As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O Facebook descobriu um novo malware de roubo de informações chamado 'NodeStealer', distribuído no Meta, que permite que os cibercriminosos roubem cookies do navegador para sequestrar contas na plataforma, bem como contas do Gmail e do Outlook. A captura de cookies que contêm tokens de sessão de usuário válidos é uma tática que está crescendo em popularidade entre os cibercriminosos, permitindo que eles sequestrarem contas sem precisar roubar credenciais ou interagir com o alvo. O Facebook interrompeu a operação e ajudou os usuários afetados a recuperar suas contas.

O Brasil é o segundo país mais atingido por ransomware no mundo, de acordo com a Trend Micro, com 29,9% de todos os ataques registrados em 2022, enquanto o volume geral de ameaças cibernéticas atingiu seu maior patamar desde 2016, com 146 bilhões de incidentes. Empresas de médio porte são cada vez mais alvo, e o valor médio pago pelas empresas após sofrerem um ataque de ransomware teve queda de 20% no último trimestre de 2022.

A Meta, empresa responsável pelo Facebook, alertou para o aumento de malwares disfarçados de ChatGPT ou softwares de inteligência artificial com funções semelhantes ao chatbot. Desde março, cerca de 10 famílias de malwares e mil links maliciosos foram divulgados como ferramentas relacionadas ao chatbot de IA. A Meta promete medidas de segurança para coibir essas ações.

Três vulnerabilidades foram descobertas na implementação de software do Border Gateway Protocol (BGP) da FRRouting, utilizado por fornecedores como NVIDIA Cumulus, DENT e SONiC. As falhas podem ser exploradas para criar um ataque de negação de serviço (DoS) em pares BGP vulneráveis. A exploração consiste em enviar uma mensagem BGP OPEN especialmente criada para derrubar a sessão BGP e as tabelas de roteamento, tornando o par inativo. A Forescout Vedere Labs descobriu as falhas na análise de sete implementações diferentes de BGP.

O malware BouldSpy, possivelmente utilizado pelo governo iraniano, foi usado para espionar mais de 300 indivíduos pertencentes a grupos minoritários. O spyware é capaz de acessar o histórico do navegador da web, fotos, lista de contatos, logs de SMS, captura de tela, conteúdo da área de transferência, áudio do microfone e gravações de chamadas de vídeo. O BouldSpy é instalado nos dispositivos das vítimas por meio de acesso físico, possivelmente confiscado após detenção.

A 1Password, empresa de gerenciamento de senhas, explicou que um recente incidente que causou notificações errôneas de mudança de senhas em dispositivos de clientes nos Estados Unidos não foi resultado de uma violação de segurança, mas sim de uma interrupção temporária no serviço. O CTO da 1Password, Pedro Canahuati, afirmou que os dados dos clientes não foram afetados. A empresa usará os dados coletados para entender a causa raiz e melhorar os processos de migração de bancos de dados e tratamento de erros.

Nove sites de troca de criptomoedas utilizados para lavagem de dinheiro por cibercriminosos foram apreendidos pelo FBI e pela polícia ucraniana. As plataformas permitiam a conversão anônima de criptomoedas em moedas mais difíceis de serem rastreadas, facilitando a lavagem de dinheiro dos criminosos. As apreensões foram feitas com a ajuda do Virtual Currency Response Team e de promotores legais da Ucrânia. As operações de lavagem de dinheiro por meio de criptomoedas representam um grande desafio para as autoridades e têm sido alvo de várias ações recentes.

O ícone de cadeado que indicava segurança em sites será substituído por um novo ícone que não implica que um site seja seguro ou confiável, segundo o Google. A mudança ocorre porque mais de 99% das páginas da web já são carregadas no Google Chrome sobre HTTPS, tornando o ícone obsoleto. O novo ícone será lançado no Chrome 117 em setembro de 2023. O ícone de cadeado continuará aparecendo no submenu 'tune' quando as conexões do site forem seguras.

Hackers estão explorando uma vulnerabilidade de autenticação em dispositivos TBK DVR desprotegidos, usados para armazenar imagens de câmeras de segurança. A falha crítica CVE-2018-9995 permite que invasores ignorem a autenticação e obtenham acesso administrativo, levando ao acesso às imagens das câmeras. FortiGuard Labs relatou um aumento nas tentativas de invasão usando o exploit PoC publicamente disponível. O CVE-2018-9995 afeta os modelos TBK DVR4104 e TBK DVR4216, bem como modelos vendidos sob outras marcas. Não há atualização de segurança disponível, então a Fortinet recomenda substituir os sistemas vulneráveis ou isolá-los da internet.

Hackers roubaram 214.000 tokens LVL da exchange descentralizada Level Finance, trocando-os por 3.345 BNB, no valor de aproximadamente US$ 1,1 milhão. Embora a empresa tenha afirmado que o ataque não afetou o pool de liquidez e o tesouro DAO, o token LVL perdeu cerca de 50% de seu valor imediatamente após o ataque. A vulnerabilidade foi encontrada em um contrato inteligente e permitiu que o hacker reivindicasse recompensas múltiplas de referência.

