Variante do Malware Chaes ameaça serviços financeiros na América Latina. As indústrias bancária e de logística estão enfrentando uma variante reestruturada de um malware chamado Chaes. O Malware foi reescrito inteiramente em Python, o que resultou em taxas de detecção mais baixas pelos sistemas de defesa tradicionais, além de um redesenho abrangente e um protocolo de comunicação aprimorado. Chaes, que surgiu pela primeira vez em 2020, é conhecido por atacar clientes de comércio eletrônico na América Latina, especialmente no Brasil, para roubar informações financeiras sensíveis. Uma análise subsequente realizada por pesquisadores em 2022 descobriu que os atores de ameaças por trás da operação, que se autodenominam Lucifer, haviam violado mais de 800 sites WordPress para entregar o Chaes aos usuários de instituições como Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre e Mercado Pago.
Infiltrações e ataques revelam a estratégia do Grupo Andariel em 2023. O grupo de ameaças norte-coreano conhecido como Andariel foi observado utilizando um arsenal de ferramentas maliciosas em seus ataques cibernéticos contra corporações e organizações no sul do país. “Uma característica dos ataques identificados em 2023 é que existem várias cepas de malware desenvolvidas na linguagem Go”, afirmou o AhnLab Security Emergency Response Center (ASEC) em um estudo detalhado divulgado na semana passada. Andariel, também conhecido pelos nomes Nicket Hyatt ou Silent Chollima, é um subgrupo do Lazarus Group, ativo desde pelo menos 2008. Instituições financeiras, contratantes de defesa, agências governamentais, universidades, fornecedores de cibersegurança e empresas de energia estão entre os principais alvos do grupo patrocinado pelo estado para financiar atividades de espionagem e gerar receita ilegalmente para o país.
Atores de ameaças comprometem MinIO através de vulnerabilidades críticas Um ator de ameaças desconhecido foi observado explorando falhas de segurança de alta gravidade no sistema de armazenamento de objetos MinIO para alcançar a execução não autorizada de código em servidores afetados. A empresa de resposta a incidentes e cibersegurança, Security Joes, afirmou que a intrusão utilizou uma cadeia de exploração publicamente disponível para comprometer a instância do MinIO. As vulnerabilidades em questão são CVE-2023-28432 (com uma pontuação CVSS de 7.5) e CVE-2023-28434 (com uma pontuação CVSS de 8.8). A primeira vulnerabilidade foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) em 21 de abril de 2023. Essas duas vulnerabilidades possuem o potencial de expor informações sensíveis presentes na instalação comprometida e facilitar a execução remota de código (RCE) no host onde o aplicativo MinIO está operacional.
Ransomware FreeWorld explora Servidores Microsoft SQL vulneráveis. Pesquisadores identificaram uma nova campanha maliciosa onde atores de ameaças estão explorando servidores Microsoft SQL desprotegidos para disseminar uma variante de ransomware denominada FreeWorld. A campanha foi nomeada pelos especialistas como DB#JAMMER. A estratégia inicial dos atacantes consiste em obter acesso aos servidores-alvo através de técnicas de força bruta. Uma vez que conseguem explorar o servidor, iniciam um processo de enumeração do banco de dados, além de executar comandos que comprometem o firewall do sistema. Com o firewall comprometido, os atacantes conseguem estabelecer uma persistência no servidor. Posteriormente, estabelecem uma conexão com um compartilhamento SMB remoto, permitindo a transferência de arquivos maliciosos e ferramentas, incluindo o conhecido Cobalt Strike. O ransomware FreeWorld, segundo análises, parece ser uma variante do ransomware Mimic. Ambos utilizam um aplicativo legítimo chamado Everything.exe para identificar e localizar arquivos que serão criptografados.
