As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Dispositivos Linux e IoT expostos à internet estão sendo sequestrados em ataques de força bruta como parte de uma campanha recente de criptojacking, alertou a Microsoft. Depois de acessar um sistema, os invasores implantam um pacote OpenSSH trojanizado que ajuda a backdoor dos dispositivos comprometidos e rouba credenciais SSH para manter a persistência. O objetivo final parece ser a instalação de malware de mineração direcionado a sistemas Hiveon OS baseados em Linux.

Uma variante do botnet Mirai está visando cerca de 22 vulnerabilidades em dispositivos de diversas marcas, incluindo D-Link, Arris, Zyxel e Netgear, para usá-los em ataques de negação de serviço distribuído (DDoS), alertam pesquisadores da Unit 42. O malware foi identificado em duas campanhas em andamento que começaram em março e tiveram pico em abril e junho. Os pesquisadores alertam que os desenvolvedores do botnet continuam a adicionar código para vulnerabilidades exploráveis.

Milhões de repositórios do GitHub podem estar vulneráveis ao RepoJacking, um tipo de ataque que permite a invasores implantar malware em projetos que dependem de código de repositórios antigos. A vulnerabilidade ocorre quando alguém registra o nome antigo do repositório, que teve seu nome mudado. O GitHub implementou algumas defesas para o RepoJacking, mas o Nautilus, equipe de segurança da AquaSec, descobriu que elas têm sido facilmente contornadas. A vulnerabilidade pode ter graves impactos para organizações e usuários.

O navegador da DuckDuckGo, focado em privacidade, está agora disponível para download público no Windows. O beta vem com recursos de proteção de dados e segurança ativados por padrão, prometendo proteger usuários de rastreamento, publicidade direcionada, registro de consultas de pesquisa e perfilagem. O navegador também consome cerca de 60% menos dados do que o Chrome.

Usuários do Microsoft 365 relatam problemas com o Outlook e outros aplicativos da suíte, incluindo falhas, lentidão e erros de licença. Admins de TI sugerem soluções, mas algumas não funcionam para todos os usuários. A Microsoft ainda não se pronunciou sobre o problema.

Um grave defeito de segurança foi descoberto no plugin "Abandoned Cart Lite for WooCommerce" do WordPress, instalado em mais de 30.000 sites. A vulnerabilidade permite que um invasor acesse as contas de usuários que abandonaram seus carrinhos, incluindo contas administrativas. A falha foi corrigida pelo desenvolvedor do plugin em 6 de junho de 2023, mas usuários que ainda não fizeram a atualização estão expostos.

Fãs de Taylor Swift foram alvos de um golpe de venda de ingressos falsos para sua turnê no Brasil. Um site falso, que parecia legítimo, foi promovido por anúncios no Google e os fãs tinham que pagar por meio de Pix. Os criminosos prometeram um desconto de 10% para o pagamento através do Pix, que era o único meio de pagamento disponível. A página falsa aparecia acima dos resultados verdadeiros, tornando os fãs mais vulneráveis. Não se sabe quantas pessoas foram vítimas desta fraude.

Foi divulgado código de exploração de prova de conceito (PoC) para uma vulnerabilidade de alta gravidade no software Cisco Secure Client para Windows, que permite que invasores elevem privilégios para o nível SYSTEM. A vulnerabilidade pode ser explorada por atores ameaçadores autenticados em ataques de baixa complexidade que não exigem interação do usuário. Cisco já lançou atualizações de segurança para corrigir o bug.

O grupo de hackers norte-coreano APT37, também conhecido como StarCruft, Reaper ou RedEyes, está utilizando um novo malware de roubo de informações chamado "FadeStealer" que contém um recurso de "grampeamento" permitindo que o atacante ouça e grave a partir dos microfones das vítimas. O grupo é conhecido por realizar ataques de ciberespionagem alinhados aos interesses norte-coreanos, visando, em particular, desertores norte-coreanos, instituições educacionais e organizações baseadas na UE.

A UPS Canada está alertando os clientes canadenses que algumas informações pessoais podem ter sido expostas por meio de suas ferramentas de pesquisa de pacotes on-line e usadas em ataques de phishing. A empresa revelou que recebeu relatos de mensagens de phishing por SMS contendo os nomes e informações de endereço dos destinatários. A UPS descobriu que os atacantes por trás dessa campanha de phishing por SMS estavam usando suas ferramentas de pesquisa de pacotes para acessar os detalhes de entrega, incluindo as informações de contato pessoal dos destinatários, entre fevereiro de 2022 e abril de 2023.

