As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Os plugins Advanced Custom Fields e Advanced Custom Fields Pro para WordPress, com milhões de instalações, estão vulneráveis a ataques XSS, alertam pesquisadores de segurança. A vulnerabilidade foi descoberta em maio de 2023 e pode permitir que um invasor não autenticado roube informações sensíveis e aumente seus privilégios em um site do WordPress afetado. A correção foi lançada na versão 6.1.6, mas 72,1% dos usuários ainda estão usando versões anteriores vulneráveis.

O grupo de ameaça patrocinado pelo Estado norte-coreano conhecido como Kimsuky foi descoberto usando uma nova ferramenta de reconhecimento chamada ReconShark como parte de uma campanha global contínua. A ferramenta é entregue ativamente a indivíduos específicos por meio de e-mails de spear-phishing, links do OneDrive que levam a downloads de documentos e a execução de macros maliciosas. O malware é capaz de exfiltrar detalhes sobre os processos em execução, mecanismos de detecção implantados e informações de hardware, sugerindo que os dados coletados da ferramenta são usados para realizar ataques de precisão envolvendo malware adaptado ao ambiente-alvo de uma maneira que evite a detecção.

O repositório de pacotes de software PHP Packagist foi comprometido por um invasor que acessou quatro contas inativas na plataforma para sequestrar mais de uma dúzia de pacotes com mais de 500 milhões de instalações até o momento. O atacante substituiu a descrição do pacote em composer.json com sua própria mensagem, mas não fez outras alterações maliciosas. Todos os pacotes foram restaurados em 2 de maio de 2023, mas o incidente destaca a importância de habilitar a autenticação de dois fatores (2FA) para proteger as contas.

Uma vulnerabilidade crítica no servidor PaperCut pode ser explorada para executar código arbitrário com privilégios de sistema, alertam pesquisadores de segurança. A vulnerabilidade, rastreada como CVE-2023-27350 , foi corrigida pela PaperCut em março de 2023, mas foi explorada por grupos de ameaças, incluindo atores de ransomware. A VulnCheck publicou um exploit de prova de conceito que contorna as detecções existentes, usando o recurso "User/Group Sync" do software de gerenciamento de impressão.

Três novas falhas de segurança foram descobertas no serviço Azure API Management da Microsoft, que poderiam ser exploradas por invasores para ter acesso a informações confidenciais ou serviços de back-end. As falhas incluem duas vulnerabilidades de falsificação de solicitação do lado do servidor e uma instância de funcionalidade de upload de arquivo não restrita no portal do desenvolvedor do API Management. Todas as três vulnerabilidades foram corrigidas pela Microsoft após a divulgação responsável.

A Kaspersky identificou 11 aplicativos com malware de assinatura, chamado Fleckpe, na Google Play Store, disfarçados de aplicativos de edição de fotos, câmera e papel de parede. O malware se concentra em usuários da Tailândia, mas a empresa de segurança russa também identificou vítimas na Polônia, Malásia, Indonésia e Cingapura. Desde 2022, os aplicativos foram baixados mais de 620.000 vezes. O malware usa suas permissões para se inscrever em serviços pagos em nome do usuário e pode ser usado para colher informações sensíveis ou como porta de entrada para outros malwares mais maliciosos.

A Cisco divulgou uma vulnerabilidade crítica no seu adaptador de telefone SPA112 2-Port, permitindo que um atacante execute código arbitrário no dispositivo sem autenticação. Como o SPA112 atingiu o fim de sua vida útil, a Cisco recomenda que ele seja substituído pelo adaptador de telefone analógico da série ATA 190, que tem data de fim de vida útil em 31 de março de 2024. A empresa não forneceu soluções para a vulnerabilidade CVE-2023-20126 .

A gangue de ransomware Avos sequestrou o sistema de alerta de emergência da Bluefield University, na Virgínia, para enviar alertas por SMS e e-mail informando que dados pessoais haviam sido roubados e seriam em breve divulgados, a menos que a universidade pagasse um resgate. A gangue também usou o sistema para fornecer instruções sobre como acessar seu site de vazamento de dados. A Bluefield University disse que ainda não encontrou evidências de abuso de dados dos alunos.

O grupo de hackers norte-coreano Kimsuky está usando uma nova versão do seu malware de reconhecimento, chamado ReconShark, em uma campanha de ciberespionagem global que agora mira organizações governamentais, centros de pesquisa, universidades e think tanks nos Estados Unidos, Europa e Ásia. O malware é distribuído por meio de e-mails de spear-phishing personalizados com links para documentos maliciosos no Microsoft OneDrive, que contêm macros ativadoras. O ReconShark coleta informações sobre o sistema infectado e exfiltra tudo para o servidor C2 via HTTP POST requests. Ele também é capaz de buscar payloads adicionais para dar ao Kimsuky um melhor controle sobre o sistema infectado.

O grupo de hackers patrocinado pelo Estado chinês, Earth Longzhi, ressurgiu com uma nova campanha de ciberespionagem depois de mais de seis meses sem atividade. Com foco em governos, saúde, tecnologia e entidades de fabricação em Taiwan, Tailândia, Filipinas e Fiji, o grupo usa a técnica BYOVD para desativar a segurança dos hosts e o "stack rumbling" para interromper a execução de aplicativos. A campanha também utiliza um dropper baseado em DLL chamado Roxwrapper para fornecer outro loader Cobalt Strike chamado BigpipeLoader.

A Meta, empresa proprietária do Facebook e Instagram, removeu centenas de perfis falsos usados por três grupos de hackers para atacar pessoas no sul da Ásia. Os hackers usaram engenharia social para convencer as pessoas a clicarem em links maliciosos, baixarem malwares ou compartilharem informações pessoais. Alguns dos ataques envolviam o uso de malwares de baixa sofisticação para driblar verificações de verificação de aplicativos estabelecidas pela Apple e Google. A Meta também desativou redes fraudulentas de notícias, grupos hacktivistas e ONGs que foram montadas para criar credibilidade.

Com a ajuda da inteligência artificial, o golpe do impostor, que simula sequestro de familiares, está se tornando cada vez mais comum em todo o mundo, com uma em cada quatro pessoas tendo sido impactada, segundo a empresa de segurança McAfee. Em 77% dos casos, houve perda de dinheiro, com uma em cada 10 vítimas afirmando terem sido fraudadas em mais de US$ 5 mil. A Índia é o país com maior incidência desse tipo de crime, seguido pelos Estados Unidos e pelo Reino Unido.

O grupo de hackers russo Sandworm foi vinculado a um ataque em redes estatais ucranianas, usando o programa WinRar para destruir dados em dispositivos governamentais. Os hackers usaram contas VPN comprometidas sem autenticação multifator para acessar sistemas críticos na rede do estado ucraniano. Uma vez dentro da rede, eles empregaram scripts que apagaram arquivos em máquinas Windows e Linux usando o programa de arquivamento WinRar. A CERT-UA recomenda que todas as organizações críticas no país reduzam sua superfície de ataque, corrijam falhas, desativem serviços desnecessários, limitem o acesso às interfaces de gerenciamento e monitorem o tráfego de rede e os logs.

O grupo de hackers APT-Q-27 está usando variações complexas da técnica de DLL sideloading para evadir detecção em ataques direcionados a usuários de língua chinesa no Windows. Os ataques usam aplicativos como o Telegram para carregar um payload de segundo estágio que, por sua vez, carrega um DLL malicioso. As vítimas são atraídas por aplicativos Trojanized promovidos por malvertizing. O backdoor resultante suporta vários comandos, incluindo roubo de criptomoedas.

Brightline, provedor de saúde mental infantil, sofreu um ataque de ransomware que expôs dados de 783.606 pessoas após a gangue Clop roubar informações usando uma vulnerabilidade zero-day em sua plataforma de compartilhamento de arquivos segura Fortra GoAnywhere MFT. O ataque foi parte de uma campanha maior que incluiu 130 empresas. A Brightline está oferecendo dois anos de serviços gratuitos de monitoramento de crédito e roubo de identidade para os afetados.

O Google está implementando o suporte a passkeys para contas do Google, permitindo que usuários façam login sem senha ou verificação em duas etapas. As passkeys funcionam localmente em cada dispositivo, permitindo o uso de autenticação biométrica ou PINs. A transição para autenticação sem senha melhorará a segurança online. Os passkeys também são apoiados pela Microsoft e Apple como padrão de autenticação sem senha.

Denis Gennadievich Kulkov, cidadão russo, foi indiciado pelo Departamento de Justiça dos EUA por operar um serviço de verificação de cartões de crédito roubados que gerou dezenas de milhões em receita. Kulkov é acusado de criar a plataforma Try2Check em 2005, usada por cibercriminosos no comércio ilegal de cartões de crédito. A plataforma foi derrubada na quarta-feira em uma operação conjunta entre os EUA, Alemanha, Áustria e França, e Kulkov enfrenta 20 anos de prisão se for condenado. O Departamento de Estado dos EUA ofereceu uma recompensa de US$ 10 milhões por informações que levem à captura de Kulkov.

A cidade de Dallas, no Texas, sofreu um ataque de ransomware da operação Royal, levando ao desligamento de alguns sistemas de TI para impedir a propagação do ataque. Os sistemas de comunicação e TI da polícia foram desligados, e os despachantes do 911 tiveram que anotar relatórios recebidos para os oficiais, em vez de enviá-los pelo sistema de despacho assistido por computador. O sistema de tribunais também cancelou todos os julgamentos do júri e do dever do júri de 2 a 4 de maio por causa do ataque.

O Facebook descobriu um novo malware de roubo de informações chamado 'NodeStealer', distribuído no Meta, que permite que os cibercriminosos roubem cookies do navegador para sequestrar contas na plataforma, bem como contas do Gmail e do Outlook. A captura de cookies que contêm tokens de sessão de usuário válidos é uma tática que está crescendo em popularidade entre os cibercriminosos, permitindo que eles sequestrarem contas sem precisar roubar credenciais ou interagir com o alvo. O Facebook interrompeu a operação e ajudou os usuários afetados a recuperar suas contas.

O Brasil é o segundo país mais atingido por ransomware no mundo, de acordo com a Trend Micro, com 29,9% de todos os ataques registrados em 2022, enquanto o volume geral de ameaças cibernéticas atingiu seu maior patamar desde 2016, com 146 bilhões de incidentes. Empresas de médio porte são cada vez mais alvo, e o valor médio pago pelas empresas após sofrerem um ataque de ransomware teve queda de 20% no último trimestre de 2022.