As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de ransomware Play desenvolveu duas ferramentas personalizadas em .NET para melhorar a eficácia de seus ataques cibernéticos. As ferramentas, chamadas Grixba e VSS Copying Tool, permitem que invasores enumerem usuários e computadores em redes comprometidas, coletem informações sobre software de segurança, backup e administração remota e copiem facilmente arquivos do Volume Shadow Copy Service (VSS). Desde o início do ano, o Play ransomware atacou várias vítimas de alto perfil.

Hackers patrocinados pelo estado russo estão usando uma falha antiga no SNMP em roteadores Cisco IOS para implantar um malware personalizado chamado Jaguar Tooth, que permite acesso não autenticado ao dispositivo. As agências de segurança cibernética dos EUA e do Reino Unido recomendam que os administradores atualizem seus roteadores para a versão mais recente do firmware para mitigar esses ataques. Além disso, eles recomendam mudar de SNMP para NETCONF / RESTCONF para gerenciamento remoto em roteadores públicos, pois oferece segurança e funcionalidade mais robustas.

Foi descoberta uma nova vulnerabilidade crítica no sandbox JavaScript VM2, que é amplamente utilizado em ferramentas de desenvolvimento e segurança. A falha, rastreada como CVE-2023-30547 , permite que os invasores executem código malicioso fora do ambiente sandboxed. Todos os usuários, mantenedores de pacotes e desenvolvedores que utilizam a biblioteca VM2 são recomendados a atualizar para a versão 3.9.17 o mais rápido possível.

O grupo de hackers iraniano Mint Sandstorm, ligado ao Corpo de Guardiões da Revolução Islâmica, está realizando ataques cibernéticos contra infraestruturas críticas dos EUA, em retaliação a ataques recentes contra a infraestrutura do Irã. A Microsoft acredita que o governo iraniano está dando mais liberdade para que grupos patrocinados pelo Estado realizem ataques, levando a um aumento geral nos ciberataques. O grupo usa exploits de vulnerabilidades conhecidas e realiza ataques de phishing com links para arquivos maliciosos. A Microsoft recomenda o uso de regras de redução de superfície de ataque e a aplicação de atualizações de segurança o mais rápido possível.

A Google lançou uma atualização de segurança para o navegador Chrome para corrigir a segunda vulnerabilidade zero-day explorada em ataques este ano. A atualização está disponível apenas para usuários do Windows e Mac, com a versão Linux a ser lançada em breve. A vulnerabilidade, CVE-2023-2136 , é considerada de alta gravidade e permite a execução arbitrária de código, levando ao acesso não autorizado ao sistema.

A análise da Group-IB revelou que o grupo de ameaças cibernéticas MuddyWater, do Irã, usou o software de suporte remoto SimpleHelp para garantir persistência em dispositivos vítimas em junho de 2022. A ameaça é avaliada como um elemento subordinado do Ministério de Inteligência e Segurança do Irã (MOIS). O MuddyWater já usou as ferramentas ScreenConnect, RemoteUtilities e Syncro em ataques anteriores.

A empresa israelense de spyware QuaDream está supostamente encerrando suas operações após a exposição de seu conjunto de ferramentas de hackers pelo Citizen Lab e Microsoft. A empresa é conhecida por especializar-se em dispositivos Apple usando infecções "zero-click". A empresa está supostamente em uma situação difícil há vários meses e, segundo fontes não identificadas, está procurando vender sua propriedade intelectual.

O grupo de hackers patrocinado pelo Estado chinês APT41 foi encontrado abusando da ferramenta de red teaming GC2 (Google Command and Control) em ataques de roubo de dados contra uma mídia taiwanesa e uma empresa de busca de emprego italiana. A GC2 é um projeto de código aberto escrito em Go que foi projetado para atividades de red teaming. O agente implantado em dispositivos comprometidos se conecta a um URL do Google Sheets para receber comandos a serem executados.

O malware QBot, que fornece acesso inicial a redes corporativas para outros criminosos, agora é distribuído por e-mails de phishing com anexos em PDF e arquivos de script do Windows. O QBot é capaz de baixar outros malwares, como o Cobalt Strike, para permitir que outros criminosos acessem sistemas comprometidos e roubar dados ou implantar ransomware. Empresas devem ficar atentas e tomar medidas para proteger seus sistemas.

O trojan Chameleon tem como alvo usuários da Austrália e da Polônia, se disfarçando da criptomoeda CoinSpot e do banco IKO. Ele rouba credenciais de usuários, SMS e cookies, e evita a detecção de softwares de segurança. O malware usa o serviço de acessibilidade para ganhar permissões adicionais e impedir a desinstalação. É aconselhável baixar aplicativos apenas de lojas oficiais e garantir que o Google Play Protect esteja sempre ativado.

