Microsoft nega violação de 30 milhões de clientes. A Microsoft reagiu às alegações de um grupo hacktivista que alega ter invadido a empresa e obter acesso à conta de dezenas de milhões de clientes. O Anonymous Sudan, que já foi vinculado no passado a grupos pró-Kremlin como Killnet, postou os detalhes de sua suposta invasão no Telegram. O grupo disse que estaria vendendo o banco de dados comprometido por US$ 50.000. Os invasores disponibilizaram uma pequena amostra de detalhes comprometidos como prova do ataque. No entanto, uma breve declaração da Microsoft foi bastante inequívoca. “Neste momento, nossa análise dos dados mostra que esta não é uma reivindicação legítima. Não vimos nenhuma evidência de que os dados de nossos clientes tenham sido acessados ou comprometidos”, observou a gigante da tecnologia. O Anonymous Sudan já causou problemas para a Microsoft no ano passado. A empresa admitiu em meados de junho que o grupo, foi responsável por ataques DDoS de camada 7 contra ela no início daquele mês.
Grupo de hackers norte-coreano está utilizando o Trojan EarlyRAT. Um novo trojan de acesso remoto (RAT) não documentado anteriormente foi descoberto por especialistas de cibersegurança. Apelidado de ‘EarlyRAT’, acredita-se que o trojan seja usado por Andariel, um subgrupo do grupo de hackers Lazarus, patrocinado pelo estado norte-coreano. O grupo usa o EarlyRAT para coletar informações do sistema de dispositivos violados e enviá-las ao servidor de comando e controle do invasor. O malware foi descoberto durante a investigação de uma campanha do Andariel em meados de 2022, onde os agentes de ameaças estavam aproveitando o Log4Shell para violar redes corporativas. A execução de comandos no sistema infectado é o segundo objetivo principal do EarlyRAT, que pode ser usado para baixar mais cargas úteis, exfiltrar informações vitais ou interferir nas operações do sistema.
Cibercriminosos usam proxyjacking para atacar servidores SSH vulneráveis. Os invasores foram observados conduzindo uma série de ataques de proxyjacking com o objetivo de hackear servidores SSH vulneráveis. Eles os monetizam por meio de serviços de proxyware que fornecem compensação pelo compartilhamento de largura de banda de Internet não utilizada. Os invasores estão aproveitando o SSH para acesso remoto e executando scripts maliciosos para alistar secretamente os servidores das vítimas em uma rede proxy P2P, como Peer2Proxy ou Honeygain. Ao se conectar com sucesso a um dos servidores SSH vulneráveis, os invasores implementaram um script Bash codificado em Base64. Esse script incorporou efetivamente os sistemas comprometidos nas redes proxy da Honeygain ou Peer2Profit. Além disso, o script estabeleceu um ambiente de contêiner baixando imagens do Docker de redes proxy, encerrando simultaneamente contêineres concorrentes que compartilhavam largura de banda.
Mais de 300.000 firewalls Fortinet estão vulneráveis a falha crítica. Centenas de milhares de firewalls FortiGate estão vulneráveis a um problema crítico de segurança identificado como CVE-2023-27997, quase um mês depois que a Fortinet lançou uma atualização que resolve o problema. A vulnerabilidade é uma execução remota de código com uma pontuação de gravidade de 9,8 em 10, resultante de um problema de estouro de buffer baseado em heap no FortiOS, o sistema operacional que conecta todos os componentes de rede Fortinet para integrá-los à plataforma Security Fabric do fornecedor. A falha é explorável e permite que um invasor não autenticado execute código remotamente em dispositivos vulneráveis com a interface SSL VPN exposta na web. Em um comunicado em meados de junho, o fornecedor alertou que o problema pode ter sido explorado em ataques. A Fortinet abordou a vulnerabilidade em 11 de junho antes de divulgá-la publicamente, lançando as versões de firmware FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5.
