Pizza Hut enfrenta ataque cibernético e dados de clientes são comprometidos. A filial australiana da Pizza Hut foi vítima de um ataque cibernético, resultando no roubo de dados de clientes, incluindo endereços de entrega e detalhes de pedidos. Em um e-mail enviado aos clientes na quarta-feira, o CEO da Pizza Hut Austrália, Phil Reed, informou que a empresa tomou conhecimento em setembro de um acesso não autorizado por terceiros a parte dos dados da empresa. Reed afirmou que, após o incidente, a empresa tomou medidas para proteger seus sistemas, contratou especialistas em forense e cibersegurança e iniciou uma investigação para entender o ocorrido e identificar os dados afetados. Os dados comprometidos incluem detalhes de clientes e pedidos online da base de dados da Pizza Hut, como nomes, endereços de entrega, instruções, e-mails e números de contato. Para contas registradas, os dados também incluem números de cartão de crédito criptografados e senhas criptografadas.
DHS Alerta sobre Aumento de Ataques de Ransomware em 2023. A ameaça de ataques de ransomware continua sendo uma preocupação significativa para os Estados Unidos, com 2023 a caminho de se tornar o segundo ano mais lucrativo para os atacantes, conforme relatado pelo Departamento de Segurança Interna (DHS) em seu relatório anual. O relatório divulgado na semana passada, abordou uma variedade de questões, incluindo terrorismo, drogas ilegais, desinformação e atividades dos governos da Rússia, China e Irã. Uma seção inteira foi dedicada a ameaças cibernéticas e ransomware. Durante o primeiro semestre de 2023, os atacantes de ransomware extorquiram pelo menos $449,1 milhões globalmente. O DHS observou que, em média, uma empresa precisa de pelo menos 22 dias para se recuperar de um ataque de ransomware, e a recuperação frequentemente custa 50 vezes mais do que a demanda de resgate. O DHS também alertou sobre a crescente ameaça de malware desenvolvido por IA e desenvolvimento de software assistido por IA, que pode permitir ataques cibernéticos em maior escala e mais evasivos contra infraestrutura crítica dos EUA.
BlackCat Evolui com Ataque Sphynx e Compromete Armazenamento Azure. Em um incidente de segurança recente, a Sophos identificou a variante mais recente do ransomware BlackCat/ALPHV, denominada Sphynx. Esta versão apresenta novas funcionalidades e foi utilizada para criptografar contas de armazenamento Azure. Durante o incidente, os atacantes conseguiram infiltrar-se na conta Sophos Central de uma vítima e criptografar com sucesso 39 contas de armazenamento Azure. O modus operandi dos atacantes envolveu o acesso não autorizado à conta Sophos Central da vítima usando um OTP roubado. Em seguida, o grupo BlackCat desativou o recurso de Proteção contra Alterações e fez modificações nas políticas de segurança. Essas ações foram possíveis após o roubo do OTP do cofre LastPass da vítima através da extensão LastPass para Chrome.
Oriente Médio na mira de novos Ataques Cibernéticos. Provedores de serviços de telecomunicações no Oriente Médio estão sendo alvo de um novo conjunto de intrusões chamado ShroudedSnooper, que utiliza um backdoor furtivo denominado HTTPSnoop. “HTTPSnoop é um backdoor simples, mas eficaz, que utiliza técnicas inovadoras para interagir com drivers e dispositivos do kernel HTTP do Windows, ouvindo solicitações de entrada para URLs HTTP(S) específicos e executando esse conteúdo no endpoint infectado”, disse a Cisco Talos em um relatório. Suspeita-se que o ShroudedSnooper explore servidores voltados para a internet e implante o HTTPSnoop para obter acesso inicial aos ambientes-alvo. Ambas as variantes de malware se passam por componentes do aplicativo Cortex XDR da Palo Alto Networks. Até o momento, foram detectadas três amostras diferentes do HTTPSnoop.
