Boletim semanal de Cibersegurança 21-28 outubro

Campanhas de disseminação de malware ERMAC

Uma equipe de pesquisadores da Cyble descobriu recentemente uma campanha maciça de phishing que buscaria espalhar o Trojan bancário ERMAC.

O método de infecção seria baseado no download de aplicativos falsos que se passam por Google Wallet, PayPal e Snapchat, entre outros. Esses aplicativos são baixados de domínios falsos que imitam alguns dos mercados de APPs mais populares. Essas personificações também incluem domínios falsos baseados nas empresas cujos aplicativos estão supostamente sendo distribuídos.

Uma vez executado, o malware ERMAC passa a roubar dados, como informações de contato e SMS, bem como coletar uma lista de aplicativos usados pelo dispositivo.

As páginas de phishing são exibidas na tela da vítima por meio dessa última função, que por sua vez, envia os dados coletados para o Comando e Controle do malware por meio de solicitações POST.

Ler mais →

* * *

Apple corrige vulnerabilidade 0-day para iOS e iPadOS em seu patch mais recente

A última atualização lançada pela Apple corrige, entre outros, uma vulnerabilidade 0-day que poderia ter sido ativamente explorada contra dispositivos iPhone e iPad.

Essa vulnerabilidade, identificada como CVE-2022-42827 e ainda pendente de qualificação cvss pela Apple, permitiria que um invasor executasse um código no kernel com todos os privilégios. Isso pode levar à corrupção de dados, mau funcionamento ou execução de código não autorizado no dispositivo.

A atualização que corrige essa vulnerabilidade estaria disponível para modelos do iPhone 8 em diante, todos os modelos de iPad Pro, iPad Air 3ª geração em diante, e iPad e iPad Mini quinta geração e posterior.

Ler mais →

* * *

VMware corrige vulnerabilidade crítica na Cloud Foundation

A VMware emitiu um aviso sobre duas vulnerabilidades que afetariam sua plataforma híbrida Cloud Foundation, uma delas crítica.

• A primeira delas, identificada como CVE-2021-39144, que possui uma pontuação CVSS de 8,5 (9,8 de acordo com a VMware), é uma vulnerabilidade de execução remota de código através da biblioteca Xstream.
• A segunda, identificada como CVE-2022-31678 com uma pontuação CVSS de 5.3 atribuída pela VMware, poderia permitir que um invasor causasse um ataque de negação de serviço (DDoS) ou exponha informações.

Ambas as vulnerabilidades afetariam a versão 3.11 da VMware Cloud Foundation (NSX-V) e seriam corrigidas com a última atualização.

Ler mais →

* * *

Anunciada vulnerabilidade crítica no OpenSSL

A equipe do OpenSSL Project anunciou que na próxima semana, em 1º de novembro, publicará uma nova versão do OpenSSL, 3.0.7, que incluirá um patch de segurança que foi catalogado como crítico.

Embora nenhum detalhe tenha sido divulgado sobre a grave vulnerabilidade que será corrigida nesta versão, além do fato de não afetarem versões anteriores ao 3.0, sua mera existência tem causado preocupação, pois é a primeira vulnerabilidade crítica que o OpenSSL anuncia desde 2016.

Embora os desenvolvedores tenham anunciado a implantação da nova versão e do bug com antecedência para que os usuários tenham tempo de fazer inventários e preparar seus sistemas, o OpenSSL não acredita que isso será suficiente para que os invasores descubram a vulnerabilidade, como afirma Mark J. Cox, um membro da equipe.

Ler mais →

* * *

Vulnerabilidade do Zoom pode expor usuários a ataques de phishing

O Zoom lançou um boletim de segurança onde corrige uma vulnerabilidade suscetível à análise de URL. Catalogada como CVE-2022-28763 com um CVSS de 8.8, a falha poderia ser explorada por um ator mal-intencionado usando uma URL de reunião zoom especialmente criada, a fim de redirecionar um usuário para um endereço de rede aleatório, permitindo assim outros tipos de ataques adicionais, incluindo assumir o controle da sessão ativa.

Os produtos afetados por essa vulnerabilidade seriam o Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows), Zoom VDI Windows Meeting Clients e Zoom Rooms for Conference Room (para Android, iOS, Linux, macOS e Windows), tudo em versões anteriores à versão 5.12.2. Para correção, eles recomendam atualizar ou baixar o software mais recente disponível.

Ler mais →

* * *

Drinik: Trojan bancário Android que reaparece com recursos avançados

Os analistas da Cyble detectaram uma nova versão do malware bancário Drinik, visando sistemas operacionais Android e atualmente mirando 18 bancos na Índia.

De acordo com o relatório de Cyble, o Trojan se passa pelo aplicativo oficial de administração tributária do país (iAssist) para roubar informações pessoais e credenciais bancárias das vítimas. Uma vez instalado no dispositivo da vítima, o aplicativo pede permissões para gravar no armazenamento externo, receber, ler e enviar SMS e ler o registro de chamadas.

Além disso, ele solicitará permissão para usar o serviço de acessibilidade do Android, que desativará o Google Play Protect que permitirá o malware a realizar gestos de navegação, gravar a tela e capturar teclas e credenciais de usuário, exibindo o site de imposto de renda legítimo da Índia no aplicativo.

Como objetivo final, Drinik redireciona as vítimas para um site de phishing do Departamento de Imposto de Renda onde, sob o pretexto de um reembolso a seu favor, pedirá ao usuário suas informações financeiras, incluindo número da conta e número do cartão de crédito, CVV e PIN.

O Trojan Drinik é conhecido desde 2016 e não parou de evoluir, melhorando continuamente suas capacidades de ataque e visando públicos em massa, como contribuintes indianos e clientes bancários neste caso.

Ler mais →