnerabilidade de leitura fora dos limites que afeta o mesmo recurso (CVE-2023-20870), que pode ser abusada por um adversário local com privilégios de administrador para ler informações confidenciais contidas na memória do hipervisor de uma máquina virtual. As falhas foram corrigidas no Workstation versão 17.0.2 e no Fusion versão 13.0.2. Como solução temporária a VMware sugere que os usuários desativem o suporte a Bluetooth na máquina virtual.
  • Anúncios do Google são utilizados para distribuir malware LOBSHOT.
    Nos últimos meses, houve um aumento no abuso de anúncios do Google para distribuir vários malwares. Os agentes de ameaças costumam aproveitar a plataforma para promover sites falsos em software legítimo e atualizações de aplicativos para induzir usuários desavisados a baixar malware em seus sistemas. O LOBSHOT parece ser utilizado para fins financeiros, empregando recursos de trojan bancário, criptomoeda e roubo de informações. Ele tem como alvo 32 extensões do Chrome, nove extensões da carteira Edge e 11 extensões da carteira Firefox, permitindo que os agentes de ameaças roubem ativos de criptomoeda. Um dos principais recursos do malware está relacionado ao componente Hidden Virtual Network Computing (hVNC), que dificulta a detecção por soluções antivírus.
  • Aplicativo Google Authenticator obtém recurso de backup em nuvem.
    O Google revelou revelou uma grande atualização para seu aplicativo Authenticator com uma opção de sincronização de conta que permite aos usuários fazer backup de suas senhas únicas baseadas na nuvem. “Essa mudança significa que os usuários estão mais protegidos contra bloqueios e que os serviços podem contar com a manutenção do acesso dos usuários, aumentando a conveniência e a segurança”, disse Christiaan Brand, do Google. O recurso de sincronização na nuvem é opcional, o que significa que os usuários podem optar por usar o aplicativo Authenticator sem vinculá-lo a uma conta do Google. Dito isso, sempre vale a pena ter em mente as armadilhas associadas aos backups na nuvem, pois um agente mal-intencionado com acesso a uma conta do Google pode aproveitá-la para invadir outros serviços online.
Rubens Zolotujin 0 Comentários
abr 26 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google Cloud apresenta Security AI para detecção e análise de ameaças.
    A divisão de nuvem do Google está seguindo os passos da Microsoft com o lançamento do Security AI Workbench, que utiliza modelos generativos de IA para obter melhor visibilidade do cenário de ameaças. A ideia é aproveitar os avanços mais recentes em IA para aumentar a análise pontual de incidentes, detecção de ameaças e análise para combater e prevenir novas infecções, fornecendo inteligência confiável, relevante e acionável. Para esse fim, o Security AI Workbench abrange uma ampla variedade de novas ferramentas baseadas em IA, incluindo VirusTotal Code Insight e Mandiant Breach Analytics for Chronicle, para analisar scripts potencialmente maliciosos e alertar os clientes sobre violações ativas em seus ambientes. O Google também está usando modelos de aprendizado de máquina para detectar e responder a abuso de API e ataques de lógica de negócios, em que um adversário transforma uma funcionalidade legítima em uma arma para atingir um objetivo nefasto sem acionar um alerta de segurança.
  • Malware RustBucket está atacando sistemas macOS.
    Suspeita-se que um agente de ameaças norte-coreano com motivação financeira esteja por trás de uma nova cepa de malware para macOS da Apple chamada RustBucket. Segundo os pesquisadores o malware se comunica com servidores de comando e controle (C2) para baixar e executar várias cargas úteis. A empresa de gerenciamento de dispositivos da Apple o atribuiu o ataque a um grupo conhecido como BlueNoroff. No início deste ano, o FBI implicou o agente da ameaça pelo roubo de US$ 100 milhões em ativos de criptomoeda da Harmony Horizon Bridge em junho de 2022. O malware macOS identificado se disfarça como um aplicativo “Internal PDF Viewer” para ativar a infecção. Atualmente, não está claro como o acesso inicial é obtido e se os ataques foram bem-sucedidos, mas o desenvolvimento é um sinal de que os agentes de ameaças estão adaptando seus conjuntos de ferramentas para acomodar malware de plataforma usando linguagens de programação como Go e Rust.
  • Nova vulnerabilidade SLP pode permitir que invasores lancem ataques DDoS.
    Surgiram detalhes sobre uma vulnerabilidade de segurança de alta gravidade que afeta o Service Location Protocol (SLP) que pode ser armada para lançar ataques volumétricos de negação de serviço contra alvos. Os invasores que exploram essa vulnerabilidade podem aproveitar instâncias vulneráveis para lançar ataques massivos de amplificação de negação de serviço (DoS) com um fator de até 2.200 vezes, potencialmente tornando-o um dos maiores ataques de amplificação já relatados. A vulnerabilidade, que recebeu o identificador CVE-2023-29552, afeta mais de 2.000 organizações globais e mais de 54.000 instâncias SLP acessíveis pela Internet. Isso inclui VMWare ESXi Hypervisor, impressoras Konica Minolta, Planex Routers, IBM Integrated Management Module (IMM), SMC IPMI e 665 outros tipos de produtos.
Rubens Zolotujin 0 Comentários
abr 25 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cibercriminosos estão explorando Log4Shell em servidores VMware.
    A gangue 8220 está explorando a vulnerabilidade Log4Shell para instalar o CoinMiner nos servidores VMware Horizon. Este ataque visa especificamente sistemas não corrigidos e vulneráveis de empresas coreanas relacionadas à energia, deixando-os suscetíveis a vários invasores. Um log revelou que o processo ws_tomcatservice.exe, recentemente considerado vulnerável, instalou o malware CoinMiner. Embora o pacote detalhado não tenha sido identificado, o log do ataque indica que o comando PowerShell foi executado por meio do processo ws_tomcatservice.exe do VMware Horizon. Além disso,o grupo tem como alvo sistemas vulneráveis usando vulnerabilidades do Oracle Weblogic para baixar o ScrubCrypt que se conecta aos servidores C&C para baixar comandos adicionais, incluindo a instalação do XMRig CoinMiner. Entre janeiro e fevereiro, a Gangue 8220 foi encontrada visando vulnerabilidades do servidor Oracle Weblogic usando ScrubCrypt para evitar a detecção e realizar ataques de mineração.
  • Plataforma SolarWinds corrige vulnerabilidades de alta gravidade.
    Duas vulnerabilidades de alta gravidade corrigidas recentemente na plataforma SolarWinds podem levar à execução de comandos e escalonamento de privilégios. O mais grave dos dois problemas é o CVE-2022-36963, que é descrito como um bug de injeção de comando na solução de gerenciamento e monitoramento de infraestrutura da SolarWinds. A empresa explica que a falha pode ser explorada remotamente para executar comandos arbitrários. A exploração bem-sucedida da vulnerabilidade requer que o invasor possua as credenciais de uma conta de administrador válida da plataforma SolarWinds. Rastreado como CVE-2022-47505, o segundo problema de alta gravidade é descrito como uma falha de escalonamento de privilégio local. “Essa vulnerabilidade permite que um adversário local com uma conta de usuário de sistema válida aumente os privilégios locais”, explica SolarWinds. A empresa também corrigiu dois bugs de gravidade média no Database Performance Analyzer, um levando à divulgação de informações confidenciais e outro permitindo que os usuários enumerassem pastas diferentes do servidor.
  • Novo Botnet rouba credenciais de vários navegadores.
    Um novo botnet para roubo de credenciais, apelidado de bot Zaraza, está sendo promovido em um popular canal russo do Telegram. Ele é capaz de roubar informações confidenciais, incluindo credenciais de 38 navegadores populares. Além disso, ele abusa do Telegram para burlar os sistemas de segurança. O bot verifica a máquina infectada em busca de uma lista de 38 navegadores diferentes, incluindo Microsoft Edge, Google Chrome, Brave, Opera, Yandex, Vivaldi e AVG Browser. Ele tem como alvo bancos de dados e arquivos específicos no navegador para roubar credenciais. Se as credenciais forem armazenadas em um formato criptografado, ele as descriptografa antes de roubá-las.
