set 29 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Governo Federal anuncia projeto de lei para criação da Agência Nacional de Segurança Cibernética.
    O governo federal do Brasil, representado pelo ministro-chefe do Gabinete de Segurança Institucional (GSI), general Marcos Antônio Amaro dos Santos, anunciou planos para enviar um projeto de lei ao Congresso Nacional. O objetivo é a criação da Agência Nacional de Segurança Cibernética. Além da agência, o ministro também revelou que uma Política Nacional de Segurança Cibernética será estabelecida. Ambas as iniciativas estão programadas para serem apresentadas até o final de outubro. O anúncio foi feito durante o seminário “4ª Revolução Industrial: Desafios para a Defesa, Segurança e Desenvolvimento Nacional”, que ocorreu no Banco Nacional de Desenvolvimento Econômico e Social (BNDES), no Rio de Janeiro. A Política Nacional de Segurança Cibernética será definida por meio de um decreto presidencial, enquanto o projeto de lei para a criação da agência será submetido ao Congresso.
  • Campanha maliciosa rouba dados sensíveis através de pacotes npm e PyPi.
    Uma série de pacotes maliciosos nas plataformas npm e PyPi foi descoberta roubando uma ampla gama de dados sensíveis de desenvolvedores de software. A campanha teve início em 12 de setembro de 2023 e foi primeiramente identificada pela empresa Sonatype. Segundo os pesquisadores, após uma breve pausa operacional em 16 e 17 de setembro, o ataque foi retomado e se expandiu para o ecossistema PyPi. Desde o início da campanha, os invasores carregaram 45 pacotes maliciosos, sendo 40 no npm e 5 no PyPi. Variações no código indicam uma rápida evolução do ataque. Vários pacotes utilizaram “typosquatting” para se assemelhar a pacotes legítimos populares, enganando desenvolvedores a instalá-los. Alguns exemplos incluem pacotes que imitam bibliotecas populares como “Shineout” e “APM”.
  • Autoridades Ucranianas alertam para intensificação de ataques cibernéticos Russos.
    A Rússia intensificou seus ataques cibernéticos contra as agências de aplicação da lei da Ucrânia, visando descobrir informações sobre crimes de guerra cometidos por soldados russos, conforme afirmado por autoridades de cibersegurança ucranianas. Victor Zhora, vice-presidente do serviço de cibersegurança da Ucrânia (SSSCIP), revelou que as recentes campanhas de espionagem do Kremlin têm como alvo o escritório do procurador-geral da Ucrânia, tribunais e outras entidades envolvidas em investigações de crimes de guerra. Zhora não especificou se algum dos ataques foi bem-sucedido ou se informações sensíveis relacionadas às investigações de crimes de guerra foram expostas. Desde o início da guerra em fevereiro de 2022, os ucranianos têm coletado evidências de crimes de guerra russos, que incluem assassinato de civis, estupro, tomada de reféns, tortura e bombardeio de infraestrutura civil.
Rubens Zolotujin 0 Comentários
set 25 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Aumento de incidentes em sistemas Infraestruturas Críticas revela tendência preocupante.
    Pesquisas recentes indicam que 60% dos ataques cibernéticos contra o setor industrial são conduzidos por atores afiliados a estados e frequentemente habilitados, mesmo que inadvertidamente, por pessoal interno. Esses dados corroboram outras pesquisas que mostram um aumento no volume e na frequência de incidentes de cibersegurança em Sistemas de Controle Industrial (ICS) e Tecnologia Operacional (OT), especialmente contra infraestruturas críticas como produtores de energia. Infraestruturas Críticas de energia, manufatura, tratamento de água e instalações nucleares estão entre os tipos de indústrias frequentemente atacadas. A expectativa é que regulamentações e padrões mais rigorosos para relatar ataques cibernéticos se tornem comuns, fornecendo insights valiosos sobre a natureza e a gravidade dos ataques.
  • Apple lança correções para três novas vulnerabilidades de Dia Zero.
