As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Uma campanha de phishing chamada SmugX, atribuída a um ator de ameaça chinês, tem como alvo embaixadas e ministérios das Relações Exteriores no Reino Unido, França, Suécia, Ucrânia, República Tcheca, Hungria e Eslováquia desde dezembro de 2022. A campanha utiliza documentos temáticos sobre políticas domésticas e externas europeias para atrair as vítimas. Os ataques são realizados por meio de técnicas de HTML smuggling e DLL sideloading, com o objetivo provável de espionagem. O malware PlugX é utilizado para exfiltrar arquivos, tirar screenshots e executar comandos. Acredita-se que grupos chineses de ameaças estejam cada vez mais interessados em alvos europeus.

A Microsoft negou as alegações dos hacktivistas "Anonymous Sudan" de que invadiram os servidores da empresa e roubaram credenciais de 30 milhões de contas de clientes. A empresa afirmou que a análise dos dados mostra que não houve violação de dados. A investigação da Microsoft ainda está em andamento.

Centenas de milhares de firewalls FortiGate estão vulneráveis a uma falha de segurança crítica, mesmo após uma atualização ter sido lançada. A vulnerabilidade permite a execução remota de código e afeta dispositivos com a interface SSL VPN exposta na web. Cerca de 300.000 aparelhos ainda são vulneráveis, de acordo com a empresa de segurança Bishop Fox. Além disso, muitos desses dispositivos não receberam atualizações nos últimos oito anos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou oito falhas ao catálogo de Vulnerabilidades Conhecidas Exploradas (CVE), incluindo seis vulnerabilidades em smartphones Samsung e duas em dispositivos D-Link. Todas as falhas foram corrigidas em 2021. Acredita-se que as vulnerabilidades em dispositivos Samsung possam ter sido exploradas por um fornecedor de spyware comercial em ataques altamente direcionados. As agências do governo dos EUA devem corrigir as falhas até 20 de julho de 2023.

Pesquisadores de cibersegurança desenvolveram a ferramenta 'Snappy' para detectar pontos de acesso WiFi falsos ou maliciosos que tentam roubar dados de pessoas desavisadas. A ferramenta analisa elementos estáticos dos pontos de acesso, criando uma assinatura única para cada um. Se houver divergência na assinatura, o Snappy identifica o ponto de acesso como suspeito. A ferramenta está disponível gratuitamente no repositório GitHub da Trustwave.

O grupo de ransomware BlackCat está executando campanhas de malvertising para infectar computadores de administradores de sistema e profissionais de TI por meio de páginas falsas que imitam o site oficial do aplicativo de transferência de arquivos WinSCP. O malware é distribuído por meio de instaladores infectados. A descoberta foi feita pela Trend Micro.

O grupo de hackers Charming Kitten, ligado ao Corpo de Guardiões da Revolução Islâmica do Irã, foi atribuído a um novo ataque de phishing que utiliza o backdoor POWERSTAR. O grupo é conhecido por usar engenharia social para atrair suas vítimas e já foi vinculado a outros ataques. O POWERSTAR é uma ferramenta de espionagem que permite a execução remota de comandos e a coleta de informações do sistema. O grupo está constantemente aprimorando suas técnicas para evitar detecção.

Pesquisadores descobriram uma nova versão do malware Rustbucket para macOS, desenvolvido pelo grupo de hackers BlueNoroff, da Coreia do Norte. O malware possui capacidades aprimoradas para se manter no sistema e evitar a detecção por software de segurança. Ele é projetado para atacar instituições financeiras na Ásia, Europa e EUA, visando gerar receita ilícita para evitar sanções. A nova versão do Rustbucket utiliza um mecanismo de persistência incomum e um domínio DNS dinâmico para comando e controle.

A TSMC, principal fabricante de semicondutores do mundo, foi vítima de um ataque de ransomware pela gangue LockBit, que exigiu um resgate de US$ 70 milhões. Embora a TSMC tenha minimizado o impacto, a exposição de informações de configuração de servidores representa um risco para a empresa e seus clientes de alto perfil, como Apple e Nvidia. A gangue LockBit é conhecida por atacar grandes empresas de tecnologia, como a Accenture.

Hackers estão explorando uma vulnerabilidade de escalonamento de privilégios zero-day no plugin 'Ultimate Member' do WordPress para comprometer sites, registrando contas de administrador falsas. O problema afeta todas as versões do plugin, incluindo a mais recente, e os desenvolvedores estão trabalhando para resolver a questão. A empresa de segurança Wordfence recomenda desinstalar o plugin para evitar problemas.

