As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de ameaças cibernéticas Tomiris, que usa um backdoor para roubar documentos internos, tem como alvo entidades governamentais e diplomáticas na Ásia Central, de acordo com uma nova análise da Kaspersky. O grupo usa uma variedade de ferramentas ofensivas de código aberto e comercialmente disponíveis, além de um arsenal de malwares personalizados que se enquadram em uma das três categorias: downloaders, backdoors e ladrões de informações. Embora existam semelhanças com o grupo Turla, a Kaspersky acredita que o Tomiris é separado e destaca a possibilidade de uma operação de bandeira falsa.

Atacantes estão explorando vulnerabilidades graves no software de gerenciamento de impressão PaperCut MF/NG para instalar software de gerenciamento remoto Atera e assumir o controle de servidores. As falhas de segurança (rastreadas como CVE-2023-27350 e CVE-2023-27351 ) permitem que atacantes remotos ignorem a autenticação e executem código arbitrário em servidores comprometidos do PaperCut com privilégios de SYSTEM. As empresas de segurança, Horizon3 e Huntress, disponibilizaram PoCs para a vulnerabilidade.

Pesquisadores descobrem nova falha de segurança nos CPUs Intel, permitindo vazamento de dados através do registro EFLAGS. A vulnerabilidade, que permite um ataque de side-channel, explora a execução transitória para extrair dados secretos da memória do usuário por meio de análise de tempo. A falha foi encontrada por pesquisadores da Universidade de Tsinghua, da Universidade de Maryland e de um laboratório de computação do Ministério da Educação da China. A vulnerabilidade impacta várias gerações de processadores Intel.

O portal Passe Livre da ANTT expôs por tempo indeterminado os dados sensíveis de cerca de um milhão de brasileiros com deficiência inscritos no programa federal, incluindo informações como nome completo, RG, CPF parcial, telefone, fotos e dados dos acompanhantes. A ANTT corrigiu a vulnerabilidade após alerta de um pesquisador de segurança. O fácil acesso para informações pessoais pode gerar golpes de spear-phishing e personificação.

Um ataque hacker à conta do Twitter da plataforma de negociação de criptomoedas KuCoin permitiu que golpistas promovessem uma falsa campanha de oferta, fazendo com que fossem roubados mais de US$ 22,6 mil em criptomoedas. A empresa prometeu reembolsar todos os usuários afetados e implementar medidas de segurança adicionais. Os hackers conseguiram roubar 22 transações de Bitcoin e Ethereum em 45 minutos. A campanha maliciosa foi hospedada em "kucoinevent[.]com", que afirmava estar distribuindo 5.000 Bitcoins e 10.000 Ethereums.

A marca de UPS APC, da Schneider Electric, alertou para falhas de segurança em seus dispositivos, permitindo a execução remota de código arbitrário não autenticado e possíveis ataques de negação de serviço (DoS), afetando todas as versões do Windows. Recomenda-se que os usuários atualizem para a versão V2.5-GS-01-23036 ou mais recente. A CISA alertou para ataques direcionados a dispositivos APC, pedindo que os usuários protejam seus dispositivos.

A Microsoft está investigando um problema contínuo que impede alguns clientes de usar a função de pesquisa em vários serviços do Microsoft 365, incluindo Outlook, Exchange, SharePoint e Teams. A empresa ainda não revelou se isso afeta clientes de todas as áreas. A Microsoft também está trabalhando em outra questão que afeta a plataforma de comunicação Teams.

O VirusTotal lançou uma nova ferramenta de análise de código baseada em inteligência artificial, chamada Code Insight, que analisa arquivos potencialmente maliciosos para explicar seu comportamento. A nova funcionalidade é alimentada pelo Google Cloud Security AI Workbench e usa o modelo de linguagem grande Sec-PaLM, ajustado especificamente para casos de uso de segurança.

Pesquisadores descobriram que a maioria dos equipamentos de rede corporativos usados vendidos no mercado secundário continha dados confidenciais que poderiam ser usados por hackers para invadir ambientes corporativos ou obter informações de clientes. A equipe da ESET comprou 18 roteadores principais usados e descobriu que mais da metade deles ainda continha dados de configuração completos. A ESET destaca a importância de limpar adequadamente os dispositivos de rede antes de se livrar deles e alerta que usar um serviço de terceiros pode não ser sempre uma boa ideia.

Um novo kit de ferramentas de malware chamado "Decoy Dog" foi descoberto por pesquisadores da Infoblox, que analisaram o tráfego DNS anômalo para identificar atividades suspeitas. O Decoy Dog ajuda os atores de ameaças a evitar a detecção por meio do envelhecimento estratégico do domínio e da consulta de DNS, que ajuda a estabelecer uma boa reputação com os fornecedores de segurança antes de facilitar as operações de cibercrime. A investigação revelou que o Decoy Dog está sendo usado em operações de grande escala, principalmente na Rússia.

