As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O plugin "Essential Addons for Elementor", usado por mais de um milhão de sites WordPress, foi encontrado com uma vulnerabilidade de escalonamento de privilégios que permite atacantes remotos obterem direitos de administrador do site. A falha foi corrigida na versão 5.7.2 do plugin e os usuários são recomendados a atualizar o mais rápido possível.

Organizações governamentais na Ásia Central são alvo de uma campanha de espionagem sofisticada que utiliza uma cepa de malware anteriormente não documentada, chamada DownEx. A Bitdefender detectou a atividade, com indícios apontando para a participação de atores ameaçadores sediados na Rússia. O malware foi detectado pela primeira vez em um ataque altamente direcionado a instituições governamentais estrangeiras no Cazaquistão no final de 2022.

Pelo menos nove famílias diferentes de ransomware foram desenvolvidas a partir do código vazado do Babuk, com capacidade de atacar sistemas VMware ESXi. Vários grupos de cibercrime têm como alvo os hypervisors ESXi e, desde o início do ano, pelo menos três variantes de ransomware - Cylance, Rorschach (também conhecido como BabLock) e RTM Locker - surgiram com base no código vazado do Babuk. A pesquisa da SentinelOne identificou sobreposições de código-fonte entre Babuk e ESXi lockers atribuídos a Conti e REvil, entre outros.

Pesquisadores de segurança cibernética descobriram uma falha de segurança no Windows MSHTML que permitia a um invasor driblar proteções de integridade em máquinas-alvo. A vulnerabilidade, que foi corrigida pela Microsoft em maio de 2023. A ameaça permitiria que um invasor não autenticado coagisse um cliente do Outlook a se conectar a um servidor controlado pelo invasor, resultando no roubo de credenciais NTLM.

O Google anunciou que todos os usuários do Gmail nos Estados Unidos poderão em breve usar a ferramenta de segurança Dark Web Report para descobrir se seu endereço de e-mail foi encontrado na dark web. A empresa também informou que a função será expandida para mercados internacionais selecionados. A ferramenta permitirá que os usuários escaneiem a dark web em busca de seus endereços de e-mail e tomem medidas para proteger seus dados com base nas orientações fornecidas pelo Google.

Hackers norte-coreanos invadiram a rede do Hospital da Universidade Nacional de Seul, na Coreia do Sul, para roubar informações médicas e pessoais de cerca de 831 mil pacientes e funcionários. A polícia sul-coreana atribuiu o ataque a hackers norte-coreanos e alertou para a possibilidade de novas invasões. Hackers norte-coreanos já haviam sido vinculados a outras invasões de redes hospitalares na tentativa de roubar dados sensíveis e exigir pagamento de resgate.

Um novo descriptografador de ransomware, chamado "White Phoenix", permite que as vítimas recuperem parcialmente os arquivos criptografados por ransomwares que usam criptografia intermitente. A ferramenta foi desenvolvida pela CyberArk e é capaz de recuperar arquivos em formatos como PDF, ZIP, Word, Excel e PowerPoint. No entanto, é importante notar que o descriptografador pode não funcionar em todos os casos, dependendo do nível de criptografia aplicado pelos cibercriminosos. A ferramenta está disponível gratuitamente no GitHub da CyberArk.

A empresa de cibersegurança Dragos sofreu uma tentativa de invasão por um grupo de cibercriminosos, que acessaram sua nuvem SharePoint e sistema de gerenciamento de contratos, mas não conseguiram entrar em outros sistemas da empresa. Os invasores tentaram extorquir a Dragos, mas foram bloqueados antes de atingir o objetivo. A empresa acredita que o grupo buscava instalar ransomware.

A plataforma de phishing como serviço (PhaaS) chamada "Greatness" viu um aumento de atividade ao atingir organizações que usam o Microsoft 365 nos EUA, Canadá, Reino Unido, Austrália e África do Sul, segundo um relatório da Cisco Talos. A maioria das vítimas trabalha em setores como manufatura, saúde, tecnologia, educação, imóveis, finanças e serviços empresariais. Os cibercriminosos usam a plataforma para roubar dados ou credenciais e, em muitos casos, para acessar e-mails, arquivos e dados em serviços do Microsoft 365.

O malware RapperBot, que antes atacava servidores SSH Linux para recrutar dispositivos para ataques DDoS, agora possui capacidades de criptojacking para minerar Monero em arquiteturas Intel x64. O código do minerador está integrado ao RapperBot e é ofuscado com codificação XOR de duas camadas para esconder as piscinas de mineração e endereços de mineração de Monero dos analistas. O RapperBot agora recebe sua configuração de mineração do servidor de comando e controle e usa várias piscinas e carteiras para redundância.