Campanha maliciosa utiliza SuperBear para espionar ativistas na Coreia do Sul. Uma nova campanha de phishing, provavelmente direcionada a grupos da sociedade civil na Coreia do Sul, revelou um novo RAT (Remote Access Trojan) denominado SuperBear. De acordo com os pesquisadores, essa intrusão teve como alvo um ativista não identificado no final de agosto. O ativista recebeu um arquivo .LNK malicioso por e-mail. O remetente do e-mail se passou por um membro da organização à qual o ativista pertence, numa tentativa de ganhar sua confiança e induzi-lo a abrir o arquivo. Os RATs, como o SuperBear, são projetados para permitir que os atacantes controlem remotamente sistemas comprometidos.
Agência Britânica alerta sobre ataques de injeção em chatbots de Inteligência Artificial. A agência de cibersegurança do Reino Unido alertou sobre atores de ameaças que estão manipulando a tecnologia por trás dos chatbots de modelos de linguagem de grande escala para acessar informações confidenciais, gerar conteúdo ofensivo e desencadear consequências não intencionais. Conversas com chatbots de inteligência artificial envolvem um usuário fornecendo uma instrução ou prompt. Em resposta, o chatbot analisa grandes volumes de dados de texto que foram coletados ou inseridos no sistema. Os cibercriminosos estão agora corrompendo os dados acessados por esses chatbots, criando prompts que fazem chatbots alimentados por LLM, como ChatGPT, Google Bard e Meta’s LLaMA, gerar saídas maliciosas, conforme relatado pelo National Cyber Security Center em um aviso recente. Em um exemplo, um usuário do Reddit alegou ter provocado uma “crise existencial” no Bing através de um ataque de injeção. No entanto, um exemplo mais preocupante envolveu um pesquisador demonstrando um ataque de injeção contra o MathGPT, um LLM baseado no modelo GPT-3 da OpenAI.
Atores de Ameaça Buscam Acesso a Contas de Super Administrador da Okta. A Okta, provedora de serviços de identidade, emitiu um alerta sobre ataques de engenharia social destinados a obter permissões de administrador elevadas. Vários clientes da Okta nos EUA relataram um padrão consistente desses ataques, que ocorreram entre 29 de julho e 19 de agosto de 2023. Os atacantes tentam convencer o pessoal do serviço de TI a redefinir todos os fatores de autenticação multifatorial (MFA) para usuários altamente privilegiados. Uma vez bem-sucedidos, os atacantes abusam das contas de Super Administrador da Okta para se passar por usuários dentro da organização comprometida. A Okta não divulgou a identidade do ator da ameaça, mas as táticas são consistentes com um grupo conhecido como Muddled Libra.
Escolas na Pensilvânia são vítimas de ataques de Ransomware. Um distrito escolar na Pensilvânia decidiu manter suas portas abertas na sexta-feira, apesar de ter anunciado um ataque de ransomware que causou interrupções em seus sistemas de computador. Na quinta-feira, o Distrito Escolar da Área de Chambersburg publicou uma mensagem em seu site e redes sociais, anunciando que se tornou mais um distrito escolar atacado por um grupo de ransomware. Os oficiais do distrito confirmaram que a interrupção da rede estava relacionada a um evento de ransomware e que estavam trabalhando com especialistas forenses terceiros para investigar o evento e seu impacto nos sistemas. O distrito, que fica a cerca de 30 minutos da fronteira do estado com Maryland e atende cerca de 10.000 alunos, disse que todas as escolas abririam em um horário regular na sexta-feira. A escola foi fechada de segunda a quarta-feira na semana passada devido ao ataque. Na quinta-feira, a escola enfrentou um atraso de duas horas no cronograma, e os alunos foram instruídos a deixar todos os dispositivos Chromebook e iPad em casa pelo resto da semana.
Agências de inteligência ocidentais expõem Malware Russo visando forças armadas da Ucrânia. Agências de inteligência e cibersegurança ocidentais publicaram um relatório detalhando ferramentas de hacking usadas pelo serviço de inteligência militar da Rússia contra dispositivos Android operados pelas Forças Armadas da Ucrânia. O relatório foi publicado pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), em conjunto com agências dos Estados Unidos, Canadá, Austrália e Nova Zelândia, que formam a aliança de inteligência Five Eyes. O Kit Malware é nomeado como “Infamous Chisel”. O kit é uma coleção de componentes que permitem acesso persistente a um dispositivo Android infectado através da rede Tor, que anonimiza o tráfego da internet. O serviço de segurança da Ucrânia (SBU) já havia divulgado publicamente a campanha de hacking do GRU, afirmando que havia impedido tentativas de invasão no sistema de gerenciamento de campo de batalha da Ucrânia.