Membros antigos do ransomware Conti se uniram aos atores da ameaça FIN7 para distribuir uma nova família de malware chamada "Domino" em ataques a redes corporativas. O malware consiste em um backdoor e um loader que injeta um DLL de roubo de informações na memória de outro processo. A IBM atribuiu o desenvolvimento do malware à gangue de hackers FIN7, que está ligada a uma variedade de malware e operações de ransomware. Os defensores enfrentam uma teia confusa de atores de ameaças, todos com malware permitindo acesso remoto às redes.

A ferramenta de gerenciamento remoto Action1 está sendo cada vez mais utilizada por cibercriminosos para executar comandos, scripts e binários em redes comprometidas, alertam pesquisadores de segurança. Embora seja amplamente usada por empresas e provedores de serviços gerenciados, a plataforma pode ser explorada por ameaças para implantar malware ou ganhar persistência em redes. A empresa por trás da ferramenta está trabalhando em novas medidas para evitar o uso indevido e se coloca à disposição de autoridades e vítimas de ataques.

O malware Goldoson infiltrou a Google Play por meio de 60 aplicativos legítimos, com um total de 100 milhões de downloads. O malware é parte de uma biblioteca de terceiros usada por todos os aplicativos afetados e pode coletar dados sobre aplicativos instalados, dispositivos conectados por Wi-Fi e Bluetooth e locais GPS do usuário, além de realizar fraudes em anúncios. A Google removeu os aplicativos não conformes da loja e os usuários devem atualizar seus aplicativos afetados.

O grupo de ransomware LockBit criou encryptadores específicos para o macOS, o que pode torná-lo o primeiro grande operador de ransomware a visar especificamente a plataforma. No entanto, os especialistas acreditam que os encryptadores ainda não estão prontos para serem implantados em ataques reais. O especialista em cibersegurança Patrick Wardle disse que a LockBit precisa primeiro "descobrir como passar pelo TCC, obter a aprovação" antes que o encryptador possa ser funcional.

O grupo APT29 (também conhecido como Cozy Bear), ligado à Rússia, está sendo atribuído a uma campanha de espionagem cibernética em andamento que visa ministérios estrangeiros e entidades diplomáticas em estados membros da OTAN, União Européia e África. A atividade compartilha sobreposições táticas com um cluster rastreado pela Microsoft como Nobelium, conhecido por um ataque de alto perfil à SolarWinds em 2020.

A plataforma de ponto de venda Aloha, da NCR, está enfrentando uma interrupção após um ataque de ransomware do grupo BlackCat/ALPHV. Embora a NCR tenha afirmado que o ataque afetou um número limitado de aplicativos Aloha, os clientes afirmaram que a interrupção causou problemas significativos em suas operações comerciais. O grupo de ransomware ameaçou divulgar as credenciais dos clientes da NCR se um resgate não fosse pago. Esta operação de ransomware é uma das mais significativas em atividade atualmente.

Golpistas estão usando inteligência artificial para simular a voz de vítimas em sequestros falsos. Um caso recente ocorrido no Arizona, EUA, envolveu uma mãe que recebeu uma ligação com a suposta voz da filha em prantos, pedindo ajuda, enquanto um homem anunciava o sequestro e exigia US$ 50 mil pelo resgate. A polícia foi acionada e confirmou que a vítima estava segura. Especialistas alertam que bastam três segundos de amostra de áudio para clonar a entonação e emoção de uma voz usando IA.

A agência de segurança cibernética dos EUA (CISA) emitiu um alerta sobre uma vulnerabilidade de alta gravidade no Android que teria sido explorada pelo aplicativo chinês de comércio eletrônico Pinduoduo como um zero-day para espionar seus usuários. O Google corrigiu a falha de segurança em atualizações de segurança lançadas em março, mas a CISA adicionou a vulnerabilidade à sua lista de Vulnerabilidades Conhecidas Exploradas. Agências federais dos EUA têm até 4 de maio para corrigir seus dispositivos contra a vulnerabilidade CVE-2023-20963 .

O malware de roubo de credenciais Zaraza bot está sendo vendido no Telegram e usa o serviço de mensagens como um sistema de comando e controle. O malware é capaz de atingir até 38 diferentes navegadores da web e enviar as informações roubadas para um servidor Telegram, onde os hackers podem acessá-las imediatamente. Acredita-se que o Zaraza bot esteja sendo oferecido como uma ferramenta comercial a outros cibercriminosos mediante assinatura.

Hackers invadiram os sistemas da fabricante Western Digital e roubaram cerca de 10 TB de dados, incluindo informações pessoais de clientes. O grupo está pedindo um alto valor em dinheiro para não divulgar publicamente as informações e ameaça causar mais danos caso não seja feito o pagamento. A empresa confirmou um "incidente de segurança" em abril, mas não havia confirmou se dados foram roubados.