As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O Google removeu 32 extensões maliciosas da Chrome Web Store que alteravam resultados de busca e exibiam spam ou anúncios indesejados, com um total de 75 milhões de downloads. As extensões apresentavam funcionalidades legítimas para ignorar o comportamento malicioso que vinha em código ofuscado para fornecer os payloads. A empresa de segurança cibernética Avast relatou os problemas após confirmar sua natureza maliciosa.

Especialistas de segurança afirmam que a velocidade de inovação no campo do cibercrime é ainda maior do que no campo da tecnologia. A proteção é um jogo diário, que nunca para e sempre precisa ser visto com atenção, afirmou Rodrigo Garcia, diretor de vendas da empresa de cibersegurança Trend Micro. O risco nunca deixa de existir, mas precisa ser minimizado e conhecido. 92% dos ataques ainda acontecem por e-mail e o Brasil é o maior da América Latina em número de ataques.

A CISA adicionou uma vulnerabilidade crítica do Progress MOVEit Transfer à sua lista de vulnerabilidades exploradas, ordenando que as agências federais dos EUA atualizem seus sistemas até 23 de junho. A falha permite que invasores remotos não autenticados realizem uma injeção de SQL e acessem o banco de dados do MOVEit Transfer e executem código arbitrário. A vulnerabilidade está sendo explorada como um zero-day desde pelo menos 27 de maio. Empresas privadas também devem priorizar a correção.

Agências de inteligência dos EUA e da Coreia do Sul alertaram para o uso de táticas de engenharia social por atores cibernéticos norte-coreanos para atacar think tanks, acadêmicos e setores de mídia. As ações são atribuídas ao grupo Kimsuky, que coleta informações táticas sobre eventos geopolíticos e negociações que afetam os interesses do regime. Os alvos são principalmente indivíduos que trabalham em questões relacionadas à Coreia do Norte, como política externa e política. O objetivo dos programas cibernéticos do Kimsuky é obter acesso ilícito e fornecer dados roubados e informações geopolíticas valiosas ao governo norte-coreano.

O grupo chinês Camaro Dragon, ligado a atividades de espionagem, foi relacionado a um novo backdoor chamado TinyNote. Distribuído com nomes relacionados a assuntos estrangeiros, o malware é capaz de contornar o antivírus indonésio Smadav e estabelecer métodos redundantes de acesso a servidores comprometidos. O grupo é conhecido por se sobrepôr ao Mustang Panda, outro grupo chinês patrocinado pelo estado que está ativo desde pelo menos 2012.

Pesquisadores de segurança cibernética identificaram Nguyen Huu Tai como um possível membro do grupo de cibercrime XE, que realiza atividades criminosas desde pelo menos 2013. O grupo é suspeito de ser originário do Vietnã e visa organizações governamentais, de construção e de saúde. Ele compromete servidores expostos na internet com exploits e instala código de roubo de senhas ou skimming de cartão de crédito. O XE Group já tentou obter acesso a redes corporativas anteriormente por meio de e-mails de phishing enviados usando domínios fraudulentos que imitam empresas legítimas.

Criminosos estão usando a extensão ZIP para criar golpes de phishing que simulam janelas do WinRAR e do Windows para roubar credenciais ou infectar computadores com malware. O kit de phishing é chamado de File Archivers in the Browser e leva os usuários a sites fraudulentos que simulam o processo de descompactação de um arquivo. Especialistas alertam os usuários a não clicarem em links que chegam por mensagem de texto ou e-mail, especialmente se fizerem referência a arquivos ou aplicativos conhecidos.

A Harvard Pilgrim Health Care sofreu um ataque ransomware em abril de 2023 que afetou 2.550.922 pessoas e resultou no roubo de dados sensíveis de sistemas comprometidos. A organização não lucrativa de serviços de saúde com sede em Massachusetts divulgou as informações ao Departamento de Saúde e Serviços Humanos dos EUA. Os dados roubados incluem informações médicas, financeiras e pessoais. A HPHC está oferecendo serviços de proteção contra roubo de identidade e monitoramento de crédito para os indivíduos afetados.

A empresa de cibersegurança russa Kaspersky descobriu que alguns iPhones foram hackeados usando uma vulnerabilidade do iOS que instalou malware por meio de explorações zero-click do iMessage. A campanha, chamada de Operação Triangulação, começou em 2019 e continua em andamento, embora a Apple possa ter corrigido a vulnerabilidade usada na última versão do iOS. A agência de inteligência e segurança russa FSB alegou que a Apple forneceu à NSA dos EUA um backdoor para infectar iPhones com spyware na Rússia, mas não forneceu nenhuma prova.

O Google anunciou que recompensará com três vezes mais o valor padrão os caçadores de recompensas que encontrarem vulnerabilidades no navegador Chrome até 2023. A iniciativa visa incentivar pesquisadores de segurança a identificar e relatar falhas que possam ajudar os cibercriminosos a comprometer os mecanismos de segurança do Chrome. O bônus é válido para a primeira exploração de cadeia completa e funcional.

