As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de phishing chinês PostalFurious criou uma nova campanha de SMS visando usuários dos Emirados Árabes Unidos, fingindo ser serviços postais e operadoras de pedágio. As mensagens fraudulentas pedem que os destinatários paguem uma taxa de viagem de veículo para evitar multas adicionais e incluem um URL encurtado para ocultar o link de phishing real. A campanha está ativa desde 15 de abril de 2023. Os links de phishing são geolocalizados para que as páginas só possam ser acessadas a partir de endereços IP baseados nos Emirados Árabes Unidos.

A empresa de cibersegurança Kaspersky lançou uma ferramenta para detectar se iPhones e outros dispositivos iOS da Apple estão infectados com o novo malware 'Triangulation'. A campanha de malware 'Operation Triangulation' usa uma vulnerabilidade zero-day no iMessage para executar código sem interação do usuário e privilégios elevados, permitindo que o ataque baixe mais cargas úteis para o dispositivo para coletar informações. A origem do malware e os responsáveis pela operação ainda são desconhecidos.

O KeePass lançou a versão 2.54, corrigindo uma vulnerabilidade (identificada como CVE-2023-32784 ) que permitia a extração da senha mestra em texto claro da memória do aplicativo. A falha foi descoberta em maio de 2023 pelo pesquisador 'vdohney' e permitia a recuperação da senha mestra por meio de um dump de memória. A nova versão utiliza uma API do Windows para prevenir a criação de strings gerenciadas que podem ser extraídas da memória. Os usuários são aconselhados a atualizar para a nova versão.

A Microsoft ligou o grupo de ransomware Clop aos ataques recentes que exploraram uma vulnerabilidade zero-day na plataforma MOVEit Transfer para roubar dados de organizações. Acredita-se que os atacantes tenham utilizado a vulnerabilidade zero-day do MOVEit para baixar arquivos e roubar credenciais e segredos de contêineres de armazenamento do Azure Blob configurados. O grupo Clop é conhecido por atacar software de transferência de arquivos gerenciados e aguarda algumas semanas após o roubo de dados antes de enviar suas demandas de extorsão.

Google lançou uma atualização de segurança para corrigir uma falha de alta gravidade no navegador Chrome, que está sendo ativamente explorada. A vulnerabilidade, conhecida como CVE-2023-3079 , foi descrita como um bug de confusão de tipo na V8 JavaScript engine e foi descoberta pelo grupo de análise de ameaças do Google. Esta vulnerabilidade permite com que um atacante remoto explorasse a corrupção de heap por meio de uma página HTML manipulada. A atualização é a terceira correção de zero-day explorada no Chrome desde o início deste ano. Os usuários são recomendados a atualizar o navegador para a versão 114.0.5735.110 para Windows e 114.0.5735.106 para macOS e Linux.

A GIGABYTE lançou atualizações de firmware para mais de 270 placas-mãe para corrigir vulnerabilidades de segurança que poderiam ser exploradas para instalar malware. A correção foi feita em resposta a uma pesquisa da empresa de segurança Eclypsium, que descobriu falhas em uma função legítima da GIGABYTE usada para instalar um aplicativo de atualização automática de software no Windows.

Pesquisadores da Trend Micro identificaram uma alta semelhança entre o ransomware BlackSuit, que ataca máquinas Linux e Windows, e o ransomware Royal. Ambos utilizam o OpenSSL AES para criptografia e técnicas de criptografia intermitente semelhantes. A análise sugere que o BlackSuit pode ser uma variante do Royal ou uma cópia criada por um grupo afiliado. O BlackSuit foi descoberto pela Palo Alto Networks Unit 42 em maio de 2023.

Usuários de língua espanhola na América Latina estão sendo alvo de um novo malware de botnet chamado Horabot desde novembro de 2020. O programa pode controlar a caixa de correio do Outlook da vítima, roubar endereços de e-mail de contatos e enviar e-mails de phishing com anexos HTML maliciosos. A maioria das infecções está localizada no México, com vítimas limitadas identificadas no Uruguai, Brasil, Venezuela, Argentina, Guatemala e Panamá. O setor contábil, de construção, engenharia, distribuição atacadista e investimento é o principal alvo.

A Zyxel emitiu um aviso de segurança alertando sobre ataques em seus dispositivos de firewall e VPN e orientando sobre como detectar sinais de exploração. As vulnerabilidades CVE-2023-28771 , CVE-2023-33009 e CVE-2023-33010 estão sendo exploradas, permitindo a execução remota de comando e a inserção de código malicioso em dispositivos vulneráveis. A Zyxel recomenda atualizar os dispositivos para as versões de firmware mais recentes e implementar medidas de mitigação caso a atualização não seja possível.

A Microsoft anunciou que o SMB Signing será obrigatório por padrão para todas as conexões, a fim de se defender contra ataques de relé NTLM. A medida começará com o Windows Enterprise edition e será implementada em outros sistemas nos próximos meses. O SMB Signing ajuda a bloquear solicitações de autenticação maliciosas, confirmando a identidade do remetente e do destinatário por meio de assinaturas e hashes incorporados em cada mensagem. A mudança pode afetar a velocidade de cópia do SMB, mas os administradores têm a opção de desativar o recurso.

