Extensão falsa do ChatGPT sequestra contas de usuários. Uma falsa extensão do navegador Chrome da marca ChatGPT vem com recursos para sequestrar contas do Facebook e criar contas de administrador, destacando um dos diferentes métodos que os criminosos cibernéticos estão usando para distribuir malware. Ao sequestrar contas comerciais de alto perfil do Facebook, o agente da ameaça cria um exército de bots do Facebook para utilizar em anuncios pagos. O complemento do navegador é promovido por meio de postagens patrocinadas pelo Facebook e, embora ofereça a capacidade de se conectar ao serviço ChatGPT, também foi projetado para coletar cookies e dados de contas do Facebook usando uma sessão autenticada já ativa. O desenvolvimento ocorre quando os agentes de ameaças estão capitalizando a enorme popularidade do ChatGPT desde seu lançamento no final do ano passado para criar versões falsas do chatbot e induzir usuários desavisados a instalá-los.Também foram detectados aplicativos ChatGPT falsos distribuídos pela Google Play Store e outras lojas de aplicativos Android de terceiros para enviar o malware SpyNote aos dispositivos das pessoas.
Malware GoBruteforcer visa serviços populares da Web. Uma nova botnet baseada em Golang chamada GoBruteforcer foi flagrada escaneando e infectando servidores populares da web, incluindo FTP e MySQL. A botnet, hospedada em um site legítimo, implanta um bot Internet Relay Chat (IRC) em servidores comprometidos e o utiliza para se comunicar com o servidor C2 do invasor para obter mais instruções. Os pesquisadores da Palo Alto Networks revelaram que o GoBruteforcer é compatível com várias arquiteturas de processador, incluindo x86, x64 e ARM. O malware requer certas condições especiais, como o uso de argumentos específicos no momento da execução e a instalação de serviços direcionados já com senhas fracas. Ele é executado somente quando essas condições são atendidas. Os desenvolvedores adicionaram um módulo multiscan ao seu código-fonte para escanear e encontrar um conjunto mais amplo de máquinas-alvo em potencial. Após uma invasão bem-sucedida, o GoBruteforcer implanta um bot IRC com a URL do invasor.
Malware BATLOADER usa anúncios do Google para fornecer cargas úteis. O downloader de malware conhecido como BATLOADER foi observado abusando do Google Ads para fornecer cargas secundárias como Vidar Stealer e Ursnif. Os anúncios maliciosos são usados para falsificar uma ampla variedade de aplicativos e serviços legítimos, como Adobe, OpenAPI’s ChatGPT, Spotify, Tableau e Zoom. BATLOADER, como o nome sugere, é um carregador responsável por distribuir malware de próximo estágio, como ladrões de informações, malware bancário, Cobalt Strike e até mesmo ransomware. Uma das principais características das operações do BATLOADER é o uso de táticas de representação de software para distribuição de malware.
Akamai mitigou um ataque DDoS recorde que atingiu o pico de 900 Gbps. A Akamai informou que em 23 de fevereiro de 2023, mitigou o maior ataque DDoS de todos os tempos. O tráfego de ataque atingiu um pico de 900,1 gigabits por segundo e 158,2 milhões de pacotes por segundo. O DDoS recorde foi lançado contra um cliente da Prolexic na Ásia-Pacífico (APAC). A maior parte do tráfego malicioso (48%) foi gerenciada por centros de depuração na região APAC, mas a empresa afirma que todos os seus 26 centros foram carregados, com apenas um centro em HKG lidando com 14,6% do tráfego total. Em janeiro, a Microsoft anunciou que sua plataforma de proteção Azure DDoS mitigou um ataque recorde de 3,47 Tbps direcionado a um de seus clientes com uma taxa de pacotes de 340 milhões de pacotes por segundo. O ataque ocorreu em novembro e atingiu um cliente na Ásia, originado de aproximadamente 10.000 fontes e de vários países em todo o mundo, incluindo Estados Unidos, China, Coréia do Sul, Rússia, Tailândia, Índia, Vietnã, Irã, Indonésia e Taiwan.
