Boletim semanal de Cibersegurança 17 – 24 Março

HinataBot: nova botnet dedicada a ataques DDoS

A equipe de pesquisadores da Akamai publicou um relatório no qual eles identificaram uma nova botnet chamada HinataBot que teria a capacidade de realizar ataques DDoS de mais de 3,3 TB/s.

Especialistas indicaram que esse software malicioso foi descoberto em meados de janeiro, enquanto era distribuído nos honeypots HTTP e SSH da empresa. Especificamente, o HinataBot usa credenciais roubadas de usuário para infectar suas vítimas e explora vulnerabilidades legadas de dispositivos Realtek SDK, CVE-2014-8361, Huawei HG532,  CVE-2017-17215 routers e/ou servidores Hadoop YARN expostos. Posteriormente, uma vez que os dispositivos estão infectados, o malware é executado e será mantido esperando que o servidor de Comando e Controle encaminhe os pedidos.

 O HinataBot ainda está em desenvolvimento e poderia implementar mais exploits e, portanto, expandir seu vetor de entrada para mais vítimas, além de aumentar suas capacidades de realizar ataques com maior impacto.

Ler mais →

* * *

CISA emite oito avisos de segurança sobre sistemas de controle industrial

Recentemente, a CISA publicou oito avisos de segurança alertando sobre vulnerabilidades críticas em sistemas de controle industrial. Em relação a essas novas vulnerabilidades, deve-se notar que elas afetam vários produtos de diferentes empresas, como Siemens, Rockwell Automation, Delta Electronics, VISAM,  Hitachi Energy e Keysight Technologies.

Entre todos eles, destacam-se os que afetam a marca Siemens pelo seu volume, dos quais foram recolhidos três avisos que afetam os seus ativos SCALANCE W-700, dispositivos RADIUS client of SIPROTEC 5  e a família de produtos RUGGEDCOM APE1808  com um total de 25 vulnerabilidades cujo CVSSv3 varia entre 4.1 e  8.2  pontos.

Consequentemente, devido ao seu impacto, destacam-se os avisos do equipamento ThinManager ThinServer da Rockwell Automation, cuja criticidade de uma de suas três falhas atinge um CVSSv3 de 9.8, bem como o ativo InfraSuite Device Master da Delta Electronics, do qual um total de 13 vulnerabilidades foram coletadas.

Ler mais →

* * *

Mispadu: Trojan bancário focado na América Latina

Pesquisadores doMetabase Q Team publicaram um relatório sobre a atual campanha que está sendo desenvolvida em países da América Latina contra usuários de bancos e que usa o Trojan Mispdu. De acordo com o Metabase Q Team, o Trojan se espalhou através de e-mails de phishing carregados com faturas falsas em formato HTML ou PDF com uma senha.

 Outra estratégia envolve comprometer sites legítimos em busca de versões vulneráveis do WordPress para transformá-los em seu servidor C2 e espalhar malware a partir daí. De acordo com a investigação, a campanha começou em agosto de 2022 e continua ativa, afetando usuários de bancos no Chile, México e Peru, principalmente.

Em novembro de 2019, a ESET documentou pela primeira vez a existência do Mispadu (também conhecido como URSA), um malware capaz de roubar dinheiro e credenciais, além de atuar como um backdoor,  tirar capturas de tela e registrar pressionamentos de teclas. 

Ler mais →

* * *

Novas vulnerabilidades de 0-day contra diferentes fabricantes durante o concurso Pwn2Own

O concurso de hackers Pwn2Own está ocorrendo esta semana na cidade canadense de Vancouver até sexta-feira, 24 de março. Após o primeiro dia, os participantes conseguiram mostrar como invadir vários produtos, incluindo o sistema operacional Windows 11, juntamente com o Microsoft Sharepoint, Ubuntu, Virtual Box, Tesla – Gateway e Adobe Reader.

Vale ressaltar que, de acordo com a programação do evento, os pesquisadores de segurança revelarão hoje e amanhã outros 0-day que afetam esses ativos, além de outros como o Microsoft Teams e o VMWare Workstation.

Por último, mas não menos importante, é importante ressaltar que, depois que essas novas vulnerabilidades de 0-day forem demonstradas e divulgadas durante o Pwn2Own, os fornecedores têm 90 dias para lançar patches de segurança para essas falhas de segurança antes que a Zero Day Initiative divulgue as informações publicamente.

Ler mais →

* * *

Vulnerabilidade crítica no WooCommerce Payments corrigida

O pesquisador Michael Mazzolini, da GoldNetwork, relatou uma vulnerabilidade no WooCommerce Payments nesta semana, o que resultou em uma atualização de segurança sendo forçada a ser instalada.

A vulnerabilidade ainda não tem um identificador CVE, embora tenha sido atribuída uma criticidade CVSSv3 de 9.8, sendo uma vulnerabilidade de escalonamento de privilégios e desvio de autenticação, que pode permitir que um invasor não autenticado se passe por um administrador e assuma o controle do site do varejista online. 

Deve-se notar que nenhuma exploração ativa foi detectada até agora, embora o Patchstack tenha alertado que, uma vez que nenhuma autenticação é necessária para a exploração, é provável que seja detectada em um futuro próximo. As versões afetadas variam de 4.8.0 a 5.6.1, e a vulnerabilidade foi corrigida na versão 5.6.2.

Ler mais →