As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A gigante da tecnologia anunciou a substituição do NTLM pelo Kerberos no Windows 11 como parte de um pacote de medidas de segurança. A depreciação, prevista para o segundo semestre de 2024, visa reforçar a autenticação dos usuários, juntamente com melhorias como proteção LSA, segurança baseada em virtualização para Windows Hello e Smart App Control aprimorado por IA.

Duas vulnerabilidades graves foram descobertas, uma no pacote llama_cpp_python, com risco de execução de código arbitrário, e outra na biblioteca PDF.js da Mozilla. Correções já foram disponibilizadas, reforçando a importância da atualização constante de softwares.

A OmniVision reportou um incidente de segurança após ser alvo do ransomware Cactus, resultando na criptografia de seus sistemas e no vazamento de dados sensíveis, incluindo passaportes e contratos, entre setembro de 2023. A empresa, agora, reforça sua segurança e oferece serviços de monitoramento de crédito para os afetados.

Pesquisadores da Tenable descobriram uma falha grave, CVE-2024-4323 , em Fluent Bit, afetando grandes provedores de nuvem e diversas empresas de tecnologia. Esse defeito no servidor HTTP embutido pode facilitar ataques de negação de serviço e execução de código remoto. Correções foram implementadas na versão 3.0.4 para mitigar os riscos.

A WatchTowr Labs revelou quinze falhas de segurança no sistema operacional dos NAS QNAP, incluindo um grave buffer overflow que permite execução remota de código, com onze ainda sem correção. Apesar dos esforços, apenas quatro foram reparadas até o momento.

Atores de ameaças exploram falha no Foxit PDF Reader para disseminar malware, incluindo Agent Tesla e NanoCore RAT. A falha induz os usuários a executarem comandos prejudiciais, aproveitando-se da interação automática com pop-ups. Especialistas identificam campanhas de espionagem e roubo de dados, usando plataformas legítimas como Discord e Trello para evasão. Foxit promete correção.

A CISA adicionou ao seu catálogo KEV uma vulnerabilidade no Mirth Connect, plataforma aberta de integração de dados em saúde, identificada como CVE-2023-43208 , devido a execuções de código remoto não autenticadas. Agências federais devem atualizar o software até junho de 2024.

Uma ameaça virtual iraniana associada ao Ministério da Inteligência e Segurança (MOIS) é responsável por ataques destrutivos na Albânia e Israel, usando malware específico para apagar dados. Conhecido como Void Manticore, este grupo coordena ações com outro ator, Scarred Manticore, intensificando o impacto contra os alvos.

Empresas como Nubank e Mercado Livre testam o recurso "Risco de Acesso a App" do Android 15, introduzido no Google I/O 2024. Essa ferramenta detecta apps maliciosos, visando proteger usuários contra fraudes, como o temido "golpe da mão fantasma".

Após ser alvo de autoridades em janeiro, o malware Grandoreiro volta a atacar. Com evoluções significativas, especialmente em algoritmos de criptografia e distribuição via e-mails falsos usando Outlook, mira instituições financeiras mundialmente, afetando mais de 60 países.

A partir de julho, a Microsoft implementará gradualmente a autenticação multi-fator (MFA) para todos os usuários que administram recursos no Azure, melhorando significativamente a segurança contra ataques cibernéticos. A medida exclui contas automatizadas como service principals e abrange interfaces como Azure portal, CLI, PowerShell e Terraform. Admins são incentivados a ativar o MFA antecipadamente para reforçar a proteção.

Pesquisadores da Trend Micro descobriram o Deuterbear, usado pelo grupo BlackTech, com capacidades avançadas como suporte para shellcode plugins e comunicação C&C via HTTPS. Esse RAT se junta ao SugarGh0st, outro malware em foco, visando organizações americanas de inteligência artificial.

Este novo ataque aproveita falhas em aplicativos para minerar criptomoedas de forma ilícita. Desde 2019, o grupo utiliza malwares, comprometendo sistemas Linux e Windows. Ameaça evolui com técnicas sofisticadas, desativando seguranças e eliminando concorrentes.

O Departamento de Justiça dos EUA prendeu dois chineses por lavar $73 milhões através de um scam de investimento em cripto. Separadamente, irmãos são acusados de roubar $25 milhões em Ethereum, explorando vulnerabilidades da blockchain. Crimes complexos com uso de tecnologia avançada evidenciam a urgência em reforçar a cibersegurança.

A CISA adicionou à sua lista de vulnerabilidades conhecidas e exploradas, falhas críticas no Google Chrome e em roteadores D-Link. Agências federais e empresas devem aplicar correções urgentes para evitar ataques. Problemas envolvem uma fragilidade grave no motor V8 do Chrome e deficiências antigas em modelos específicos de roteadores D-Link, com prazo até 6 de junho para ação.

Pesquisadores identificam um aumento nas campanhas de phishing entregando o Latrodectus, um malware com capacidades avançadas de post-exploitação. Esta ameaça, que pode ser o sucessor do IcedID, destaca-se pelo uso de JavaScript para invadir sistemas e obfuscate seu código, dificultando sua análise e detecção.

Uma complexa operação de ciberataque foi identificada, abusando de serviços legítimos como GitHub e FileZilla para disseminar malwares, incluindo stealers e trojans bancários, através de versões falsificadas de softwares populares. Registrada como GitCaught, a campanha evidencia o uso de infraestruturas cruzadas para atingir diversos sistemas operacionais, apontando para atores de ameaças russófonos como suspeitos.

A empresa sul-coreana Genians revelou que o grupo ligado à Coreia do Norte, Kimsuky, lança uma campanha de engenharia social via Facebook para disseminar malware. Visando ativistas dos direitos humanos e opositores da Coreia do Norte, utilizam contas fictícias para enviar documentos prejudiciais através do Messenger. .

O grupo hacker Kimsuky, apoiado pelo governo da Coreia do Norte, está implementando um malware chamado Gomir, variante Linux do backdoor GoBear, através de instaladores de software trojanizados. Essa campanha tem como alvo principal organizações governamentais sul-coreanas, usando softwares como TrustPKI e NX_PRNMAN. O Gomir é capaz de executar um vasto leque de operações maliciosas, desde executar comandos arbitrários até configurar proxies reversos, demonstrando a adaptabilidade e periculosidade dessa nova ferramenta de espionagem.

Pesquisadores identificaram uma falha no padrão IEEE 802.11 que permite ataques de confusão SSID, levando vítimas a redes menos seguras. A brecha afeta todos clientes Wi-Fi, com propostas de mitigação envolvendo atualizações do padrão e precauções únicas de credenciais.