Casa Branca aloca US$ 3,1 bilhões para cibersegurança em novo orçamento. A Casa Branca alocou um total de US$ 3,1 bilhões para infraestrutura de segurança cibernética em seu último relatório orçamentário. Publicado na quinta-feira, o documento mostra que US$ 145 milhões desse valor serão destinados a tornar a Agência de Segurança Cibernética e Infraestrutura (CISA) mais resiliente e defensável. Dos fundos restantes, US$ 98 milhões serão investidos na implementação do Cyber Incident Reporting for Critical Infrastructure e US$ 425 milhões para melhorar a segurança cibernética interna e os recursos analíticos da CISA. “Para se proteger contra adversários estrangeiros e salvaguardar os sistemas federais dos quais o povo americano depende, o Orçamento reforça a segurança cibernética ao garantir que cada agência aumente a segurança dos serviços públicos”, diz o documento.
Prometei Botnet infecta mais de 10.000 servidores Exchange. Uma versão atualizada de um malware botnet chamado Prometei infectou mais de 10.000 sistemas em todo o mundo desde novembro de 2022. As infecções são geograficamente indiscriminadas e oportunistas, com a maioria das vítimas relatadas no Brasil, Indonésia e Turquia. O Prometei, observado pela primeira vez em 2016, é um botnet modular que apresenta um grande repertório de componentes e vários métodos de proliferação, alguns dos quais também incluem a exploração de falhas do ProxyLogon Microsoft Exchange Server. A variante mais recente do Prometei (chamada v3) aprimora seus recursos existentes para desafiar a análise forense e aprofundar ainda mais seu acesso às máquinas vítimas. A sequência de ataque ocorre da seguinte forma: ao obter uma posição bem-sucedida, um comando do PowerShell é executado para baixar o malware botnet de um servidor remoto.
CISA atualiza seu catálogo com 3 novas falhas de segurança. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), adicionou três falhas de segurança ao seu catálogo de Vulnerabilidades Conhecidas, citando evidências de exploração ativa. O mais crítico dos três é o CVE-2022-35914, que diz respeito a uma vulnerabilidade de execução remota de código na biblioteca de terceiros htmlawed presente no Teclib GLPI, um ativo de código aberto e pacote de software de gerenciamento de TI. Os detalhes exatos em torno da natureza dos ataques são desconhecidos, mas os pesquisadores de segurança em outubro de 2022 observaram tentativas de exploração. Desde então, uma prova de conceito (PoC) utilizando o cURL foi disponibilizada no GitHub e um scanner “em massa” foi anunciado para venda, disse Jacob Baines, pesquisador de segurança da VulnCheck, em dezembro de 2022. Além disso, os dados coletados pelo GreyNoise revelaram 40 endereços IP maliciosos dos EUA, Holanda, Hong Kong, Austrália e Bulgária, tentando abusar da falha.
Chrome 111 corrige várias vulnerabilidades. O Google anunciou esta semana o lançamento do Chrome 111 para o canal estável com patches para 40 vulnerabilidades. Um total de 24 dos bugs de segurança abordados foram relatados por pesquisadores externos. Isso inclui oito falhas de alta gravidade, 11 bugs de média gravidade e cinco problemas de baixa gravidade. Três das vulnerabilidades de alta gravidade relatadas por pesquisadores externos são bugs de uso após a liberação que afetam Swiftshader, DevTools e WebRTC, pelos quais o Google distribuiu recompensas de $15.000, $4.000 e $3.000, respectivamente. Além disso, o Chrome 111 resolve problemas de implementação inapropriados de gravidade média em solicitações de permissão, instalações de WebApp e preenchimento automático, um bug de estouro de buffer de heap e uma vulnerabilidade de uso após a liberação no Core.
