As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo cibernético iraniano conhecido como TA453 foi ligado a novos ataques de spear-phishing que infectam os sistemas operacionais Windows e macOS com malware. O grupo utiliza uma variedade de provedores de hospedagem em nuvem para distribuir o malware, incluindo o backdoor PowerShell GorjolEcho. Além disso, eles também desenvolveram uma cadeia de infecção específica para dispositivos Apple, chamada NokNok. O TA453 é um grupo de ameaças vinculado ao Corpo de Guardiões da Revolução Islâmica do Irã e está ativo desde 2011.

Agências de cibersegurança alertaram sobre novas variantes do malware TrueBot, que estão visando empresas nos EUA e Canadá para extrair dados confidenciais. Esses ataques exploram uma vulnerabilidade crítica no Netwrix Auditor server e seus agentes associados. Os cibercriminosos instalam o TrueBot para roubar dados e disseminar ransomware, comprometendo a segurança das redes infiltradas. É importante que as organizações atualizem seus sistemas e implementem medidas de segurança para se protegerem contra esse malware.

Nickelodeon confirmou que os dados vazados de um suposto ataque cibernético são legítimos, mas alguns deles parecem ser antigos. A empresa está investigando o ocorrido, mas afirma que os arquivos vazados não contêm dados de usuários ou funcionários, apenas recursos de produção e propriedade intelectual. A re-distribuição desses arquivos é ilegal e pode resultar em consequências legais.

Pesquisadores de segurança descobriram dois aplicativos maliciosos na Google Play que coletavam dados excessivos dos usuários sem consentimento. Os aplicativos, chamados de File Recovery e Data Recovery, foram instalados mais de 1,5 milhão de vezes. Recomenda-se sempre verificar as avaliações dos usuários antes de instalar um aplicativo e confiar apenas em desenvolvedores confiáveis. A Google afirmou que removeu os aplicativos da Play Store e seu sistema de proteção Google Play Protect também protege os usuários contra esse tipo de malware.

Um membro suspeito do grupo de hackers francófono OPERA1ER foi preso na Costa do Marfim como parte da operação Nervone. O grupo é acusado de roubar cerca de 11 milhões de dólares em ataques a empresas financeiras e de telecomunicações em 15 países da África, Ásia e América Latina.

Um novo ransomware chamado RedEnergy está mirando empresas de energia, petróleo, gás, telecomunicações e maquinário nas Filipinas e no Brasil por meio de suas páginas no LinkedIn. O malware é capaz de roubar informações dos navegadores e criptografar arquivos das vítimas, exigindo um resgate para recuperar o acesso aos dados. O RedEnergy utiliza páginas confiáveis do LinkedIn para redirecionar os usuários para páginas falsas de atualizações de navegador, onde são levados a baixar um executável malicioso.

Pesquisadores de segurança cibernética descobriram uma infraestrutura de ataque sendo usada em uma campanha potencialmente massiva contra ambientes nativos de nuvem. O ataque, chamado de Silentbob, está ligado ao grupo de criptojacking conhecido como TeamTNT. O objetivo é implantar malware, roubar credenciais de nuvem e se infiltrar ainda mais no sistema. Foram encontrados 51 servidores com instâncias expostas do JupyterLab sendo explorados ativamente.

Pesquisadores de segurança alertam que milhares de sistemas de monitoramento e diagnóstico de energia solar estão acessíveis na internet, tornando-se alvos potenciais para hackers. Esses sistemas são usados para monitorar o desempenho, solucionar problemas e otimizar unidades de produção de energia renovável. Embora nem todos os sistemas estejam vulneráveis, visitantes não autenticados podem obter informações que podem ser usadas em ataques. Portanto, é importante que os administradores desses sistemas usem credenciais fortes e únicas, ativem a autenticação de múltiplos fatores e mantenham seus sistemas atualizados. Além disso, é recomendado isolar o equipamento em sua própria rede.

A Google lançou as atualizações mensais de segurança para o sistema operacional Android, corrigindo 46 vulnerabilidades. Três dessas vulnerabilidades estão sendo ativamente exploradas. As atualizações cobrem as versões 11, 12 e 13 do Android, mas dispositivos mais antigos podem estar vulneráveis. Recomenda-se substituir o dispositivo por um modelo mais recente ou instalar uma distribuição Android de terceiros que implemente atualizações de segurança, mesmo que com atraso.

