As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Um novo botnet baseado em Golang, chamado HinataBot, foi usado para realizar ataques distribuídos de negação de serviço (DDoS) em roteadores e servidores. A ameaça, que tem um nome inspirado em um personagem do anime Naruto, se aproveita de vulnerabilidades conhecidas em dispositivos como roteadores Huawei HG532 e servidores Hadoop YARN expostos. O botnet é capaz de entrar em contato com um servidor de comando e controle para ouvir instruções e executar ataques contra um endereço IP de destino por um período especificado. A ameaça está em constante evolução, com novas funcionalidades e medidas de segurança adicionadas para resistir à análise.

Agências governamentais dos Estados Unidos emitiram um alerta conjunto sobre a ameaça do ransomware LockBit 3.0, detalhando suas táticas, técnicas e procedimentos. O malware é usado como serviço (RaaS) e é uma continuação das versões anteriores LockBit 2.0 e LockBit. Desde que surgiu em 2019, os atores por trás do LockBit investiram esforços significativos para desenvolver e aprimorar o malware, lançando duas grandes atualizações. As agências FBI, CISA e MS-ISAC alertam que o LockBit é projetado para infectar apenas máquinas cujas configurações de idioma não se sobrepõem às especificadas em uma lista de exclusão.

Um malware de phishing de voz para Android chamado FakeCalls está mirando usuários sul-coreanos por meio de mais de 20 aplicativos financeiros populares. O malware imita conversas telefônicas com agentes de suporte ao cliente do banco e pede informações como número do cartão de crédito para qualificar o usuário para um empréstimo inexistente. O aplicativo malicioso também pede permissões intrusivas para colher dados sensíveis, incluindo transmissões de áudio e vídeo ao vivo do dispositivo comprometido, que são então exfiltrados para um servidor remoto. A empresa de segurança Check Point alerta que as mesmas táticas podem ser usadas em outras regiões do mundo.

Uma nova variante do malware FakeCalls está sendo usada em golpes de empréstimo falso, com a capacidade de mascarar o número dos golpistas para parecer que é do próprio banco. O golpe começa com phishing e termina com o roubo de dados financeiros e informações do cartão de crédito. Anúncios falsos, sites enganosos usando técnicas de SEO, mensagens e e-mails de phishing são a porta de entrada para a fraude, que oferece empréstimos com juros baixos. A versão analisada do FakeCalls também captura chamadas telefônicas e vídeos da tela do smartphone para obter mais dados. O malware já causou mais de US$ 600 milhões em prejuízos somente em 2020.

Um programador de 25 anos foi preso na Ucrânia por desenvolver um malware do tipo Trojan, que infectou mais de 10.000 computadores se passando por aplicativos de jogos. O criminoso tinha acesso em tempo real a 600 computadores infectados, de onde podia baixar arquivos, roubar credenciais, instalar ou excluir programas, tirar capturas de tela e interceptar som ou vídeo do microfone e câmeras do computador. O invasor acessava as contas de suas vítimas para roubar fundos eletrônicos, porém não está claro se eram depósitos bancários on-line ou ativos de criptomoedas. O suspeito enfrenta acusações criminais com pena máxima de 15 anos de prisão.

A NBA (National Basketball Association) notificou os fãs sobre uma violação de dados após algumas de suas informações pessoais, "mantidas" por um serviço de boletim informativo de terceiros, terem sido roubadas. Embora os sistemas da NBA não tenham sido invadidos, algumas informações pessoais dos fãs foram roubadas. A NBA está trabalhando com o provedor de serviços de terceiros como parte de uma investigação em andamento e contratou especialistas externos em segurança cibernética para analisar o escopo do impacto. Os fãs afetados foram alertados para tomar cuidado com ataques de phishing e vários golpes.

A Hitachi Energy confirmou ter sofrido um ataque de ransomware perpetrado pelo grupo Clop, que roubou dados usando uma vulnerabilidade zero-day no GoAnywhere MFT da Fortra. A empresa disse que desconectou o sistema afetado e iniciou uma investigação interna, mas afirmou que não há informações de que a segurança de sua rede ou dados de clientes tenham sido comprometidos. A vulnerabilidade foi divulgada pela primeira vez em fevereiro, e desde então, vários clientes da Fortra foram atacados pelo Clop e tiveram seus dados roubados.