Trojan XWorm surge como a nova ameaça global. O XWorm, um trojan de acesso remoto emergente, tem se destacado como uma das ameaças mais persistentes globalmente. Desde sua primeira observação em 2022, o malware passou por atualizações significativas que aprimoraram sua funcionalidade. A equipe de analistas da ANY.RUN analisou a versão mais recente do XWorm, desmontando suas mecânicas e configurações. A amostra analisada foi encontrada no banco de dados de malware da ANY.RUN, tendo sido inicialmente distribuída via MediaFire, um serviço de hospedagem de arquivos. Ao ser executado, o XWorm foi imediatamente detectado pelas regras do Suricata. A análise do sandbox revelou várias técnicas usadas pelo malware, incluindo a adição de seu atalho ao diretório de inicialização e o uso do agendador de tarefas para reiniciar-se com privilégios elevados. Uma tentativa de evasão da análise do sandbox foi observada quando o malware falhou ao ser executado, indicando que o XWorm agora verifica se está sendo executado em um ambiente virtualizado. Para contornar isso, a equipe ativou o Residential Proxy nas configurações do sandbox.
Erro da Microsoft revela segredos internos através do GitHub. A Microsoft inadvertidamente expôs uma vasta quantidade de informações internas sensíveis, abrangendo mais de três anos, através de um repositório público no GitHub. Embora o repositório fosse destinado apenas a fornecer acesso a código aberto e modelos de IA para reconhecimento de imagem, a URL do Azure Storage estava configurada erroneamente para conceder permissões em toda a conta, conforme informado pelos pesquisadores. Essa conta continha 38TB de dados adicionais, incluindo backups de computadores pessoais de funcionários da Microsoft. Estes backups continham dados pessoais sensíveis, como senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams. Além do acesso excessivamente permissivo, o token estava configurado para permitir permissões de “controle total” em vez de apenas leitura.
Lazarus Group desafia a segurança de Criptomoedas. O Lazarus Group, ligado à Coreia do Norte, roubou cerca de $240 milhões em criptomoedas desde junho de 2023. Relatórios indicam que este grupo pode estar por trás do roubo de $31 milhões da exchange CoinEx em 12 de setembro de 2023. Este roubo recente se soma a outros ataques a plataformas como Atomic Wallet, CoinsPaid, Alphapo e Stake.com. Acredita-se que o grupo esteja mudando seu foco de serviços descentralizados para centralizados. Esta mudança pode ser atribuída a avanços na auditoria de contratos inteligentes no setor DeFi e ao acesso proporcionado por exchanges centralizadas através de ataques de engenharia social. A Coreia do Norte tem utilizado roubos de criptomoedas como meio de contornar sanções e financiar seus programas de armas. Outra fonte de receita para o país é a contratação de freelancers de TI no exterior, que usam documentos de identificação falsos.
Correções de segurança lançadas para FortiOS e FortiProxy. A Fortinet divulgou correções para uma vulnerabilidade de cross-site scripting (XSS) de alta gravidade que afeta várias versões do FortiOS e FortiProxy. Esta vulnerabilidade é identificada como CVE-2023-29183. A vulnerabilidade recebeu uma pontuação CVSS de 7.3, indicando um nível significativo de gravidade. Os usuários e administradores são aconselhados a aplicar as correções o mais rápido possível para proteger seus sistemas e redes. A exposição a essa vulnerabilidade pode permitir que atacantes executem scripts maliciosos, comprometendo a segurança dos sistemas afetados. A rápida resposta da empresa em fornecer patches demonstra seu compromisso em manter a segurança de seus clientes. Vulnerabilidades como essa reforçam a necessidade de manter os sistemas atualizados e monitorar constantemente as redes em busca de ameaças potenciais.
