As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O GravityRAT está infectando dispositivos móveis com um app de chat trojanizado chamado BingeChat, que tenta roubar dados dos dispositivos das vítimas. A última versão do malware está roubando arquivos de backup do WhatsApp. O BingeChat é distribuído em convites, mas pede permissão para acesso a contatos, localização, telefone, SMS, armazenamento, registros de chamadas, câmera e microfone. O GravityRAT está em operação desde 2015, mas começou a visar o Android em 2020.

Documentos do Exército do Chile foram vazados após um ataque de ransomware do Rhysida. Os invasores afirmam ter roubado 360.000 documentos e publicado 30% deles em seu site na dark web. O grupo de ameaças cibernéticas Rhysida já adicionou oito vítimas ao seu site de vazamento de dados e publicou todos os arquivos roubados para cinco delas.

O grupo de hackers pro-China UNC4841 foi ligado a ataques de roubo de dados em dispositivos Barracuda ESG (Email Security Gateway) usando uma vulnerabilidade zero-day já corrigida. A ameaça começou em outubro de 2022 e foi descoberta pela Barracuda em maio de 2023. O grupo usou arquivos maliciosos '.tar' anexados a e-mails para explorar a vulnerabilidade CVE-2023-2868 e acessar dispositivos ESG vulneráveis. A Barracuda recomendou a substituição dos dispositivos afetados para garantir a remoção completa de malware.

Criminosos estão usando serviços de mineração em nuvem para lavar ativos digitais, com ransomware e golpes de criptomoeda juntando-se a atores estatais, de acordo com a empresa de análise blockchain Chainalysis. A empresa descobriu que endereços de carteiras relacionados a ransomware foram usados para enviar fundos a um endereço de depósito ativo em uma bolsa de criptomoeda sem nome, incluindo US$ 19,1 milhões de quatro endereços de carteira de ransomware e US$ 14,1 milhões de três piscinas de mineração.

A Progress Software revelou uma terceira vulnerabilidade em seu aplicativo MOVEit Transfer, enquanto o grupo criminoso Cl0p emprega táticas de extorsão contra empresas afetadas graças ao zero-day que encontraram no MOVEit Transfer. A nova falha de injeção SQL pode levar a privilégios escalados e acesso não autorizado ao ambiente. A empresa pede que os clientes desativem todo o tráfego HTTP e HTTPS para o MOVEit Transfer nas portas 80 e 443 enquanto um patch é preparado para abordar a fraqueza.

Foram encontradas duas vulnerabilidades de segurança em serviços da Microsoft Azure que poderiam ser exploradas para realizar ataques de cross-site scripting (XSS). As falhas foram corrigidas após a Orca Security reportá-las à empresa. Os ataques XSS ocorrem quando atores mal-intencionados injetam código arbitrário em um site confiável, que é executado toda vez que usuários desavisados visitam o site.

O Qbot continua sendo o malware mais ativo contra usuários e empresas brasileiras, representando 13,9% de todos os ataques registrados em maio, de acordo com a Check Point Research. No entanto, houve uma queda de 27% em uma categoria de ameaça que representou mais de um em cada cinco comprometimentos no Brasil. O Windows continua sendo o principal foco de entrada do Qbot, mas a Check Point identificou o uso de brechas nas bibliotecas DLL do WordPad, em sua versão para Windows 10, como um vetor alternativo às restrições impostas pela Microsoft. O minerador de criptomoedas XMRig teve crescimento e ficou em segundo lugar no ranking brasileiro, enquanto o Emotet caiu para a terceira posição.

A Microsoft lançou uma correção opcional para a vulnerabilidade CVE-2023-32019 que envolve divulgação de informações do Kernel que afeta sistemas que executam várias versões do Windows, incluindo as últimas versões do Windows 10, Windows Server e Windows 11. Embora a gravidade seja média, a empresa a considera importante. A correção está desativada por padrão, mas pode ser ativada por meio de uma mudança no registro do sistema. A vulnerabilidade permite que invasores autenticados acessem a memória heap de processos privilegiados em dispositivos desatualizados.

Uma nova campanha de malware ChromeLoader, descoberta pela equipe de pesquisa de ameaças da HP, está infectando visitantes de sites de filmes piratas e warez com uma nova variante do sequestrador de pesquisa e extensão de navegador adware chamada Shampoo. A campanha está em andamento desde março de 2023 e é distribuída por meio de uma rede de sites maliciosos que prometem downloads gratuitos de música, filmes ou videogames protegidos por direitos autorais.

A Microsoft vinculou o grupo de ameaças Cadet Blizzard à Diretoria Principal do Estado-Maior General das Forças Armadas da Rússia (GRU), responsável por ataques cibernéticos contra a Ucrânia. O grupo é suspeito de operar desde 2020, visando principalmente órgãos governamentais, serviços de emergência e organizações sem fins lucrativos. A empresa de tecnologia observou que os ataques do Cadet Blizzard têm uma taxa de sucesso relativamente baixa em comparação com outros grupos de hackers afiliados à GRU.

