Mais de 9.000 servidores VNC estão expostos on-line. Pesquisadores descobriram pelo menos 9.000 servidores VNC expostos que podem ser acessados e usados sem autenticação, permitindo aos atores de ameaças fácil acesso a redes internas. O VNC (virtual network computing) é um sistema independente da plataforma destinado a ajudar os usuários a se conectarem a sistemas que requerem monitoramento e ajustes, oferecendo o controle de um computador remoto via RFB (protocolo de buffer de quadros remotos) através de uma conexão de rede. Se esses pontos finais não estiverem devidamente protegidos com uma senha, que muitas vezes é resultado de negligência, erro ou uma decisão tomada por conveniência, eles podem servir como pontos de entrada para usuários não autorizados, incluindo atores de ameaças com intenções maliciosas. Para piorar as coisas, a Cybcle encontrou algumas dessas instâncias VNC expostas para sistemas de controle industrial, que nunca devem ser expostos à Internet.
Grupos de Ransomware Refinam Modelos de ataque para maximizar lucros. Os invasores que usam ransomware continuam buscando novas maneiras de maximizar os lucros com o mínimo de esforço. Algumas de suas principais táticas incluem entrar em corretores de acesso inicial, trabalhar com operadores de botnets e testar novos modelos de monetização. Um ecossistema como serviço ajuda a facilitar esses esforços – um cenário complexo que é difícil de ser interrompido pela aplicação das leis. Inúmeros provedores oferecem uma variedade de serviços e, se forem interrompidos ou presos, os rivais estão prontos para substituí-los. Grupos e afiliados de ransomware geralmente terceirizam o trabalho demorado de obter acesso à rede de uma vítima. Os grupos de ransomware continuam testando novas estratégias para ganhar dinheiro, incluindo modelos puros de vazamento de dados. De abril a junho, a empresa de inteligência de ameaças Kela relatou ter visto mais de 550 listagens de acesso, com um preço médio de US$ 1.200 cada.
Telefones da Xiaomi estão com chips MediaTek vulneráveis. Falhas de segurança foram identificadas nos modelos Xiaomi Redmi Note 9T e Redmi Note 11, que podem ser exploradas para desabilitar o mecanismo de pagamento móvel e até mesmo forjar transações por meio de um aplicativo Android desonesto instalado nos dispositivos. A Check Point disse que encontrou as falhas em dispositivos equipados com chipsets MediaTek durante uma análise de segurança do Trusted Execution Environment (TEE) da fabricante chinesa de celulares. Especificamente, a empresa israelense de segurança cibernética descobriu que um aplicativo confiável em um dispositivo Xiaomi pode ser rebaixado devido à falta de controle de versão, permitindo que um invasor substitua uma versão mais nova e segura de um aplicativo por uma variante mais antiga e vulnerável.
Cibercriminosos atacam Agência Nacional do Petróleo pela segunda semana consecutiva. A tentativa de ataque cibernético contra sistemas da ANP (Agência Nacional do Petróleo, Gás Natural e Biocombustíveis) inviabiliza, pela segunda semana consecutiva, a divulgação da pesquisa de preços dos combustíveis no país. A plataforma em que é feita a atualização dos dados permaneceu fora do ar ao longo da última sexta-feira (12). As informações são coletadas em postos de combustíveis espalhados pelo Brasil. Em semanas sem feriados, a pesquisa de preços costuma ser divulgada por volta das 18h nas sextas-feiras. A publicação não ocorreu nas últimas duas semanas, conforme nota divulgada pela ANP. “A ANP informa que o Sistema de Levantamento de Preços permanece indisponível, assim como outros sistemas da agência e, por isso, os dados de preços dos combustíveis desta semana não serão publicados”. Segundo o órgão os sistemas foram retirados do ar “para avaliação dos riscos à segurança cibernética da agência”.
