As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de ameaças Andariel, alinhado à Coreia do Norte, usou um malware chamado EarlyRat para explorar a vulnerabilidade Log4j Log4Shell em ataques no ano passado. O grupo, conhecido por realizar espionagem e crimes cibernéticos, infecta máquinas por meio de um exploit do Log4j e baixa mais malware de um servidor de comando e controle. O EarlyRat é propagado por e-mails de phishing contendo documentos do Word que solicitam a ativação de macros, levando à execução do trojan. O grupo também utiliza ferramentas legítimas para explorar ainda mais o alvo.

Foi descoberto um novo malware chamado ThirdEye, capaz de roubar informações sensíveis de computadores com Windows. O malware se disfarça como um arquivo PDF russo e é provável que esteja sendo usado em campanhas de phishing direcionadas a organizações de língua russa. Ele coleta dados do sistema e os envia para um servidor de comando e controle. Embora não tenha sido usado em ataques reais, o ThirdEye pode ser usado como uma etapa inicial para futuros ataques. Além disso, outros malwares, como um minerador de criptomoedas e um stealer chamado Umbral, também estão sendo propagados por meio de jogos de vídeo game. Outro malware chamado SeroXen tem usado uma técnica de obfuscação para evadir a detecção e tem sido promovido em várias redes sociais.

Pesquisadores da IOActive descobriram que drones sem vulnerabilidades conhecidas podem ser alvos de ataques de injeção de falhas eletromagnéticas (EMFI), permitindo que um invasor execute código arbitrário e comprometa sua funcionalidade e segurança. O estudo foi realizado em um drone Mavic Pro fabricado pela DJI e revelou que é possível comprometer o dispositivo durante uma atualização de firmware, obtendo acesso ao sistema operacional Android do drone. Recomenda-se que os desenvolvedores de drones adotem contramedidas de EMFI baseadas em hardware e software para mitigar essas vulnerabilidades.

O Golpe da Shein continua ativo e agora os golpistas estão comprando anúncios no Google para enganar as vítimas. O esquema promete pagamentos em dinheiro para avaliar roupas da loja virtual, mas é uma fraude. A empresa de cibersegurança Kaspersky alerta para a nova tática e orienta as pessoas a ficarem atentas e não caírem no golpe. A Shein já se pronunciou afirmando que não tem relação com o esquema. O Google ainda não se posicionou sobre o assunto.

A empresa de proteção de dados Arcserve corrigiu uma falha de segurança em seu software de backup Unified Data Protection (UDP) que permitia que invasores contornassem a autenticação e obtivessem privilégios de administrador. A vulnerabilidade permitia que os atacantes destruíssem dados ao apagar os backups durante ataques de ransomware. A falha foi descoberta e relatada por pesquisadores de segurança da MDSec.

O grupo de ransomware Akira está usando um encryptor Linux para criptografar máquinas virtuais VMware ESXi em ataques de dupla extorsão contra empresas em todo o mundo. Desde março de 2023, o Akira já fez mais de 30 vítimas somente nos Estados Unidos. O encryptor Linux do Akira foi descoberto recentemente e possui recursos limitados em comparação com outros encryptors de VMware ESXi. Outros grupos de ransomware também têm usado encryptors Linux para atacar servidores VMware ESXi.

O navegador Brave irá introduzir controles de restrição que permitirão aos usuários especificar por quanto tempo os sites podem acessar recursos da rede local. Isso visa evitar que sites coletem informações dos usuários ou acessem recursos locais sem restrições. Além disso, o Brave bloqueará scripts e sites que abusam desse acesso e terá uma lista de sites confiáveis permitidos a solicitar permissão para acessar recursos da rede local.

A Microsoft lançou o Sysmon 15, tornando-o um processo protegido e adicionando a opção 'FileExecutableDetected' para registrar a criação de arquivos executáveis. O Sysmon é uma ferramenta gratuita da Microsoft que monitora e bloqueia atividades maliciosas/suspeitas e registra eventos no Windows Event Log. A nova versão também inclui a detecção de arquivos executáveis criados no sistema monitorado.

Pesquisadores de cibersegurança descobriram uma nova campanha direcionada ao ecossistema do npm que utiliza uma cadeia de execução única para entregar um payload desconhecido a sistemas-alvo. Os pacotes envolvidos nessa campanha são instalados em pares e trabalham em conjunto para buscar recursos adicionais e executar scripts. A identidade do autor da ameaça ainda é desconhecida, mas a complexidade do ataque mostra um cenário em constante evolução de ameaças na comunidade de código aberto. Além disso, foram encontrados pacotes maliciosos no repositório PyPI do Python, que visam sistemas operacionais Windows e Linux.

Foram divulgadas múltiplas vulnerabilidades de injeção de SQL no Gentoo Soko, que poderiam levar à execução remota de código em sistemas vulneráveis. As falhas foram corrigidas em 24 horas após a divulgação responsável. Essas vulnerabilidades poderiam expor informações sensíveis e permitir a execução de comandos arbitrários no sistema.

