Ataques de ransomware em servidores VMware ESXi continuam aumentando. O VMware ESXi recebe muita atenção dos agentes de ameaças e, recentemente, muitos grupos de ransomware mudaram seu interesse para máquinas virtuais ESXi vulneráveis. Um novo ransomware chamado ESXiArgs e uma variante Linux do Royal Ransomware são as ameaças mais recentes a aderir a essa tendência. Os agentes de ameaças estão visando ativamente uma vulnerabilidade RCE de dois anos(CVE-2021-21974) que afeta servidores ESXi versão 6.xe e anteriores a 6.7, aparentemente por meio da porta OpenSLP (427). Os especialistas descobriram que aproximadamente 3.200 servidores VMware ESXi foram comprometidos em todo o mundo e afetados por esta campanha recente. No ano passado, muitos grupos de ransomware como Black Basta, Hive, RedAlert, e Cheers visaram VMs ESXi. Os especialistas estimam que as gangues de ransomware, incluindo as novas, como ESXiArgs, continuarão a representar ameaças para os ambientes ESXi.
CISA lança script de recuperação para vítimas de ransomware. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) lançou um script para recuperar servidores VMware ESXi criptografados pelos recentes ataques generalizados de ransomware ESXiArgs. Para ajudar os usuários a recuperar seus servidores, a CISA lançou um script ESXiArgs-Recover no GitHub para automatizar o processo de recuperação. “A CISA está ciente de que algumas organizações relataram sucesso na recuperação de arquivos sem pagar resgates. A CISA compilou esta ferramenta com base em recursos disponíveis publicamente, incluindo um tutorial de Enes Sonmez e Ahmet Aykac”, explica a CISA. “Essa ferramenta funciona reconstruindo os metadados da máquina virtual a partir de discos virtuais que não foram criptografados pelo malware”. Embora a página do projeto GitHub tenha as etapas necessárias para recuperar VMs, script limpará os arquivos criptografados de uma máquina virtual e tentará reconstruir o arquivo .vmdk da máquina virtual usando o arquivo simples não criptografado.
Falha em ransomware permite que vítimas liberem arquivos sem pagar nada. Uma nova variante do ransomware Clop mira diretamente servidores Linux rodando softwares da Oracle, mas também contém falhas que permitem a liberação dos arquivos após ataques, sem a necessidade de pagamento ou negociação com os criminosos. O malware que vem circulando desde dezembro do ano passado ainda parece estar em fase inicial de implementação. A SentinelLabs é a principal responsável por isso, liberando no GitHub um script programado em Python que é capaz de liberar arquivos bloqueados pelo Crop. O segredo está no uso de uma “chave mestra” de criptografia RC4 para realizar o travamento dos dados, que acaba armazenada no próprio sistema travado de forma desprotegida, o que permite que o processo seja revertido pelas próprias vítimas.
Lazarus Group explora dispositivos Zimbra não corrigidos. O grupo norte-coreano Lazarus APT foi associado a uma nova campanha de coleta de informações chamada ‘No Pineapple’. Ele abusou de falhas de segurança conhecidas em dispositivos Zimbra não corrigidos para infectar sistemas visando organizações de pesquisa dos setores público e privado nos setores de saúde e energia. Os alvos eram organizações de pesquisa em saúde na Índia, um departamento de engenharia química de uma universidade de pesquisa, um fabricante de tecnologia usada nos setores de energia, pesquisa, defesa e saúde; e um cliente não identificado. Além disso, acredita-se que cerca de 100 GB de dados sejam exportados pelo grupo de hackers junto com o comprometimento de um cliente não identificado. A invasão digital ocorreu no terceiro trimestre de 2022. Em um dos ataques, Lazarus obteve acesso a um servidor de correio Zimbra defeituoso, abusando de falhas RCE rastreadas como CVE-2022-27925 e CVE-2022-37042. Além disso, uma falha de escalação de privilégio local foi abusada no servidor Zimbra ( CVE-2021-4034 ), permitindo que o grupo de ameaças coletasse dados confidenciais da caixa de correio. O grupo Lazarus é conhecido por atualizar regularmente seu arsenal de ataque com novas ferramentas e táticas; desta vez inclui a exploração de servidores Zimbra. Para proteção contra essas ameaças, a primeira linha de defesa é definitivamente ter um sistema robusto de gerenciamento de patches instalado.