76% de líderes de TI não garantem a segurança da empresa contra ciberataques. Segundo uma pesquisa realizada pela Delphix, empresa líder mundial do setor para DevOps e Test Data Management (TDM), 76% dos líderes de TI não confiam na habilidade de sua organização de se proteger contra roubo de informações. A análise foi baseada em entrevistas com mais de 100 gerentes de TI e segurança de empresas de diversos países, a pesquisa também destaca que a maioria das organizações ainda não está pronta para se defender de ataques de ransomware. Mais de 80% dos entrevistados disseram que não fazia testes e simulações para segurar a recuperação ágil e fundamental de aplicativos e informações críticas para os negócios em caso de acidentes, e apenas 6% afirmaram estar cientes das três principais variantes de ransomware (criptografia de dados, bloqueio do sistema e roubo de dados). 99% dos entrevistados usam uma solução de backup de terceiros, a maioria não utiliza recursos importantes, como Recuperação para um Ambiente Isolado, Mascaramento de Dados e Retenção à Prova de adulteração.
Hackers Coreanos estão usando malware para roubar contas de e-mails. Um grupo de hackers apoiados pela Coreia do Norte, está usando uma extensão maliciosa para Microsoft Edge e Google Chrome para roubar e-mails de usuários de ambos os navegadores. A extensão, conhecida como SHARPEXT pelos pesquisadores da Volexity, suporta três navegadores baseados no Chromium e tem a capacidade de roubar e-mails das contas do Gmail dos indivíduos de interesse. Ao contrário de outras extensões danificadas, o SHARPEXT não busca por logins e senhas. Em vez disso, a ameaça pode inspecionar e extrair dados diretamente da conta de webmail de uma pessoa enquanto ela está sendo usada. A extensão pode extrair dados da AOL e do Gmail. Pesquisadores que forneceram informações sobre a campanha de ataque atribuíram o SHARPEXT a um agente de ameaças norte-coreano.
Ataque de phishing abusa do Microsoft Azure e Google Sites para roubar criptomoedas. Uma nova campanha de phishing em grande escala direcionada aos usuários da Coinbase, MetaMask, Kraken e Gemini está abusando do Google Sites e do Microsoft Azure Web para criar sites fraudulentos. Essas páginas de phishing são promovidas por meio de comentários postados em sites legítimos por uma rede de bots controlada pelos agentes das ameaças. A publicação de links para páginas de phishing em vários sites legítimos visa aumentar o tráfego e aumentar as classificações do mecanismo de pesquisa do site malicioso. Além disso, como os sites de phishing são hospedados nos serviços da Microsoft e do Google, eles não são sinalizados por sistemas de moderadores automatizados, permitindo que as mensagens promocionais permaneçam na seção de comentários por mais tempo. O Google Sites é uma ferramenta gratuita de criação de páginas da Web, parte do pacote de serviços online do Google, que permite aos usuários criar sites e hospedá-los no Google Cloud ou em outros provedores. Da mesma forma, os Aplicativos Web do Azure da Microsoft são uma plataforma que ajuda os usuários a criar, implantar e gerenciar aplicativos e sites da Web.
36% das organizações expõem protocolos FTP e Telnet inseguros na Internet. Uma porcentagem significativa de organizações expõe protocolos inseguros ou altamente confidenciais na internet, incluindo FTP, SMB, SSH e Telnet, mostrou o relatório ExtraHop Benchmarking Cyber Risk and Readiness. Intencionais ou acidentais, essas exposições ampliam a superfície de ataque de qualquer organização, fornecendo aos ciberataques um ponto de entrada fácil na rede. “Portas e protocolos são essencialmente as portas e corredores que os invasores usam para explorar redes e causar danos”, disse Jeff Costlow, CISO, ExtraHop. “É por isso que saber quais protocolos estão sendo executados em sua rede e quais vulnerabilidades estão associadas a eles é tão importante.