Vulnerabilidade em plataforma da Toyota forneceu acesso a dados de clientes. Uma falha grave na plataforma de gerenciamento de relacionamento com o cliente (CRM) Toyota Customer 360, permitiu que um pesquisador de segurança tivesse acesso a informações pessoais dos clientes da montadora no México. O aplicativo web agrega dados de clientes de toda a organização, fornecendo uma visão única de todas as informações do cliente, incluindo informações pessoais e detalhes de compras e serviços. O pesquisador norte-americano Eaton Zveare conseguiu contornar a autenticação no aplicativo e acessar os dados do cliente, incluindo nomes, endereços, números de telefone, endereços de e-mail, histórico do veículo, dados de compra e serviço e CPF. O que Zveare descobriu foi que ele receberia uma mensagem de erro ‘403 solicitação bloqueada’ ao tentar acessar a página de produção, mas que ele poderia modificar o código Angular JavaScript nos aplicativos Web de desenvolvimento para ignorar a autenticação.
Multinacional Andrade Gutierrez é vítima de violação de dados. Os cibercriminosos roubaram vários terabytes de informações corporativas e de funcionários da multinacional brasileira Andrade Gutierrez, em um ataque que a empresa ainda não reconheceu. A gigante de Belo Horizonte é uma das maiores empresas de engenharia da América Latina, responsável por grandes projetos de infraestrutura, energia, óleo e gás e transporte em toda a região. No entanto, um grupo conhecido como “Dark Angels” afirma ter roubado 3 TB de informações corporativas, incluindo nomes, endereços de e-mail, detalhes de passaporte, informações de pagamento, números de identificação fiscal e informações de seguro de saúde de mais de 10.000 funcionários. Escondidas em vários e-mails estão as senhas que podem ser usadas para fazer login nas contas das autoridades fiscais municipais e estaduais, alegou o relatório. Entre os dados estão as plantas de vários projetos de construção de grande nome concluídos pela Andrade Gutierrez, incluindo portos, aeroportos e entre outros.
Atualizações do Android corrigem mais de 50 vulnerabilidades. O Google anunciou esta semana correções para mais de 50 vulnerabilidades como parte das atualizações de segurança de março de 2023 para a plataforma Android. O mais grave deles são duas falhas de execução remota de código (RCE) no componente do sistema, ambas corrigidas como parte do patch de segurança 2023-03-01. Essas vulnerabilidades afetam os componentes de código fechado do Android Kernel, MediaTek, Unisoc, Qualcomm e Qualcomm. A maioria dos problemas são falhas de alta gravidade, exceto por dois bugs nos componentes de código fechado da Qualcomm, que são classificados como “críticos”. O Google anunciou que nenhum patch de segurança do Android Automotive OS foi lançado este mês, mas não mencionou atualizações de segurança para os telefones Pixel, o que é surpreendente, considerando que as atualizações do Pixel são normalmente anunciadas simultaneamente com novos patches do Android a cada mês.
Ataque de ransomware contra hospital de Barcelona interrompe operações. Um ataque cibernético de ransomware teve como alvo um dos principais hospitais de Barcelona, desligando seu sistema de computador e forçando o cancelamento de 150 operações não urgentes e até 3.000 exames de pacientes. Noticiado segunda-feira no Twitter, o ataque contra o Hospital Clinic de Barcelona ocorreu no domingo. Na época, a instituição disse estar trabalhando para apurar o alcance do vazamento e restaurar os sistemas. Poucas horas depois de relatar o incidente pela primeira vez, o Hospital Clinic publicou um novo post, dizendo que 10% das visitas para consultas externas seriam restauradas até ontem dia 07, juntamente com algumas operações não urgentes. Uma declaração do governo da Catalunha (em catalão) explicou que a agência de segurança cibernética da região estava trabalhando para restaurar os sistemas do hospital.
LockBit apresenta novo método para contornar proteção. Os operadores do LockBit estão obtendo sucesso, pois continuam a extrair dados de organizações de alto perfil e adicionam seus nomes ao site de vazamento. Uma das razões significativas para isso é atribuída às táticas e técnicas adotadas pela gangue e uma dessas técnicas de evasão chegou ao conhecimento dos pesquisadores. Ultimamente, o Lockbit foi usado para contornar o mecanismo de proteção Mark of The Web (MOTW) em uma campanha recente. A campanha de ataque montou um arquivo .img que continha arquivos maliciosos, sendo que apenas um deles estava visível para os usuários. A entrega por meio de um contêiner de arquivo .img ajuda os invasores a escapar do mecanismo de proteção MOTW. Depois que o usuário abriu o único arquivo visível, ele fez o download de scripts BAT que verificaram o nível de privilégio no sistema de destino. Em alguns casos, um script python também é executado usando o pacote de incorporação oficial do Python. O único objetivo desses scripts é alterar as configurações e senhas do sistema sem o conhecimento do usuário.