Pentágono amplia foco em cibersegurança e parcerias Internacionais. O Departamento de Defesa dos EUA (DoD) divulgou um resumo não classificado de sua Estratégia Cibernética 2023, detalhando planos para esforços ofensivos e defensivos. Um foco principal da Estratégia Cibernética 2023 é o compromisso de aumentar as capacidades cibernéticas de aliados e parceiros, visando fortalecer a resiliência coletiva contra ataques cibernéticos. Isso envolve ampliar a capacidade dos parceiros, expandir seu acesso à infraestrutura de cibersegurança e ajudá-los a desenvolver sua força de trabalho cibernética por meio de treinamentos e exercícios. Os parceiros também podem ser auxiliados diretamente no desenvolvimento de suas capacidades, habilitando funções que necessitam, mas ainda não possuem. Outro esforço significativo da estratégia é defender a nação e sua infraestrutura crítica, o que inclui não apenas a defesa real, mas também a interrupção e degradação das capacidades e infraestrutura dos atores de ameaças.
TikTok enfrenta multa pesada por Violação de Dados na União Europeia. A Comissão Irlandesa de Proteção de Dados (DPC) impôs à TikTok uma multa de €345 milhões (cerca de $368 milhões) por violar o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia em relação ao tratamento de dados de crianças. A investigação, iniciada em setembro de 2021, examinou como a popular plataforma de vídeo de curta duração processou dados pessoais relacionados a usuários infantis (entre 13 e 17 anos) entre 31 de julho e 31 de dezembro de 2020. Entre as principais descobertas, destaca-se que o conteúdo postado por usuários infantis era definido como público por padrão, expondo-os a riscos adicionais. Houve também falha em fornecer informações transparentes aos usuários infantis e a implementação de padrões obscuros para direcionar os usuários a optar por opções invasivas de privacidade durante o processo de registro. Uma fragilidade no recurso de Compartilhamento Familiar permitiu que qualquer usuário não infantil (alguém que não pudesse ser verificado como pai ou responsável) associasse sua conta à de um menor, possibilitando que o usuário adulto habilitasse mensagens diretas para usuários infantis acima de 16 anos.
Google resolve processo de Privacidade com acordo Milionário. A Google concordou em pagar $93 milhões para resolver um processo movido pelo estado norte-americano da Califórnia, alegando que as práticas de privacidade de localização da empresa enganaram os consumidores e violaram as leis de proteção ao consumidor. “Nossa investigação revelou que a Google estava dizendo aos seus usuários uma coisa, que não rastrearia mais sua localização depois que eles optassem por não participar, mas fazia o oposto e continuava a rastrear os movimentos de seus usuários para seu próprio ganho comercial”, disse o Procurador-Geral da Califórnia, Rob Bonta.
NodeStealer ameaça segurança de usuários do Facebook Business. Uma campanha em andamento está visando contas do Facebook Business com mensagens falsas para coletar credenciais das vítimas usando uma variante do malware baseado em Python chamado NodeStealer, com o objetivo de assumir suas contas para atividades maliciosas subsequentes. Os ataques estão atingindo vítimas principalmente no sul da Europa e na América do Norte em diferentes segmentos, liderados pelos setores de serviços de manufatura e tecnologia. Documentado pela primeira vez pela Meta em maio de 2023, o NodeStealer começou como um malware JavaScript capaz de roubar cookies e senhas de navegadores para comprometer contas do Facebook, Gmail e Outlook. A Palo Alto Networks Unit 42 revelou, no mês passado, uma onda de ataques separada que ocorreu em dezembro de 2022 usando uma versão Python do malware, com algumas iterações também projetadas para realizar roubo de criptomoedas.
Caixa Econômica terá que indenizar usuários por dados vazados. A Justiça determinou que a Caixa Econômica Federal e outros órgãos do governo federal devem indenizar cerca de quatro milhões de beneficiários do Auxílio Brasil que tiveram seus dados pessoais expostos. O vazamento, revelado em outubro do ano passado, resultará em uma compensação de R$ 15 mil para cada indivíduo afetado, totalizando um montante de R$ 56 bilhões. Informações como números de telefone, endereços, datas de nascimento e documentos foram comprometidos no incidente, que foi divulgado pouco antes do primeiro turno das eleições presidenciais. Além da indenização individual, os órgãos deverão pagar R$ 40 milhões por danos morais coletivos ao Fundo de Defesa de Direitos Difusos. A decisão foi proferida pela 1ª Vara Cível Federal de São Paulo e envolve, além da Caixa, a União, a ANPD (Agência Nacional de Proteção de Dados) e o Dataprev.
