Cibercriminosos estão usando ChatGPT para criar código malicioso. O ChatGPT é o mais novo desenvolvimento no campo de IA, criado pela empresa de pesquisa OpenAI liderada por Sam Altman e apoiada pela Microsoft. O chatbot pode conduzir conversas com pessoas imitando vários estilos de escrita. O texto criado pelo ChatGPT é muito mais imaginativo e complexo do que os chatbots do Vale do Silício construídos anteriormente. Mesmo sendo uma das maiores inovações da década até o momento, o mecanismo de inteligência artificial está preocupando especialistas em cibersegurança devido ao seu uso por grupos de cibercriminosos. Embora a IA abra imensas possibilidades para ajudar os humanos, os críticos enfatizam os perigos potenciais de criar um algoritmo que supera as capacidades humanas e que pode escapar do controle. Cenários apocalípticos inspirados em ficção científica, quando a IA está dominando a Terra, ainda são improváveis. No entanto, em seu estado atual, a IA já pode auxiliar os cibercriminosos em atividades ilícitas. “Embora tenhamos feito esforços para fazer com que o modelo recuse solicitações criminosas, às vezes ele responde a instruções prejudiciais ou exibe um comportamento tendencioso. Estamos usando a API de moderação para avisar ou bloquear certos tipos de conteúdo inseguro, mas esperamos que ela tenha alguns falsos negativos e positivos por enquanto.
Microsoft encerra atualizações de segurança estendidas do Windows 7. As edições do Windows 7 Professional e Enterprise não receberão mais atualizações de segurança estendidas para vulnerabilidades críticas e importantes a partir de hoje, 10 de janeiro de 2023. A Microsoft lançou o sistema operacional em outubro de 2009. Em seguida, atingiu o fim do suporte em janeiro de 2015 e o fim estendido do suporte em janeiro de 2020. O programa Extended Security Update (ESU) foi a última opção de recurso para clientes que ainda precisavam executar produtos da Microsoft após o fim do suporte em sistemas Windows 7. “A maioria dos dispositivos Windows 7 não atende aos requisitos de hardware para atualização para o Windows 11, como alternativa, os PCs com Windows 7 compatíveis podem ser atualizados para o Windows 10.
CISA notifica clientes da Hitachi Energy sobre vulnerabilidades de alta gravidade. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) publicou avisos na semana passada para informar as organizações que usam produtos da Hitachi Energy sobre várias vulnerabilidades críticas e de alta gravidade abordadas recentemente. Um comunicado da CISA descreve cinco vulnerabilidades de alta gravidade no UNEM , um componente do sistema de gerenciamento de rede (NMS) da Hitachi Energy. Os problemas estão relacionados à criptografia e às credenciais do usuário e podem ser explorados para obter informações confidenciais e fazer modificações maliciosas no sistema. O acesso à rede para o sistema de destino é necessário para exploração.
CPTM é vítima de ataque de Ransomware. Os serviços hospedados no site da Companhia Paulista de Transportes Metropolitanos (CPTM) estavam fora do ar desde 18 de dezembro, quando a Companhia foi vítima de ataque cibernético. O grupo Blackbyte anunciou ter sequestrado os dados dos servidores em um ataque de ransomware. O ataque hacker veio a público depois que o grupo de criminosos publicou os dados da companhia em fóruns na deep web. Nas imagens, aparecem supostas planilhas de controle interno e documentos oficiais, incluindo assinaturas de próprio punho de dirigentes da companhia, assim como diretórios internos que teriam sido acessados pelos criminosos. A Divisão de Crimes Cibernéticos (DCCiber), do Departamento Estadual de Investigações Criminais (DEIC), abriu um inquérito e investiga o ataque. A companhia garante que os sistemas relacionados à circulação dos trens e estações não foram afetados, e que reforçou os mecanismos de proteção de dados e comunicou a invasão à Autoridade Nacional de Proteção de Dados.
