Google corrige vulnerabilidades de alta gravidade no Android. Com lançamento nesta semana, as atualizações de segurança de novembro de 2022 do Android corrigem mais de 40 vulnerabilidades, incluindo várias falhas de alta gravidade que permitem escalação de privilégios. Todas essas são vulnerabilidades de alta gravidade que afetam o Android 10 e versões mais recentes. Exceto por um bug, todos eles também afetam o Android 13. “O mais grave desses problemas é uma vulnerabilidade de segurança no componente Framework que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais”, observa o Google em seu comunicado. Os dispositivos Android que executam um nível de patch de segurança de 2022-11-05 ou posterior foram corrigidos contra todas essas vulnerabilidades. Um conjunto adicional de cinco problemas foi resolvido com as atualizações de segurança do Pixel de novembro de 2022. Isso inclui dois bugs de alta gravidade no chip Titan M e três falhas de gravidade média em componentes de código fechado da Qualcomm.
Malware esta sendo usado para implantar o ransomware LockBit. Segundo pesquisadores o Malware Amadey está distribuindo o Lockbit através de dois métodos: um usando um arquivo de documento do Word malicioso e o outro usando um executável que disfarça o ícone do arquivo do Word. Embora sua função principal seja coletar informações confidenciais dos hosts infectados, ele também funciona como um canal para fornecer artefatos do próximo estágio. No início de julho, ele foi espalhado usando o SmokeLoader, um malware com recursos não tão diferentes como ele. No mês passado, a ASEC também encontrou o malware distribuído sob um serviço de mensagens instantâneas popular na Coreia do Sul, como parte de uma campanha de phishing. A análise mais recente da empresa de segurança cibernética é baseada em um arquivo do Microsoft Word que foi carregado no VirusTotal em 28 de outubro de 2022. O documento contém uma macro VBA maliciosa que, quando habilitada pela vítima, executa um comando do PowerShell para baixar e executar o Amadey.
EUA apreendem mais de US$ 3,3 bilhões em bitcoins vinculados a Deep Web. O Departamento de Justiça dos EUA (DoJ) disse esta semana que apreendeu 50.676 Bitcoins em novembro de 2021 que foram roubados no ataque de 2012 do agora extinto mercado da Deep Web Silk Road. Os Bitcoins foram avaliados em US$ 3,36 bilhões quando foi descoberto no ano passado, agora valem US$ 1,04 bilhões. Além disso, foram recuperados US$ 661.900 em dinheiro, 25 moedas Casascius com valor aproximado de 174 Bitcoins. O Departamento de Justiça disse que realizou a apreensão em 9 de novembro de 2021, de acordo com um mandado de busca emitido para a casa de James Zhong, localizada no estado norte-americano da Geórgia. Ele também disse que as chaves dos tokens foram encontradas em um computador que estava em um cofre no subsolo do imóvel.
CISA emite alerta para vulnerabilidades críticas em sistemas de controle industrial. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) publicou três avisos para Sistemas de Controle Industrial (ICS) sobre várias vulnerabilidades no software da ETIC Telecom, Nokia e Delta Industrial Automation. Entre eles, destaca-se um conjunto de três falhas que afetam o Remote Access Server (RAS) da ETIC Telecom, que “pode permitir que um invasor obtenha informações confidenciais e comprometa o dispositivo vulnerável e outras máquinas conectadas”, disse a CISA. Isso inclui o CVE-2022-3703 (pontuação CVSS: 9.0), uma falha crítica que decorre da incapacidade do portal RAS de verificar a autenticidade do firmware, tornando possível inserir um pacote não autorizado que concede acesso backdoor ao adversário. Duas outras falhas estão relacionadas a um erro de passagem de diretório na API RAS (CVE-2022-41607, pontuação CVSS: 8,6) e um problema de upload de arquivo (CVE-2022-40981, pontuação CVSS: 8,3) que pode ser explorado para ler arquivos arbitrários e fazer upload de arquivos maliciosos que podem comprometer o dispositivo.
