As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O Departamento de Justiça dos EUA anunciou a apreensão de 13 domínios ligados a plataformas de DDoS-for-hire, também conhecidas como serviços de "booter" ou "stressor". As apreensões fazem parte de um esforço internacional coordenado para interromper plataformas online que permitem que qualquer pessoa lance ataques distribuídos de negação de serviço maciços contra qualquer alvo por uma quantia em dinheiro.

Um golpe envolvendo QR codes levou uma mulher em Singapura a perder US$ 20.000 após escanear um código para preencher uma pesquisa em uma loja de chá. Os golpistas usaram um aplicativo de pesquisa falso para roubar credenciais bancárias da vítima. Casos de multas de estacionamento falsas com QR codes também foram relatados nos EUA e no Reino Unido.

Um grupo de ameaças cibernéticas conhecido como UAC-0006 está usando e-mails de phishing com iscas temáticas de faturas para distribuir o malware SmokeLoader na forma de um arquivo poliglota. O objetivo da campanha é roubar credenciais e realizar transferências não autorizadas de fundos. Enquanto isso, outro grupo conhecido como UAC-0165, que acredita-se ser o Sandworm Group, atacou organizações públicas ucranianas usando um novo malware de limpeza chamado RoarBAT e um script bash para comprometer sistemas Linux.

Shodan é uma ferramenta de pesquisa que concentra informações públicas de todos os dispositivos conectados à internet e pode ser usada para descobrir vulnerabilidades em dispositivos inteligentes, como câmeras de segurança e sistemas empresariais. No entanto, a ferramenta também é comum entre hackers e invasores, que podem planejar ataques com malwares e ransomwares. É importante ter conhecimentos básicos sobre TI para interpretar os dados do Shodan e proteger os dispositivos.

A operação de ransomware Akira está atacando empresas em todo o mundo, criptografando arquivos e exigindo milhões de dólares em resgate. Eles já atacaram 16 empresas em vários setores, incluindo educação, finanças e imóveis. O grupo também ameaça vender dados corporativos roubados se o resgate não for pago.

A Western Digital confirmou que hackers roubaram informações pessoais sensíveis dos clientes em um ataque cibernético em março. A empresa emitiu notificações de violação de dados e desativou sua loja online enquanto investiga o incidente. As informações roubadas incluíam nomes de clientes, endereços de cobrança e envio, endereços de e-mail e números de telefone. A Western Digital alertou os clientes afetados a serem vigilantes contra ataques de phishing.

Uma campanha de fraude financeira está visando clientes de bancos corporativos italianos, utilizando um novo kit de ferramentas chamado drIBAN desde 2019. O objetivo principal da operação é infectar estações de trabalho Windows dentro de ambientes corporativos para alterar transferências bancárias legítimas realizadas pelas vítimas, transferindo dinheiro para uma conta bancária ilegítima controlada pelos criminosos.

O grupo de ameaças persistentes avançadas (APT) Dragon Breath, que faz parte do Miuuti Group, adotou um novo mecanismo de DLL side-loading para tornar seus ataques mais complexos. A técnica consiste em um aplicativo limpo que carrega um segundo aplicativo limpo e, em seguida, carrega o DLL malicioso que executa o payload final. A campanha, que usa instaladores falsos do Telegram, LetsVPN e WhatsApp, tem como alvo principalmente a indústria de jogos online e jogos de azar. A Sophos observou tentativas de intrusão nas Filipinas, Japão, Taiwan, Singapura, Hong Kong e China, que foram todas mal sucedidas.

Malware FluHorse foi descoberto atacando usuários do leste asiático com aplicativos maliciosos que imitam versões legítimas, incluindo aplicativos de pedágio e bancários. O objetivo é roubar credenciais de contas, informações de cartão de crédito e códigos de autenticação de dois fatores. A campanha continua ativa, com novas infraestruturas e aplicativos maliciosos aparecendo a cada mês, alerta a Check Point Research.

Updates de segurança do Android lançados este mês corrigem uma vulnerabilidade grave explorada como zero-day para instalar spyware comercial em dispositivos comprometidos. A falha de segurança (rastreada como CVE-2023-0266 ) é uma fraqueza de uso após livre no subsistema de som do Kernel Linux que pode resultar em escalonamento de privilégios sem exigir interação do usuário. A vulnerabilidade foi explorada como parte de uma cadeia complexa de zero-day e n-days em uma campanha de spyware direcionada a telefones Android Samsung.

A empresa canadense de software Constellation Software confirmou que alguns de seus sistemas foram invadidos e dados pessoais e empresariais foram roubados por ameaças cibernéticas. A gangue de ransomware ALPHV alega ter invadido a rede da empresa e roubado mais de 1 TB de arquivos, ameaçando vazar os dados se a empresa recusar a negociação. A Constellation Software afirmou que o incidente foi limitado a um pequeno número de sistemas de relatórios financeiros internos e relacionados ao armazenamento de dados. A gangue ALPHV é considerada uma das principais ameaças de ransomware que visam empresas em todo o mundo.

