As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A Google obteve uma ordem judicial temporária nos Estados Unidos para interromper a distribuição e diminuir o crescimento do malware CryptBot, que infectou mais de 670 mil computadores em 2022, roubando dados sensíveis, como credenciais de autenticação, logins de mídias sociais e carteiras de criptomoedas. O CryptBot é tradicionalmente entregue por meio de versões maliciosamente modificadas de software legítimo e popular, como o Google Earth Pro e o Google Chrome, que são hospedados em sites falsos.

Um novo grupo de ciberespionagem de língua russa, denominado Paperbug, foi ligado a uma nova campanha de vigilância politicamente motivada que visa autoridades de alto escalão do governo, serviços de telecomunicações e infraestruturas de serviços públicos no Tajiquistão. A ameaça foi atribuída ao ator de ameaças conhecido como Octopus Nômade (também conhecido como DustSquad) e acredita-se que esteja envolvido em operações de vigilância cibernética. A motivação final por trás dos ataques ainda não está clara.

Um grupo de ameaças cibernéticas alinhado com a China, chamado Tonto Team, tem como alvo instituições sul-coreanas de educação, construção, diplomacia e política. O grupo está utilizando um arquivo relacionado a produtos anti-malware para executar seus ataques maliciosos. O Tonto Team tem uma longa lista de alvos na Ásia e Europa Oriental e utiliza o ReVBShell para baixar a segunda versão do Trojan de acesso remoto Bisonal.

Pesquisadores da Universidade de Glasgow, na Escócia, usaram câmeras térmicas e inteligência artificial para descobrir senhas a partir do rastro de calor deixado pelos dedos ao digitar em um teclado. Senhas de seis dígitos foram descobertas em 92% dos casos, enquanto senhas de 16 caracteres foram descobertas em 55% dos casos. A pesquisa alerta para a possibilidade de espionagem em locais públicos.

Um malware chamado Daam está sendo distribuído em sites suspeitos, que oferecem versões maliciosas de aplicativos para Android. O vírus é capaz de roubar dados, interceptar informações, desativar softwares de segurança, gravar chamadas telefônicas e tirar screenshots da tela. Também pode ser usado como ransomware, com ordens para sequestrar dados e cobrar resgate. Especialistas em segurança da CloudSEK alertam para a ampla capacidade do malware e recomendam baixar soluções apenas em lojas oficiais do sistema operacional e fabricante do celular.

Google baniu 173.000 contas de desenvolvedores em 2022 para bloquear operações de malware e fraudes em dispositivos Android, além de prevenir quase 1,5 milhão de apps vinculados a violações de políticas de alcançarem a Google Play Store. A equipe de segurança do Google Play Commerce também bloqueou transações fraudulentas e abusivas que poderiam ter levado a perdas de mais de US$ 2 bilhões. Desde 2019, a empresa afirma que seus esforços ajudaram a prevenir cerca de 500.000 apps submetidos para inclusão na Google Play Store de solicitar e acessar permissões sensíveis.

O grupo cibercriminoso RTM Locker está usando um criptografador Linux para invadir servidores VMware ESXi e encriptar dados empresariais. A operação de ransomware como serviço (RaaS) do RTM Locker foi descoberta recentemente e começou a recrutar afiliados, incluindo membros do antigo sindicato cibercriminoso Conti. O RTM Locker ameaça publicar dados roubados se o pagamento do resgate não for feito em 48 horas.

O malware de roubo de informações "Atomic" está sendo vendido em canais privados do Telegram por US$ 1.000 por mês, e tem como alvo sistemas macOS. Ele é capaz de roubar senhas, arquivos, cookies e cartões de crédito armazenados no navegador, além de informações de mais de 50 extensões de criptomoedas. O malware também oferece um painel da web para gerenciar as vítimas e outras ferramentas de ataque. O Atomic é uma ameaça ativa e só é detectado por um dos 59 motores de antivírus do VirusTotal.

Um conjunto de 38 jogos de imitação do Minecraft na Google Play infectou dispositivos com o adware Android "HiddenAds" para carregar anúncios em segundo plano e gerar receita para seus operadores. Os jogos foram baixados por cerca de 35 milhões de usuários Android em todo o mundo, principalmente nos Estados Unidos, Canadá, Coreia do Sul e Brasil. A descoberta foi feita pela equipe de pesquisa móvel da McAfee. Todos os aplicativos foram removidos da loja. Os usuários do Android devem verificar o relatório da McAfee para uma lista completa de aplicativos afetados e removê-los manualmente, se ainda não o fizeram.

A Microsoft confirmou que os servidores PaperCut foram explorados para entregar as famílias de ransomware Cl0p e LockBit. A equipe de inteligência de ameaças da empresa atribuiu alguns ataques a um ator financeiramente motivado rastreado sob o nome de Lace Tempest, que se sobrepõe a outros grupos de hackers como FIN11, TA505 e Evil Corp. O ator usou vulnerabilidades no PaperCut como parte de seu kit de ferramentas de ataque.