As autoridades de segurança cibernética dos EUA e de outros seis países alertaram sobre o LockBit ransomware, que conseguiu extorquir cerca de US$ 91 milhões em aproximadamente 1.700 ataques a organizações dos EUA desde 2020. O LockBit é um Ransomware-as-a-Service (RaaS) e, desde janeiro de 2020, atacou organizações de setores críticos em todo o mundo. As autoridades compartilharam uma lista de ferramentas freeware e de código aberto, bem como medidas de mitigação recomendadas, para ajudar a defender contra atividades do LockBit.

O grupo de ameaças cibernéticas ChamelGang infecta dispositivos Linux com um implante desconhecido anteriormente chamado ChamelDoH, permitindo comunicações DNS-over-HTTPS com servidores de atacantes. A ameaça foi descoberta pela primeira vez em setembro de 2021, mas esta é a primeira vez que a ameaça é detectada em dispositivos Linux. A implantação usa o protocolo DNS-over-HTTPS para criptografar as comunicações entre o dispositivo infectado e o servidor de comando e controle, tornando as consultas maliciosas indistinguíveis do tráfego HTTPS regular.

O grupo de hackers Gamaredon, patrocinado pelo Estado russo, está usando malware USB para atacar organizações críticas nos setores militares e de inteligência de segurança da Ucrânia. O grupo também está visando os departamentos de recursos humanos, indicando que os hackers estão visando ataques de spear-phishing dentro de organizações comprometidas. A Symantec espera que o Gamaredon continue a se concentrar na Ucrânia e a atualizar suas táticas de ataque.

A CISA emitiu uma diretiva operacional vinculativa exigindo que as agências civis federais protejam o equipamento de rede mal configurado ou exposto à Internet dentro de 14 dias após a descoberta. A diretiva se aplica a dispositivos de rede com interfaces de gerenciamento expostas à Internet, como roteadores, firewalls, proxies e balanceadores de carga, e exige que as agências removam as interfaces de gerenciamento da rede identificadas da exposição à Internet ou protejam-nas com recursos de confiança zero.

Hackers estão distribuindo o Windows 10 em torrents que contêm sequestradores de criptomoedas no EFI para evitar detecção por antivírus. A partição EFI é um pequeno sistema que contém arquivos de inicialização executados antes do sistema operacional iniciar. Os hackers usam a partição como um espaço de armazenamento seguro para os componentes do sequestrador, permitindo que eles monitorem a área de transferência do sistema para substituir endereços de carteira de criptomoedas e direcionar pagamentos para suas contas. Pelo menos US$ 19.000 em criptomoedas foram roubados.

Hackers estão se passando por pesquisadores de cibersegurança no Twitter e GitHub para publicar falsos exploits de prova de conceito (PoC) para vulnerabilidades zero-day que infectam sistemas Windows e Linux com malware. Os exploits maliciosos são promovidos por supostos pesquisadores de uma empresa de cibersegurança falsa chamada 'High Sierra Cyber Security'. As contas no GitHub e no Twitter parecem legítimas e imitam pesquisadores de segurança reais de empresas como Rapid7 e outras. Os pesquisadores de segurança devem ter cuidado ao baixar scripts de repositórios desconhecidos.

O plugin WooCommerce Stripe Gateway para WordPress tem falha que permite a visualização de detalhes de pedidos por usuários não autenticados, expondo dados pessoais. O problema, considerado grave, foi descoberto pela Patchstack e afeta todas as versões anteriores à 7.4.1. Mais da metade das instalações do plugin são vulneráveis, segundo a WordPress. Recomenda-se a atualização e monitoramento constante dos sites.

Uma campanha de phishing em larga escala está se passando por mais de cem marcas de roupas e calçados, incluindo Nike, Puma, Adidas e The North Face, há pelo menos nove meses. Segundo a equipe de pesquisa de ameaças da Bolster, a campanha usa mais de 3.000 domínios e cerca de 6.000 sites, incluindo inativos, e as páginas falsas são bastante convincentes, com informações de contato e páginas de pedido que funcionam como esperado. A estratégia exata de fraude é desconhecida, mas a Bolster sugere que as páginas podem nunca entregar os produtos que os clientes pagam ou enviar imitações chinesas, além de armazenar informações de cartão de crédito para venda a cibercriminosos.

A Microsoft lançou suas atualizações de segurança de junho de 2023, corrigindo 73 falhas, incluindo seis classificadas como críticas e três em seu navegador Chromium-based Edge. A atualização inclui correções para uma vulnerabilidade de escalonamento de privilégios no SharePoint Server e três bugs de execução remota de código no Windows Pragmatic General Multicast (PGM). A atualização também é notável por não incluir nenhuma falha zero-day em produtos Microsoft que seja conhecida publicamente ou esteja sob ataque ativo no momento do lançamento.

Uma empresa de serviços de tecnologia no Brasil foi atingida por um ataque de ransomware que afetou pelo menos outras 10 empresas. Os criminosos da 8Base deram até 19 de julho para que as organizações paguem resgates de valores não divulgados publicamente, caso contrário, grandes volumes de informações obtidas serão divulgados publicamente. Entre os dados que a 8Base afirma ter estão registros internos das companhias, bem como dados pessoais de funcionários, parceiros comerciais e clientes.