Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Boletim semanal de Cibersegurança 4 – 10 FevereiroTelefónica Tech 13 febrero, 2023 Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De acordo com o fornecedor, essa falha de segurança foi registrada como CVE-2023-22501, CVSSv3 de 9.4, e foi classificada como uma baixa complexidade de ataque porque um ator mal-intencionado poderia obter acesso a tokens de registro enviados a usuários com contas que nunca foram logadas. Isso poderia levar a uma representação de usuário que permitiria o acesso não autorizado a instâncias críticas do Jira Service Management. A Atlassian diz que o problema de segurança afeta as versões 5.3.0 a 5.5.0 e aconselha a atualização para as versões 5.3.3, 5.4.2, 5.5.1 e 5.6.0 ou posteriores. Caso os patches não possam ser aplicados o mais rápido possível, o fabricante forneceu uma solução alternativa para atualizar manualmente o ativo. Ler mais → * * * Campanha do Mustang Panda para distribuir o PlugX Pesquisadores da EclecticIQ detectaram a existência de uma campanha de distribuição de malware PlugX e a atribuem ao APT Mustang Panda. De acordo com as informações publicadas, o Mustang Panda enviou e-mails temáticos da UE contendo um suposto arquivo do Word que era de fato um executável semelhante ao LNK que baixa o PlugX no sistema da vítima. A EclecticIQ afirma que o alvo da campanha são as instituições governamentais europeias e lembra que uma campanha semelhante foi atribuída ao mesmo ator em outubro passado, embora na campanha recentemente detectada o Mustang Panda tenha implementado mais técnicas de evasão para evitar a detecção. Ler mais → * * * Redes Tor e I2P atingidas por ataques DDoS As redes Tor e peer-to-peer (I2P) foram recentemente atingidas por ataques distribuídos de negação de serviço (DDoS) que causaram problemas de conectividade e desempenho. Por um lado, Isabela Dias Fernandes, diretora executiva do Projeto Tor, emitiu um comunicado dizendo que a rede estava sob ataques DDoS desde julho. O alvo desses ataques em andamento ou a identidade do agente de ameaça por trás desses eventos não foi detalhado. A empresa afirmou que continua a trabalhar para melhorar suas defesas para que os usuários não sejam afetados. A rede I2P também foi vítima de um ataque desse tipo nos últimos três dias, causando problemas de desempenho e conectividade. De acordo com as declarações do administrador do projeto, como no caso do Tor, os agentes de ameaças por trás desses ataques estão usando uma variedade de táticas para perpetrar esses ataques DDoS. Ler mais → * * * Nova atualização do Google Chrome O Google lançou uma nova versão do Chrome 110 que corrige um total de 15 vulnerabilidades, 10 das quais foram identificadas por pesquisadores de segurança fora da empresa. A divisão dessas vulnerabilidades de acordo com sua criticidade é a seguinte: 3 com alta criticidade, 5 média e 2 baixa. Entre estas, as três com maior gravidade são as identificadas como: em primeiro lugar, CVE-2023-0696, que pode permitir que um invasor remoto o explore por meio de uma página HTML especialmente criada. Em segundo lugar, CVE-2023-0697 afeta o Chrome para Android, o que pode permitir que um invasor remoto use uma página HTML manipulada para falsificar o conteúdo da interface do usuário de segurança. Por fim, CVE-2023-0698, que permitiria que um invasor remoto executasse uma leitura de memória fora dos limites por meio de uma página HTML maliciosa. Recomenda-se atualizar para as versões 110.0.5481.77/.78 do Chrome para Windows e 110.0.5481.77 para Mac e Linux para corrigir essas vulnerabilidades. Ler mais → Boletim semanal de Cibersegurança 27 Janeiro – 3 FevereiroBoletim semanal de Cibersegurança 11 – 17 Fevereiro
Boletim semanal de Cibersegurança 27 Janeiro – 3 FevereiroTelefónica Tech 3 febrero, 2023 LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria a terceira usada pelo grupo, após a sua criação com o Lockbit Red, e sua subsequente evolução para o LockBit Black (também chamado de LockBit 3.0). Vários pesquisadores analisaram as amostras disponíveis do LockBit Green e descobriram que essa nova variante é baseada no código-fonte do Conti. Com base em sua análise, eles observam que a nota de resgate usada é a do LockBit 3.0, e que a extensão .lockbit não é mais usada, mas aleatória, ao criptografar arquivos no sistema da vítima. A equipe da PRODAFT também compartilhou Indicadores de Comprometimento (IoCs) e uma regra Yara para a nova variante. Ler mais → * * * GitHub revoga certificados Desktop e Atom comprometidos O Github tomou a decisão de revogar uma série de certificados usados para seus aplicativos Desktop e Atom depois que eles foram comprometidos em um incidente de segurança em dezembro. De acordo com a própria empresa, o acesso não autorizado em dezembro não afetou os serviços da plataforma, no entanto, um grupo de certificados foi exfiltrado como resultado. Esses certificados são protegidos por senha e, até o momento, nenhum uso mal-intencionado deles foi detectado. A remoção desses certificados invalidará o GitHub Desktop para Mac versões 3.0.2 a 3.1.2 e Atom versões 1.63.0 a 1.63.1. Os usuários dessas versões são aconselhados a atualizar para a versão mais recente no caso do Desktop e reverter para versões anteriores no caso do Atom. As alterações entrarão em vigor em 2 de Fevereiro. Ler mais → * * * PoC disponível para a vulnerabilidade KeePass KeePass descobriu recentemente uma vulnerabilidade em seu software para o qual um PoC já foi lançado. A falha, identificada como CVE-2023-24055, permite que os agentes de ameaças com acesso de gravação a um sistema alterem o arquivo de configuração XML e injetem malware para exportar o banco de dados com usuários e senhas em texto sem formatação. Quando um usuário acessa o KeePass e insere a senha mestra para abrir o banco de dados, a regra de exportação é acionada em segundo plano e o conteúdo é salvo em um arquivo acessível aos invasores. Embora a KeePass tenha descrito o problema em 2019 sem descrevê-lo como uma vulnerabilidade, os usuários estão solicitando que o produto inclua uma mensagem de confirmação