Rubens Zolotujin 0 Comentários
abr 24 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cisco lança atualizações de segurança para corrigir falhas críticas em seus produtos.
    A Cisco lançou atualizações de segurança para solucionar falhas críticas de segurança em seus produtos que podem ser exploradas por agentes mal-intencionados para executar código arbitrário nos sistemas afetados. A mais grave das vulnerabilidades é uma falha de injeção de comando no Cisco Industrial Network Director (CVE-2023-20036, pontuação CVSS: 9,9), que reside no componente de interface do usuário web e surge como resultado da validação de entrada imprópria ao carregar um pacote de dispositivos. “Uma exploração bem-sucedida pode permitir que o invasor execute comandos arbitrários como NT AUTHORITY\SYSTEM no sistema operacional de um dispositivo afetado”, disse a Cisco em seu comunicado. Outra falha crítica no mecanismo de autenticação externa da plataforma de simulação de rede do Modeling Labs também foi corrigida pela Cisco. Rastreada como CVE-2023-20154 (pontuação CVSS: 9,1), a vulnerabilidade pode permitir que um invasor remoto não autenticado acesse a interface da Web com privilégios administrativos. Os patches foram disponibilizados na versão 1.11.3 , com a Cisco creditando um pesquisador “externo” não identificado por relatar os dois problemas.
  • Falhas críticas são encontradas nos bancos de dados PostgreSQL do Alibaba Cloud.
    Uma cadeia de duas falhas críticas foi divulgada no ApsaraDB RDS para PostgreSQL e no AnalyticDB para PostgreSQL da Alibaba Cloud, que podem ser exploradas para violar as proteções de isolamento de inquilinos e acessar dados confidenciais pertencentes a outros clientes. As vulnerabilidades permitiram potencialmente acesso não autorizado aos bancos de dados PostgreSQL dos clientes do Alibaba Cloud e a capacidade de realizar um ataque à cadeia de suprimentos em ambos os serviços de banco de dados do Alibaba, levando a um RCE nos serviços de banco de dados. Os problemas , apelidados de BrokenSesame , foram relatados ao Alibaba Cloud em dezembro de 2022, após a implementação de mitigações pela empresa em 12 de abril de 2023.
  • VMware emite alerta sobre falha crítica no Aria Operations for Logs.
    A VMware, em um comunicado divulgado em 20 de abril de 2023, alertou sobre uma falha crítica de desserialização que afeta várias versões do Aria Operations for Logs (CVE-2023-20864, pontuação CVSS: 9,8). “Um agente mal-intencionado não autenticado com acesso à rede do VMware Aria Operations for Logs pode executar código arbitrário como root”, disse a empresa. O VMware Aria Operations for Logs 8.12 corrige essa vulnerabilidade junto com uma falha de injeção de comando de alta gravidade que pode permitir que um invasor com privilégios de administrador execute comandos arbitrários como root. O alerta ocorre quase três meses depois que a VMware conectou dois problemas críticos no mesmo produto ( CVE-2022-31704 e CVE-2022-31706 , pontuações CVSS: 9,8) que podem resultar na execução remota de código.
Rubens Zolotujin 0 Comentários
abr 21 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • APT28 usa vulnerabilidade em roteadores Cisco para implantar malware.
    A NSA, a CISA e o FBI publicaram um comunicado conjunto delineando como o grupo de hackers russo APT28 está explorando roteadores Cisco. O APT28 tem implantado malware nos roteadores não corrigidos desde 2021. Esta campanha afetou alguns roteadores localizados na Europa e instituições governamentais dos EUA, bem como cerca de 250 indivíduos. Foi explorado o bug CVE-2017-6742 para implantar um malware personalizado conhecido como Jaguar Tooth. Após a instalação, o malware extrai informações do roteador e concede acesso não autorizado ao dispositivo. Esse malware permite que os invasores obtenham acesso a contas locais sem a necessidade de autenticação ao se conectar via Telnet ou sessão física. Além disso, o Jaguar Tooth gera um novo processo conhecido como ‘Service Policy Lock’, que coleta a saída de comandos específicos da interface de linha de comando (CLI) e a transfere usando o Trivial File Transfer Protocol (TFTP).