Trojan bancário tem como alvo usuários de dispositivos Android. De acordo com os pesquisadores, os agentes de ameaças estão usando malware chamado TgToxic empacotado como aplicativos falsos e anunciam esses aplicativos usando links de phishing/smishing. Durante os primeiros dias da campanha, os criminosos fizeram postagens fraudulentas no Facebook, com um link de phishing incorporado para atingir usuários taiwaneses por meio de engenharia social. No final de agosto e outubro de 2022, eles usaram sites de phishing de criptomoedas para atingir vítimas em potencial em Taiwan e na Indonésia. De novembro de 2022 a janeiro de 2023, eles usaram links smishing para atingir usuários da Tailândia e sites de phishing criptográfico para atingir usuários indonésios.
Gangue de ransomware LockBit reivindica ataque cibernético do Royal Mail. A operação de ransomware LockBit reivindicou o ataque cibernético ao principal serviço de entrega de correspondência do Reino Unido, Royal Mail, que forçou a empresa a interromper seus serviços de remessa internacional devido a “severa interrupção do serviço”. Isso ocorre depois que LockBitSupport, o representante público da gangue de ransomware, disse que o grupo de crimes cibernéticos LockBit não atacou o Royal Mail. O Royal Mail detectou o ataque pela primeira vez em 10 de janeiro e contratou especialistas forenses externos para ajudar na investigação.
Vulnerabilidade de alta gravidade é corrigida no VMware Workstation. A VMware informou os usuários sobre a disponibilidade de patches para uma falha que pode ser explorada por cibercriminosos para escalonamento de privilégios. A falha, rastreada como CVE-2023-20854, foi descrita pela VMware como uma vulnerabilidade de exclusão arbitrária de arquivo que afeta a versão 17.x no Windows. “Um ator mal-intencionado com privilégios de usuário local na máquina da vítima pode explorar essa vulnerabilidade para excluir arquivos arbitrários do sistema de arquivos da máquina na qual o Workstation está instalado”, disse a VMware em seu comunicado. Embora essa vulnerabilidade nunca seja explorada na natureza, os usuários do VMware foram avisados sobre uma série de falhas recentemente corrigidas do vRealize Log Insight para as quais o código de exploração está disponível. A indústria de segurança cibernética está atenta a qualquer tentativa de exploração envolvendo as vulnerabilidades.
OpenSSH lança patch para vulnerabilidades de segurança. Os mantenedores do OpenSSH lançaram o OpenSSH 9.2 para resolver vários bugs de segurança, incluindo uma vulnerabilidade de segurança de memória no servidor OpenSSH. Rastreada como CVE-2023-25136, a falha foi classificada como uma vulnerabilidade dupla de pré-autenticação que foi introduzida na versão 9.1. “Acredita-se que isso não seja explorável e ocorre no processo de pré-autenticação não privilegiado que está sujeito ao chroot (2) e é ainda mais protegido na maioria das plataformas principais”, divulgou o OpenSSH em suas notas de lançamento em 2 de fevereiro de 2023. OpenSSH é a implementação de software livre do protocolo Secure Shell ( SSH ) que oferece um conjunto de serviços para comunicações criptografadas em uma rede não segura em uma arquitetura cliente-servidor. Recomenda-se que os usuários atualizem para o OpenSSH 9.2 para mitigar possíveis ameaças à segurança.
