As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A Apple bloqueou quase 1,7 milhão de aplicativos perigosos em 2022, evitando transações fraudulentas no valor de mais de US$ 2 bilhões e a remoção de 282 milhões de contas de usuário e 105 milhões de perfis de desenvolvedores. A empresa detectou automaticamente violações de privacidade, aplicativos que não cumpriam as funcionalidades prometidas e soluções de gerenciamento financeiro e criptomoedas que poderiam se "transformar" em outros aplicativos. Mais de 100 mil aplicativos são revisados semanalmente, com 90% passando pelo crivo nas primeiras 24 horas.

A implementação em Golang do Cobalt Strike, chamada de Geacon, está atraindo a atenção de atores de ameaças que visam sistemas Apple macOS, de acordo com a SentinelOne. A empresa observou um aumento no número de payloads do Geacon aparecendo no VirusTotal nos últimos meses e alertou que, embora algumas sejam operações de "red teaming", outras têm características de ataques maliciosos genuínos. O Geacon é uma variante do Cobalt Strike que tem sido disponibilizada no GitHub desde fevereiro de 2020.

Um vazamento de dados expôs informações pessoais de 237 mil funcionários e ex-funcionários do governo dos EUA, após uma violação no sistema do Departamento de Transportes dos Estados Unidos (USDOT). A exposição ocorreu nos sistemas de processamento de benefícios de trânsito da TRANServe, que reembolsam funcionários do governo por custos de deslocamento. Até o momento, não se sabe quem é o responsável pela violação.

Milhões de smartphones Android de baixo custo vendidos na China estão infectados com vírus de fábrica, segundo a empresa de cibersegurança Trend Micro. Os malwares de roubo de dados são instalados diretamente no firmware e roubam credenciais e códigos de verificação em dois fatores que chegam por SMS. Pelo menos 10 fabricantes chinesas estão envolvidas, mas a lista completa não foi divulgada. A principal exploração envolve a instalação de plugins de proxy nos celulares.

O Google ampliou o suporte a linguagens de script no VirusTotal Code Insight, ferramenta de análise de código baseada em inteligência artificial. Além do PowerShell, o recurso agora reconhece scripts em Batch, Command Prompt, Shell, VBScript, AutoHotkey e Python. A capacidade de processamento dos arquivos também foi dobrada. O Code Insight analisa arquivos potencialmente maliciosos para descrever seu comportamento, facilitando a identificação de ameaças.

Grupos de hackers afiliados à Coreia do Norte roubaram US$ 721 milhões em criptomoedas do Japão desde 2017, de acordo com um estudo da Elliptic. Ao considerar empresas em todo o mundo, a Coreia do Norte roubou um total de US$ 2,3 bilhões em criptomoedas entre 2017 e 2022. A revelação vem após ministros das Finanças e governadores dos bancos centrais do G7 dizerem que apoiam medidas para combater ameaças crescentes de atividades ilícitas, como o roubo de criptoativos realizadas por "atores estatais".

Um novo grupo de ransomware chamado RA Group está atacando empresas farmacêuticas, de seguros, gestão de riqueza e manufatura nos Estados Unidos e Coreia do Sul. O grupo usa uma versão do ransomware Babuk e adota a tática de "double-extortion". Cada ataque apresenta uma nota de resgate escrita especificamente para a organização visada e o executável é nomeado após a vítima.

O mercado de malware de roubo de informações está em constante evolução, com várias operações de malware competindo por clientes, promovendo melhor evasão e aumento da capacidade de roubar dados de vítimas. A KELA compilou um relatório apresentando o aumento de variantes e operações de malware como serviço que cresceram substancialmente no primeiro trimestre de 2023, aumentando o risco associado para organizações e indivíduos.

O jornal Philadelphia Inquirer está trabalhando para restaurar seus sistemas após um ataque cibernético que afetou a rede no fim de semana e interrompeu a circulação da edição impressa. O Inquirer.com foi afetado de forma leve, com a publicação de histórias sendo impactada por atrasos intermitentes. A empresa contratou a Kroll para investigar e responder ao incidente cibernético. Ainda não está claro quem foram os atacantes e se eles tiveram acesso a informações sensíveis de clientes ou funcionários.

O Brasil lidera o ranking de credenciais vazadas por cibercriminosos em 2022, com mais de 74,9 milhões de entradas disponibilizadas, um crescimento de 290% em relação a 2021, segundo a empresa de cibersegurança Darktracer. O principal meio de disseminação dos stealers são os downloads fraudulentos, e medidas como verificação em duas etapas e senhas complexas ajudam na defesa.