Twitter foi hackeado e e-mail de 235 milhões de usuários vazaram. Endereços de e-mail de 235 milhões de usuários do Twitter foram roubados e publicados em um fórum de hackers, divulgou um pesquisador de cibersegurança na última quinta-feira (5). Procurado, o Twitter não se pronunciou sobre o vazamento. A Reuters diz que não está claro até o momento se a rede social promoveu ações para investigar ou remediar o ataque e que não conseguiu verificar de forma independente se são autênticos os dados publicados no fórum. Não há pistas sobre a identidade ou a localização do invasor ou invasores por trás do roubo dos dados. As alegações sobre tamanho e escopo do ataque variaram inicialmente, com contas em dezembro dizendo que milhões de endereços de email e números de telefone foram roubados.
Zoho pede aos clientes que corrijam vulnerabilidades de software empresarial. O fornecedor de software corporativo Zoho também está pedindo aos clientes que atualizem para as versões mais recentes do Access Manager Plus, PAM360 e Password Manager Pro após a descoberta de uma grave vulnerabilidade de injeção de SQL (SQLi). Atribuído ao identificador CVE-2022-47523 , o problema afeta o Access Manager Plus versões 4308 e anteriores; PAM360 versões 5800 e abaixo; e Password Manager Pro versões 12200 e abaixo. “Essa vulnerabilidade pode permitir que um adversário execute consultas personalizadas e acesse as entradas da tabela do banco de dados usando a solicitação vulnerável”, disse a empresa com sede na Índia, acrescentando que corrigiu o bug adicionando validação adequada. Embora os detalhes exatos sobre a falha não tenham sido divulgados, as notas de lançamento do Zoho revelam que a falha foi identificada em sua estrutura interna e que poderia permitir que todos os usuários “acessassem o banco de dados de back-end”.
Google lança as primeiras atualizações de segurança do Android para 2023. A primeira parte da atualização, chega aos dispositivos como nível de patch de segurança 2023-01-01, aborda 19 defeitos de segurança nos componentes Framework e System. “O mais grave desses problemas é uma alta vulnerabilidade de segurança no componente Framework que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais”, observa o Google em seu comunicado. Um total de 11 bugs de elevação de privilégio foram resolvidos no componente Framework este mês, juntamente com três problemas de negação de serviço (DoS). Cinco outras vulnerabilidades de elevação de privilégio foram abordadas no componente do sistema. A mais importante dessas vulnerabilidades são quatro falhas de gravidade crítica no Kernel e nos componentes do Kernel, todas levando à execução remota de código (RCE). Dois erros de elevação de privilégio de alta gravidade também foram resolvidos no Kernel e nos componentes do Kernel.
Falhas de alta gravidade foram encontradas em produtos da Fortinet. O provedor de soluções de segurança cibernética Fortinet anunciou esta semana correções para várias vulnerabilidades em seu portfólio de produtos e informou os clientes sobre um bug de injeção de comando de alta gravidade no FortiADC. Rastreado como CVE-2022-39947, o defeito de segurança foi identificado na interface Web do FortiADC e pode levar à execução arbitrária do código. “Uma neutralização imprópria de elementos especiais usados em uma vulnerabilidade de comando do sistema operacional no FortiADC pode permitir que um invasor autenticado com acesso à GUI da Web execute códigos ou comandos não autorizados por meio de solicitações HTTP especificamente criadas”, explica Fortinet. A empresa também anunciou patches para várias falhas de injeção de comandos de alta gravidade no FortiTester.
Chipsets Qualcomm e Lenovo recebem atualizações para corrigir falhas de segurança. A Qualcomm lançou patches para corrigir várias falhas de segurança em seus chipsets, algumas das quais podem ser exploradas para causar divulgação de informações e corrupção de memória. As vulnerabilidades rastreadas de CVE-2022-40516 a CVE-2022-40520, também afetam os laptops Lenovo ThinkPad X13s, levando a fabricante chinesa de PCs a emitir atualizações de BIOS para tapar as falhas de segurança. A exploração bem-sucedida das falhas mencionadas pode permitir que um adversário local com privilégios elevados cause corrupção de memória ou vazamento de informações confidenciais. Também corrigidas pela Lenovo estão mais quatro vulnerabilidades de leitura excessiva de buffer no BIOS do ThinkPad X13 que podem levar à divulgação de informações. As falhas são rastreadas como CVE-2022-4432, CVE-2022-4433, CVE-2022-4434 e CVE-2022-4435. Recomenda-se que os usuários do ThinkPad X13 atualizem o BIOS para a versão 1.47 (N3HET75W) ou mais recente.