VMware corrige vulnerabilidades críticas no Aria Operations. A VMware divulgou atualizações de software para corrigir duas vulnerabilidades críticas em seu produto Aria Operations for Networks. Essas falhas poderiam ser exploradas para burlar a autenticação e executar código remotamente. A falha mais grave é identificada como CVE-2023-34039, com uma pontuação CVSS de 9.8. Essa vulnerabilidade está relacionada a um caso de falha na geração de chaves criptográficas únicas, o que poderia permitir a um ator malicioso burlar a autenticação. Segundo a empresa, um ator malicioso com acesso à rede do Aria Operations poderia burlar a autenticação SSH para ganhar acesso ao CLI (Interface de Linha de Comando) do produto. A segunda vulnerabilidade é identificada como CVE-2023-20890. Esta é uma vulnerabilidade de gravação de arquivo arbitrário que afeta o Aria Operations for Networks.
GitHub Enterprise Server obtém novos recursos de segurança. O GitHub anunciou na terça-feira a disponibilidade geral do Enterprise Server 3.10 com novos recursos de segurança, incluindo suporte para regras de implantação personalizadas. Com a nova versão, o GitHub Projects agora está disponível no Enterprise Server, proporcionando aos administradores maior visibilidade sobre problemas e pull requests. Agora, as equipes que usam GitHub Actions também podem criar suas próprias regras personalizadas de proteção de implantação, para garantir que apenas “as implantações que atendem a todos os requisitos de qualidade, segurança e aprovação manual cheguem à produção”, explica a plataforma de hospedagem de código. De acordo com o GitHub, a nova versão também torna mais fácil para as equipes de segurança rastrear a cobertura e os riscos em todos os repositórios, desde as páginas de “segurança de código” de nível empresarial, por meio do recurso Dependabot.
Atores maliciosos exploram Windows Container Isolation Framework. Novas descobertas indicam que atores maliciosos podem explorar uma técnica furtiva de evasão de detecção de malware e contornar soluções de segurança de endpoint, manipulando o Windows Container Isolation Framework. A arquitetura de contêiner da Microsoft utiliza uma “imagem gerada dinamicamente” para separar o sistema de arquivos de cada contêiner do host, evitando assim a duplicação de arquivos do sistema. O resultado são imagens que contêm “arquivos fantasmas”, que não armazenam dados reais, mas apontam para um volume diferente no sistema. Os pesquisadores sugeriram que esse mecanismo de redirecionamento poderia ser usado para ofuscar operações do sistema de arquivos e confundir produtos de segurança. No entanto, vale ressaltar que a execução do ataque requer permissões administrativas para se comunicar com o driver wcifs e não pode ser usado para substituir arquivos no sistema host.
NIST lança versão preliminar do Cybersecurity Framework 2.0. O NIST lançou uma versão preliminar do Cybersecurity Framework 2.0, a primeira grande atualização desde 2014. A nova versão expande o foco além da infraestrutura crítica, incluindo pequenas e médias empresas, escolas locais e outras entidades. A estrutura revisada aborda o papel da governança corporativa e os crescentes riscos às redes digitais através de relações com terceiros. A atualização considera mudanças na paisagem de cibersegurança, incluindo ameaças, tecnologias e padrões. Organizações em todo o mundo usaram o CSF original na última década, com mais de 2 milhões de downloads. O CSF 2.0 reflete as mudanças significativas na paisagem de ameaças digitais. O NIST solicitou informações em fevereiro de 2022 sobre como revisar a estrutura e melhorar a gestão de riscos da cadeia de suprimentos. Recebeu mais de 130 respostas de várias empresas e organizações. O NIST lançará uma ferramenta de referência CSF 2.0 em algumas semanas e realizará uma oficina no outono para comentários adicionais do público. O prazo para comentários públicos é 4 de novembro, e a versão final será publicada no início de 2024.