    Em uma ação rápida e decisiva, a Apple lançou uma série de atualizações de segurança para abordar três novas vulnerabilidades de dia zero que afetam uma gama de seus produtos, incluindo iOS, iPadOS, macOS, watchOS e o navegador Safari. Com essas novas descobertas, o número total de falhas de dia zero identificadas nos softwares da empresa neste ano chega a 16. As falhas de segurança recém-identificadas são críticas e variadas em sua natureza. A primeira, conhecida como CVE-2023-41991, é um problema de validação de certificado que poderia permitir que um aplicativo mal-intencionado burlasse a validação de assinatura. A segunda, CVE-2023-41992, é uma falha no Kernel que poderia permitir a um atacante local elevar seus privilégios no sistema. A terceira, CVE-2023-41993, é uma vulnerabilidade no WebKit que poderia levar à execução arbitrária de código quando processando conteúdo web malicioso.
  • Falhas de alta gravidade descobertas em produtos Atlassian.
    Atlassian e o Internet Systems Consortium (ISC) revelaram várias falhas de segurança em seus produtos que poderiam ser exploradas para realizar ataques de negação de serviço (DoS) e execução remota de código. A Atlassian, fornecedora australiana de serviços de software, confirmou que quatro falhas de alta gravidade foram corrigidas em novas versões lançadas no mês passado. As falhas incluem um bug de desserialização no pacote Google Gson que afeta o gerenciamento de patches no Jira Service Management Data Center e Server. Outra é uma falha de DoS no Confluence Data Center e Server. A terceira é uma falha de execução remota de código no Bitbucket Data Center e Server. A quarta é uma falha de DoS no servidor Apache Tomcat que afeta o Bamboo Data Center e Server. As correções para essas falhas estão disponíveis nas seguintes versões: Jira Service Management Server e Data Center, Confluence Server e Data Center, Bitbucket Server e Data Center e Bamboo Server e Data
Rubens Zolotujin 0 Comentários
set 22 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Cisco faz sua maior aquisição comprando Splunk por $28 Bilhões.
    A Cisco anunciou sua maior aquisição até o momento, comprando a empresa de software de cibersegurança Splunk por $157 por ação em um acordo em dinheiro avaliado em cerca de $28 bilhões. A tecnologia da Splunk ajuda as empresas a monitorar e analisar seus dados para minimizar o risco de ataques cibernéticos e resolver problemas técnicos mais rapidamente. O preço de compra é equivalente a cerca de 13% do valor de mercado da Cisco, uma grande aposta para uma empresa que historicamente evitou acordos de grande porte. A Cisco tem buscado novas e grandes fontes de receita à medida que o setor de nuvem pública consome mais de seus negócios tradicionais de back-end. Em 2023, a Cisco adquiriu quatro empresas focadas em segurança, incluindo Armorblox, Oort, Valtix e Lightspin. Se o acordo for bloqueado por reguladores ou se a Cisco desistir, terá que pagar uma taxa de rescisão de $1,48 bilhão à Splunk. Se a Splunk desistir, pagará uma taxa de rescisão de $1 bilhão à Cisco.
  • Atores Maliciosos usam falso Exploit WinRAR para espalhar Malware.
    Um ator malicioso divulgou um falso exploit de prova de conceito (PoC) para uma vulnerabilidade recentemente revelada no WinRAR. O objetivo era infectar usuários que baixassem o código com o malware Venom RAT. A vulnerabilidade no WinRAR, identificada como CVE-2023-40477, está relacionada a um problema de validação inadequada que poderia ser explorado para executar código remotamente em sistemas Windows. A conta do GitHub que hospedava o repositório, conhecida como whalersplonk, não está mais acessível. A PoC foi publicada quatro dias após o anúncio público da vulnerabilidade. O script Python, em vez de executar a PoC, se conecta a um servidor remoto para buscar um executável chamado Windows.Gaming.Preview.exe, que é uma variante do Venom RAT. O Venom RAT tem a capacidade de listar processos em execução e receber comandos de um servidor controlado pelo ator.
  • Batalha cibernética entre China e EUA atinge novo pico.