Empresas de saúde são principal alvo dos cibercriminosos no segundo trimestre. As empresas do setor de saúde foram os principais alvos dos cibercriminosos no segundo trimestre de 2022. No período, os casos envolvendo o setor registraram alta de 90% em relação aos três primeiros meses do ano. A alta foi impulsionada principalmente por ataques de ransomware. A tática, que consiste em extorquir companhias por meio do sequestro de dados, voltou a ganhar força entre abril e junho. Os dados foram coletados pela Kroll, consultoria global de riscos, investigação empresarial e cibersegurança, com destaque para o monitoramento em tempo real. O levantamento não inclui informações específicas sobre o Brasil. Apesar do foco no setor de saúde, companhias nacionais de diferentes setores já foram vítimas de hackers ao longo dos últimos anos, com uma escalada de casos durante a crise sanitária da covid-19.
CISA emite alerta sobre exploração ativa de software UnRAR para sistemas Linux. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou na última terça-feira uma falha de segurança divulgada recentemente no utilitário UnRAR ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas, com base em evidências de exploração ativa. Rastreado como CVE-2022-30333 (pontuação CVSS:7,5), o problema diz respeito a uma vulnerabilidade de passagem de caminho nas versões Unix do UnRAR que pode ser acionada ao extrair um arquivo RAR criado com códigos maliciosos. Isso significa que um adversário pode explorar a falha para descartar arquivos arbitrários em um sistema de destino que tenha o utilitário instalado simplesmente descompactando o arquivo. A vulnerabilidade foi revelada pelo pesquisador da SonarSource, Simon Scannell, no final de junho.
Funcionários da Cloudflare se tornaram alvos dos cibercriminosos. A empresa de infraestrutura Web Cloudflare divulgou na última terça-feira que pelo menos 76 funcionários e seus familiares receberam mensagens de texto em seus telefones pessoais e de trabalho com características semelhantes às do sofisticado ataque de phishing contra a empresa Twilio. As mensagens de texto apontavam para um domínio aparentemente legítimo contendo as palavras-chave “Cloudflare” e “Okta” na tentativa de enganar os funcionários para que entregassem suas credenciais. A onda de mais de 100 mensagens de smishing começou menos de 40 minutos depois que o domínio não autorizado foi registrado via Porkbun, observou a empresa, acrescentando que a página de phishing foi projetada para retransmitir as credenciais inseridas por usuários ao invasor via Telegram em tempo real.
Microsoft emite patches para 121 falhas, incluindo zero-day sob ataque ativo. Dos 121 bugs, 17 são classificados como Críticos, 102 são classificados como Importantes, um é classificado como Moderado e um é classificado como Baixo em gravidade. Dois dos problemas foram listados como conhecidos publicamente no momento do lançamento. No topo da lista de patches está o CVE-2022-34713 (pontuação CVSS:7,8), um caso de execução remota de código que afeta a Ferramenta de Diagnóstico de Suporte do Microsoft Windows (MSDT), tornando-se a segunda falha no mesmo componente depois do Follina (CVE-2022 -30190). A Microsoft também resolveu três falhas de escalonamento de privilégios no Exchange Server que poderiam ser abusadas para ler mensagens de email direcionadas e baixar anexos (CVE-2022-21980,CVE-2022-24477 e CVE-2022-24516) e uma vulnerabilidade de divulgação de informações publicamente conhecida (CVE-2022-30134) no Exchange, o que também pode levar ao mesmo impacto. A correção do Patch Tuesday também é notável por abordar dezenas de falhas de escalonamento de privilégios.
VMware alerta sobre exploração da vulnerabilidade crítica de bypass de autenticação. O código de exploração de prova de conceito agora está disponível publicamente para uma falha crítica de desvio de autenticação em vários produtos VMware que permite que invasores obtenham privilégios de administrador. Há uma semana, a VMware lançou atualizações para resolver a vulnerabilidade (CVE-2022-31656) que afeta o VMware Workspace ONE Access, o Identity Manager e o vRealize Automation. Várias outras falhas foram corrigidas no mesmo dia, incluindo uma falha de injeção de SQL de alta gravidade (CVE-2022-31659) que permite que invasores remotos obtenham execução remota de código. A VMware “confirmou que o código malicioso que pode explorar as falhas em produtos afetados está disponível publicamente”. A empresa fornece links para download de patches e instruções detalhadas de instalação em seu site para que as vulnerabilidades sejam corrijidas.
