Vulnerabilidades críticas no Salesforce, Windows e Cloudflare
22 de Setembro de 2023

Relatório mensal sobre vulnerabilidades identificadas em diferentes sistemas divulgado pela Redbelt Security, consultoria especializada em segurança cibernética, traz alertas em relação ao serviço de e-mail do Salesforce, ao uso do Windows Search para instalar trojan de acesso remoto (RAT) e do Cloudflare R2 para hospedar páginas de phishing. 

No que diz respeito ao Salesforce, uma sofisticada campanha de phishing no Facebook usou uma nova no serviço de e-mail do Salesforce, que cria mensagens de phishing direcionadas usando a infraestrutura da empresa.

O objetivo é levar os usuários a uma página de destino fraudulenta que captura suas credenciais e códigos de autenticação de dois fatores (2FA).

O que chama a atenção é que o kit de phishing está hospedado como um jogo na plataforma de aplicativos do Facebook, sob o domínio apps.facebook[.].com. 

“É preocupante como os criminosos estão explorando falhas e utilizando a infraestrutura dos sistema de relacionamento das empresas com os consumidores para enganar os usuários.

A segurança on-line é mais importante do que nunca e é preciso ficar alerta em todas as ferramentas empresariais utilizadas”, alerta Marcos de Almeida, gerente de red team da Redbelt.

Hackers também estão explorando o recurso Windows Search para instalar cavalos de Tróia de acesso remoto (RAT).

Eles usam uma função legítima do Windows para baixar malware de servidores remotos e comprometer sistemas.

Os invasores exploram o protocolo URI (Uniform Resource Identifier, ou  identificador uniforme de recurso) “search-ms:” para iniciar pesquisas personalizadas e o protocolo “search:” para chamar o aplicativo de pesquisa do Windows.

Eles enviam e-mails enganosos com links que redirecionam para sites comprometidos, acionando a execução de JavaScript a fim de realizar buscas em servidores controlados por invasores.

Esta tática permite que eles evitem as defesas de segurança tradicionais da Microsoft. 

“É vital que as empresas estejam cientes desse risco e adotem medidas rigorosas de segurança cibernética.

Isso inclui a educação dos funcionários sobre como identificar e-mails enganosos e links suspeitos, bem como a implementação de soluções de segurança avançadas, que possam detectar e mitigar ameaças desse tipo”, destaca Almeida.

O cibercriminosos se aproveitam ainda do Cloudflare R2 para hospedar páginas de phishing.

O uso do Cloudflare R2 para hospedar páginas de phishing aumentou 61 vezes em seis meses.

O número de aplicativos em nuvem usados para distribuir malware aumentou para 167, com Microsoft OneDrive, Squarespace, GitHub, SharePoint e Weebly liderando.

O Cloudflare R2 é um serviço de armazenamento em nuvem semelhante ao Amazon Web Service S3, Google Cloud Storage e Azure Blob Storage.

As campanhas maldosas identificadas pela Netskope usam o Cloudflare R2 para distribuir páginas de phishing e aproveitam o serviço Turnstile da empresa para evitar a detecção por meio de testes CAPTCHA, impedindo scanners online como do link de acessar o site de phishing real.

Hackers brasileiros usam scripts maliciosos, como LOLBaS e CMD, para atacar estrangeiros, o que levado a um  aumento preocupante nos ataques para drenar contas bancárias online, tendo como público-alvo principalmente vítimas de língua espanhola e portuguesa, localizadas no México, Peru e Portugal.

Os hackers brasileiros se aproveitam da engenharia social, enviando e-mails com iscas temáticas relacionadas a impostos ou violações de trânsito.

Ao receber esses e-mails, é importante ter cautela e evitar download e execução de arquivos anexos de origem desconhecida.

Manter os softwares, em especial de segurança, atualizados é fundamental para detectar e bloquear essas ameaças”, enfatiza Almeida.

A Redbelt faz um alerta para a América Latina sobre o malware financeiro JanelaRAT, que ataca sistemas Windows e rouba informações confidenciais— a origem da infecção é desconhecida, mas um arquivo ZIP com um script do Visual Basic está sendo entregue por um vetor desconhecido.

O operador da ameaça parece estar familiarizado com o idioma português e os links para a América Latina estão relacionados a instituições financeiras. 

O VBScript é projetado para buscar um segundo arquivo ZIP do servidor dos invasores e soltar um arquivo em lote usado para estabelecer a persistência do malware.

“É crucial que todas as organizações na região monitorem atentamente qualquer atividade suspeita e compartilhem informações de ameaças com outras instituições para fortalecer a segurança cibernética em toda a região”, comenta Almeida.

Além disso, cibercriminosos estão usando cada vez mais o kit “EvilProxy Phishing” para atingir executivos de alto escalão em empresas proeminentes do mercado.

Várias organizações foram invadidas usando o kit de ferramentas de phishing como serviço (PhaaS).

Segundo a Proofpoint, uma campanha híbrida enviou cerca de 120 mil e-mails de phishing para milhares de contas do Microsoft 365 em todo o mundo de março a junho deste ano.

Quase 39% dos afetados são CEOs (9%) e CFOs (17%), além de pessoas com acesso a ativos financeiros ou informações confidenciais.

Importante: 35% das vítimas tinham proteções de conta ativadas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...