    O Ministério de Segurança do Estado da China (MSS) acusou os Estados Unidos de invadir servidores da Huawei, roubar dados críticos e implantar backdoors desde 2009. A acusação ocorre em meio a crescentes tensões geopolíticas entre os dois países. Em uma mensagem postada no WeChat, o MSS afirmou que as agências de inteligência dos EUA têm feito “tudo o possível” para conduzir vigilância, roubo secreto e invasões em muitos países, incluindo a China. O MSS destacou especificamente a Agência de Segurança Nacional dos EUA (NSA) por realizar ataques sistemáticos e baseados em plataforma contra a China para saquear seus recursos de dados importantes. O MSS afirmou que os EUA têm usado armas e equipamentos em grande escala para realizar ataques cibernéticos e operações de espionagem cibernética contra a China, Rússia e outros 45 países e regiões ao redor do mundo. 
Rubens Zolotujin 0 Comentários
set 21 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Pizza Hut enfrenta ataque cibernético e dados de clientes são comprometidos.
    A filial australiana da Pizza Hut foi vítima de um ataque cibernético, resultando no roubo de dados de clientes, incluindo endereços de entrega e detalhes de pedidos. Em um e-mail enviado aos clientes na quarta-feira, o CEO da Pizza Hut Austrália, Phil Reed, informou que a empresa tomou conhecimento em setembro de um acesso não autorizado por terceiros a parte dos dados da empresa. Reed afirmou que, após o incidente, a empresa tomou medidas para proteger seus sistemas, contratou especialistas em forense e cibersegurança e iniciou uma investigação para entender o ocorrido e identificar os dados afetados. Os dados comprometidos incluem detalhes de clientes e pedidos online da base de dados da Pizza Hut, como nomes, endereços de entrega, instruções, e-mails e números de contato. Para contas registradas, os dados também incluem números de cartão de crédito criptografados e senhas criptografadas.
  • DHS Alerta sobre Aumento de Ataques de Ransomware em 2023.
    A ameaça de ataques de ransomware continua sendo uma preocupação significativa para os Estados Unidos, com 2023 a caminho de se tornar o segundo ano mais lucrativo para os atacantes, conforme relatado pelo Departamento de Segurança Interna (DHS) em seu relatório anual. O relatório divulgado na semana passada, abordou uma variedade de questões, incluindo terrorismo, drogas ilegais, desinformação e atividades dos governos da Rússia, China e Irã. Uma seção inteira foi dedicada a ameaças cibernéticas e ransomware. Durante o primeiro semestre de 2023, os atacantes de ransomware extorquiram pelo menos $449,1 milhões globalmente. O DHS observou que, em média, uma empresa precisa de pelo menos 22 dias para se recuperar de um ataque de ransomware, e a recuperação frequentemente custa 50 vezes mais do que a demanda de resgate. O DHS também alertou sobre a crescente ameaça de malware desenvolvido por IA e desenvolvimento de software assistido por IA, que pode permitir ataques cibernéticos em maior escala e mais evasivos contra infraestrutura crítica dos EUA.
  • BlackCat Evolui com Ataque Sphynx e Compromete Armazenamento Azure.
    Em um incidente de segurança recente, a Sophos identificou a variante mais recente do ransomware BlackCat/ALPHV, denominada Sphynx. Esta versão apresenta novas funcionalidades e foi utilizada para criptografar contas de armazenamento Azure. Durante o incidente, os atacantes conseguiram infiltrar-se na conta Sophos Central de uma vítima e criptografar com sucesso 39 contas de armazenamento Azure. O modus operandi dos atacantes envolveu o acesso não autorizado à conta Sophos Central da vítima usando um OTP roubado. Em seguida, o grupo BlackCat desativou o recurso de Proteção contra Alterações e fez modificações nas políticas de segurança. Essas ações foram possíveis após o roubo do OTP do cofre LastPass da vítima através da extensão LastPass para Chrome. 
Rubens Zolotujin 0 Comentários
set 20 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Oriente Médio na mira de novos Ataques Cibernéticos.
    Provedores de serviços de telecomunicações no Oriente Médio estão sendo alvo de um novo conjunto de intrusões chamado ShroudedSnooper, que utiliza um backdoor furtivo denominado HTTPSnoop. “HTTPSnoop é um backdoor simples, mas eficaz, que utiliza técnicas inovadoras para interagir com drivers e dispositivos do kernel HTTP do Windows, ouvindo solicitações de entrada para URLs HTTP(S) específicos e executando esse conteúdo no endpoint infectado”, disse a Cisco Talos em um relatório. Suspeita-se que o ShroudedSnooper explore servidores voltados para a internet e implante o HTTPSnoop para obter acesso inicial aos ambientes-alvo. Ambas as variantes de malware se passam por componentes do aplicativo Cortex XDR da Palo Alto Networks. Até o momento, foram detectadas três amostras diferentes do HTTPSnoop.