Deezer é hackeado e mais de 37 milhões de brasileiros tem seus dados vazados. O serviço de streaming de músicas Deezer admitiu que foi alvo de um ataque hacker que roubou os dados de cerca de 229 milhões de usuários. Cerca de 37,1 milhões de usuários brasileiros foram afetados com a invasão. O cibercriminoso responsável pela violação postou os dados dos usuários para a venda em um fórum na deep web. A violação dos dados roubados foi divulgada pela primeira vez em 6 de novembro, cerca de 60gb de dados foram colocados à venda. O Brasil foi o segundo país mais afetado com o vazamento de dados, com 37,1 milhões de usuários e fica atrás apenas da França com 46,2 milhões de usuários afetados.
Dados de 42 milhões de americanos foram vazados na Deep Web. Pesquisadores estudaram 374 ataques de ransomware e encontraram estatísticas interessantes. Os ataques analisados foram realizados contra hospitais, clínicas e empresas de prestação de serviços de saúde nos EUA entre 2016 e 2021. Esses 374 ataques de ransomware expuseram os dados de 42 milhões de americanos, um aumento de 11 vezes comparando o período entre 2016 e 2021. Para 15,8% dos ataques, os pesquisadores descobriram evidências de que os invasores tornaram algumas ou todas as informações roubadas públicas na deep web. Aproximadamente 53% de todos os ataques de ransomware impactaram várias instalações dentro das organizações de saúde das vítimas. As interrupções operacionais mais comuns incluíram desvio de ambulância, cancelamento de cirurgias e consultas e paralisação do sistema eletrônico. Os ataques de ransomware contra o setor de saúde têm aumentado cada vez mais em sofisticação e frequência, conforme revelam as descobertas.
Vulnerabilidades críticas foram corrigidas em roteadores Synology. A Synology, fornecedora de soluções de rede e armazenamento com sede em Taiwan, informou os clientes sobre a disponibilidade de patches para várias vulnerabilidades críticas, incluindo falhas provavelmente exploradas recentemente no concurso de hackers Pwn2Own. A empresa publicou dois novos avisos críticos no final de dezembro. Um deles descreve uma vulnerabilidade descoberta internamente que afeta o Synology VPN Plus Server, que transforma os roteadores em um servidor VPN avançado. A falha de segurança, rastreada como CVE-2022-43931, é um problema de gravação fora dos limites na funcionalidade de área de trabalho remota do VPN Plus Server. Ele pode permitir que um invasor remoto execute comandos arbitrários. O segundo comunicado descreve várias vulnerabilidades que afetam o Synology Router Manager (SRM), o sistema operacional que alimenta os roteadores da empresa. As falhas podem ser exploradas para execução de comandos arbitrários, ataques de negação de serviço (DoS) e leitura de arquivos arbitrários.
Vários malwares estão à venda em fóruns da Deep Web. Pesquisadores identificaram um novo grupo de ameaças, apelidado de PureCoder, vendendo vários tipos de malwares, incluindo mineradores, ladrões de informações e criptografadores, na deep web. Esses malwares são usados por vários agentes de ameaças para suas campanhas. Os dois malwares mais impactantes promovidos e vendidos pela PureCoder incluem PureLogs e PureCrypt. Os invasores postaram detalhes desses malwares em um fórum de crimes cibernéticos para chamar a atenção dos clientes. PureLogs é um programa DotNET malicioso projetado para roubar dados de navegadores, carteiras criptográficas e vários outros aplicativos. Os invasores estão vendendo a assinatura de um ano por US$ 99. O PureCrypter espalha vários RATs e ladrões. Ele está sendo vendido por $59 para uma assinatura de um mês e $245 para uma assinatura vitalícia. Já o PureMiner é uma ferramenta oferecida ao preço de US$ 99 por um ano de acesso e US$ 199 para acesso vitalício. Ele opera como um minerador silencioso oculto e furtivo.