Pesquisadores descobrem 29 pacotes PyPI maliciosos. Pesquisadores de segurança cibernética descobriram 29 pacotes no Python Package Index (PyPI), o repositório oficial de software de terceiros para a linguagem de programação Python, que visa infectar as máquinas dos desenvolvedores com um malware chamado W4SP Stealer. O ataque principal parece ter começado por volta de 12 de outubro de 2022, lentamente ganhando força para um esforço concentrado por volta de 22 de outubro. Coletivamente, os pacotes foram baixados mais de 5.700 vezes, com algumas das bibliotecas (por exemplo, twyne e colorsama) contando com typosquatting para enganar usuários desavisados para baixá-los. Os módulos fraudulentos redirecionam as bibliotecas legítimas existentes inserindo uma instrução de importação maliciosa no script “setup.py” dos pacotes para iniciar um pedaço de código Python que busca o malware de um servidor remoto.
Nova campanha de malware direcionada a funcionários do governo indiano. O agente da ameaça Transparent Tribe foi vinculado a uma nova campanha destinada a organizações governamentais indianas com versões trojanizadas de uma solução de autenticação de dois fatores chamada Kavach. Esse grupo abusa dos anúncios do Google com o propósito de publicidade maliciosa para distribuir versões backdoor de aplicativos de autenticação múltipla Kavach (MFA). Segundo a empresa de segurança cibernética Zscaler ThreatLabz, o grupo avançado de ameaças persistentes também realizou ataques de coleta de credenciais de baixo volume nos quais sites desonestos disfarçados de portais oficiais do governo indiano foram configurados para atrair usuários inconscientes a inserir suas senhas.
Grupo francês de defesa e tecnologia é vítima do ransomware LockBit. A Thales é líder global de alta tecnologia com mais de 81.000 funcionários em todo o mundo. O Grupo investe em inovações digitais e de tecnologia profunda – big data, inteligência artificial, conectividade, cibersegurança e quantum. O Grupo Thales foi adicionado à lista de vítimas do grupo Lockbit 3.0 em 31 de outubro, a quadrilha ameaça publicar dados roubados até 7 de novembro de 2022, caso a empresa não pague o resgate. Neste momento, a gangue do ransomware ainda não publicou nenhuma amostra dos supostos dados roubados. A empresa acrescentou que lançou uma investigação sobre a suposta violação de segurança e também notificou a agência nacional de segurança cibernética francesa ANSSI. Um porta-voz da empresa disse que a empresa não apresentou queixa à polícia.
Recuperação de ataques de ransomware é uma atividade crítica para as equipes de TI. Os ataques de ransomware podem interromper as operações, mas se uma organização usa e armazena informações confidenciais, também deve estar preparada para manter a continuidade dos negócios se essas informações forem comprometidas. Em um ataque de ransomware, vários planos de emergência podem entrar em ação. Supondo que as equipes de TI iniciem o plano de resposta ao ransomware rapidamente e a tecnologia de ameaças cibernéticas faça seu trabalho, pode não ser necessário ativar outros planos. No entanto, em situações em que o ataque de ransomware é mais sério do que o inicialmente determinado, é fundamental saber quando ativar planos adicionais de continuidade de negócios e recuperação de desastres. Isso ajudará a garantir a segurança da infraestrutura de tecnologia, dos sistemas e dados críticos e das operações de negócios. O plano de segurança cibernética de uma organização deve ser a primeira barreira para os cibercriminosos.
Várias falhas foram encontradas no software de monitoramento de TI Checkmk. As vulnerabilidades foram divulgadas no software de monitoramento Checkmk IT Infrastructure que podem ser encadeadas por um invasor remoto não autenticado para assumir totalmente os servidores afetados. A edição open source da ferramenta de monitoramento da Checkmk é baseada no Nagios Core e oferece integrações com o NagVis para visualização e geração de mapas topológicos de infraestruturas, servidores, portas e processos. De acordo com seu desenvolvedor tribe29 GmbH, com sede em Munique, suas edições Enterprise e Raw são usadas por mais de 2.000 clientes, incluindo Airbus, Adobe, NASA, Siemens, Vodafone e outros. Embora esses problemas por si só tenham um impacto limitado, um adversário pode encadear os problemas, começando com a falha do SSRF para acessar um endpoint acessível apenas a partir do host local, usando-o para ignorar a autenticação e ler um arquivo de configuração, obtendo acesso ao Checkmk GUI.
