As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O FBI alertou para um aumento na criação de deepfakes para realizar ataques de sextorsão, com atores maliciosos usando imagens públicas de redes sociais para criar conteúdo sexualmente explícito gerado por IA. As vítimas são ameaçadas de exposição pública a menos que paguem ou forneçam imagens sexualmente explícitas reais. O FBI recomenda que os pais monitorem a atividade online de seus filhos e falem sobre os riscos associados ao compartilhamento de mídia pessoal online.

O malware SpinOk foi encontrado em um novo lote de aplicativos Android na Google Play, instalado cerca de 30 milhões de vezes. O SpinOk foi distribuído através de um ataque à cadeia de suprimentos SDK que infectou muitos aplicativos e, por extensão, comprometeu muitos usuários do Android. A maioria dos aplicativos infectados já foram removidos da loja da Google Play.

Um analista de TI da Oxford BioMedica foi preso no Reino Unido por fingir ser membro de uma gangue de ransomware para tentar extorquir dinheiro da empresa em que trabalhava, após um ataque real de sequestro de dados. Ele teria acessado a caixa de e-mail de executivos da Oxford BioMedia mais de 300 vezes, de forma não autorizada, e tentado coletar documentos e arquivos confidenciais, além de pedir um resgate de £ 300.000 em Bitcoins. Ele será julgado em julho e pode ser condenado a até 38 anos de prisão.

A ameaça cibernética Cyclops Ransomware está oferecendo um malware Info Stealer para capturar dados sensíveis de hosts infectados, de acordo com um novo relatório da Uptycs. O Cyclops Ransomware é notável por segmentar todos os principais sistemas operacionais de desktop, incluindo Windows, macOS e Linux. As versões macOS e Linux do ransomware são escritas em Golang e empregam um esquema de criptografia complexo que é uma mistura de criptografia assimétrica e simétrica.

Duas falhas em firewalls da Zyxel foram adicionadas ao catálogo de vulnerabilidades conhecidas do CISA devido à evidência de exploração ativa. As vulnerabilidades de overflow de buffer podem permitir que um invasor não autenticado cause uma condição de negação de serviço (DoS) e execução remota de código. A Zyxel lançou correções para as falhas em 24 de maio de 2023, mas o ataque ainda está em andamento. Agências do governo dos EUA devem remediar as vulnerabilidades identificadas até 26 de junho de 2023.

O grupo de phishing chinês PostalFurious criou uma nova campanha de SMS visando usuários dos Emirados Árabes Unidos, fingindo ser serviços postais e operadoras de pedágio. As mensagens fraudulentas pedem que os destinatários paguem uma taxa de viagem de veículo para evitar multas adicionais e incluem um URL encurtado para ocultar o link de phishing real. A campanha está ativa desde 15 de abril de 2023. Os links de phishing são geolocalizados para que as páginas só possam ser acessadas a partir de endereços IP baseados nos Emirados Árabes Unidos.

A empresa de cibersegurança Kaspersky lançou uma ferramenta para detectar se iPhones e outros dispositivos iOS da Apple estão infectados com o novo malware 'Triangulation'. A campanha de malware 'Operation Triangulation' usa uma vulnerabilidade zero-day no iMessage para executar código sem interação do usuário e privilégios elevados, permitindo que o ataque baixe mais cargas úteis para o dispositivo para coletar informações. A origem do malware e os responsáveis pela operação ainda são desconhecidos.

O KeePass lançou a versão 2.54, corrigindo uma vulnerabilidade (identificada como CVE-2023-32784 ) que permitia a extração da senha mestra em texto claro da memória do aplicativo. A falha foi descoberta em maio de 2023 pelo pesquisador 'vdohney' e permitia a recuperação da senha mestra por meio de um dump de memória. A nova versão utiliza uma API do Windows para prevenir a criação de strings gerenciadas que podem ser extraídas da memória. Os usuários são aconselhados a atualizar para a nova versão.

A Microsoft ligou o grupo de ransomware Clop aos ataques recentes que exploraram uma vulnerabilidade zero-day na plataforma MOVEit Transfer para roubar dados de organizações. Acredita-se que os atacantes tenham utilizado a vulnerabilidade zero-day do MOVEit para baixar arquivos e roubar credenciais e segredos de contêineres de armazenamento do Azure Blob configurados. O grupo Clop é conhecido por atacar software de transferência de arquivos gerenciados e aguarda algumas semanas após o roubo de dados antes de enviar suas demandas de extorsão.

Google lançou uma atualização de segurança para corrigir uma falha de alta gravidade no navegador Chrome, que está sendo ativamente explorada. A vulnerabilidade, conhecida como CVE-2023-3079 , foi descrita como um bug de confusão de tipo na V8 JavaScript engine e foi descoberta pelo grupo de análise de ameaças do Google. Esta vulnerabilidade permite com que um atacante remoto explorasse a corrupção de heap por meio de uma página HTML manipulada. A atualização é a terceira correção de zero-day explorada no Chrome desde o início deste ano. Os usuários são recomendados a atualizar o navegador para a versão 114.0.5735.110 para Windows e 114.0.5735.106 para macOS e Linux.