Pesquisadores de cibersegurança descobriram uma campanha de phishing que usa um código PowerShell cheio de memes para distribuir o malware XWorm em sistemas de empresas de manufatura e clínicas de saúde na Alemanha. Os invasores usam documentos do Word para atacar a vulnerabilidade Follina, desativar o Microsoft Defender e estabelecer persistência nos sistemas. O XWorm é capaz de roubar informações sensíveis, realizar operações de DDoS e ransomware, além de espalhar-se via USB e baixar malware adicional. A origem exata do ator da ameaça ainda não foi identificada.

Hackers estão explorando ativamente uma vulnerabilidade recentemente corrigida no plugin Advanced Custom Fields do WordPress, apenas 24 horas após a divulgação de um exploit de prova de conceito (PoC). A vulnerabilidade de alta gravidade permite que atacantes não autenticados roubem informações e aumentem seus privilégios em sites WordPress afetados. Com mais de 1,4 milhão de sites usando o plugin afetado sem atualização, os administradores do WordPress são instados a aplicar o patch disponível imediatamente.

Servidores Microsoft SQL mal gerenciados estão sendo alvos de uma nova campanha de malware chamada CLR SqlShell, que facilita a implantação de mineradores de criptomoedas e ransomware. A técnica envolve a criação de procedimentos armazenados CLR para instalar o malware nos servidores MS SQL usando o comando xp_cmdshell. Os invasores estão aproveitando rotinas SqlShell para baixar cargas úteis de próxima geração, como Metasploit e mineradores de criptomoedas. Diferentes adversários também usaram o SqlShell para lançar ransomware, proxyware e outras atividades maliciosas.

A empresa de terceirização de processos de negócios Capita alertou aos clientes para assumirem que seus dados foram roubados em um ataque cibernético que afetou seus sistemas no início de abril. A empresa reconheceu que os hackers tiveram acesso a informações pessoais de cerca de 470.000 membros ativos, aposentados e diferidos, incluindo nomes, datas de nascimento, números do seguro nacional e números de membros da USS. A Capita espera incorrer em custos excepcionais relacionados ao incidente de abril de até £20 milhões (cerca de US$25 milhões).

Cinco vulnerabilidades de segurança foram descobertas nos roteadores Netgear RAX30 que, quando combinadas, permitem a execução remota de código. Os hackers podem redirecionar o tráfego para sites maliciosos, monitorar a atividade na internet do usuário ou até mesmo acessar dispositivos inteligentes conectados à rede. A Netgear lançou uma atualização de firmware para corrigir as falhas.

Um novo ransomware-as-service chamado MichaelKors tornou-se a última ameaça de malware de criptografia de arquivos a mirar sistemas Linux e VMware ESXi em abril de 2023, apontando para atores cibercriminosos cada vez mais definindo seus olhos no ESXi. A abordagem de jackpotting de hipervisor é usada por vários grupos de ransomware, incluindo Royal, Conti e REvil, que utilizaram o código-fonte vazado do Babuk em setembro de 2021 para desenvolver armários para hipervisores VMware ESXi.

O influenciador Dario Centurione alertou em suas redes sociais que sua voz foi clonada usando Inteligência Artificial (IA) para aplicar um golpe. Os criminosos enviaram uma mensagem ao pai do criador de conteúdo pedindo dinheiro e ele enviou R$ 600, via transferência Pix.

Um novo grupo de hackers está mirando setores governamentais, de aviação, educação e telecomunicações do Sudeste Asiático e Ásia do Sul, usando um backdoor chamado Merdoor em uma campanha altamente direcionada que começou em meados de 2022 e continuou no primeiro trimestre de 2023, segundo a Symantec. O backdoor é usado seletivamente, aparecendo em apenas um punhado de redes e um pequeno número de máquinas ao longo dos anos, e sua utilização parece ser altamente direcionada. O objetivo final da campanha, com base nas ferramentas e no padrão de vítimas, é a coleta de inteligência.

O navegador Brave está introduzindo uma nova função de "navegação esquecida" que impede que os sites o identifiquem em visitas subsequentes. A função irá limpar não apenas os cookies, mas também os dados locais e o cache do site quando ele for fechado. Os usuários podem ativar a "navegação esquecida" nas configurações do navegador para todos os sites ou apenas para uma lista específica de sites. A novidade estará disponível na versão 1.53 do Brave para desktop e na 1.54 para Android.

A plataforma de comunicação Discord notificou seus usuários sobre um vazamento de dados que expôs endereços de e-mail, mensagens trocadas com o suporte da plataforma e anexos enviados como parte dos tickets de suporte. O incidente ocorreu após a conta de um agente de suporte de terceiros ser comprometida. Discord desativou a conta imediatamente e realizou verificações de malware no computador afetado.