Hackers chineses usam HTML Smuggling para se infiltrar em ministérios europeus com PlugX. Um grupo hacker chinês foi observado visando ministérios de Relações Exteriores e embaixadas na Europa usando técnicas de contrabando de HTML para entregar o trojan de acesso remoto PlugX em sistemas comprometidos. A campanha usa novos métodos de entrega, principalmente HTML Smuggling para implantar uma nova variante do PlugX. Embora a carga útil em si permaneça semelhante à encontrada nas variantes PlugX mais antigas, seus métodos de entrega resultam em baixas taxas de detecção, o que até recentemente ajudou a campanha a passar despercebida.
Operadores do BlackCat estão distribuindo um ransomware por meio de malvertising. Atores de ameaças associados ao ransomware BlackCat foram observados empregando truques de malvertising para distribuir instaladores maliciosos do aplicativo de transferência de arquivos WinSCP. Malvertising refere-se ao uso de técnicas de envenenamento de SEO para espalhar malware por meio de publicidade online. Normalmente, envolve o sequestro de um conjunto escolhido de palavras-chave para exibir anúncios falsos nas páginas de resultados de pesquisa do Bing e do Google, com o objetivo de redirecionar usuários desavisados para páginas incompletas. Na cadeia de ataque, os agentes de ameaças conseguiram roubar privilégios de administrador para conduzir atividades pós-exploração e tentaram configurar a persistência usando monitoramento remoto e ferramentas de gerenciamento como AnyDesk, bem como acessar servidores de backup. Apesar da natureza dinâmica do ecossistema do cibercrime, à medida que os grupos de cibercriminosos vêm e vão, e algumas operações se associam, encerram ou renomeiam seus esquemas motivados financeiramente, o ransomware permanece como uma ameaça constante.
Empresa americana ignora solicitação da CISA para corrigir falhas exploráveis remotamente. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) divulgou esta semana alertas detalhando duas vulnerabilidades não corrigidas nos produtos Enphase. Na terça-feira, a CISA publicou dois alertas do ICS para alertar sobre vulnerabilidades nos produtos Enphase que podem levar a vazamentos de informações ou execução de comandos. Ambos são considerados remotamente exploráveis com baixa complexidade de ataque. A CISA adverte que o Enphase Installer Toolkit para Android versões 3.27.0 e anteriores contém credenciais codificadas que um invasor pode usar para obter acesso a dados confidenciais. O Enphase Installer Toolkit está atualmente disponível para download como versão 3.30.0 para Android e iOS. De acordo com a CISA, a Enphase Energy não respondeu aos pedidos para trabalhar com a agência no tratamento dessas vulnerabilidades. Ambos os problemas foram relatados por um pesquisador de segurança usando apenas o identificador ‘OBSWCY3F’.
Código para exploração do bug no Cisco AnyConnect já esta disponível. O código de exploração de prova de conceito agora está disponível para uma falha de alta gravidade no Cisco Secure Client Software para Windows (anteriormente AnyConnect Secure Mobility Client) que pode permitir que invasores elevem privilégios para system. O Cisco Secure Client ajuda os funcionários a trabalhar de qualquer lugar usando uma rede privada virtual (VPN) segura e fornece aos administradores de rede recursos de telemetria e gerenciamento de terminais. A vulnerabilidade (rastreada como CVE-2023-20178) pode permitir que agentes de ameaças autenticados escalem privilégios para a conta SYSTEM usada pelo sistema operacional Windows em ataques de baixa complexidade que não requerem interação do usuário. No início desta semana, o código de exploração de prova de conceito (PoC) foi publicado pelo pesquisador de segurança Filip Dragovic, que encontrou e relatou a vulnerabilidade de exclusão de arquivo arbitrário à Cisco.