A GIGABYTE lançou atualizações de firmware para mais de 270 placas-mãe para corrigir vulnerabilidades de segurança que poderiam ser exploradas para instalar malware. A correção foi feita em resposta a uma pesquisa da empresa de segurança Eclypsium, que descobriu falhas em uma função legítima da GIGABYTE usada para instalar um aplicativo de atualização automática de software no Windows.

Pesquisadores da Trend Micro identificaram uma alta semelhança entre o ransomware BlackSuit, que ataca máquinas Linux e Windows, e o ransomware Royal. Ambos utilizam o OpenSSL AES para criptografia e técnicas de criptografia intermitente semelhantes. A análise sugere que o BlackSuit pode ser uma variante do Royal ou uma cópia criada por um grupo afiliado. O BlackSuit foi descoberto pela Palo Alto Networks Unit 42 em maio de 2023.

Usuários de língua espanhola na América Latina estão sendo alvo de um novo malware de botnet chamado Horabot desde novembro de 2020. O programa pode controlar a caixa de correio do Outlook da vítima, roubar endereços de e-mail de contatos e enviar e-mails de phishing com anexos HTML maliciosos. A maioria das infecções está localizada no México, com vítimas limitadas identificadas no Uruguai, Brasil, Venezuela, Argentina, Guatemala e Panamá. O setor contábil, de construção, engenharia, distribuição atacadista e investimento é o principal alvo.

A Zyxel emitiu um aviso de segurança alertando sobre ataques em seus dispositivos de firewall e VPN e orientando sobre como detectar sinais de exploração. As vulnerabilidades CVE-2023-28771 , CVE-2023-33009 e CVE-2023-33010 estão sendo exploradas, permitindo a execução remota de comando e a inserção de código malicioso em dispositivos vulneráveis. A Zyxel recomenda atualizar os dispositivos para as versões de firmware mais recentes e implementar medidas de mitigação caso a atualização não seja possível.

A Microsoft anunciou que o SMB Signing será obrigatório por padrão para todas as conexões, a fim de se defender contra ataques de relé NTLM. A medida começará com o Windows Enterprise edition e será implementada em outros sistemas nos próximos meses. O SMB Signing ajuda a bloquear solicitações de autenticação maliciosas, confirmando a identidade do remetente e do destinatário por meio de assinaturas e hashes incorporados em cada mensagem. A mudança pode afetar a velocidade de cópia do SMB, mas os administradores têm a opção de desativar o recurso.

A Atomic Wallet está investigando relatos de roubo de criptomoedas de carteiras de usuários, com mais de US$ 35 milhões em criptomoedas supostamente roubados. Os desenvolvedores da carteira móvel e de desktop de criptografia estão trabalhando com empresas de segurança para investigar o incidente e bloquear os fundos roubados de serem vendidos em exchanges. Até agora, não está claro como ocorreu a violação.

A empresa de câmeras de segurança doméstica Ring, de propriedade da Amazon, foi acusada pela FTC de invasão de privacidade dos seus usuários, permitindo que funcionários assistissem a gravações de vídeo dos espaços privados dos clientes. A Ring terá que deletar todas as informações produzidas ilegalmente pelos vídeos e adotar controles de segurança mais rigorosos. A empresa nega a violação de qualquer lei e entende que o acordo resolve definitivamente o assunto.

O grupo de hackers Kimsuky, patrocinado pelo estado norte-coreano, está se passando por jornalistas e acadêmicos para realizar campanhas de spear-phishing em organizações de mídia, centros de pesquisa e instituições acadêmicas, de acordo com várias agências governamentais dos EUA e da Coreia do Sul. O grupo é conhecido por suas campanhas de espionagem em larga escala em apoio aos objetivos de inteligência nacional desde pelo menos 2012. As agências emitiram um aviso recomendando medidas de mitigação, incluindo o uso de senhas fortes e autenticação multifatorial.

Pesquisadores de segurança cibernética relataram um aumento na atividade do TrueBot em maio de 2023, um botnet de trojan downloader que coleta informações de sistemas comprometidos e os usa como ponto de lançamento para ataques. O TrueBot tem sido ativo desde 2017 e é ligado a um grupo conhecido como Silence, que se acredita ter sobreposições com o famoso ator de cibercrime russo conhecido como Evil Corp. Recentemente, o TrueBot explorou uma falha crítica no Netwrix Auditor e usou o Raspberry Robin como vetor de entrega.

Uma nova campanha de roubo de cartões de crédito Magecart está usando sites legítimos como servidores de comando e controle (C2) para injetar e ocultar skimmers em sites de comércio eletrônico. A campanha comprometeu organizações nos Estados Unidos, Reino Unido, Austrália, Brasil, Peru e Estônia, muitas das quais não perceberam que foram violadas por mais de um mês. Os invasores identificam sites vulneráveis e os hackeam para hospedar seu código malicioso, usando-os como servidores C2 para seus ataques.