Cibercriminosos russos lançam nova plataforma de ataque. Hackers russos estão usando uma nova plataforma DDoS-as-a-Service, chamada Passion, para atingir instituições médicas nos EUA, Portugal, Espanha, Alemanha, Polônia, Finlândia, Noruega, Holanda e Reino Unido. Os operadores do Passion anunciaram seus serviços pela primeira vez no início deste ano, realizando várias desfigurações em sites de organizações japonesas e sul-africanas. Seu serviço é fornecido por assinatura, permitindo que os clientes selecionem seus vetores de ataque, duração e intensidade desejados. Os hackers aceitam pagamentos por Bitcoin, Tether e o serviço de pagamento russo QIWI. Eles usam o serviço de medição Dstat.cc para mostrar seus recursos de ataque, força e eficiência para clientes em potencial. Os TTPs do Passion se assemelham aos de outros grupos pró-russos, como KillNnet, MIRAI, Venom e Anonymous Russia, envolvidos no conflito russo-ucraniano.
Grupos de ransomware estão explorando falha em servidores VMware ESXi. Os hipervisors VMware ESXi são alvo de uma nova onda de ataques projetados para implantar ransomware em sistemas comprometidos. Essas campanhas de ataque exploram o CVE-2021-21974, para o qual um patch está disponível desde 23 de fevereiro de 2021. A VMware, em seu próprio alerta divulgado na época, descreveu o problema como uma vulnerabilidade no OpenSLP que poderia levar à execução de código arbitrário. “Um ator mal-intencionado residindo na mesma rede que o ESXi e com acesso à porta 427 pode desencadear o problema de estouro de heap no serviço OpenSLP, resultando na execução remota de código”, observou o provedor de serviços de virtualização. Suspeita-se que as invasões estejam relacionadas a uma nova variedade de ransomware baseada em Rust chamada Nevada, que surgiu em dezembro de 2022. Recomenda-se que os usuários atualizem para a versão mais recente do ESXi para mitigar possíveis ameaças.
Jira Service da Atlassian é considerado vulnerável à RCE. A Atlassian lançou correções para resolver uma falha crítica de segurança no Jira Service Management Server e Data Center que poderia ser abusada por um invasor para se passar por outro usuário e obter acesso não autorizado a instâncias suscetíveis. A empresa também alertou que, embora os usuários sincronizados com o serviço Jira por meio de diretórios de usuários somente leitura ou logon único (SSO) não sejam afetados, os clientes externos que interagem com a instância por e-mail são afetados, mesmo quando o SSO está configurado. A Atlassian enfatizou que os sites do Jira hospedados na nuvem por meio de um domínio atlassian[.]net não são afetados pela falha e que nenhuma ação é necessária nesse caso.
Novas vulnerabilidades de alta gravidade descobertas nos produtos Cisco IOx e F5 BIG-IP. A F5 alertou sobre uma falha de alta gravidade que afeta os dispositivos BIG-IP e que pode levar à negação de serviço (DoS) ou à execução arbitrária de códigos. O problema está enraizado na interface iControl Simple Object Access Protocol ( SOAP ) e afeta várias versões do BIG-IP. “Existe uma vulnerabilidade de string de formato no iControl SOAP que permite que um invasor autenticado trave o processo iControl SOAP CGI ou, potencialmente, execute código arbitrário”, disse a empresa em um comunicado. “No modo de dispositivo BIG-IP, uma exploração bem-sucedida dessa vulnerabilidade pode permitir que o invasor ultrapasse um limite de segurança”. Rastreado como CVE-2023-22374 (pontuação CVSS: 7,5/8,5), o pesquisador de segurança Ron Bowes, da Rapid7, foi creditado por descobrir e relatar a falha em 6 de dezembro de 2022. A F5 observou que resolveu o problema em um hotfix de engenharia disponível para versões com suporte do BIG-IP. Como solução alternativa, a empresa está recomendando que os usuários restrinjam o acesso à API iControl SOAP apenas a usuários confiáveis.