Milhões de repositórios do GitHub estão vulneráveis ao ataque RepoJacking. A vulnerabilidade da cadeia de suprimentos, também conhecida como sequestro de repositório de dependência, é uma classe de ataques que permite assumir o controle de organizações ou nomes de usuário aposentados e publicar versões trojanizadas de repositórios para executar códigos maliciosos. Uma análise de um subconjunto de 1,25 milhão de repositórios no mês de junho de 2019 revelou que até 36.983 repositórios eram vulneráveis ao RepoJacking, denotando uma taxa de sucesso de 2,95%. Esta não é a primeira vez que tais preocupações são levantadas. Em outubro de 2022, o GitHub mudou-se para fechar uma brecha de segurança que poderia ter sido explorada para criar repositórios maliciosos e montar ataques à cadeia de suprimentos contornando a desativação de namespace de repositório popular.
Especialistas em Cibersegurança se Reuniram no HackerSec Conference 2023. No último sábado 17/06, ocorreu a quarta edição do HackerSec Conference, um evento que já se tornou referência no cenário de cibersegurança no Brasil. Promovido pela HackerSec, empresa líder em cibersegurança, o evento teve lugar no Teatro Gazeta, localizado na Avenida Paulista, uma das regiões mais emblemáticas da cidade de São Paulo. O evento reuniu profissionais e entusiastas da área de cibersegurança, criando uma oportunidade única para networking e aprendizado. Entre os participantes, estiveram presentes especialistas renomados que compartilharam suas experiências, conhecimentos e perspectivas sobre os desafios e tendências sobre o futuro da cibersegurança. O HackerSec Conference 2023 explorou as complexidades do cenário de ameaças em constante evolução e como os profissionais podem se adaptar para proteger as organanizações e empresas. Os palestrantes abordaram temas como proteção contra ataques cibernéticos, a importância da educação em cibersegurança, inovações tecnológicas na área, e as práticas de segurança mais eficazes.
Microsoft Enfrenta Ataques DDoS que Impactam Azure, Outlook e OneDrive. A Microsoft atribuiu uma série de interrupções de serviço que afetaram Azure, Outlook e OneDrive no início deste mês a um agente de ameaças que a empresa monitora sob o nome Storm-1359. A empresa afirmou que os ataques provavelmente envolveram o acesso a vários servidores virtuais privados (VPS), infraestrutura de nuvem alugada, proxies abertos e ferramentas DDoS. Storm-1359 é uma designação temporária que a Microsoft usa para grupos desconhecidos, emergentes ou em desenvolvimento cuja identidade ou afiliação ainda não foi definitivamente estabelecida. Os ataques incluíam um alto volume de solicitações HTTP(S); bypass de cache, onde o atacante tentava contornar a camada de CDN e sobrecarregar os servidores de origem; e uma técnica conhecida como Slowloris, que força o servidor web a manter a conexão aberta e o recurso solicitado na memória.
Gangue de ransomware Clop começa a extorquir vítimas. A gangue de ransomware conhecida como Clop iniciou uma nova tática para aumentar a pressão sobre suas vítimas: ameaçar vazar seus dados roubados. O grupo, que é conhecido por criptografar os sistemas das vítimas e exigir resgate para desbloqueá-los, agora começou a extorquir aqueles que tiveram seus dados roubados através do software de transferência de arquivos MoveIt. O Clop adotou uma abordagem dupla para a extorsão, criptografando os arquivos das vítimas e, ao mesmo tempo, ameaçando vazá-los publicamente se não pagarem o resgate exigido. A gangue também criou um site na deep web para divulgar as informações confidenciais de suas vítimas. O MoveIt é um software de transferência de arquivos muito usado por empresas para compartilhar documentos sensíveis.
Dia 17 de junho, evento de Cibersegurança em São Paulo Neste próximo sábado, dia 17 de junho, ocorrerá o HackerSec Conference 2023. O evento, promovido pela empresa referência em cibersegurança, HackerSec, realizará sua quarta edição no Teatro Gazeta, um dos principais teatros do Brasil, localizado na Avenida Paulista. É uma oportunidade única para se conectar com profissionais experientes e aprender sobre as últimas tendências e desafios da área de cibersegurança. “O HackerSec Conference também se destaca como um local perfeito para estabelecer parcerias estratégicas e ampliar sua rede de contatos. As conexões que você fará durante a conferência podem abrir novas portas e ser a chave para o próximo passo da sua carreira ou do seu negócio”, diz Andrew Martinez, CEO da HackerSec. Será um dia inteiro de palestras, com a abertura do evento programada para as 10h.
