Boletim semanal de cibersegurança 17 — 23 setembro

Ransomware Quantum e BlackCat usam Emotet como vetor de entrada

Pesquisadores da AdvIntel publicaram os resultados de uma investigação relatando que os operadores de ransomware Quantum e BlackCat adotaram o uso do Emotet como dropper em suas operações entre seus TTP.

Especificamente, a Emotet surgiu em 2014 classificada como um trojan bancário, no entanto, sua evolução acabou transformando-a em uma botnet que os operadores de ransomware Conti usaram em suas operações até junho de 2022, quando foi dissolvido.

A metodologia adotada atualmente pela Quantum e pela BlackCat para usar o Emotet é instalar um farol Cobalt Strike que implanta uma carga útil que lhes permite assumir o controle das redes e executar operações de ransomware.

De acordo com especialistas, a Emotet aumentou sua atividade desde o início do ano, distribuindo-se através de arquivos .lnk, e estima-se que mais de 1,2 milhão de computadores estão infectados. Esse aumento também foi corroborado por outras equipes de pesquisa, como eSET e Agari.

Ler mais ⇾

* * *

Revolut sofre violação de dados com mais de 50.000 usuários expostos

O banco online Revolut, que tem uma licença bancária na Lituânia, foi vítima de um ataque cibernético no qual as informações pessoais de mais de 50.000 clientes foram comprometidas.

O incidente, ocorrido há uma semana, foi descrito como «altamente visado». De acordo com a Agência lituana de proteção de dados, 50.150 clientes foram afetados, 20.687 deles pertencentes à Área Econômica Europeia.

Nesta fase, os detalhes de como o invasor obteve acesso ao banco de dados do banco não foram divulgados, mas todas as indicações são de que o ator da ameaça confiou em um ataque de engenharia social como vetor de entrada.

A Agência observa que as informações expostas incluem: endereços de e-mail, nomes e sobrenomes, endereços postais, números de telefone, detalhes limitados do cartão de pagamento e detalhes da conta.

Finalmente, a Revolut emitiu um comunicado dizendo que os dados pessoais comprometidos variam de cliente para cliente e que nenhum detalhe do cartão ou senhas foram acessados.

Ler mais ⇾

* * *

Vulnerabilidades críticas em ambientes de sistemas de controle industrial

A Agência de Segurança cibernética e segurança de infraestrutura (CISA) emitiu um total de oito avisos de segurança alertando para vulnerabilidades em sistemas de controle industrial (ICS), incluindo falhas críticas que afetam os produtos Dataprobe iBoot-PDU.

Deve-se notar que as unidades de distribuição de energia (PDUs) são usadas para gerenciar remotamente a fonte de alimentação de sistemas comumente utilizados em infraestruturas críticas.

Os pesquisadores de segurança da Claroty descobriram um total de sete vulnerabilidades no produto Dataprobe, incluindo CVE-2022-3183 e CVE-2022-3184 com um CVSS de 9,8. Essas falhas de segurança podem permitir que atores mal-intencionados acessem usuários não autenticados e executem remotamente o código nos sistemas afetados.

David Weiss, CEO da Dataprobe, indicou que os problemas de segurança foram corrigidos na versão 1.42.06162022 e que outros são corrigidos por configuração adequada, como desativação de SNMP, telnet e HTTP.

Ler mais ⇾

* * *

Vulnerabilidade antiga do Phyton afeta milhares de repositórios

Pesquisadores da Trellix divulgaram detalhes sobre a exploração de uma vulnerabilidade na linguagem de programação Python que foi negligenciada por 15 anos.

O bug pode afetar mais de 350.000 repositórios de código aberto e pode levar à execução de código. O relatório explica que eles redescobriram a vulnerabilidade ao revisar outros bugs não relacionados, concluindo que era CVE-2007-4559, já documentado em um relatório inicial em agosto de 2007, e que permaneceu sem correção até hoje.

Somente durante o ano de 2022, do Python Bug Tracker, foi uma atualização fornecida à documentação que apenas alertou os desenvolvedores sobre o risco. Por sua vez, Trellix ressalta que o bug persiste, fornecendo vídeos explicativos sobre como explorá-lo.

 A vulnerabilidade está no extrato e extrato de todas as funções do módulo tarfile, o que permitiria a um invasor substituir arquivos arbitrários anexando a sequência «…» para nomes de arquivos em um arquivo TAR.

Além disso, a Trellix anunciou patches para pouco mais de 11.000 projetos, embora, no momento, a Python Software Foundation não tenha comentado sobre a vulnerabilidade, por isso é recomendado um cuidado extremo, pois este é um bug que representa um risco claro para a cadeia de fornecimento de software.

Ler mais ⇾

* * *

O malware chromeloader aumenta sua atividade e aumenta seus recursos

Pesquisadores da Microsoft e da VMware relataram uma campanha maliciosa do malware Chromeloader, uma extensão maliciosa para o navegador Chrome, destinada a infectar dispositivos das vítimas com vários programas maliciosos.

Durante o primeiro trimestre de 2022, o Chromeloader chegou aos holofotes na forma de adware e mais tarde se tornou um ladrão especializado em roubar dados armazenados nos navegadores de usuários-alvo.

No entanto, de acordo com a Microsoft, atualmente há uma campanha em andamento atribuída ao ator de ameaças rastreado como DEV-0796, que faz uso desse malware para lançar cargas muito mais poderosas e direcionadas.

O Chromeloader foi encontrado para ser implantado em arquivos ISO que são distribuídos através de anúncios maliciosos e comentários em vídeo do YouTube.

Além disso, como o VMware também detalha em seu relatório, há pelo menos 10 variantes deste malware camuflado sob utilitários destinados a gerenciar legendas de filmes, jogadores de música e, mais preocupantemente, uma variante do Chromeloader que implementa o ransomware Enigma em um arquivo HTML.

Ler mais ⇾