A Yellow Pages Group, editora canadense de diretórios, confirmou ter sido vítima de um ataque cibernético realizado pelo grupo de ransomware Black Basta, que postou documentos e dados sensíveis no último final de semana. A empresa afirmou que houve roubo de informações pessoais e corporativas de clientes e funcionários, e que está trabalhando com especialistas em segurança para solucionar o problema.

Dados de motoristas de São Paulo estão circulando em grupos de hackers após vazarem do Detran-SP ou outro órgão que tenha acesso à base de condutores no estado. O ciberativista anônimo que denunciou o caso disponibilizou parte dos dados para o Olhar Digital, que conseguiu verificar sua veracidade. O Detran-SP nega a violação do banco de dados, mas pediu apoio ao Deic para investigar o caso. Os hackers estariam pedindo US$ 30 mil para ter acesso aos dados completos dos anos mais recentes.

O EvilExtractor, ferramenta de roubo de dados vendida por US$ 59/mês pela empresa Kodex, está sendo usada em ataques na Europa e nos EUA. O programa é promovido em fóruns de hackers e tem sete módulos de ataque, incluindo ransomware e extração de credenciais. Desde seu lançamento em outubro de 2022, a ferramenta vem sendo atualizada com novas funções e recursos. A maioria das infecções ocorre por meio de phishing. As vítimas recebem um e-mail disfarçado de solicitação de confirmação de conta, que contém um anexo executável.

Cisco e VMware lançaram atualizações de segurança para corrigir falhas críticas em seus produtos que poderiam ser exploradas por agentes mal-intencionados para executar códigos arbitrários em sistemas afetados. As vulnerabilidades podem permitir a um invasor não autenticado acesso à interface web com privilégios de administrador ou executar comandos arbitrários como NT AUTHORITY\SYSTEM. As empresas recomendam que os usuários atualizem seus sistemas o mais rápido possível para mitigar possíveis ameaças.

O malware Bumblebee é distribuído por meio de anúncios do Google e falsas páginas de download de softwares populares, como Zoom e Cisco AnyConnect, e pode ser usado para ataques ransomware. A nova versão do malware usa o framework PowerSploit para uma cadeia de ataque mais sigilosa e pode ser carregada na memória sem levantar suspeitas de antivírus. Os atacantes têm usado ferramentas como Cobalt Strike, AnyDesk e DameWare para se movimentar na rede e roubar dados.

A PaperCut, provedora de software de gerenciamento de impressão, alertou que servidores desatualizados estão sendo explorados por hackers, citando relatórios da Trend Micro. A empresa aconselha os usuários a atualizarem para as versões corrigidas do PaperCut MF e NG o mais rápido possível para mitigar possíveis riscos. A agência de segurança cibernética dos EUA incluiu uma falha de controle de acesso inadequado crítico no catálogo de vulnerabilidades exploradas conhecidas (KEV) do PaperCut MF e NG. A empresa Huntress encontrou cerca de 1.800 servidores PaperCut expostos publicamente.

Um novo malware chamado EvilExtractor está sendo vendido em fóruns de cibercrime para que outros atores ameaçadores possam roubar dados e arquivos de sistemas Windows. O malware inclui vários módulos que funcionam via um serviço FTP e seu objetivo principal é roubar dados do navegador e informações de pontos finais comprometidos e, em seguida, enviá-los para o servidor FTP do atacante. O malware também pode agir como ransomware, criptografando arquivos no sistema-alvo. A maioria das vítimas está localizada na Europa e nos EUA.

Um ataque em larga escala está explorando o Controle de Acesso Baseado em Funções (RBAC) do Kubernetes para criar backdoors e executar mineradores de criptomoedas. A empresa de segurança Aqua descobriu 60 clusters expostos que foram explorados pelo agente ameaçador por trás desta campanha. O ataque começou com o acesso inicial do invasor por meio de um servidor API mal configurado, seguido pela verificação de evidências de malware minerador concorrente no servidor comprometido e, em seguida, usando o RBAC para configurar a persistência.

A agência americana CISA adicionou três falhas de segurança ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), com base em evidências de exploração ativa. As vulnerabilidades são relacionadas a um vazamento de informações no MinIO, acesso inadequado de controle no PaperCut MF/NG e uma vulnerabilidade de estouro de inteiro no Skia do Google Chrome. Agências civis do governo dos EUA são recomendadas a remediar essas vulnerabilidades até 12 de maio de 2023.

A Google corrigiu uma vulnerabilidade de segurança que permitia que invasores instalassem aplicativos maliciosos em contas do Google Cloud Platform, permitindo que eles permanecessem invisíveis e inacessíveis para gerenciamento e remoção pelo usuário. A vulnerabilidade foi descoberta pela startup de cibersegurança Astrix Security em junho de 2022 e corrigida em abril de 2023. Os usuários do Google são aconselhados a verificar suas autorizações de aplicativos de terceiros e remover permissões desnecessárias.