Boletim semanal de Cibersegurança 28 outubro – 4 novembro

Telefónica Tech    4 noviembre, 2022

Uso de Raspberry Robin em cadeias complexas de infecção

Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software malicioso pode ser comercializado como uma porta de entrada para os sistemas das vítimas para posteriormente instalar outros malwares ou realizar outras atividades.

Durante o verão passado, Raspberry Robin teria sido utilizado para instalar o malware FakeUpdate por grupos maliciosos próximos à EvilCorp, mesmo intervindo em cadeias de infecção com o ransomware Lockbit.

Mais recentemente, Raspberry Robin seria usado para implantar outros malwares como IcedID, Bumblebee e Truebot. Da mesma forma, a Microsoft observou seu uso pelo grupo FIN11/TA505, que o estaria usando em conjunto com truebot para implantar balizas Cobalt Strike e conseguir infectar suas vítimas com o ransomware Clop, permitindo assim que esse grupo abandone o phishing como o início da cadeia de infecções como de costume.

Deve-se notar que, de acordo com a Microsoft, cerca de 3.000 dispositivos de 1.000 organizações diferentes teriam sido afetados de alguma forma pelo Raspberry Robin no último mês.

Ler mais

* * *

Google corrige vulnerabilidade 0-day para o Chrome

O Google lançou uma atualização para o Chrome na qual corrige uma vulnerabilidade 0-day para a qual existe uma exploração pública. A vulnerabilidade, identificada como CVE-2022-3723, foi descoberta pelos pesquisadores da Avast e seria um problema de confusão de tipos V8, o motor JavaScript no Chrome que seria acionado ao receber conjuntos de dados marcados tanto como confiáveis quanto não confiáveis.

A exploração bem-sucedida da vulnerabilidade permitiria que um invasor remoto poderia adulterar os dados do sistema da vítima e escalar privilégios.

Recomenda-se atualizar o navegador o mais rápido possível, para a versão 107.0.5304.87 no Mac e Linux e a versão 107.0.5304.87/88 no Windows.

Ler mais

* * *

Vulnerabilidades corrigidas em nova versão do OpenSSL

Na última quarta-feira, a nova versão do OpenSSL, 3.0.7, anunciada pelos desenvolvedores do projeto na semana passada, foi tornada pública.

A expectativa em torno dessa versão era alta porque, em princípio, uma vulnerabilidade crítica no software seria corrigida, a primeira dessa gravidade desde 2016. Finalmente, a nova versão inclui correções para duas vulnerabilidades consideradas de alta importância, diminuindo assim a criticidade inicial anunciada.

A vulnerabilidade mais alertada é o CVE-2022-3602, uma falha de Buffer overflow no processo de verificação de certificado que exige que uma autoridade de certificação (CA) tenha assinado um certificado malicioso ou que o aplicativo continue o processo de verificação sem um caminho válido. Embora um invasor possa causar a falha usando um endereço de e-mail malicioso, muitas plataformas já incorporam proteções para evitar esse tipo de ataque.

A segunda vulnerabilidade corrigida, também com alta criticidade, CVE-2022-3786, também é um Buffer overflow no mesmo processo, mas com base no comprimento do endereço de e-mail.

Ler mais

* * *

Nova campanha da Emotet após cinco meses de inatividade

A equipe de pesquisadores Cryptolaemus, especializada no estudo do malware Emotet, anunciou no Twitter que os operadores do famoso malware retomaram suas ações maliciosas após cinco meses de inatividade.

Especificamente, uma campanha de infecção com o Emotet por e-mail foi detectada na qual distribui arquivos Excel maliciosos. Para evitar a proteção do Mark-of-the-Web (MoTW), o e-mail instrui a vítima em potencial a copiar o arquivo Excel para a pasta Modelos, o que permitirá que eles abram fora do modo protegido e, assim, executem as macros que baixarão o malware para o computador de destino.

O malware Emotet é então baixado como um arquivo DLL em pastas aleatórias criadas no caminho %UserProfile%\AppData\Local. De acordo com os dados disponíveis, esta campanha de reativação estaria tendo um impacto global, distribuindo seus arquivos maliciosos em vários idiomas.

Ler mais

* * *

RomCom RAT lança campanha através de KeePass e SolarWinds Fakes

Pesquisadores da BlackBerry Threat Research descobriram a existência de uma campanha de RomCom RAT (Remote Access Trojan) com novos vetores de acesso. De acordo com a equipe Blackberry, a RomCom clonou as páginas oficiais de download de vários softwares amplamente utilizados, como o monitor de rede SolarWinds, o gerenciador de senhas KeePass ou o leitor de arquivos Reader Pro PDF.

RomCom copiou o HTML original para reproduzi-lo em domínios com erros de digitação que dão a aparência de veracidade a esses URLs maliciosos. De fato, no caso do SolarWinds, juntamente com o arquivo infectado, o usuário será redirecionado para a página oficial de registro do SolarWinds para ser contatado por suporte legítimo ao cliente, a fim de evitar suspeitas por parte da vítima.

Nos pedaços de malware analisados, o arquivo setup.exe foi observado executando o arquivo hlpr.dat, que contém o dropper instalado pela RomCom. Esta campanha é propagada por meio de técnicas de phishing, envenenamento por SEO e engenharia social.

Ler mais

Deja una respuesta

Tu dirección de correo electrónico no será publicada.