As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Foi publicado um exploit de prova de conceito para a vulnerabilidade CVE-2023-33733 que afeta a biblioteca Python ReportLab Toolkit, que é usada para gerar arquivos PDF a partir de entrada HTML. A vulnerabilidade permite a execução remota de código e pode ser explorada incorporando código malicioso em um arquivo HTML que será convertido em PDF pelo software que usa a biblioteca. A vulnerabilidade foi corrigida na versão 3.6.13 da biblioteca.

Falhas de segurança foram descobertas nos alto-falantes sem fio Sonos One (rastreadas como CVE-2023-27352 , CVE-2023-27355 , CVE-2023-27353 e CVE-2023-27354 ), podendo ser exploradas para divulgação de informações e execução remota de código. As vulnerabilidades foram demonstradas por três equipes diferentes no concurso de hacking Pwn2Own, com recompensas monetárias de US$ 105.000. As falhas foram corrigidas pela Sonos em suas versões de software S2 e S1.

A empresa de segurança Barracuda revelou que um bug de zero-day foi explorado por pelo menos sete meses para backdoor os dispositivos Email Security Gateway dos clientes com malware personalizado e roubar dados. A vulnerabilidade foi identificada em 19 de maio e corrigida em 20 de maio. A investigação em andamento descobriu que o bug foi explorado pela primeira vez em outubro de 2022. Barracuda diz que seus produtos são usados por mais de 200.000 organizações, incluindo empresas de alto perfil como Samsung, Delta Airlines, Mitsubishi e Kraft Heinz.

A empresa de desenvolvimento WordPress, Automattic, iniciou a instalação forçada de um patch de segurança em milhões de sites para corrigir uma vulnerabilidade crítica no plug-in Jetpack. Jetpack é um plug-in popular que fornece melhorias de gerenciamento de desempenho e segurança para sites WordPress. A vulnerabilidade, descoberta durante uma auditoria de segurança interna, poderia ser usada por autores em um site para manipular quaisquer arquivos na instalação do WordPress. O patch de segurança já foi instalado em mais de 4.130.000 sites.

O plugin premium do WordPress 'Gravity Forms' é vulnerável à injeção de objeto PHP não autenticada, afetando todas as versões abaixo da 2.7.4. A falha permite a injeção de objetos PHP arbitrários na aplicação, o que pode levar a acesso e modificação de arquivos, exfiltração de dados de usuários, execução de código e mais. Proprietários do site são aconselhados a aplicar a atualização de segurança o mais rápido possível.

A Apple corrigiu uma vulnerabilidade ( CVE-2023-32369 ) que permitia que atacantes com privilégios de root contornassem a Proteção de Integridade do Sistema (SIP) para instalar malware "não deletável" e acessar dados privados dos usuários no macOS. A falha, descoberta pela equipe de segurança da Microsoft, foi corrigida na atualização de segurança do macOS Ventura 13.4, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7. Ataques que contornam a SIP podem permitir que o malware tenha efeitos de longo alcance e permitir que os atacantes acessem dados do usuário sem consentimento.

Um novo malware para Android, chamado SpinOk, foi descoberto em vários aplicativos, muitos deles anteriormente no Google Play e baixados coletivamente mais de 400 milhões de vezes. O malware pode roubar dados privados armazenados nos dispositivos dos usuários e enviá-los para um servidor remoto. O SpinOk é distribuído como um SDK de publicidade e usa minijogos para gerar interesse dos usuários, mas também é capaz de listar arquivos em diretórios, procurar arquivos específicos, fazer upload de arquivos do dispositivo, copiar e substituir conteúdo da área de transferência e modificar senhas e dados de cartão de crédito.

A campanha de distribuição do malware RomCom está se intensificando, com os atacantes utilizando a estratégia de impessoalidade de sites famosos ou fictícios de software para enganar os usuários e levá-los a baixar e instalar arquivos maliciosos. Ameaça foi descoberta pela TrendMicro, que segue o malware desde o verão de 2022. Os ataques já foram associados a ransomware, espionagem e guerra cibernética.

Serviços de quebra de CAPTCHA estão sendo vendidos para contornar sistemas que diferenciam usuários legítimos do tráfego de bots, alertam pesquisadores de segurança cibernética. Esses serviços funcionam ao enviar as solicitações recebidas por meio de clientes para solucionadores humanos, que resolvem os problemas e enviam as respostas de volta aos usuários. Isso permite que os clientes dos serviços de quebra de CAPTCHA desenvolvam ferramentas automatizadas contra serviços da web online, tornando a filtragem de tráfego de bots por meio dos testes ineficaz. Além disso, os atores de ameaças estão comprando esses serviços e combinando-os com ofertas de software de proxyware para obscurecer o endereço IP de origem e evitar barreiras antibot.

O grupo de hackers Dark Pink APT continua ativo em 2023, visando organizações governamentais, militares e educacionais em países da Ásia-Pacífico. O grupo implementou novas ferramentas de exfiltração de dados e tentou evitar a detecção, mesmo após ter sido exposto em relatórios anteriores. A ameaça deve continuar atualizando suas ferramentas e diversificando seus métodos.

