As principais notícias de cybersecurity para serem lidas em menos de 3 minutos, todo dia em seu e-mail.

VMware corrigiu duas vulnerabilidades críticas no Aria Operations for Logs, que permitem a execução remota de código em sistemas vulneráveis. As falhas ( CVE-2023-20864 e CVE-2023-20865 ) foram solucionadas com a atualização do software para a versão 8.12. Não há evidências de que as vulnerabilidades foram exploradas antes de serem corrigidas.

O grupo de hackers Lazarus, suspeito de ter realizado o ataque à cadeia de suprimentos da 3CX, agora está direcionando usuários do Linux com malware por meio de sua campanha "Operation DreamJob". Os pesquisadores da ESET descobriram que o grupo usa ofertas de emprego falsas no LinkedIn para enganar os usuários e distribuir o malware OdicLoader, que baixa um segundo estágio de payload malicioso da nuvem OpenDrive. A campanha já levou a sucessos como o roubo de US$ 620 milhões da Axie Infinity e US$ 100 milhões do Harmony Bridge.

A empresa de terceirização Capita admitiu que hackers exfiltraram dados de seus sistemas após invasão em março. A empresa está investigando o incidente e fornecerá atualizações se houver impacto em clientes, fornecedores ou colegas. O grupo de ransomware Black Basta postou a empresa em seu site de extorsão na dark web em abril, oferecendo vender dados roubados a compradores interessados, mas a Capita não comentou as alegações dos hackers.

Um recente ataque à cadeia de suprimentos da empresa de comunicação 3CX foi causado por um ataque de outra cadeia de suprimentos, em que suspeitos atacantes norte-coreanos invadiram o site da Trading Technologies para distribuir builds de software trojanizado. A empresa de consultoria de segurança Mandiant disse que há "um número de organizações que ainda não sabem que foram comprometidas". Acredita-se que o grupo por trás do ataque, UNC4736, esteja relacionado ao grupo financeiramente motivado Lazarus, também da Coreia do Norte.

A NSO Group, fabricante do spyware Pegasus, usou pelo menos três exploits "zero-click" contra iPhones em 2022 para infiltrar as defesas da Apple e implantar o Pegasus, segundo o Citizen Lab. Embora a ferramenta tenha sido apresentada como uma maneira de combater crimes graves, como abuso sexual infantil e terrorismo, governos autoritários a utilizam ilegalmente para espionar defensores de direitos humanos, jornalistas e dissidentes. O uso indevido do Pegasus levou o governo dos EUA a incluir a NSO Group em sua lista de bloqueio comercial e a Apple a processar a empresa por mirar seus usuários.

O grupo de ciberespionagem Blind Eagle, também conhecido como APT-C-36, foi relacionado a uma nova cadeia de ataques multiestágios que leva ao uso do trojan de acesso remoto NjRAT em sistemas comprometidos. O grupo, suspeito de falar espanhol, ataca principalmente entidades do setor público e privado na Colômbia. As táticas incluem malware personalizado, engenharia social e phishing direcionado.

Hackers associados ao serviço de inteligência militar da Rússia foram ligados a campanhas de phishing em grande volume para extrair informações e influenciar o discurso público na Ucrânia relacionado à guerra. O grupo, conhecido como FROZENLAKE, APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit e Sofacy, tem sido ativo desde pelo menos 2009, direcionando mídia, governos e entidades militares para espionagem. A campanha mais recente envolveu o uso de ataques XSS refletidos em vários sites do governo ucraniano para redirecionar usuários para domínios de phishing e capturar suas credenciais.

A China-linked threat actor known as Daggerfly has targeted telecommunication services providers in Africa since November 2022, using previously unseen plugins from the MgBot malware framework, according to cybersecurity firm Symantec. The group uses spear-phishing to drop MgBot as well as other tools to conduct espionage activities against human rights and pro-democracy advocates. Symantec identified three additional victims of the same activity cluster in Asia and Africa, with two being subsidiaries of a telecom firm in the Middle East region.

Ladrões estão roubando iPhones de usuários em bares à noite, acessando suas contas da Apple e ativando a chave de recuperação, bloqueando-os de suas contas. A política da Apple praticamente não permite que os usuários recuperem suas contas sem essa chave de recuperação. Muitas vítimas estão oferecendo passaportes, carteiras de motorista e outras formas de identificação para provar a propriedade de suas contas.

A firma de segurança Kaspersky informou que seus sistemas anti-phishing bloquearam mais de 5 milhões de mensagens fraudulentas relacionadas a criptomoedas em 2022, representando um aumento de 40% em comparação com o ano anterior. A maioria dos golpes envolve truques tradicionais, mas um novo esquema usa mensagens falsas com um arquivo PDF anexo que informa sobre um suposto cadastro antigo da vítima em uma plataforma de mineração de criptomoedas na nuvem. Os especialistas da Kaspersky recomendam cuidado e atenção para evitar cair em golpes virtuais.

