As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

A ameaça AuKill é uma nova ferramenta de hacking usada por hackers para desativar o software de detecção e resposta de ponto final (EDR) em sistemas de alvos antes de implantar backdoors e ransomware em ataques Bring Your Own Vulnerable Driver (BYOVD). Os atacantes derrubam o software de segurança e tomam o controle do sistema, usando drivers legítimos assinados com um certificado válido e capazes de executar com privilégios de kernel nos dispositivos das vítimas.

A desenvolvedora de software de gerenciamento de impressão PaperCut alertou os clientes para atualizarem seus softwares imediatamente, pois hackers estão explorando ativamente falhas para acessar servidores vulneráveis. A empresa recebeu dois relatórios de especialistas em segurança cibernética em 10 de janeiro de 2023, informando sobre duas falhas de alta e crítica gravidade que afetam o PaperCut MF/NG. A empresa atualizou seu boletim de segurança em março de 2023 para alertar os clientes de que as vulnerabilidades estão sendo exploradas ativamente por hackers.

Uma atualização recente do Microsoft Defender removeu a proteção LSA e adicionou uma nova chamada Kernel-mode Hardware-enforced Stack Protection, que visa prevenir ataques de fluxo de controle baseados em ROP. No entanto, a mudança confundiu os usuários, já que a Microsoft não forneceu documentação adequada. Além disso, alguns drivers de jogos estão causando conflitos com o novo recurso de segurança, levando a problemas de estabilidade.

O México se tornou o primeiro cliente do spyware Pegasus, usado por governos em todo o mundo para invadir milhares de celulares e monitorar cidadãos, especialmente defensores dos direitos humanos e da democracia. O país é também o usuário mais prolífico do spyware, implantando-o ilegalmente mesmo contra seus próprios cidadãos. O governo israelense, que deve aprovar a exportação do Pegasus para outras nações, não ordenou o fim de seu uso no México, apesar da ampla evidência de abusos. O Ministério da Defesa mexicano afirmou que a coleta de informações "não tem como objetivo" invadir a vida privada de figuras políticas, cívicas e da mídia.

Pesquisadores de segurança cibernética revelaram o funcionamento interno do "in2al5d p3in4er", um loader altamente evasivo usado para distribuir o malware Aurora Stealer. O loader é compilado com Embarcadero RAD Studio e utiliza técnicas anti-VM para evitar detecções. O malware é distribuído por meio de vídeos do YouTube e sites de downloads de software falso. O loader é capaz de detectar a placa gráfica instalada no sistema e apenas executa o malware se for compatível com as placas de vídeo AMD, Intel ou NVIDIA.

O Nubank foi notificado pelo Idec devido a falhas de segurança e golpes aplicados em seu aplicativo, incluindo transferências e empréstimos em nome dos titulares, além de não bloquear transações que fogem do padrão de seus clientes. O banco digital afirmou que a segurança é uma prioridade e mantém equipes especializadas para o atendimento às vítimas.

O mês de março de 2023 registrou um recorde de ataques de ransomware, com 459 ataques em um único mês, um aumento de 91% em relação ao mês anterior. O grupo Clop liderou a lista de ataques, com 129 registros, aproveitando uma vulnerabilidade zero-day no software de transferência de arquivos GoAnywhere MFT. O setor industrial foi o mais atacado, com 147 ataques. A importância de aplicar atualizações de segurança e monitorar a atividade suspeita na rede foi destacada.

O grupo de ransomware Play desenvolveu duas ferramentas personalizadas em .NET para melhorar a eficácia de seus ataques cibernéticos. As ferramentas, chamadas Grixba e VSS Copying Tool, permitem que invasores enumerem usuários e computadores em redes comprometidas, coletem informações sobre software de segurança, backup e administração remota e copiem facilmente arquivos do Volume Shadow Copy Service (VSS). Desde o início do ano, o Play ransomware atacou várias vítimas de alto perfil.

Hackers patrocinados pelo estado russo estão usando uma falha antiga no SNMP em roteadores Cisco IOS para implantar um malware personalizado chamado Jaguar Tooth, que permite acesso não autenticado ao dispositivo. As agências de segurança cibernética dos EUA e do Reino Unido recomendam que os administradores atualizem seus roteadores para a versão mais recente do firmware para mitigar esses ataques. Além disso, eles recomendam mudar de SNMP para NETCONF / RESTCONF para gerenciamento remoto em roteadores públicos, pois oferece segurança e funcionalidade mais robustas.

Foi descoberta uma nova vulnerabilidade crítica no sandbox JavaScript VM2, que é amplamente utilizado em ferramentas de desenvolvimento e segurança. A falha, rastreada como CVE-2023-30547 , permite que os invasores executem código malicioso fora do ambiente sandboxed. Todos os usuários, mantenedores de pacotes e desenvolvedores que utilizam a biblioteca VM2 são recomendados a atualizar para a versão 3.9.17 o mais rápido possível.

