As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O grupo de ameaças persistentes avançadas (APT) GoldenJackal tem como alvo entidades governamentais e diplomáticas na Ásia desde 2019 para espionagem, usando ferramentas personalizadas de malware para obter controle remoto e exfiltrar dados. A Kaspersky tem acompanhado o grupo desde 2020 e observou atividades notáveis no Afeganistão, Azerbaijão, Irã, Iraque, Paquistão e Turquia.

O malware Legion foi atualizado para incluir recursos expandidos de comprometimento de servidores SSH e credenciais da Amazon Web Services (AWS) associadas ao DynamoDB e CloudWatch. O novo recurso também é capaz de explorar aplicativos Laravel para recuperar credenciais específicas da AWS. A ferramenta é baseada em Python e é conhecida por explorar servidores SMTP vulneráveis, sistemas de gerenciamento de conteúdo e enviar mensagens SMS de spam.

O Google removeu um aplicativo de gravação de tela chamado "iRecorder - Screen Recorder" da Play Store depois que foi descoberto que ele incluía capacidades de roubo de informações quase um ano após o lançamento. O aplicativo acumulou mais de 50.000 instalações antes de ser removido. A funcionalidade maliciosa foi introduzida na versão 1.3.8, lançada em 24 de agosto de 2022. O aplicativo foi descoberto para extrair gravações de microfone e arquivos com extensões específicas, apontando para um possível motivo de espionagem.

A Rheinmetall AG, fabricante alemã de automóveis e armas, confirmou um ataque de ransomware da BlackBasta que afetou seu departamento civil, com dados como contratos e esquemas técnicos divulgados pelos hackers. A empresa apresentou uma queixa criminal às autoridades e afirmou que está colaborando com as investigações.

O grupo cibercriminoso Lazarus, ligado à Coreia do Norte, está usando técnicas de DLL side-loading para executar payloads maliciosos em servidores Microsoft Internet Information Services (IIS) vulneráveis, de acordo com o Centro de Resposta de Emergência de Segurança da AhnLab. A ameaça é capaz de usar uma ampla gama de ferramentas contra as vítimas para realizar operações de espionagem de longo prazo. A notícia vem à tona depois que o Departamento do Tesouro dos EUA sancionou quatro entidades e um indivíduo envolvidos em atividades cibernéticas maliciosas e esquemas de angariação de fundos que visam apoiar as prioridades estratégicas da Coreia do Norte.

A Receita Federal alertou para sites fraudulentos que prometem antecipação de restituição do Imposto de Renda, solicitando dados, documentos e informações fiscais das vítimas. O golpe geralmente ocorre por e-mail, SMS ou WhatsApp e nunca é feito pela Receita Federal com links ou solicitações de dados cadastrais ou fiscais. A melhor maneira de evitar o golpe é ignorar a comunicação e bloquear o usuário que a enviou.

Uma operação criminosa em grande escala, chamada Lemon Group, instalou vírus em nove milhões de dispositivos, incluindo smartphones, smartwatches, set-top boxes e televisores inteligentes, enviados para 180 países. Os dispositivos infectados eram capazes de interceptar códigos de autenticação em duas etapas, furtar sessões do WhatsApp, exibir anúncios indevidos e redirecionar dados digitados e cookies de login em redes sociais. O Brasil não aparece entre os 10 países mais afetados, mas a Argentina ocupa a 10ª posição.

O grupo de ransomware Cuba assumiu a responsabilidade pelo ataque cibernético que afetou a distribuição do jornal The Philadelphia Inquirer neste mês. Os hackers afirmaram ter roubado dados financeiros e fiscais, além de código-fonte, mas o jornal não confirmou se houve roubo de dados de clientes.

O grupo de hackers Bad Magic, que tem como alvos empresas na área de conflito russo-ucraniano, pode ter estado em atividade por mais tempo do que se pensava, de acordo com a empresa de cibersegurança russa Kaspersky. O grupo foi identificado pela primeira vez em 2023, mas novas descobertas indicam que ele pode ter sido ativo desde 2008. O Bad Magic foi recentemente ligado a uma campanha sofisticada de ataques cibernéticos que inclui indivíduos, entidades diplomáticas e organizações de pesquisa na Ucrânia.

A Meta, empresa controladora do Facebook, foi multada em um valor recorde de US$ 1,3 bilhão por reguladores de proteção de dados da União Europeia (UE) por transferir dados pessoais de usuários da região para os EUA. A empresa foi ordenada a suspender quaisquer transferências futuras de dados de usuários do Facebook para os EUA e a excluir dados armazenados e processados ilegalmente em até seis meses. A decisão decorre de uma denúncia apresentada pelo ativista de privacidade austríaco Maximilian Schrems quase uma década atrás.

