As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo chinês Camaro Dragon, ligado a atividades de espionagem, foi relacionado a um novo backdoor chamado TinyNote. Distribuído com nomes relacionados a assuntos estrangeiros, o malware é capaz de contornar o antivírus indonésio Smadav e estabelecer métodos redundantes de acesso a servidores comprometidos. O grupo é conhecido por se sobrepôr ao Mustang Panda, outro grupo chinês patrocinado pelo estado que está ativo desde pelo menos 2012.

Pesquisadores de segurança cibernética identificaram Nguyen Huu Tai como um possível membro do grupo de cibercrime XE, que realiza atividades criminosas desde pelo menos 2013. O grupo é suspeito de ser originário do Vietnã e visa organizações governamentais, de construção e de saúde. Ele compromete servidores expostos na internet com exploits e instala código de roubo de senhas ou skimming de cartão de crédito. O XE Group já tentou obter acesso a redes corporativas anteriormente por meio de e-mails de phishing enviados usando domínios fraudulentos que imitam empresas legítimas.

Criminosos estão usando a extensão ZIP para criar golpes de phishing que simulam janelas do WinRAR e do Windows para roubar credenciais ou infectar computadores com malware. O kit de phishing é chamado de File Archivers in the Browser e leva os usuários a sites fraudulentos que simulam o processo de descompactação de um arquivo. Especialistas alertam os usuários a não clicarem em links que chegam por mensagem de texto ou e-mail, especialmente se fizerem referência a arquivos ou aplicativos conhecidos.

A Harvard Pilgrim Health Care sofreu um ataque ransomware em abril de 2023 que afetou 2.550.922 pessoas e resultou no roubo de dados sensíveis de sistemas comprometidos. A organização não lucrativa de serviços de saúde com sede em Massachusetts divulgou as informações ao Departamento de Saúde e Serviços Humanos dos EUA. Os dados roubados incluem informações médicas, financeiras e pessoais. A HPHC está oferecendo serviços de proteção contra roubo de identidade e monitoramento de crédito para os indivíduos afetados.

A empresa de cibersegurança russa Kaspersky descobriu que alguns iPhones foram hackeados usando uma vulnerabilidade do iOS que instalou malware por meio de explorações zero-click do iMessage. A campanha, chamada de Operação Triangulação, começou em 2019 e continua em andamento, embora a Apple possa ter corrigido a vulnerabilidade usada na última versão do iOS. A agência de inteligência e segurança russa FSB alegou que a Apple forneceu à NSA dos EUA um backdoor para infectar iPhones com spyware na Rússia, mas não forneceu nenhuma prova.

O Google anunciou que recompensará com três vezes mais o valor padrão os caçadores de recompensas que encontrarem vulnerabilidades no navegador Chrome até 2023. A iniciativa visa incentivar pesquisadores de segurança a identificar e relatar falhas que possam ajudar os cibercriminosos a comprometer os mecanismos de segurança do Chrome. O bônus é válido para a primeira exploração de cadeia completa e funcional.

Hackers estão explorando uma vulnerabilidade zero-day no software de transferência de arquivos MOVEit Transfer para roubar dados de organizações. A Ipswitch, uma subsidiária da Progress Software Corporation, desenvolveu o MOVEit Transfer como uma solução de transferência de arquivos gerenciada (MFT) que permite às empresas transferir arquivos com segurança entre parceiros e clientes usando SFTP, SCP e uploads baseados em HTTP. A vulnerabilidade, que não teve informações detalhadas divulgadas, permite a execução remota de código. A Progress Software Corporation divulgou um aviso de segurança alertando sobre a vulnerabilidade crítica.

Pesquisadores descobriram um novo ataque ao repositório Python Package Index (PyPI) que utiliza código Python compilado para evitar a detecção por ferramentas de segurança de aplicativos. O ataque, identificado como fshec2, foi removido do registro de software de terceiros em 17 de abril de 2023, após divulgação responsável. Os arquivos PYC compilados são gerados pelo interpretador Python quando um programa Python é executado.

Um grupo de ameaças financeiramente motivadas está procurando instâncias desprotegidas do Apache NiFi na internet para instalar silenciosamente um minerador de criptomoedas e facilitar a movimentação lateral. A descoberta vem do SANS Internet Storm Center (ISC), que detectou um pico em solicitações HTTP para "/ nifi" em 19 de maio de 2023. O grupo de ameaças está usando o malware Kinsing para realizar seus ataques.

Pesquisadores de segurança cibernética encontraram um comportamento parecido com backdoor em sistemas da Gigabyte, que permite que o firmware UEFI dos dispositivos deixe um executável do Windows e busque atualizações em um formato inseguro. A empresa já reconheceu e resolveu o problema, que afeta cerca de 364 sistemas Gigabyte, com uma estimativa de 7 milhões de dispositivos.