Hackers estão explorando uma vulnerabilidade zero-day no software de transferência de arquivos MOVEit Transfer para roubar dados de organizações. A Ipswitch, uma subsidiária da Progress Software Corporation, desenvolveu o MOVEit Transfer como uma solução de transferência de arquivos gerenciada (MFT) que permite às empresas transferir arquivos com segurança entre parceiros e clientes usando SFTP, SCP e uploads baseados em HTTP. A vulnerabilidade, que não teve informações detalhadas divulgadas, permite a execução remota de código. A Progress Software Corporation divulgou um aviso de segurança alertando sobre a vulnerabilidade crítica.

Pesquisadores descobriram um novo ataque ao repositório Python Package Index (PyPI) que utiliza código Python compilado para evitar a detecção por ferramentas de segurança de aplicativos. O ataque, identificado como fshec2, foi removido do registro de software de terceiros em 17 de abril de 2023, após divulgação responsável. Os arquivos PYC compilados são gerados pelo interpretador Python quando um programa Python é executado.

Um grupo de ameaças financeiramente motivadas está procurando instâncias desprotegidas do Apache NiFi na internet para instalar silenciosamente um minerador de criptomoedas e facilitar a movimentação lateral. A descoberta vem do SANS Internet Storm Center (ISC), que detectou um pico em solicitações HTTP para "/ nifi" em 19 de maio de 2023. O grupo de ameaças está usando o malware Kinsing para realizar seus ataques.

Pesquisadores de segurança cibernética encontraram um comportamento parecido com backdoor em sistemas da Gigabyte, que permite que o firmware UEFI dos dispositivos deixe um executável do Windows e busque atualizações em um formato inseguro. A empresa já reconheceu e resolveu o problema, que afeta cerca de 364 sistemas Gigabyte, com uma estimativa de 7 milhões de dispositivos.

O grupo responsável pelo ransomware BlackCat lançou uma nova versão chamada Sphynx, que prioriza velocidade e furtividade para evitar a detecção. O Sphynx incorpora código lixo e strings criptografadas, reorganiza os argumentos da linha de comando e usa um carregador para descriptografar o payload do ransomware. O BlackCat é o primeiro ransomware baseado na linguagem Rust a ser detectado e atingiu mais de 350 alvos desde novembro de 2021. O grupo também usa um esquema de extorsão dupla para roubar dados sensíveis antes de criptografá-los.

O Kali Linux 2023.2, distribuição de hackers éticos, inclui uma imagem pré-configurada do Hyper-V e 13 novas ferramentas, além de um novo subsistema de áudio PipeWire e atualizações para os ambientes de desktop Xfce e Gnome. A nova imagem Hyper-V é configurada para o modo de sessão aprimorada e permite que os usuários se conectem à máquina virtual usando o Protocolo de Área de Trabalho Remota (RDP). Entre as novas ferramentas está o framework Evilginx para roubo de credenciais e cookies de sessão.

Um ator conhecido como Spyboy está promovendo uma ferramenta chamada "Terminator" em um fórum de hackers de língua russa que pode supostamente encerrar qualquer plataforma de antivírus, XDR e EDR. No entanto, a CrowdStrike diz que é apenas um ataque BYOVD sofisticado. A ferramenta é capaz de contornar 24 soluções de segurança diferentes, incluindo o Windows Defender, mas é detectada por uma única ferramenta de verificação de malware no momento. O preço varia de US$ 300 a US$ 3.000.

O trojan de acesso remoto SeroXen tem sido utilizado por cibercriminosos devido à sua baixa taxa de detecção e alto poder de ataque. Vítimas da ferramenta incluem a comunidade de jogos, mas a sua popularidade pode se estender para grandes empresas e organizações. O malware é vendido como uma ferramenta legítima de acesso remoto para Windows 10 e 11, por US$ 15/mês ou em pagamento único de US$ 60.

A Toyota descobriu duas nuvens mal configuradas que vazaram informações pessoais de proprietários de carros por mais de sete anos. A primeira instância expôs informações de clientes da Toyota na Ásia e Oceania, enquanto a segunda continha dados menos sensíveis relacionados aos sistemas de navegação dos veículos. A Toyota diz que implementou um sistema para monitorar regularmente as configurações de nuvem e banco de dados para evitar vazamentos no futuro.

Foi publicado um exploit de prova de conceito para a vulnerabilidade CVE-2023-33733 que afeta a biblioteca Python ReportLab Toolkit, que é usada para gerar arquivos PDF a partir de entrada HTML. A vulnerabilidade permite a execução remota de código e pode ser explorada incorporando código malicioso em um arquivo HTML que será convertido em PDF pelo software que usa a biblioteca. A vulnerabilidade foi corrigida na versão 3.6.13 da biblioteca.