antes de exportar ou poder desativar o recurso. O Bleeping Computer recomenda garantir que usuários sem privilégios não tenham acesso a nenhum arquivo de aplicativo e criar um arquivo de configuração. Ler mais → * * * Duas novas vulnerabilidades em dispositivos CISCO Pesquisadores da Trellix alertaram para duas vulnerabilidades nos dispositivos Cisco. O primeiro, identificado como CVE-2023-20076 e com CVSS de um fabricante de 7.2, permitiria que um invasor não autenticado injetasse comandos remotamente em vários dispositivos. O segundo bug, até agora identificado com o ID de bug da Cisco CSCwc67015, permitiria que um invasor executasse remotamente o código e substituísse os arquivos existentes. Embora ambos os bugs tenham sido originalmente identificados nos roteadores Cisco ISR 4431, eles também afetariam outros dispositivos: ISRs industriais da série 800, módulos de computação CGR1000, gateways de computação industrial IC3000, dispositivos baseados em IOS-XE configurados com IOx; Roteadores industriais IR510 WPAN e pontos de acesso Cisco Catalyst (COS-APs). A Cisco divulgou atualizações de segurança para a primeira vulnerabilidade mencionada, e os pesquisadores pedem que as organizações afetadas atualizem para a versão mais recente do firmware disponível e desativem a estrutura IOx se não for necessária. Ler mais → * * * Campanha de Lazarus contra empresas de energia e saúde A WithSecure publicou uma extensa pesquisa sobre a mais recente campanha do APT Lazarus, supostamente apoiada pela Coreia do Norte. A campanha recebeu o nome de «No Pineapple!» e nela o grupo conseguiu roubar 100 GB de dados de empresas de pesquisa médica, engenharia e energia, entre outras. De acordo com a WithSecure, o Lazarus explorou as vulnerabilidades CVE-2022-27925 e CVE-2022-37042 em Zimbra para colocar um webshell no servidor de e-mail das vítimas. Uma vez dentro do sistema, eles usaram várias ferramentas, como o backdoor Dtrack e uma nova versão do malware GREASE, que abusa da vulnerabilidade PrintNightmare. A WithSecure conseguiu atribuir a campanha a Lazarus, além de repetir TTPs associados ao grupo, porque descobriu que os webshells se comunicavam com um IP localizado na Coreia do Norte. Ler mais → Boletim semanal de Cibersegurança 21 – 27 JaneiroBoletim semanal de Cibersegurança 4 – 10 Fevereiro
Boletim semanal de Cibersegurança 21 – 27 JaneiroTelefónica Tech 27 enero, 2023 Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram os sites do governo alemão, do Bundestag, de vários bancos e aeroportos do país inoperantes na quarta-feira. Após esses ataques, o grupo postou um comentário em seu canal Telegram apontando diretamente para a Espanha como um possível alvo para seus próximos ataques, deixando a seguinte mensagem » Spain – f*** you too, but with you everything will be easier and faster «. Após esta mensagem, outros participantes dentro do canal Telegram destacaram explicitamente duas empresas espanholas, afirmando que elas seriam supostamente «fáceis» de atacar. Nenhum ataque contra empresas espanholas de infraestrutura crítica ou agências governamentais foi relatado até agora. Los ciberputinlovers vuelven a apuntar a España. En esta ocasión es el grupo KillNet quien nos señala como objetivo a modo de respuesta por el previsible envío de los leopards. pic.twitter.com/GFieQV1HWe— Silas García (@SilasCia) January 26, 2023 * * * Apple corrige vulnerabilidade de 0-day que afeta iPhones e iPads mais antigos A Apple emitiu um comunicado de segurança abordando patches para uma vulnerabilidade de 0-day explorada ativamente em iPhones e iPads mais antigos. A vulnerabilidade, listada como CVE-2022-42856 com um CVSSv3 de 8.8, pode permitir que um invasor processe conteúdo da Web criado com códigos maliciosos para obter execução arbitrária de código, devido a uma confusão de tipo no mecanismo de navegador da Web WebKit da Apple. Esta vulnerabilidade foi publicada em dezembro para outros produtos da Apple e agora está disponível para versões mais antigas, especificamente o iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração). O comunicado da Apple afirma que há evidências de exploração ativa dessa vulnerabilidade em versões do iOS anteriores ao iOS 15.1. Além disso, em 14 de dezembro, a CISA incluiu essa vulnerabilidade em seu catálogo de vulnerabilidades exploradas. Ler mais ⇾ * * * Vulnerabilidades corrigidas no VMware A VMware lançou patches de segurança para resolver uma série de vulnerabilidades no vRealize Log Insight, agora conhecido como VMware Aria Operations for Logs. A primeira vulnerabilidade, identificada como CVE-2022-31703 e CVSS 7.5, aborda uma falha de travessia de diretório na qual os invasores podem injetar arquivos no sistema afetado e obter a execução remota de código. Por outro lado, o CVE-2022-31704, com CVSS 9.8, é uma vulnerabilidade de controle de acesso que pode ser explorada para execução remota de código. A empresa também corrigiu uma vulnerabilidade de desserialização, identificada como CVE-2022-31710 e CVSS 7.5, que pode acionar um DoS, e CVE-2022-31711, com CVSS 5.3, que aborda uma falha de divulgação de informações. Ler mais ⇾ * * * PY#RATION: um novo RAT baseado em Python A equipe de pesquisa da Securonix descobriu uma nova campanha de ataque de malware baseada em Python com recursos de Trojan de Acesso Remoto (RAT). Este malware, chamado PY#RATION, está evoluindo ativamente, tendo passado da versão 1.0 para a 1.6.0 desde a sua detecção em agosto de 2022. O PY#RATION é distribuído através de phishing contendo anexos .ZIP, dentro dos quais existem dois arquivos de atalho .lnk disfarçados de imagens (frente.jpg.lnk e verso.jpg.lnk). Quando esses atalhos são executados, a vítima vê a imagem de uma carta de condução britânica na frente e atrás, mas também executa o código malicioso para entrar em contato com o C2, que por sua vez baixa dois arquivos adicionais para o diretório temporário do usuário. Uma vez executado, o PY#RATION é capaz de realizar enumeração de rede, realizar transferências de arquivos, keylogging, roubar dados da área de transferência, extrair senhas e cookies de navegadores da Web