As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A Microsoft introduziu um novo recurso do Microsoft Defender chamado "modo de desempenho" para desenvolvedores no Windows 11, projetado para reduzir o impacto das varreduras de antivírus ao analisar arquivos armazenados em Dev Drives. A combinação de Dev Drives e Defender performance mode pode aumentar a velocidade de compilação em até 30%. O modo de desempenho só está disponível para Dev Drives e requer o Microsoft Defender Antivirus, Defender for Business ou Defender for Endpoint Plan 1 ou Plan 2.

A plataforma Expo, usada para desenvolver aplicativos universais nativos para Android, iOS e web, sofreu uma vulnerabilidade crítica de segurança no Open Authorization (OAuth). O problema, com gravidade 9,6 no sistema de classificação CVSS, tornou os serviços que usam a estrutura suscetíveis a vazamento de credenciais, o que poderia ser usado para sequestrar contas e roubar dados sensíveis. A falha foi corrigida pela Expo em fevereiro de 2023.

A empresa suíça de tecnologia ABB confirmou que sofreu um ataque de ransomware em 7 de maio, resultando em interrupções operacionais e projetos atrasados. A empresa afirmou que os atacantes roubaram dados de dispositivos comprometidos e notificarão indivíduos afetados. Embora a investigação ainda esteja em seus estágios iniciais, a ABB afirmou que nenhum sistema do cliente foi diretamente impactado. A empresa trabalha com o Departamento de Defesa dos EUA e agências civis federais, bem como com governos locais em todo o mundo.

Emby, um software de servidor de mídia, desligou remotamente um número não revelado de servidores de usuários hackeados devido a uma vulnerabilidade conhecida e configuração de conta de administrador insegura. Os invasores exploraram uma falha conhecida desde fevereiro de 2020 para obter acesso aos servidores e instalar um plugin malicioso que roubava as credenciais dos usuários. Emby planeja lançar uma atualização de segurança em breve.

O malware Bandit Stealer tem chamado a atenção dos pesquisadores de segurança cibernética por sua capacidade de atacar vários navegadores da web e carteiras de criptomoedas. O Bandit Stealer é distribuído por meio de e-mails de phishing contendo um arquivo dropper que abre um arquivo do Microsoft Word aparentemente inócuo como uma manobra de distração, enquanto desencadeia a infecção em segundo plano.

Quatro pessoas foram presas pela Polícia Civil de São Paulo por aplicar o "golpe do game", infectando celulares com malwares bancários que desviavam mais de R$ 5 milhões desde o final do ano passado. A quadrilha usava jogos comprometidos para roubar dados bancários e fazer transferências via Pix para contas sob o comando dos detidos. A praga era ocultada em jogos e era comercializada em um canal no Telegram por R$ 5 mil por semana. Os acusados foram detidos em flagrante e a recomendação é de atenção na hora de realizar downloads de aplicativos.

A cidade de Augusta, na Geórgia, confirmou que sua mais recente interrupção do sistema de TI foi causada por acesso não autorizado à sua rede. Embora a administração não tenha divulgado a natureza do ataque, o grupo BlackByte ransomware publicou a Cidade de Augusta como uma de suas vítimas. Os dados roubados incluem informações de folha de pagamento, detalhes de contato, informações de identificação pessoal, endereços físicos, contratos e dados de alocação de orçamento da cidade. O resgate exigido é de US$ 400.000.

Um novo trojan de acesso remoto chamado GobRAT está visando roteadores Linux no Japão. Ele usa um script de carregamento que age como um canal para a entrega do GobRAT, que se disfarça como o processo Apache daemon (apached) para evitar detecção. O GobRAT se comunica com um servidor remoto via protocolo TLS para receber até 22 comandos diferentes criptografados para execução.

Uma falha de segurança no Cloud SQL da Google Cloud Platform (GCP) poderia ser explorada para obter acesso a dados confidenciais, de acordo com a empresa israelense de segurança em nuvem Dig. A vulnerabilidade permitiria a um invasor mal-intencionado escalar de um usuário básico do Cloud SQL para um sysadmin em um contêiner, obtendo acesso a dados confidenciais internos do GCP e de clientes. O problema foi abordado pela Google em abril de 2023, após uma divulgação responsável em fevereiro.

A implementação da restrição de compartilhamento de contas da Netflix entre usuários de residências diferentes está aumentando a venda de contas piratas na deep web, com foco em mercados como os Estados Unidos e a Índia, segundo a Check Point Software. Os criminosos vendem acesso completo a perfis Premium, incluindo resolução 4K HDR e acesso a até quatro telas simultaneamente, por preços a partir de R$ 10. A Check Point alerta que os valores tão baixos são possíveis graças ao uso de contas furtadas, obtidas por meio de senhas vazadas ou ataques de vírus.