Vulnerabilidade em dispositivos industriais Cisco é um pesadelo em potencial. A Cisco lançou patches para uma vulnerabilidade de alta gravidade (CVE-2023-20076) encontrada em alguns de seus roteadores industriais, gateways e pontos de acesso sem fio corporativos, que podem permitir que invasores insiram códigos maliciosos que não podem ser excluídos simplesmente reiniciando o dispositivo ou atualizando seu firmware. Segundo os pesquisadores, a injeção de comando ignora as mitigações que a Cisco implementou para garantir que as vulnerabilidades não persistam em um sistema. Evitar essa medida de segurança significa que, se um invasor explorar essa vulnerabilidade, o pacote malicioso continuará em execução até que o dispositivo seja redefinido de fábrica ou até que seja excluído manualmente. Embora os invasores devam primeiro obter acesso administrativo autenticado a um dispositivo vulnerável para explorá-lo, ataques de phishing bem-sucedidos, credenciais de login padrão e erros de escalonamento de privilégios não são ocorrências tão raras quanto se desejaria e podem abrir caminho para a exploração da CVE-2023-20076.
Malware HeadCrab comprometeu mais de 1.200 servidores Redis. Pelo menos 1.200 servidores de banco de dados Redis foram atacados em todo o mundo com uma botnet apelidada de HeadCrab desde o início de setembro de 2021. Esse agente de ameaça avançado utiliza um malware de última geração feito sob medida que é indetectável por soluções antivírus tradicionais. Uma concentração significativa de infecções foi registrada na China, Malásia, Índia, Alemanha, Reino Unido e Estados Unidos até o momento. As origens do ator de ameaça são atualmente desconhecidas. O ataque foi projetado para atingir servidores Redis expostos à Internet, seguido pela emissão de um comando SLAVEOF de outro servidor Redis que já está sob o controle do adversário.
Mais de 1.800 formulários de phishing para Android estão à venda na Deep Web. Um agente de ameaças chamado InTheBox está promovendo em fóruns de cibercrimes russos um inventário de 1.894 injeções na web (sobreposições de janelas de phishing) para roubar credenciais e dados confidenciais de aplicativos bancários, de troca de criptomoedas e de comércio eletrônico. As sobreposições são compatíveis com vários malwares bancários do Android e imitam aplicativos operados por grandes organizações usadas em dezenas de países em quase todos os continentes. Estar disponível em tais números e a preços baixos permite que os cibercriminosos se concentrem em outras partes de suas campanhas, no desenvolvimento do malware e ampliem seu ataque para outras regiões. Normalmente, os trojans bancários móveis verificam quais aplicativos estão presentes em um dispositivo infectado e extraem do servidor de comando e controle o malware para aplicativos de interesse.
Nova exploração no ChromeBook cancela o registro de dispositivos gerenciados. Uma nova exploração chamada ‘Sh1mmer’ permite que os usuários cancelem o registro de um Chromebook gerenciado pela empresa, permitindo que instalem qualquer aplicativo que desejarem e ignorem as restrições do dispositivo. Quando os Chromebooks são registrados em uma escola ou empresa, eles são gerenciados por políticas estabelecidas pelos administradores da organização. Isso permite que os administradores forcem a instalação de extensões de navegador, aplicativos e restrinjam como um dispositivo pode ser usado. Além disso, uma vez registrado, é quase impossível cancelar o registro do dispositivo sem que o administrador da organização faça isso por você. Para usar esse exploit, é preciso baixar um shim RMA para a placa do Chromebook e usar o construtor online do pesquisador para injetá-lo com o exploit Sh1mmer, e em seguida, executar o utilitário Chrome Recovery. O Google disse que está ciente da exploração e estão trabalhando para resolver o problema.
VMware divulgou quatro vulnerabilidades que afetam o software vRealize. As falhas divulgadas afetam o software vRealize de coleta e análise de logs da VMware. As atualizações para as vulnerabilidades estão disponíveis para o VMware vRealize Log Insight na versão 8.10.2. A VMware também publicou soluções alternativas para os clientes afetados. De acordo com o comunicado, todas as quatro falhas foram relatadas pela Zero Day Initiative da Trend Micro. O pesquisador James Horseman publicou na última terça feira, detalhes técnicos e uma exploração de prova de conceito para as falhas, que podem ser encadeados para executar código remotamente. “Além disso, como é improvável que este produto seja exposto à Internet, o invasor provavelmente já estabeleceu uma posição em outro lugar da rede”, escreveu Horseman. “Esta vulnerabilidade permite a execução remota de código como root, essencialmente dando ao invasor controle completo sobre o sistema. Se um usuário determinar que foi comprometido, é necessária uma investigação adicional para determinar qualquer dano causado por um invasor.”