O grupo de estado iraniano conhecido como Charming Kitten está ativamente atacando várias vítimas nos EUA, Europa, Oriente Médio e Índia com um novo malware chamado BellaCiao. O BellaCiao é um "dropper" personalizado capaz de entregar outros payloads de malware em uma máquina vítima com base em comandos recebidos de um servidor controlado por atores. O grupo é conhecido por vários outros nomes, incluindo APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (née Phosphorus), TA453 e Yellow Garuda, e é associado ao Corpo de Guardiões da Revolução Islâmica (IRGC).

Professores são alvo de golpe em que criminosos se passam por advogados de sindicatos, informando sobre falsos pagamentos de restituições e precatórios. Contato é feito por WhatsApp ou e-mail e serve como isca para as vítimas realizarem pagamentos para a suposta liberação de valores que não existem. O sindicato alerta que escritórios de advocacia e Tribunais de Justiça não cobram valores para a liberação de precatórios ou restituições e que toda comunicação desse tipo é falsa e constitui golpe.

Golpistas estão usando o Linktree, serviço que permite compartilhar listas de links, para roubar credenciais empresariais do Office 365. Os usuários são levados a clicar em um link malicioso em uma falsa notificação de serviços da Microsoft, e são induzidos a inserir suas credenciais em uma página que simula a aparência do Office 365. A empresa de segurança Avanan alerta que o golpe pode ser difícil de detectar pelos serviços de segurança de e-mail.

A botnet Ramnit, um malware que infecta dispositivos para roubar informações financeiras e sequestrar contas de redes sociais, é um dos quatro maiores perigos para a América Latina, de acordo com relatórios da empresa de segurança ESET, com mais de 180 mil detecções durante os primeiros três meses de 2023. A botnet é uma rede de robôs virtuais utilizada por cibercriminosos para ataques massivos.

A polícia cibernética da Ucrânia prendeu um homem de 36 anos suspeito de vender dados pessoais e informações sensíveis de mais de 300 milhões de pessoas, incluindo cidadãos da Ucrânia e de vários países europeus, por meio do Telegram. Os compradores eram cidadãos russos que utilizaram moedas proibidas no território ucraniano para pagar pelos bancos de dados adquiridos. O homem enfrenta acusações criminais, podendo sofre no mínimo 5 anos de prisão.

O Google anunciou que irá adicionar criptografia de ponta a ponta aos backups de nuvem do Google Authenticator após pesquisadores alertarem usuários sobre a sincronização de códigos 2FA com suas contas do Google. A empresa afirmou que a segurança e privacidade de seus usuários são uma prioridade e que estão tomando cuidado ao implementar a criptografia de ponta a ponta em seus produtos para garantir que não haja perda de dados.

Uma vulnerabilidade crítica foi encontrada na plataforma de comércio eletrônico PrestaShop, permitindo que qualquer usuário do back-office faça alterações não autorizadas no banco de dados SQL, independentemente de suas permissões. A vulnerabilidade afeta todas as instalações do PrestaShop anteriores à versão 8.0.4 e 1.7.8.9, que foram lançadas ontem para corrigir o problema, juntamente com outras duas vulnerabilidades. Os usuários são aconselhados a atualizar seus sites o mais rápido possível.

A Cisco divulgou uma vulnerabilidade zero-day no software Prime Collaboration Deployment da empresa, que pode ser explorada para ataques de scripting entre sites. A falha foi descoberta na interface de gerenciamento baseada na web do Cisco PCD 14 e anteriores. A empresa lançará atualizações de segurança para abordar a vulnerabilidade no próximo mês.

O Google está derrubando a infraestrutura de malware ligada ao ladrão de informações Cryptbot depois de processar os responsáveis por infectar usuários do Chrome e roubar seus dados. A ação judicial visa a infraestrutura de distribuição da Cryptbot e a rede de distribuição, cuja interrupção ajudaria a diminuir o número de vítimas que têm suas informações sensíveis roubadas pelo malware.

Um grupo de ameaças do estado iraniano foi vinculado a uma nova onda de ataques de phishing direcionados a Israel, visando implantar uma versão atualizada de um backdoor do Windows chamado PowerLess. A Educação Manticore, como é conhecida, exibe "fortes sobreposições" com uma equipe de hackers conhecida como APT35, Charming Kitten, Cobalt Illusion, ITG18, Mint Sandstorm (anteriormente Fósforo), TA453 e Yellow Garuda. A campanha é direcionada à comunidade de pesquisa, com o suposto conteúdo acadêmico sobre o Iraque da Fundação Árabe de Ciência e Tecnologia (ASTF) como isca.