  • Trojan XWorm surge como a nova ameaça global.
    O XWorm, um trojan de acesso remoto emergente, tem se destacado como uma das ameaças mais persistentes globalmente. Desde sua primeira observação em 2022, o malware passou por atualizações significativas que aprimoraram sua funcionalidade. A equipe de analistas da ANY.RUN analisou a versão mais recente do XWorm, desmontando suas mecânicas e configurações. A amostra analisada foi encontrada no banco de dados de malware da ANY.RUN, tendo sido inicialmente distribuída via MediaFire, um serviço de hospedagem de arquivos. Ao ser executado, o XWorm foi imediatamente detectado pelas regras do Suricata. A análise do sandbox revelou várias técnicas usadas pelo malware, incluindo a adição de seu atalho ao diretório de inicialização e o uso do agendador de tarefas para reiniciar-se com privilégios elevados. Uma tentativa de evasão da análise do sandbox foi observada quando o malware falhou ao ser executado, indicando que o XWorm agora verifica se está sendo executado em um ambiente virtualizado. Para contornar isso, a equipe ativou o Residential Proxy nas configurações do sandbox.
  • Erro da Microsoft revela segredos internos através do GitHub.
    A Microsoft inadvertidamente expôs uma vasta quantidade de informações internas sensíveis, abrangendo mais de três anos, através de um repositório público no GitHub. Embora o repositório fosse destinado apenas a fornecer acesso a código aberto e modelos de IA para reconhecimento de imagem, a URL do Azure Storage estava configurada erroneamente para conceder permissões em toda a conta, conforme informado pelos pesquisadores. Essa conta continha 38TB de dados adicionais, incluindo backups de computadores pessoais de funcionários da Microsoft. Estes backups continham dados pessoais sensíveis, como senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams. Além do acesso excessivamente permissivo, o token estava configurado para permitir permissões de “controle total” em vez de apenas leitura.
Rubens Zolotujin 0 Comentários
set 19 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Lazarus Group desafia a segurança de Criptomoedas.
    O Lazarus Group, ligado à Coreia do Norte, roubou cerca de $240 milhões em criptomoedas desde junho de 2023. Relatórios indicam que este grupo pode estar por trás do roubo de $31 milhões da exchange CoinEx em 12 de setembro de 2023. Este roubo recente se soma a outros ataques a plataformas como Atomic Wallet, CoinsPaid, Alphapo e Stake.com. Acredita-se que o grupo esteja mudando seu foco de serviços descentralizados para centralizados. Esta mudança pode ser atribuída a avanços na auditoria de contratos inteligentes no setor DeFi e ao acesso proporcionado por exchanges centralizadas através de ataques de engenharia social. A Coreia do Norte tem utilizado roubos de criptomoedas como meio de contornar sanções e financiar seus programas de armas. Outra fonte de receita para o país é a contratação de freelancers de TI no exterior, que usam documentos de identificação falsos.
  • Correções de segurança lançadas para FortiOS e FortiProxy.
    A Fortinet divulgou correções para uma vulnerabilidade de cross-site scripting (XSS) de alta gravidade que afeta várias versões do FortiOS e FortiProxy. Esta vulnerabilidade é identificada como CVE-2023-29183. A vulnerabilidade recebeu uma pontuação CVSS de 7.3, indicando um nível significativo de gravidade. Os usuários e administradores são aconselhados a aplicar as correções o mais rápido possível para proteger seus sistemas e redes. A exposição a essa vulnerabilidade pode permitir que atacantes executem scripts maliciosos, comprometendo a segurança dos sistemas afetados. A rápida resposta da empresa em fornecer patches demonstra seu compromisso em manter a segurança de seus clientes. Vulnerabilidades como essa reforçam a necessidade de manter os sistemas atualizados e monitorar constantemente as redes em busca de ameaças potenciais.
