Boletim semanal de Cibersegurança 11 – 18 novembro

Telefónica Tech    18 noviembre, 2022

Atualizações de segurança para 35 vulnerabilidades da Cisco

A Cisco lançou uma atualização de segurança que aborda 35 vulnerabilidades no Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) e Firepower Management Center (FMC).

Oito das 35 vulnerabilidades são de alta criticidade, sendo as mais altas CVE-2022-20946 e CVE-2022-20947 (ambas com uma pontuação CVSS de 8,6), que afetam os produtos Cisco ASA e Cisco FTD. Um invasor não autenticado pode explorá-los para obter uma condição de negação de serviço (DoS).

Além disso, a vulnerabilidade CVE-2022-20927 (CVSS de 7.7), que afeta os mesmos produtos que os anteriores e também pode levar um invasor a causar uma condição de DoS, também se destaca. Dos bugs restantes, 15 vulnerabilidades de script entre sites (XSS) na interface Cisco FMC se destacam.

De acordo com o boletim da Cisco, não há explorações ativas conhecidas contra qualquer uma das vulnerabilidades recém-corrigidas.

Ler mais

* * *

Campanha Fangxiao em larga escala que se faz passar por centenas de empresas

A equipe da Cyjax publicou uma pesquisa sobre uma sofisticada campanha em larga escala na qual atores mal-intencionados supostamente criaram e usaram mais de 42.000 domínios da web.

Segundo os pesquisadores, o grupo Fangxiao estava por trás da campanha, cujo modus operandi consistia em enviar links via WhatsApp que redirecionavam o usuário para um domínio controlado pelos invasores, onde empresas conhecidas eram personificadas.

Mais de 400 empresas personificadas nos setores bancário, varejo, energia, viagens, etc. foram detectados até agora. Depois de completar uma pesquisa inicial sob o pretexto de ganhar prêmios, os usuários são redirecionados novamente para outros domínios que estão em constante mudança, terminando no download de um aplicativo com o trojan Triada.

Em outros casos, o esquema fraudulento redireciona os usuários para o site da Amazon por meio de um link de afiliado que resulta em uma comissão para quem controla o redirecionamento final.

Também foram detectados casos em que os usuários são encaminhados para um golpe de SMS de micro pagamento. A Cyjax indica que a campanha é destinada a usuários de todo o mundo.

Ler mais

* * *

Mozilla corrige várias vulnerabilidades

A Mozilla anunciou o lançamento de uma nova versão do navegador Firefox 107 na qual inúmeras vulnerabilidades foram corrigidas. Um total de 19 vulnerabilidades foram corrigidas com esta nova versão, das quais a Mozilla classificou nove como de alto impacto.

Entre estes, a maioria é devido a bugs relacionados à má gestão da memória que podem levar a falhas no programa, entre outros bugs que podem levar à divulgação de informações ou omissão de notificações para realizar ataques de phishing.

Um exemplo disso é a vulnerabilidade identificada como CVE-2022-45407, em que um invasor pode carregar um arquivo de fonte legítimo e disparar uma falha, uma falha que a Mozilla chama de «falha potencialmente explorável».

Outra das vulnerabilidades corrigidas, identificada como CVE-2022-45404, é descrita como «bypass de notificação em tela cheia». Deve-se notar que esses bugs também foram corrigidos no Mozilla Thunderbird com a versão 102.5.

Ler mais

* * *

Novos detalhes da mais recente campanha Emotet

Após a detecção de novas infecções por Emotet no início de novembro, numerosos pesquisadores analisaram em detalhes a última campanha realizada entre 2 e 11 de novembro. Como relatado inicialmente pelos pesquisadores da Cryptolaemus, uma das mudanças mais notáveis nesta campanha de e-mail em comparação com as campanhas anteriores é que os agentes maliciosos (TA542) instruem as vítimas a copiar o anexo malicioso do Excel para a pasta Templetes, onde a proteção de macro não está habilitada.

Além disso, novos recursos também foram detectados no binário do Emotet, bem como um retorno à funcionalidade de entrega de outras famílias de malware, que foram encontradas para serem usadas para espalhar novas variantes do carregador IcedID ou Bumblebee.

De acordo com a pesquisa publicada pela Proofpoint, esta campanha tentou entregar centenas de milhares de e-mails todos os dias com diferentes iscas e escritos em vários idiomas, o que colocou vítimas na Espanha, México, Grécia, Brasil, Estados Unidos, Reino Unido, Japão, Alemanha, Itália e França, entre outros. Estima-se também que, embora nenhuma atividade tenha sido detectada desde o dia 11, é muito provável que o TA542 em breve distribua o Emotet novamente, já que sua rede está novamente totalmente operacional.

Ler mais

* * *

Qbot muda para abusar do painel de controle do Windows 10

O pesquisador de segurança conhecido no Twitter como «proxylife» (@pr0xylife) descobriu uma campanha de phishing envolvendo o malware Qbot, também conhecido como Qakbot, que foi observado ter passado da exploração de uma vulnerabilidade na calculadora do Windows 7 para a exploração de um bug no ‘controle’. exe’ executável no painel de controle do Windows 10.

O Qbot cria um arquivo DLL malicioso com o mesmo nome e na mesma pasta que a DLL legítima, fazendo com que o Windows o execute e baixe o cavalo de Tróia no computador da vítima. Desta forma, ele também consegue evitar a proteção do software antivírus, pois não sinalizará como malicioso um programa que foi instalado a partir do painel de controle do Windows 10.

Uma vez instalado no computador de destino, o Qbot roubará e-mails para uso em campanhas de phishing ou pode até ser usado para baixar outros tipos de malware, como o Brute Ratel ou o Cobalt Strike.

Ler mais

Deja una respuesta

Tu dirección de correo electrónico no será publicada.