Mais de 40 Vulnerabilidades foram corrigidas nas atualizações de segurança do Android. O Google corrigiu mais de 40 vulnerabilidades no sistema operacional Android com o lançamento das atualizações de segurança de agosto de 2023. A vulnerabilidade mais séria é a CVE-2023-21273, um problema crítico de execução remota de código que afeta o componente do sistema. Essa vulnerabilidade impacta as versões Android 11, 12, 12L e 13. Várias outras vulnerabilidades foram classificadas como ‘críticas’, incluindo falhas de execução remota de código no componente Media Framework e corrupção de memória em componentes fechados da Qualcomm. O Google enfatizou a importância de atualizar para as versões mais recentes do Android, observando que a exploração de muitas questões é dificultada pelas melhorias nas versões mais recentes da plataforma.
Adobe corrige 30 vulnerabilidades em seus softwares. A Adobe lançou uma série de atualizações de segurança para seus softwares, corrigindo pelo menos 30 vulnerabilidades que afetam instalações no Windows e macOS. Os softwares afetados incluem Acrobat DC, Acrobat Reader DC, Acrobat 2020 e Acrobat Reader 2020. A maioria das falhas foi descrita como problemas de segurança de memória. A Adobe afirmou que não tinha conhecimento de qualquer exploração dessas vulnerabilidades em ambiente real. A equipe Adobe PSIRT também atualizou o software Adobe Dimension para cobrir três falhas que expõem usuários do Windows e macOS à execução arbitrária de código e vazamentos de memória. As atualizações refletem a contínua necessidade de vigilância e resposta rápida a vulnerabilidades de segurança em softwares amplamente utilizados. Usuários e administradores devem aplicar as atualizações prontamente para proteger seus sistemas.
Microsoft lança 74 correções na atualização de agosto de 2023. A Microsoft lançou correções para 74 falhas de software em suas atualizações de Patch Tuesday de agosto de 2023, uma diminuição das 132 vulnerabilidades corrigidas no mês passado. Os patches incluem seis vulnerabilidades de segurança Críticas e 67 Importantes, juntamente com duas atualizações de defesa em profundidade para o Microsoft Office e a Ferramenta de Verificação de Prontidão do Sistema de Integridade de Memória. A empresa também abordou 31 problemas em seu navegador Edge baseado em Chromium e uma falha de canal lateral em certos modelos de processador AMD. Uma falha de segurança notável, CVE-2023-36884, explorada ativamente pelo ator de ameaça ligado à Rússia, RomCom, foi corrigida. Três falhas significativas de execução de código remoto no Exchange Server foram resolvidas, duas das quais são mais propensas a serem exploradas. Além disso, patches para cinco falhas de escalonamento de privilégios no Kernel do Windows foram incluídos.
Hackers assossiados à China atacam 17 países. Hackers associados ao Ministério de Segurança do Estado (MSS) da China foram associados a ataques em 17 países diferentes na Ásia, Europa e América do Norte de 2021 a 2023. Ativos desde 2019, alguns dos setores proeminentes visados pelo grupo abrangem academia, aeroespacial, governo, mídia, telecomunicações e pesquisa. A maioria das vítimas durante o período eram organizações governamentais. Desde então, o grupo está vinculado à exploração de falhas do Log4Shell, bem como a ataques direcionados a telecomunicações, pesquisa, desenvolvimento e organizações governamentais no Nepal, Filipinas, Taiwan e Hong Kong para implantar backdoors para acesso de longo prazo. Um aspecto digno de nota do modus operandi do ator é o uso de uma infraestrutura multicamadas, cada uma focada no reconhecimento inicial e no acesso à rede de longo prazo por meio de servidores de comando e controle. Ele utiliza predominantemente NameCheap para registro de domínio.