  • Cibercriminosos armazenam malware no Google Drive com arquivos ZIP para evitar a detecção.
    O Google divulgou o relatório do horizonte de ameaças de abril de 2023, que mostrava vários métodos usados pelos agentes de ameaças para escapar dos sistemas de segurança. A Equipe de Ação de Cibersegurança do Google ( GCAT ) pesquisaram uma lista de técnicas e métodos usados por agentes de ameaças durante o período para penetrar nos ambientes e outras atividades maliciosas. As observações durante o quarto trimestre de 2022 mostraram uma técnica em que os agentes de ameaças armazenavam arquivos maliciosos no Google Drive com arquivos ZIP criptografados para evitar a detecção. Uma campanha de malware também distribuiu malware URSNIF, um bot bancário e software de intrusão hospedando o binário URSNIF no Google Drive. Os criminosos usam e-mails de phishing para induzir as vítimas a baixar os arquivos ZIP maliciosos protegidos por senha, que instalarão o malware na máquina da vítima.
  • Servidores Microsoft SQL foram hackeados para implantar o ransomware Trigona.
    Os cibercriminosos estão invadindo servidores Microsoft SQL (MS-SQL) expostos para implantar cargas úteis do ransomware Trigona e criptografar todos os arquivos. Os servidores MS-SQL estão sendo violados por meio de ataques de força bruta ou de dicionário que se aproveitam de credenciais de contas. Eles também configuram o binário do ransomware para iniciar automaticamente em cada reinicialização do sistema por meio de uma chave de execução automática do Windows para garantir que os sistemas sejam criptografados mesmo após uma reinicialização. Antes de criptografar o sistema e implantar as notas de resgate, o malware desativa a recuperação do sistema e exclui todas as cópias do Windows Volume Shadow, impossibilitando a recuperação sem a chave de descriptografia.
Rubens Zolotujin 0 Comentários
abr 19 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Apple lançou novo recurso para proteger o iPhone contra o Spyware Pegasus.
    Pesquisadores dizem ter encontrado evidências de que o recurso chamado Lockdown Mode, ajudou a bloquear um ataque de hackers usando o spyware do fornecedor NSO Group. Na última terça-feira, o grupo de pesquisa de cibersegurança do Citizen Lab divulgou um relatório analisando três novas vulnerabilidades zero-day no iOS 15 e iOS 16, o que significa que a Apple não estava ciente das vulnerabilidades no momento em que foram usadas para atingir pelo menos dois defensores mexicanos de direitos humanos. Os pesquisadores descobriram que um dos ataques foi bloqueado pelo Modo de Bloqueio. Essa funcionalidade foi especificamente projetada para reduzir a superfície de ataque do iPhone, um termo de cibersegurança que se refere às partes do código ou recursos de um sistema propensos a ataques. Este é o primeiro caso documentado em que o Modo de Bloqueio protegeu alguém de um ataque direcionado. Nos casos recentes, os iPhones dos alvos bloquearam as tentativas de invasão e mostraram uma notificação informando que o Modo de Bloqueio impediu alguém de acessar o aplicativo Home do telefone.
  • LockBit Ransomware agora visa dispositivos macOS da Apple.
    Os agentes de ameaças por trás da operação de ransomware LockBit desenvolveram novos artefatos que podem criptografar arquivos em dispositivos que executam o sistema operacional macOS da Apple. Amostras adicionais identificadas pelo vx-underground mostram que a variante do macOS está disponível desde 11 de novembro de 2022 e conseguiu escapar da detecção dos mecanismos antimalware até agora. O LockBit é uma gangue de crimes cibernéticos que está ativa desde o final de 2019. De acordo com estatísticas divulgadas pela Malwarebytes na semana passada, o LockBit emergiu como o segundo ransomware mais usado em março de 2023, depois do Cl0p, respondendo por 93 ataques bem-sucedidos. As descobertas, gerais dos artefatos, são um sinal definitivo de que os agentes de ameaças estão cada vez mais voltados para os sistemas macOS.
  • Novo Trojan bancário Chameleon tem como alvo usuários Android.
