Boletim semanal de cibersegurança 2 maio-4 junho

Vulnerabilidade no SonicWall Network Security Manager

A SonicWall lançou patches de segurança,  para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do Network Security Manager (NSM). Classificado como CVE-2021-20026 e com um CVSS de 8’8, esse erro poderia ser explorado de forma simples sem interação do usuário, embora, como fator atenuante, deve-se notar que é necessário ser autenticado no sistema para alcançar sua exploração. Afeta o NSM 2.2.0-R10-H1 e anteriormente, mas não as já corrigidas versões NSM 2.2.1-R6 e 2.2.1-R6 (Enhanced). Além disso, essa vulnerabilidade afetaria apenas implantações NSM no local, com versões SaaS não sendo afetadas. Embora a empresa não tenha indicado que há um perigo imediato de que os invasores explorem essa vulnerabilidade, a SonicWall estaria pedindo aos clientes que corrijam essa falha imediatamente.

Exploração ativa de um 0 day no plugin Fancy Product Designer

Foi detectado uma campanha de exploração ativa de uma vulnerabilidade de 0 day no plugin Fancy Product Designer do WordPress, um plugin que estaria presente em mais de 17 mil páginas da Web e que permite personalizar a visualização de produtos no WordPress, WooCommerce e Shopify. Trata-se de uma execução remota de código e vulnerabilidade arbitrária de upload de arquivos que não requer autenticação do usuário. Este bug foi identificado como CVE-2021-24370 (CVSSv3 a partir de 9.8) e afeta a versão 4.6.8 e anterior do plugin nas plataformas WordPress, WooComerce e Shopify. No entanto, os pesquisadores afirmam que os ataques provavelmente serão bloqueados nas plataformas do Shopify, uma vez que eles têm controles de acesso mais rigorosos. Recomendamos que você desinstale completamente o plug-in até que um patch esteja disponível, porque às vezes essa vulnerabilidade pode ser explorada mesmo que o plug-in seja desativado.

Análise do malware utilizado pelo ator de ameaça do Nobelium

A Microsoft publicou uma análise dos artefatos usados na fase inicial da campanha para se passar pela Agência Americana de Desenvolvimento Internacional (USAID) do ator de ameaça Nobelium, também conhecido como APT29 e que estaria por trás do ataque à cadeia de suprimentos de ventos solares. Especificamente, 4 novas famílias de malware foram identificadas:

• EnvyScout: Permite o roubo de credenciais NTLM de contas do Windows e coloca uma imagem ISO maliciosa no computador comprometido. Esse malware também teria sido identificado em uma campanha de personificação para a Embaixada da Bélgica.  
• Boombox: arquivo .exe incluído no ISO que atua como um download baixando os artefatos maliciosos criptografados do Dropbox. Ele também é capaz de coletar informações sobre o domínio windows para encaminhamento criptografado para um servidor remoto.
• NativeZone: DLL que atua como um carregador e começa automaticamente quando um usuário faz logon no Windows para iniciar o CertPKIProvider.dll (VaporRage).
• VaporRage: DLL que tem recursos de download e execução de shellcode de servidores C2 e com o qual os atacantes executam diferentes atividades maliciosas, incluindo a instalação de balizas Cobalt Strike.  

Distribuição de Teabot e Flubot através de aplicativos e sites fraudulentos

Desde dezembro de 2020,  houve vários ataques contra dispositivos Android com as famílias de malware Teabot e Flubot. Recentemente, pesquisadores da Bitdefender identificaram uma nova onda de aplicativos distribuindo esses Trojans bancários tentando imitar os aplicativos legítimos mais bem avaliados na loja do Android. Por sua vez, o Teabot tem a capacidade de realizar ataques de sobreposição através de serviços de acessibilidade Android, interceptar mensagens, executar várias atividades de keylogging, roubar códigos de autenticação do Google e até mesmo assumir o controle remoto completo dos dispositivos afetados. Até agora, é direcionado contra diversas entidades bancárias conhecidas como Bankia, BBVA, Banco Santander ou ING Espanha, entre outras. Por outro lado, o Flubot teve um impacto significativo na Alemanha, Espanha, Itália e Reino Unido. O vetor de entrada deste Trojan bancário ainda são mensagens SMS que tentam se passar por empresas de encomendas como DHL, FedEx ou Correios. O Flubot tem a capacidade de roubar dados bancários, contatos, SMS e outros dados privados. Ele também é capaz de executar outros comandos disponíveis, incluindo o envio de SMS com o conteúdo fornecido pelo servidor C2.

Epsilon Network: Novo Ransomware explorando vulnerabilidades proxylogon do Microsoft Exchange

A equipe de pesquisadores da Sophos descobriu um novo ransomware,chamado Epsilon Red, após a investigação de um ataque a uma grande empresa hoteleira não identificada dos EUA. De acordo com os pesquisadores, o vetor de entrada usado pelos agentes de ameaças teria consistido na exploração de vulnerabilidades do Proxylogon, pois a empresa não teria aplicado os patches de segurança para proteger a infraestrutura de TI, em relação aos seus servidores Microsoft Exchange. Depois de obter o compromisso da rede, atores mal-intencionados acessam via RDP e usam o WMI (Windows Management Instrumentation) para executar scripts de Software e PowerShell para finalmente implantar o ransomware Epsilon Red. Quanto às características deste novo software malicioso, ele está escrito em Goland e que possui diferentes scripts PowerShell cujas funcionalidades consistem em remover processos de dispositivos das vítimas ou desativar soluções de segurança, entre outros. Embora a origem desta ameaça seja desconhecida e esse nome, juntamente com o emprego desta ferramenta, sejam exclusivos deste invasor, a nota de resgate se assemelha muito à do ransomware REvil.