As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Usuários de língua espanhola na América Latina estão sendo alvo de um novo malware de botnet chamado Horabot desde novembro de 2020. O programa pode controlar a caixa de correio do Outlook da vítima, roubar endereços de e-mail de contatos e enviar e-mails de phishing com anexos HTML maliciosos. A maioria das infecções está localizada no México, com vítimas limitadas identificadas no Uruguai, Brasil, Venezuela, Argentina, Guatemala e Panamá. O setor contábil, de construção, engenharia, distribuição atacadista e investimento é o principal alvo.

A Zyxel emitiu um aviso de segurança alertando sobre ataques em seus dispositivos de firewall e VPN e orientando sobre como detectar sinais de exploração. As vulnerabilidades CVE-2023-28771 , CVE-2023-33009 e CVE-2023-33010 estão sendo exploradas, permitindo a execução remota de comando e a inserção de código malicioso em dispositivos vulneráveis. A Zyxel recomenda atualizar os dispositivos para as versões de firmware mais recentes e implementar medidas de mitigação caso a atualização não seja possível.

A Microsoft anunciou que o SMB Signing será obrigatório por padrão para todas as conexões, a fim de se defender contra ataques de relé NTLM. A medida começará com o Windows Enterprise edition e será implementada em outros sistemas nos próximos meses. O SMB Signing ajuda a bloquear solicitações de autenticação maliciosas, confirmando a identidade do remetente e do destinatário por meio de assinaturas e hashes incorporados em cada mensagem. A mudança pode afetar a velocidade de cópia do SMB, mas os administradores têm a opção de desativar o recurso.

A Atomic Wallet está investigando relatos de roubo de criptomoedas de carteiras de usuários, com mais de US$ 35 milhões em criptomoedas supostamente roubados. Os desenvolvedores da carteira móvel e de desktop de criptografia estão trabalhando com empresas de segurança para investigar o incidente e bloquear os fundos roubados de serem vendidos em exchanges. Até agora, não está claro como ocorreu a violação.

A empresa de câmeras de segurança doméstica Ring, de propriedade da Amazon, foi acusada pela FTC de invasão de privacidade dos seus usuários, permitindo que funcionários assistissem a gravações de vídeo dos espaços privados dos clientes. A Ring terá que deletar todas as informações produzidas ilegalmente pelos vídeos e adotar controles de segurança mais rigorosos. A empresa nega a violação de qualquer lei e entende que o acordo resolve definitivamente o assunto.

O grupo de hackers Kimsuky, patrocinado pelo estado norte-coreano, está se passando por jornalistas e acadêmicos para realizar campanhas de spear-phishing em organizações de mídia, centros de pesquisa e instituições acadêmicas, de acordo com várias agências governamentais dos EUA e da Coreia do Sul. O grupo é conhecido por suas campanhas de espionagem em larga escala em apoio aos objetivos de inteligência nacional desde pelo menos 2012. As agências emitiram um aviso recomendando medidas de mitigação, incluindo o uso de senhas fortes e autenticação multifatorial.

Pesquisadores de segurança cibernética relataram um aumento na atividade do TrueBot em maio de 2023, um botnet de trojan downloader que coleta informações de sistemas comprometidos e os usa como ponto de lançamento para ataques. O TrueBot tem sido ativo desde 2017 e é ligado a um grupo conhecido como Silence, que se acredita ter sobreposições com o famoso ator de cibercrime russo conhecido como Evil Corp. Recentemente, o TrueBot explorou uma falha crítica no Netwrix Auditor e usou o Raspberry Robin como vetor de entrega.

Uma nova campanha de roubo de cartões de crédito Magecart está usando sites legítimos como servidores de comando e controle (C2) para injetar e ocultar skimmers em sites de comércio eletrônico. A campanha comprometeu organizações nos Estados Unidos, Reino Unido, Austrália, Brasil, Peru e Estônia, muitas das quais não perceberam que foram violadas por mais de um mês. Os invasores identificam sites vulneráveis e os hackeam para hospedar seu código malicioso, usando-os como servidores C2 para seus ataques.

A empresa de snowboards Burton Snowboards confirmou uma violação de dados que resultou no potencial acesso a informações sensíveis dos clientes, como nomes, números de Seguro Social e informações de conta financeira. A empresa notificou os clientes afetados e redefiniu as senhas das contas vinculadas a eles. A investigação está em andamento e a empresa relatou o incidente às autoridades relevantes.

O Google removeu 32 extensões maliciosas da Chrome Web Store que alteravam resultados de busca e exibiam spam ou anúncios indesejados, com um total de 75 milhões de downloads. As extensões apresentavam funcionalidades legítimas para ignorar o comportamento malicioso que vinha em código ofuscado para fornecer os payloads. A empresa de segurança cibernética Avast relatou os problemas após confirmar sua natureza maliciosa.