Vulnerabilidade crítica no Microsoft Word é corrigida. uma falha crítica no Microsoft Word que pode ser explorada quando o usuário visualiza um documento RTF especialmente criado, agora está disponível publicamente. Patches para a falha que afeta uma ampla variedade de versões do MS Office, SharePoint, Microsoft 365, e outros produtos foram lançados pela Microsoft no mês passado. A falha de corrupção de heap no analisador RTF do Microsoft Word que, se acionada, permite que os invasores obtenham a execução remota de código com os privilégios da vítima. A falha não requer autenticação prévia: os invasores podem simplesmente enviar um arquivo RTF para a(s) vítima(s) por e-mail. No comunicado de segurança que acompanha os patches, a Microsoft confirmou o painel de visualização como um vetor de ataque. Embora seja preferível corrigir produtos vulneráveis, a empresa também ofereceu orientações sobre possíveis soluções alternativas.
Hackers chineses visam entidades europeias com novo Backdoor. O ator Mustang Panda alinhado com a China foi observado usando um backdoor personalizado até então inédito chamado MQsTTang como parte de uma que começou em janeiro de 2023. Cadeias de ataque orquestradas pelo grupo intensificaram o direcionamento de entidades europeias após a invasão em grande escala da Ucrânia pela Rússia no ano passado. O Mustang Panda tem um histórico de uso de um trojan de acesso remoto chamado PlugX para atingir seus objetivos, embora invasões recentes tenham visto o grupo expandir seu arsenal de malware para incluir ferramentas personalizadas como TONEINS, TONESHELL e PUBLOAD. Além do mais, descobriu-se que um servidor FTP vinculado ao agente da ameaça hospeda uma variedade de ferramentas não documentadas usadas para distribuir malware para dispositivos infectados
CISA e FBI alertam sobre a operação do ransomware Royal. Ao contrário de outras operações de ransomware, o Royal não oferece Ransomware-as-a-Service, e parece ser um grupo privado sem uma rede de afiliados. Uma vez comprometida a rede da vítima, os agentes de ameaças implantam a ferramenta de pós-exploração Cobalt Strike para manter a persistência e realizar movimentos laterais. O Royal ransomware é escrito em C++, infectou os sistemas Windows e exclui todas as cópias de sombra de volume para impedir a recuperação de dados. O ransomware criptografa os compartilhamentos de rede, encontrados na rede local e nas unidades locais, com o algoritmo AES. O FBI e a CISA lançaram um Cybersecurity Advisory, com o objetivo de fornecer para as organizações, as táticas, técnicas, procedimentos (TTPs) e indicadores de comprometimento (IOCs) associados a este ransomware. De acordo com especialistas do governo, os ataques do ransomware Royal atingiram vários setores críticos de infraestrutura, incluindo manufatura, comunicações, saúde e educação. Os operadores exigiram resgates que variam de aproximadamente US$ 1 milhão a US$ 11 milhões em Bitcoin.
Microsoft lança atualizações de segurança para CPUs Intel. A Microsoft lançou atualizações de segurança para 4 vulnerabilidades de divulgação de informações em CPUs Intel. As vulnerabilidades de canal lateral de E/S mapeadas foram divulgadas inicialmente pela Intel em 14 de junho de 2022, alertando que as falhas podem permitir que processos em execução em uma máquina virtual acessem dados de outra máquina virtual. “Um invasor que explorou com sucesso essas vulnerabilidades pode conseguir ler dados privilegiados”, explicou a Microsoft. A Microsoft lançou um conjunto um tanto confuso de atualizações de segurança para Windows 10, Windows 11 e Windows Server que abordam essas vulnerabilidades. Nos boletins de suporte, não está claro se são novos microcódigos da Intel ou outras mitigações que serão aplicadas aos dispositivos. Portanto, é altamente recomendável ler os avisos da Intel e da Microsoft antes de aplicar essas atualizações.