Identidade digital baseada na localização é a nova arma contra cibercriminosos. A combinação de sinais de GPS, Wi-Fi e Bluetooth pode ser usada para localizar dispositivos com alta precisão, mesmo em ambientes fechados. Esta tecnologia avançada tem a capacidade de distinguir entre diferentes cômodos e andares de um edifício, o que amplia os benefícios da geolocalização para autenticação no ambiente digital. Uma das principais vantagens dessa abordagem é a criação de uma camada extra de proteção contra potenciais ataques cibernéticos. A precisão da localização pode atuar como um fator adicional de autenticação, dificultando a ação de criminosos que tentam acessar sistemas e dados sem autorização. Além de proteger contra ameaças externas, a identidade digital baseada na localização também pode ser útil para empresas e organizações que desejam garantir que apenas pessoal autorizado tenha acesso a áreas ou informações específicas.
Site do aeroporto de Guarulhos é alvo de ataque cibernético. O site do GRU Airport foi alvo de um ataque cibernético na terça-feira (12). A GRU Airport, concessionária responsável pela administração do aeroporto, confirmou o ataque. No entanto, a empresa esclareceu que, apesar do ataque, não houve alterações no site nem impacto nas operações do aeroporto. O Aeroporto Internacional de Guarulhos é o mais movimentado do Brasil. Em agosto, mais de 3,7 milhões de passageiros passaram por suas instalações, com quase 2,5 milhões em voos domésticos e 1,2 milhão em voos internacionais. Para reforçar a segurança, o governo federal lançou o programa “Aeroportos+Seguros”. Este programa prevê um investimento de R$ 40 milhões para melhorar a segurança em Guarulhos. As medidas incluem o aumento do número de câmeras, identificação com chave de acesso individualizada ao sistema de bagagens no Terminal 3 e novos equipamentos para detecção e identificação.
GitHub enfrenta vulnerabilidade crítica que expõe repositórios ao repojacking. Uma nova vulnerabilidade revelada no GitHub poderia ter exposto milhares de repositórios ao risco de ataques de “repojacking”. A falha poderia permitir que um invasor explorasse uma condição nas operações de criação de repositório e renomeação de nome de usuário do GitHub. A exploração bem-sucedida dessa vulnerabilidade impacta a comunidade de código aberto, possibilitando o sequestro de mais de 4.000 pacotes de código em linguagens como Go, PHP e Swift, bem como ações do GitHub. Após a divulgação responsável em 1º de março de 2023, a plataforma de hospedagem de código do GitHub, de propriedade da Microsoft, resolveu o problema em 1º de setembro de 2023.
Firefox e Thunderbird recebem correções após descoberta de falha crítica. A Mozilla lançou na última terça-feira atualizações de segurança para resolver uma vulnerabilidade crítica de dia zero no Firefox e Thunderbird que estava sendo ativamente explorada, um dia após o Google lançar uma correção para o problema em seu navegador Chrome. A vulnerabilidade, identificada como CVE-2023-4863, é uma falha de estouro de buffer no formato de imagem WebP que pode resultar na execução arbitrária de código ao processar uma imagem especialmente criada. “Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer no processo de conteúdo”, disse a Mozilla em um comunicado. “Estamos cientes de que este problema está sendo explorado em outros produtos.” De acordo com a descrição no Banco de Dados Nacional de Vulnerabilidades (NVD), a falha poderia permitir que um invasor remoto realizasse uma gravação de memória fora dos limites por meio de uma página HTML criada de forma maliciosa.