ou executar comandos shell, entre outros recursos. De acordo com a Securonix, esta campanha destina-se principalmente a vítimas no Reino Unido ou na América do Norte. Ler mais ⇾ * * * Microsoft planeja bloquear arquivos XLL da Internet Depois de desativar macros em arquivos do Office baixados da Internet para evitar a disseminação de malware, o próximo passo da Microsoft em sua luta contra arquivos maliciosos será bloquear arquivos XLL provenientes da Internet, principalmente anexados a e-mails. Os arquivos XLL são bibliotecas dinâmicas do Excel que fornecem recursos adicionais ao Excel (caixas de diálogo, barras de ferramentas, etc.). Como esses são arquivos executáveis, eles são muito úteis para os agentes de ameaças que os incluem em suas campanhas de phishing para baixar malware no computador da vítima com um único clique. De acordo com a Microsoft, a medida está sendo implementada e estará disponível para os usuários em março. Ler mais ⇾ Boletim semanal de Cibersegurança 14 – 20 JaneiroBoletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro
Boletim semanal de Cibersegurança 14 – 20 JaneiroTelefónica Tech 20 enero, 2023 Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de buffer e bypass de autenticação que permitiria a execução remota de código. O pesquisador que os descobriu, Brendan Scarvell, publicou um PoC para ambos. Os modelos de roteadores afetados são Netcomm NF20MESH, NF20 e NL1902 executando versões de firmware anteriores aR6B035. Por outro lado, o CERT/CC detalhou duas vulnerabilidades que afetam os roteadores TP-Link WR710N-V1-151022 e Archer-C5-V2-160201, o que pode causar divulgação não autorizada de informações (CVE-2022-4499) e execução remota de código (CVE-2022-4498). Ler mais ⇾ * * * PoC para múltiplas vulnerabilidades em plugins WordPress Pesquisadores da Tenable publicaram detalhes de três novas vulnerabilidades em plugins para a plataforma WordPress, incluindo provas de conceito (PoCs) para todas elas. O primeiro, catalogado como CVE-2023-23488 com uma pontuação CVSS de 9,8, é uma vulnerabilidade de injeção de SQL sem autenticação no plug-in Paid Membership Pro. O segundo, identificado como CVE-2023-23489 com a mesma pontuação e do mesmo tipo que o anterior, afeta o plug-in Easy Digital Downloads. E o terceiro e último, CVE-2023-23490 com uma pontuação CVSS de 8,8 e uma vulnerabilidade de injeção de SQL, afeta o plug-in do Survey Maker. Os autores dos plugins teriam sido notificados em dezembro de 2022 e teriam lançado atualizações de segurança corrigindo esses problemas, de modo que as versões mais recentes disponíveis não seriam mais vulneráveis. Ler mais ⇾ * * * Hook: novo trojan bancário direcionado a dispositivos Android Pesquisadores da ThreatFabric descobriram um novo trojan bancário Android chamado Hook. De acordo com os pesquisadores, ele teria sido lançado pelo mesmo desenvolvedor do trojan bancário Android Ermac, embora tenha mais recursos do que seu antecessor. O ThreatFabric afirma que o Hook compartilha grande parte de seu código-fonte com o Ermac, por isso também deve ser considerado um trojan bancário. O aspecto mais notável do Hook é que ele inclui um módulo VNC (computação de rede virtual) que permite assumir o controle da interface comprometida em tempo real. Vale a pena notar que a Espanha é o segundo país com o maior número de pedidos bancários ameaçados por Hook depois dos Estados Unidos, de acordo com o relatório ThreatFabric. Ler mais ⇾ * * * Malware descoberto escondido em pacotes de repositório PyPI Pesquisadores da Fortinet descobriram três pacotes no repositório PyPI (Python Package Index) contendo código malicioso destinado a infectar os sistemas dos desenvolvedores com malware do tipo infostealer. Os três pacotes, que foram carregados na plataforma pelo mesmo usuário com o apelido Lolip0p, são chamados de Colorslib, httpslib e libhttps, respectivamente. A Fortinet destaca que, como uma grande novidade nesse tipo de ataque à cadeia de suprimentos, o agente de ameaças não tentou incorporar malware em cópias maliciosas de pacotes legítimos, mas criou seus próprios projetos, investindo muito esforço para fazê-los parecer confiáveis. A Fortinet descobriu que o arquivo de instalação para todos os três pacotes é idêntico e tenta executar um PowerShell que baixa um arquivo mal-intencionado. De acordo com as estatísticas do PyPI, juntos esses três pacotes foram baixados 549 vezes até agora. Ler mais ⇾ * * * NortonLifeLock relata incidente com gerenciador de senhas A Gen Digital, a empresa proprietária do NortonLifeLock, começou a enviar uma declaração a um número não revelado de seus usuários informando-os de que um terceiro não autorizado conseguiu acessar suas contas do Norton Password Manager e exfiltrar nomes, sobrenomes, números de telefone e endereços de e-mail. Na notificação oficial enviada à Procuradoria Geral de Vermont, Norton explica que seus sistemas não foram comprometidos ou abusados, e que o incidente se deve ao invasor reutilizar nomes de usuário e senhas disponíveis em um banco de dados para venda na dark web. Essa alegação é apoiada pelo fato de que, no final de dezembro, a Norton detectou um aumento substancial e incomum no número de tentativas de login com falha em seus sistemas, indicando que os invasores estavam tentando obter acesso testando senhas comprometidas em outro serviço. O incidente novamente destaca a necessidade de uma política de senha adequada com senhas exclusivas para cada serviço online. Ler mais ⇾ Boletim semanal de Cibersegurança 7 – 13 JaneiroBoletim semanal de Cibersegurança 21 – 27 Janeiro