Falha de segurança é identificada no Google Home. De acordo com uma pesquisa recente, uma vulnerabilidade nos alto-falantes do Google Home Smart pode permitir que invasores controlem o dispositivo inteligente e escutem as conversas do usuário em ambientes fechados. A vulnerabilidade foi identificada por Matt Kunze, um pesquisador de segurança que usa o apelido de DownrightNifty Matt. Os pesquisadores revelaram que, se explorada, a vulnerabilidade pode permitir a instalação de backdoors e converter os alto-falantes do Google Home Smart em dispositivos de escuta telefônica. A vulnerabilidade pode permitir que um adversário presente na proximidade sem fio do dispositivo instale uma conta backdoor no dispositivo e comece a enviar comandos remotos, acessar a alimentação do microfone e iniciar solicitações HTTP arbitrárias. Tudo isso pode ser possível se o invasor estiver dentro do alcance da LAN do usuário, porque fazer solicitações maliciosas expõe a senha Wi-Fi do dispositivo e fornece ao invasor acesso direto a todos os dispositivos conectados à rede.
Campanha de malvertising abusa do Google Ads. Especialistas alertam sobre uma nova campanha de malvertising que abusa do Google Ads e tem como alvo usuários que procuram software popular. A campanha visa fornecer versões contaminadas de software popular que implantam cargas maliciosas na máquina do usuário, incluindo malware para roubo de informações, como Raccoon Stealer e Vidar. Os agentes de ameaças por trás dessa campanha usaram domínios com nomes digitados que apareceram no topo dos resultados de pesquisa do Google. O invasor usou um conjunto de sites benignos, projetados para induzir os visitantes a clicar neles e, em seguida, redirecioná-los para sites não autorizados. Alguns dos softwares que foram representados pelos agentes de ameaças são Grammarly, Malwarebytes, Afterburner, Zoom, Slack, Brave e Tor.
Ataques DDoS de larga escala aumentaram 81% em 2022. Segundo pesquisadores, houve uma média de quatro ataques DDoS de grande volume por mês, levando a um aumento de 81% nos ataques a partir de 2021. Embora o RPF médio de ataques de grande volume em 2021 tenha sido estimado em 1 milhão, ele subiu para 1,45 milhão em 2022. Ataques DDoS de grande volume são criados pela construção de um exército de botnets com milhares de dispositivos infectados. Alguns novos ataques de botnet foram observados recentemente. As organizações dos setores automotivo, de TI e de telecomunicações sofreram o maior número de ataques. Isso foi seguido por organizações nos setores financeiro, governamental e educacional. O aumento do conflito geopolítico também levou a um aumento nos ataques DDoS baseados em hacktivismo devido ao conflito Rússia-Ucrânia que começou em fevereiro de 2022. Como resultado, a Ucrânia experimentou um aumento de quase 660% nos ataques. Dado o aumento da frequência de ataques DDoS, espera-se que a tendência continue em 2023.
Tensões geopolíticas devem impactar ainda mais a cibersegurança em 2023. O impacto dos conflitos globais na segurança cibernética foi colocado em destaque quando a Rússia tomou medidas para invadir a Ucrânia em fevereiro de 2022. Os aliados ocidentais da Ucrânia reconheceram rapidamente que com isso veio a ameaça de ataques cibernéticos apoiados pela Rússia contra infraestrutura nacional crítica (CNI), especialmente em retaliação a pesadas sanções. Embora isso possa não ter se materializado da maneira que muitos esperavam, a geopolítica ainda está na mente de muitos especialistas em segurança cibernética que olham para 2023. A Rússia sempre esteve entre um punhado de estados reconhecidos por suas proezas cibernéticas e por ser a fonte de muitas gangues de cibercriminosos. Segundo Marijus Briedis, CTO da NordVPN a guerra cibernética está apenas começando: “Com o líder da China garantindo seu terceiro mandato e a guerra da Rússia na Ucrânia, especialistas preveem um aumento nos ciberataques.
