LUIGI TECNOLOGIA
Serviço em Tecnologias. Este é o nosso negócio.
BOLETIM DIÁRIO DE CIBERSEGURANÇA
BOLETIM DIÁRIO DE CIBERSEGURANÇA
- Novo método de ataque desenvolvido para abusar do Microsoft WebView2.
Uma nova técnica de phishing pode abusar dos aplicativos do Microsoft Edge WebView2 para roubar cookies de autenticação das vítimas, usando os quais os hackers ignoram o MFA para registrar contas. Um pesquisador conhecido como Sr.d0x desenvolveu um novo método de phishing chamado WebView2-Cookie-Stealer. O ataque inclui um executável WebView2, para o qual o pesquisador criou uma prova de conceito que abre um formulário de login genuíno da Microsoft. O ataque permite que um invasor acesse cookies diretamente e insira JavaScript dentro de uma página da Web carregada por um aplicativo para registrar pressionamentos de tecla e roubar cookies de autenticação. Além disso, o pesquisador revelou que era possível usar o aplicativo WebView2 para roubar cookies de um perfil de usuário do Chrome existente apenas copiando seu perfil do Chromium existente. A técnica de phishing torna possível até mesmo contornar mecanismos de segurança como MFA. Assim, os especialistas sugerem seguir as melhores práticas cibernéticas, evitando a instalação de aplicativos de fontes não confiáveis e sempre implementando o Microsoft Defender ou software antimalware. - Cibercriminosos começam a movimentar parte dos 100 milhões roubados.
Os cibercriminosos por trás do ataque de US$ 100 milhões na blockchain Harmony na semana passada começaram a movimentar parte dos valores desviados do projeto na noite do dia 27, mostram os dados públicos visualizados na blockchain. O projeto Harmony está ciente da movimentação dos invasores e está colaborando com empresas de análise de blockchain e com o FBI para identificar os culpados, disseram os desenvolvedores do projeto em um tweet na manhã da última terça-feira (28). O ataque ao protocolo Harmony é o mais recente roubo multimilionário a protocolos de Finanças Descentralizadas (ou DeFi). A empresa anunciou que irá oferecer uma recompensa de US$ 1 milhão pela devolução dos fundos roubados da bridge, afirmando, via Twitter, que não iria abrir acusações criminais se os fundos fossem devolvidos. Por conta das transferências feitas no início da semana, a oferta parece ter sido rejeitada. - OpenSSL lançará patch de segurança para vulnerabilidade de corrupção de memória.
A versão mais recente da biblioteca OpenSSL foi descoberta como suscetível a uma vulnerabilidade de corrupção de memória remota em sistemas selecionados. O problema foi identificado no OpenSSL versão 3.0.4 , lançado em 21 de junho de 2022 e afeta sistemas x64 com o conjunto de instruções AVX-512. OpenSSL 1.1.1, bem como bifurcações OpenSSL BoringSSL e LibreSSL não são afetados. O pesquisador de segurança Guido Vranken, que relatou o bug no final de maio, disse que “pode ser acionado trivialmente por um invasor”. Embora a falha tenha sido corrigida, nenhum patch foi disponibilizado ainda.
Tags
Sobre o Autor
Rubens Zolotujin
Rubens Zolotujin, renomado fundador da Luigi Tecnologia, é um visionário na área de segurança cibernética. Com um compromisso inabalável com a excelência, ele lidera sua empresa na missão de oferecer soluções de segurança de alta qualidade para empresas de todos os tamanhos. Com uma carreira pautada pela inovação e expertise em cibersegurança, Rubens se destacou como um líder respeitado no setor.
Rubens Zolotujin