Boletim semanal de Cibersegurança 7 – 13 JaneiroTelefónica Tech 13 enero, 2023 Microsoft corrige 98 vulnerabilidades no Patch Tuesday A Microsoft publicou seu boletim de segurança para o mês de janeiro, no qual corrige um total de 98 vulnerabilidades. Entre elas, destaca-se uma vulnerabilidade de 0-day explorada ativamente, que foi identificada como CVE-2023-21674 com um CVSSv3 de 8,8. É uma vulnerabilidade de escalonamento de privilégios ALPC (Advanced Local Procedure Call) no Windows, que pode levar um invasor em potencial a obter privilégios SYSTEM. Também digna de nota é a vulnerabilidade CVE-2023-21549 (CVSSv3 8.8) para escalonamento de privilégios do serviço Testemunha SMB do Windows. Sua exploração por um invasor em potencial pode levar à execução de funções RPC restritas apenas a contas privilegiadas, como já foi divulgado publicamente. Também deve ser notado que das 98 vulnerabilidades corrigidas, onze delas foram classificadas pela Microsoft como críticas, especificamente aquelas identificadas como: CVE-2023-21743, CVE-2023-21743, CVE-2023-21561, CVE-2023-21730, CVE-2023-21556, CVE-2023-21555, CVE-2023-21543, CVE-2023-21543, CVE-2023-21546, CVE-2023-21679, CVE-2023-21548 e CVE-2023-21535. Ler mais → * * * Vulnerabilidade crítica em roteadores Cisco não suportados A Cisco emitiu um comunicado de segurança alertando sobre uma vulnerabilidade crítica que afeta vários roteadores Cisco em fim de vida útil para os quais há um PoC público, embora atualmente não haja tentativas de exploração conhecidas. Essa falha de segurança, registrada como CVE-2023-20025, com um CVSSv3 de 9.0 de acordo com o fornecedor, pode acionar um desvio de autenticação causado pela validação incorreta da entrada do usuário nos pacotes HTTP de entrada. Agentes mal-intencionados não autenticados podem explorá-lo remotamente enviando uma solicitação HTTP especialmente criada para a interface de administração de dispositivos vulneráveis. Essa falha de segurança também pode ser encadeada junto com outra nova vulnerabilidade, CVE-2023-20026, que permitiria a execução arbitrária de códigos. Finalmente, deve-se notar que os dispositivos afetados são os modelos de roteadores Cisco Small Business RV016, RV042, RV042G e RV082. A Cisco diz que não lançará um patch, mas como medida atenuante recomenda-se desativar a interface de administração e bloquear o acesso às portas 443 e 60443 para bloquear tentativas de exploração. Ler mais → * * * IcedID leva menos de 24 horas para comprometer o Active Directory Pesquisadores da Cybereason publicaram uma análise do trojan bancário IcedID, também conhecido como BokBot, destacando a rapidez com que ele pode comprometer o sistema de uma vítima. No relatório, Cybereason adverte que o IcedID leva menos de uma hora a partir da infecção inicial para iniciar movimentos laterais no sistema e que leva menos de 24 horas para comprometer o Active Directory e, finalmente, iniciar a extração de dados em apenas 48 horas. O relatório também destaca que o IcedID alterou seu vetor de acesso inicial, pois foi inicialmente distribuído por meio de arquivos do Office com macros maliciosas, mas após as medidas de proteção de macros implementadas pela Microsoft, agora é distribuído via arquivos ISO e LNK. Finalmente, vale a pena notar que o IcedID compartilha táticas, técnicas e procedimentos (TTPs) com grupos como Conti e Lockbit. Ler mais → * * * Vulnerabilidade explorada ativamente no Painel Web de Controle (CWP) O Shadowserver Foundation e o GreyNoise detectaram a exploração ativa da vulnerabilidade crítica no Painel Web de Controle (CWP) listado como CVE-2022-44877 com um CVSSv3 de 9,8. A vulnerabilidade, que foi descoberta pelo pesquisador Numan Türle, foi corrigida em outubro, mas não foi até a semana passada que mais detalhes da vulnerabilidade foram publicados junto com uma Prova de Conceito (PoC). De acordo com os especialistas, as primeiras tentativas de explorar essa vulnerabilidade, que permitiria que um agente de ameaça não autenticado executasse remotamente o código em servidores vulneráveis ou escalonamento de privilégios, foram detectadas em 6 de janeiro. Especificamente, essa falha de segurança afeta as versões CWP7 anteriores à 0.9.8.1147. Vale a pena notar que o GreyNoise observou quatro endereços IP exclusivos tentando explorar essa vulnerabilidade. Ler mais → * * * A versão mais recente do SpyNote tem como alvo clientes bancários Pesquisadores da ThreatFabric relataram atividades recentes na família de malware SpyNote, também conhecida como SpyMax. A última variante conhecida foi listada como SpyNote.C, que foi vendida por seu desenvolvedor via Telegram, sob o nome CypherRat, entre agosto de 2021 e outubro de 2022, acumulando, segundo pesquisadores, um total de 80 clientes. No entanto, em outubro de 2022, o código-fonte foi compartilhado no GitHub, o que levou a um aumento muito significativo no número de amostras detectadas desse malware. Entre essas últimas amostras, observou-se como o SpyNote.C tem como alvo aplicativos bancários, personificando aplicativos de bancos como HSBC, Deutsche Bank, Kotak Bank ou BurlaNubank, bem como outros aplicativos bem conhecidos, como Facebook, Google Play ou WhatsApp. Vale ressaltar que o SpyNote.C combina recursos de spyware e Trojan bancário, podendo usar a API da câmera dos dispositivos para gravar e enviar vídeos para seu C2, obter informações de GPS e localização de rede, roubar credenciais de redes sociais ou extrair credenciais bancárias, entre outros recursos. Ler mais → Boletim semanal de Cibersegurança 31 Dezembro – 6 JaneiroBoletim semanal de Cibersegurança 14 – 20 Janeiro
Boletim semanal de Cibersegurança 31 Dezembro – 6 JaneiroTelefónica Tech 9 enero, 2023 Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre 25 e 30 de dezembro de 2022 para desinstalar o framework e a biblioteca ‘torchtriton’ devido a um comprometimento bem-sucedido por meio de um ataque de confusão de dependência. A biblioteca maliciosa ‘torchtriton’ no PyPI compartilha um nome com uma biblioteca oficial publicada no repositório noturno do PyTorch, fazendo com que o pacote malicioso seja introduzido nos sistemas dos usuários em vez do legítimo, a fim de roubar informações confidenciais da vítima. O PyTorch renomeou a biblioteca ‘torchtriton’ para ‘pytorch-triton’ e reservou um pacote fictício no PyPI para evitar ataques semelhantes. Esse problema não afeta os usuários das versões estáveis do PyTorch. Ler mais → * * * Synology corrige vulnerabilidade crítica A Synology abordou uma vulnerabilidade de gravidade máxima que afeta a VPN Plus Servers. A vulnerabilidade, identificada como CVE-2022-43931 e CVSS of 10.0, pode ser explorada