As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A SAP lançou atualizações de segurança para vários de seus produtos, incluindo correções para duas vulnerabilidades críticas que afetam o SAP Diagnostics Agent e a plataforma de inteligência empresarial SAP BusinessObjects. Os administradores de sistemas SAP devem aplicar os patches de segurança disponíveis o mais rápido possível.

Pesquisadores de segurança detalharam o malware Impala Stealer, que é capaz de roubar criptomoedas e foi distribuído por meio de 13 pacotes maliciosos NuGet como parte de um ataque de cadeia de suprimentos que visava desenvolvedores .NET. A campanha de typosquatting sofisticada, que foi detalhada pela JFrog no mês passado, se passava por pacotes legítimos para executar código PowerShell projetado para recuperar um binário de acompanhamento de um servidor codificado. O segundo estágio do ataque resulta na implantação de um backdoor persistente baseado em .NET, chamado Impala Stealer, que é capaz de acessar as contas de criptomoedas dos usuários sem autorização.

Hackers inundaram o repositório de pacotes de código aberto npm para Node.js com pacotes falsos que resultaram brevemente em um ataque de negação de serviço (DoS). Os ataques causaram uma DoS que tornou o NPM instável com erros esporádicos de "Serviço Indisponível". A técnica de ataque aproveita o fato de que os repositórios de código aberto são classificados mais alto nos resultados dos mecanismos de busca para criar sites fraudulentos e carregar módulos npm vazios com links para esses sites nos arquivos README.md.

Um cidadão estoniano de 45 anos, Andrey Shevlyakov, foi acusado de comprar eletrônicos fabricados nos EUA em nome do governo e das forças armadas russas, contornando restrições de exportação. Ele enfrenta 18 acusações de conspiração e outras, com pena máxima de 20 anos de prisão. Shevlyakov é acusado de operar empresas de fachada que importavam eletrônicos sensíveis dos EUA, como conversores analógico-digitais e sintetizadores usados em sistemas de defesa.

A Yum! Brands, empresa dona das cadeias de fast food KFC, Pizza Hut e Taco Bell, está enviando cartas de notificação de violação de dados para pessoas cujas informações pessoais foram roubadas em um ataque de ransomware em 13 de janeiro. A empresa revelou que os criminosos roubaram algumas informações pessoais, incluindo nomes, números de carteira de motorista e outros números de identificação. A Yum! Brands não encontrou evidências de que os dados roubados foram usados para roubo de identidade ou fraude.

A empresa belga de gerenciamento de recursos humanos e folha de pagamento SD Worx sofreu um ciberataque em sua divisão do Reino Unido e Irlanda, resultando no desligamento de todos os sistemas de TI para conter o ataque. A empresa está investigando o incidente e confirmou que não foi um ataque de ransomware e que não há evidências de que dados tenham sido comprometidos. A SD Worx gerencia uma grande quantidade de dados sensíveis para os funcionários de seus clientes, incluindo informações fiscais, números de identificação governamentais, endereços, números de telefone e dados bancários.

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) ordenou que as agências governamentais federais resolvam duas falhas de segurança exploradas por hackers para invadir iPhones, Macs e iPads até 1º de maio de 2023. As falhas, CVE-2023-28206 e CVE-2023-28205 , foram corrigidas pela Apple em atualizações recentes. O Google Threat Analysis Group e o Amnesty International's Security Lab descobriram as vulnerabilidades enquanto eram exploradas em ataques.

A Microsoft adiou por um ano a desativação das Regras de Acesso do Cliente (CARs) no Exchange Online, permitindo que os administradores do Microsoft 365 utilizem o recurso até setembro de 2024. A mudança ocorreu devido a dificuldades encontradas pela empresa na migração de algumas CARs para novas alternativas de acesso mais seguras, como o Azure Active Directory Conditional Access (AAD CA) e a Continuous Access Evaluation (CAE). A Microsoft está incentivando os clientes a migrar para as novas opções de controle de acesso antes do prazo final.

A Apple lançou atualizações de segurança de emergência para corrigir duas vulnerabilidades zero-day exploradas em ataques para comprometer iPhones, Macs e iPads. As falhas foram relatadas por Clément Lecigne, do Google Threat Analysis Group, e Donncha Ó Cearbhaill, do Security Lab da Anistia Internacional, que as encontraram exploradas como parte de uma cadeia de exploração. As vulnerabilidades foram resolvidas no iOS 16.4.1, iPadOS 16.4.1, macOS Ventura 13.3.1 e Safari 16.4.1.

A agência de segurança cibernética dos EUA, CISA, adicionou cinco vulnerabilidades à sua lista de vulnerabilidades exploradas conhecidas, com três delas no Veritas Backup Exec sendo exploradas para implantar ransomware. Uma das vulnerabilidades foi explorada como zero-day em uma cadeia de exploração que visava o navegador da web da Samsung e outra permite que os invasores aumentem os privilégios em máquinas Windows. A CISA recomenda que as agências federais dos EUA verifiquem se seus sistemas são impactados pelas vulnerabilidades recém-adicionadas e apliquem as atualizações necessárias.

Criminosos estão usando o aplicativo de mensagens Telegram para vender kits de phishing e criar campanhas de phishing. Eles criam canais no Telegram para educar e entreter os assinantes com enquetes. Os links para esses canais são distribuídos por meio do YouTube, GitHub e pelos próprios kits de phishing. A Kaspersky detectou mais de 2,5 milhões de URLs maliciosas geradas usando kits de phishing nos últimos seis meses. Os criminosos oferecem bots do Telegram que automatizam a coleta de dados do usuário.

A vulnerabilidade crítica CVE-2023-29017 foi descoberta no módulo JavaScript sandbox vm2, que pode ser explorada para executar shellcode arbitrário e causar uma violação das barreiras de segurança. A falha afeta todas as versões, incluindo e anteriores à 3.9.14, e foi relatada por pesquisadores da KAIST WSP Lab em 6 de abril de 2023. O vm2 lançou uma correção na versão 3.9.15 na sexta-feira.

A agência de segurança cibernética dos EUA emitiu oito avisos de vulnerabilidades críticas afetando produtos de empresas como Hitachi Energy, mySCADA Technologies, Industrial Control Links e Nexx. As vulnerabilidades incluem uma falha no sistema MicroSCADA Data Manager da Hitachi Energy que poderia permitir que um invasor assumisse o controle remoto do produto e cinco falhas de injeção de comando no mySCADA myPRO. A CISA também alertou para uma falha crítica de segurança nos ScadaFlex II SCADA Controllers da Industrial Control Links.

LockBit, BlackCat e Royal foram responsáveis pela maioria dos 16 milhões de ataques cibernéticos registrados durante 2022, de acordo com a Trend Micro. LockBit representou cerca de um terço de todos os ataques, enquanto os setores de finanças, TI e saúde foram os mais visados. A BlackCat teve uma preferência pela falha Log4J e pela venda de ferramentas ofensivas para terceiros no Telegram, enquanto a Royal usou criptografia intermitente. Os EUA foram o país mais atingido por golpes de ransomware em 2022, com o Brasil em sexto lugar.

Uma campanha de malware denominada Balada Injector teria infectado mais de um milhão de sites WordPress desde 2017, explorando vulnerabilidades em plug-ins e temas, segundo a Sucuri, da GoDaddy. A campanha gera usuários falsos, coleta dados dos hosts e deixa backdoors para acesso persistente. O malware também efetua buscas em diretórios de nível superior associados ao sistema de arquivos do site comprometido para localizar diretórios graváveis que pertencem a outros sites, explorando vulnerabilidades em sites relacionados. Os usuários do WordPress são aconselhados a manter o software do site atualizado e remover plug-ins e temas não utilizados.

Criminosos estão enviando e-mails falsos em nome do YouTube para roubar canais de criadores de conteúdo. A mensagem contém um link para supostas mudanças nos termos de uso da plataforma, mas na verdade leva a um malware que rouba cookies de sessão e permite que os criminosos acessem os perfis sem senha ou códigos de autenticação. O golpe é mais eficaz porque abusa de uma ferramenta da própria plataforma, o que reduz a chance de ser interceptado por softwares de segurança.

O ACRO, escritório nacional de registros criminais da Grã-Bretanha, confirmou que um incidente de segurança cibernética foi o motivo das interrupções do portal online desde 17 de janeiro. A agência afirmou que ainda não há evidências de que os dados pessoais foram afetados.

O malware Rilide foi descoberto por pesquisadores de segurança e visa monitorar atividades do navegador, roubar criptomoedas e faz capturas de tela em navegadores baseados em Chromium, como Google Chrome, Brave, Opera e Microsoft Edge. O malware é distribuído através de campanhas publicitárias no Google Ads e do Ekipa RAT, e possui um sistema de bypass de 2FA para enganar vítimas em retiradas de criptomoedas. A extensão maliciosa também desativa a política de segurança de conteúdo para carregar recursos externos e exfiltra o histórico de navegação.

Microsoft, Fortra e o Health Information Sharing and Analysis Center (Health-ISAC) iniciaram uma ação legal contra servidores que hospedam cópias ilegais do Cobalt Strike, uma das principais ferramentas de hacking usadas por cibercriminosos. A ação visa tirar do ar a infraestrutura maliciosa e hinder a monetização de cópias ilegais, forçando os criminosos a mudarem suas táticas. Fortra lançou o Cobalt Strike como uma ferramenta legítima de teste de penetração, mas malfeitores obtiveram e distribuíram cópias ilegais ao longo do tempo.

A MSI, fabricante taiwanesa de peças para computadores, foi listada em um site de extorsão de um novo grupo de ransomware conhecido como "Money Message", que alega ter roubado o código-fonte da rede da empresa. O grupo ameaça publicar os documentos roubados em cinco dias, a menos que a MSI atenda às suas exigências de resgate.