Milhares de sites sequestrados usando credenciais FTP comprometidas. A campanha está em andamento desde setembro de 2022, e resultou no comprometimento de pelo menos 10.000 sites, muitos pertencentes a pequenas empresas e alguns operados por grandes corporações. Em muitos casos, os invasores conseguiram obter credenciais de FTP geradas automaticamente e as usaram para sequestrar os sites das vítimas para redirecionar os visitantes para conteúdo adulto. Em alguns casos, o código JavaScript foi injetado diretamente em arquivos existentes no servidor comprometido, provavelmente via acesso FTP, o que exclui a possibilidade de malvertising. Segundo os pesquisadores, o objetivo da campanha, pode ser fraude de anúncios ou manipulação de SEO, mas também é possível que os invasores estejam simplesmente procurando aumentar o tráfego para os sites de destino.
Malware BlackLotus ignora a inicialização segura no Windows 11. Um bootkit furtivo UEFI chamado BlackLotus tornou-se o primeiro malware conhecido publicamente capaz de contornar as defesas do Secure Boot, tornando-o uma ameaça potente no cenário cibernético. Este bootkit pode ser executado mesmo em sistemas Windows 11 totalmente atualizados com UEFI Secure Boot ativado. Os bootkits UEFI são implantados no firmware do sistema e permitem controle total sobre o processo de inicialização do sistema operacional (SO), tornando possível desabilitar os mecanismos de segurança no nível do SO e implantar cargas arbitrárias durante a inicialização com altos privilégios. Oferecido para venda por US$ 5.000, o kit de ferramentas poderoso e persistente é programado em Assembly e C e tem 80 kilobytes de tamanho. Ele também possui recursos de geofencing para evitar a infecção de computadores na Armênia, Bielo-Rússia, Cazaquistão, Moldávia, Romênia, Rússia e Ucrânia.
Falha crítica em telefones Cisco IP expõe usuários a ataques de injeção de comando. A Cisco lançou na quarta-feira atualizações de segurança para corrigir uma falha crítica que afeta seus produtos IP Phone 6800, 7800, 7900 e 8800 Series. A vulnerabilidade, rastreada como CVE-2023-20078, é classificada como 9,8 de 10 no sistema de pontuação CVSS e é descrita como um bug de injeção de comando na interface de gerenciamento Web decorrente da validação insuficiente da entrada fornecida pelo usuário. A exploração bem-sucedida do bug pode permitir que um invasor remoto não autenticado injete comandos arbitrários que são executados com os privilégios mais altos no sistema operacional subjacente. Também corrigida pela empresa está uma vulnerabilidade de negação de serviço (DoS) de alta gravidade que afeta o mesmo conjunto de dispositivos, bem como o Cisco Unified IP Conference Phone 8831 e o Unified IP Phone 7900 Series.
Malware SysUpdate ataca novamente com novas táticas de evasão. O agente de ameaças conhecido como Lucky Mouse desenvolveu uma versão para Linux de um kit de ferramentas de malware chamado SysUpdate, expandindo sua capacidade de atingir dispositivos que executam o sistema operacional. Nos últimos dois anos, as campanhas orquestradas pelos criminosos adotaram o comprometimento da cadeia de suprimentos de aplicativos legítimos, como Able Desktop e MiMi Chat, para obter acesso remoto a sistemas comprometidos. Quanto à versão Windows do SysUpdate, ele vem com recursos para gerenciar processos, fazer capturas de tela, realizar operações de arquivo e executar comandos arbitrários. Também é capaz de se comunicar com servidores C2 por meio de solicitações DNS TXT, uma técnica chamada DNS Tunneling. Outra ferramenta digna de nota é uma senha personalizada do Chrome e um capturador de cookies que vem com recursos para coletar cookies e senhas armazenadas no navegador da web.