    Um trojan bancário Android descoberto recentemente, conhecido como Chameleon, foi encontrado disfarçado como o popular aplicativo de criptomoeda CoinSpot. Notavelmente, o trojan se destaca devido aos comandos exclusivos usados pelo malware, que não parecem estar associados a nenhuma família de Trojan conhecida, sugerindo que pode ser uma nova cepa. Este software malicioso está operacional desde janeiro de 2023 e visa especificamente usuários na Polônia e na Austrália. Além do aplicativo CoinSpot, o Chameleon também finge ser outros aplicativos populares, incluindo uma agência governamental australiana e o polonês IKO Bank. Esses aplicativos maliciosos se espalham por meio de sites comprometidos, serviços de hospedagem Bitbucket e anexos do Discord. Além disso, os invasores usaram determinadas URLs para espalhar o malware.
Rubens Zolotujin 0 Comentários
abr 14 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Google lança novas iniciativas de segurança cibernética para fortalecer o gerenciamento de vulnerabilidades.
    O Google lançou um conjunto de iniciativas destinadas a melhorar o ecossistema de gerenciamento de vulnerabilidades e estabelecer medidas de maior transparência em relação à exploração. “Embora a notoriedade das vulnerabilidades de zero day normalmente cheguem às manchetes, os riscos permanecem mesmo depois das falhas serem conhecidas e corrigidas”, disse a empresa em um anúncio. “Esses riscos abrangem tudo, desde o tempo de atraso na adoção de OEM, pontos problemáticos de teste de patch, problemas de atualização do usuário final e muito mais.” As ameaças de segurança também decorrem de patches incompletos aplicados por fornecedores, com uma parte dos zero days explorados na natureza, transformando-se em variantes de vulnerabilidades corrigidas anteriormente.
  • WhatsApp apresenta novo recurso de verificação de dispositivos.
    O popular aplicativo WhatsApp anunciou na quinta-feira (13), um novo recurso de verificação de conta que garante que um malware em execução no dispositivo móvel de um usuário não afete sua conta. “O malware de dispositivos móveis é uma das maiores ameaças à privacidade e segurança das pessoas hoje, porque pode tirar proveito de seu telefone sem sua permissão e usar seu WhatsApp para enviar mensagens indesejadas”, disse a empresa Meta em um anúncio. Chamada de verificação de dispositivo , a medida de segurança é projetada para ajudar a prevenir ataques de controle de conta (ATO), bloqueando a conexão do agente da ameaça e permitindo que os alvos da infecção por malware usem o aplicativo sem qualquer interrupção. Em outras palavras, o objetivo é impedir o uso de malware pelos invasores para roubar as chaves de autenticação do WhatsApp e sequestrar as contas das vítimas e, posteriormente, se passar por elas para distribuir spam e links de phishing para outros contatos.
  • Hyundai sofreu uma violação de dados que afetou clientes na França e na Itália.
    A Hyundai divulgou uma violação de dados que afetou proprietários de carros italianos e franceses e clientes que reservaram um test drive. Os agentes de ameaças tiveram acesso aos endereços de e-mail, endereços físicos, números de telefone e números de chassis de veículos dos indivíduos afetados. A carta de violação de dados enviada aos indivíduos afetados informa que um terceiro não autorizado teve acesso ao banco de dados dos clientes. A Hyundai Itália notificou o órgão de vigilância da privacidade e contratou especialistas externos em segurança cibernética para determinar o escopo do incidente. De acordo com a carta, os dados financeiros não foram expostos. O número de indivíduos afetados ainda não está claro. A empresa também adverte os indivíduos afetados a serem cautelosos com tentativas de contato não solicitadas por e-mail, correio e/ou mensagem de texto.
Rubens Zolotujin 0 Comentários
abr 10 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Apple lança atualizações para corrigir falhas de Zero Day.
    A Apple lançou na sexta-feira (07), atualizações de segurança para iOS, iPadOS, macOS e navegador Safari para corrigir falhas de Zero Day que estão sendo exploradas ativamente. Os responsáveis por descobrir e relatar as falhas são Clément Lecigne, do Grupo de Análise de Ameaças (TAG) do Google, e Donncha Ó Cearbhaill, do Laboratório de Segurança da Anistia Internacional. Os detalhes sobre as duas vulnerabilidades foram retidos devido à exploração ativa e para impedir que mais agentes de ameaças se aproveitem da situação. As atualizações estão disponíveis na versão iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1.