Botnet Fodcha ressurge com novos recursos. O agente de ameaças por trás do botnet distribuído Fodcha ressurgiu com novos recursos, revelam os pesquisadores. Isso inclui mudanças em seu protocolo de comunicação e a capacidade de extorquir pagamentos de criptomoedas em troca de interromper o ataque DDoS contra um alvo, disse o Network Security Lab em um relatório publicado na semana passada. O Fodcha veio à tona no início de abril, com o malware se propagando por meio de vulnerabilidades conhecidas em dispositivos Android e IoT. A empresa de segurança cibernética disse que o Fodcha evoluiu para um botnet de larga escala com mais de 60.000 nós ativos e 40 domínios de comando e controle (C2) que podem gerar facilmente mais de 1 Tbps de tráfego. O pico de atividade ocorreu em 11 de outubro de 2022, quando o malware atingiu 1.396 dispositivos em um único dia. A evolução do Fodcha também foi acompanhada por novos recursos furtivos que criptografam as comunicações com o servidor C2 e incorporam demandas de resgate, tornando-o uma ameaça mais potente.
Falha de segurança é divulgada em aplicativo Galaxy Store da Sansung. Uma falha de segurança já corrigida foi divulgada no aplicativo Galaxy Store para dispositivos Samsung que poderia desencadear a execução de comandos remotos nos telefones afetados. A vulnerabilidade, que afeta a versão 4.5.32.4 da Galaxy Store, está relacionada a um bug de cross-site scripting (XSS) que ocorre ao lidar com determinados links diretos. Um pesquisador de segurança independente foi creditado por relatar o problema. Os ataques de XSS permitem que um adversário injete e execute código JavaScript malicioso ao visitar um site a partir de um navegador ou outro aplicativo. O problema identificado no aplicativo Galaxy Store tem a ver com a forma como os links diretos são configurados para o Marketing & Content Service (MCS) da Samsung, potencialmente levando a um cenário em que o código arbitrário injetado no site do MCS pode levar à sua execução. Isso pode ser aproveitado para baixar e instalar aplicativos com malware no dispositivo Samsung ao visitar o link.
Microsoft lança atualizações para corrigir falhas do OneDrive. A Microsoft comunicou na última sexta-feira (28) que já estão disponíveis atualizações para corrigir falhas no OneDrive e no OneDrive for Business após a instalação de pacotes recentes do Windows 10. O problema ocorre quando o usuário sai ou desvincula contas ou sites e pastas do OneDrive do Microsoft Teams e do SharePoint. “Depois de instalar o KB5018410 ou atualizações posteriores, o OneDrive pode fechar inesperadamente”, confirmou a Gigante de Redmond no painel de integridade do Windows. Para quem já constatou a falha e recomendado desvincular sites ou pastas da sincronização com seu dispositivo dos sites do Microsoft SharePoint ou do Microsoft Teams.
Novo malware para Android infecta 20 milhões de usuários. Foi confirmado que um malware para Android recém-descoberto infectou cerca de 20 milhões de usuários. O malware, apelidado de Clicker, foi infiltrado na Google Play Store usando 16 aplicativos maliciosos diferentes. Pesquisadores da McAfee revelaram que o malware está se passando por ferramentas de utilidade legítimas para atingir usuários de telefones Android. Essas ferramentas incluem Lanterna (Torch), leitores de QR, Câmera, Conversores de Unidade e Gerenciadores de Tarefas. À primeira vista, esses aplicativos podem parecer um software Android bem feito. No entanto, eles estão ocultando recursos de fraude de anúncios, equipados com configuração remota e técnicas de Firebase Cloud Messaging (FCM). Depois que o usuário baixa e abre esses aplicativos, uma solicitação HTTP é enviada para iniciar as configurações remotas e, eventualmente, o malware Clicker Android é baixado. Os pesquisadores destacam que o novo malware para Android foi projetado para interromper o ecossistema de publicidade móvel. Ele permite que seus operadores gerem receita exibindo anúncios fraudulentos nos dispositivos das vítimas.
Hackers dizem que roubaram 100.000 e-mails da agência nuclear do Irã. Um grupo ativista que se autodenomina Black Reward e afirma ser do Irã foi ao Telegram na última sexta-feira com alegações de que havia acessado um servidor de e-mail administrado por uma empresa relacionada à Organização de Energia Atômica do Irã e exfiltrado 324 caixas de entrada com mais de 100.000 mensagens totalizando mais de 50G de arquivos. A Black Reward afirmou que o conteúdo do carregamento inclui planos de construção de uma usina nuclear, informações pessoais de iranianos que trabalham para a Organização e detalhes do passaporte de engenheiros russos que auxiliam os esforços de energia nuclear do Irã. Detalhes técnicos e relatórios estão supostamente entre os itens, que o Black Reward também detalhou no Twitter.
CISA alerta sobre cibercriminosos visando organizações na área da saúde. A agência de cibersegurança e inteligência dos EUA publicou um alerta sobre uma gangue de cibercriminosos conhecida como Daixin Team, visando principalmente o setor de saúde no país. A Daixin Team é um grupo de ransomware e extorsão de dados que tem como alvo o setor de saúde pública com operações de ransomware e extorsão de dados desde pelo menos junho de 2022. Nos últimos quatro meses, o grupo foi vinculado a vários incidentes de ransomware no setor de Saúde, criptografando servidores relacionados a registros eletrônicos de saúde, diagnósticos, imagens e serviços de intranet. Um desses ataques foi direcionado ao OakBend Medical Center em 1º de setembro de 2022, com o grupo alegando ter desviado cerca de 3,5 GB de dados, incluindo mais de um milhão de registros com informações de pacientes e funcionários.
Brasil bate recorde em golpes financeiros. Os golpes financeiros na internet estão cada vez mais sofisticados, dificultando a segurança dos usuários de instituições financeiras. O resultado disso é o número significativo desse tipo de abordagens criminosas registradas no Brasil: foram 5 milhões de investidas, de janeiro a julho de 2022. Isso representa mais de mil tentativas de golpe por hora. O crime mais comum é a clonagem do cartão de crédito. Também são muito praticados o phishing, o golpe do pix, do WhatsApp e da falsa Central de Atendimento. As vítimas são pessoas físicas ou jurídicas, geralmente abordadas por telefone, por aplicativos de mensagens ou por anúncios em sites e aplicativos. 3 em cada 10 brasileiros já sofreram tentativa de golpe, de acordo com informações da Federação Brasileira de Bancos (Febraban). O levantamento feito pela instituição mostra que o número tem crescido rapidamente – em setembro de 2021, o percentual era de 21%. Em dezembro do mesmo ano, 22%. E, no último mês de junho, 31%.
Ransomware LockBit lidera como uma das ameaças mais sofisticadas. O LockBit, manteve sua posição de líder em ameaças de ransomware. Cada uma de suas variantes, ou seja, LockBit 1.0 , LockBit 2.0 e LockBit 3.0, causou graves danos e impactos gigantescos durante suas campanhas maliciosas. Os pesquisadores do DarkFeed revelaram que cibercriminosos afiliados ao LockBit acumularam 103 vítimas em setembro. No segundo trimestre de 2022, o LockBit era o grupo mais ativo no submundo do crime cibernético, mantendo o recorde de maior número de vítimas em um trimestre (231). Um dos afiliados do ransomware LockBit 3.0 roubou dados da empresa de tecnologia japonesa Oomiya e ameaçou vazar esses dados, se a empresa não pagasse o resgate exigido. Especialistas acreditam que o grupo de ameaças por trás do LockBit continuará a visar empresas em todo o mundo com recursos aprimorados.