Bitdefender lança descriptografador gratuito para o ransomware MortalKombat. A empresa romena de segurança cibernética Bitdefender lançou um descriptografador universal gratuito para o malware de criptografia conhecido como MortalKombat. O Malware é uma nova variedade de ransomware que surgiu em janeiro de 2023. É baseado em um ransomware de commodity chamado Xorist e foi observado em ataques direcionados a entidades nos EUA, Filipinas, Reino Unido e Turquia. O MortalKombat foi notavelmente implantado em ataques recentes montados por um agente de ameaça não identificado com motivação financeira como parte de uma campanha de phishing destinada a uma ampla gama de organizações. “Baseado no ransomware Xorist, o MortalKombat se espalha por meio de e-mails de phishing e tem como alvo instâncias RDP expostas”, disse Bitdefender.
Brasil foi o 2º país mais atingido por ciberataques na América Latina. O Brasil ficou na segunda colocação no índice de países que mais sofreram ataques cibernéticos na América Latina. O território da América Latina apresentou crescimento considerável, com 360 bilhões de golpes registrados em todos os países no ano passado. Os números de México e Brasil, entretanto, os colocam bem à frente de outros integrantes da região, como a Colômbia, que aparece na terceira colocação com 20 bilhões de incidentes, e o Peru, que completa o ranking com 15,4 bilhões. Os dados apontam que a falha Log4J continua a causar danos em organizações, principalmente, dos setores de tecnologia, governo e educação. Enquanto os ransomwares continuam em alta e sem tendência de desaceleração no total de ataques, com 82% dos casos registrados em 2022. De acordo com os especialistas, o modelo de cibercrime como serviço, no qual desenvolvedores de ameaças oferecem suas soluções aos interessados em realizar ataques, auxilia nesse movimento.
Cibersegurança está se tornando uma prioridade na cultura corporativa. Segundo o relatório da IBM Security, o país com a taxa de crescimento mais rápida quando se trata do custo por violação de dados foi o Brasil, com um aumento de 27,8% em relação ao ano passado. Em valores, isso representa uma alta de US$ 1,08 milhão para US$ 1,38 milhão. Este é um número que chama a atenção e abre uma discussão sobre o quanto as empresas estão considerando a adoção de estratégias de cibersegurança como uma questão prioritária para mitigar os riscos. 76% dos líderes de TI afirmaram que a segurança passou a ser algo secundário para a continuidade dos negócios ao longo da pandemia. Esta prática acabou se estendendo e, como resultado, houve o aumento de ataques a corporações, atingindo serviços de Rede Privada Virtual (VPN), servidores, sistemas em nuvem e entrega de projetos, como aplicativos e produtos que acabaram se tornando vulneráveis para a ação de cibercriminosos.
Cibercriminosos atacam milhares de servidores em nuvem com Ransomware. Um grupo identificado como Nevada, está atacando pequenas e médias organizações com ataques de ransomware nos EUA e na Europa. Segundo o relatório, o grupo visa comprometer mais de 5.000 vítimas nos EUA e na Europa. A maioria das entidades visadas está usando produtos VMware hospedados nos serviços de hospedagem de baixo custo oferecidos pelo provedor de nuvem europeu OVHcloud. Esses produtos VMware, implantados em servidores bare-metal, não receberam patches por vários anos. As entidades visadas incluem fabricantes na Alemanha, universidades nos Estados Unidos e na Hungria e grupos de transporte e construção na Itália. Os invasores estão pedindo dois Bitcoins (cerca de US$ 50.000), uma quantia de resgate relativamente pequena em comparação com grupos proeminentes de ransomware.
Bug do Chromium permitia o bypass do cookie SameSite. Um bug corrigido recentemente no projeto Chromium pode permitir que atores mal-intencionados ignorem um recurso de segurança que protege cookies confidenciais em navegadores Android. A configuração SameSite permite que os desenvolvedores restrinjam o acesso aos cookies. Por exemplo, definindo SameSite=strict, isso pode impedir que um cookie apareça em respostas HTTP se o usuário navegar para o site por meio de um link ou uma solicitação de redirecionamento de outro site. O pesquisador de segurança Axel Chong, descobriu que poderia ignorar a proteção do SameSite se usasse o esquema de intenção para navegar até o site de destino. Intents são manipuladores de protocolo externos que permitem que aplicativos Android abram outros aplicativos, como pular do navegador para o aplicativo Maps ou de um SMS para o navegador.