O grupo responsável pelo ransomware BlackCat lançou uma nova versão chamada Sphynx, que prioriza velocidade e furtividade para evitar a detecção. O Sphynx incorpora código lixo e strings criptografadas, reorganiza os argumentos da linha de comando e usa um carregador para descriptografar o payload do ransomware. O BlackCat é o primeiro ransomware baseado na linguagem Rust a ser detectado e atingiu mais de 350 alvos desde novembro de 2021. O grupo também usa um esquema de extorsão dupla para roubar dados sensíveis antes de criptografá-los.

O Kali Linux 2023.2, distribuição de hackers éticos, inclui uma imagem pré-configurada do Hyper-V e 13 novas ferramentas, além de um novo subsistema de áudio PipeWire e atualizações para os ambientes de desktop Xfce e Gnome. A nova imagem Hyper-V é configurada para o modo de sessão aprimorada e permite que os usuários se conectem à máquina virtual usando o Protocolo de Área de Trabalho Remota (RDP). Entre as novas ferramentas está o framework Evilginx para roubo de credenciais e cookies de sessão.

Um ator conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que pode supostamente encerrar qualquer plataforma de antivírus, XDR e EDR. No entanto, a CrowdStrike diz que é apenas um ataque BYOVD sofisticado. A ferramenta é capaz de contornar 24 soluções de segurança diferentes, incluindo o Windows Defender, mas é detectada por uma única ferramenta de verificação de malware no momento. O preço varia de US$ 300 a US$ 3.000.

O trojan de acesso remoto SeroXen tem sido utilizado por cibercriminosos devido à sua baixa taxa de detecção e alto poder de ataque. Vítimas da ferramenta incluem a comunidade de jogos, mas a sua popularidade pode se estender para grandes empresas e organizações. O malware é vendido como uma ferramenta legítima de acesso remoto para Windows 10 e 11, por US$ 15/mês ou em pagamento único de US$ 60.

A Toyota descobriu duas nuvens mal configuradas que vazaram informações pessoais de proprietários de carros por mais de sete anos. A primeira instância expôs informações de clientes da Toyota na Ásia e Oceania, enquanto a segunda continha dados menos sensíveis relacionados aos sistemas de navegação dos veículos. A Toyota diz que implementou um sistema para monitorar regularmente as configurações de nuvem e banco de dados para evitar vazamentos no futuro.

Foi publicado um exploit de prova de conceito para a vulnerabilidade CVE-2023-33733 que afeta a biblioteca Python ReportLab Toolkit, que é usada para gerar arquivos PDF a partir de entrada HTML. A vulnerabilidade permite a execução remota de código e pode ser explorada incorporando código malicioso em um arquivo HTML que será convertido em PDF pelo software que usa a biblioteca. A vulnerabilidade foi corrigida na versão 3.6.13 da biblioteca.

Falhas de segurança foram descobertas nos alto-falantes sem fio Sonos One (rastreadas como CVE-2023-27352 , CVE-2023-27355 , CVE-2023-27353 e CVE-2023-27354 ), podendo ser exploradas para divulgação de informações e execução remota de código. As vulnerabilidades foram demonstradas por três equipes diferentes no concurso de hacking Pwn2Own, com recompensas monetárias de US$ 105.000. As falhas foram corrigidas pela Sonos em suas versões de software S2 e S1.

A empresa de segurança Barracuda revelou que um bug de zero-day foi explorado por pelo menos sete meses para backdoor os dispositivos Email Security Gateway dos clientes com malware personalizado e roubar dados. A vulnerabilidade foi identificada em 19 de maio e corrigida em 20 de maio. A investigação em andamento descobriu que o bug foi explorado pela primeira vez em outubro de 2022. Barracuda diz que seus produtos são usados por mais de 200.000 organizações, incluindo empresas de alto perfil como Samsung, Delta Airlines, Mitsubishi e Kraft Heinz.

A empresa de desenvolvimento WordPress, Automattic, iniciou a instalação forçada de um patch de segurança em milhões de sites para corrigir uma vulnerabilidade crítica no plug-in Jetpack. Jetpack é um plug-in popular que fornece melhorias de gerenciamento de desempenho e segurança para sites WordPress. A vulnerabilidade, descoberta durante uma auditoria de segurança interna, poderia ser usada por autores em um site para manipular quaisquer arquivos na instalação do WordPress. O patch de segurança já foi instalado em mais de 4.130.000 sites.

O plugin premium do WordPress 'Gravity Forms' é vulnerável à injeção de objeto PHP não autenticada, afetando todas as versões abaixo da 2.7.4. A falha permite a injeção de objetos PHP arbitrários na aplicação, o que pode levar a acesso e modificação de arquivos, exfiltração de dados de usuários, execução de código e mais. Proprietários do site são aconselhados a aplicar a atualização de segurança o mais rápido possível.