Cibercriminosos exploram falha no VMware para implantar mineradores de criptografia e ransomware. Uma vulnerabilidade agora corrigida no VMware Workspace ONE Access foi observada sendo explorada para fornecer mineradores de criptomoedas e ransomware nas máquinas afetadas. O objetivo do invasor é utilizar os recursos da vítima o máximo possível, não apenas para instalar o RAR1Ransom para extorsão, mas também para espalhar o GuardMiner para coletar criptomoedas. O problema, rastreado como CVE-2022-22954 (pontuação CVSS: 9,8), diz respeito a uma vulnerabilidade de execução remota de código que decorre de um caso de injeção de modelo do lado do servidor. Embora a deficiência tenha sido abordada pelo provedor de serviços de virtualização em abril de 2022, desde então ela está sob exploração ativa. A Fortinet disse que observou em agosto de 2022 ataques que buscavam armar a falha para implantar o botnet Mirai em dispositivos Linux, bem como o RAR1Ransom e o GuardMiner , uma variante do minerador XMRig Monero.
Falha no VMware vCenter Server divulgada no ano passado ainda não foi corrigida. A VMware informou aos seus clientes que o vCenter Server 8.0 (a versão mais recente) ainda está aguardando um patch para resolver uma vulnerabilidade de escalonamento de privilégios de alta gravidade divulgada em novembro de 2021. Essa falha de segurança (CVE-2021-22048) foi encontrada por Yaron Zinar e Sagi Sheinfeld da CrowdStrike no mecanismo IWA (Integrated Windows Authentication) do vCenter Server e também afeta as implantações da plataforma de nuvem híbrida Cloud Foundation da VMware. Os invasores com acesso não administrativo podem explorá-lo para elevar privilégios a um grupo com privilégios mais altos em servidores sem patches. Embora os patches estejam pendentes para todos os produtos afetados, a VMware oferece uma solução alternativa que permite que os administradores removam o vetor de ataque. Para bloquear tentativas de ataque, a VMware aconselha os administradores a alternar para o Active Directory sobre autenticação LDAPs OU Federação de Provedores de Identidade para AD FS (somente vSphere 7.0) da Autenticação Integrada do Windows (IWA) afetada. “A autenticação do Active Directory sobre LDAP não é afetada por essa vulnerabilidade.
Atualização da Microsoft abordou um total de 85 vulnerabilidades de segurança. A atualização Patch Tuesday da Microsoft para o mês de outubro abordou um total de 85 vulnerabilidades de segurança, incluindo correções para uma falha de Zero Day explorada ativamente. Dos 85 bugs, 15 são classificados como Críticos, 69 são classificados como Importantes e um é classificado como Moderado em gravidade. A atualização, no entanto, não inclui mitigações para as falhas ProxyNotShell exploradas ativamente no Exchange Server. Os patches vêm junto com atualizações para resolver outras 12 falhas no navegador Edge baseado em Chromium que foram lançadas desde o início do mês. No topo da lista de patches deste mês está o CVE-2022-41033, uma vulnerabilidade de escalonamento de privilégios no Windows COM+ Event System Service.
Atualização do Chrome corrige várias vulnerabilidades de alta gravidade. O Google anunciou na terça-feira que a atualização mais recente do Chrome corrige seis vulnerabilidades de alta gravidade, incluindo quatro bugs de uso após a liberação. Todas as vulnerabilidades recém-resolvidas foram descobertas por pesquisadores externos e a gigante da internet distribuiu US$ 38.000 em recompensas por bugs. Com base nos valores de recompensas de bugs que o Google pagou, a mais grave das falhas recém-resolvidas é a CVE-2022-3445, uma vulnerabilidade de uso posterior no Skia, a biblioteca de gráficos 2D de código aberto que serve como mecanismo gráfico do Chrome. O Google diz em seu comunicado que pagou uma recompensa de US $ 15.000 por bugs a Nan Wang e Yong Liu, da Qihoo 360, por relatar o problema no mês passado.