Atacantes estão hackeando servidores SSH vulneráveis para usar sua largura de banda não utilizada em serviços de proxyware que pagam pelo compartilhamento de recursos. Essa tática, conhecida como proxyjacking, permite que os cibercriminosos monetizem os dispositivos comprometidos sem afetar sua estabilidade. A empresa de segurança Akamai descobriu um grande número de proxies compartilhados em um fórum online e destaca que o proxyjacking se tornou uma forma lucrativa para os criminosos ganharem dinheiro.

A empresa de cibersegurança Avast lançou um descriptografador gratuito para o ransomware Akira, permitindo que as vítimas recuperem seus dados sem pagar o resgate. O Akira foi lançado em março de 2023 e atingiu empresas em todo o mundo. O descriptografador da Avast explora uma falha na criptografia do ransomware, mas é possível que os criminosos corrijam a vulnerabilidade no futuro. A Avast também está trabalhando em um descriptografador para sistemas Linux.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou para ataques de negação de serviço distribuídos (DDoS) contínuos, após organizações dos EUA de vários setores serem atingidas. As empresas foram aconselhadas a tomar medidas proativas para garantir que suas equipes de segurança estejam prontas para combater ou mitigar os efeitos desses ataques. A CISA fornece orientações sobre o que as organizações devem fazer antes e depois de um ataque DDoS.

O grupo MuddyWater, patrocinado pelo estado iraniano, está utilizando um novo framework chamado PhonyC2 em seus ataques. A ferramenta foi descoberta em um servidor relacionado à infraestrutura do grupo e está sendo usada para atacar o Instituto Technion em Israel. A MuddyWater é conhecida por realizar ataques cibernéticos em nome do Ministério de Inteligência e Segurança do Irã desde 2017.

Uma campanha ativa está visando servidores SSH vulneráveis para secretamente usá-los em uma rede de proxy. Os invasores exploram o SSH para acesso remoto e executam scripts maliciosos que transformam os servidores em nós de uma rede de proxy peer-to-peer (P2P). Isso permite que os atacantes usem o excesso de largura de banda dos servidores de forma invisível e reduz as chances de detecção. A atividade foi descoberta pela Akamai e também envolve a mineração de criptomoedas. A empresa enfatiza a importância de práticas de segurança padrão, como senhas fortes e gerenciamento de patches.

O WhatsApp lançou atualizações para sua função de proxy, permitindo mais flexibilidade no compartilhamento de conteúdo em conversas. Isso inclui a capacidade de enviar e receber imagens, notas de voz, arquivos, adesivos e GIFs. A função de proxy ajuda os usuários a contornar a censura governamental e obter acesso indireto ao WhatsApp. A Índia liderou o número de bloqueios de internet em 2022, com 84 casos.

Pesquisadores de cibersegurança descobriram um novo malware para Android chamado Fluhorse, que se destaca por incorporar componentes maliciosos diretamente no código do Flutter. O objetivo do malware é roubar credenciais, detalhes de cartão de crédito e códigos de autenticação de dois fatores recebidos por SMS. O Fluhorse evoluiu ao esconder seu payload criptografado em um empacotador e, uma vez instalado no dispositivo, exfiltra mensagens SMS para um servidor remoto. A descoberta é considerada um avanço no combate a aplicativos maliciosos desenvolvidos com Flutter.

Usuários da Uber no Brasil estão sendo vítimas de um suposto golpe em que os motoristas realizam corridas longas e cobram valores altos. Os casos estão sendo compartilhados nas redes sociais, mas ainda não há relatos diretos confirmados. A Uber afirmou que está em constante atualização para evitar fraudes e recomendou que os usuários fiquem atentos e denunciem qualquer problema.

O projeto DDoSia, apoiado pela Rússia, registrou um crescimento de 2.400% em menos de um ano, contando com mais de dez mil pessoas realizando ataques cibernéticos contra organizações ocidentais. Além disso, o projeto expandiu sua ferramenta e atingiu um público mais amplo, introduzindo binários para todos os principais sistemas operacionais. A maioria dos alvos são países da OTAN e a Ucrânia.

O MITRE divulgou a lista das 25 principais vulnerabilidades de software dos últimos dois anos, que podem ser exploradas por cibercriminosos para obter controle de sistemas, roubar dados ou interromper aplicativos. A lista foi baseada na análise de quase 44 mil entradas de vulnerabilidades descobertas no período. A divulgação dessas informações visa alertar a comunidade sobre as fraquezas mais críticas que exigem atenção imediata. CISA também incentiva desenvolvedores a adotarem as recomendações de mitigação sugeridas.