Pesquisadores descobrem bug no instalador do Microsoft Visual Studio. Pesquisadores de segurança alertaram sobre uma falha “facilmente explorável” no instalador do Microsoft Visual Studio que pode ser usada por um ator mal-intencionado para se passar por um editor legítimo e distribuir extensões maliciosas. A vulnerabilidade, rastreada como CVE-2023-28299, foi corrigida pela Microsoft como parte de suas atualizações do Patch Tuesday de abril de 2023, descrevendo-a como uma falha de falsificação. Especificamente, o bug ignora uma restrição que impede os usuários de inserir informações na propriedade de extensão “nome do produto” abrindo um pacote do Visual Studio Extension ( VSIX ) como um arquivo .ZIP e, em seguida, adicionando manualmente caracteres de nova linha à marca “DisplayName” no arquivo “extension.vsixmanifest”. Ao introduzir caracteres de nova linha suficientes no arquivo vsixmanifest e adicionar texto falso de “Assinatura Digital”, descobriu-se que os avisos sobre a extensão não ser assinada digitalmente poderiam ser facilmente suprimidos, enganando assim um desenvolvedor para instalá-lo.
Microsoft alerta sobre ataques de phishing contra organizações financeiras. Uma campanha de phishing Adversary-in-the-Middle (AitM) e ataque BEC recém-descoberta tem como alvo organizações bancárias e financeiras. De acordo com a Microsoft, o ataque se originou de um fornecedor confiável comprometido e fez a transição para uma série de ataques AitM e BEC. Durante esse período, os invasores abusaram do relacionamento de confiança entre vendedores, fornecedores e outras organizações parceiras para lançar fraudes financeiras. O ataque começou com um e-mail de phishing de um fornecedor confiável, que continha um código exclusivo de sete dígitos como assunto. O kit de phishing permitiu que os invasores enviassem mais de 16.000 e-mails para os contatos de um alvo como parte da campanha de phishing de segundo estágio.
Especialistas revelam exploração para vulnerabilidade recente em sistemas Windows. A vulnerabilidade, rastreada como CVE-2023-29336, é classificada como um bug de elevação de privilégio no componente Win32k. “Um invasor que explorou com sucesso esta vulnerabilidade pode obter privilégios elevados no sistema”, divulgou a Microsoft em um comunicado divulgado como parte das atualizações do Patch Tuesday. Os pesquisadores da Avast Jan Vojtěšek, Milánek e Luigino Camastra receberam o crédito por descobrir e relatar a falha. Win32k.sys é um driver de modo kernel e parte integrante da arquitetura do Windows, sendo responsável pela interface gráfica do dispositivo (GUI) e pelo gerenciamento de janelas. As vulnerabilidades do Win32k são bem conhecidas na história do Windows. No entanto, na versão mais recente do Windows 11, a Microsoft tentou refatorar esta parte do código do kernel usando Rust. Isso pode eliminar tais vulnerabilidades no novo sistema muito em breve.
Cisco lança atualizações para falhas críticas de segurança. A Cisco lançou correções para uma falha crítica em seu Expressway Series e TelePresence Video Communication Server (VCS) que pode permitir que um invasor autenticado com credenciais somente leitura em nível de administrador eleve seus privilégios para administrador com credenciais de leitura e gravação em um sistema afetado. A falha de escalonamento de privilégio (CVE-2023-20105), decorre do tratamento incorreto de solicitações de alteração de senha, permitindo assim que um invasor altere as senhas de qualquer usuário no sistema, incluindo uma leitura e gravação administrativa usuário e, em seguida, representar esse usuário. Uma segunda vulnerabilidade de alta gravidade no mesmo produto (CVE-2023-20192) pode permitir que um invasor local autenticado execute comandos e modifique os parâmetros de configuração do sistema.