Ataques de phishing avançados visam sistemas Windows usando PowerShell. Uma nova campanha de ataque cibernético está em andamento, e ela se aproveita do script PowerShell associado a uma ferramenta legítima de red teaming. O objetivo é saquear hashes NTLMv2 de sistemas Windows comprometidos, com os principais alvos sendo sistemas localizados na Austrália, Polônia e Bélgica. Os atores de ameaças, nesta campanha, estão roubando e exfiltrando hashes NTLMv2. Eles fazem isso usando versões personalizadas do script PowerShell Start-CaptureServer da Nishang. Além disso, executam vários comandos do sistema e exfiltram os dados recuperados por meio das APIs Mockbin. Nishang é reconhecido como um framework e coleção de scripts e cargas úteis do PowerShell. Ele é amplamente utilizado para segurança ofensiva, testes de penetração e red teaming. Os ataques atuais empregam até cinco diferentes cadeias de infecção. No entanto, todos eles têm um ponto comum: utilizam e-mails de phishing contendo arquivos ZIP para infiltrar em alvos específicos, usando técnicas de geofencing.
Notepad++ lança correção para múltiplas vulnerabilidades de segurança. A versão 8.5.7 do Notepad++ foi lançada com correções para vários zero days, sendo um deles potencialmente levando à execução de código ao enganar os usuários a abrir arquivos especialmente criados. O Notepad++ é um editor de código-fonte gratuito popular que suporta muitas linguagens de programação, pode ser estendido por meio de plugins e oferece recursos que aumentam a produtividade, como edição com várias abas e destaque de sintaxe. O pesquisador de segurança do GitHub, Jaroslav Lobačevski, relatou as vulnerabilidades no Notepad++ versão 8.5.2 para os desenvolvedores nos últimos meses. Provas de conceito para essas falhas também foram publicadas no aviso público do pesquisador, tornando essencial para os usuários atualizar o programa o mais rápido possível. Em 30 de agosto de 2023, um problema público foi criado para reconhecer o problema, e as correções para as quatro falhas foram incorporadas ao branch principal de código em 3 de setembro de 2023.
EUA e Reino Unido tomam medidas contra russos envolvidos em esquemas de ransomware. Onze cidadãos russos, supostamente parte do grupo criminoso que opera os esquemas do malware Trickbot e ransomware Conti, foram sancionados pelas autoridades dos Estados Unidos e do Reino Unido. Os indivíduos sancionados incluem atores-chave envolvidos na gestão e aquisição para o grupo Trickbot, que tem ligações com os serviços de inteligência russos. Acredita-se que este trojan bancário infame tenha roubado mais de $180 milhões em todo o mundo. A ação segue uma primeira série de sanções em fevereiro contra o que os oficiais descreveram como uma única rede criminosa por trás das gangues de ransomware Conti e Ryuk, bem como aqueles envolvidos com o trojan bancário Trickbot.
Cidade espanhola de Sevilha se recusa a pagar resgate após ataque do LockBit. Um ciberataque, atribuído ao grupo de ransomware LockBit, afetou a cidade de Sevilha, na Espanha, levando a uma interrupção significativa em seus sistemas. O conselho da cidade confirmou que não pagará o resgate de $1,5 milhão exigido pelos hackers. Este incidente comprometeu uma ampla gama de serviços municipais, incluindo polícia, bombeiros e coleta de impostos. O ataque começou dia 04 e, inicialmente, foi identificado como uma falha no sistema interno. No entanto, análises subsequentes revelaram que se tratava de um ciberataque. O modus operandi do LockBit envolve a extorsão de suas vítimas através da criptografia de redes e ameaças de divulgação de dados roubados em seu site de vazamentos. O prefeito de Sevilha, José Luis Sanz, informou na quinta-feira que a cidade está trabalhando para restaurar os serviços o mais rápido possível. Sevilha é a capital da região autônoma da Andaluzia na Espanha e a quarta maior cidade do país.