Microsoft emite alerta para servidores Exchange. A gigante de software disse esta semana que os administradores de sistemas agora devem incluir os arquivos ASP.NET temporários, pastas Inetsrv e os processos PowerShell na lista de arquivos e pastas a serem executados por meio de sistemas antivírus. A varredura desses objetos ajudará a afastar ameaças como webshells IIS e módulos backdoor, disse o fornecedor. “Os tempos mudaram, assim como o cenário de segurança cibernética”, escreveu a equipe do Exchange da Microsoft em um post esta semana. O Exchange também possui dados envolvendo permissões no Active Directory e acesso a ambientes de nuvem conectados à empresa. No final do mês passado, a Microsoft instou os usuários do servidor Exchange a garantir que seus sistemas estejam atualizados com as atualizações cumulativas e de segurança mais recentes e protegidos contra ataques cibernéticos. A empresa alertou que os malfeitores estão sempre procurando no Shodan e em outras fontes servidores Enterprise sem patches para explorar.
Brechas no Google Play store permitem que aplicativos forneçam informações enganosas ou totalmente falsas. Um estudo, conduzido pela Mozilla Foundation como parte de sua iniciativa *Privacy Not Included, comparou as políticas de privacidade e os rótulos dos 20 aplicativos pagos mais populares e dos 20 aplicativos gratuitos mais populares no mercado de aplicativos. Segundo a pesquisa, aproximadamente 80% dos aplicativos analisados, os rótulos eram falsos ou enganosos com base em discrepâncias entre as políticas de privacidade dos aplicativos e as informações que os aplicativos relataram no formulário de segurança de dados do Google. “Os aplicativos não são auto relatados com precisão suficiente para dar ao público qualquer garantia significativa sobre a segurança e a privacidade de seus dados”, disse a Mozilla, acrescentando que os consumidores estão sendo levados a acreditar que esses aplicativos estão fazendo um trabalho melhor protegendo sua privacidade.
Cibercriminosos exploram falhas de segurança em produtos Zoho ManageEngine. Vários atores de ameaças foram observados armando de forma oportunista uma vulnerabilidade de segurança crítica agora corrigida que afeta vários produtos Zoho ManageEngine desde 20 de janeiro de 2023. Rastreada como CVE-2022-47966 (pontuação CVSS: 9,8), a falha de execução remota de código permite uma aquisição completa dos sistemas suscetíveis por invasores não autenticados. 24 produtos diferentes, incluindo Access Manager Plus, ADManager Plus, ADSelfService Plus, Password Manager Pro, Remote Access Plus e Remote Monitoring and Management (RMM), são afetados pelo problema. A maioria das vítimas do ataque está localizada na Austrália, Canadá, Itália, México, Holanda, Nigéria, Ucrânia, Reino Unido e Estados Unidos.
Malware Wiper avança, com alta de 53% em 3 meses. Pesquisadores da Fortinet analisaram recentemente os dados de ataque do segundo semestre de 2022 e observaram um aumento surpreendente de 53% no uso de limpadores de disco por agentes de ameaças entre o terceiro e o quarto trimestres do ano. A trajetória sugere que não haverá desaceleração tão cedo, disse o fornecedor de segurança. Grupos de ameaças persistentes avançadas (APT) baseados na Rússia estão trabalhando em apoio aos objetivos militares do país na Ucrânia e foram responsáveis por grande parte do aumento inicial no uso de limpadores e atividades contínuas no ano passado. No entanto, os dados da Fortinet mostram que outros, incluindo cibercriminosos com motivação financeira, grupos hacktivistas e outros indivíduos também alimentaram o aumento, especialmente no final de 2022. O relatório destaca várias famílias de limpadores que considera apresentar uma grande ameaça para as organizações com base no uso de agentes de ameaças no ano passado. Entre os maiores deles está o HermeticWiper, um limpador que apaga e sobrescreve o registro mestre de inicialização de um sistema comprometido.