Especialistas de segurança afirmam que a velocidade de inovação no campo do cibercrime é ainda maior do que no campo da tecnologia. A proteção é um jogo diário, que nunca para e sempre precisa ser visto com atenção, afirmou Rodrigo Garcia, diretor de vendas da empresa de cibersegurança Trend Micro. O risco nunca deixa de existir, mas precisa ser minimizado e conhecido. 92% dos ataques ainda acontecem por e-mail e o Brasil é o maior da América Latina em número de ataques.

A CISA adicionou uma vulnerabilidade crítica do Progress MOVEit Transfer à sua lista de vulnerabilidades exploradas, ordenando que as agências federais dos EUA atualizem seus sistemas até 23 de junho. A falha permite que invasores remotos não autenticados realizem uma injeção de SQL e acessem o banco de dados do MOVEit Transfer e executem código arbitrário. A vulnerabilidade está sendo explorada como um zero-day desde pelo menos 27 de maio. Empresas privadas também devem priorizar a correção.

Agências de inteligência dos EUA e da Coreia do Sul alertaram para o uso de táticas de engenharia social por atores cibernéticos norte-coreanos para atacar think tanks, acadêmicos e setores de mídia. As ações são atribuídas ao grupo Kimsuky, que coleta informações táticas sobre eventos geopolíticos e negociações que afetam os interesses do regime. Os alvos são principalmente indivíduos que trabalham em questões relacionadas à Coreia do Norte, como política externa e política. O objetivo dos programas cibernéticos do Kimsuky é obter acesso ilícito e fornecer dados roubados e informações geopolíticas valiosas ao governo norte-coreano.

O grupo chinês Camaro Dragon, ligado a atividades de espionagem, foi relacionado a um novo backdoor chamado TinyNote. Distribuído com nomes relacionados a assuntos estrangeiros, o malware é capaz de contornar o antivírus indonésio Smadav e estabelecer métodos redundantes de acesso a servidores comprometidos. O grupo é conhecido por se sobrepôr ao Mustang Panda, outro grupo chinês patrocinado pelo estado que está ativo desde pelo menos 2012.

Pesquisadores de segurança cibernética identificaram Nguyen Huu Tai como um possível membro do grupo de cibercrime XE, que realiza atividades criminosas desde pelo menos 2013. O grupo é suspeito de ser originário do Vietnã e visa organizações governamentais, de construção e de saúde. Ele compromete servidores expostos na internet com exploits e instala código de roubo de senhas ou skimming de cartão de crédito. O XE Group já tentou obter acesso a redes corporativas anteriormente por meio de e-mails de phishing enviados usando domínios fraudulentos que imitam empresas legítimas.

Criminosos estão usando a extensão ZIP para criar golpes de phishing que simulam janelas do WinRAR e do Windows para roubar credenciais ou infectar computadores com malware. O kit de phishing é chamado de File Archivers in the Browser e leva os usuários a sites fraudulentos que simulam o processo de descompactação de um arquivo. Especialistas alertam os usuários a não clicarem em links que chegam por mensagem de texto ou e-mail, especialmente se fizerem referência a arquivos ou aplicativos conhecidos.

A Harvard Pilgrim Health Care sofreu um ataque ransomware em abril de 2023 que afetou 2.550.922 pessoas e resultou no roubo de dados sensíveis de sistemas comprometidos. A organização não lucrativa de serviços de saúde com sede em Massachusetts divulgou as informações ao Departamento de Saúde e Serviços Humanos dos EUA. Os dados roubados incluem informações médicas, financeiras e pessoais. A HPHC está oferecendo serviços de proteção contra roubo de identidade e monitoramento de crédito para os indivíduos afetados.

A empresa de cibersegurança russa Kaspersky descobriu que alguns iPhones foram hackeados usando uma vulnerabilidade do iOS que instalou malware por meio de explorações zero-click do iMessage. A campanha, chamada de Operação Triangulação, começou em 2019 e continua em andamento, embora a Apple possa ter corrigido a vulnerabilidade usada na última versão do iOS. A agência de inteligência e segurança russa FSB alegou que a Apple forneceu à NSA dos EUA um backdoor para infectar iPhones com spyware na Rússia, mas não forneceu nenhuma prova.

O Google anunciou que recompensará com três vezes mais o valor padrão os caçadores de recompensas que encontrarem vulnerabilidades no navegador Chrome até 2023. A iniciativa visa incentivar pesquisadores de segurança a identificar e relatar falhas que possam ajudar os cibercriminosos a comprometer os mecanismos de segurança do Chrome. O bônus é válido para a primeira exploração de cadeia completa e funcional.

Hackers estão explorando uma vulnerabilidade zero-day no software de transferência de arquivos MOVEit Transfer para roubar dados de organizações. A Ipswitch, uma subsidiária da Progress Software Corporation, desenvolveu o MOVEit Transfer como uma solução de transferência de arquivos gerenciada (MFT) que permite às empresas transferir arquivos com segurança entre parceiros e clientes usando SFTP, SCP e uploads baseados em HTTP. A vulnerabilidade, que não teve informações detalhadas divulgadas, permite a execução remota de código. A Progress Software Corporation divulgou um aviso de segurança alertando sobre a vulnerabilidade crítica.