  • Pentágono amplia foco em cibersegurança e parcerias Internacionais.
    O Departamento de Defesa dos EUA (DoD) divulgou um resumo não classificado de sua Estratégia Cibernética 2023, detalhando planos para esforços ofensivos e defensivos. Um foco principal da Estratégia Cibernética 2023 é o compromisso de aumentar as capacidades cibernéticas de aliados e parceiros, visando fortalecer a resiliência coletiva contra ataques cibernéticos. Isso envolve ampliar a capacidade dos parceiros, expandir seu acesso à infraestrutura de cibersegurança e ajudá-los a desenvolver sua força de trabalho cibernética por meio de treinamentos e exercícios. Os parceiros também podem ser auxiliados diretamente no desenvolvimento de suas capacidades, habilitando funções que necessitam, mas ainda não possuem. Outro esforço significativo da estratégia é defender a nação e sua infraestrutura crítica, o que inclui não apenas a defesa real, mas também a interrupção e degradação das capacidades e infraestrutura dos atores de ameaças. 
Rubens Zolotujin 0 Comentários
set 18 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • TikTok enfrenta multa pesada por Violação de Dados na União Europeia.
    A Comissão Irlandesa de Proteção de Dados (DPC) impôs à TikTok uma multa de €345 milhões (cerca de $368 milhões) por violar o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia em relação ao tratamento de dados de crianças. A investigação, iniciada em setembro de 2021, examinou como a popular plataforma de vídeo de curta duração processou dados pessoais relacionados a usuários infantis (entre 13 e 17 anos) entre 31 de julho e 31 de dezembro de 2020. Entre as principais descobertas, destaca-se que o conteúdo postado por usuários infantis era definido como público por padrão, expondo-os a riscos adicionais. Houve também falha em fornecer informações transparentes aos usuários infantis e a implementação de padrões obscuros para direcionar os usuários a optar por opções invasivas de privacidade durante o processo de registro. Uma fragilidade no recurso de Compartilhamento Familiar permitiu que qualquer usuário não infantil (alguém que não pudesse ser verificado como pai ou responsável) associasse sua conta à de um menor, possibilitando que o usuário adulto habilitasse mensagens diretas para usuários infantis acima de 16 anos.
  • Google resolve processo de Privacidade com acordo Milionário.
    A Google concordou em pagar $93 milhões para resolver um processo movido pelo estado norte-americano da Califórnia, alegando que as práticas de privacidade de localização da empresa enganaram os consumidores e violaram as leis de proteção ao consumidor. “Nossa investigação revelou que a Google estava dizendo aos seus usuários uma coisa, que não rastrearia mais sua localização depois que eles optassem por não participar, mas fazia o oposto e continuava a rastrear os movimentos de seus usuários para seu próprio ganho comercial”, disse o Procurador-Geral da Califórnia, Rob Bonta.
  • NodeStealer ameaça segurança de usuários do Facebook Business.
    Uma campanha em andamento está visando contas do Facebook Business com mensagens falsas para coletar credenciais das vítimas usando uma variante do malware baseado em Python chamado NodeStealer, com o objetivo de assumir suas contas para atividades maliciosas subsequentes. Os ataques estão atingindo vítimas principalmente no sul da Europa e na América do Norte em diferentes segmentos, liderados pelos setores de serviços de manufatura e tecnologia. Documentado pela primeira vez pela Meta em maio de 2023, o NodeStealer começou como um malware JavaScript capaz de roubar cookies e senhas de navegadores para comprometer contas do Facebook, Gmail e Outlook. A Palo Alto Networks Unit 42 revelou, no mês passado, uma onda de ataques separada que ocorreu em dezembro de 2022 usando uma versão Python do malware, com algumas iterações também projetadas para realizar roubo de criptomoedas. 
Rubens Zolotujin 0 Comentários
set 15 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Caixa Econômica terá que indenizar usuários por dados vazados.