Pesquisadores de segurança da Cisco Talos e do Citizen Lab apresentaram uma nova análise técnica do spyware comercial para Android "Predator" e seu loader "Alien", compartilhando suas capacidades de roubo de dados e outros detalhes operacionais. O Predator está ligado a operações de vigilância que visam jornalistas, políticos europeus e executivos do Meta. O spyware pode gravar chamadas telefônicas, coletar informações de aplicativos de mensagens ou até mesmo ocultar aplicativos e evitar sua execução em dispositivos Android infectados.

A D-Link corrigiu duas vulnerabilidades críticas em seu software de gerenciamento de rede D-View 8 que permitiam a invasores remotos ignorar a autenticação e executar código arbitrário. A D-View é um suite de gerenciamento de rede usada por empresas de todos os tamanhos para monitorar o desempenho, controlar as configurações de dispositivos e criar mapas de rede. As vulnerabilidades críticas foram relatadas pela Zero Day Initiative da Trend Micro.

A Zyxel divulgou atualizações de software para corrigir duas falhas de segurança críticas que afetam produtos de firewall e VPN selecionados e que poderiam ser exploradas por invasores remotos para obter execução de código. As duas vulnerabilidades de estouro de buffer foram classificadas com 9,8 em 10 no sistema de pontuação CVSS. As atualizações abordam os problemas em vários dispositivos, incluindo o ATP, USG FLEX e ZyWALL/USG.

Um hospital na União Europeia instalou proteções da Cynet em suas máquinas com Windows XP e Windows 7 durante o processo de atualização de seus sistemas de imagem, que ainda eram suportados por esses sistemas operacionais legados. Quando um dos médicos usou uma chave USB infectada com malware para acessar imagens de diagnóstico, as proteções da Cynet detectaram imediatamente o arquivo malicioso e o colocaram em quarentena antes que pudesse ser executado.

A botnet Dark Frost, que utiliza código de outras ameaças, como Mirai e Gafgyt, tem lançado ataques de negação de serviço (DDoS) contra empresas de jogos, servidores de jogos e membros da comunidade de jogos. A botnet compreende mais de 400 dispositivos comprometidos e tem uma capacidade de ataque de 629,28 Gbps por meio de um ataque de inundação UDP. O operador da botnet foi observado fazendo gravações ao vivo de seus ataques e utilizando o Discord para facilitar os ataques em troca de dinheiro.

Pesquisadores de segurança da Mandiant descobriram um novo malware chamado CosmicEnergy, projetado para interromper sistemas industriais e ligado à empresa russa de cibersegurança Rostelecom-Solar. O malware visa especificamente unidades remotas de terminais compatíveis com IEC-104 (RTUs), comumente usadas em operações de transmissão e distribuição de energia elétrica na Europa, Oriente Médio e Ásia. Acredita-se que tenha sido desenvolvido como uma ferramenta de treinamento de red team pela Rostelecom-Solar, mas também pode ser usado por atores de ameaças russos em ataques cibernéticos disruptivos.

Um servidor mal configurado da VPN gratuita SuperVPN expôs mais de 360 milhões de dados de usuários, incluindo registros de servidores, registros financeiros e informações pessoais, como endereços de e-mail e geolocalização. O vazamento foi descoberto pelos especialistas da vpnMentor, que recomendam a escolha de fornecedores renomados e confiáveis de VPN para proteger a privacidade dos usuários.

O Google anunciou a versão beta 0.1 do GUAC (Graph for Understanding Artifact Composition), um framework de código aberto para ajudar organizações a garantir a segurança de sua cadeia de suprimentos de software. O GUAC visa agregar metadados de segurança de software de diferentes fontes em um banco de dados de gráficos que mapeia as relações entre software, ajudando as organizações a determinar como uma peça de software afeta outra.

Empresas de logística, finanças e transporte em Israel foram alvo de ataques "watering hole" por um grupo de ameaças cibernéticas iraniano conhecido como Tortoiseshell. O método de ataque consiste em infectar um site frequentemente visitado por um grupo específico de usuários para distribuir malware. O código JavaScript malicioso injetado nos sites coleta informações do sistema e as envia para um servidor remoto.

O grupo de hackers estatal iraniano APT34 usou o malware PowerExchange para atacar servidores Microsoft Exchange. O backdoor permite que os atacantes executem comandos para entregar payloads maliciosos adicionais e exfiltrar arquivos colhidos. A ameaça é capaz de se comunicar com o servidor de controle e comando por meio de e-mails enviados usando a API do Exchange Web Services (EWS). A FortiGuard Labs vinculou esses ataques ao APT34 com base em semelhanças entre o PowerExchange e o malware TriFive que eles usaram para backdoor os servidores de organizações governamentais do Kuweit.