As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

Pesquisadores da QiAnXin XLab descobriram um backdoor PHP chamado Glutton, atribuído ao grupo Winnti, visando sistemas de cibercriminosos na China, EUA, entre outros. Glutton infiltra-se em frameworks PHP populares, exibindo táticas incomuns contra criminosos virtuais.

Utilizando uma estratégia avançada, hackers da GRU russa conseguiram atacar redes Wi-Fi alvo através de dispositivos comprometidos em edifícios vizinhos, sem a necessidade de proximidade física. A descoberta, feita pela Volexity, revela uma tática de "nearest neighbor attack", elevando preocupações sobre segurança cibernética global.

A gigante de peças automotivas, LKQ Corporation, sofreu um ataque cibernético em sua filial canadense em 13 de novembro, afetando operações. A empresa agiu rapidamente com medidas de contenção e investigação, sem previsão de impacto material nas suas operações ou finanças. Autoridades já foram notificadas, e a unidade afetada está operando quase plenamente.

Utilizando malvertising em redes sociais e vídeos com inteligência artificial, uma ameaça chamada "Nomani" cresce 335%. Phishing e falsas promessas de investimento levam a grandes perdas financeiras e de dados, apontam pesquisadores da ESET.

A gangue de ransomware Clop confirmou sua responsabilidade nos recentes ataques à Cleo, explorando uma falha de segurança para roubar dados corporativos. Apesar de uma correção inicial, descobriu-se que a brecha ainda permitia acessos indevidos, levando a uma série de violações de dados.

Dispositivos de rede estão sob cerco em esquema de roubo de credenciais. Citrix alerta sobre aumento de attacks de password spray contra dispositivos Netscaler, com recomendações de mitigação que envolvem autenticação multifatorial e políticas de resposta específicas, valendo para versões do firmware acima de 13.0.

O regulador de internet da Rússia, Roskomnadzor, restringiu o acesso ao Viber, alegando o uso indevido para fins extremistas e venda de drogas. Segue outras proibições a aplicativos estrangeiros e VPNs, intensificando a censura digital no país.

Identificado pela Claroty, o IOCONTROL mira dispositivos de IoT e SCADA, sendo capaz de atacar uma gama diversa de plataformas. Opera via MQTT e evita detecção com DNS-over-HTTPS, possibilitando comando remoto e movimentação lateral entre dispositivos.

Pesquisadores identificaram uma falha grave (CVE-2024-54143) na função ASU do OpenWrt, permitindo a distribuição de firmware maligno. A brecha já corrigida na versão 920c8a1, demonstra risco sério ao permitir injeção de comandos e colisões de hash SHA-256. A atualização imediata é recomendada para evitar explorações maliciosas.

Um backdoor inédito, chamado Yokai, foi descoberto em uma operação de ciberespionagem. Utilizando técnicas de DLL side-loading através de arquivos RAR maliciosos, os atacantes visam estabelecer persistência e executar comandos no host infectado. A técnica criativa de entrega sugere o aumento da sofisticação dos agentes de ameaças.

A operação BADBOX, atingindo 30.000 dispositivos com Android desatualizado na Alemanha, foi interrompida pelo BSI. Esta ação bloqueou a comunicação com servidores de controle, afetando principalmente quadros digitais, players de mídia e outros dispositivos conectados.

Hackers chineses usaram túneis do Visual Studio Code (VSCode), uma ferramenta legítima da Microsoft, para manter acesso remoto persistente a sistemas de provedores de TI no sul da Europa, em uma campanha chamada "Operação Digital Eye". O ataque começou com a exploração de servidores via 'sqlmap' e a implantação de um webshell, seguido por técnicas como pass-the-hash e configuração do VSCode como serviço persistente.

Novas ferramentas de espionagem identificadas, BoneSpy e PlainGnome são as primeiras malwares móveis atribuídas ao grupo pró-Rússia Gamaredon, mirando ex-estados soviéticos e falantes de russo. Especialistas da Lookout revelam que ambas coletam dados sensíveis, incluindo mensagens, logs de chamadas e localização.

A partir de 4 de dezembro, autoridades dos EUA alertaram sobre o risco de espionagem via mensagens de texto, sugerindo a utilização de aplicativos com criptografia de ponta a ponta, como WhatsApp e Facebook Messenger, para proteção contra hackers, especialmente da China. Há pedido para que esses apps permitam acesso judicial às mensagens.

Descoberto por Elastic Security, Pumakit é um rootkit Linux avançado que escala privilégios e se esconde em sistemas usando técnicas sofisticadas. Afetando kernels anteriores à versão 5.7, ele manipula chamadas de sistema para ocultar sua presença e comunica-se com servidores C2, representando riscos graves à segurança.

Em uma operação conjunta, polícias da Espanha e do Peru prendem 83 suspeitos de integrar uma rede que, através de falsificação de identidade e engenharia social via ligação telefônica, ludibriou 10.000 vítimas, arrecadando €3 milhões. A quadrilha, que contava com centros de chamadas, utilizou dados roubados e tecnologia de spoofing para convencer as vítimas a compartilhar informações bancárias sensíveis.

A Cleo lançou atualizações de segurança para falhas zero-day nos programas LexiCom, VLTransfer e Harmony, exploradas em ataques para roubo de dados. Pesquisadores identificaram atividades maliciosas mesmo em sistemas atualizados, ligando os ataques ao grupo Termite ransomware. Insta-se a upgrade imediato para a versão 5.8.0.24 para mitigar as vulnerabilidades.

Pesquisadores da Claroty identificaram um novo malware nomeado IOCONTROL, usado por atores iranianos para atacar dispositivos IoT e sistemas OT/SCADA em Israel e EUA. Com capacidade de comprometer uma ampla gama de dispositivos, o software malicioso visa desde roteadores a sistemas de gestão de combustível, destacando-se pela sua modularidade e persistência.

Especialistas em segurança cibernética descobriram e ajudaram a corrigir uma brecha nos chips AMD, causada pelo módulo BadRAM. Essa falha permitia ataques que comprometiam dados pessoais e na nuvem, mas já foi solucionada em parceria com a fabricante.

Uma vulnerabilidade crítica identificada como CVE-2024-44131 foi mitigada em atualizações recentes. A lacuna no componente FileProvider permitia a aplicativos maliciosos burlar o framework TCC, acessando indevidamente dados sensíveis sem o consentimento dos usuários. As correções foram aplicadas em iOS 18, iPadOS 18 e macOS Sequoia 15, melhorando a validação de symlinks e reforçando a proteção contra acessos não autorizados.