Novas bibliotecas Python maliciosas encontradas no repositório PyPI. Pesquisadores de segurança da Check Point detectaram 10 pacotes maliciosos no Python Package Index (PyPI), o principal índice de pacotes Python usado pelos desenvolvedores do Python. O primeiro deles foi o Ascii2text, um pacote malicioso que imitava o pacote de popular art por nome e descrição. “Curiosamente, os atores de ameaças foram inteligentes o suficiente para copiar toda a descrição do projeto sem a parte de lançamento, impedindo que os usuários percebessem que este é um pacote falso”, escreveu a Check Point. O Ascii2text funcionaria baixando um script que reunia senhas armazenadas em navegadores da web como Google Chrome, Microsoft Edge, Brave, Opera e Yandex Browser. Em seu comunicado , a Check Point também mencionou Pyg-utils, Pymocks e PyProto2, três pacotes separados com o objetivo comum de roubar as credenciais da AWS dos usuários. As bibliotecas Test-async e Zlibsrc também aparecem no relatório. De acordo com a Check Point, ambos baixavam e executavam códigos potencialmente maliciosos durante a instalação.
IBM corrige vulnerabilidades de alta gravidade em seus produtos. A IBM anunciou no início dessa semana patches para várias vulnerabilidades de alta gravidade que afetam produtos como Netezza for Cloud Pak for Data, Voice Gateway e SiteProtector. Um total de três vulnerabilidades foram resolvidas no IBM Netezza for Cloud Pak for Data, todas impactando os pacotes Golang que a plataforma usa. Dois desses problemas são classificados como ‘alta gravidade’, com uma pontuação CVSS de 7,5. Esta semana, a IBM também corrigiu uma falha de falsificação de identidade de gravidade média no Liberty for Java for IBM Cloud. A empresa também atualizou uma série de comunicados publicados anteriormente, incluindo um comunicado de maio detalhando o impacto da vulnerabilidade Spring4Shell no IBM Cloud Pak System. Informações adicionais sobre as vulnerabilidades abordadas podem ser encontradas no portal da IBM.
Hackers exploram vulnerabilidade de Zero Day no Twitter. O Twitter revelou na última sexta-feira (05) que um bug de dia zero, agora corrigido, foi usado para vincular números de telefone e e-mails a contas de usuários na plataforma de mídia social. O Twitter disse que o bug, do qual foi informado em janeiro de 2022, resultou de uma alteração de código introduzida em junho de 2021. Nenhuma senha foi exposta como resultado do incidente. O atraso de seis meses em tornar isso público decorre de evidências que no mês passado um ator não identificado potencialmente se aproveitou da falha antes da correção para obter informações de usuários e vendê-las nos fóruns de violação. Embora o Twitter não tenha revelado o número exato de usuários afetados, a postagem no fórum feita pelo agente da ameaça mostra que a falha foi explorada para compilar uma lista contendo supostamente mais de 5,48 milhões de perfis de contas de usuários.
GwisinLocker Ransomware tem como alvo sistemas Linux. Pesquisadores da ReversingLabs descobriram uma nova família de ransomware visando sistemas baseados em Linux na Coreia do Sul. Apelidado de GwisinLocker, o malware foi detectado pela ReversingLabs em 19 de julho enquanto realizava campanhas bem-sucedidas direcionadas a empresas do setor industrial e farmacêutico. “Nas comunicações com suas vítimas, o grupo Gwisin afirma ter profundo conhecimento de sua rede e alega que exfiltraram dados para extorquir a empresa”, disse a ReversingLabs. Além disso, as notas de resgate associadas ao GwisinLocker.Linux continham informações internas detalhadas do ambiente comprometido e os arquivos criptografados usavam extensões de arquivo personalizadas para usar o nome da empresa vítima. Em relação aos detalhes do sistema de pagamento por trás do ransomware, a ReversingLabs disse que as vítimas do GwisinLocker Linux são obrigadas a fazer login em um portal operado pelo grupo e estabelecer canais de comunicação privados para completar pagamentos de resgate.