    A Justiça determinou que a Caixa Econômica Federal e outros órgãos do governo federal devem indenizar cerca de quatro milhões de beneficiários do Auxílio Brasil que tiveram seus dados pessoais expostos. O vazamento, revelado em outubro do ano passado, resultará em uma compensação de R$ 15 mil para cada indivíduo afetado, totalizando um montante de R$ 56 bilhões. Informações como números de telefone, endereços, datas de nascimento e documentos foram comprometidos no incidente, que foi divulgado pouco antes do primeiro turno das eleições presidenciais. Além da indenização individual, os órgãos deverão pagar R$ 40 milhões por danos morais coletivos ao Fundo de Defesa de Direitos Difusos. A decisão foi proferida pela 1ª Vara Cível Federal de São Paulo e envolve, além da Caixa, a União, a ANPD (Agência Nacional de Proteção de Dados) e o Dataprev.
  • Identidade digital baseada na localização é a nova arma contra cibercriminosos.
    A combinação de sinais de GPS, Wi-Fi e Bluetooth pode ser usada para localizar dispositivos com alta precisão, mesmo em ambientes fechados. Esta tecnologia avançada tem a capacidade de distinguir entre diferentes cômodos e andares de um edifício, o que amplia os benefícios da geolocalização para autenticação no ambiente digital. Uma das principais vantagens dessa abordagem é a criação de uma camada extra de proteção contra potenciais ataques cibernéticos. A precisão da localização pode atuar como um fator adicional de autenticação, dificultando a ação de criminosos que tentam acessar sistemas e dados sem autorização. Além de proteger contra ameaças externas, a identidade digital baseada na localização também pode ser útil para empresas e organizações que desejam garantir que apenas pessoal autorizado tenha acesso a áreas ou informações específicas.
  • Site do aeroporto de Guarulhos é alvo de ataque cibernético.
    O site do GRU Airport foi alvo de um ataque cibernético na terça-feira (12). A GRU Airport, concessionária responsável pela administração do aeroporto, confirmou o ataque. No entanto, a empresa esclareceu que, apesar do ataque, não houve alterações no site nem impacto nas operações do aeroporto. O Aeroporto Internacional de Guarulhos é o mais movimentado do Brasil. Em agosto, mais de 3,7 milhões de passageiros passaram por suas instalações, com quase 2,5 milhões em voos domésticos e 1,2 milhão em voos internacionais. Para reforçar a segurança, o governo federal lançou o programa “Aeroportos+Seguros”. Este programa prevê um investimento de R$ 40 milhões para melhorar a segurança em Guarulhos. As medidas incluem o aumento do número de câmeras, identificação com chave de acesso individualizada ao sistema de bagagens no Terminal 3 e novos equipamentos para detecção e identificação.
Rubens Zolotujin 0 Comentários
set 13 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • GitHub enfrenta vulnerabilidade crítica que expõe repositórios ao repojacking.
    Uma nova vulnerabilidade revelada no GitHub poderia ter exposto milhares de repositórios ao risco de ataques de “repojacking”. A falha poderia permitir que um invasor explorasse uma condição nas operações de criação de repositório e renomeação de nome de usuário do GitHub. A exploração bem-sucedida dessa vulnerabilidade impacta a comunidade de código aberto, possibilitando o sequestro de mais de 4.000 pacotes de código em linguagens como Go, PHP e Swift, bem como ações do GitHub. Após a divulgação responsável em 1º de março de 2023, a plataforma de hospedagem de código do GitHub, de propriedade da Microsoft, resolveu o problema em 1º de setembro de 2023.
  • Firefox e Thunderbird recebem correções após descoberta de falha crítica.
    A Mozilla lançou na última terça-feira atualizações de segurança para resolver uma vulnerabilidade crítica de dia zero no Firefox e Thunderbird que estava sendo ativamente explorada, um dia após o Google lançar uma correção para o problema em seu navegador Chrome. A vulnerabilidade, identificada como CVE-2023-4863, é uma falha de estouro de buffer no formato de imagem WebP que pode resultar na execução arbitrária de código ao processar uma imagem especialmente criada. “Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer no processo de conteúdo”, disse a Mozilla em um comunicado. “Estamos cientes de que este problema está sendo explorado em outros produtos.” De acordo com a descrição no Banco de Dados Nacional de Vulnerabilidades (NVD), a falha poderia permitir que um invasor remoto realizasse uma gravação de memória fora dos limites por meio de uma página HTML criada de forma maliciosa.