em ataques de baixa complexidade sem exigir privilégios de roteador ou interação do usuário, permitindo que um invasor remoto execute comandos arbitrários. A empresa lançou correções para as vulnerabilidades e recomenda que os usuários atualizem o VPN Server Plus para SRM para a versão mais recente. Ler mais → * * * Nova campanha Raspberry Robin Pesquisadores do Security Joes detectaram novos ataques da estrutura Raspberry Robin contra institutos de seguros e financeiros na Europa. A atividade do Raspberry Robin também foi documentada recentemente pela equipe da TrendMicro , mas os pesquisadores do Security Joes observaram uma versão nova e mais complexa do malware. O mecanismo de download foi atualizado com novos recursos anti-análise. Os atacantes também começaram a coletar mais dados das máquinas das vítimas. Em relação a esta última questão, eles apontam que, enquanto anteriormente o beacon C2 continha uma URL com nome de usuário e nome de host em texto simples, agora contém outros dados, como o nome do processador e dados adicionais sobre os dispositivos de vídeo disponíveis na máquina, enquanto criptografa esse perfil das máquinas da vítima com RC4. Finalmente, vale a pena notar que, desta vez, as vítimas são organizações de língua portuguesa e espanhola. Ler mais → * * * MasquerAds: campanha de distribuição de malware usando o Google Ads Pesquisadores da Guardio alertaram sobre uma campanha de distribuição de malware por meio do Google Ads, que eles chamaram de MasquerAds. Os anúncios, supostamente promovendo programas legítimos populares como Zoom, Slack, AnyDesk, Blender, Audacity ou Brave, apontam para um site legítimo aprovado pelo sistema de anúncios do Google, no entanto, uma vez que o link é acessado, o usuário é redirecionado para um site diferente, onde o malware é eventualmente baixado e hospedado em serviços legítimos, como Github, Dropbox ou Discord. Guardio atribui esta campanha ao grupo conhecido como Vermux e indica que ela afetou principalmente usuários nos Estados Unidos e no Canadá. As variantes de malware observadas em sua pesquisa incluem mineradores de criptomoedas e os ladrões Racoon e Vidar. O uso de anúncios do Google em tais campanhas parece ter aumentado recentemente, levando até mesmo o FBI a emitir um alerta. Ler mais → * * * Zoho corrige vulnerabilidade crítica no ManageEngine A Zoho abordou uma falha de segurança que afeta vários produtos ManageEngine. A falha, identificada como CVE-2022-47523, é uma vulnerabilidade de injeção de SQL que afeta o Password Manager Pro, o software de gerenciamento de acesso privilegiado PAM360 e a solução de gerenciamento de sessão privilegiada Access Manager Plus. A exploração bem-sucedida forneceria a um invasor acesso não autenticado ao banco de dados back-end, permitindo que qualquer tipo de consulta fosse executada. A Zoho recomenda atualizar os produtos afetados para a versão mais recente o mais rápido possível. Ler mais → Boletim semanal de Cibersegurança 3 – 9 dezembroBoletim semanal de Cibersegurança 7 – 13 Janeiro
Boletim semanal de Cibersegurança 3 – 9 dezembroTelefónica Tech 12 diciembre, 2022 Nono 0-day do ano no Chrome O Google lançou o Chrome 108.0.5359.94 para Mac e Linux, e o 108.0.5359.94/.95 para Windows, que corrige uma vulnerabilidade de 0-day, a nona detectada no Chrome este ano. Catalogado como CVE-2022-4262 com uma alta criticidade de acordo com o Google, é descrito como confusão de tipo no V8 no Google Chrome, para versões anteriores a 108.0.5359.94. A exploração dessa falha de segurança pode permitir que um invasor remoto explore potencialmente a corrupção de pilha por meio de uma página HTML manipulada. O Google não forneceu mais detalhes sobre essa falha detectada por Clement Lechigne, do Grupo de Análise de Ameaças do Google, em 29 de novembro, até que a maioria dos usuários tenha atualizado seus navegadores. V ale a pena notar que o comunicado de segurança publicado pela empresa relata que existe atualmente uma exploração para esta vulnerabilidade. Ler mais → * * * Vulnerabilidade RCE no Visual Studio Code O pesquisador de segurança do Google, Thomas Shadwell, identificou uma vulnerabilidade importante no Visual Studio Code. Essa falha de segurança, identificada como CVE-2022-41034, com um CVSSv3 de 7,8, pode permitir que agentes mal-intencionados executem código remoto, possibilitando assumir o controle do computador da vítima. A metodologia usada para executar o ataque consiste em encaminhar um link para um site para assumir o controle do computador de um usuário do Visual Studio Code e qualquer outro dispositivo conectado por meio do recurso de desenvolvimento remoto do Visual Studio Code. De acordo com o pesquisador, esse problema afeta as versões da Web e da área de trabalho do GitHub Codespaces, github.dev e do Visual Studio Code. Deve-se notar que essa vulnerabilidade de execução remota de código afeta o VS Code 1.71 e versões anteriores. Também é recomendável aplicar o patch lançado pela Microsoft para corrigir essa falha de segurança. Ler mais → * * * Vulnerabilidade em roteadores NETGEAR corrigidos com urgência No contexto do Pwn20wn Toronto 2022, uma competição de caça a bugs que tem sido realizada como parte da conferência de segurança CanSecWest desde 2007, o fabricante de dispositivos Netgear foi forçado a corrigir uma vulnerabilidade com urgência. A este respeito, os pesquisadores da Tenable publicaram um artigo no qual, com base no código publicado pela Netgear para mitigar a vulnerabilidade nos dispositivos Netgear Nighthawk WiFi6 Router (série RAX30 AX2400), eles revelam detalhes do bug corrigido, ou seja, um erro de configuração no nível da rede em que as políticas de restrição de acesso não estavam sendo aplicadas corretamente aos dispositivos quando eles tinham uma interface IPv6 exposta. A vulnerabilidade, que no momento da redação deste artigo ainda não recebeu um CVE, seria atenuada com a atualização proposta pelo fabricante para as versões 1.0.9.90 e posteriores. Seguindo as indicações da Tenable, recomenda-se realizar a verificação manual, uma vez que os dispositivos com versões superiores à v1.0.6.74 