As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

O malware downloader conhecido como BATLOADER está usando anúncios do Google para distribuir cargas secundárias como Vidar Stealer e Ursnif, segundo a empresa de cibersegurança eSentire. Os anúncios maliciosos são usados para falsificar uma ampla gama de aplicativos e serviços legítimos, como Adobe, Spotify e Zoom. O BATLOADER é responsável por distribuir malware de próxima geração, incluindo malware bancário, Cobalt Strike e ransomware. A operação do BATLOADER usa táticas de falsificação de software para a entrega de malware, criando sites semelhantes que hospedam arquivos de instalador do Windows disfarçados de aplicativos legítimos.

A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) adicionou uma vulnerabilidade de execução remota de código (RCE) de quase três anos no Plex Media Server ao seu catálogo de falhas de segurança exploradas em ataques. A falha, rastreada como CVE-2020-5741, permite que os invasores executem código Python arbitrário remotamente com privilégios de administrador, em ataques de baixa complexidade que não exigem interação do usuário. Embora a CISA não forneça informações sobre os ataques em que a CVE-2020-5741 foi explorada, acredita-se que esteja relacionada ao hackeamento do engenheiro sênior de DevOps da LastPass no ano passado.

O grupo de ransomware Clop começou a extorquir empresas cujos dados foram roubados usando uma vulnerabilidade zero-day da solução de compartilhamento seguro de arquivos Fortra GoAnywhere MFT. O grupo disse que usou a falha por mais de 10 dias para roubar dados de 130 empresas. Desde o lançamento do patch para a falha, duas empresas, Community Health Systems e Hatch Bank, divulgaram que seus dados foram roubados. O grupo Clop começou a adicionar empresas afetadas em seu site de vazamento de dados e algumas vítimas começaram a receber demandas de resgate.

Uma nova variante do malware de botnet Prometei infectou mais de 10.000 sistemas em todo o mundo desde novembro de 2022, com a maioria das vítimas relatadas no Brasil, Indonésia e Turquia. O malware é conhecido por sua capacidade de explorar falhas no Microsoft Exchange Server e é usado principalmente para mineração de criptomoedas e coleta de credenciais. A nova versão, chamada v3, possui recursos avançados para desafiar a análise forense e aprofundar ainda mais o acesso nas máquinas das vítimas. Acredita-se que os atores por trás da operação estejam na Rússia, já que o malware evita atacar o país.

Uma campanha de hacking com suspeita de ter ligação com a China está atacando dispositivos SonicWall Secure Mobile Access (SMA) 100 não corrigidos para instalar malware e estabelecer persistência a longo prazo. O malware é capaz de roubar credenciais de usuário, fornecer acesso ao shell e persistir por meio de atualizações de firmware. A empresa de cibersegurança Mandiant, que está rastreando a atividade, disse que o objetivo geral por trás das ferramentas personalizadas parece ser o roubo de credenciais. SonicWall lançou atualizações para o SMA 100, incluindo File Integrity Monitoring e identificação de processos anômalos.

Uma operação coordenada de aplicação da lei internacional derrubou a infraestrutura online associada ao trojan de acesso remoto multiplataforma NetWire. O site de vendas www.worldwiredlabs[.]com foi apreendido e um cidadão croata suspeito de ser o administrador do site foi preso. O malware é distribuído por meio de campanhas malspam e dá a um atacante remoto controle total sobre um sistema Windows, macOS ou Linux. Ele também vem com capacidades de roubo de senhas e keylogging. O NetWire tem sido usado por vários atores de ameaças, incluindo TA2541 e OPERA1ER, para invadir alvos de interesse e coletar informações sensíveis.

O Flipper Zero, dispositivo portátil usado para testes de segurança cibernética, teve cargas apreendidas no Brasil e foi considerado ilícito pela Anatel, que alegou que o aparelho poderia ser usado para fins criminosos. O gadget tem funções comuns de outros dispositivos semelhantes, mas ganhou popularidade pelo tamanho compacto. A decisão foi considerada arbitrária por especialistas, que defendem o uso de ferramentas de testes de redes e pedem que a Anatel reconsidere a proibição, já que esses equipamentos são cruciais para atividades de pesquisas e melhorias de segurança digital.