  • Ataques de phishing avançados visam sistemas Windows usando PowerShell.
    Uma nova campanha de ataque cibernético está em andamento, e ela se aproveita do script PowerShell associado a uma ferramenta legítima de red teaming. O objetivo é saquear hashes NTLMv2 de sistemas Windows comprometidos, com os principais alvos sendo sistemas localizados na Austrália, Polônia e Bélgica. Os atores de ameaças, nesta campanha, estão roubando e exfiltrando hashes NTLMv2. Eles fazem isso usando versões personalizadas do script PowerShell Start-CaptureServer da Nishang. Além disso, executam vários comandos do sistema e exfiltram os dados recuperados por meio das APIs Mockbin. Nishang é reconhecido como um framework e coleção de scripts e cargas úteis do PowerShell. Ele é amplamente utilizado para segurança ofensiva, testes de penetração e red teaming. Os ataques atuais empregam até cinco diferentes cadeias de infecção. No entanto, todos eles têm um ponto comum: utilizam e-mails de phishing contendo arquivos ZIP para infiltrar em alvos específicos, usando técnicas de geofencing.
Rubens Zolotujin 0 Comentários
set 12 2023
BOLETIM DIÁRIO DE CIBERSEGURANÇA

  • Notepad++ lança correção para múltiplas vulnerabilidades de segurança.
    A versão 8.5.7 do Notepad++ foi lançada com correções para vários zero days, sendo um deles potencialmente levando à execução de código ao enganar os usuários a abrir arquivos especialmente criados. O Notepad++ é um editor de código-fonte gratuito popular que suporta muitas linguagens de programação, pode ser estendido por meio de plugins e oferece recursos que aumentam a produtividade, como edição com várias abas e destaque de sintaxe. O pesquisador de segurança do GitHub, Jaroslav Lobačevski, relatou as vulnerabilidades no Notepad++ versão 8.5.2 para os desenvolvedores nos últimos meses. Provas de conceito para essas falhas também foram publicadas no aviso público do pesquisador, tornando essencial para os usuários atualizar o programa o mais rápido possível. Em 30 de agosto de 2023, um problema público foi criado para reconhecer o problema, e as correções para as quatro falhas foram incorporadas ao branch principal de código em 3 de setembro de 2023.
  • EUA e Reino Unido tomam medidas contra russos envolvidos em esquemas de ransomware.
    Onze cidadãos russos, supostamente parte do grupo criminoso que opera os esquemas do malware Trickbot e ransomware Conti, foram sancionados pelas autoridades dos Estados Unidos e do Reino Unido. Os indivíduos sancionados incluem atores-chave envolvidos na gestão e aquisição para o grupo Trickbot, que tem ligações com os serviços de inteligência russos. Acredita-se que este trojan bancário infame tenha roubado mais de $180 milhões em todo o mundo. A ação segue uma primeira série de sanções em fevereiro contra o que os oficiais descreveram como uma única rede criminosa por trás das gangues de ransomware Conti e Ryuk, bem como aqueles envolvidos com o trojan bancário Trickbot.
  • Cidade espanhola de Sevilha se recusa a pagar resgate após ataque do LockBit.
    Um ciberataque, atribuído ao grupo de ransomware LockBit, afetou a cidade de Sevilha, na Espanha, levando a uma interrupção significativa em seus sistemas. O conselho da cidade confirmou que não pagará o resgate de $1,5 milhão exigido pelos hackers. Este incidente comprometeu uma ampla gama de serviços municipais, incluindo polícia, bombeiros e coleta de impostos. O ataque começou dia 04 e, inicialmente, foi identificado como uma falha no sistema interno. No entanto, análises subsequentes revelaram que se tratava de um ciberataque. O modus operandi do LockBit envolve a extorsão de suas vítimas através da criptografia de redes e ameaças de divulgação de dados roubados em seu site de vazamentos. O prefeito de Sevilha, José Luis Sanz, informou na quinta-feira que a cidade está trabalhando para restaurar os serviços o mais rápido possível. Sevilha é a capital da região autônoma da Andaluzia na Espanha e a quarta maior cidade do país.
Rubens Zolotujin 0 Comentários