Microsoft ainda não lançou patch para falhas no Exchanger Server. A Microsoft revisou suas medidas de mitigação para as falhas de Zero Day recém-divulgadas e exploradas ativamente no Exchange Server depois que descobriu que elas poderiam ser contornadas. As duas vulnerabilidades, rastreadas como CVE-2022-41040 e CVE-2022-41082, receberam o codinome ProxyNotShell devido a semelhanças com outro conjunto de falhas chamado ProxyShell, que a gigante da tecnologia resolveu no ano passado. A fabricante do Windows, que ainda não lançou uma correção para os bugs, reconheceu que um único agente de ameaças patrocinado pelo estado pode estar explorando as falhas desde agosto de 2022 em ataques direcionados limitados. Enquanto isso, a empresa disponibilizou soluções temporárias para reduzir o risco de exploração restringindo padrões de ataque conhecidos por meio de uma regra no Gerenciador do IIS. No entanto, de acordo com o pesquisador de segurança Jang ( @testanull), o padrão de URL pode ser facilmente contornado, o mesmo observou que as mitigações de bloqueio são “desnecessariamente precisas e, portanto, insuficientes”. Não está claro quando a Microsoft planeja enviar um patch para as duas vulnerabilidades, mas é possível que eles sejam enviados como parte das atualizações do Patch Tuesday na próxima semana, em 11 de outubro de 2022.
Canal popular do YouTube está distribuindo instalador malicioso do navegador Tor. Um popular canal do YouTube em chinês surgiu como um meio de distribuir uma versão trojanizada de um instalador do Windows para o navegador Tor. A Kaspersky apelidou a campanha OnionPoison, com todas as vítimas localizadas na China. A escala do ataque ainda não está clara, mas a empresa russa de segurança cibernética disse que detectou vítimas que aparecem em sua telemetria desde março de 2022. A versão maliciosa do instalador do Tor Browser está sendo distribuída por meio de um link presente na descrição de um vídeo que foi carregado no YouTube em 9 de janeiro de 2022. Já foi visto mais de 64.500 vezes até hoje.
Pesquisadores relatam vulnerabilidade no repositório PHP Packagist. Pesquisadores divulgaram detalhes sobre uma falha de segurança de alta gravidade agora corrigida no Packagist, um repositório de pacotes de software PHP, que poderia ter sido explorado para montar ataques à cadeia de suprimentos de software. “Esta vulnerabilidade permite obter o controle do Packagist “, disse o pesquisador Thomas Chauchefoin. Packagist é usado pelo gerenciador de pacotes PHP Composer para determinar e baixar dependências de software que são incluídas pelos desenvolvedores em seus projetos. Uma exploração bem-sucedida da falha significava que solicitações para atualizar um pacote poderiam ter sido sequestradas para distribuir dependências maliciosas executando comandos arbitrários no servidor de back-end executando a instância oficial do Packagist.
Cibercriminosos vazam 7GB de dados da Ferrari após ataque. Os dados do site da Ferrari foram publicados em um site de vazamento na Deep Web de propriedade do grupo de ransomware RansomEXX. Os invasores alegam ter obtido documentos internos, fichas técnicas, manuais de reparo e outras informações. O conjunto de dados roubados consiste em quase 7 GB. Uma captura de tela dos dados roubados mostra um documento marcado como ‘confidencial’. Parece um contrato de compra para um modelo específico de um carro da marca Ferrari. O vazamento marca a segunda vez que a Ferrari teve os documentos da empresa roubados em menos de um ano. Em dezembro de 2021, a fabricante italiana foi atingida pela gangue cibernética Everest. No início deste ano, os agentes de ameaças interferiram na entrada da Ferrari no mercado NFT.
Gangue de ransomware alega ter invadido empresa de defesa dos EUA. O grupo de cibercriminosos BlackCat alega ter violado a empresa de TI NJVC, que apoia o Governo Federal, organizações de inteligência e o Departamento de Defesa dos Estados Unidos e conta com mais de 1.200 funcionários em diversos locais ao redor do mundo. O BlackCat adicionou o NJVC à lista de vítimas em seu site de vazamento na Deep Web e está ameaçando liberar os dados supostamente roubados caso não seja pago o resgate. “Recomendamos fortemente que vocês entrem em contato conosco para discutir a situação. Caso contrário, os dados confidenciais em nossa posse serão divulgados em etapas a cada 12 horas. existe muito material”, cita o comunicado dos invasores. Estima-se que o BlackCat está operando desde novembro de 2021 e lançou grandes ataques em janeiro de 2022 para interromper a OilTanking GmbH, uma empresa alemã de combustíveis, e em fevereiro de 2022 contra a companhia aérea Swissport. O grupo tem como alvo empresas de setores críticos, incluindo energia, instituições financeiras, serviços jurídicos e tecnologia.