Zoom expande opções de privacidade para clientes europeus. A Zoom anunciou uma série de recursos de privacidade de dados, desenvolvidos em colaboração com a organização holandesa de educação e pesquisa SURF, para seus clientes europeus. O elemento-chave é a opção de armazenamento de dados do Espaço Econômico Europeu (EEA). Os clientes pagos poderão especificar determinados dados para reuniões, webinars e bate-papo da equipe a serem armazenados no EEE. “Esses dados serão compartilhados apenas com equipes dos EUA em casos individuais e circunstâncias excepcionais, como com a equipe de Trust & Safety da Zoom”, diz o anúncio. Um segundo anúncio importante é a disponibilização de uma ferramenta para facilitar as solicitações de acesso do titular dos dados (DSAR). Isso permite, que os administradores respondam facilmente às solicitações dos titulares de dados para acesso ou exclusão de seus dados pessoais para Zoom Meetings, Webinars e Team Chat.
Novo malware PowerDrop visando a indústria aeroespacial dos EUA. Um ator de ameaça desconhecido foi observado visando a indústria aeroespacial dos EUA com um novo malware baseado em PowerShell chamado PowerDrop. Segundo os pesquisadores, o PowerDrop foi implantado em um empreiteiro domestico de defesa aeroespacial e usa técnicas avançadas para evitar a detecção, codificação e criptografia. O PowerDrop também é uma ferramenta de pós-exploração, o que significa que foi projetada para coletar informações das redes das vítimas após obter o acesso inicial por outros meios. Além do mais, o comando PowerShell é executado por meio do serviço Windows Management Instrumentation (WMI), indicando as tentativas do adversário de alavancar táticas de sobrevivência para contornar a detecção.
VMware corrige vulnerabilidades críticas na ferramenta de análise de rede vRealize. A VMware emitiu vários patches de segurança hoje para lidar com vulnerabilidades críticas e de alta gravidade no VMware Aria Operations for Networks, permitindo que invasores obtenham execução remota ou acessem informações confidenciais. Anteriormente conhecida como vRealize Network Insight (vRNI), essa ferramenta de visibilidade e análise de rede ajuda os administradores a otimizar o desempenho da rede ou gerenciar e dimensionar várias implantações VMware e Kubernetes. O mais grave dos três bugs de segurança corrigidos hoje é uma vulnerabilidade de injeção de comando rastreada como CVE-2023-20887, que agentes de ameaças não autenticados podem explorar em ataques de baixa complexidade que não requerem interação do usuário. A WMware diz que não há soluções disponíveis para remover o vetor de ataque, portanto, os administradores devem corrigir todas as instalações locais do VMware Aria Operations Networks 6.x para protegê-las contra ataques. Em abril, a VMware também corrigiu um bug crítico que permitia que invasores executassem código como root na ferramenta de análise de log do vRealize Log Insight.
Cibercriminosos se aproveitam do uso do ChatGPT para atacar usuários. As técnicas tradicionais de malware estão aproveitando cada vez mais o interesse no ChatGPT e outros programas geradores de IA, de acordo com um relatório da Palo Alto Networks sobre tendências de malware. Entre novembro de 2022 e abril de 2023, houve um aumento de 910% nos registros mensais de domínios, benignos e maliciosos, relacionados ao ChatGPT. A popularidade do ChatGPT também levou ao aparecimento de grayware relacionado, que é um software que fica entre malicioso e benigno. Esta categoria inclui adware, spyware e programas potencialmente indesejados. Grayware pode não ser explicitamente prejudicial, mas ainda pode causar problemas ou invadir a privacidade das pessoas. Além disso, houve um aumento de 55% nas tentativas de exploração de vulnerabilidades, por cliente, em média, no ano passado.