Especialistas em segurança identificaram 16 vulnerabilidades graves em drones da DJI, 14 das quais utilizavam acesso remoto ao smartphone do operador e tinham potencial para derrubar drones em pleno voo. A pesquisa foi conduzida em parceria pela Universidade de Bochum e pelo CISPA, que alertaram que as vulnerabilidades permitiam identificar as localizações de ambos piloto e drone, acessar dados sincronizados em nuvem e modificar credenciais de identificação do dispositivo. A DJI corrigiu todas as falhas apontadas pelos pesquisadores antes da publicação do relatório.

Cibercriminosos estão usando o interesse do público no Oscar 2023 para realizar um golpe de phishing, de acordo com a empresa de segurança Kaspersky. Os bandidos criaram um site falso que supostamente contém todos os filmes indicados e pedem que o usuário pague uma pequena taxa de assinatura para acessá-los, roubando assim seus dados bancários. A Kaspersky aconselha os usuários a serem cautelosos e a verificar a autenticidade de qualquer site que ofereça streaming gratuito de filmes, além de usar apenas serviços de streaming confiáveis e verificar a veracidade do site.

O WhatsApp se recusou a enfraquecer a privacidade das mensagens criptografadas e isso pode provocar o banimento do aplicativo nos países do Reino Unido. Caso a Lei de Segurança Online seja aprovada, redes sociais podem ser obrigadas a diminuir a proteção de mensagens por criptografia. O Signal, aplicativo de mensagens concorrente do WhatsApp, afirmou que pararia de fornecer serviços nos países do Reino Unido caso a lei exija a remoção das criptografias em mensagens. O projeto de lei visa combater, principalmente, o terrorismo e o abuso sexual infantil online.

Uma falha de segurança nos servidores da Cosentino, empresa multinacional que fabrica superfícies e pedras para projetos de arquitetura e design doméstico, expôs informações pessoais de clientes em todo o mundo. A brecha estava no sistema de emissão de certificados de garantia, que podia ser manipulado para revelar nomes completos, telefones, e-mails e endereços dos consumidores da empresa. A Cosentino foi contatada e fechou o acesso sem autenticação aos certificados, mas não se sabe se o volume foi acessado e baixado por terceiros mal-intencionados. O Brasil é um dos principais mercados da empresa.

Pesquisadores de segurança digital descobriram uma infraestrutura mal-configurada pertencente à montadora BMW, que contém arquivos com dados de configuração que, se explorados de maneira maliciosa, poderiam permitir intrusões nos sistemas internos e roubo de dados hospedados. Os dados sensíveis teriam sido gerados pelo Laravel, um framework de código aberto que é usado pela fabricante no desenvolvimento de suas aplicações web, e podem ser suscetíveis a brechas conhecidas desde 2017. A vulnerabilidade é comum e o Brasil é o nono país com mais detecções. A BMW não se pronunciou sobre o assunto.

Campanhas cibercriminosas estão mirando fãs de The Last of Us, oferecendo títulos gratuitos como isca para roubo de informações de cartão de crédito e instalação de malware. Os ataques vêm em meio ao final da série de TV e à chegada da primeira versão do game para computadores. A fraude ocorre com a oferta de um código gratuito para quem deseja jogar The Last of Us no PlayStation 5 e paga uma pequena taxa de adesão, no valor de poucos dólares. A recomendação é ter cuidado no acesso a sites suspeitos e proteger contas com senhas complexas e únicas.