Android 14 permite aos administradores de TI desativar o suporte para redes especificas. O Google introduziu um novo recurso de segurança no Android 14 que permite aos administradores de TI desativar o suporte para redes celulares 2G em sua frota de dispositivos gerenciados. A gigante das buscas disse que está introduzindo uma segunda configuração de usuário para desativar o suporte, no nível do modelo, para conexões de celular com codificação nula. O Android Security Model assume que todas as redes são hostis para manter os usuários protegidos contra injeção de pacotes de rede, adulteração ou espionagem no tráfego do usuário. As redes 2G, em particular, empregam criptografia fraca e carecem de autenticação mútua, tornando-as suscetíveis à interceptação over-the-air e ataques de descriptografia de tráfego ao representar uma torre 2G real.
Nova variante do Ransomware Yashma visa vários Países. Um agente de ameaça desconhecido está usando uma variante do ransomware Yashma para atingir várias entidades na Bulgária, China e Vietnã, pelo menos desde 4 de junho de 2023. Cisco Talos, em um novo texto, atribuiu a operação com confiança moderada a um adversário de provável origem vietnamita. Yashma, descrito pela primeira vez pela equipe de pesquisa e inteligência da BlackBerry em maio de 2022, é uma versão renomeada de outra cepa de ransomware chamada Chaos. Um mês antes de seu surgimento, o construtor de ransomware Chaos vazou na natureza. Um aspecto notável da nota de resgate é sua semelhança com o conhecido ransomware WannaCry, possivelmente feito em uma tentativa de obscurecer a identidade do ator da ameaça e confundir os esforços de atribuição. Embora a nota mencione um endereço de carteira para o qual o pagamento deve ser feito, ela não especifica o valor. A revelação ocorre no momento em que a empresa de segurança cibernética disse que vazamentos de código-fonte e construtores de ransomware estão levando à aceleração de novas variantes de ransomware, resultando em mais ataques.
Hackers lançam ataques contra Agências estatais ucranianas. Hackers atacaram agências governamentais ucranianas com uma campanha de phishing usando um programa de código aberto chamado MerlinAgent. No início de agosto, um agente de ameaças não identificado rastreado como UAC-0154 enviou e-mails maliciosos para seus alvos, supostamente contendo dicas de segurança da equipe de resposta a emergências da Ucrânia (CERT-UA). Esses e-mails continham anexos maliciosos que infectavam os computadores das vítimas com a ferramenta MerlinAgent. O MerlinAgent já foi usado no início de julho para lançar ataques contra agências governamentais ucranianas, de acordo com a CERT-UA. A ferramenta tem um código aberto publicado no GitHub por um usuário com o apelido Russel Van Tuyl.
Operadores de malware QakBot expandem rede C2 com 15 novos servidores. As descobertas são uma continuação da análise de infraestrutura do malware da Team Cymru, e chegam pouco mais de dois meses depois após uma pesquisa que evelou que 25% de seus servidores C2 estão ativos apenas por um único dia. O QakBot tem um histórico de fazer uma pausa prolongada a cada verão antes de retornar em algum momento em setembro, com as atividades de spam deste ano cessando por volta de 22 de junho de 2023. A maioria dos servidores C2 do bot, que se comunicam com os hosts da vítima, está localizada na Índia e os endereços IP de destino dos EUA identificados a partir de conexões T2 de saída estão baseados principalmente nos EUA, Índia, México e Venezuela. Fora os 15 servidores C2, seis servidores C2 ativos desde antes de junho e dois servidores C2 que ganharam vida em junho continuaram a exibir atividade em julho após a conclusão do spam.
Hackers norte-coreanos miram empresa russa de engenharia de mísseis Dois grupos de hackers norte-coreanos foram ligados a um ataque cibernético contra a principal empresa russa de engenharia de mísseis NPO Mashinostroyeniya. Segundo o relatório, dois casos de comprometimento foram relacionados à Coreia do Norte, incluindo um caso de comprometimento de servidor de e-mail e a implantação de um backdoor do Windows apelidado de OpenCarrot. O desenvolvimento marca uma rara convergência em que dois grupos independentes de atividade de ameaça baseados na Coreia do Norte visaram a mesma entidade, indicando uma “missão de espionagem estratégica altamente desejável” que poderia beneficiar seu controverso programa de mísseis. O OpenCarrot é implementado como uma biblioteca de vínculo dinâmico (DLL) do Windows e suporta mais de 25 comandos para realizar reconhecimento, manipular sistemas de arquivos e processos e gerenciar vários mecanismos de comunicação.
