As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A VMware emitiu várias correções de segurança para corrigir vulnerabilidades críticas e de alta gravidade no VMware Aria Operations for Networks, permitindo que os atacantes obtenham execução remota ou acessem informações confidenciais. AVMware Aria Operations for Networks ajuda os administradores a otimizar o desempenho da rede ou gerenciar e escalar vários implantações VMware e Kubernetes.

A empresa de segurança de e-mail e rede Barracuda alertou que seus clientes devem substituir imediatamente os dispositivos ESG (Email Security Gateway) afetados por uma vulnerabilidade zero-day explorada por hackers. A recomendação é a substituição total dos dispositivos afetados, independentemente do nível da versão do patch. A vulnerabilidade CVE-2023-2868 foi usada por pelo menos sete meses para instalar malware personalizado e roubar dados de clientes. Barracuda alertou seus clientes em maio e agora pede a substituição imediata dos dispositivos afetados.

Uma falha de segurança no componente Win32k do Microsoft Windows foi descoberta por pesquisadores da Avast e corrigida pela empresa. A vulnerabilidade, identificada como CVE-2023-29336 , permitia a um atacante ganhar privilégios elevados no sistema, mas ainda não se sabe exatamente como ela foi explorada. A Numen Cyber de Singapura criou um exploit de prova de conceito da falha para o ambiente Windows Server 2016.

Um homem da Flórida se declarou culpado de importar e vender equipamentos de rede falsificados da Cisco para várias organizações, incluindo educação, agências governamentais, saúde e militares. Onur Aksoy operou o esquema por meio de 19 empresas formadas em Nova Jersey e Flórida e várias lojas online coletivamente conhecidas como 'Pro Network Entities', fazendo mais de US$ 100 milhões no processo. Ele enfrenta uma pena máxima de 6,5 anos de prisão e deve devolver US$ 15 milhões em restituição às vítimas.

O grupo hacker norte-coreano Lazarus foi atribuído ao roubo de mais de US$ 35 milhões em criptomoedas da Atomic Wallet, segundo a empresa de monitoramento da blockchain Elliptic. A empresa rastreou os fundos roubados, que foram movimentados por meio de carteiras, misturadores e outras formas de lavagem de dinheiro. O Lazarus já foi responsável por outros grandes roubos de criptomoedas, que, segundo especialistas, são usados para financiar o programa de desenvolvimento de armas da Coreia do Norte.

Hackers usaram plataformas de modding popular do Minecraft Bukkit e CurseForge para distribuir o malware de roubo de informações 'Fractureiser' através de modificações carregadas e pela injeção de código malicioso em projetos existentes. Vários modpacks populares foram afetados, incluindo 'Better Minecraft,' que tem mais de 4,6 milhões de downloads. Os jogadores do Minecraft são aconselhados a evitar o uso do CurseForge launcher ou a baixar qualquer coisa dos repositórios de plugins do CurseForge ou do Bukkit até que a situação seja esclarecida.

Um novo backdoor chamado Stealth Soldier foi implantado em ataques de espionagem altamente direcionados no norte da África. O malware é um backdoor não documentado que funciona principalmente com funções de vigilância, como exfiltração de arquivos, gravação de tela e microfone, registro de teclas e roubo de informações do navegador. A operação em curso é caracterizada pelo uso de servidores de comando e controle que imitam sites pertencentes ao Ministério das Relações Exteriores da Líbia.

O grupo de ransomware Royal começou a testar um novo encryptor chamado BlackSuit, que compartilha muitas semelhanças com o encryptor usual da operação. Acredita-se que o grupo seja o sucessor direto da operação Conti e é composto por pentesters e afiliados recrutados de outras gangues de ransomware. A operação tem sido responsável por vários ataques às empresas desde seu lançamento em janeiro de 2023.

Uma campanha de malware recente usa o Satacom downloader para implantar malware furtivo capaz de roubar criptomoedas usando uma extensão fraudulenta para navegadores baseados em Chromium. Os alvos da campanha incluem usuários das exchanges Coinbase, Bybit, KuCoin, Huobi e Binance, principalmente localizados no Brasil, Argélia, Turquia, Vietnã, Indonésia, Índia, Egito e México. O malware é distribuído por meio de sites maliciosos que hospedam arquivos ZIP contendo o malware.

Um estudo da Sophos revelou que 68% das empresas brasileiras foram vítimas de ransomware em 2022, um aumento de 24% em relação ao ano anterior. As verticais de educação, construção, governamentais, mídia e varejo foram as mais afetadas. A pesquisa também mostrou que empresas com maior faturamento têm mais poder de pagamento de resgate e que o roubo de dados para extorsão posterior é uma nova modalidade de duplo impacto. O Brasil lidera globalmente no pagamento de resgates, estimulando ainda mais ataques.