Operadores do ransomware Lockbit lançaram uma nova versão do malware. Os operadores de ransomware Lockbit implementaram uma nova versão de seu malware, apelidado de LockBit Green, que foi projetado para incluir serviços baseados em nuvem entre seus alvos. Esta é a terceira versão do ransomware desenvolvida pela notória gangue. Os afiliados ao Lockbit RaaS podem obter o LockBit Green usando o recurso do construtor no portal LockBit. De acordo com os pesquisadores que analisaram a nova versão, os operadores modificaram sua variante do ransomware ESXI. Os especialistas apontaram que apenas uma pequena parte do código-fonte foi modificado pelo LockBit, incluindo a nota de resgate que é idêntica à usada pela variante LockBit Black.
Nova variante do Malware GOOTLOADER utiliza novas técnicas de ofuscação. Os operadores do malware GOOTLOADER, estão atualizando ativamente o seu conjunto de ferramentas. As atualizações recentes incluem alterações na cadeia de infecção, distribuição de novas cargas úteis após a infecção, recursos furtivos aprimorados e integração de novos componentes. A nova variante foi identificada em novembro do ano passado, usando uma nova cadeia de infecção, rastreada como GOOTLOADER.POWERSHELL. Esta variante segue uma cadeia de ataque típica. Quando qualquer usuário visita um site comprometido, um arquivo ZIP malicioso é baixado no dispositivo, contendo um arquivo .JS. Quando esse arquivo JavaScript é iniciado, ele cria um arquivo inflado com extensão .LOG, com muitos códigos indesejados para fins de ofuscação. Eventualmente, isso é renomeado com uma extensão .JS. As táticas de ofuscação usadas na variante do malware são mais complexas do que as variantes anteriores.
KeePass contesta vulnerabilidade que permite roubo furtivo de senha. A equipe de desenvolvimento por trás do software de gerenciamento de senhas de código aberto KeePass está contestando o que é descrito como uma vulnerabilidade recém-descoberta que permite aos invasores exportar furtivamente todo o banco de dados em texto simples. O KeePass é um gerenciador de senhas de código aberto muito popular que permite gerenciar suas senhas usando um banco de dados armazenado localmente, em vez de um hospedado na nuvem, como LastPass ou Bitwarden. Para proteger esses bancos de dados locais, os usuários podem criptografá-los usando uma senha mestra para que o malware ou uma ameaça não possa simplesmente roubar o banco de dados e obter acesso automático às senhas armazenadas nele. Embora as equipes CERT da Holanda e da Bélgica também tenham emitido avisos de segurança em relação a falha, a equipe de desenvolvimento do KeePass argumenta que isso não deve ser classificado como uma vulnerabilidade, pois invasores com acesso de gravação ao dispositivo de um alvo também podem obter o informações contidas no banco de dados KeePass por outros meios.
Mais de 100 agentes de ameaças estão implantando ransomware em ataques. A Microsoft revelou ontem que suas equipes de segurança estão rastreando mais de 100 agentes de ameaças que implantam ransomware durante ataques. Ao todo, a empresa diz que monitora mais de 50 famílias únicas de ransomware que foram usadas ativamente até o final do ano passado. “Algumas das cargas de ransomware mais proeminentes em campanhas recentes incluem Lockbit Black, BlackCat, Play, Vice Society, Black Basta e Royal”, disse a Microsoft. “As estratégias de defesa, no entanto, devem se concentrar menos nas cargas úteis, e mais na cadeia de atividades que levam à sua implantação”, uma vez que as gangues de ransomware ainda têm como alvo servidores e dispositivos ainda não corrigidos contra vulnerabilidades comuns ou abordadas recentemente.