Apple revela os próximos recursos de privacidade e segurança. Na Conferência Mundial de Desenvolvedores de 2023 , a Apple detalhou novos recursos de privacidade e segurança que serão lançados em seus dispositivos ainda este ano. O navegador Safari da Apple está recebendo um modo de navegação privada aprimorado, que será bloqueado quando não estiver em uso, para que os usuários possam deixar as guias abertas mesmo que precisem se afastar do dispositivo. A navegação privada do Safari também oferecerá proteções avançadas de rastreamento e impressão digital, para evitar que sites usem as tecnologias mais recentes para rastrear e identificar usuários, diz a Apple. Para proteger ainda mais a privacidade dos usuários, os aplicativos de mensagens e e-mail da Apple removerão das URLs qualquer informação que os sites possam usar para rastrear usuários pela Internet. A navegação privada do Safari também removerá essas informações.
Atualização de segurança do Android corrige falha explorada por Spyware. O Google lançou a atualização de segurança mensal para a plataforma Android, adicionando correções para 56 vulnerabilidades, cinco delas com classificação de gravidade crítica e uma explorada desde pelo menos dezembro passado. O novo nível do patch de segurança 2023-06-05 integra um patch para CVE-2022-22706, uma falha de alta gravidade no driver do kernel da GPU do Mali da Arm que o Threat Analysis Group (TAG) do Google acredita que pode ter sido usado em uma campanha de Spyware segmentada para telefones Samsung. Dispositivos com Android 10 ou anterior não são mais compatíveis e não receberão esta atualização de segurança. Vale a pena notar que a Samsung abordou a CVE-2022-22706 em sua atualização de maio de 2023.
Microsoft reserva US$ 425 milhões para multa antecipada da GDPR. A Microsoft está alertando os investidores de que pode receber uma multa de reguladores europeus de privacidade por publicidade direcionada em sua rede social LinkedIn. A gigante da computação comprou o LinkedIn em 2016 por US$ 26 bilhões, dois anos antes da entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia. As autoridades europeias de proteção de dados demonstraram maior disposição de usar o GDPR para limitar a publicidade direcionada por motivos de privacidade. Em uma divulgação na quinta-feira, a Microsoft disse que recebeu uma notificação da Comissão Irlandesa de Proteção de Dados em abril dizendo que a agência pretende impor uma multa ao concluir uma investigação sobre uma reclamação de 2018 afirmando que a publicidade direcionada no LinkedIn e outros sites violam a lei. A Microsoft diz que está aumentando o tamanho de um fundo de reserva e assumirá um encargo de aproximadamente US$ 425 milhões no quarto trimestre deste ano.
Extensões maliciosas do Chrome com 75 milhões de instalações foram removidas da Web Store. O Google removeu da Chrome Web Store 32 extensões maliciosas que podem alterar os resultados da pesquisa e enviar spam ou anúncios indesejados. Coletivamente, eles vêm com uma contagem de download de 75 milhões. As extensões apresentavam funcionalidade legítima para manter os usuários inconscientes do comportamento malicioso que vinha no código ofuscado para entregar as cargas úteis. O pesquisador de segurança cibernética Wladimir Palant analisou a extensão PDF Toolbox (2 milhões de downloads) disponível na Chrome Web Store e descobriu que incluía um código disfarçado com uma API de extensão legítima. O potencial de abuso varia desde a inserção de anúncios em páginas Web até o roubo de informações confidenciais. O pesquisador também notou que o código foi configurado para ativar 24 horas após a instalação da extensão, comportamento normalmente associado a intenções maliciosas.
Windows 11 exigirá assinatura SMB para evitar ataques NTLM. A Microsoft diz que a assinatura SMB será exigida por padrão para todas as conexões para se defender contra ataques de retransmissão NTLM, começando com a versão atual do Windows sendo lançada para Insiders no Canary Channel. Nesses ataques, os agentes de ameaças forçam os dispositivos de rede (incluindo controladores de domínio) a se autenticar em servidores mal-intencionados sob o controle dos invasores para representá-los e elevar privilégios para obter controle total sobre os sistemas windows. “Isso muda o comportamento legado, onde o Windows 10 e 11 exigiam assinatura SMB por padrão apenas ao conectar-se a compartilhamentos chamados SYSVOL e NETLOGON e onde os controladores de domínio do Active Directory exigiam assinatura SMB quando qualquer cliente estivesse conectado a eles”, disse a Microsoft.