Hackers exploram a vulnerabilidade em driver da Dell. O Lazarus Group, apoiado pela Coreia do Norte, foi observado implantando um rootkit no Windows aproveitando uma exploração em um driver de firmware da Dell. “A campanha começou com e-mails de spear phishing contendo documentos maliciosos com temas da Amazon e teve como alvo um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica”, disse o pesquisador da ESET, Peter Kálnai. O rootkit explora uma falha de driver da Dell para obter a capacidade de ler e gravar na memória do kernel. O problema, rastreado como CVE-2021-21551, está relacionado a um conjunto de vulnerabilidades críticas de escalonamento de privilégios em dbutil_2_3.sys.
Pesquisadores alertam sobre novo malware em Go. Um novo malware criado em Go, chamado Chaos, tem crescido rapidamente em volume nos últimos meses para atacar uma ampla variedade de sistemas Windows e Linux dentro de ambientes corporativos. O Malware possue a capacidade de enumerar o ambiente do host, executar comandos remotos, carregar módulos adicionais, propagar automaticamente através do roubo e força bruta de chaves privadas SSH, bem como lançar ataques DDoS. A maioria dos bots estão localizados na Europa, especificamente na Itália, com outras infecções relatadas na China e nos EUA, representando coletivamente “centenas de endereços IP exclusivos” durante um período de um mês, de meados de junho a meados de julho de 2022. O Chaos faz jus ao seu nome, explorando vulnerabilidades de segurança conhecidas para obter acesso inicial, e posteriormente reconhecimento para realizar movimento lateral na rede comprometida. Um servidor GitLab localizado na Europa foi uma das vítimas do botnet Chaos nas primeiras semanas de setembro,disse a empresa, acrescentando que identificou uma série de ataques DDoS direcionados a entidades que abrangem jogos, serviços financeiros e tecnologia, mídia e entretenimento e provedores de hospedagem.
Cibercriminosos vendem ferramenta na Deep Web para distribuição de Malware. Vendido na Deep Web por € 189 por mês, o Quantum Builder é uma ferramenta personalizável para gerar arquivos de atalho maliciosos, bem como cargas HTA, ISO e PowerShell para entregar e distribuir malware de próximo estágio nos hosts visados, neste caso o Agent Tesla. A cadeia de ataque em vários estágios começa com um spear-phishing contendo um anexo de arquivo GZIP que inclui um atalho projetado para executar o código do PowerShell responsável por iniciar um aplicativo HTML remoto (HTA) usando MSHTA. Os e-mails de phishing pretendem ser uma mensagem de confirmação de pedido de um fornecedor de açúcar mascavo, com o arquivo LNK disfarçado como um documento PDF. O arquivo HTA, por sua vez, descriptografa e executa outro script de carregador do PowerShell, que atua como um downloader para buscar o malware Agent Tesla e executá-lo com privilégios administrativos. O Quantum Builder está sendo usado nos últimos meses por agentes de ameaças com o objetivo distribuir uma variedade de malware, como RedLine Stealer, IcedID, GuLoader, RemcosRAT e AsyncRAT.
Estrutura Java Pebble é vulnerável a injeção de comando. O mecanismo de modelagem Java Pebble estava vulnerável a um bug que poderia permitir que invasores ignorassem seus mecanismos de segurança e conduzissem ataques de injeção de comando contra servidores host. O Pebble Templates é conveniente devido ao seu sistema de modelagem fácil de usar para aplicativos da Web, recursos de internacionalização e recursos de segurança, como escape automático e um validador de acesso ao método de lista de bloqueio que impede ataques de execução de comandos.