A polícia dos EUA prendeu Connor Brian Fitzpatrick, conhecido como Pompompurin, dono do fórum de hacking BreachForums. Ele foi acusado de conspiração para solicitar indivíduos a vender dispositivos de acesso não autorizado. Fitzpatrick foi solto após pagamento de fiança e comparecerá ao Tribunal do Distrito do Distrito Leste da Virgínia no dia 24 de março. O fórum continuará operando normalmente, segundo um administrador. O BreachForums é usado por hackers e gangues de ransomware para vazar dados roubados e se tornou o maior fórum de vazamento de dados do tipo.

A empresa de segurança cibernética finlandesa WithSecure identificou um novo malware denominado SILKLOADER, que é usado para carregar o Cobalt Strike em máquinas infectadas. O SILKLOADER usa técnicas de carregamento lateral de DLL para entregar software de simulação de adversário comercial. A empresa observou que ameaças afiliadas aos ecossistemas de cibercrime chinês e russo estão usando o malware. A descoberta ocorre em um momento em que as capacidades de detecção aprimoradas contra o Cobalt Strike estão forçando os atores de ameaças a buscar opções alternativas ou construir novas maneiras de propagar o framework para evitar a detecção.

Criminosos estão usando sites falsos de aplicativos de mensagens instantâneas como o Telegram e o WhatsApp para distribuir malwares que infectam usuários de Android e Windows com um malware que rouba criptomoedas. As informações são de uma análise da empresa de segurança cibernética ESET. Esses malwares são capazes de interceptar conversas e substituir endereços de carteira de criptomoeda enviados e recebidos por endereços controlados pelos criminosos. Alguns malwares também usam reconhecimento óptico de caracteres (OCR) para roubar frases de semente. A campanha está direcionada a usuários de língua chinesa, já que o Telegram e o WhatsApp são bloqueados na China.

O grupo de criptojacking conhecido como TeamTNT é suspeito de estar por trás de uma nova cepa de malware usada para minerar criptomoedas Monero em sistemas comprometidos. A amostra foi encontrada pela Cado Security e está sendo usada como uma distração para esconder a detecção de exfiltração de dados. O grupo TeamTNT é conhecido por atacar ambientes em nuvem e contêineres para implantar mineradores de criptomoedas e já foi documentado em ataques desde 2019. Outros grupos, como WatchDog e Kiss-a-dog, também estão usando táticas semelhantes.

O Ministro da Justiça, Flávio Dino, requisitou que a Polícia Federal investigue as denúncias contra a Agência Brasileira de Inteligência (Abin) por espionagem de cidadãos brasileiros durante o governo Bolsonaro. O Ministério Público Federal também abriu procedimento para apurar o caso. A Abin confirmou o uso da ferramenta FirstMile para localizar pessoas pelo número de celular. O Poder Executivo removeu a agência da estrutura militar e transferiu sua gestão para a Casa Civil. As investigações podem configurar crimes contra a Administração Pública e de associação criminosa.

Uma pesquisa da empresa analítica FICO revelou que 22% dos brasileiros já foram vítimas de fraudes e golpes com pagamentos em tempo real, como o Pix. Dos entrevistados, 97% já usaram essa modalidade de pagamento, principalmente para enviar dinheiro para outras pessoas (88%) e negócios (74%). A rapidez e a facilidade são os principais motivos para o uso. As perdas entre os usuários que sofreram golpes vão de R$ 250 a mais de R$ 5 mil. A maioria (79%) recomenda a implementação de melhores sistemas de detecção de fraudes para ajudar a evitar esses crimes.