Novo Ransomware Mimic abusa de APIs do Windows. Uma nova família de ransomware chamada Mimic surgiu no cenário de ameaças. O ransomware abusa das APIs de uma ferramenta legítima “Everything” para o processo de criptografia. O malware faz uso de vários threads de processador e APIs do Everything para acelerar o processo de criptografia de dados. Vários recursos do ransomware incluem a coleta de informações do sistema, ignorando o Controle de Conta do Usuário (UAC), desabilitando o Windows Defender e a telemetria do Windows e inibindo a Recuperação do Sistema, entre outros. Os ataques começam com a vítima recebendo um executável por e-mail, que extrai quatro arquivos no sistema de destino. Os arquivos incluem a carga útil principal, arquivos auxiliares e ferramentas para desabilitar o Windows Defender.
Meta paga recompensa de $27.000 por vulnerabilidade de desvio 2FA. Um pesquisador divulgou os detalhes de uma falha de autenticação de dois fatores (2FA) que lhe rendeu uma recompensa de bug de US$ 27.000 da Meta, empresa controladora do Facebook. Gtm Manoz, do Nepal, descobriu em setembro de 2022 que um sistema projetado pela Meta para confirmar um número de telefone e endereço de e-mail não tinha nenhuma proteção de limitação. Uma correção foi lançada pela Meta em outubro de 2022 e a empresa destacou as descobertas de Manoz em seu relatório anual do programa de recompensas por bugs. A análise do pesquisador revelou que o sistema de verificação do código de seis dígitos não tinha limitação de taxa, o que poderia permitir que um invasor inserisse todos os códigos possíveis até obter o correto. Especificamente, um hacker precisaria saber o número de telefone atribuído pelo usuário-alvo à sua conta do Instagram e do Facebook.
Microsoft pede que os administradores corrijam os servidores locais do Exchange. A Microsoft pediu aos clientes que mantenham seus servidores Exchange locais atualizados, aplicando a atualização cumulativa (CU) mais recente para implantar uma atualização de segurança de emergência. O processo de atualização do servidor Exchange é direto e é recomendavel sempre executar o script Exchange Server Health Checker após instalar as atualizações. Isso ajuda a detectar problemas de configuração comuns conhecidos por causar problemas de desempenho ou problemas que podem ser corrigidos com uma simples alteração de configuração do Exchange Environment. Se encontrar algum problema, o script fornecerá links para artigos com orientação passo a passo para quaisquer tarefas manuais adicionais que precisem ser executadas. “Para defender seus servidores Exchange contra ataques que exploram vulnerabilidades conhecidas, você deve instalar o CU suportado mais recente (CU12 para Exchange Server 2019 , CU23 para Exchange Server 2016 e CU23 para Exchange Server 2013 ) , disse a equipe do Exchange.
Microsoft emite alerta para servidores Exchange. A Microsoft está pedindo aos clientes que mantenham seus servidores Exchange atualizados, e que também tomem medidas para reforçar o ambiente, como habilitar a Proteção Estendida do Windows e configurar a assinatura baseada em certificado de cargas úteis de serialização do PowerShell. “Os invasores que procuram explorar os servidores Exchange não corrigidos não vão desaparecer”, disse a equipe da Microsoft em um post. “Existem muitos aspectos de ambientes Exchange locais não corrigidos que são valiosos para agentes mal-intencionados que procuram exfiltrar dados ou cometer outros atos maliciosos”. A Microsoft também enfatizou que as mitigações emitidas pela empresa são apenas uma solução paliativa e que podem “se tornar insuficientes para proteger contra todas as variações de um ataque”, exigindo que os usuários instalem as atualizações de segurança necessárias para proteger os servidores.
Mais de 100 modelos de impressoras Lexmark estão vulneráveis a falha de RCE. A Lexmark lançou uma atualização de firmware de segurança para resolver uma vulnerabilidade de execução remota de código, rastreada como CVE-2023-23560, que afeta mais de 100 modelos de impressoras. A falha é uma falsificação de solicitação do lado do servidor (SSRF) no recurso Web Services das impressoras Lexmark, recebeu uma pontuação CVSS 9.0. “Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) foi identificada no recurso Web Services dos dispositivos Lexmark mais recentes. Essa vulnerabilidade pode ser aproveitada por um invasor para obter a execução de código arbitrário no dispositivo.” disse a empresa em comunicado. O comprometimento de uma impressora vulnerável pode ser explorado por agentes de ameaças para obter uma posição inicial na rede de destino. Depois de comprometer uma impressora, um invasor pode acessar o spooler de impressão expondo documentos confidenciais ou obter as credenciais da rede à qual o dispositivo está conectado.