O Walmart foi a empresa mais copiada em golpes de phishing no primeiro trimestre de 2023, segundo a Check Point Research. A varejista multinacional teve 16% de todos os ataques globais do tipo, seguida pela DHL com 13%. Microsoft, LinkedIn e FedEx completam o Top 5 de marcas mais utilizadas em ataques de phishing.

O NCSC do Reino Unido alertou para o risco crescente de ataques de hacktivistas russos alinhados ao estado e pediu que todas as organizações no país apliquem medidas de segurança recomendadas. Os grupos têm como alvo ataques de DDoS, mas podem mudar para atividades mais prejudiciais se tiverem a oportunidade. O NCSC publicou um guia com ações recomendadas, incluindo controle de acesso, revisão de backups e planos de incidentes. Enquanto considera improvável que esses grupos causem danos reais no curto prazo, o NCSC pediu que as organizações ajam agora para gerenciar o risco de ataques futuros bem-sucedidos.

A Fortra concluiu sua investigação sobre a exploração da vulnerabilidade zero-day CVE-2023-0669 , que o grupo de ransomware Clop explorou para roubar dados de mais de cem empresas. A falha crítica de execução remota de código do GoAnywhere MFT tornou-se pública após a notificação da Fortra em 3 de fevereiro de 2023.

Hackers estão invadindo servidores Microsoft SQL mal protegidos e expostos na internet para instalar o ransomware Trigona e criptografar todos os arquivos. Os invasores estão explorando senhas fáceis de adivinhar para acessar os servidores, e depois usam malwares para colher informações do sistema e escalonar privilégios antes de instalar o ransomware. A gangue do Trigona é conhecida por exigir pagamentos de resgate em criptomoedas e por roubar dados sensíveis das vítimas durante o ataque.

A ameaça AuKill é uma nova ferramenta de hacking usada por hackers para desativar o software de detecção e resposta de ponto final (EDR) em sistemas de alvos antes de implantar backdoors e ransomware em ataques Bring Your Own Vulnerable Driver (BYOVD). Os atacantes derrubam o software de segurança e tomam o controle do sistema, usando drivers legítimos assinados com um certificado válido e capazes de executar com privilégios de kernel nos dispositivos das vítimas.

A desenvolvedora de software de gerenciamento de impressão PaperCut alertou os clientes para atualizarem seus softwares imediatamente, pois hackers estão explorando ativamente falhas para acessar servidores vulneráveis. A empresa recebeu dois relatórios de especialistas em segurança cibernética em 10 de janeiro de 2023, informando sobre duas falhas de alta e crítica gravidade que afetam o PaperCut MF/NG. A empresa atualizou seu boletim de segurança em março de 2023 para alertar os clientes de que as vulnerabilidades estão sendo exploradas ativamente por hackers.

Uma atualização recente do Microsoft Defender removeu a proteção LSA e adicionou uma nova chamada Kernel-mode Hardware-enforced Stack Protection, que visa prevenir ataques de fluxo de controle baseados em ROP. No entanto, a mudança confundiu os usuários, já que a Microsoft não forneceu documentação adequada. Além disso, alguns drivers de jogos estão causando conflitos com o novo recurso de segurança, levando a problemas de estabilidade.

O México se tornou o primeiro cliente do spyware Pegasus, usado por governos em todo o mundo para invadir milhares de celulares e monitorar cidadãos, especialmente defensores dos direitos humanos e da democracia. O país é também o usuário mais prolífico do spyware, implantando-o ilegalmente mesmo contra seus próprios cidadãos. O governo israelense, que deve aprovar a exportação do Pegasus para outras nações, não ordenou o fim de seu uso no México, apesar da ampla evidência de abusos. O Ministério da Defesa mexicano afirmou que a coleta de informações "não tem como objetivo" invadir a vida privada de figuras políticas, cívicas e da mídia.

Pesquisadores de segurança cibernética revelaram o funcionamento interno do "in2al5d p3in4er", um loader altamente evasivo usado para distribuir o malware Aurora Stealer. O loader é compilado com Embarcadero RAD Studio e utiliza técnicas anti-VM para evitar detecções. O malware é distribuído por meio de vídeos do YouTube e sites de downloads de software falso. O loader é capaz de detectar a placa gráfica instalada no sistema e apenas executa o malware se for compatível com as placas de vídeo AMD, Intel ou NVIDIA.

O Nubank foi notificado pelo Idec devido a falhas de segurança e golpes aplicados em seu aplicativo, incluindo transferências e empréstimos em nome dos titulares, além de não bloquear transações que fogem do padrão de seus clientes. O banco digital afirmou que a segurança é uma prioridade e mantém equipes especializadas para o atendimento às vítimas.