  • Cibercriminosos usam o Telegram para vender kits de Phishing.
    Pesquisadores descobriram que os agentes de ameaças estão usando a plataforma de mensagens para vender kits de phishing e ajudar a configurar campanhas de phishing. Os links para esses canais do Telegram são distribuídos via YouTube, GitHub e os kits de phishing desenvolvidos pelos próprios cibercriminosos. A empresa russa de segurança cibernética Kaspersky, disse ter detectado mais de 2,5 milhões de URLs maliciosos gerados por kits de phishing nos últimos seis meses. Um dos serviços de destaque oferecidos é fornecer aos agentes de ameaças bots do Telegram que automatizam o processo de geração de páginas de phishing e coleta de dados do usuário. Outros serviços de bot vão um passo além ao oferecer opções de publicidade para gerar páginas de phishing que imitam um serviço legítimo, que são usadas para atrair vítimas em potencial sob o pretexto de distribuir curtidas gratuitas em serviços de mídia social.
  • CISA adverte sobre falhas críticas em sistemas de controle industrial.
    A Agência de Segurança Cibernética e Infraestrutura dos EUA, publicou oito avisos de Sistemas de Controle Industrial (ICS) alertando sobre falhas críticas que afetam produtos da Hitachi Energy, mySCADA Technologies, Industrial Control Links e Nexx. No topo da lista está o CVE-2022-3682 (pontuação CVSS: 9,9), impactando o MicroSCADA System Data Manager SDM600 da Hitachi Energy, que pode permitir que um invasor assuma o controle remoto do produto. A falha decorre de um problema com a validação de permissão de arquivo, permitindo assim que um adversário envie uma mensagem especialmente criada para o sistema, levando à execução arbitrária do código. Outro conjunto de cinco vulnerabilidades críticas está relacionado a erros de injeção de comando presentes nas versões mySCADA myPRO 8.26.0 e anteriores. “A exploração bem-sucedida dessas vulnerabilidades pode permitir que um invasor receba informações confidenciais, execute solicitações de interface programável de aplicativo (API) ou sequestre dispositivos”, disse a CISA.
Rubens Zolotujin 0 Comentários
abr 7 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Gangue de ransomware Money Message alega violação em fabricante MSI.
    A fabricante taiwanesa de peças de PC MSI (Micro-Star International) foi listada no portal de extorsão de uma nova gangue de ransomware conhecida como “Money Message”, que afirma ter roubado o código-fonte da rede da empresa. A MSI é uma gigante global de hardware que fabrica placas-mãe, placas gráficas, desktops, laptops, servidores, sistemas industriais, periféricos de PC e produtos de infoentretenimento, com uma receita anual que ultrapassa US$ 6,5 bilhões. O agente de ameaça listou o MSI em seu site de vazamento de dados e postou capturas de tela do que eles afirmam ser os bancos de dados CTMS e ERP do fornecedor de hardware e arquivos contendo código-fonte de software, chaves privadas e firmware do BIOS. A Money Message agora ameaça publicar todos esses documentos supostamente roubados em cerca de cinco dias, a menos que a MSI cumpra suas exigências de pagamento de resgate.
  • Google TAG alerta sobre ataques cibernéticos vinculados à Coreia do Norte.
    Um agente de ameaças apoiado pelo governo norte-coreano foi vinculado a ataques direcionados ao governo e militares, formuladores de políticas, acadêmicos e pesquisadores na Coreia do Sul e nos EUA. O Threat Analysis Group (TAG) do Google está rastreando o cluster sob o nome ARCHIPELAGO, que é um subconjunto de outro grupo de ameaças rastreado pela Mandiant sob o nome APT43. As cadeias de ataque montadas pelo ARCHIPELAGO envolvem o uso de e-mails de phishing contendo links maliciosos que, quando clicados pelos destinatários, redirecionam para páginas de login falsas projetadas para coletar credenciais.
