Boletim semanal de Cibersegurança 4 – 10 Março

Nova versão do Trojan bancário Xenomorph

Pesquisadores do ThreatFabric detectaram uma nova variante do Trojan bancário para Android Xenomorph. Essa família de malware foi detectada pela primeira vez em fevereiro de 2022 e sua criação é atribuída ao Hadoken Security Group.

Xenomorph V3 ou Xenomorph.C, que é como esta nova variante foi classificada, estaria sendo distribuído através da plataforma Zombinder, na loja Google Play, aparecendo como um suposto conversor de moeda, que baixa uma atualização de um aplicativo que finge ser o Google Protect.

Uma das principais novidades desta versão é a introdução de uma estrutura ATS (Automated Transfer Systems) usada para extrair automaticamente credenciais, saldo de conta, iniciar transações, obter tokens MFA e finalizar transferências de fundos.

Ele também adicionou recursos de roubo de cookies. Xenomorph V3 é capaz de atacar mais de 400 instituições bancárias e financeiras, incluindo carteiras de criptomoedas, isso representa um aumento muito significativo no volume de vítimas, já que em sua primeira versão visava apenas 56 bancos europeus.

Deve-se notar também que são instituições bancárias espanholas contra as quais é principalmente dirigido, seguidas pela Turquia, Polônia e Estados Unidos. Finalmente, os pesquisadores apontam que é um dos Trojans mais avançados e perigosos em circulação, e que poderia ser mais ainda, uma vez que provavelmente começará a ser enviado como MaaS

Ler mais →

* * *

Patch Tuesday da Microsoft inclui dois 0-days ativamente explorados

Em sua última atualização de segurança, a Microsoft corrigiu um total de 83 vulnerabilidades que afetam vários de seus produtos, entre os quais o Microsoft Windows, Office, Exchange ou Azure são afetados. Especificamente, nove dessas vulnerabilidades teriam recebido uma pontuação crítica de gravidade, e outras 69 teriam sido classificadas como «importantes».

Dois desses bugs de segurança seriam 0-days ativamente explorados, CVE-2023-23397, uma vulnerabilidade de escalonamento de privilégios no Outlook com uma pontuação CVSSv3 de 9,8, e CVE-2023-24880, uma vulnerabilidade de desvio de recurso de segurança no Windows SmartScreen com uma pontuação CVSSv3 de 5,4.

Ler mais →

* * *

YoroTrooper: novo ator de ameaças focado em ciberespionagem

Pesquisadores do Cisco Talos detectaram um novo agente de ameaças focado na execução de campanhas de ciberespionagem.

O YoroTrooper, que é como os pesquisadores o chamaram, estaria ativo desde pelo menos junho de 2022, embora não tenha sido muito citado até fevereiro de 2023, quando ganhou maior popularidade. Até agora, campanhas da YoroTrooper visando organizações governamentais e de energia foram detectadas em países da Comunidade de Estados Independentes (CEI), além da Organização Mundial da Propriedade Intelectual (OMPI) e de uma agência de saúde da União Europeia.

O vetor de entrada de ataques é através de e-mails de phishing com um anexo malicioso. O YoroTrooper usa vários Trojans de acesso remoto, como AveMaria/Warzone RAT, LodaRAT e um implante Python personalizado. Ele também usa stealers como o Stink Stealer e os frameworks Nuitka ou PyInstaller. Da mesma forma, o Telegram é usado como C2 para comunicações entre operadoras e malware instalado.

Ler mais →

* * *

CISA alerta para a exploração de uma vulnerabilidade 0-day na Adobe e pede a aplicação do patch

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) alertou para a exploração como 0-day da vulnerabilidade CVE-2023-26360 no Adobe ColdFusion e deu um período de três semanas para todas as agências governamentais aplicarem o patch publicado na quarta-feira pela Adobe.

Embora no Patch Tuesday da Adobe ele tenha afirmado que a vulnerabilidade havia sido explorada de maneira muito limitada, a CISA elevou o nível de alerta descrevendo como urgente e obrigatória a necessidade de aplicar os patches, confirmando assim as palavras de Charlie Arehart, descobridor da vulnerabilidade e que criticou a Adobe pela pouca importância dada à vulnerabilidade, que permite a execução arbitrária de códigos.

Ler mais →

* * *

Vulnerabilidades de 0-day nos chipsets Exynos da Samsung

A equipe de segurança do Google, Project Zero, divulgou em uma publicação a existência de 18 vulnerabilidades de 0-day nos chipsets Exynos da Samsung, usados em dispositivos móveis, laptops e carros.

Quatro dessas falhas são as mais graves; este seria o caso da vulnerabilidade identificada como CVE-2023-24033 e de outras três que ainda não receberam um CVE, cuja exploração permitiria a execução remota de código da Internet para a banda base e para a qual o invasor não precisaria da interação da vítima, apenas seu número de telefone.

Por outro lado, o restante das vulnerabilidades, algumas delas identificadas como CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, não foram pontuadas como graves , pois exigem que uma operadora de rede móvel maliciosa ou o invasor tenha acesso local ao dispositivo.

Quanto aos dispositivos afetados, a Samsung emitiu uma atualização de segurança indicando quais dispositivos são afetados. Finalmente, em termos de patches, os dispositivos Pixel receberam uma correção para uma das vulnerabilidades, enquanto outros usuários afetados são aconselhados a desativar as chamadas Wi-Fi e Voice-over-LTE.

Ler mais →