A Atomic Wallet está investigando relatos de roubo de criptomoedas de carteiras de usuários, com mais de US$ 35 milhões em criptomoedas supostamente roubados. Os desenvolvedores da carteira móvel e de desktop de criptografia estão trabalhando com empresas de segurança para investigar o incidente e bloquear os fundos roubados de serem vendidos em exchanges. Até agora, não está claro como ocorreu a violação.

A empresa de câmeras de segurança doméstica Ring, de propriedade da Amazon, foi acusada pela FTC de invasão de privacidade dos seus usuários, permitindo que funcionários assistissem a gravações de vídeo dos espaços privados dos clientes. A Ring terá que deletar todas as informações produzidas ilegalmente pelos vídeos e adotar controles de segurança mais rigorosos. A empresa nega a violação de qualquer lei e entende que o acordo resolve definitivamente o assunto.

O grupo de hackers Kimsuky, patrocinado pelo estado norte-coreano, está se passando por jornalistas e acadêmicos para realizar campanhas de spear-phishing em organizações de mídia, centros de pesquisa e instituições acadêmicas, de acordo com várias agências governamentais dos EUA e da Coreia do Sul. O grupo é conhecido por suas campanhas de espionagem em larga escala em apoio aos objetivos de inteligência nacional desde pelo menos 2012. As agências emitiram um aviso recomendando medidas de mitigação, incluindo o uso de senhas fortes e autenticação multifatorial.

Pesquisadores de segurança cibernética relataram um aumento na atividade do TrueBot em maio de 2023, um botnet de trojan downloader que coleta informações de sistemas comprometidos e os usa como ponto de lançamento para ataques. O TrueBot tem sido ativo desde 2017 e é ligado a um grupo conhecido como Silence, que se acredita ter sobreposições com o famoso ator de cibercrime russo conhecido como Evil Corp. Recentemente, o TrueBot explorou uma falha crítica no Netwrix Auditor e usou o Raspberry Robin como vetor de entrega.

Uma nova campanha de roubo de cartões de crédito Magecart está usando sites legítimos como servidores de comando e controle (C2) para injetar e ocultar skimmers em sites de comércio eletrônico. A campanha comprometeu organizações nos Estados Unidos, Reino Unido, Austrália, Brasil, Peru e Estônia, muitas das quais não perceberam que foram violadas por mais de um mês. Os invasores identificam sites vulneráveis e os hackeam para hospedar seu código malicioso, usando-os como servidores C2 para seus ataques.

A empresa de snowboards Burton Snowboards confirmou uma violação de dados que resultou no potencial acesso a informações sensíveis dos clientes, como nomes, números de Seguro Social e informações de conta financeira. A empresa notificou os clientes afetados e redefiniu as senhas das contas vinculadas a eles. A investigação está em andamento e a empresa relatou o incidente às autoridades relevantes.

O Google removeu 32 extensões maliciosas da Chrome Web Store que alteravam resultados de busca e exibiam spam ou anúncios indesejados, com um total de 75 milhões de downloads. As extensões apresentavam funcionalidades legítimas para ignorar o comportamento malicioso que vinha em código ofuscado para fornecer os payloads. A empresa de segurança cibernética Avast relatou os problemas após confirmar sua natureza maliciosa.

Especialistas de segurança afirmam que a velocidade de inovação no campo do cibercrime é ainda maior do que no campo da tecnologia. A proteção é um jogo diário, que nunca para e sempre precisa ser visto com atenção, afirmou Rodrigo Garcia, diretor de vendas da empresa de cibersegurança Trend Micro. O risco nunca deixa de existir, mas precisa ser minimizado e conhecido. 92% dos ataques ainda acontecem por e-mail e o Brasil é o maior da América Latina em número de ataques.

A CISA adicionou uma vulnerabilidade crítica do Progress MOVEit Transfer à sua lista de vulnerabilidades exploradas, ordenando que as agências federais dos EUA atualizem seus sistemas até 23 de junho. A falha permite que invasores remotos não autenticados realizem uma injeção de SQL e acessem o banco de dados do MOVEit Transfer e executem código arbitrário. A vulnerabilidade está sendo explorada como um zero-day desde pelo menos 27 de maio. Empresas privadas também devem priorizar a correção.

Agências de inteligência dos EUA e da Coreia do Sul alertaram para o uso de táticas de engenharia social por atores cibernéticos norte-coreanos para atacar think tanks, acadêmicos e setores de mídia. As ações são atribuídas ao grupo Kimsuky, que coleta informações táticas sobre eventos geopolíticos e negociações que afetam os interesses do regime. Os alvos são principalmente indivíduos que trabalham em questões relacionadas à Coreia do Norte, como política externa e política. O objetivo dos programas cibernéticos do Kimsuky é obter acesso ilícito e fornecer dados roubados e informações geopolíticas valiosas ao governo norte-coreano.