Deep fakes podem chegar a custar R$ 100 mil por minuto nos mercados obscuros da dark web, segundo relatório da Kaspersky sobre o funcionamento desses mercados. Os preços variam de acordo com a finalidade, que pode ir desde simples vídeos pornográficos forjados para difamar alguém até grandes esquemas de golpes para furto de dados pessoais e dinheiro, sem falar na manipulação política.

O serviço de e-mail Outlook, da Microsoft, sofreu uma série de interrupções nas últimas 24 horas, com os hacktivistas conhecidos como Anonymous Sudan reivindicando ataques DDoS ao serviço. Embora a Microsoft tenha afirmado que as interrupções foram causadas por problemas técnicos, o Anonymous Sudan alega que está realizando os ataques em protesto contra a intervenção dos EUA nos assuntos internos do Sudão. O grupo pediu US$ 1 milhão da Microsoft para parar os ataques.

Mais de 60.000 aplicativos Android disfarçados de aplicativos legítimos, instalam silenciosamente adware em dispositivos móveis há seis meses, revelou a empresa de segurança cibernética romena Bitdefender, que detectou as falhas. Os aplicativos maliciosos são distribuídos como software de segurança falso, trapaças de jogos, VPNs, Netflix e aplicativos de utilidade em sites de terceiros, e predominantemente atingem usuários nos Estados Unidos, Coreia do Sul, Brasil, Alemanha, Reino Unido e França. Os aplicativos maliciosos não estão hospedados no Google Play, mas em sites de terceiros que disponibilizam APKs.

O patch de segurança mensal do Android, lançado pelo Google, corrigiu 56 vulnerabilidades, incluindo cinco com gravidade crítica e uma explorada desde dezembro de 2021. O patch inclui uma correção para a vulnerabilidade CVE-2022-22706 , que pode ter sido usada em uma campanha de spyware visando telefones Samsung. A falha de alto risco permite que usuários não privilegiados obtenham acesso de gravação a páginas de memória somente leitura. Dispositivos com o Android 10 ou mais antigos não são mais suportados.

O PowerDrop, um novo script de malware PowerShell, foi descoberto em ataques direcionados à indústria de defesa aeroespacial dos EUA. O malware usa PowerShell e WMI para criar um RAT persistente nas redes comprometidas. O PowerDrop é particularmente furtivo, pois nunca toca o disco como um arquivo ".ps1", comunicações AES criptografadas e a intervalos de 120 segundos entre o tráfego de rede malicioso. As organizações precisam permanecer vigilantes para essa ameaça, monitorando a execução do PowerShell e procurando por atividades WMI incomuns.

O FBI alertou para um aumento na criação de deepfakes para realizar ataques de sextorsão, com atores maliciosos usando imagens públicas de redes sociais para criar conteúdo sexualmente explícito gerado por IA. As vítimas são ameaçadas de exposição pública a menos que paguem ou forneçam imagens sexualmente explícitas reais. O FBI recomenda que os pais monitorem a atividade online de seus filhos e falem sobre os riscos associados ao compartilhamento de mídia pessoal online.

O malware SpinOk foi encontrado em um novo lote de aplicativos Android na Google Play, instalado cerca de 30 milhões de vezes. O SpinOk foi distribuído através de um ataque à cadeia de suprimentos SDK que infectou muitos aplicativos e, por extensão, comprometeu muitos usuários do Android. A maioria dos aplicativos infectados já foram removidos da loja da Google Play.

Um analista de TI da Oxford BioMedica foi preso no Reino Unido por fingir ser membro de uma gangue de ransomware para tentar extorquir dinheiro da empresa em que trabalhava, após um ataque real de sequestro de dados. Ele teria acessado a caixa de e-mail de executivos da Oxford BioMedia mais de 300 vezes, de forma não autorizada, e tentado coletar documentos e arquivos confidenciais, além de pedir um resgate de £ 300.000 em Bitcoins. Ele será julgado em julho e pode ser condenado a até 38 anos de prisão.

A ameaça cibernética Cyclops Ransomware está oferecendo um malware Info Stealer para capturar dados sensíveis de hosts infectados, de acordo com um novo relatório da Uptycs. O Cyclops Ransomware é notável por segmentar todos os principais sistemas operacionais de desktop, incluindo Windows, macOS e Linux. As versões macOS e Linux do ransomware são escritas em Golang e empregam um esquema de criptografia complexo que é uma mistura de criptografia assimétrica e simétrica.

Duas falhas em firewalls da Zyxel foram adicionadas ao catálogo de vulnerabilidades conhecidas do CISA devido à evidência de exploração ativa. As vulnerabilidades de overflow de buffer podem permitir que um invasor não autenticado cause uma condição de negação de serviço (DoS) e execução remota de código. A Zyxel lançou correções para as falhas em 24 de maio de 2023, mas o ataque ainda está em andamento. Agências do governo dos EUA devem remediar as vulnerabilidades identificadas até 26 de junho de 2023.