As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de hackers patrocinado pelo Estado chinês, Earth Longzhi, ressurgiu com uma nova campanha de ciberespionagem depois de mais de seis meses sem atividade. Com foco em governos, saúde, tecnologia e entidades de fabricação em Taiwan, Tailândia, Filipinas e Fiji, o grupo usa a técnica BYOVD para desativar a segurança dos hosts e o "stack rumbling" para interromper a execução de aplicativos. A campanha também utiliza um dropper baseado em DLL chamado Roxwrapper para fornecer outro loader Cobalt Strike chamado BigpipeLoader.

A Meta, empresa proprietária do Facebook e Instagram, removeu centenas de perfis falsos usados por três grupos de hackers para atacar pessoas no sul da Ásia. Os hackers usaram engenharia social para convencer as pessoas a clicarem em links maliciosos, baixarem malwares ou compartilharem informações pessoais. Alguns dos ataques envolviam o uso de malwares de baixa sofisticação para driblar verificações de verificação de aplicativos estabelecidas pela Apple e Google. A Meta também desativou redes fraudulentas de notícias, grupos hacktivistas e ONGs que foram montadas para criar credibilidade.

Com a ajuda da inteligência artificial, o golpe do impostor, que simula sequestro de familiares, está se tornando cada vez mais comum em todo o mundo, com uma em cada quatro pessoas tendo sido impactada, segundo a empresa de segurança McAfee. Em 77% dos casos, houve perda de dinheiro, com uma em cada 10 vítimas afirmando terem sido fraudadas em mais de US$ 5 mil. A Índia é o país com maior incidência desse tipo de crime, seguido pelos Estados Unidos e pelo Reino Unido.

O grupo de hackers russo Sandworm foi vinculado a um ataque em redes estatais ucranianas, usando o programa WinRar para destruir dados em dispositivos governamentais. Os hackers usaram contas VPN comprometidas sem autenticação multifator para acessar sistemas críticos na rede do estado ucraniano. Uma vez dentro da rede, eles empregaram scripts que apagaram arquivos em máquinas Windows e Linux usando o programa de arquivamento WinRar. A CERT-UA recomenda que todas as organizações críticas no país reduzam sua superfície de ataque, corrijam falhas, desativem serviços desnecessários, limitem o acesso às interfaces de gerenciamento e monitorem o tráfego de rede e os logs.

O grupo de hackers APT-Q-27 está usando variações complexas da técnica de DLL sideloading para evadir detecção em ataques direcionados a usuários de língua chinesa no Windows. Os ataques usam aplicativos como o Telegram para carregar um payload de segundo estágio que, por sua vez, carrega um DLL malicioso. As vítimas são atraídas por aplicativos Trojanized promovidos por malvertizing. O backdoor resultante suporta vários comandos, incluindo roubo de criptomoedas.

Brightline, provedor de saúde mental infantil, sofreu um ataque de ransomware que expôs dados de 783.606 pessoas após a gangue Clop roubar informações usando uma vulnerabilidade zero-day em sua plataforma de compartilhamento de arquivos segura Fortra GoAnywhere MFT. O ataque foi parte de uma campanha maior que incluiu 130 empresas. A Brightline está oferecendo dois anos de serviços gratuitos de monitoramento de crédito e roubo de identidade para os afetados.

O Google está implementando o suporte a passkeys para contas do Google, permitindo que usuários façam login sem senha ou verificação em duas etapas. As passkeys funcionam localmente em cada dispositivo, permitindo o uso de autenticação biométrica ou PINs. A transição para autenticação sem senha melhorará a segurança online. Os passkeys também são apoiados pela Microsoft e Apple como padrão de autenticação sem senha.

Denis Gennadievich Kulkov, cidadão russo, foi indiciado pelo Departamento de Justiça dos EUA por operar um serviço de verificação de cartões de crédito roubados que gerou dezenas de milhões em receita. Kulkov é acusado de criar a plataforma Try2Check em 2005, usada por cibercriminosos no comércio ilegal de cartões de crédito. A plataforma foi derrubada na quarta-feira em uma operação conjunta entre os EUA, Alemanha, Áustria e França, e Kulkov enfrenta 20 anos de prisão se for condenado. O Departamento de Estado dos EUA ofereceu uma recompensa de US$ 10 milhões por informações que levem à captura de Kulkov.

A cidade de Dallas, no Texas, sofreu um ataque de ransomware da operação Royal, levando ao desligamento de alguns sistemas de TI para impedir a propagação do ataque. Os sistemas de comunicação e TI da polícia foram desligados, e os despachantes do 911 tiveram que anotar relatórios recebidos para os oficiais, em vez de enviá-los pelo sistema de despacho assistido por computador. O sistema de tribunais também cancelou todos os julgamentos do júri e do dever do júri de 2 a 4 de maio por causa do ataque.

O Facebook descobriu um novo malware de roubo de informações chamado 'NodeStealer', distribuído no Meta, que permite que os cibercriminosos roubem cookies do navegador para sequestrar contas na plataforma, bem como contas do Gmail e do Outlook. A captura de cookies que contêm tokens de sessão de usuário válidos é uma tática que está crescendo em popularidade entre os cibercriminosos, permitindo que eles sequestrarem contas sem precisar roubar credenciais ou interagir com o alvo. O Facebook interrompeu a operação e ajudou os usuários afetados a recuperar suas contas.