  • 61% dos golpes no mundo envolvem comprometimento de credenciais.
    Os especialistas em segurança estão com a garganta ardendo de tanto falar sobre a necessidade de boas práticas de segurança e proteção de credenciais. Números apresentados pela Microsoft na última semana, porém, dão a métrica dessa necessidade e adicionam um senso de urgência, principalmente diante da métrica de que 61% de todos os golpes e brechas de segurança registrados em 2022 estiveram relacionados a problemas de login e verificação. Durante o evento Microsoft Secure, a companhia falou de uma economia cibercriminosa que gerou prejuízos de nada menos do que US$ 6 trilhões, ou cerca de R$ 30 trilhões, em todo o mundo. Desse total, US$ 4,35 milhões (cerca de R$ 22,1 milhões) foram registrados apenas nos Estados Unidos, um valor, inclusive, equivalente ao gasto estimado na aplicação de um bom programa de segurança, que evitaria perdas por alguns anos. “A autenticação multifator é o passo mais importante para evitar ataques comuns, mas é preciso ir além disso”, explica Inbar Cizer Kobrinsky, diretora sênior de produtos de proteção de identidade e segurança da Microsoft.
Rubens Zolotujin 0 Comentários
abr 5 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • HP corrigirá bug crítico em impressoras LaserJet em 90 dias.
    A HP anunciou em um boletim de segurança esta semana que levaria até 90 dias para corrigir uma vulnerabilidade de gravidade crítica que afeta o firmware de impressoras de nível empresarial. O problema de segurança é rastreado como CVE-2023-1707 e afeta cerca de 50 modelos de impressoras gerenciadas HP Enterprise LaserJet e HP LaserJet. A falha de divulgação de informações pode permitir que um invasor acesse dados confidenciais transmitidos entre as impressoras HP vulneráveis e outros dispositivos na rede. A HP diz que uma atualização de firmware que aborda a vulnerabilidade será lançada em 90 dias, portanto, não há correção disponível no momento.
  • Falha no Bing permite manipular resultados e roubar dados de usuários.
    Uma falha grave foi divulgada neste final de semana no Bing, o motor de buscas da Microsoft. A partir de sistemas mal configurados baseados na nuvem Azure, da empresa, cibercriminosos poderiam manipular resultados de pesquisa e, ao mesmo tempo, embutir códigos maliciosos em tais elementos, possibilitando o roubo de dados de usuários. A brecha não apenas serviria para disseminar desinformação e sites fraudulentos, a partir de resultados aparentemente legítimos, como também representava um alto risco para os usuários corporativos de plataformas como Office, Azure e outras gerenciadas pela Microsoft. Felizmente, não existem indícios de utilização maliciosa da vulnerabilidade, que já foi fechada pelos times da Microsoft. Em agradecimento, o time de especialistas em segurança recebeu uma recompensa de US$ 40 mil, como parte do programa de bug bounty da companhia.
  • Arquivos WinRAR SFX podem executar o PowerShell sem serem detectados.
    Os cibercriminosos estão adicionando funcionalidade maliciosa aos arquivos de extração automática do WinRAR que contêm arquivos aparentemente inofensivos, permitindo a implantação de backdoors sem acionar o agente de segurança no sistema de destino. O objetivo dos arquivos SFX é simplificar a distribuição de dados arquivados para usuários que não possuem um utilitário para extrair o pacote. Pesquisadores da CrowdStrike detectaram o abuso do SFX durante uma recente investigação de resposta a incidentes. A análise da Crowdstrike descobriu um adversário que usou credenciais roubadas para abusar do ‘utilman.exe’ e o configurou para iniciar um arquivo SFX protegido por senha que havia sido implantado no sistema anteriormente. Utilman é um aplicativo de acessibilidade que pode ser executado antes do login do usuário, frequentemente usado de forma abusiva por hackers para burlar a autenticação do sistema. Os pesquisadores aconselham os usuários a prestar atenção especial aos arquivos SFX e usar o software apropriado para verificar o conteúdo do arquivo e procurar possíveis scripts ou comandos programados para serem executados na extração.
Rubens Zolotujin 0 Comentários