As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de espionagem cibernética chinês Volt Typhoon, também conhecido como Bronze Silhouette, foi detectado pela empresa de segurança CrowdStrike empregando novas táticas de acesso remoto para manter acesso persistente a alvos de interesse. O grupo é conhecido por operações de intrusão em redes do governo dos EUA, defesa e outras organizações de infraestrutura crítica.

Grafana lançou correções de segurança para várias versões de sua aplicação, abordando uma vulnerabilidade que permite que invasores ignorem a autenticação e assumam qualquer conta Grafana que use o Azure Active Directory para autenticação. A vulnerabilidade permite que um invasor assuma o controle completo da conta de um usuário, incluindo acesso a dados de clientes privados e informações sensíveis.

O volume de ataques cibernéticos envolvendo o comprometimento de perfis de cidadãos quase dobrou no Brasil no primeiro trimestre de 2023, com um aumento de 84% nos golpes que visam a obtenção de informações a partir de contas digitais, de acordo com um levantamento feito pela plataforma de e-commerce OLX. A maioria dos comprometimentos aconteceu a partir de credenciais vazadas, com a repetição de logins e senhas pelos usuários ampliando o risco enquanto os criminosos repetem as informações em diferentes perfis.

Mario Forever para Windows está distribuindo malware para usuários desavisados, incluindo um minerador de criptomoedas Monero e um cliente de mineração SupremeBot. O malware também inclui o Umbral Stealer, que rouba informações do dispositivo infectado, incluindo senhas, carteiras de criptomoedas e tokens de autenticação. Os usuários devem verificar seus computadores em busca de malware e alterar as senhas em sites sensíveis. Sempre baixe jogos e softwares de fontes confiáveis.

As autoridades dos Estados Unidos, juntamente com outras agências governamentais em todo o mundo, apreenderam o domínio de BreachForums, um fórum de hackers, três meses depois de prenderem seu proprietário, Conor Fitzpatrick, por acusações de cibercrime. As autoridades também apreenderam o domínio pessoal de Fitzpatrick. O fórum ainda está ativo na dark web.

A agência cibernética dos EUA (CISA) ordenou às agências federais que corrijam vulnerabilidades de segurança recentemente corrigidas que foram exploradas como zero-days para implantar o spyware Triangulation em iPhones por meio de exploits zero-click do iMessage. A Kaspersky descobriu o malware Triangulation em iPhones de funcionários de seu escritório em Moscou e de outros países. Os ataques começaram em 2019 e ainda estão em andamento. A Rússia alegou que a Apple colaborou com a NSA para criar uma backdoor, facilitando a infiltração de iPhones na Rússia.

A empresa PBI Research Services sofreu um vazamento de dados em que 4,75 milhões de pessoas tiveram suas informações roubadas por meio de ataques de roubo de dados MOVEit Transfer. Aproximadamente três empresas relataram que seus clientes foram afetados, incluindo a Genworth Financial, Wilton Reassurance e CalPERS. Os dados expostos incluem informações pessoais como nomes, endereços, datas de nascimento e números de segurança social.

Fortinet atualiza o FortiNAC para corrigir vulnerabilidade crítica de execução remota de código (RCE) sem autenticação. A empresa de soluções de cibersegurança não recomendou nenhuma ação de mitigação, portanto, a recomendação é aplicar as atualizações de segurança disponíveis. Fortinet é frequentemente alvo de hackers, com ataques de dia zero e dispositivos não atualizados.

As companhias aéreas American Airlines e Southwest Airlines sofreram violações de dados devido ao hack do terceiro fornecedor de serviços, Pilot Credentials, que gerencia os portais de inscrição e recrutamento de pilotos de várias companhias aéreas. As violações afetaram 5.745 e 3.009 pilotos e candidatos, respectivamente, com informações como nome, número do Seguro Social, data de nascimento e outras informações governamentais roubadas. Não há evidências de que as informações pessoais dos pilotos tenham sido direcionadas ou exploradas para fins fraudulentos ou de roubo de identidade.

Uma nova campanha de phishing chamada MULTI#STORM tem como alvo a Índia e os EUA usando arquivos JavaScript para entregar cavalos de Troia de acesso remoto em sistemas comprometidos. A campanha usa diversos tipos de malware, como Warzone RAT e Quasar RAT, para controlar a máquina infectada. Os cibercriminosos usam um arquivo JavaScript altamente obfuscado para infectar a máquina do usuário. É importante ficar atento a e-mails de phishing, especialmente quando há um senso de urgência.

Um novo dropper de JavaScript, chamado PindOS, foi observado entregando payloads de próxima etapa, como Bumblebee e IcedID, que atuam como vetores para outras ameaças em hosts comprometidos, incluindo ransomware. O PindOS contém comentários em russo, levantando a possibilidade de uma parceria contínua entre grupos de cibercrime. Se esse "experimento" for bem-sucedido, pode se tornar uma ferramenta permanente no arsenal de ameaças de outros atores malignos.