Clop ransomware agora usa torrents para vazar dados. A gangue de ransomware Clop mais uma vez alterou as táticas de extorsão e agora está usando torrents para vazar dados roubados em ataques relacionados a MOVEit. A partir de 27 de maio, a gangue lançou uma onda de ataques de roubo de dados explorando uma vulnerabilidade de zero day na plataforma de transferência segura de arquivos MOVEit Transfer. Explorar essa falha permitiu que os agentes de ameaças roubassem dados de quase 600 organizações em todo o mundo antes mesmo que elas perceberem que foram hackeadas. Em 14 de junho, a gangue de ransomware começou a extorquir suas vítimas, adicionando lentamente nomes ao site de vazamento de dados Tor e, eventualmente, divulgando publicamente os arquivos. No entanto, o vazamento de dados através de um site Tor vem com algumas desvantagens, pois a velocidade de download é lenta, fazendo com que o vazamento, em alguns casos, não seja tão prejudicial quanto poderia ser se fosse mais fácil acessar os dados.
Departamento de Educação do Colorado divulga violação massiva de dados. O Departamento de Educação Superior do Colorado (CDHE) divulga uma violação massiva de dados que afeta alunos, ex-alunos e professores após sofrer um ataque de ransomware. Em um ‘Aviso de Incidente de Dados’ publicado no site do CDHE, o Departamento diz que sofreu um ataque de ransomware em 19 de junho de 2023. “Em 19 de junho de 2023, a CDHE tomou conhecimento de que foi vítima de um incidente de ransomware de segurança cibernética que afetou seus sistemas de rede”, explica a notificação de violação de dados. “A CDHE tomou medidas para proteger a rede e tem trabalhado com especialistas terceirizados para conduzir uma investigação completa sobre este incidente. O CDHE também trabalhou para restaurar os sistemas e voltar às operações normais.” Os dados roubados são usados em ataques de dupla extorsão, onde ameaçam vazar dados publicamente, a menos que um resgate seja pago.
Vazamento de dados no Burger King expõe credenciais sensíveis. O Burger King, uma das maiores redes de fast food do mundo, enfrentou recentemente um vazamento de dados preocupante em sua filial na França. Em 1º de junho de 2023, foi descoberto que credenciais sensíveis estavam expostas ao público devido a uma má configuração no site. O arquivo exposto continha várias credenciais, incluindo acesso ao banco de dados. Essas informações, embora não suficientes para controlar completamente o site, poderiam facilitar um ataque por parte de invasores mal-intencionados. Além das credenciais do banco de dados, o arquivo também continha identificadores de ferramentas de análise da web. Esses dados poderiam ser usados para executar códigos maliciosos no site ou distorcer as análises de tráfego. Após ser notificada do problema, a empresa agiu rapidamente para corrigir a falha. O Burger King não divulgou detalhes sobre possíveis danos ou o número de pessoas afetadas.
Executáveis do Microsoft Office Abrem Portas para instalação de Malware. Recentemente, foi revelado que executáveis do Microsoft Outlook, Access e Publisher podem ser usados para baixar conteúdo malicioso de servidores remotos. O pesquisador de segurança Nir Chako investigou os executáveis da suíte Microsoft Office e identificou três arquivos: MsoHtmEd.exe, MSPub.exe, e ProtocolHandler.exe, que podem ser utilizados para baixar arquivos de terceiros. Além dos binários da Microsoft, foram encontrados arquivos de outros desenvolvedores, como os da suíte PyCharm para desenvolvimento Python, que atendem aos critérios LOLBAS. A jornada para descobrir novos arquivos LOLBAS levou Chako a desenvolver ferramentas que automatizam a descoberta, permitindo a análise de todo o conjunto de binários da Microsoft em cerca de cinco horas. s ferramentas criadas são versáteis e podem ser executadas em outras plataformas, como Linux, abrindo novas possibilidades para explorar territórios LOLBAS.