O malware AceCryptor está sendo usado para empacotar diversas variedades de malwares desde 2016, incluindo o SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware e Amadey. Segundo a ESET, mais de 240.000 detecções do crypter foram identificadas em sua telemetria em 2021 e 2022. O AceCryptor é entregue por meio de instaladores trojanizados de software pirata, e-mails de spam com anexos maliciosos ou outros malwares que já comprometeram um host.

O grupo de hackers norte-coreano Lazarus está usando servidores web Windows Internet Information Services (IIS) vulneráveis para obter acesso às redes corporativas, segundo a AhnLab Security Emergency Response Center. Os pesquisadores sul-coreanos descobriram que o grupo usa vulnerabilidades ou configurações incorretas para criar arquivos no servidor IIS, permitindo a entrada na rede. O Lazarus é conhecido por suas atividades financeiras, que muitos acreditam ajudar a financiar os programas de desenvolvimento de armas da Coreia do Norte, além de ter sido envolvido em várias operações de espionagem.

Um novo trojan de acesso remoto de código aberto chamado DogeRAT mira usuários Android na Índia através de aplicativos legítimos falsos como Opera Mini, YouTube Premium, Netflix Premium e Instagram Premium. O malware ganha acesso não autorizado a dados sensíveis, como contatos, mensagens e credenciais bancárias, e pode controlar o dispositivo comprometido, permitindo ações maliciosas, como envio de spam, pagamentos não autorizados, modificação de arquivos e até mesmo captura de fotos remotamente por meio da câmera do dispositivo.

Pesquisadores descobrem técnica de ataque barata chamada BrutePrint, que permite a força bruta de impressões digitais em smartphones para contornar a autenticação do usuário e assumir o controle dos dispositivos, usando duas vulnerabilidades zero-day no framework de autenticação de impressão digital do smartphone. O ataque requer que o invasor já esteja em posse do dispositivo e de um banco de dados de impressões digitais, além de um conjunto de microcontrolador e auto-clicker que pode sequestrar dados enviados pelo sensor de impressão digital para realizar o ataque a partir de US$ 15.

MCNA Dental, provedor de seguro saúde e de cuidados odontológicos patrocinado pelo governo dos EUA, informou quase 9 milhões de pacientes que seus dados pessoais foram comprometidos em um ataque cibernético em 2023. Os hackers exigiram US$ 10 milhões para não divulgar 700 GB de informações confidenciais. A LockBit, um grupo de ransomware, reivindicou a responsabilidade pelo ataque e divulgou os dados em seu site. A empresa oferece um ano de proteção contra roubo de identidade e serviços de monitoramento de crédito gratuito para os pacientes afetados.

O projeto DeFi Jimbos Protocol, baseado na Arbitrum, sofreu um ataque de empréstimo relâmpago que resultou na perda de mais de 4000 tokens ETH, atualmente avaliados em mais de US$ 7,5 milhões. O ataque ocorreu apenas três dias após o lançamento do protocolo V2 da plataforma e a equipe está trabalhando com profissionais de segurança para remediar a situação. O preço do token jimbo caiu rapidamente após o ataque.

Um banco de dados com informações de mais de 478.000 membros do fórum de hackers RaidForums foi vazado por um dos administradores do novo fórum Exposed. O RaidForums era conhecido por hospedar, vazar e vender dados roubados de organizações violadas, e muitos dos membros do fórum eram ameaças cibernéticas que usavam essas informações para phishing, golpes de criptomoeda e distribuição de malware. Embora seja provável que a polícia já tenha acesso a esses dados depois que o RaidForums foi apreendido em 2022, a informação ainda pode ser útil para pesquisadores de segurança.

A partir do final deste ano, todos os usuários de projetos no repositório de software de terceiros PyPI serão obrigados a ativar a autenticação de dois fatores (2FA). A medida visa neutralizar as ameaças de ataques de takeover de conta, que permitem que um invasor distribua versões trojanizadas de pacotes populares para contaminar a cadeia de suprimentos de software e implantar malware em grande escala. Apenas os mantenedores de projetos e organizações serão afetados pela medida.

O malware QBot está abusando de uma vulnerabilidade de DLL hijacking no programa WordPad do Windows 10 para infectar computadores e evitar a detecção de software de segurança. O QBot é um malware que evoluiu de um trojan bancário para um dropper de malware e é usado por grupos de ransomware para ganhar acesso a redes corporativas. A infecção ocorre por meio de um link em um e-mail phishing que leva a um arquivo ZIP contendo o WordPad executável e um arquivo DLL malicioso, que é usado para realizar o DLL hijacking.

O Ministério da Indústria da Itália sofreu um "ataque cibernético pesado" na sexta-feira (26), deixando o portal e seus aplicativos fora do ar. O governo afirmou que os técnicos estão trabalhando para mitigar as consequências e que não há evidências de roubo de dados. O ministério está em contato com a Agência Nacional de Segurança Cibernética para minimizar a inconveniência aos cidadãos e empresas que dependem do sistema. Não há prazo para as atividades voltarem ao normal.