O grupo de hackers iraniano Mint Sandstorm, ligado ao Corpo de Guardiões da Revolução Islâmica, está realizando ataques cibernéticos contra infraestruturas críticas dos EUA, em retaliação a ataques recentes contra a infraestrutura do Irã. A Microsoft acredita que o governo iraniano está dando mais liberdade para que grupos patrocinados pelo Estado realizem ataques, levando a um aumento geral nos ciberataques. O grupo usa exploits de vulnerabilidades conhecidas e realiza ataques de phishing com links para arquivos maliciosos. A Microsoft recomenda o uso de regras de redução de superfície de ataque e a aplicação de atualizações de segurança o mais rápido possível.

A Google lançou uma atualização de segurança para o navegador Chrome para corrigir a segunda vulnerabilidade zero-day explorada em ataques este ano. A atualização está disponível apenas para usuários do Windows e Mac, com a versão Linux a ser lançada em breve. A vulnerabilidade, CVE-2023-2136 , é considerada de alta gravidade e permite a execução arbitrária de código, levando ao acesso não autorizado ao sistema.

A análise da Group-IB revelou que o grupo de ameaças cibernéticas MuddyWater, do Irã, usou o software de suporte remoto SimpleHelp para garantir persistência em dispositivos vítimas em junho de 2022. A ameaça é avaliada como um elemento subordinado do Ministério de Inteligência e Segurança do Irã (MOIS). O MuddyWater já usou as ferramentas ScreenConnect, RemoteUtilities e Syncro em ataques anteriores.

A empresa israelense de spyware QuaDream está supostamente encerrando suas operações após a exposição de seu conjunto de ferramentas de hackers pelo Citizen Lab e Microsoft. A empresa é conhecida por especializar-se em dispositivos Apple usando infecções "zero-click". A empresa está supostamente em uma situação difícil há vários meses e, segundo fontes não identificadas, está procurando vender sua propriedade intelectual.

O grupo de hackers patrocinado pelo Estado chinês APT41 foi encontrado abusando da ferramenta de red teaming GC2 (Google Command and Control) em ataques de roubo de dados contra uma mídia taiwanesa e uma empresa de busca de emprego italiana. A GC2 é um projeto de código aberto escrito em Go que foi projetado para atividades de red teaming. O agente implantado em dispositivos comprometidos se conecta a um URL do Google Sheets para receber comandos a serem executados.

O malware QBot, que fornece acesso inicial a redes corporativas para outros criminosos, agora é distribuído por e-mails de phishing com anexos em PDF e arquivos de script do Windows. O QBot é capaz de baixar outros malwares, como o Cobalt Strike, para permitir que outros criminosos acessem sistemas comprometidos e roubar dados ou implantar ransomware. Empresas devem ficar atentas e tomar medidas para proteger seus sistemas.

O trojan Chameleon tem como alvo usuários da Austrália e da Polônia, se disfarçando da criptomoeda CoinSpot e do banco IKO. Ele rouba credenciais de usuários, SMS e cookies, e evita a detecção de softwares de segurança. O malware usa o serviço de acessibilidade para ganhar permissões adicionais e impedir a desinstalação. É aconselhável baixar aplicativos apenas de lojas oficiais e garantir que o Google Play Protect esteja sempre ativado.

Membros antigos do ransomware Conti se uniram aos atores da ameaça FIN7 para distribuir uma nova família de malware chamada "Domino" em ataques a redes corporativas. O malware consiste em um backdoor e um loader que injeta um DLL de roubo de informações na memória de outro processo. A IBM atribuiu o desenvolvimento do malware à gangue de hackers FIN7, que está ligada a uma variedade de malware e operações de ransomware. Os defensores enfrentam uma teia confusa de atores de ameaças, todos com malware permitindo acesso remoto às redes.

A ferramenta de gerenciamento remoto Action1 está sendo cada vez mais utilizada por cibercriminosos para executar comandos, scripts e binários em redes comprometidas, alertam pesquisadores de segurança. Embora seja amplamente usada por empresas e provedores de serviços gerenciados, a plataforma pode ser explorada por ameaças para implantar malware ou ganhar persistência em redes. A empresa por trás da ferramenta está trabalhando em novas medidas para evitar o uso indevido e se coloca à disposição de autoridades e vítimas de ataques.

O malware Goldoson infiltrou a Google Play por meio de 60 aplicativos legítimos, com um total de 100 milhões de downloads. O malware é parte de uma biblioteca de terceiros usada por todos os aplicativos afetados e pode coletar dados sobre aplicativos instalados, dispositivos conectados por Wi-Fi e Bluetooth e locais GPS do usuário, além de realizar fraudes em anúncios. A Google removeu os aplicativos não conformes da loja e os usuários devem atualizar seus aplicativos afetados.