Slack redefine senhas após um bug expor senhas de usuários. O Slack disse que tomou a medida de redefinir as senhas para cerca de 0,5% de seus usuários depois que uma falha expôs hashes de senhas ao criar ou revogar links de convite compartilhados para espaços de trabalho. “Quando um usuário executava qualquer uma dessas ações, o Slack transmitia uma versão com hash de sua senha para outros membros do espaço de trabalho”, disse a plataforma de comunicação e colaboração corporativa em um alerta. A empresa de propriedade da Salesforce, que relatou mais de 12 milhões de usuários ativos diariamente em setembro de 2019, não revelou o algoritmo de hash exato usado para proteger as senhas. Vale ressaltar que as senhas com hash não eram visíveis para nenhum cliente do Slack, o que significa que o acesso às informações exigia monitoramento ativo do tráfego de rede criptografado originário dos servidores do Slack.
Justiça Eleitoral é alertada sobre possível ataque de cibercriminosos. O Tribunal Superior Eleitoral (TSE) trabalha com a possibilidade de sofrer ciberataques às vésperas das eleições. Diante do cenário global de ameaças cibernéticas, a Corte Eleitoral vem implementando medidas para proteger o sistema eleitoral em Brasília e também nos tribunais regionais. Segundo relatório interno, o TSE não descarta ser alvo de um ataque como o que paralisou o Superior Tribunal de Justiça (STJ) por uma semana em novembro de 2020. A Corte foi alvo de um “ransomware”, um sofisticado malware que sequestra dados e só os devolve mediante pagamento de resgate. Servidores e ministros ficaram impossibilitados de acessar arquivos e e-mails. O andamento de milhares de processos ficou prejudicado. Uma das metas do TSE é preservar a credibilidade do sistema, considerado um dos mais seguros do mundo. Mesmo com ataques malsucedidos ou menos complexos, toda a segurança do pleito pode ser comprometida a partir da atuação coordenada de atores políticos. O TSE afirmou que um programa nacional de cibersegurança vem sendo implementado em toda a Justiça Eleitoral, mas não quis dar detalhes por motivo de segurança.
VirusTotal revela softwares mais utilizados em ataques com malware. Os cibercriminosos estão cada vez mais imitando aplicativos legítimos como Skype, Adobe Reader e VLC Player como forma de abusar das relações de confiança e aumentar a probabilidade de um ataque de engenharia social bem-sucedido. Outros aplicativos legítimos mais representados por ícone incluem 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom e WhatsApp, revelou uma análise do VirusTotal. “Um dos truques de engenharia social mais simples que vimos envolve fazer uma amostra de malware parecer um programa legítimo”, disse o VirusTotal em um relatório da última terça-feira (02). “O ícone desses programas é um recurso crítico usado para convencer as vítimas de que esses programas são legítimos”. Não é surpresa que os agentes de ameaças recorram a uma variedade de abordagens para comprometer endpoints, enganando usuários involuntários para que baixem e executem seus executáveis. No total, foram detectados nada menos que 2,5 milhões de arquivos suspeitos baixados de 101 domínios pertencentes aos 1.000 principais sites da Alexa.
Nvidia lança atualização de segurança para sistemas Windows 7 e 8.1 não suportados. A Nvidia encerrou oficialmente o suporte aos sistemas operacionais Windows 7 e 8.1 da Microsoft em 2021. A empresa anunciou que lançaria atualizações críticas de segurança para sistemas sem suporte até setembro de 2024. A Nvidia lançou os drivers de atualização de segurança GeForce para Windows 7, Windows 8 e Windows 8.1 esta semana. O lançamento tem a versão 473.81 e inclui apenas alterações relacionadas à segurança, mas sem acréscimos de recursos ou melhorias em relação a jogos ou outros aplicativos.