O Procon Paraná lançou a campanha #desligueotelefone como um alerta sobre golpes em ambiente virtual, incentivando as pessoas a desconectarem as chamadas de desconhecidos para evitar fraudes e não passar informações sensíveis a criminosos. A iniciativa é da Secretaria estadual da Justiça e Cidadania e orienta os consumidores a desligarem o telefone sempre que receberem ligações de alguém se passando por gerente ou funcionário de banco para evitar cair em golpes e informar dados confidenciais. A campanha pode ser adotada em todo o país.

O Brasil lidera o ranking global de dados expostos indevidamente, de acordo com o Relatório do Cenário de Ameaças de 2022 da empresa de segurança Tenable. Ao longo do ano, foram analisados 1.335 incidentes, nos quais foram expostos 257 terabytes de dados, sendo que 112 TB foram apenas no Brasil. A maioria dos ataques utilizou vulnerabilidades já conhecidas e documentadas, para as quais já havia correção. Ransomware segue como a principal ameaça no mercado, com 52% dos ciberataques registrados no Brasil envolvendo o malware. A administração pública foi o principal alvo, seguida pelo varejo e o setor financeiro e de seguros.

O Brasil é o quinto país mais atingido por uma nova campanha de contaminações pelo Emotet, um malware que agora se espalha a partir de documentos manipulados do Microsoft Office, enviados por e-mail e disfarçados de arquivos legítimos direcionados a empresas e organizações. Essa é a primeira vez que os criminosos que enviam o Emotet usam uma técnica conhecida como file pumping. O método consiste na inserção de bytes maliciosos em arquivos legítimos, nesse caso, os da suíte de aplicativos da Microsoft, como forma de escapar da detecção por softwares de segurança.

O grupo de ransomware BianLian mudou seu foco de criptografar arquivos para somente exfiltrar dados encontrados em redes comprometidas e usá-los para extorsão. A ameaça está listando vítimas em seu portal de extorsão em forma mascarada, dando a elas cerca de dez dias para pagar o resgate. A principal diferença nos ataques recentes é que o BianLian tenta monetizar seus ataques sem criptografar os arquivos das vítimas, em vez disso, agora depende exclusivamente de ameaçar vazar os dados roubados. O grupo promete que, depois de pago, não vazará os dados roubados ou revelará que a organização foi violada. A maioria das vítimas (71%) é composta por empresas baseadas nos EUA.

O malware Android "FakeCalls" está circulando novamente na Coreia do Sul, imitando chamadas telefônicas de mais de 20 organizações financeiras e tentando enganar os banqueiros para que revelem seus dados de cartão de crédito. O malware usa aplicativos bancários falsos que se passam por grandes instituições financeiras na Coreia, e a primeira etapa do ataque é a instalação do malware no dispositivo da vítima. O FakeCalls pode capturar transmissões de áudio e vídeo ao vivo do dispositivo comprometido e implementou várias técnicas de evasão para evitar a detecção. A vishing (phishing de voz) é um problema que custou às vítimas no país US$ 600 milhões em 2020.

A equipe de bug-huntintg de zero-day do Google, Project Zero, descobriu e relatou 18 vulnerabilidades zero-day nos chipsets Exynos da Samsung usados em dispositivos móveis, vestíveis e carros. Quatro dessas vulnerabilidades são as mais graves e permitem a execução remota de código da internet para a baseband. Os ataques podem ser realizados sem interação do usuário, com a única informação necessária sendo o número de telefone da vítima. A Samsung já forneceu atualizações de segurança para correção dessas vulnerabilidades, mas até que os patches estejam disponíveis, os usuários podem desativar o Wi-Fi calling e o VoLTE para remover o vetor de ataque.

Um grupo suspeito de hackers da China foi vinculado a uma série de ataques contra organizações governamentais, explorando uma vulnerabilidade zero-day da Fortinet ( CVE-2022-41328 ) para implantar malware. A falha de segurança permitiu que os criminosos virtuais implantassem payloads de malware executando códigos ou comandos não autorizados em dispositivos de firewall FortiGate não corrigidos. Os ataques ocorreram em meados de 2022 e foram atribuídos ao grupo UNC3886 rastreado pela Mandiant. As vítimas incluíram o DIB, governo, telecomunicações e tecnologia.