O grupo de espionagem cibernética chinês Camaro Dragon está usando um novo malware que se propaga por meio de pendrives USB infectados. A Check Point descobriu evidências de infecções de malware USB em Myanmar, Coreia do Sul, Grã-Bretanha, Índia e Rússia, após investigar um incidente cibernético em um hospital europeu não identificado no início de 2023. O malware WispRider é responsável por infectar os dispositivos quando são conectados a uma máquina através de um lançador Delphi chamado HopperTick. O grupo já havia sido associado a outras táticas como o backdoor TinyNote e o HorseShell.

Dois hackers acusados de roubar e comercializar dados de milhões de brasileiros foram presos pela Polícia Civil do Distrito Federal. O esquema criminoso é considerado um dos maiores já realizados no Brasil envolvendo vazamento de dados sigilosos, afetando cerca de 200 milhões de pessoas com informações como CPF, número de celular, endereços residenciais, endereços de e-mail, fotos, assinaturas digitalizadas, entre outros. Os dados eram vendidos na internet através da dark web para realizar uma série de golpes eletrônicos.

Pesquisadores de segurança descobriram uma maneira simples de entregar malware a uma organização usando o Microsoft Teams, mesmo com restrições de arquivos de fontes externas. A vulnerabilidade foi encontrada na configuração padrão do Microsoft Teams, permitindo a comunicação com contas de fora da empresa. A Microsoft confirmou a existência da falha, mas disse que "não atende ao critério para atendimento imediato". As empresas foram aconselhadas a desativar o recurso de "Acesso Externo" se não precisarem se comunicar regularmente com contas externas.

A agência de segurança cibernética dos EUA adicionou seis vulnerabilidades explotadas à sua lista conhecida de vulnerabilidades explotadas, incluindo três que foram exploradas por cibercriminosos russos do grupo APT28 para invadir servidores de e-mail Roundcube pertencentes a organizações governamentais ucranianas. As vulnerabilidades foram exploradas para acessar servidores não corrigidos e extrair informações confidenciais, incluindo inteligência militar, para apoiar a invasão da Ucrânia pela Rússia.

A Agência Nacional de Segurança dos EUA divulgou orientações para defender contra o malware BlackLotus UEFI bootkit, que circula em fóruns de hackers desde outubro de 2022. O malware é capaz de evadir a detecção e neutralizar várias ferramentas de segurança do Windows. A Microsoft lançou atualizações de segurança para abordar uma vulnerabilidade zero-day do Secure Boot, mas o patch não remove o vetor de ataque usado para implantar o BlackLotus. Os administradores do sistema devem seguir um procedimento manual para atualizar a mídia inicializável e aplicar revogações antes de habilitar a atualização.

A VMware corrigiu múltiplas falhas de segurança no vCenter Server que podem permitir que atacantes ganhem execução de código e contornem a autenticação em sistemas não corrigidos. As vulnerabilidades foram encontradas na implementação do protocolo DCE/RPC usado pelo vCenter Server. A VMware emitiu atualizações de segurança para quatro vulnerabilidades de alta gravidade. Todas as vulnerabilidades foram descobertas e relatadas por pesquisadores de segurança da Cisco Talos.

Dispositivos Linux e IoT expostos à internet estão sendo sequestrados em ataques de força bruta como parte de uma campanha recente de criptojacking, alertou a Microsoft. Depois de acessar um sistema, os invasores implantam um pacote OpenSSH trojanizado que ajuda a backdoor dos dispositivos comprometidos e rouba credenciais SSH para manter a persistência. O objetivo final parece ser a instalação de malware de mineração direcionado a sistemas Hiveon OS baseados em Linux.

Uma variante do botnet Mirai está visando cerca de 22 vulnerabilidades em dispositivos de diversas marcas, incluindo D-Link, Arris, Zyxel e Netgear, para usá-los em ataques de negação de serviço distribuído (DDoS), alertam pesquisadores da Unit 42. O malware foi identificado em duas campanhas em andamento que começaram em março e tiveram pico em abril e junho. Os pesquisadores alertam que os desenvolvedores do botnet continuam a adicionar código para vulnerabilidades exploráveis.

Milhões de repositórios do GitHub podem estar vulneráveis ao RepoJacking, um tipo de ataque que permite a invasores implantar malware em projetos que dependem de código de repositórios antigos. A vulnerabilidade ocorre quando alguém registra o nome antigo do repositório, que teve seu nome mudado. O GitHub implementou algumas defesas para o RepoJacking, mas o Nautilus, equipe de segurança da AquaSec, descobriu que elas têm sido facilmente contornadas. A vulnerabilidade pode ter graves impactos para organizações e usuários.