Foi descoberta uma vulnerabilidade séria no kernel do Linux, chamada StackRot ( CVE-2023-3269 ), que pode comprometer o sistema e elevar os privilégios. Um patch está disponível desde 1º de julho e mais detalhes sobre o problema serão divulgados em breve. A vulnerabilidade afeta as versões 6.1 a 6.4 do kernel. Os usuários devem verificar a versão do kernel em seu sistema e escolher uma que não seja afetada pelo StackRot ou uma versão atualizada que contenha a correção.

Um membro da equipe de segurança da Marinha dos EUA publicou uma ferramenta chamada TeamsPhisher que explora uma falha de segurança no Microsoft Teams para contornar restrições de arquivos recebidos de usuários externos a uma organização. A Microsoft ainda não corrigiu o problema.

A Cisco alertou os clientes sobre uma vulnerabilidade de alta gravidade que afeta alguns modelos de switches de data center, permitindo que os invasores manipulem o tráfego criptografado. A falha foi encontrada durante testes internos de segurança nos switches de tecido da série Cisco Nexus 9000. A exploração bem-sucedida permite que os invasores não autenticados leiam ou modifiquem o tráfego criptografado entre sites. A Cisco ainda não emitiu atualizações de software para resolver a vulnerabilidade e os clientes devem desativar o recurso vulnerável.

O Threads, concorrente do Twitter desenvolvido pela Meta, não será lançado na União Europeia devido a preocupações com a privacidade, de acordo com a Comissão de Proteção de Dados da Irlanda. Embora a agência não tenha bloqueado ativamente o lançamento, a Meta está adotando uma abordagem cautelosa para trazer o serviço para a região, que possui proteções rigorosas de privacidade.

A Autoridade Sueca de Proteção à Privacidade multou duas empresas em 12,3 milhões de coroas suecas por violarem o Regulamento Geral de Proteção de Dados da UE ao usar o Google Analytics. Duas outras empresas foram advertidas sobre a mesma prática. A decisão serve como orientação para a indústria e pode levar outras empresas a ajustarem suas estratégias para cumprir as regras da UE.

O Porto de Nagoya, o maior e mais movimentado porto do Japão, foi alvo de um ataque de ransomware que afeta a operação dos terminais de contêineres. O ataque causou o cancelamento das operações de carga e descarga, gerando grandes perdas financeiras e interrupção no fluxo de mercadorias. A autoridade portuária está trabalhando para restaurar o sistema afetado e retomar as operações. O responsável pelo ataque ainda é desconhecido.

Um ator de e-crime mexicano, conhecido como Neo_Net, está envolvido em uma campanha de malware para dispositivos Android que visa instituições financeiras globalmente, com foco em bancos espanhóis e chilenos. O ator foi responsável pelo roubo de mais de 350.000 euros e pelo comprometimento de informações pessoais de milhares de vítimas. Neo_Net também está envolvido na venda de dados de vítimas comprometidas e oferece serviços de smishing.

Uma campanha de phishing chamada SmugX, atribuída a um ator de ameaça chinês, tem como alvo embaixadas e ministérios das Relações Exteriores no Reino Unido, França, Suécia, Ucrânia, República Tcheca, Hungria e Eslováquia desde dezembro de 2022. A campanha utiliza documentos temáticos sobre políticas domésticas e externas europeias para atrair as vítimas. Os ataques são realizados por meio de técnicas de HTML smuggling e DLL sideloading, com o objetivo provável de espionagem. O malware PlugX é utilizado para exfiltrar arquivos, tirar screenshots e executar comandos. Acredita-se que grupos chineses de ameaças estejam cada vez mais interessados em alvos europeus.

A Microsoft negou as alegações dos hacktivistas "Anonymous Sudan" de que invadiram os servidores da empresa e roubaram credenciais de 30 milhões de contas de clientes. A empresa afirmou que a análise dos dados mostra que não houve violação de dados. A investigação da Microsoft ainda está em andamento.

Centenas de milhares de firewalls FortiGate estão vulneráveis a uma falha de segurança crítica, mesmo após uma atualização ter sido lançada. A vulnerabilidade permite a execução remota de código e afeta dispositivos com a interface SSL VPN exposta na web. Cerca de 300.000 aparelhos ainda são vulneráveis, de acordo com a empresa de segurança Bishop Fox. Além disso, muitos desses dispositivos não receberam atualizações nos últimos oito anos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou oito falhas ao catálogo de Vulnerabilidades Conhecidas Exploradas (CVE), incluindo seis vulnerabilidades em smartphones Samsung e duas em dispositivos D-Link. Todas as falhas foram corrigidas em 2021. Acredita-se que as vulnerabilidades em dispositivos Samsung possam ter sido exploradas por um fornecedor de spyware comercial em ataques altamente direcionados. As agências do governo dos EUA devem corrigir as falhas até 20 de julho de 2023.