Os plugins Advanced Custom Fields e Advanced Custom Fields Pro para WordPress, com milhões de instalações, estão vulneráveis a ataques XSS, alertam pesquisadores de segurança. A vulnerabilidade foi descoberta em maio de 2023 e pode permitir que um invasor não autenticado roube informações sensíveis e aumente seus privilégios em um site do WordPress afetado. A correção foi lançada na versão 6.1.6, mas 72,1% dos usuários ainda estão usando versões anteriores vulneráveis.

O grupo de ameaça patrocinado pelo Estado norte-coreano conhecido como Kimsuky foi descoberto usando uma nova ferramenta de reconhecimento chamada ReconShark como parte de uma campanha global contínua. A ferramenta é entregue ativamente a indivíduos específicos por meio de e-mails de spear-phishing, links do OneDrive que levam a downloads de documentos e a execução de macros maliciosas. O malware é capaz de exfiltrar detalhes sobre os processos em execução, mecanismos de detecção implantados e informações de hardware, sugerindo que os dados coletados da ferramenta são usados para realizar ataques de precisão envolvendo malware adaptado ao ambiente-alvo de uma maneira que evite a detecção.

O repositório de pacotes de software PHP Packagist foi comprometido por um invasor que acessou quatro contas inativas na plataforma para sequestrar mais de uma dúzia de pacotes com mais de 500 milhões de instalações até o momento. O atacante substituiu a descrição do pacote em composer.json com sua própria mensagem, mas não fez outras alterações maliciosas. Todos os pacotes foram restaurados em 2 de maio de 2023, mas o incidente destaca a importância de habilitar a autenticação de dois fatores (2FA) para proteger as contas.

Uma vulnerabilidade crítica no servidor PaperCut pode ser explorada para executar código arbitrário com privilégios de sistema, alertam pesquisadores de segurança. A vulnerabilidade, rastreada como CVE-2023-27350 , foi corrigida pela PaperCut em março de 2023, mas foi explorada por grupos de ameaças, incluindo atores de ransomware. A VulnCheck publicou um exploit de prova de conceito que contorna as detecções existentes, usando o recurso "User/Group Sync" do software de gerenciamento de impressão.

Três novas falhas de segurança foram descobertas no serviço Azure API Management da Microsoft, que poderiam ser exploradas por invasores para ter acesso a informações confidenciais ou serviços de back-end. As falhas incluem duas vulnerabilidades de falsificação de solicitação do lado do servidor e uma instância de funcionalidade de upload de arquivo não restrita no portal do desenvolvedor do API Management. Todas as três vulnerabilidades foram corrigidas pela Microsoft após a divulgação responsável.

A Kaspersky identificou 11 aplicativos com malware de assinatura, chamado Fleckpe, na Google Play Store, disfarçados de aplicativos de edição de fotos, câmera e papel de parede. O malware se concentra em usuários da Tailândia, mas a empresa de segurança russa também identificou vítimas na Polônia, Malásia, Indonésia e Cingapura. Desde 2022, os aplicativos foram baixados mais de 620.000 vezes. O malware usa suas permissões para se inscrever em serviços pagos em nome do usuário e pode ser usado para colher informações sensíveis ou como porta de entrada para outros malwares mais maliciosos.

A Cisco divulgou uma vulnerabilidade crítica no seu adaptador de telefone SPA112 2-Port, permitindo que um atacante execute código arbitrário no dispositivo sem autenticação. Como o SPA112 atingiu o fim de sua vida útil, a Cisco recomenda que ele seja substituído pelo adaptador de telefone analógico da série ATA 190, que tem data de fim de vida útil em 31 de março de 2024. A empresa não forneceu soluções para a vulnerabilidade CVE-2023-20126 .

A gangue de ransomware Avos sequestrou o sistema de alerta de emergência da Bluefield University, na Virgínia, para enviar alertas por SMS e e-mail informando que dados pessoais haviam sido roubados e seriam em breve divulgados, a menos que a universidade pagasse um resgate. A gangue também usou o sistema para fornecer instruções sobre como acessar seu site de vazamento de dados. A Bluefield University disse que ainda não encontrou evidências de abuso de dados dos alunos.

O grupo de hackers norte-coreano Kimsuky está usando uma nova versão do seu malware de reconhecimento, chamado ReconShark, em uma campanha de ciberespionagem global que agora mira organizações governamentais, centros de pesquisa, universidades e think tanks nos Estados Unidos, Europa e Ásia. O malware é distribuído por meio de e-mails de spear-phishing personalizados com links para documentos maliciosos no Microsoft OneDrive, que contêm macros ativadoras. O ReconShark coleta informações sobre o sistema infectado e exfiltra tudo para o servidor C2 via HTTP POST requests. Ele também é capaz de buscar payloads adicionais para dar ao Kimsuky um melhor controle sobre o sistema infectado.