Um novo ransomware chamado 8Base tem sido responsável por um aumento significativo nos ataques em maio e junho de 2023. O grupo utiliza técnicas de criptografia e "name-and-shame" para forçar as vítimas a pagarem o resgate. O ransomware está ligado a 67 ataques, com a maioria das vítimas sendo empresas dos setores de serviços, manufatura e construção nos Estados Unidos e no Brasil. Sua origem é desconhecida, mas há semelhanças com outro grupo chamado RansomHouse. Também foi identificada uma possível ligação com o ransomware Phobos.

Uma nova técnica de injeção de processo chamada Mockingjay pode ser explorada por hackers para executar código malicioso em sistemas comprometidos sem serem detectados. A técnica usa DLLs vulneráveis ​​e copia código para a seção correta, evitando a alocação de espaço, permissões e início de thread. Isso torna difícil para os sistemas de detecção detectarem essa técnica. A pesquisa foi realizada pela empresa de segurança Security Joes.

O dispositivo Flipper Zero, utilizado em pesquisas de hardware e cibersegurança, está em alta demanda e deve acumular pelo menos US$ 80 milhões em vendas este ano. Apesar de facilitar ataques cibernéticos, o aparelho também pode ser utilizado para atividades ilícitas, o que tem preocupado autoridades internacionais. A falta de homologação levou a Anatel a apreender cargas do dispositivo no Brasil. O Flipper Zero é uma ferramenta para testar a segurança de dispositivos com comunicação sem fio, mas suas características também permitem atividades maliciosas.

A empresa de tecnologia Siemens Energy confirmou que dados foram roubados durante ataques de ransomware usando uma vulnerabilidade zero-day na plataforma MOVEit Transfer. A empresa afirmou que nenhum dado crítico foi comprometido e que suas operações não foram afetadas. A gangue de ransomware Clop também alega ter roubado dados da Schneider Electric. Os ataques têm causado vazamento de dados sensíveis de milhões de pessoas.

Pesquisadores da Censys descobriram centenas de dispositivos expostos à Internet em redes de agências federais dos EUA que precisam ser protegidos de acordo com uma diretiva operacional vinculante emitida recentemente pela CISA. Esses dispositivos incluem hosts com interfaces de gerenciamento expostas, servidores com software desatualizado e plataformas de transferência de arquivos vulneráveis. A CISA está atuando para identificar e garantir a segurança dessas interfaces, oferecendo expertise técnica e orientações para implementar medidas de segurança robustas.

Uma exchange de criptomoedas japonesa, cujo nome não foi divulgado, foi alvo de um ataque que implantou o backdoor JokerSpy no macOS. O ataque levou à instalação do Swiftbelt, uma ferramenta de enumeração baseada em Swift inspirada em uma utilidade de código aberto chamada SeatBelt. Pouco se sabe sobre o ator por trás da operação além do fato de que os ataques usam programas escritos em Python e Swift com capacidades para coletar dados e executar comandos arbitrários em hosts comprometidos.

A queda da rede de telefones criptografados EncroChat em julho de 2020 levou a 6.558 prisões em todo o mundo e à apreensão de €900 milhões em receitas criminosas ilícitas, de acordo com a Europol. A plataforma era usada por grupos criminosos organizados para planejar negociações de drogas, lavagem de dinheiro, extorsão e até assassinatos. As autoridades holandesas e francesas interceptaram e analisaram mais de 115 milhões de conversas que ocorreram na plataforma criptografada entre pelo menos 60.000 usuários.

Diablo IV, World of Warcraft e Overwatch 2 foram alvos de ataques DDoS no final de semana, causando dificuldades de conexão e intermitência durante as partidas. A Blizzard alertou que as dificuldades no acesso devem continuar durante dois períodos de manutenção programados para esta semana. Os jogadores foram aconselhados a ter cautela e a reiniciar seus dispositivos de rede para garantir a conexão com o jogo.

Uma pesquisa da organização holandesa Consumenten Bond revelou que 26 modelos de smartphones, principalmente de marcas como Xiaomi, Motorola e Samsung, são vulneráveis ao desbloqueio facial com o uso de uma foto do usuário. A brecha no sistema biométrico é mais frequente em modelos mais baratos ou de entrada. A Apple, por outro lado, apresentou maior resiliência em seus aparelhos, com nenhum iPhone sendo suscetível à exploração. A recomendação é o uso de tecnologias mais robustas, como códigos difíceis de serem desvendados ou o reconhecimento de impressão digital.

Milomir Desnica, um homem de 33 anos da Sérvia, foi extraditado da Áustria para os Estados Unidos para enfrentar acusações de administrar um mercado de narcóticos na darknet chamado "Monopoly". Ele é acusado de facilitar US$ 18 milhões em transações ilegais de drogas através do site. Se condenado, pode enfrentar uma pena máxima de prisão perpétua e ter que renunciar a qualquer propriedade vinculada à sua atividade criminosa. Em maio de 2023, a operação internacional 'SpecTor' prendeu 288 fornecedores do mercado Monopoly e apreendeu € 50,8 milhões ($ 55,9M) em dinheiro e criptomoedas.