Um novo malware baseado em Golang, chamado GoBruteforcer, foi descoberto por pesquisadores da Palo Alto Networks. A ameaça digital escaneia e infecta servidores web que executam serviços phpMyAdmin, MySQL, FTP e Postgres. Ele usa força bruta para invadir dispositivos *nix vulneráveis, e é compatível com arquiteturas x86, x64 e ARM. O malware inicia a busca por alvos dentro de um bloco CIDR, em vez de um único endereço IP, o que aumenta o alcance do ataque. O GoBruteforcer também usa um módulo multiscan para encontrar possíveis vítimas.

A Microsoft irá introduzir uma proteção aprimorada contra ataques de phishing que empregam arquivos maliciosos do Microsoft OneNote. A novidade deve estar disponível antes do final de abril de 2023 e incluirá uma notificação de alerta para os usuários quando um arquivo perigoso for detectado. A medida vem após uma onda de ataques de phishing que utilizavam arquivos do OneNote, com extensão .one, e conteúdos ocultos que pediam para que os alvos clicassem para ver o documento. Infelizmente, usuários muitas vezes ignoram os alertas de segurança, colocando em risco a rede corporativa.

Um grupo de hackers suspeito da Coreia do Norte está mirando pesquisadores de segurança e organizações de mídia nos EUA e Europa com ofertas de emprego falsas que levam à implantação de três novas famílias de malware personalizadas. Os atacantes usam engenharia social para convencer seus alvos a se comunicarem pelo WhatsApp, onde deixam a carga útil do malware "PlankWalk", uma porta dos fundos C++ que ajuda a estabelecer uma base no ambiente corporativo do alvo. O grupo anteriormente tinha como alvo empresas de tecnologia, grupos de mídia e entidades da indústria de defesa.

A agência cibernética dos EUA, CISA, adicionou uma vulnerabilidade crítica de gravidade em VMware Cloud Foundation a sua lista de falhas de segurança exploradas no mundo real. A falha CVE-2021-39144 foi encontrada na biblioteca de código aberto XStream usada por produtos vulneráveis da VMware. A VMware lançou atualizações de segurança para corrigir a falha e também emitiu patches para alguns produtos que estão no final de sua vida útil. A CVE-2021-39144 está sendo explorada ativamente desde pelo menos dezembro de 2022. A CISA ordenou às agências federais dos EUA que protejam seus sistemas contra ataques em até três semanas.

A Blackbaud, fornecedora de software de nuvem, concordou em pagar US$ 3 milhões para resolver acusações feitas pela Securities and Exchange Commission (SEC), alegando que não divulgou o impacto total de um ataque de ransomware de 2020 que afetou mais de 13.000 clientes, incluindo organizações beneficentes, fundações, organizações sem fins lucrativos e universidades em todo o mundo. A SEC alegou que a empresa falhou em relatar à gerência que os criminosos haviam roubado informações confidenciais de clientes, incluindo números de segurança social e detalhes bancários de doadores, após o ataque.

A plataforma de saúde Cerebral está enviando avisos de violação de dados para 3,18 milhões de pessoas que interagiram com seus sites, aplicativos e serviços de telemedicina. A empresa admitiu ter utilizado pixels rastreadores invisíveis do Google, Meta (Facebook), TikTok e outros terceiros em seus serviços online desde 12 de outubro de 2019, o que expôs informações médicas sensíveis de pacientes a terceiros sem autorização. O Cerebral alertou que as informações vazadas incluem nomes completos, números de telefone, endereços de e-mail, data de nascimento, endereço IP e informações de saúde associadas a respostas de autoavaliação e planos de tratamento.

O Hospital Clínic de Barcelona sofreu um ataque de ransomware no domingo, afetando gravemente seus serviços de saúde depois que as máquinas virtuais da instituição foram atacadas. O ataque impactou os serviços de emergência de três centros médicos associados ao Clínic de Barcelona, ​​além de cancelar 150 operações não urgentes agendadas para as próximas semanas e 3.000 consultas. Os serviços de radiologia, testes endoscópicos, exames radiológicos, diálise e farmácia ambulatorial continuam operando normalmente. A recuperação total das operações normais é impossível de determinar atualmente. O grupo de ransomware RansomHouse assumiu a responsabilidade pelo ataque.