Apple lança atualizações de emergência para falhas exploradas pelo Spyware Pegasus. A Apple lançou na última quinta-feira atualizações de segurança de emergência para iOS, iPadOS, macOS e watchOS para abordar duas falhas de zero day que foram exploradas em ataques reais para entregar o spyware Pegasus do Grupo NSO. As questões identificadas foram um problema de validação e de estouro de buffer no componente Image I/O. Enquanto o primeiro foi encontrado pelo Citizen Lab da Universidade de Toronto, o segundo foi descoberto internamente pela Apple, com “assistência” do Citizen Lab. As atualizações estão disponíveis para vários dispositivos, incluindo iPhone 8 e posteriores, iPad Pro, iPad Air 3ª geração e posteriores, iPad 5ª geração e posteriores, iPad mini 5ª geração e posteriores, dispositivos macOS rodando macOS Ventura e Apple Watch Series 4 e posteriores.
Ator de ameaças chinês espiona agências governamentais dos EUA através de chave da Microsoft. Um ator de ameaças baseado na China obteve acesso a uma chave criptográfica da conta Microsoft (MSA) em 2021 e a utilizou para espionar os Departamentos de Estado e Comércio dos EUA, bem como outras agências governamentais americanas. Uma série de eventos permitiu que o adversário apoiado pela China, identificado pela Microsoft como Storm-0558, tivesse acesso “lícito” às contas do Exchange Online e Azure Active Directory (agora chamado Microsoft Entra ID) de 25 organizações. Algum tempo depois, o Storm-0558 comprometeu a conta corporativa de um engenheiro da Microsoft. A Microsoft analisou o comprometimento e como a chave de assinatura foi usada para acessar os sistemas de e-mail Outlook baseados na nuvem de 25 organizações em uma série de postagens em blog em julho de 2023, mas não explicou como o ator de ameaças obteve a chave.
IBM alerta sobre violação de dados sensíveis na plataforma Janssen CarePath da Johnson & Johnson. Dados sensíveis de pacientes podem ter sido acessados após uma violação da plataforma Janssen CarePath, uma subsidiária da gigante farmacêutica Johnson & Johnson. A empresa de tecnologia IBM, prestadora de serviços para a Johnson & Johnson Health Care Systems, notificou os clientes do incidente em uma declaração em 6 de setembro de 2023. A IBM explicou que foi alertada sobre um “problema técnico” pelo qual se podia obter acesso não autorizado ao banco de dados de terceiros que suporta a Janssen. Após investigação, descobriu-se que houve acesso não autorizado a informações pessoais no banco de dados em 2 de agosto. Isso pode ter incluído nomes de clientes, informações de contato, data de nascimento, bem como dados médicos sensíveis, como detalhes de seguro de saúde e informações sobre medicamentos e condições associadas fornecidas ao aplicativo Janssen CarePath.
Falhas de segurança no Apache Superset permitem Execução Remota de Código. Foram lançados patches para corrigir duas novas vulnerabilidades de segurança no Apache Superset, que poderiam ser exploradas por um invasor para obter execução remota de código em sistemas afetados. A atualização (versão 2.1.1) aborda os problemas identificados como CVE-2023-39265 e CVE-2023-37941. Estas vulnerabilidades permitem ações maliciosas quando um invasor consegue controlar o banco de dados de metadados do Superset. Além dessas falhas, a versão mais recente do Superset também corrige um problema separado de permissão inadequada da API REST (CVE-2023-36388), que permite que usuários com baixos privilégios realizem ataques de falsificação de solicitação do lado do servidor (SSRF). A divulgação ocorre pouco mais de quatro meses após a empresa revelar uma falha de alta gravidade no mesmo produto que poderia permitir que invasores não autorizados obtivessem acesso de administrador aos servidores e executassem código arbitrário.
Botnet Pandora explora Smart TVs para Lançar Ataques DDoS. Uma variante do botnet Mirai, chamada Pandora, foi observada infiltrando-se em TVs Android de baixo custo e caixas de TV, utilizando-os como parte de um botnet para realizar ataques de negação de serviço distribuído (DDoS). Os comprometimentos provavelmente ocorrem durante atualizações maliciosas de firmware ou quando são instaladas aplicações para visualização de conteúdo de vídeo pirateado. Uma vez instalado um aplicativo, ele lança um serviço “GoMediaService” em segundo plano, que é usado para descompactar vários arquivos, incluindo um intérprete que é executado com privilégios elevados e um instalador para o Pandora.