HackerSec promove cibersegurança no metrô de São Paulo. A empresa referência em cibersegurança no Brasil, HackerSec, começou a promover no metrô de São Paulo, sendo a primeira empresa da área a realizar esse feito e ajudar com crescimento do mercado de cibersegurança. “Mais uma vez a HackerSec é pioneira na área. Uma das coisas que acreditamos é que a cibersegurança é para todas as pessoas e empresas, e um dos nossos objetivos é a democratização desse mercado”, comenta Andrew Martinez, CEO da empresa. O Brasil é hoje o país com o maior déficit de profissionais em cibersegurança no mundo, superando as 440mil vagas de trabalho. Além disso, é um dos países onde mais crescem o número de ações de criminosos digitais, tornando a proteção uma das coisas mais importantes para a sobrevivência dos negócios. “Queremos que a cibersegurança seja comum a toda população e que as empresas estejam realmente protegidas e cientes da importância que o tema tem”, completa Andrew Martinez.
VMware pede que os administradores corrijam o bug crítico de autenticação. A VMware alertou os administradores para corrigir uma falha crítica de segurança de desvio de autenticação que afeta usuários de domínio local em vários produtos e permite que invasores não autenticados obtenham privilégios de administrador. A falha (CVE-2022-31656) foi relatada por Petrus Viet, da VNG Security, que descobriu que ela afeta o VMware Workspace ONE Access, o Identity Manager e o vRealize Automation. “Esta vulnerabilidade crítica deve ser corrigida ou mitigada imediatamente de acordo com as instruções do VMSA”, alertou a VMware. “Todos os ambientes são diferentes, têm diferentes tolerâncias ao risco e têm diferentes controles de segurança e defesa em profundidade para mitigar o risco, de modo que os clientes devem tomar suas próprias decisões sobre como proceder. No entanto, dada a gravidade da vulnerabilidade, é recomendável uma ação imediata.”
Google corrige falha crítica de Bluetooth no sistema operacional Android. O Google publicou seu boletim mensal de segurança de agosto na última segunda-feira, detalhando os últimos patches disponíveis para o Android. Um total de 37 vulnerabilidades foram corrigidas, incluindo uma falha crítica de segurança no componente System que pode levar à execução remota de código via Bluetooth sem a necessidade de privilégios de execução adicionais. A vulnerabilidade do Bluetooth é rastreada como CVE-2022-20345 e foi corrigida no Android 10, 11, 12 e 12L. As falhas restantes que foram corrigidas no boletim de segurança do Google de agosto receberam uma classificação de alta gravidade, pois muitas delas podem levar ao aumento de privilégios ou à divulgação de informações. O boletim tem dois níveis de patch de segurança para dar aos parceiros Android a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente.
Cibercriminosos invadem sistema de gasoduto na Europa. A gangue de ransomware BlackCat, assumiu a responsabilidade por um ataque cibernético contra a Creos Luxembourg SA na semana passada, uma operadora de gasoduto e rede de eletricidade da Europa central. O proprietário da Creos, Encevo, que atua como fornecedor de energia em cinco países da UE, anunciou em 25 de julho que havia sofrido um ataque cibernético no fim de semana anterior, entre 22 e 23 de julho. Em 28 de julho, a empresa publicou uma atualização sobre o ataque cibernético, com os resultados iniciais de sua investigação indicando que os invasores de rede haviam exfiltrado “uma certa quantidade de dados” dos sistemas acessados. Naquela época, a Encevo não estava em condições de estimar o alcance do impacto e gentilmente pediu aos clientes que fossem pacientes até que as investigações fossem concluídas, quando todos receberiam um aviso personalizado. Como não foram publicadas mais atualizações no portal de mídia do Encevo, esse procedimento provavelmente ainda está em andamento. Encevo diz que quando mais informações estiverem disponíveis, elas serão postadas em uma página dedicada ao ciberataque.
Hackers invadem perfil do IBGE no Twitter. O perfil do Instituto Brasileiro de Geografia e Estatística (IBGE) no Twitter foi invadido por hackers no início da noite da última segunda-feira (01). O nome da página foi substituído por “Exodus Crypto Wallet”, um serviço de carteira de moedas digitais, como bitcoins. O ataque hacker aconteceu no mesmo dia em que o primeiro Censo Demográfico em dois anos teve início. O atraso foi ocasionado pela pandemia da Covid-19 e pelas crises na destinação de recursos para a realização do levantamento. Além da mudança no nome, os hackers alteraram o país de origem do perfil para os Estados Unidos, a biografia do perfil para uma descrição do serviço oferecido pelo Exodus, e o link na biografia para a página oficial da carteira digital.
