Boletim semanal de Cibersegurança 5 – 11 novembro

Plataforma de phishing Robin Banks reativada

Pesquisadores da IronNet publicaram a segunda parte de sua investigação sobre a plataforma de phishing como serviço Robin Banks.

A plataforma foi descoberta em junho deste ano após a detecção de uma enorme campanha de phishing contra instituições financeiras dos EUA, após o que foi bloqueada pela Cloudflare e suas operações foram interrompidas. A plataforma agora está de volta aos negócios por meio do ISP russo DDoS-Guard, incorporando novos recursos, como autenticação multifator e redirecionadores Adspect, o que ajudaria a evitar a detecção redirecionando o tráfego suspeito para sites de aparência legítima.

Além disso, Robin Banks também faz uso do Evilginx2, um proxy que captura os cookies de sessão das vítimas e ajuda os invasores a evitar medidas de proteção, como a autenticação de dois fatores.

Ler mais →

* * *

Incidente de segurança cibernética em um provedor Orange

A Orange revelou que um de seus fornecedores sofreu um incidente de segurança cibernética que resultou no comprometimento de informações pessoais dos clientes da empresa de telecomunicações. De acordo com o comunicado da empresa, o incidente no provedor ocorreu há vários dias e envolveu acesso não autorizado a sistemas.

Como resultado, os dados de um número limitado de clientes, que já foram notificados pela Orange via SMS ou e-mail, foram comprometidos. Alguns dos dados expostos seriam o nome, endereço postal, endereço de e-mail, número de telefone, número de identificação, data de nascimento ou código IBAN bancário dos clientes, embora nem todos esses dados tenham sido expostos nos casos afetados.

Deve-se notar que nenhuma senha ou detalhes do cartão de crédito foram comprometidos. A empresa procedeu ao corte de acesso aos sistemas quando tomou conhecimento do ataque, além de notificar a Agência Espanhola de Proteção de Dados e a Brigada Central de Investigação Tecnológica (BCIT) da Polícia Nacional.

Ler mais (PDF) →

* * *

Microsoft corrige 68 vulnerabilidades, incluindo seis vulnerabilidades de 0-day

Em sua última atualização de segurança, a Microsoft corrigiu um total de 68 vulnerabilidades, seis delas incluídas falhas de 0-day exploradas ativamente:

• CVE-2022-41128, uma vulnerabilidade de execução remota de código com uma pontuação CVSS de 8,8.
• CVE-2022-41091, que permitiria a um invasor escapar das defesas de segurança da Marcação da Web (MOTW) com uma pontuação CVSS de 5,4.
• CVE-2022-41073 e CVE-2022-41125, que permitiriam que um ator mal-intencionado obtivesse privilégios do sistema e tivesse uma pontuação CVSS de 7,8.
• CVE-2022-41040 e CVE-2022-41082, escalonamento de privilégios e vulnerabilidades de execução remota de código no Microsoft Exchange com uma pontuação CVSS de 8,8.

Essas duas últimas seriam as vulnerabilidades identificadas em setembro passado como ProxyNotShell. Outras vulnerabilidades categorizadas pela Microsoft como críticas e corrigidas nesta atualização mais recente são CVE-2022-37966 e CVE-2022-37967 no Windows Kerberos, CVE-2022-41080 no Microsoft Exchange Server e CVE-2022-38015 no Windows Hyper-V .

Ler mais →

* * *

Vulnerabilidades críticas no Citrix Gateway e no Citrix ADC

Como parte de seu boletim de segurança divulgado na terça-feira, a Citrix anunciou três vulnerabilidades que os usuários precisam urgentemente corrigir que afetam seus softwares Citrix Gateway e Citrix ADC. Dessas vulnerabilidades, CVE-2022-27510 (CVSS 9.8) se destaca como uma falha crítica que permite ignorar o processo de autenticação usando canais ou rotas alternativas quando o aplicativo é configurado como uma VPN.

As outras duas vulnerabilidades também são consideradas críticas pelo NIST, embora a Citrix tenha rebaixado sua criticidade para alta e média, respectivamente. Estes são CVE-2022-27513 (CVSS 9.6 de acordo com o NIST, 8.3 de acordo com o fabricante), que permite que os invasores assumam o controle da área de trabalho remota por meio de phishing, não verificando corretamente a autenticidade dos dados quando o proxy RDP está configurado no modo VPN; e CVE-2022-27516 (CVSS 9.8 de acordo com o NIST, 5.6 de acordo com o fabricante), uma vulnerabilidade que permite contornar o mecanismo de proteção contra tentativas de login por força bruta.

Esta última vulnerabilidade pode ser explorada no modo VPN ou se configurada como um servidor virtual AAA com um número máximo de tentativas de início de sessão. A empresa já corrigiu essas falhas para os clientes de seus serviços em nuvem, mas os usuários que gerenciam diretamente esse software terão que corrigir individualmente.

Ler mais →

* * *

StrelaStealer: novo malware para roubar credenciais de e-mail

Pesquisadores do DCSO CyTec identificaram um novo malware, chamado StrelaStealer, que rouba credenciais de e-mail do Outlook e do Thunderbird. O malware é distribuído através de arquivos ISO anexados a e-mails com conteúdo diferente.

Em uma das variantes observadas, esse anexo era um arquivo poliglota, que pode ser interpretado como diferentes formatos, dependendo do aplicativo com o qual é aberto. No caso analisado, esse arquivo pode agir baixando o StrelaStealer ou exibir um documento de isca no navegador padrão.

A campanha teria sido observada pela primeira vez em novembro de 2022, visando usuários de língua espanhola.

Ler mais →