Atualização de segurança do Android aborda Vulnerabilidade Zero Day. A Google lançou patches de segurança para corrigir várias falhas no Android, incluindo um bug de zero day que, segundo a empresa, pode ter sido explorado em ataques reais. Identificada como CVE-2023-35674, essa vulnerabilidade de alta gravidade é descrita como um caso de escalada de privilégio que afeta o “Android Framework”. A empresa mencionou em seu Boletim de Segurança Android para setembro de 2023: “Há indicações de que o CVE-2023-35674 possa estar sob exploração limitada e direcionada”, sem entrar em detalhes adicionais. A atualização também aborda outras três falhas de escalação de privilégio no Framework. O gigante das buscas observou que o problema mais grave entre eles poderia levar a uma escalação local de privilégio sem a necessidade de privilégios adicionais de execução, sem qualquer interação do usuário. A Google também informou que corrigiu uma vulnerabilidade crítica de segurança no componente do Sistema que poderia permitir a execução remota de código sem a necessidade de interação por parte da vítima.
Cibercriminosos roubam mais de $40 Milhões em criptomoedas do Cassino Online Stake. Os invasores conseguiram roubar mais de $40 milhões em criptomoedas da plataforma autodenominada como a principal plataforma de apostas do mundo. A Stake.com, oferece apostas em cassino e esportes para jogadores que utilizam criptomoedas. No entanto, na última segunda-feira, a empresa identificou transações não autorizadas sendo realizadas a partir de suas carteiras hot wallets de Ethereum (ETH) e Binance Smart Chain (BSC). “Estamos investigando e reativaremos as carteiras assim que estiverem totalmente asseguradas”, afirmou a empresa. As criptomoedas BTC, LTC, XRP, EOS, TRX e “todas as outras carteiras” não foram afetadas pelo ataque, segundo a Stake.com.
Grupo APT34 lança nova variante do Backdoor SideTwist em ataque de Phishing. O grupo de ameaças iraniano identificado como APT34 foi associado a um novo ataque de phishing que resulta na implantação de uma variante de um backdoor chamado SideTwist. APT34 possui um alto nível de tecnologia de ataque, pode projetar diferentes métodos de intrusão para diferentes tipos de alvos e possui capacidade de ataque à cadeia de suprimentos. Uma das principais características do grupo é sua capacidade de criar novas ferramentas e atualizar as existentes para minimizar as chances de detecção e manter uma presença nos hosts comprometidos por longos períodos. A cadeia de ataque identificada pela começa com um documento do Microsoft Word que contém um macro malicioso. Este macro, por sua vez, extrai e lança a carga útil codificada em Base64 armazenada no arquivo.
Roteadores ASUS Vulneráveis a Falhas Críticas de Execução Remota de Código. Roteadores ASUS dos modelos RT-AX55, RT-AX56U_V2 e RT-AC86U estão vulneráveis a três falhas críticas de execução remota de código, que podem permitir a invasores assumir o controle dos dispositivos. Estas vulnerabilidades foram reportadas pelo CERT de Taiwan. Uma delas, identificada como CVE-2023-39238 (CVSS 9.8), está presente nos módulos iperf-relacionados dos roteadores, especificamente na API set_iperf3_svr.cgi. Esta função não verifica adequadamente a string de formato de entrada, permitindo que um invasor remoto e não autenticado explore essa falha para ganhar execução remota de código e realizar operações arbitrárias no dispositivo ou interromper o serviço. Outra vulnerabilidade, a CVE-2023-39239 (CVSS 9.8), afeta a API da função de configuração geral dos roteadores. Assim como a anterior, esta função não verifica adequadamente a string de formato de entrada, possibilitando que um invasor remoto e não autenticado explore essa vulnerabilidade para ganhar execução remota de código e realizar operações arbitrárias nos dispositivos ou interromper os serviços.