não seriam capazes de atualizar automaticamente. Ler mais → * * * Vulnerabilidade de alta gravidade em dispositivos de telefone IP da Cisco A Cisco emitiu um aviso de segurança alertando sobre uma vulnerabilidade de alta gravidade que afeta vários modelos de seus dispositivos de telefonia IP de marca. A falha de segurança, catalogada como CVE-2022-20968, e com um CVSSv3 de 8.1, pode permitir que um ator mal-intencionado cause um estouro de pilha, desencadeando uma execução remota de código ou um ataque de negação de serviço (DoS). Embora a equipe de resposta a incidentes de segurança da empresa esteja ciente da existência de uma prova de conceito, eles não têm evidências de que ela tenha sido explorada em ataques. Deve-se notar que a Cisco indicou que lançará um patch de segurança em janeiro de 2023 e que, até então, recomenda uma série de dicas de mitigação, desativando o protocolo de descoberta da Cisco nos dispositivos afetados, que são o IP Phone 7800 e 8800 Series executando a versão de firmware 14.2 e anteriores. Ler mais → * * * Zombinder: serviço de reembalagem de aplicativos contendo malware Pesquisadores da ThreatFrabric publicaram um artigo detalhando a existência de um serviço na dark web, que eles chamaram de Zombinder, que permite que os agentes de ameaças adicionem malware a aplicativos legítimos para evitar controles de segurança. Os pesquisadores apontam que os aplicativos reembalados com o Zombinder são 100% compatíveis com seu propósito original, de modo que a vítima não suspeita que tenha sido infectada com software malicioso, geralmente do tipo ladrão. ThreatFrabric relata que eles identificaram principalmente o clipper chamado «Laplas» e ladrões de informações bem conhecidos, como «Ermac», «Erbium» e «Aurora» em aplicativos modificados pelo Zombinder. Finalmente, o serviço tem como alvo os usuários de aplicativos do sistema operacional Windows e Android. Ler mais → Boletim semanal de Cibersegurança 26 novembro – 2 dezembroBoletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro
Boletim semanal de Cibersegurança 26 novembro – 2 dezembroTelefónica Tech 2 diciembre, 2022 Atualização urgente do Chrome para evitar o oitavo 0-day de 2022 O Google lançou uma atualização de segurança urgente para o Chrome para evitar a exploração do oitavo 0-day de 2022 no navegador. A vulnerabilidade CVE-2022-4135 de patches de lançamento CVE-2022-4135, um problema de stack overflow. Esse tipo de vulnerabilidade permitia que um invasor executasse código arbitrário. O Google tomou conhecimento de que a vulnerabilidade estava sendo explorada ativamente por agentes mal-intencionados, por isso lançou o patch apenas alguns dias depois que sua equipe do Grupo de Análise de Ameaças descobriu a vulnerabilidade. A empresa se recusou a fornecer detalhes do problema até que os usuários tenham tido tempo de aplicar o patch para evitar que sua exploração se espalhe. Os usuários do Chrome são aconselhados a atualizar para a versão 107.0.5304.121/122 para Windows e 107.0.5304.122 para Mac e Linux, que corrige CVE-2022-4135. Ler mais → * * * Dados de 5,4 milhões de usuários do Twitter expostos O pesquisador de segurança Chad Loder postou no Twitter que um banco de dados contendo 5,4 milhões de entradas estava sendo compartilhado gratuitamente em um fórum na dark web, e que coletava informações públicas (nomes de usuário, IDs, seguidores, localização, biografia, etc.) e confidenciais (números de telefone e endereços de e-mail) sobre usuários da própria rede social. Após a publicação, o Twitter suspendeu a conta de Loder, então ele compartilhou as informações através do Mastodon. De acordo com Loder, esse banco de dados é o mesmo que foi oferecido para venda em julho e foi obtido explorando uma vulnerabilidade (agora corrigida) na API do Twitter que permitia que um invasor soubesse da conta associada a números de telefone ou endereços de e-mail. Quando a venda do banco de dados veio à tona, o Twitter reconheceu a autenticidade do banco de dados. Ler mais → * * * Rede de phishing que fraudou 12 milhões de euros foi desfeita na Espanha A Polícia Nacional espanhola emitiu um comunicado relatando o sucesso de uma operação que levou ao desmantelamento de um grupo criminoso que havia fraudado um total de quase 300 vítimas de mais de 12 milhões de euros por phishing. As seis pessoas detidas em Madrid e Barcelona foram acusadas de pertencer a uma organização criminosa, fraude, branqueamento de capitais e usurpação do estado civil. De acordo com o comunicado da polícia, a investigação começou com a denúncia de um banco espanhol por um caso de phishing em que estava sendo personificado por criminosos, que ofereciam através desses sites falsos operações financeiras de ações, criptomoedas e contratação de produtos financeiros a clientes franceses. A polícia não tornou públicas as URLs maliciosas usadas pela organização criminosa. Ler mais → * * * Três vulnerabilidades em produtos industriais da Festo e da Codesys Pesquisadores da Forescout descobriram três vulnerabilidades em produtos de automação industrial das empresas Festo e Codesys. A mais crítica das três é a vulnerabilidade CVE-2022-3270 que, aguardando publicação no NIST, Forescout deu preventivamente uma pontuação CVSS de CVSS 9.8. A falha está nos PLCs Festo e permitiria que um invasor não autenticado assumisse o controle do dispositivo ou alcançasse uma negação de serviço (DoS). A vulnerabilidade CVE-2022-4048, que a Forescout marcou com um CVSS 7.7, afeta os produtos Codesys V3 e é um problema de codificação fraco que permitiria que um invasor manipulasse logicamente o produto. Por fim, a vulnerabilidade CVE-2022-3079, com um CVSS 7.5, permite que um invasor não autenticado acesse remotamente funções críticas do site do produto e pode permitir uma negação de serviço. No momento, nenhum patch foi lançado para essas vulnerabilidades. Ler mais → * * * Pesquisa do Google sobre a estrutura Heliconia O Grupo de Análise de Ameaças (TAG) do Google publicou os resultados de uma investigação sobre uma estrutura de exploração visando vulnerabilidades já corrigidas no Chrome, Firefox e Microsoft