A operação internacional de aplicação da lei 'SpecTor' prendeu 288 vendedores e clientes da dark web em todo o mundo, apreendendo €50,8 milhões ($55,9M) em dinheiro e criptomoedas. A operação se concentrou em um mercado conhecido como Monopoly Market, que vendia drogas para clientes em todo o mundo em troca de Bitcoin e Monero. A maioria dos vendedores e compradores presos era dos EUA, Reino Unido e Alemanha. A operação foi coordenada pela Europol e pelo FBI e envolveu a polícia em vários países.

Apple e Google se unem para lançar ferramenta de detecção de acesso não autorizado a dispositivos de rastreamento bluetooth. Empresas como Samsung, Tile, Chipolo, eufy Security e Pebblebee já se comprometeram a incorporar os recursos nos produtos. A nova solução de tecnologia deve ser lançada até o final de 2023 para dispositivos iOS e Android.

A Apple lançou seu primeiro pacote de atualizações de segurança rápida (RSR) para dispositivos iOS 16.4.1 e macOS 13.3.1, mas alguns usuários relataram problemas para instalá-los em seus iPhones. As atualizações RSR são pequenas atualizações que visam corrigir problemas de segurança entre as atualizações principais de software. Alguns desses patches também podem ser usados para abordar vulnerabilidades ativamente exploradas em ataques. A Apple ainda não compartilhou informações sobre as melhorias de segurança trazidas pelas atualizações RSR.

A T-Mobile revelou o segundo vazamento de dados de 2023, afetando apenas 836 clientes, mas expondo informações pessoais extensas o suficiente para roubo de identidade. Os dados vazados incluem nome completo, informações de contato, número de conta e números de telefone associados, PIN da conta T-Mobile, número de segurança social, ID do governo, data de nascimento, saldo devido, códigos internos e o número de linhas. A T-Mobile resetou os PINs da conta dos clientes impactados e oferece dois anos de monitoramento de crédito e detecção de roubo de identidade gratuitos através do Transunion myTrueIdentity.

O Computer Emergency Response Team da Ucrânia alertou sobre ataques cibernéticos perpetrados por hackers do estado russo, visando vários órgãos governamentais do país. A agência atribuiu a campanha de phishing ao APT28, também conhecido por Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy. As mensagens de e-mail vêm com a linha de assunto "Atualização do Windows" e contêm supostas instruções em ucraniano para executar um comando PowerShell sob o pretexto de atualizações de segurança.

Ameaças cibernéticas visando servidores Veeam Backup estão sendo executadas por um grupo de criminosos que atua com várias gangues de ransomware. Desde o final de março, atividades maliciosas semelhantes às do FIN7 foram observadas em intrusões, menos de uma semana depois que uma vulnerabilidade de alta gravidade foi descoberta no software Veeam Backup e Replication. A vulnerabilidade foi corrigida em 7 de março, mas a ameaça ainda persiste para aqueles que ainda não aplicaram a correção.

O grupo de ransomware ALPHV publicou capturas de tela de e-mails e videoconferências internas roubados da Western Digital, indicando que provavelmente eles mantiveram o acesso aos sistemas da empresa mesmo enquanto ela respondia ao ataque. A ameaça de vazamento ocorreu depois que a Western Digital sofreu um ataque cibernético em 26 de março, mas nenhum ransomware foi implantado e os arquivos não foram criptografados.

A agência de segurança cibernética dos EUA (CISA) adicionou três vulnerabilidades à sua lista de Vulnerabilidades Conhecidas Exploradas (KEV) devido a evidências de exploração ativa, incluindo uma vulnerabilidade de injeção de comandos no roteador TP-Link Archer AX-21, uma vulnerabilidade de deserialização de dados não confiáveis no Apache Log4j2 e uma vulnerabilidade não especificada no Oracle WebLogic Server. A CISA exige que as agências federais americanas apliquem as correções de segurança fornecidas pelos fornecedores antes de 22 de maio de 2023.

O grupo de ameaças TA505 está usando anúncios maliciosos do Google para distribuir o trojan financeiro e info stealer LOBSHOT. A ameaça, que inclui um módulo hVNC para acesso remoto, está sendo distribuída por meio de anúncios falsos para ferramentas legítimas, como o AnyDesk. O LOBSHOT é atribuído ao TA505, um grupo de cibercriminosos financeiros conhecido por ataques com o trojan bancário Dridex.

O grupo de ameaças cibernéticas ScarCruft, que é vinculado à Coreia do Norte, está usando arquivos LNK para distribuir o malware RokRAT, de acordo com um relatório da Check Point. O RokRAT é usado para roubar credenciais, exfiltrar dados e executar comandos no sistema infectado. O ScarCruft, que também é conhecido como APT37, InkySquid e Nickel Foxcroft, é supervisionado pelo Ministério de Segurança do Estado da Coreia do Norte e se concentra em alvos sul-coreanos.