O Brasil é o segundo país mais atingido por ransomware no mundo, de acordo com a Trend Micro, com 29,9% de todos os ataques registrados em 2022, enquanto o volume geral de ameaças cibernéticas atingiu seu maior patamar desde 2016, com 146 bilhões de incidentes. Empresas de médio porte são cada vez mais alvo, e o valor médio pago pelas empresas após sofrerem um ataque de ransomware teve queda de 20% no último trimestre de 2022.

A Meta, empresa responsável pelo Facebook, alertou para o aumento de malwares disfarçados de ChatGPT ou softwares de inteligência artificial com funções semelhantes ao chatbot. Desde março, cerca de 10 famílias de malwares e mil links maliciosos foram divulgados como ferramentas relacionadas ao chatbot de IA. A Meta promete medidas de segurança para coibir essas ações.

Três vulnerabilidades foram descobertas na implementação de software do Border Gateway Protocol (BGP) da FRRouting, utilizado por fornecedores como NVIDIA Cumulus, DENT e SONiC. As falhas podem ser exploradas para criar um ataque de negação de serviço (DoS) em pares BGP vulneráveis. A exploração consiste em enviar uma mensagem BGP OPEN especialmente criada para derrubar a sessão BGP e as tabelas de roteamento, tornando o par inativo. A Forescout Vedere Labs descobriu as falhas na análise de sete implementações diferentes de BGP.

O malware BouldSpy, possivelmente utilizado pelo governo iraniano, foi usado para espionar mais de 300 indivíduos pertencentes a grupos minoritários. O spyware é capaz de acessar o histórico do navegador da web, fotos, lista de contatos, logs de SMS, captura de tela, conteúdo da área de transferência, áudio do microfone e gravações de chamadas de vídeo. O BouldSpy é instalado nos dispositivos das vítimas por meio de acesso físico, possivelmente confiscado após detenção.

A 1Password, empresa de gerenciamento de senhas, explicou que um recente incidente que causou notificações errôneas de mudança de senhas em dispositivos de clientes nos Estados Unidos não foi resultado de uma violação de segurança, mas sim de uma interrupção temporária no serviço. O CTO da 1Password, Pedro Canahuati, afirmou que os dados dos clientes não foram afetados. A empresa usará os dados coletados para entender a causa raiz e melhorar os processos de migração de bancos de dados e tratamento de erros.

Nove sites de troca de criptomoedas utilizados para lavagem de dinheiro por cibercriminosos foram apreendidos pelo FBI e pela polícia ucraniana. As plataformas permitiam a conversão anônima de criptomoedas em moedas mais difíceis de serem rastreadas, facilitando a lavagem de dinheiro dos criminosos. As apreensões foram feitas com a ajuda do Virtual Currency Response Team e de promotores legais da Ucrânia. As operações de lavagem de dinheiro por meio de criptomoedas representam um grande desafio para as autoridades e têm sido alvo de várias ações recentes.

O ícone de cadeado que indicava segurança em sites será substituído por um novo ícone que não implica que um site seja seguro ou confiável, segundo o Google. A mudança ocorre porque mais de 99% das páginas da web já são carregadas no Google Chrome sobre HTTPS, tornando o ícone obsoleto. O novo ícone será lançado no Chrome 117 em setembro de 2023. O ícone de cadeado continuará aparecendo no submenu 'tune' quando as conexões do site forem seguras.

Hackers estão explorando uma vulnerabilidade de autenticação em dispositivos TBK DVR desprotegidos, usados para armazenar imagens de câmeras de segurança. A falha crítica CVE-2018-9995 permite que invasores ignorem a autenticação e obtenham acesso administrativo, levando ao acesso às imagens das câmeras. FortiGuard Labs relatou um aumento nas tentativas de invasão usando o exploit PoC publicamente disponível. O CVE-2018-9995 afeta os modelos TBK DVR4104 e TBK DVR4216, bem como modelos vendidos sob outras marcas. Não há atualização de segurança disponível, então a Fortinet recomenda substituir os sistemas vulneráveis ou isolá-los da internet.

Hackers roubaram 214.000 tokens LVL da exchange descentralizada Level Finance, trocando-os por 3.345 BNB, no valor de aproximadamente US$ 1,1 milhão. Embora a empresa tenha afirmado que o ataque não afetou o pool de liquidez e o tesouro DAO, o token LVL perdeu cerca de 50% de seu valor imediatamente após o ataque. A vulnerabilidade foi encontrada em um contrato inteligente e permitiu que o hacker reivindicasse recompensas múltiplas de referência.

A operação internacional de aplicação da lei 'SpecTor' prendeu 288 vendedores e clientes da dark web em todo o mundo, apreendendo €50,8 milhões ($55,9M) em dinheiro e criptomoedas. A operação se concentrou em um mercado conhecido como Monopoly Market, que vendia drogas para clientes em todo o mundo em troca de Bitcoin e Monero. A maioria dos vendedores e compradores presos era dos EUA, Reino Unido e Alemanha. A operação foi coordenada pela Europol e pelo FBI e envolveu a polícia em vários países.