Malware Rilide tem como alvo navegadores baseados no Chromium. Pesquisadores de cibersegurança identificaram uma nova versão do malware Rilide, que mira navegadores baseados em Chromium. Com um design modular, ofuscação de código e adaptação ao Chrome Extension Manifest V3, o Rilide é capaz de roubar dados sensíveis e criptomoedas. O Rilide foi documentado pela primeira vez em abril de 2023 e é vendido em fóruns da deep web por $5.000. Ele pode desativar outros complementos do navegador, coletar histórico de navegação e cookies, capturar credenciais de login e até retirar fundos de exchanges de criptomoedas. Uma atualização notável envolve o uso de um carregador PowerShell para modificar o arquivo de Preferências Seguras do navegador, fazendo com que o aplicativo seja lançado com a extensão carregada permanentemente. O vazamento do código-fonte da extensão Rilide em fevereiro de 2023 levanta a possibilidade de desenvolvimento por terceiros.
Hackers exploram servidores do Minecraft. Os cibercriminosos estão explorando ativamente uma vulnerabilidade de execução remota de código ‘BleedingPipe’ nos mods do Minecraft para executar comandos maliciosos em servidores e clientes, permitindo que eles assumam o controle dos dispositivos. BleedingPipe é uma vulnerabilidade encontrada em muitos mods do Minecraft causada pelo uso incorreto de desserialização na classe ‘ObjectInputStream’ em Java para trocar pacotes de rede entre servidores e clientes. Resumindo, os invasores enviam pacotes de rede especialmente criados para servidores mod Minecraft vulneráveis para assumir o controle dos servidores. Os agentes de ameaças podem usar esses servidores hackeados para explorar as falhas nos mesmos mods do Minecraft usados pelos jogadores que se conectam ao servidor, permitindo que eles instalem malware nesses dispositivos também.
Falhas encontradas no plugin Ninja Forms deixam 800.000 sites vulneráveis. Várias vulnerabilidades de segurança foram divulgadas no plugin Ninja Forms para WordPress que podem ser exploradas por agentes de ameaças para aumentar privilégios e roubar dados confidenciais. As falhas, são identificadas pelos códigos CVE-2023-37979, CVE-2023-38386 e CVE-2023-38393, afetam as versões 3.6.25 e anteriores do Ninja Forms. A divulgação dessas falhas ocorre em um momento em que outras vulnerabilidades também foram reveladas na comunidade WordPress. A Patchstack identificou uma falha de vulnerabilidade XSS refletida no kit de desenvolvimento de software Freemius WordPress (SDK), afetando versões anteriores à 2.5.10 (CVE-2023-33999), que poderia ser explorada para obter privilégios elevados. Além disso, uma empresa especializada em segurança do WordPress descobriu um bug crítico no plugin HT Mega (CVE-2023-37999), presente nas versões 2.2.0 e anteriores.
Novo Malware Android Utiliza OCR para Roubar Dados Sensíveis. Uma nova cepa de malware para Android chamada CherryBlos foi observada utilizando técnicas de reconhecimento óptico de caracteres (OCR) para coletar dados sensíveis armazenados em imagens. CherryBlos é distribuído através de postagens falsas em plataformas de mídia social e tem capacidade para roubar credenciais relacionadas a carteiras de criptomoedas e atuar como um “clipper” para substituir endereços de carteira. Uma vez instalados, os aplicativos buscam permissões dos usuários, o que permite conceder automaticamente permissões adicionais conforme necessário. Além de exibir sobreposições falsas em aplicativos legítimos de carteira de criptomoedas para roubar credenciais, CherryBlos utiliza OCR para reconhecer frases mnemônicas potenciais de imagens e fotos armazenadas no dispositivo. Não é surpresa que os autores de malware busquem constantemente novas abordagens para atrair vítimas e roubar dados sensíveis.
