As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A Apple corrigiu uma vulnerabilidade ( CVE-2023-32369 ) que permitia que atacantes com privilégios de root contornassem a Proteção de Integridade do Sistema (SIP) para instalar malware "não deletável" e acessar dados privados dos usuários no macOS. A falha, descoberta pela equipe de segurança da Microsoft, foi corrigida na atualização de segurança do macOS Ventura 13.4, macOS Monterey 12.6.6 e macOS Big Sur 11.7.7. Ataques que contornam a SIP podem permitir que o malware tenha efeitos de longo alcance e permitir que os atacantes acessem dados do usuário sem consentimento.

Um novo malware para Android, chamado SpinOk, foi descoberto em vários aplicativos, muitos deles anteriormente no Google Play e baixados coletivamente mais de 400 milhões de vezes. O malware pode roubar dados privados armazenados nos dispositivos dos usuários e enviá-los para um servidor remoto. O SpinOk é distribuído como um SDK de publicidade e usa minijogos para gerar interesse dos usuários, mas também é capaz de listar arquivos em diretórios, procurar arquivos específicos, fazer upload de arquivos do dispositivo, copiar e substituir conteúdo da área de transferência e modificar senhas e dados de cartão de crédito.

A campanha de distribuição do malware RomCom está se intensificando, com os atacantes utilizando a estratégia de impessoalidade de sites famosos ou fictícios de software para enganar os usuários e levá-los a baixar e instalar arquivos maliciosos. Ameaça foi descoberta pela TrendMicro, que segue o malware desde o verão de 2022. Os ataques já foram associados a ransomware, espionagem e guerra cibernética.

Serviços de quebra de CAPTCHA estão sendo vendidos para contornar sistemas que diferenciam usuários legítimos do tráfego de bots, alertam pesquisadores de segurança cibernética. Esses serviços funcionam ao enviar as solicitações recebidas por meio de clientes para solucionadores humanos, que resolvem os problemas e enviam as respostas de volta aos usuários. Isso permite que os clientes dos serviços de quebra de CAPTCHA desenvolvam ferramentas automatizadas contra serviços da web online, tornando a filtragem de tráfego de bots por meio dos testes ineficaz. Além disso, os atores de ameaças estão comprando esses serviços e combinando-os com ofertas de software de proxyware para obscurecer o endereço IP de origem e evitar barreiras antibot.

O grupo de hackers Dark Pink APT continua ativo em 2023, visando organizações governamentais, militares e educacionais em países da Ásia-Pacífico. O grupo implementou novas ferramentas de exfiltração de dados e tentou evitar a detecção, mesmo após ter sido exposto em relatórios anteriores. A ameaça deve continuar atualizando suas ferramentas e diversificando seus métodos.

O malware AceCryptor está sendo usado para empacotar diversas variedades de malwares desde 2016, incluindo o SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, Stop ransomware e Amadey. Segundo a ESET, mais de 240.000 detecções do crypter foram identificadas em sua telemetria em 2021 e 2022. O AceCryptor é entregue por meio de instaladores trojanizados de software pirata, e-mails de spam com anexos maliciosos ou outros malwares que já comprometeram um host.

O grupo de hackers norte-coreano Lazarus está usando servidores web Windows Internet Information Services (IIS) vulneráveis para obter acesso às redes corporativas, segundo a AhnLab Security Emergency Response Center. Os pesquisadores sul-coreanos descobriram que o grupo usa vulnerabilidades ou configurações incorretas para criar arquivos no servidor IIS, permitindo a entrada na rede. O Lazarus é conhecido por suas atividades financeiras, que muitos acreditam ajudar a financiar os programas de desenvolvimento de armas da Coreia do Norte, além de ter sido envolvido em várias operações de espionagem.

Um novo trojan de acesso remoto de código aberto chamado DogeRAT mira usuários Android na Índia através de aplicativos legítimos falsos como Opera Mini, YouTube Premium, Netflix Premium e Instagram Premium. O malware ganha acesso não autorizado a dados sensíveis, como contatos, mensagens e credenciais bancárias, e pode controlar o dispositivo comprometido, permitindo ações maliciosas, como envio de spam, pagamentos não autorizados, modificação de arquivos e até mesmo captura de fotos remotamente por meio da câmera do dispositivo.

Pesquisadores descobrem técnica de ataque barata chamada BrutePrint, que permite a força bruta de impressões digitais em smartphones para contornar a autenticação do usuário e assumir o controle dos dispositivos, usando duas vulnerabilidades zero-day no framework de autenticação de impressão digital do smartphone. O ataque requer que o invasor já esteja em posse do dispositivo e de um banco de dados de impressões digitais, além de um conjunto de microcontrolador e auto-clicker que pode sequestrar dados enviados pelo sensor de impressão digital para realizar o ataque a partir de US$ 15.