Servidores Citrix possuem vulnerabilidades críticas não corrigidas. Vários terminais Citrix Application Delivery Controller (ADC) e Gateway permanecem vulneráveis a duas falhas críticas de segurança divulgadas pela empresa nos últimos meses. As falhas CVE-2022-27510 e CVE-2022-27518, foram abordadas pelo provedor de serviços de virtualização em 8 de novembro e 13 de dezembro de 2022. A Citrix e NSA, no início deste mês, alertaram que as vulnerabilidades estão sendo exploradas ativamente por agentes de ameaças. Isso inclui mais de 3.500 servidores Citrix ADC e Gateway executando a versão 12.1-65.21 que são suscetíveis a CVE-2022-27518, bem como mais de 500 servidores executando a versão 12.1-63.22 que são vulneráveis a ambas as falhas. A maioria dos servidores, totalizando nada menos que 5.000, está executando 13.0-88.14, uma versão imune a CVE-2022-27510 e CVE-2022-27518.
Microsoft corrige falha de acesso a dados entre locatários do Azure. A Microsoft corrigiu silenciosamente uma falha de segurança de gravidade importante em seu Azure Cognitive Search (ACS) depois que um pesquisador externo alertou que um recurso com bugs permitia ataques de desvio de rede entre locatários. A vulnerabilidade, documentada por pesquisadores da Mnemonic, removeu efetivamente toda a rede e o perímetro de identidade em torno de instâncias de Pesquisa Cognitiva do Azure isoladas na Internet e permitiu acesso entre inquilinos ao plano de dados de instâncias ACS de qualquer local, incluindo instâncias sem qualquer exposição de rede explícita. De acordo com o pesquisador da Mnemonic Emilien Socchi, a falha foi corrigida silenciosamente pela Microsoft no final de agosto de 2022, aproximadamente seis meses após ter sido relatada pela primeira vez. A exposição, apelidada de ACSESSED , impactou todas as instâncias do Azure Cognitive Search que habilitaram o recurso “Permitir acesso do portal”.
Falhas de segurança foram encontradas em controladores Rockwell. As organizações que usam controladores fabricados pela Rockwell Automation foram informadas recentemente sobre várias vulnerabilidades potencialmente sérias. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou na semana passada três alertas para descrever um total de quatro vulnerabilidades de alta gravidade. A Rockwell Automation publicou recomendações individuais para cada falha de segurança. Uma falha afeta o software de emulação do controlador Studio 5000 Logix Emulate. A vulnerabilidade é causada por uma configuração incorreta que resulta na concessão de permissões elevadas aos usuários em determinados serviços do produto. Um invasor pode explorar executando comandos remotamente. A segunda vulnerabilidade afeta os controladores CompactLogix, GuardLogix (incluindo Compact) e ControlLogix.
Violação de dados em provedor de assistência médica afeta 270.000 pacientes. O prestador de serviços de saúde do sudoeste da Louisiana, Lake Charles Memorial Health System (LCMHS), está informando a cerca de 270.000 pacientes que suas informações pessoais e médicas foram comprometidas em uma violação de dados. Um sistema regional de saúde comunitário composto por várias instalações, o LCMHS identificou o ataque cibernético em 25 de outubro e começou a informar os pacientes afetados sobre o incidente em 23 de dezembro. Em uma notificação em seu site, o LCMHS diz que ‘um terceiro não autorizado’ obteve acesso à sua rede entre 20 e 21 de outubro. Os invasores acessaram e provavelmente exfiltraram certos arquivos contendo dados do paciente, diz o provedor de saúde. Os arquivos roubados continham informações do paciente, como nomes, endereços, datas de nascimento, informações de seguro de saúde, números de registros médicos, números de identificação do paciente, dados de pagamento e detalhes sobre o atendimento recebido no LCMH.