Cibercriminosos utilizam Google ADS para espalhar Malware. O agente da ameaça DEV-0569 está utilizando ativamente o Google Ads para lançar campanhas publicitárias contínuas e em larga escala que espalham malware, obtêm as senhas das vítimas e, por fim, se infiltram em redes com o objetivo de realizar ataques de ransomware. Os resultados de pesquisa do Google se tornaram um terreno fértil para os cibercriminosos espalharem malware por meio de anúncios maliciosos, que representam uma ameaça significativa para os usuários. Esse problema está se tornando cada vez mais comum, pois muitos cibercriminosos estão usando anúncios maliciosos para induzir os usuários a baixar malware ou fornecer informações pessoais. Alguns dos principais programas utilizados por pelos invasores são Rufus, 7-Zip, FileZilla, WinRAR, AnyDesk, LibreOffice e VLC.
Milhares de sites WordPress foram infectados por cibercriminosos. Uma campanha massiva infectou mais de 4.500 sites WordPress como parte de uma operação de longa duração que se acredita estar ativa desde pelo menos 2017. De acordo com a GoDaddy, as infecções envolvem a injeção de JavaScript ofuscado hospedado em um domínio malicioso chamado “track[.]violetlovelines[.]com”, projetado para redirecionar os visitantes para sites indesejados. A operação mais recente está ativa desde 26 de dezembro de 2022, uma onda anterior observada no início de dezembro de 2022 afetou mais de 3.600 sites, enquanto outro conjunto de ataques registrado em setembro de 2022 envolveu mais de 7.000 sites. Quando os usuários inocentes acessam um dos sites hackeados do WordPress, uma cadeia de redirecionamento é acionada por meio de um sistema de direção de tráfego, levando as vítimas a páginas que exibem anúncios incompletos sobre produtos que ironicamente bloqueiam anúncios indesejados. Ainda mais preocupante, o site de um desses bloqueadores de anúncios chamado Crystal Blocker foi projetado para exibir alertas enganosos de atualização do navegador para induzir os usuários a instalar sua extensão, dependendo do navegador usado.
VMware lança patches para vulnerabilidades críticas do software. A VMware lançou um software para corrigir quatro vulnerabilidades de segurança que afetam o vRealize Log Insight (também conhecido como Aria Operations for Logs) que podem expor os usuários a ataques de execução remota de código. Duas das falhas são críticas, com uma classificação de gravidade de 9,8 em um máximo de 10, observou o provedor de serviços de virtualização em seu primeiro boletim de segurança para 2023. Uma terceira vulnerabilidade está relacionada a uma falha de desserialização (CVE-2022-31710) que pode ser armada por um invasor não autenticado para acionar uma condição de negação de serviço (DoS). Por fim, o vRealize Log Insight também foi considerado suscetível a um bug de divulgação de informações (CVE-2022-31711) que pode permitir o acesso a dados confidenciais de sessões e aplicativos sem qualquer autenticação.
DuoLingo investiga postagem na Deep Web oferecendo dados de 2,6 milhões de contas. A plataforma de aprendizado de idiomas DuoLingo disse que está investigando uma postagem em um fórum de cibercriminosos que oferece informações sobre 2,6 milhões de contas de clientes por US$ 1.500. Um porta-voz da empresa disse estar ciente da postagem, que foi criada na manhã da última terça-feira (24) e traz e-mails, telefones, cursos realizados e outras informações sobre como os clientes usam a plataforma. “Esses registros foram obtidos por coleta de dados de informações de perfil público”, disse um porta-voz. “Nenhuma violação de dados ocorreu. Nós Levamos a sério a privacidade e a segurança dos dados e continuamos investigando esse assunto para determinar se há alguma ação adicional necessária para proteger nossos alunos.”