Defender que poderiam implantar uma carga útil em dispositivos afetados, em particular spyware. Os pesquisadores do Google tomaram conhecimento dessa estrutura por meio de uma submissão anônima ao seu programa de relatório de bugs do Chrome. Ele continha três bugs, com instruções e um arquivo de código-fonte. «Heliconia Noise» permite implantar uma exploração para um bug do renderizador do Chrome seguido por um escape de sandbox. «Heliconia Soft» implanta um PDF contendo uma exploração do Windows Defender. «Heliconia Files» contém um conjunto de explorações do Firefox para Windows e Linux. De acordo com o Google, embora nenhuma exploração ativa tenha sido detectada, as vulnerabilidades provavelmente foram exploradas 0 dias antes da correção em 2021 e início de 2022. Deve-se notar também que o Google conseguiu rastrear a origem deste quadro de exploração Heliconia graças à análise do código-fonte, sendo capaz de vincular seu desenvolvimento à empresa Variston IT, com sede em Barcelona, fornecedora de soluções de segurança, de acordo com as informações em seu site. Ler mais → Boletim semanal de Cibersegurança 18 – 25 novembroBoletim semanal de Cibersegurança 3 – 9 dezembro
Boletim semanal de Cibersegurança 18 – 25 novembroTelefónica Tech 25 noviembre, 2022 Exploração de vulnerabilidades do ProxyNotShell publicadas As primeiras publicações sobre novas vulnerabilidades críticas no Microsoft Exchange Server, CVE-2022-41040 e CVE-2022-41082, que foram nomeadas ProxyNotShell, foram publicadas no final de setembro. No entanto, não foi até o Patch Tuesday de novembro deste ano que a Microsoft lançou 1 para essas falhas de segurança, embora a empresa tenha confirmado que estava ciente de que os agentes mal-intencionados haviam explorado ativamente essas vulnerabilidades em 30 de setembro por meio de ataques direcionados limitados. O pesquisador de segurança Janggggg publicou uma exploração para essas vulnerabilidades na semana passada, que seria funcional nas versões 2016 e 2019 do Exchange Server, e até mesmo em relação a 2013 com algumas modificações, de acordo com confirmações feitas pelo pesquisador de segurança Will Dormann. A Microsoft recomenda que seus usuários apliquem os patches o mais rápido possível para evitar possíveis ataques futuros contra essas vulnerabilidades Ler mais → Atlassian corrige vulnerabilidades no Crowd e Bitbucket A equipe da Atlassian lançou uma nova atualização em suas plataformas de gerenciamento de identidade Crowd Server e Data Center, bem como no Bitbucket Server e Data Center. Esta atualização destina-se a corrigir duas vulnerabilidades consideradas graves pela própria empresa e que afetaram várias versões do software acima mencionado. Essas vulnerabilidades são CVE-2022-43781 e CVE-2022-43782. No primeiro caso, é uma vulnerabilidade de injeção de comando no Bitbucket que permite ao invasor controlar a sessão para executar código sob certas condições e permissões. No caso do Crowd, a falha permite que um invasor ignore a verificação de senha durante o processo de autenticação do Crowd e obtenha privilégios para fazer chamadas de API para endpoints. Em relação ao Bitbucket, todas as versões de 7.0 a 7.21 são afetadas, bem como as versões 8.0 a 8.4, a menos que sejam instâncias executando o PostgreSQL ou hospedadas no domínio do Bitbucket. No caso do Crowd, as versões afetadas variam de 3.0.0 a 3.7.2 (que não será corrigido) e 5.0.0 a 5.0.2. Ler mais → Falha na proteção antimalware do Cisco Secure Email Gateway A equipe da Cisco confirmou hoje a existência de uma falha de filtragem em seu Secure Email Gateway e IronPort Email Security Appliance Software versões 14.2.0, conforme relatado por um pesquisador anônimo no início da semana passada depois de supostamente não receber resposta da empresa. A descoberta do pesquisador consistiu em vários métodos de ataque que podem ser usados para contornar certos filtros dentro do Secure Email Gateway para enviar malware por meio de e-mails especialmente criados. Isso seria feito por meio de três vetores de ataque diferentes que exploram um bug na identificação de e-mails e anexos, se incluírem cabeçalhos maliciosos do tipo de conteúdo MIME. O ataque seria relativamente fácil de realizar e, de acordo com o pesquisador anônimo, explorações explorando a falha já foram observadas. No entanto, a empresa negou que essa seja uma vulnerabilidade em seus produtos e culpa a falha por um problema nos mecanismos de varredura antimalware da Sophos e da McAfee. Ler mais → Análise de Atividades do Grupo QuantumLocker A empresa belga Computerland compartilhou informações sobre as táticas, técnicas e procedimentos do ator malicioso Quantum Locker. Os dados vêm como resultado da análise realizada pela organização durante os últimos ataques perpetrados pelo Quantum Locker contra empresas geolocalizadas na Europa Central. Os pesquisadores observam que os alvos do ator incluem a aquisição completa dos serviços de nuvem do Azure por meio do comprometimento da conta raiz (T1531). Além disso, o ator também se concentra em localizar e excluir todo o armazenamento de blobs do Azure da vítima para excluir backups (T1485). A Computerland também adverte que os principais alvos de seus ataques são administradores de TI e pessoal de rede, para que possa obter acesso a seus recursos para coletar credenciais da rede da vítima e estender seu ataque (T1530). Finalmente, vale a pena notar que o Quantum combina técnicas novas e antigas para distribuir ransomware, como modificar políticas de grupo de domínio (T1484.001) e explorar a ferramenta Any Desk como uma ferramenta de acesso remoto (T1219). Ler mais → Campanha de phishing detectada usando o Google Tradutor para ocultar links maliciosos Pesquisadores da Kaspersky identificaram uma campanha de phishing que usa links do Google Tradutor para espalhar páginas de phishing. Os links são enviados por e-mail sob vários pretextos e acabam levando às páginas do invasor, mas estes são servidos através dos serviços de tradução do Google, que permitem que as páginas da web completas sejam traduzidas inserindo o endereço URL. O destinatário verá um link para um serviço do Google aparentemente legítimo (o domínio translate.goog) que traduz o site em tempo real e serve o conteúdo, neste caso conteúdo malicioso, através de uma conexão aparentemente inócua, mas que pode ter os mesmos efeitos indesejados que um golpe de phishing convencional. Ler mais → Boletim semanal de Cibersegurança 11 – 18 novembroBoletim semanal de Cibersegurança 26 novembro – 2 dezembro