MCNA Dental, provedor de seguro saúde e de cuidados odontológicos patrocinado pelo governo dos EUA, informou quase 9 milhões de pacientes que seus dados pessoais foram comprometidos em um ataque cibernético em 2023. Os hackers exigiram US$ 10 milhões para não divulgar 700 GB de informações confidenciais. A LockBit, um grupo de ransomware, reivindicou a responsabilidade pelo ataque e divulgou os dados em seu site. A empresa oferece um ano de proteção contra roubo de identidade e serviços de monitoramento de crédito gratuito para os pacientes afetados.

O projeto DeFi Jimbos Protocol, baseado na Arbitrum, sofreu um ataque de empréstimo relâmpago que resultou na perda de mais de 4000 tokens ETH, atualmente avaliados em mais de US$ 7,5 milhões. O ataque ocorreu apenas três dias após o lançamento do protocolo V2 da plataforma e a equipe está trabalhando com profissionais de segurança para remediar a situação. O preço do token jimbo caiu rapidamente após o ataque.

Um banco de dados com informações de mais de 478.000 membros do fórum de hackers RaidForums foi vazado por um dos administradores do novo fórum Exposed. O RaidForums era conhecido por hospedar, vazar e vender dados roubados de organizações violadas, e muitos dos membros do fórum eram ameaças cibernéticas que usavam essas informações para phishing, golpes de criptomoeda e distribuição de malware. Embora seja provável que a polícia já tenha acesso a esses dados depois que o RaidForums foi apreendido em 2022, a informação ainda pode ser útil para pesquisadores de segurança.

A partir do final deste ano, todos os usuários de projetos no repositório de software de terceiros PyPI serão obrigados a ativar a autenticação de dois fatores (2FA). A medida visa neutralizar as ameaças de ataques de takeover de conta, que permitem que um invasor distribua versões trojanizadas de pacotes populares para contaminar a cadeia de suprimentos de software e implantar malware em grande escala. Apenas os mantenedores de projetos e organizações serão afetados pela medida.

O malware QBot está abusando de uma vulnerabilidade de DLL hijacking no programa WordPad do Windows 10 para infectar computadores e evitar a detecção de software de segurança. O QBot é um malware que evoluiu de um trojan bancário para um dropper de malware e é usado por grupos de ransomware para ganhar acesso a redes corporativas. A infecção ocorre por meio de um link em um e-mail phishing que leva a um arquivo ZIP contendo o WordPad executável e um arquivo DLL malicioso, que é usado para realizar o DLL hijacking.

O Ministério da Indústria da Itália sofreu um "ataque cibernético pesado" na sexta-feira (26), deixando o portal e seus aplicativos fora do ar. O governo afirmou que os técnicos estão trabalhando para mitigar as consequências e que não há evidências de roubo de dados. O ministério está em contato com a Agência Nacional de Segurança Cibernética para minimizar a inconveniência aos cidadãos e empresas que dependem do sistema. Não há prazo para as atividades voltarem ao normal.

A Microsoft introduziu um novo recurso do Microsoft Defender chamado "modo de desempenho" para desenvolvedores no Windows 11, projetado para reduzir o impacto das varreduras de antivírus ao analisar arquivos armazenados em Dev Drives. A combinação de Dev Drives e Defender performance mode pode aumentar a velocidade de compilação em até 30%. O modo de desempenho só está disponível para Dev Drives e requer o Microsoft Defender Antivirus, Defender for Business ou Defender for Endpoint Plan 1 ou Plan 2.

A plataforma Expo, usada para desenvolver aplicativos universais nativos para Android, iOS e web, sofreu uma vulnerabilidade crítica de segurança no Open Authorization (OAuth). O problema, com gravidade 9,6 no sistema de classificação CVSS, tornou os serviços que usam a estrutura suscetíveis a vazamento de credenciais, o que poderia ser usado para sequestrar contas e roubar dados sensíveis. A falha foi corrigida pela Expo em fevereiro de 2023.

A empresa suíça de tecnologia ABB confirmou que sofreu um ataque de ransomware em 7 de maio, resultando em interrupções operacionais e projetos atrasados. A empresa afirmou que os atacantes roubaram dados de dispositivos comprometidos e notificarão indivíduos afetados. Embora a investigação ainda esteja em seus estágios iniciais, a ABB afirmou que nenhum sistema do cliente foi diretamente impactado. A empresa trabalha com o Departamento de Defesa dos EUA e agências civis federais, bem como com governos locais em todo o mundo.

Emby, um software de servidor de mídia, desligou remotamente um número não revelado de servidores de usuários hackeados devido a uma vulnerabilidade conhecida e configuração de conta de administrador insegura. Os invasores exploraram uma falha conhecida desde fevereiro de 2020 para obter acesso aos servidores e instalar um plugin malicioso que roubava as credenciais dos usuários. Emby planeja lançar uma atualização de segurança em breve.

O malware Bandit Stealer tem chamado a atenção dos pesquisadores de segurança cibernética por sua capacidade de atacar vários navegadores da web e carteiras de criptomoedas. O Bandit Stealer é distribuído por meio de e-mails de phishing contendo um arquivo dropper que abre um arquivo do Microsoft Word aparentemente inócuo como uma manobra de distração, enquanto desencadeia a infecção em segundo plano.