Ataques cibernéticos contra infraestrutura crítica continuam aumentando. O Washington Post noticiou esta semana como a guerra cibernética entre o Irã e Israel se intensificou. A história começou assim: “No final de junho, a estatal iraniana Khuzestan Steel Co. e duas outras empresas siderúrgicas foram forçadas a interromper a produção após sofrer um ataque cibernético. Um grupo de hackers reivindicou a responsabilidade nas redes sociais, dizendo que tinha como alvo as três maiores siderúrgicas do Irã em resposta à “agressão da República Islâmica”. “O secretário de Defesa de Israel então ordenou uma investigação sobre o vídeo vazado mostrando os danos às usinas siderúrgicas, citando “eventos operacionais de uma maneira que viola a política de ambiguidade de Israel”. Este incidente veio logo após uma declaração da Agência de Segurança de Israel, alegando que uma operação cibernética de maio do Irã pretendia gerar ações fora do domínio cibernético.
Extensões do IIS são usadas como backdoors para comprometer servidores Exchange. Os cibercriminosos estão usando cada vez mais extensões maliciosas de servidor Web IIS, devido às suas taxas de detecção mais baixas em comparação com outras ameaças. Entre janeiro e maio, os invasores visaram servidores Exchange e implantaram extensões IIS para obter acesso às caixas de correio de e-mail das vítimas, roubar credenciais e dados confidenciais e executar comandos. As extensões do IIS estão ocultas nos servidores comprometidos e usam a mesma estrutura dos módulos genuínos. Assim, eles fornecem aos invasores um mecanismo de persistência durável, que pode sobreviver até mesmo às atualizações feitas no servidor. No mês passado, um malware IIS, SessionManager, foi usado sem ser detectado desde março de 2021 em ataques direcionados a entidades governamentais e militares da Ásia, Oriente Médio, África e Europa.
Aplicativos Android estão comprometidos com Malware bancário. Uma campanha maliciosa aproveitou aplicativos dropper para Android dentro da Google Play Store para comprometer os dispositivos dos usuários com malware bancário. Os 17 aplicativos, chamados coletivamente de DawDropper, estão mascarados como aplicativos de produtividade e utilitários, como scanners de documentos, leitores de código QR, serviços de VPN e gravadores de chamadas, entre outros. Todos esses aplicativos em questão foram removidos do mercado de aplicativos. “O DawDropper usa o Firebase Realtime Database, um serviço de nuvem de terceiros, para evitar a detecção e obter dinamicamente um endereço de download de carga útil”, disseram os pesquisadores. Droppers são aplicativos projetados para passar pelas verificações de segurança da Google Play Store no modo de compras, logo após são usados para baixar malwares mais potentes e intrusivos em um dispositivo. Os droppers bancários, por sua vez, evoluíram desde o início do ano, afastando-se dos endereços de download de carga útil codificados para usar um intermediário para ocultar o endereço que hospeda o malware.
Governo dos EUA emite alerta sobre ataques de phishing por SMS. A Federal Communications Commission (FCC) alertou os americanos sobre uma onda crescente de ataques de phishing por SMS tentando roubar suas informações pessoais e dinheiro. Esses ataques também são conhecidos como smishing ou robotexts, e os golpistas por trás deles podem usar várias iscas para induzir o usuário a entregar informações confidenciais. As mensagens falsas mais relatadas por consumidores americanos à FCC incluem reclamações sobre contas não pagas, problemas de entrega de pacotes, problemas de contas bancárias ou ações policiais. Algumas das iscas mais desonestas e convincentes usadas em ataques de phishing por mensagens de texto são links que redirecionam os alvos para páginas de destino que se passam por sites de bancos e solicitam que eles verifiquem uma compra ou desbloqueiem cartões de crédito congelados.