Uma campanha de malvertising usou uma simulação de atualização do Windows no navegador para distribuir o malware de roubo de informações Aurora. A campanha baseada em popunder ads em sites adultos redirecionou quase 30.000 usuários, com quase 600 baixando e instalando o malware. O malware loader FUD chamado "Invalid Printer" foi usado exclusivamente pelo ator ameaçador.

Joseph James O'Connor, um cidadão britânico, confessou ter participado do ataque ao Twitter em julho de 2020, que afetou várias contas de alto perfil e defraudou outros usuários da plataforma. O'Connor e seus cúmplices assumiram o controle de 130 contas do Twitter, incluindo as do ex-presidente Barack Obama, Bill Gates e Elon Musk, para perpetrar um esquema de criptomoedas que lhes rendeu US$ 120 mil em poucas horas. Ele também foi acusado de invadir contas de TikTok e Snapchat e de realizar ataques de troca de SIM. O'Connor se declarou culpado em 9 de junho e está programado para ser sentenciado em 23 de junho.

A empresa de jogos de azar nas Filipinas foi alvo de um ator de ameaças alinhado à China como parte de uma campanha em andamento desde outubro de 2021. A ESET, empresa de segurança cibernética da Eslováquia, está rastreando a série de ataques contra empresas de jogos de azar do Sudeste Asiático sob o nome de Operação ChattyGoblin. Os ataques usam um instalador trojanizado Comm100 para entregar malware. A ESET também destacou as atividades de grupos de ameaças persistentes avançadas (APT) ligados à Índia, Irã, Coreia do Norte e Rússia.

Golpistas estão usando transmissões irregulares de programas de TV brasileiros, como Fantástico e Domingo Espetacular, para realizar falsas promoções de retorno de valores em dinheiro através de transferências pelo Pix. Mais de 50 mil brasileiros já foram expostos a esses golpes nos últimos dias, com marcas como Magazine Luiza e Nubank sendo usadas para atribuir credibilidade às falsas promoções. A mecânica da fraude mistura elementos brasileiros e internacionais, com o uso de transmissões ao vivo falsas e presença de celebridades e programas conhecidos para dar credibilidade aos golpes.

Bandidos estão se passando pela Meta, dona do Facebook, Instagram e WhatsApp, para promover ferramentas fraudulentas na rede social. Eles usam contas verificadas roubadas para promover ferramentas mal-intencionadas usando o sistema de anúncios, com as publicações simulando alertas de segurança. A fraude foi descoberta pelo consultor em redes sociais Matt Navarra e as páginas foram suspensas após denúncia. A Meta disse estar investindo recursos significativos na prevenção de golpes e prevenção de seus usuários.

A polícia espanhola prendeu 40 pessoas por supostamente fazerem parte de uma organização criminosa que realizava golpes bancários por meio de phishing por SMS e e-mail. Mais de 300.000 pessoas foram supostamente enganadas, resultando em perdas confirmadas de pelo menos €700.000 ($770.000). Os hackers usaram cartões de crédito roubados para comprar criptomoedas, que foram trocadas por dinheiro fiat e colocadas em uma "caixa comum". O dinheiro roubado foi usado para financiar as despesas do grupo, comprar drogas e armas, financiar reuniões, pagar advogados ou enviar dinheiro diretamente para membros da gangue presos.

O botnet AndoryuBot está explorando uma falha crítica em painéis de administração da Ruckus Wireless para infectar pontos de acesso Wi-Fi não corrigidos e usá-los em ataques DDoS. A falha, rastreada como  CVE-2023-25717 , afeta todas as versões do painel de administração da Ruckus Wireless anteriores à 10.4. A AndoryuBot suporta 12 modos de ataque DDoS e aceita pagamentos em criptomoedas para seus serviços.

A empresa de distribuição de alimentos Sysco confirmou que sua rede foi invadida por hackers, que roubaram informações confidenciais, incluindo dados de negócios, clientes e funcionários. A empresa acredita que dados pessoais de funcionários nos EUA foram comprometidos, mas garante que a violação de segurança não afetou suas operações de negócios. A Sysco contratou uma empresa de segurança cibernética para investigar o incidente.

A Microsoft lançou atualizações de segurança para corrigir uma vulnerabilidade zero-day na Secure Boot, explorada pelo malware BlackLotus UEFI para infectar sistemas Windows totalmente atualizados. A vulnerabilidade foi usada para contornar um bug na Secure Boot abusado em ataques de BlackLotus no ano passado. Todos os sistemas Windows com proteções Secure Boot estão afetados pela falha, mas as correções de segurança só estão disponíveis para versões suportadas do Windows 10, Windows 11 e Windows Server.

A Microsoft lançou a atualização de segurança do Patch Tuesday de maio de 2023, corrigindo três vulnerabilidades zero-day e um total de 38 falhas, incluindo seis classificadas como "Críticas". A atualização é uma das menores em termos de vulnerabilidades corrigidas.