As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Atacantes estão hackeando servidores SSH vulneráveis para usar sua largura de banda não utilizada em serviços de proxyware que pagam pelo compartilhamento de recursos. Essa tática, conhecida como proxyjacking, permite que os cibercriminosos monetizem os dispositivos comprometidos sem afetar sua estabilidade. A empresa de segurança Akamai descobriu um grande número de proxies compartilhados em um fórum online e destaca que o proxyjacking se tornou uma forma lucrativa para os criminosos ganharem dinheiro.

A empresa de cibersegurança Avast lançou um descriptografador gratuito para o ransomware Akira, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O Akira foi lançado em março de 2023 e atingiu empresas em todo o mundo. O descriptografador da Avast explora uma falha na criptografia do ransomware, mas é possível que os criminosos corrijam a vulnerabilidade no futuro. A Avast também está trabalhando em um descriptografador para sistemas Linux.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou para ataques de negação de serviço distribuídos (DDoS) contínuos, após organizações dos EUA de vários setores serem atingidas. As empresas foram aconselhadas a tomar medidas proativas para garantir que suas equipes de segurança estejam prontas para combater ou mitigar os efeitos desses ataques. A CISA fornece orientações sobre o que as organizações devem fazer antes e depois de um ataque DDoS.

O grupo MuddyWater, patrocinado pelo estado iraniano, está utilizando um novo framework chamado PhonyC2 em seus ataques. A ferramenta foi descoberta em um servidor relacionado à infraestrutura do grupo e está sendo usada para atacar o Instituto Technion em Israel. A MuddyWater é conhecida por realizar ataques cibernéticos em nome do Ministério de Inteligência e Segurança do Irã desde 2017.

Uma campanha ativa está visando servidores SSH vulneráveis para secretamente usá-los em uma rede de proxy. Os invasores exploram o SSH para acesso remoto e executam scripts maliciosos que transformam os servidores em nós de uma rede de proxy peer-to-peer (P2P). Isso permite que os atacantes usem o excesso de largura de banda dos servidores de forma invisível e reduz as chances de detecção. A atividade foi descoberta pela Akamai e também envolve a mineração de criptomoedas. A empresa enfatiza a importância de práticas de segurança padrão, como senhas fortes e gerenciamento de patches.

O WhatsApp lançou atualizações para sua função de proxy, permitindo mais flexibilidade no compartilhamento de conteúdo em conversas. Isso inclui a capacidade de enviar e receber imagens, notas de voz, arquivos, adesivos e GIFs. A função de proxy ajuda os usuários a contornar a censura governamental e obter acesso indireto ao WhatsApp. A Índia liderou o número de bloqueios de internet em 2022, com 84 casos.

Pesquisadores de cibersegurança descobriram um novo malware para Android chamado Fluhorse, que se destaca por incorporar componentes maliciosos diretamente no código do Flutter. O objetivo do malware é roubar credenciais, detalhes de cartão de crédito e códigos de autenticação de dois fatores recebidos por SMS. O Fluhorse evoluiu ao esconder seu payload criptografado em um empacotador e, uma vez instalado no dispositivo, exfiltra mensagens SMS para um servidor remoto. A descoberta é considerada um avanço no combate a aplicativos maliciosos desenvolvidos com Flutter.

Usuários da Uber no Brasil estão sendo vítimas de um suposto golpe em que os motoristas realizam corridas longas e cobram valores altos. Os casos estão sendo compartilhados nas redes sociais, mas ainda não há relatos diretos confirmados. A Uber afirmou que está em constante atualização para evitar fraudes e recomendou que os usuários fiquem atentos e denunciem qualquer problema.

O projeto DDoSia, apoiado pela Rússia, registrou um crescimento de 2.400% em menos de um ano, contando com mais de dez mil pessoas realizando ataques cibernéticos contra organizações ocidentais. Além disso, o projeto expandiu sua ferramenta e atingiu um público mais amplo, introduzindo binários para todos os principais sistemas operacionais. A maioria dos alvos são países da OTAN e a Ucrânia.

O MITRE divulgou a lista das 25 principais vulnerabilidades de software dos últimos dois anos, que podem ser exploradas por cibercriminosos para obter controle de sistemas, roubar dados ou interromper aplicativos. A lista foi baseada na análise de quase 44 mil entradas de vulnerabilidades descobertas no período. A divulgação dessas informações visa alertar a comunidade sobre as fraquezas mais críticas que exigem atenção imediata. CISA também incentiva desenvolvedores a adotarem as recomendações de mitigação sugeridas.

A empresa Proton AG lançou o Proton Pass, um gerenciador de senhas gratuito e de código aberto, disponível como extensão de navegador ou aplicativo para Android e iOS. Além de gerar senhas, o Proton Pass permite criar um endereço de e-mail aleatório para proteger a identidade dos usuários. O gerenciador também utiliza criptografia para proteger todas as informações, incluindo nome de usuário e endereço da web. O Proton Pass está disponível para download e a empresa promete lançar versões para Windows e macOS no futuro.