Cibercriminosos estão explorando vulnerabilidade crítica em plug-in do WordPress. Os hackers estão se aproveitando de um bug crítico no plug-in YITH WooCommerce Gift Cards para fazer upload de backdoors em lojas de comércio eletrônico. O plug-in permite que as lojas online vendam cartões-presente usados por diversos sites. A exploração da falha permite que um invasor carregue arquivos, incluindo web shells, em sites vulneráveis. Existem mais de 50.000 sites que ainda estão usando as versões vulneráveis do plug-in, permitindo que os agentes de ameaças explorem a falha e coloquem um backdoor para lançar ataques de execução remota de código e assumir o controle de sites. O problema foi descoberto em 22 de novembro e resolvido com o lançamento da versão 3.20.2 do plug-in. De acordo com os pesquisadores , a maioria dos ataques ocorreu no dia seguinte à divulgação da vulnerabilidade e continua desde então. Os pesquisadores alertam que a vulnerabilidade é trivial de explorar e fornece acesso total a um site vulnerável.
15,3% dos usuários da internet sofreram ataques em 2022. O número aparece em um relatório da Kaspersky, que aponta malwares financeiros, ransomwares e mineradores de criptomoedas como as principais ameaças do período. No caso das ameaças que tentam minerar criptomoedas usando os dispositivos das vítimas, por exemplo, foram mais de 1,3 milhão de casos em todo o mundo, enquanto 376,7 mil tentativas de contaminação por malwares bancários foram bloqueadas pelos antivírus da companhia, também responsáveis por impedir 271,2 mil golpes de ransomware. o Brasil aparece com força nas estatísticas relacionadas a golpes envolvendo a Internet das Coisas. Nosso país é o quarto maior entre os que mais hospedam dispositivos infectados, utilizados principalmente em golpes de negação de serviço, agindo para derrubar redes ou sistemas inteiros devido a um gigantesco número de acessos simultâneos.
BitKeep confirma ataque cibernético e perde mais de US$ 9 milhões em moedas digitais. A carteira multi-chain BitKeep confirmou ontem (28), um ataque cibernético que permitiu que agentes de ameaças distribuíssem versões fraudulentas de seu aplicativo Android com o objetivo de roubar moedas digitais dos usuários. “Com código implantado de forma maliciosa, o APK alterado levou ao vazamento das chaves privadas do usuário e permitiu que o hacker movimentasse fundos”, disse o CEO da BitKeep. “Os fundos roubados estão no BNB Chain, Ethereum, TRON e Polygon”, observou a BitKeep em uma série de tweets. “Mais de 200 endereços nas outras três redes foram usados no assalto e todos os fundos foram transferidos para 2 endereços principais no final.” Mais de cinco versões falsificadas do aplicativo Android com os seguintes nomes de pacote foram identificadas, sugerindo que os aplicativos foram potencialmente distribuídos por meio de sites de phishing. O nome legítimo do pacote é “com.bitkeep.wallet”.
Novo Malware Zerobot explora vulnerabilidades do Apache para lançar ataque DDoS. Como resultado da exploração de vulnerabilidades de segurança encontradas em servidores Apache não corrigidos que estão expostos à Internet, a botnet Zerobot foi recentemente atualizada com a capacidade de infectar novos dispositivos. A versão mais recente também apresenta novos recursos de DDoS, conforme observado pela equipe de pesquisa do Microsoft Defender para IoT. Desde pelo menos novembro, o Zerobot está ativo como parte de seu processo de desenvolvimento. Além das atualizações descobertas pela Microsoft, o kit de ferramentas do malware também inclui novas explorações. Esta atualização mais recente permite agora direcionar sete novos tipos de dispositivos e software, o que é uma melhoria significativa. O Zerobot também é capaz de explorar vulnerabilidades conhecidas para se propagar por meio de dispositivos comprometidos. A coisa mais interessante sobre esse malware é que as falhas de segurança conhecidas que ele explora não estão incluídas no binário do malware.
Malware Raspberry Robin ataca setores de telecomunicações e governos. Pesquisadores notaram o Raspberry Robin em ataques recentes a provedores de serviços de telecomunicações e redes governamentais. O malware agora está lançando uma carga útil falsa para evitar a detecção quando detecta que está sendo executado em sandboxes e ferramentas de depuração. Os pesquisadores dizem que, devido ao uso de arquivos .lnk, ele parece se propagar pelos sistemas como um worm através de um USB infectado. A maioria das vítimas do grupo são empresas de telecomunicações ou governos da Europa, Oceania (Austrália) e América Latina. O Raspberry Robin aparece pela primeira vez como um atalho ou arquivo LNK quando o usuário conecta o USB infectado ao computador. Uma linha de comando no arquivo LNK inicia um executável legítimo para baixar um pacote do Windows Installer (MSI). Após a execução, ele faz um esforço para verificar o registro do Windows em busca de indicadores de infecção antes de começar a coletar dados fundamentais do sistema.
