Boletim semanal de cibersegurança, 21—27 maio

Telefónica Tech    27 mayo, 2022
Mimi Thian / Unsplash

Vulnerabilidade não corrigida da PayPal

O pesquisador de segurança H4x0r-DZ revelou uma vulnerabilidade não corrigida no serviço de transferência de dinheiro da PayPal que poderia permitir que os invasores enganassem as vítimas para roubar seu dinheiro, completando transações direcionadas realizando ataques de clickjacking.

Essa técnica permite que um invasor engane um usuário a clicar em elementos aparentemente inofensivos de uma página da Web para fins fraudulentos: baixar malware, redirecioná-los para sites maliciosos ou revelar informações confidenciais.

O pesquisador descobriu que um PayPal[.] com/agreements/approve, projetado para acordos de faturamento, e que só deve permitir tokens do tipo billingAgreementToken, realmente permitiu que você recebesse outro tipo de token. Isso permitiria que um invasor incluísse um iframe específico, o que faz com que uma vítima que tenha entrado no site transfira seus fundos para uma conta PayPal controlada pelo invasor simplesmente clicando em um botão.

O pesquisador decidiu publicar a prova de conceito, após notificar a empresa do acórdão em outubro de 2021 e não ter recebido qualquer tipo de compensação ou solução para ele a partir de PayPal.

URL: https://medium.com/@h4x0r_dz/vulnerability-in-paypal-worth-200000-bounty-attacker-can-steal-your-balance-by-one-click-2b358c1607cc

* * *

Spyware Predator distribuído explorando 0-days

Pesquisadores do grupo de análise de ameaças do Google (TAG) revelaram os detalhes do uso de novos 0-days no Chrome e android para a distribuição de spyware conhecido como Predator, uma ferramenta comercial de ciberespionagem desenvolvida pela Cytrox.

Especificamente, os pesquisadores falam de três campanhas diferentes. A primeira campanha foi detectada em agosto de 2021 e teria explorado uma vulnerabilidade no Chrome para redirecionar para o SBrowser (CVE-2021-38000 CVSSv3 6.1).

A segunda campanha começou em setembro de 2021 e explorou várias vulnerabilidades no Chrome para escapar do sandbox do navegador (CVE-2021-37973 CVSSv3 9.8 e CVE-2021-37976 CVSSv3 6.5). Finalmente, a terceira campanha data de outubro de 2021 e envolve o uso de 0-days no Chrome e Android (CVE-2021-38003 CVSSv3 8.8 e CVE-2021-1048 CVSSv3 7.8).

Apesar de explorar 0-days diferentes, a base das campanhas era a mesma. Os invasores distribuíram links de «link único» (válidos apenas uma vez e expirando após 24 horas) se passando por serviços de encurtamento de URL para usuários androides, por e-mail, dos quais distribuíram as explorações. O objetivo das campanhas era a distribuição de malware android chamado ALIEN, responsável por baixar mais tarde o spyware Predator.

Quanto à atribuição das campanhas, os pesquisadores apontam que os atores por trás das campanhas seriam apoiados pelos governos e, especificamente, apontam pelo menos para os do Egito, Armênia, Grécia, Madagascar, Costa do Marfim, Sérvia, Espanha e Indonésia. Suas descobertas estão em consonância com pesquisas realizadas pelo CitizenLab em dezembro de 2021.

URL: https://blog.google/threat-analysis-group/protecting-android-users-from-0-day-attacks/

* * *

Distribuição do Cobalt Strike usando PoCs falsas

Pesquisadores de segurança da Cyble descobriram que agentes de ameaças supostamente usaram provas falsas de conceito de duas vulnerabilidades recentes no Windows para infectar suas vítimas com o Cobalt Strike.

Especificamente, os invasores postaram PoCs maliciosos no GitHub para as vulnerabilidades de execução de código remoto CVE-2022-24500 e CVE-2022-26809, ambos corrigidos pela Microsoft em abril passado. Os dois repositórios pertenciam ao mesmo usuário do GitHub, chamado «rkxxz», cuja conta e repositórios já foram excluídos.

O objetivo desse tipo de prática, cada vez mais comum, são geralmente indivíduos relacionados à segurança da informação. De acordo com a análise realizada pela Cyble, o malware usado nesta campanha é um aplicativo .NET que exibe uma mensagem falsa na tela sobre a tentativa de explorar a vulnerabilidade, executando posteriormente comandos no PowerShell para baixar o beacon Cobalt Strike.

URL:  https://blog.cyble.com/2022/05/20/malware-campaign-targets-infosec-community-threat-actor-uses-fake-proof-of-concept-to-deliver-cobalt-strike-beacon/

* * *

Vulnerabilidade de 0-day em Tails

A Tails emitiu um aviso de segurança onde avisa que teria localizado uma vulnerabilidade em sua versão Tails 5.0 que afetaria os usuários que usam a distribuição Linux para acessar o navegador Tor. Portanto, eles recomendam que o Tor não seja usado até 31 de maio, quando a atualização para a versão 5.1 será lançada.

Essa falha está relacionada ao aviso de segurança emitido pela Mozilla, onde corrigiu duas vulnerabilidades críticas que afetaram seu gerenciador de e-mails Thunderbird e o navegador Firefox. Esses bugs foram classificados com identificadores CVE-2022-1529 e CVE-2022-1802, e estavam relacionados a um erro no motor JavaScript, que também é usado pelo Tor.

Tails afirma que, se explorado, poderia permitir que um invasor obtenha informações confidenciais, como senhas, mensagens privadas, entre outras, embora a criptografia de conexões usadas pelo Tor para manter o anonimato do usuário, não teria sido afetada.

A partir de Tails eles recomendam reiniciar o sistema, e afirmam que a Mozilla teria detectado atividade relacionada à exploração dessas falhas.

URl: https://tails.boum.org/security/prototype_pollution/index.en.html

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *