Boletim semanal de cibersegurança 12 – 18 Março 

Vishing se passando  pela Microsoft

O Escritório de Segurança da Internet (OSI) emitiu um aviso de segurança para relatar o aumento, nas últimas semanas, de chamadas fraudulentas nas quais um suposto funcionário da Microsoft indica que o dispositivo do usuário está infectado. Nesse tipo de fraude, conhecida como vishing, o invasor insta a vítima a instalar um aplicativo de acesso remoto, que supostamente desinfetará o dispositivo. Uma vez que o cibercriminoso tenha acesso ao computador do usuário, ele pode roubar todos os tipos de arquivos armazenados no dispositivo, obter as senhas salvas no navegador e até mesmo instalar um malware que bloqueia o computador para solicitar mais tarde um pagamento para seu desbloqueio. A partir do OSI recomenda-se desconectar o dispositivo da rede, desinstalar o programa instalado e usar um antivírus, caso o usuário tenha atendido a chamada e instalado o programa mencionado pelo cibercriminoso.

Vulnerabilidade no kernel Linux Netfilter

O pesquisador de segurança Nick Gregory descobriu uma nova vulnerabilidade no kernel Linux. Essa falha, identificada como CVE-2022-25636 e com um CVSSv3 de 7.8, implica uma vulnerabilidade de gravação fora dos limites no Netfilter, uma estrutura de kernel Linux que permite que várias operações sejam realizadas com a rede, como filtragem de pacotes, endereço e tradução de porta (NATP), rastreamento de conexão e outros tipos de operações de manipulação de pacotes. Um invasor no local poderia explorar essa vulnerabilidade para escalar privilégios e executar código arbitrário no sistema vulnerável. Deve-se notar que o bug afeta da versão 5.4 para 5.6.10 do kernel Linux, por isso é recomendável atualizar para a nova versão o mais rápido possível, pois há um PoC disponível.

Variante do Trojan Brasileiro Maxtrilha tem como alvo usuários portugueses

O pesquisador Pedro Tavares, da Segurança Informática, detectou uma possível nova variante do Troiano brasileiro conhecido como Maxtrilha. Essa variante foi detectada através de modelos de phishing onde se passavam pelos serviços fiscais de Portugal (Autoridade Tributária e Aduaneira), sendo seus usuários bancários-alvo daquele país. Os pesquisadores consideram esse malware uma nova variante do Trojan Maxtrilha brasileiro devido à semelhança das amostras, e porque usa os mesmos modelos para atacar usuários. E-mails maliciosos distribuídos incluem uma URL que baixa um arquivo HTML chamado «Split 2021.html» ou «Financas.htm», que posteriormente baixa um arquivo ZIP e, finalmente, baixa o malware. Esta nova variante pode instalar ou modificar certificados confiáveis do Windows, executar uma sobreposição de janelas bancárias com o objetivo de roubar credenciais e pode implementar cargas adicionais executadas através da técnica de injeção DLL.

Apple corrige 87 vulnerabilidades

A Apple lançou 10 boletins de segurança que corrigem um total de 87 vulnerabilidades em seus diferentes produtos e plataformas: iOS 15.4 e iPadOS 15.4, watchOS 8.5, tvOS 15.4, macOS Monterey 12.3, macOS Big Sur 11.6.5, Security Update 2022-003 Catalina, Xcode 13.3, Logic Pro X 10.7.3, GarageBand 10.4.6 e i Sintonizes 12.12.3 para Windows. Entre as vulnerabilidades detectadas estão bugs no WebKit (mecanismo de navegador da Web usado pelo Safari, Mail ou App Store) que podem levar à execução remota de código (CVE-2022-22610, CVE-2022-22624, CVE-2022-22628 e CVE-20222-22629). Também são destacadas outras quatro vulnerabilidades em componentes de visualização de documentos, áudio e vídeo no iPhone e iPad que poderiam permitir a implantação de malware ou a elevação do privilégio (CVE-2022-22633, CVE-20222-22635 e CVE-20222-22636). Por fim, deve-se notar que o macOS recebe atualizações tanto da versão atual quanto das duas anteriores, enquanto apenas as versões mais atuais do iOS, watchOS, iPadOS e tvOS são compatíveis com essas atualizações.

LokiLocker: novo RaaS com funcionalidade de wiper

A equipe de pesquisadores do BlackBerry identificou um novo Ransomware as a Service (RaaS) direcionado contra computadores usando o sistema operacional Windows. Segundo especialistas, este software malicioso foi descoberto pela primeira vez em meados de agosto de 2021, e teria afetado vítimas em todo o mundo, embora a maioria delas estivesse localizada na Europa e ásia. Entre os recursos mais destacados do LokiLocker está que ele é escrito em .NET e protegido com NETGuard, além disso, ele também usa o KoiVM, um complemento de virtualização que dificulta a análise de softwares maliciosos e que seu uso não é muito comum. Da mesma forma, LokiLocker estabelece um prazo para pagar o resgate, se a vítima não acessar a chantagem do ransomware, usa uma função de excluir arquivos do computador, exceto os do sistema, e substitui o registro de inicialização mestre (MBR) da unidade do sistema para desabilitá-lo.