Analistas de segurança descobriram um novo trojan de acesso remoto chamado 'EarlyRAT', usado pelo grupo de hackers norte-coreano Lazarus. O grupo também está ligado ao ransomware Maui e utiliza o RAT para coletar informações do sistema e executar comandos nos dispositivos infectados. O EarlyRAT foi descoberto durante uma investigação de uma campanha do grupo Andariel. Os pesquisadores observaram que as atividades do EarlyRAT pareciam ser executadas por um operador inexperiente, devido ao número de erros e erros de digitação.

Pesquisadores de cibersegurança revelaram as atividades de um grupo de golpes chamado CryptosLabs, que estima ter lucrado ilegalmente €480 milhões desde abril de 2018, visando usuários de língua francesa na França, Bélgica e Luxemburgo. O grupo utiliza esquemas de investimento falsos, se passando por bancos e empresas financeiras, para atrair vítimas que são convencidas a investir seu dinheiro, mas não conseguem retirá-lo posteriormente. O grupo possui uma estrutura organizada e pretende expandir suas atividades no futuro.

Foi revelada uma falha crítica de segurança no plugin Social Login and Register da miniOrange para WordPress, que permite que um ator malicioso faça login como qualquer usuário, desde que tenha acesso ao endereço de e-mail. A vulnerabilidade foi corrigida na versão 7.6.5 do plugin. Além disso, outros plugins populares do WordPress, como LearnDash LMS e UpdraftPlus, também foram afetados por falhas de segurança recentemente.

O grupo de ameaças Andariel, alinhado à Coreia do Norte, usou um malware chamado EarlyRat para explorar a vulnerabilidade Log4j Log4Shell em ataques no ano passado. O grupo, conhecido por realizar espionagem e crimes cibernéticos, infecta máquinas por meio de um exploit do Log4j e baixa mais malware de um servidor de comando e controle. O EarlyRat é propagado por e-mails de phishing contendo documentos do Word que solicitam a ativação de macros, levando à execução do trojan. O grupo também utiliza ferramentas legítimas para explorar ainda mais o alvo.

Foi descoberto um novo malware chamado ThirdEye, capaz de roubar informações sensíveis de computadores com Windows. O malware se disfarça como um arquivo PDF russo e é provável que esteja sendo usado em campanhas de phishing direcionadas a organizações de língua russa. Ele coleta dados do sistema e os envia para um servidor de comando e controle. Embora não tenha sido usado em ataques reais, o ThirdEye pode ser usado como uma etapa inicial para futuros ataques. Além disso, outros malwares, como um minerador de criptomoedas e um stealer chamado Umbral, também estão sendo propagados por meio de jogos de vídeo game. Outro malware chamado SeroXen tem usado uma técnica de obfuscação para evadir a detecção e tem sido promovido em várias redes sociais.

Pesquisadores da IOActive descobriram que drones sem vulnerabilidades conhecidas podem ser alvos de ataques de injeção de falhas eletromagnéticas (EMFI), permitindo que um invasor execute código arbitrário e comprometa sua funcionalidade e segurança. O estudo foi realizado em um drone Mavic Pro fabricado pela DJI e revelou que é possível comprometer o dispositivo durante uma atualização de firmware, obtendo acesso ao sistema operacional Android do drone. Recomenda-se que os desenvolvedores de drones adotem contramedidas de EMFI baseadas em hardware e software para mitigar essas vulnerabilidades.

O Golpe da Shein continua ativo e agora os golpistas estão comprando anúncios no Google para enganar as vítimas. O esquema promete pagamentos em dinheiro para avaliar roupas da loja virtual, mas é uma fraude. A empresa de cibersegurança Kaspersky alerta para a nova tática e orienta as pessoas a ficarem atentas e não caírem no golpe. A Shein já se pronunciou afirmando que não tem relação com o esquema. O Google ainda não se posicionou sobre o assunto.

A empresa de proteção de dados Arcserve corrigiu uma falha de segurança em seu software de backup Unified Data Protection (UDP) que permitia que invasores contornassem a autenticação e obtivessem privilégios de administrador. A vulnerabilidade permitia que os atacantes destruíssem dados ao apagar os backups durante ataques de ransomware. A falha foi descoberta e relatada por pesquisadores de segurança da MDSec.

O grupo de ransomware Akira está usando um encryptor Linux para criptografar máquinas virtuais VMware ESXi em ataques de dupla extorsão contra empresas em todo o mundo. Desde março de 2023, o Akira já fez mais de 30 vítimas somente nos Estados Unidos. O encryptor Linux do Akira foi descoberto recentemente e possui recursos limitados em comparação com outros encryptors de VMware ESXi. Outros grupos de ransomware também têm usado encryptors Linux para atacar servidores VMware ESXi.