Cibercriminosos exploram vulnerabilidades de Zero Day em produtos Citrix. A Citrix recomenda fortemente que os administradores apliquem atualizações de segurança para uma vulnerabilidade ‘crítica’ (CVE-2022-27518) no Citrix ADC e Gateway que é explorada ativamente por hackers patrocinados pelo estado para obter acesso a redes corporativas. Essa nova vulnerabilidade permite que um invasor não autenticado execute comandos remotamente em dispositivos vulneráveis e assuma o controle sobre eles. A Citrix está alertando os administradores para instalar a atualização mais recente “o mais rápido possível”, pois a vulnerabilidade é explorada ativamente em ataques. “Estamos cientes de um pequeno número de ataques direcionados na natureza usando essa vulnerabilidade”, menciona a Citrix na atualização de segurança que acompanha o comunicado.
Malware bancário mira o Brasil para roubar Pix. Os smartphones Android são os alvos de um malware recém-descoberto que mira os usuários brasileiros. O BrasDex vem agindo há cerca de um ano e já teria registrado pelo menos 1.000 contaminações no país, com prejuízos de centenas de milhares de reais após ataques que envolvem o desvio de transferências do Pix e o roubo de credenciais bancárias. 10 instituições do país:PicPay, Nubank, Original, Inter, Binance, Banco do Brasil, Itaú, Bradesco, Caixa e Santander são focos dos ataques envolvendo o malware, que só age contra brasileiros. Caso o vírus detecte que o cartão SIM em uso no smartphone não é de nosso país, a cadeia de contaminação é interrompida, caso contrário, é feito o contato com o servidor de comando e controle, de onde vêm as ordens envolvendo características do aparelho e também dos apps bancários instalados nele. Para agir, o BrasDex abusa de permissões concedidas pelo usuário após a instalação de apps maliciosos, principalmente em relação aos sistemas de acessibilidade do Android. O vírus é capaz de reconhecer elementos da tela e os dados digitados pelo usuário, obtendo suas credenciais de acesso e reconhecendo caminhos, interfaces e, principalmente, o saldo disponível na conta. A fraude vem na sequência, com a realização de transferências via Pix para contas de laranjas a serviço da quadrilha.
Empresa Okta tem códigos-fonte roubados em incidente. A Okta está mais uma vez envolvida em um incidente cibernético, agora envolvendo os códigos-fonte de algumas de suas soluções de verificação de identidade. O furto dos materiais foi confirmado em um e-mail enviado a parceiros e clientes de alto padrão da empresa de segurança e seria resultado de um comprometimento dos repositórios da companhia no GitHub. Não houve acesso a sistemas internos da empresa ou exposição de dados e informações de segurança de parceiros e clientes. O acesso ao sistema de desenvolvimento teria resultado no furto de códigos relacionados ao Workforce Identity Cloud (WIC), um sistema fornecido pela Okta para autenticação de colaboradores atuando de forma remota.
Jornal The Guardian sofre suposto ataque de ransomware. O jornal britânico The Guardian sofreu um grave incidente de cibersegurança na última terça-feira (20), com as primeiras indicações sendo de um ataque de ransomware. O golpe teria atingido a infraestrutura de TI do diário, um dos principais do Reino Unido, mas sem tirar sites e portais disponíveis ao público do ar. Os detalhes ainda são escassos, mas de acordo com publicação do próprio The Guardian, as interrupções causadas pelo suposto ataque teria afetado serviços dos bastidores da operação. A impressão do jornal impresso também teria sido atingida, mas a empresa se diz confiante quanto as próximas edições que não serão impactadas pelo incidente cibernético.
