Boletim semanal de cibersegurança 26 Março

Vulnerabilidade spring4shell

A Spring lançou atualizações de segurança para a falha de execução de código remoto (RCE) de 0 days conhecida como Spring4Shell. Desde o surgimento da vulnerabilidade, surgiram informações não confirmadas de diferentes pesquisadores e mídia. É por isso que a Spring publicou os detalhes específicos da vulnerabilidade, bem como um CVE e os patches que corrijam o bug foram publicados. A vulnerabilidade foi identificada com CVE-2022-22965 , e apesar de sua criticidade sob a escala CVSS ser desconhecida no momento, é uma vulnerabilidade de gravidade crítica. Embora o bug possa ser explorado de várias maneiras, os desenvolvedores da Spring afirmaram que sua exploração requer o uso da versão JDK 9 ou superior, Apache Tomcat como um contêiner para Servlets, sendo embalado como WAR, e contando com as estruturas spring-webmvc ou spring-webflux. Versões vulneráveis foram confirmadas, por isso recomenda-se atualizar para Spring Framework 5.3.18 e 5.2.20 ou superior, e para o Spring Boot para as versões 2.6.6 e 2.5.12 ou superior. Da mesma forma, eles publicaram uma série de atenuações para aqueles que não podem implantar as atualizações.

Campanha de phishing se passando por organizações espanholas

O Escritório de Segurança da Internet (OSI) emitiu um aviso de segurança para informar sobre uma campanha de phishing que estaria se passando pela Agência Fiscal. Os e-mails seriam enviados a partir de um endereço spoofeada, mostrando o domínio @hacienda.hob.es, com o tema «Recibo fiscal digital – MINISTÉRIO DA FAZENDA E FUCION PÚBLICO». Esses e-mails incentivam as vítimas a baixar um suposto arquivo no formato .zip, formato que conteria documentação pendente de submissão ao órgão público, mas na verdade contém malware. A partir da OSI indicam que a personificação dentro desta mesma campanha de outras agências governamentais não está descartada, mudando assim o assunto e o remetente dos e-mails. Da mesma forma, a partir do Serviço de Proteção de Riscos Digitais tem sido possível analisar esta campanha, também detectando a personificação do Ministério da Saúde, e do Ministério da Fazenda, e identificando o malware distribuído como o Trojan bancário Mekotio.

​​Apple corrige vulnerabilidades de 0 days ativamente exploradas

A Apple publicou atualizações de segurança onde resolve duas novas vulnerabilidades de 0 days que seriam ativamente exploradas e afetando seus produtos iPhone, IPad e Mac.  A primeira das falhas, classificada como CVE-2022-22674, é uma vulnerabilidade de gravação fora dos limites no driver gráfico da Intel, que, se explorada, poderia permitir a divulgação de informações de memória do kernel. O segundo bug, classificado como CVE-2022-22675, também corresponde a uma vulnerabilidade de gravação fora dos limites, mas no componente AppleAVD. Os produtos afetados são: macOS Monterey, iPhone 6s e posteriores, iPad Pro (todos os modelos), iPad Air 2 e posterior, iPad de 5ª geração e posterior, iPad mini 4 e posterior, e iPod touch (7ª geração). Ambos os bugs foram resolvidos com as versões iOS 15.4.1, iPadOS 15.4.1 e macOS Monterey 12.3.1.

​​​​Nova campanha de distribuição icedID

Pesquisadores da Interzer e fortinet analisaram uma nova campanha do malware IcedID, um Trojan bancário modular detectado pela primeira vez em 2017, utilizado habitualmente na distribuição de ransomware. Esta campanha foi distribuída através de e-mails de phishing de contas de e-mail legítimas que foram anteriormente comprometidas, reutilizando threads existentes, onde contêm anexos maliciosos. Da mesma forma, há também uma variação em relação ao anexo da mensagem, que embora ainda seja um arquivo ZIP protegido por senha, ela contém, em vez de documentos de escritório como de costume, uma imagem ISO que contém um arquivo LNK do Windows e um DLL que executa o malware. O uso desse tipo de arquivo permite que os invasores contornem os controles de Marca da Web e consigam executar o malware sem alertar o usuário. A partir da análise das contas comprometidas, os pesquisadores apontam para servidores vulneráveis do Exchange e expostos publicamente ao ProxyShell, de modo que propõem que este pode ser o vetor de entrada inicial para as contas que seriam usadas na campanha. A atividade tem como foco organizações dos setores de energia, saúde, jurídico e farmacêutico. Finalmente, foram observadas sobreposições em alguns dos TTPS utilizados que associaram essa atividade aos atores TA577 e TA551.

​​​ Fraude em grande escala contra o setor de varejo

Pesquisadores da mídia Segurança Informática publicaram uma análise aprofundada de uma campanha de fraude contra várias marcas do setor varejista, ativas desde o final de 2020, cuja atividade teria aumentado desde o início de 2022. Neste esquema fraudulento, domínios semelhantes aos originais das marcas impactadas têm sido usados para distribuir phishing através de anúncios maliciosos do Google, Instagram ou Facebook. Todos os domínios maliciosos detectados, mantenham algum tipo de semelhança com os domínios legítimos das organizações personificadas, usando técnicas de typosquatting, seguidos por diferentes TLDs, entre os quais «.shop», «.website» ou «.online» se destacam. Uma vez que a vítima acessava os anúncios, eles eram redirecionados para a página de fraude, onde encontraram grandes descontos e ofertas e poderiam fazer um pedido online junto com um rastreamento do pacote.  Os dados da vítima foram coletados para futuras fraudes, e às vezes eles recebiam pacotes cheios de lixo. As operadoras usaram modelos de cms (sistema de gerenciamento de conteúdo caseiro) publicados no GitHub, nos quais, após a alteração de algumas imagens, eles poderiam clonar qualquer marca. O maior número de vítimas está concentrado na Itália, Chile ou Portugal, seguido por outros países, como Espanha ou França. Através dessas operações, os atacantes poderiam ter lucrado mais de um milhão de euros até o momento.