Gigabyte lança atualizações de BIOS para remover backdoor de placas-mãe. A fabricante taiwanesa de componentes de computador Gigabyte anunciou atualizações de BIOS destinadas a remover um recurso que foi encontrado recentemente em centenas de suas placas-mãe. O problema, divulgado na semana passada compromete o firmware de mais de 270 placas-mãe Gigabyte e descarta um binário do Windows que é executado na inicialização para buscar e executar uma carga útil dos servidores da Gigabyte. “Os engenheiros da Gigabyte já mitigaram os riscos potenciais e carregaram o BIOS Beta da série Intel 700/600 e AMD 500/400 no site oficial após realizar testes completos e validação do novo BIOS nas placas-mãe Gigabyte”, anunciou a empresa no final da semana passada. A atualização implementa verificações de segurança mais rígidas durante a inicialização do sistema, incluindo validação aprimorada para arquivos baixados de servidores remotos e verificação padrão de certificados de servidor remoto.
Vulnerabilidades de Alta Gravidade são Corrigidas no Splunk Enterprise. Na última quinta-feira (02), a Splunk anunciou atualizações de segurança para o Splunk Enterprise que resolvem várias vulnerabilidades de alta gravidade. A mais grave dessas é a CVE-2023-32707, um problema de escalonamento de privilégios que permite a usuários com baixos privilégios, aumentar os privilégios para administrador, através de uma solicitação web especialmente criada. Outra vulnerabilidade de alta gravidade abordada no Splunk Enterprise é a CVE-2023-32708, um problema de divisão de resposta HTTP que permite a um usuário com baixos privilégios acessar outros endpoints REST no sistema e visualizar conteúdo restrito. A Splunk também resolveu várias questões graves em pacotes de terceiros usados no Splunk Enterprise, como Libxml2, OpenSSL, Curl, Libarchive, SQLite, Go, entre outros. Algumas dessas vulnerabilidades são conhecidas publicamente há mais de quatro anos.
Novo Ransomware BlackSuit ataca sistemas Windows e Linux. Pesquisadores descobriram uma nova família de ransomware chamada BlackSuit, capaz de atacar sistemas Windows e Linux. Este ransomware apresenta semelhanças notáveis com o conhecido ransomware Royal, sugerindo que pode ser um novo afiliado ou um reuso do código fonte do Royal. O ransomware adiciona a extensão de arquivo .blacksuit aos arquivos criptografados e deixa uma nota de resgate que inclui informações sobre o ataque, um ID único para a vítima e um link para comunicação via chat na rede TOR. Além disso, os operadores do malware usam um site de vazamento de dados para postar dados vazados caso a vítima não pague o resgate.
Nova exploração Zero Click visa dispositivos iOS. Uma ameaça persistente avançada (APT) previamente desconhecida está visando dispositivos iOS como parte de uma campanha móvel sofisticada. “Os alvos são infectados usando exploits de zero clique por meio da plataforma iMessage, e o malware funciona com privilégios de root, obtendo controle total sobre o dispositivo e os dados do usuário”, disse a Kaspersky. A empresa russa de cibersegurança disse que descobriu vestígios de comprometimento após criar backups offline dos dispositivos alvo. A cadeia de ataque começa com o dispositivo iOS recebendo uma mensagem via iMessage que contém um anexo com o exploit. O implante, que funciona com privilégios de root, é capaz de coletar informações sensíveis e equipado para executar código baixado como módulos de plugin do servidor. Além disso, o spyware também transmite silenciosamente informações privadas para servidores remotos: gravações de microfone, fotos de mensageiros instantâneos, geolocalização e dados sobre várias outras atividades do proprietário do dispositivo infectado.