A Apple corrigiu três novas vulnerabilidades "zero-day" exploradas em ataques que instalavam o spyware Triangulation em iPhones por meio de explorações de zero-click no iMessage. As vulnerabilidades foram encontradas e relatadas por pesquisadores de segurança da Kaspersky. A empresa também publicou um relatório detalhando um componente de spyware usado em uma campanha chamada "Operation Triangulation".

A Amazon terá que pagar uma multa de US $30 milhões para resolver as alegações de violações de privacidade relacionadas à operação de seus serviços Alexa e Ring, enquanto o Federal Trade Commission (FTC) alega que a empresa usou práticas injustas para enganar milhões de usuários a se inscreverem em seu programa Prime e prendê-los tornando o cancelamento o mais difícil possível, violando a Lei de Confiança dos Compradores On-line e a Lei FTC.

A fabricante de acessórios móveis iOttie alertou que seu site foi comprometido por quase dois meses por hackers que roubaram informações pessoais e cartões de crédito de clientes. A empresa descobriu o ataque em 13 de junho, mas acredita que a invasão tenha ocorrido entre 12 de abril e 2 de junho. A técnica usada pelos hackers é conhecida como MageCart, que consiste em hackear lojas online para injetar JavaScript malicioso nas páginas de checkout.

A Microsoft corrigiu uma falha de autenticação do Azure Active Directory que permitia a escalada de privilégios e o comprometimento completo de contas de usuários. A vulnerabilidade poderia ser explorada em aplicativos OAuth do Azure AD configurados para usar o email de acesso como reivindicação de autorização. A correção foi emitida após a descoberta da falha pela equipe de segurança Descope.

Três vulnerabilidades de segurança foram descobertas em produtos de tecnologia operacional (OT) da Wago e da Schneider Electric, como parte de um conjunto de deficiências chamado OT:ICEFALL, que agora compreende um total de 61 problemas em 13 fornecedores diferentes. As vulnerabilidades destacadas pela Forescout incluem a transmissão de credenciais em texto simples no protocolo ION/TCP usado pelos medidores de energia da Schneider Electric e falhas de negação de serviço (DoS) que afetam os controladores WAGO 750.

A Microsoft iniciou um projeto de ensino de cibersegurança e proteção digital para alunos do ensino técnico em São Paulo e Paraná. O projeto, chamado de Microsoft Cyber Exercise, oferece treinamentos online gratuitos para que os interessados se tornem "hackers do bem" e visa reduzir a escassez de profissionais de segurança da informação no mercado. Além disso, a empresa lembra sobre seu portal Conecta+, que disponibiliza cursos de capacitação online e gratuitos para o público em geral.

Um novo botnet de DDoS, chamado Condi, surgiu em maio de 2023 e explora uma vulnerabilidade em roteadores TP-Link Archer AX21 para criar um exército de bots para ataques. O botnet é capaz de ser alugado para lançar ataques a websites e serviços, e os autores da ameaça vendem o código-fonte do malware para monetizá-lo. A Condi é a segunda botnet a explorar a vulnerabilidade CVE-2023-1389 , após o Mirai. Os proprietários dos roteadores AX21 podem atualizar o firmware para corrigir a vulnerabilidade.

A operação de ransomware responsável pelo ciberataque à Universidade de Manchester começou a enviar e-mails aos estudantes, alertando que seus dados serão vazados após uma demanda de extorsão não ter sido paga. Os atores dizem ter roubado 7 TB de dados, incluindo informações pessoais confidenciais, bancárias e de pesquisa. A universidade confirmou que foi um ataque de ransomware, mas não divulgou mais detalhes. Ainda não foi identificado nenhum grupo de ransomware responsável pelo ataque.

Uma vulnerabilidade crítica agora corrigida que permite a execução remota de código está sendo ativamente explorada em ataques, alertou a VMware em uma atualização de seu aviso de segurança. A vulnerabilidade afeta a ferramenta de análise de rede VMware Aria Operations for Networks e pode ser explorada por atores de ameaças não autenticados em ataques de baixa complexidade que não exigem interação do usuário.

Servidores Linux SSH mal protegidos estão sendo alvo de ataques de força bruta para instalar malwares, incluindo um bot de DDoS, limpadores de logs, ferramentas de escalonamento de privilégios e um minerador de criptomoedas Monero. Os invasores escaneiam a Internet em busca de servidores SSH expostos publicamente e, em seguida, forçam a entrada através de pares de nome de usuário e senha. Administradores de rede devem usar senhas fortes e exigir chaves SSH para acessar o servidor.