Um golpe com "deepfake" na China usou tecnologia de troca de rosto com IA para convencer um homem a transferir mais de R$ 3 milhões para um suposto amigo. O caso desencadeou uma discussão sobre a ameaça da IA à privacidade e segurança online em rede social chinesa. A China tem intensificado o escrutínio sobre tecnologias baseadas em IA e aplicativos em meio ao aumento de fraudes com IA envolvida.

Um serviço de phishing e golpes de criptomoedas chamado 'Inferno Drainer' roubou mais de US$ 5,9 milhões em cripto de 4.888 vítimas. A maioria dos sites de phishing foi ativada em maio de 2023, visando 229 marcas populares. O serviço oferece uma ferramenta de administração moderna com opções de personalização e até mesmo oferece um teste para compradores interessados. Os operadores pagam 20% de seus lucros ao Inferno Drainer, enquanto o corte sobe para 30% para serviços que incluem a criação de sites de phishing.

O grupo de ransomware ALPHV (também conhecido como BlackCat) está utilizando drivers de kernel do Windows assinados para evitar detecção por software de segurança durante ataques. O driver é uma versão melhorada do malware POORTRY, que foi detectado por outras empresas de segurança no ano passado. Os analistas da Trend Micro observaram que o novo driver, chamado ktgn.sys, foi assinado com um certificado roubado ou vazado. Ele permite que o grupo de ransomware acesse privilégios de sistema e interrompa processos de segurança.

Um grupo de hackers indonésios chamado GUI-vil foi flagrado usando instâncias da Amazon Web Services para minerar criptomoedas de forma ilícita. A ameaça foi detectada pela empresa de segurança em nuvem Permiso P0 Labs, que observou que o grupo prefere usar ferramentas de interface gráfica de usuário para suas operações. A estratégia de ataque inclui obter acesso inicial através de chaves da AWS expostas em repositórios de código aberto, seguida de escalonamento de privilégios e criação de novos usuários para continuar a atividade.

A China proibiu a fabricante de chips americana Micron de vender seus produtos a empresas chinesas que trabalham em projetos de infraestrutura críticos, citando riscos à segurança nacional. A medida segue uma investigação de dois meses sobre possíveis riscos de segurança de rede, iniciada em março. A autoridade chinesa de cibersegurança encontrou "problemas sérios de cibersegurança" nos produtos da Micron, o que colocou em risco a cadeia de suprimentos de infraestrutura crítica de informações do país, e pediu às operadoras envolvidas nesse tipo de projeto que parem de comprar produtos da Micron.

Google lançou o Programa de Recompensas por Vulnerabilidades em Dispositivos Móveis (Mobile VRP), para pagar pesquisadores de segurança por falhas encontradas em seus aplicativos Android. O objetivo é acelerar o processo de detecção e correção de vulnerabilidades em aplicativos Android de primeira parte, desenvolvidos ou mantidos pelo Google. O programa contempla aplicativos como Fitbit, Nest Labs, Waymo e Waze, e recompensas de até US$ 30 mil para execução remota de código sem interação do usuário e até US$ 7.500 para bugs que permitem roubo de dados sensíveis remotamente.

A partir de agora, contas pessoais inativas no Google por dois anos poderão ser excluídas, junto com todo o conteúdo armazenado nos serviços da empresa. A mudança na política foi feita para melhorar a segurança online e evitar que contas abandonadas sejam alvo de invasões. Contas de organizações, como escolas e empresas, não serão afetadas. O Google alertará os usuários antes de excluir suas contas inativas.

Uma campanha de distribuição de malwares está se passando pelo aplicativo de edição de vídeo CapCut para enganar usuários e infectar dispositivos com diferentes tipos de malwares. Os criminosos criam sites falsos que distribuem arquivos disfarçados como instaladores do CapCut, mas que na verdade contêm malwares. Os usuários são atraídos para esses sites por meio de anúncios em redes sociais e resultados de busca. Ameaças como o Offx Stealer e o Redline Stealer podem roubar dados confidenciais, como senhas e informações bancárias, dos usuários.

O Google pretende eliminar cookies de terceiros para 1% dos usuários do Chrome globalmente no primeiro trimestre de 2024, como parte de seus esforços para implementar o Privacy Sandbox. A empresa também planeja lançar APIs do Privacy Sandbox, incluindo Tópicos, para todos os usuários em julho de 2023. O objetivo é eliminar a necessidade de cookies de terceiros e identificadores cruzados para limitar o rastreamento encoberto, enquanto ainda exibe conteúdo e anúncios relevantes de uma maneira que protege a privacidade dos usuários.

O grupo FIN7, conhecido por ataques contra bancos e empresas de pontos de venda (PoS), ressurgiu com ataques de ransomware usando o Clop. A Microsoft identificou o uso do malware POWERTRASH para implantar a ferramenta Lizar em dispositivos comprometidos e assim permitir que os atacantes se movimentassem pela rede para depois implantar o ransomware usando OpenSSH e Impacket. O grupo foi vinculado anteriormente ao REvil e Maze ransomware, bem como às operações BlackMatter e DarkSide como prestador de serviços de ransomware.