Boletim semanal de Cibersegurança 11 – 18 novembroTelefónica Tech 18 noviembre, 2022 Atualizações de segurança para 35 vulnerabilidades da Cisco A Cisco lançou uma atualização de segurança que aborda 35 vulnerabilidades no Cisco Adaptive Security Appliance (ASA), Firepower Threat Defense (FTD) e Firepower Management Center (FMC). Oito das 35 vulnerabilidades são de alta criticidade, sendo as mais altas CVE-2022-20946 e CVE-2022-20947 (ambas com uma pontuação CVSS de 8,6), que afetam os produtos Cisco ASA e Cisco FTD. Um invasor não autenticado pode explorá-los para obter uma condição de negação de serviço (DoS). Além disso, a vulnerabilidade CVE-2022-20927 (CVSS de 7.7), que afeta os mesmos produtos que os anteriores e também pode levar um invasor a causar uma condição de DoS, também se destaca. Dos bugs restantes, 15 vulnerabilidades de script entre sites (XSS) na interface Cisco FMC se destacam. De acordo com o boletim da Cisco, não há explorações ativas conhecidas contra qualquer uma das vulnerabilidades recém-corrigidas. Ler mais → * * * Campanha Fangxiao em larga escala que se faz passar por centenas de empresas A equipe da Cyjax publicou uma pesquisa sobre uma sofisticada campanha em larga escala na qual atores mal-intencionados supostamente criaram e usaram mais de 42.000 domínios da web. Segundo os pesquisadores, o grupo Fangxiao estava por trás da campanha, cujo modus operandi consistia em enviar links via WhatsApp que redirecionavam o usuário para um domínio controlado pelos invasores, onde empresas conhecidas eram personificadas. Mais de 400 empresas personificadas nos setores bancário, varejo, energia, viagens, etc. foram detectados até agora. Depois de completar uma pesquisa inicial sob o pretexto de ganhar prêmios, os usuários são redirecionados novamente para outros domínios que estão em constante mudança, terminando no download de um aplicativo com o trojan Triada. Em outros casos, o esquema fraudulento redireciona os usuários para o site da Amazon por meio de um link de afiliado que resulta em uma comissão para quem controla o redirecionamento final. Também foram detectados casos em que os usuários são encaminhados para um golpe de SMS de micro pagamento. A Cyjax indica que a campanha é destinada a usuários de todo o mundo. Ler mais → * * * Mozilla corrige várias vulnerabilidades A Mozilla anunciou o lançamento de uma nova versão do navegador Firefox 107 na qual inúmeras vulnerabilidades foram corrigidas. Um total de 19 vulnerabilidades foram corrigidas com esta nova versão, das quais a Mozilla classificou nove como de alto impacto. Entre estes, a maioria é devido a bugs relacionados à má gestão da memória que podem levar a falhas no programa, entre outros bugs que podem levar à divulgação de informações ou omissão de notificações para realizar ataques de phishing. Um exemplo disso é a vulnerabilidade identificada como CVE-2022-45407, em que um invasor pode carregar um arquivo de fonte legítimo e disparar uma falha, uma falha que a Mozilla chama de «falha potencialmente explorável». Outra das vulnerabilidades corrigidas, identificada como CVE-2022-45404, é descrita como «bypass de notificação em tela cheia». Deve-se notar que esses bugs também foram corrigidos no Mozilla Thunderbird com a versão 102.5. Ler mais → * * * Novos detalhes da mais recente campanha Emotet Após a detecção de novas infecções por Emotet no início de novembro, numerosos pesquisadores analisaram em detalhes a última campanha realizada entre 2 e 11 de novembro. Como relatado inicialmente pelos pesquisadores da Cryptolaemus, uma das mudanças mais notáveis nesta campanha de e-mail em comparação com as campanhas anteriores é que os agentes maliciosos (TA542) instruem as vítimas a copiar o anexo malicioso do Excel para a pasta Templetes, onde a proteção de macro não está habilitada. Além disso, novos recursos também foram detectados no binário do Emotet, bem como um retorno à funcionalidade de entrega de outras famílias de malware, que foram encontradas para serem usadas para espalhar novas variantes do carregador IcedID ou Bumblebee. De acordo com a pesquisa publicada pela Proofpoint, esta campanha tentou entregar centenas de milhares de e-mails todos os dias com diferentes iscas e escritos em vários idiomas, o que colocou vítimas na Espanha, México, Grécia, Brasil, Estados Unidos, Reino Unido, Japão, Alemanha, Itália e França, entre outros. Estima-se também que, embora nenhuma atividade tenha sido detectada desde o dia 11, é muito provável que o TA542 em breve distribua o Emotet novamente, já que sua rede está novamente totalmente operacional. Ler mais → * * * Qbot muda para abusar do painel de controle do Windows 10 O pesquisador de segurança conhecido no Twitter como «proxylife» (@pr0xylife) descobriu uma campanha de phishing envolvendo o malware Qbot, também conhecido como Qakbot, que foi observado ter passado da exploração de uma vulnerabilidade na calculadora do Windows 7 para a exploração de um bug no ‘controle’. exe’ executável no painel de controle do Windows 10. O Qbot cria um arquivo DLL malicioso com o mesmo nome e na mesma pasta que a DLL legítima, fazendo com que o Windows o execute e baixe o cavalo de Tróia no computador da vítima. Desta forma, ele também consegue evitar a proteção do software antivírus, pois não sinalizará como malicioso um programa que foi instalado a partir do painel de controle do Windows 10. Uma vez instalado no computador de destino, o Qbot roubará e-mails para uso em campanhas de phishing ou pode até ser usado para baixar outros tipos de malware, como o Brute Ratel ou o Cobalt Strike. Ler mais → Boletim semanal de Cibersegurança 5 – 11 novembroBoletim semanal de Cibersegurança 18 – 25 novembro
