Boletim semanal de Cibersegurança 5 – 11 novembro

Telefónica Tech    14 noviembre, 2022

Plataforma de phishing Robin Banks reativada

Pesquisadores da IronNet publicaram a segunda parte de sua investigação sobre a plataforma de phishing como serviço Robin Banks.

A plataforma foi descoberta em junho deste ano após a detecção de uma enorme campanha de phishing contra instituições financeiras dos EUA, após o que foi bloqueada pela Cloudflare e suas operações foram interrompidas. A plataforma agora está de volta aos negócios por meio do ISP russo DDoS-Guard, incorporando novos recursos, como autenticação multifator e redirecionadores Adspect, o que ajudaria a evitar a detecção redirecionando o tráfego suspeito para sites de aparência legítima.

Além disso, Robin Banks também faz uso do Evilginx2, um proxy que captura os cookies de sessão das vítimas e ajuda os invasores a evitar medidas de proteção, como a autenticação de dois fatores.

Ler mais

* * *

Incidente de segurança cibernética em um provedor Orange

A Orange revelou que um de seus fornecedores sofreu um incidente de segurança cibernética que resultou no comprometimento de informações pessoais dos clientes da empresa de telecomunicações. De acordo com o comunicado da empresa, o incidente no provedor ocorreu há vários dias e envolveu acesso não autorizado a sistemas.

Como resultado, os dados de um número limitado de clientes, que já foram notificados pela Orange via SMS ou e-mail, foram comprometidos. Alguns dos dados expostos seriam o nome, endereço postal, endereço de e-mail, número de telefone, número de identificação, data de nascimento ou código IBAN bancário dos clientes, embora nem todos esses dados tenham sido expostos nos casos afetados.

Deve-se notar que nenhuma senha ou detalhes do cartão de crédito foram comprometidos. A empresa procedeu ao corte de acesso aos sistemas quando tomou conhecimento do ataque, além de notificar a Agência Espanhola de Proteção de Dados e a Brigada Central de Investigação Tecnológica (BCIT) da Polícia Nacional.

Ler mais (PDF) →

* * *

Microsoft corrige 68 vulnerabilidades, incluindo seis vulnerabilidades de 0-day

Em sua última atualização de segurança, a Microsoft corrigiu um total de 68 vulnerabilidades, seis delas incluídas falhas de 0-day exploradas ativamente:

  • CVE-2022-41128, uma vulnerabilidade de execução remota de código com uma pontuação CVSS de 8,8.
  • CVE-2022-41091, que permitiria a um invasor escapar das defesas de segurança da Marcação da Web (MOTW) com uma pontuação CVSS de 5,4.
  • CVE-2022-41073 e CVE-2022-41125, que permitiriam que um ator mal-intencionado obtivesse privilégios do sistema e tivesse uma pontuação CVSS de 7,8.
  • CVE-2022-41040 e CVE-2022-41082, escalonamento de privilégios e vulnerabilidades de execução remota de código no Microsoft Exchange com uma pontuação CVSS de 8,8.

Essas duas últimas seriam as vulnerabilidades identificadas em setembro passado como ProxyNotShell. Outras vulnerabilidades categorizadas pela Microsoft como críticas e corrigidas nesta atualização mais recente são CVE-2022-37966 e CVE-2022-37967 no Windows Kerberos, CVE-2022-41080 no Microsoft Exchange Server e CVE-2022-38015 no Windows Hyper-V .

Ler mais

* * *

Vulnerabilidades críticas no Citrix Gateway e no Citrix ADC

Como parte de seu boletim de segurança divulgado na terça-feira, a Citrix anunciou três vulnerabilidades que os usuários precisam urgentemente corrigir que afetam seus softwares Citrix Gateway e Citrix ADC. Dessas vulnerabilidades, CVE-2022-27510 (CVSS 9.8) se destaca como uma falha crítica que permite ignorar o processo de autenticação usando canais ou rotas alternativas quando o aplicativo é configurado como uma VPN.

As outras duas vulnerabilidades também são consideradas críticas pelo NIST, embora a Citrix tenha rebaixado sua criticidade para alta e média, respectivamente. Estes são CVE-2022-27513 (CVSS 9.6 de acordo com o NIST, 8.3 de acordo com o fabricante), que permite que os invasores assumam o controle da área de trabalho remota por meio de phishing, não verificando corretamente a autenticidade dos dados quando o proxy RDP está configurado no modo VPN; e CVE-2022-27516 (CVSS 9.8 de acordo com o NIST, 5.6 de acordo com o fabricante), uma vulnerabilidade que permite contornar o mecanismo de proteção contra tentativas de login por força bruta.

Esta última vulnerabilidade pode ser explorada no modo VPN ou se configurada como um servidor virtual AAA com um número máximo de tentativas de início de sessão. A empresa já corrigiu essas falhas para os clientes de seus serviços em nuvem, mas os usuários que gerenciam diretamente esse software terão que corrigir individualmente.

Ler mais

* * *

StrelaStealer: novo malware para roubar credenciais de e-mail

Pesquisadores do DCSO CyTec identificaram um novo malware, chamado StrelaStealer, que rouba credenciais de e-mail do Outlook e do Thunderbird. O malware é distribuído através de arquivos ISO anexados a e-mails com conteúdo diferente.

Em uma das variantes observadas, esse anexo era um arquivo poliglota, que pode ser interpretado como diferentes formatos, dependendo do aplicativo com o qual é aberto. No caso analisado, esse arquivo pode agir baixando o StrelaStealer ou exibir um documento de isca no navegador padrão.

A campanha teria sido observada pela primeira vez em novembro de 2022, visando usuários de língua espanhola.

Ler mais

Boletim semanal de Cibersegurança 28 outubro – 4 novembro

Telefónica Tech    4 noviembre, 2022

Uso de Raspberry Robin em cadeias complexas de infecção

Pesquisadores da Microsoft relataram nos últimos dias novas descobertas sobre o malware Raspberry Robin. De acordo com sua análise, esse software malicioso pode ser comercializado como uma porta de entrada para os sistemas das vítimas para posteriormente instalar outros malwares ou realizar outras atividades.

Durante o verão passado, Raspberry Robin teria sido utilizado para instalar o malware FakeUpdate por grupos maliciosos próximos à EvilCorp, mesmo intervindo em cadeias de infecção com o ransomware Lockbit.

Mais recentemente, Raspberry Robin seria usado para implantar outros malwares como IcedID, Bumblebee e Truebot. Da mesma forma, a Microsoft observou seu uso pelo grupo FIN11/TA505, que o estaria usando em conjunto com truebot para implantar balizas Cobalt Strike e conseguir infectar suas vítimas com o ransomware Clop, permitindo assim que esse grupo abandone o phishing como o início da cadeia de infecções como de costume.

Deve-se notar que, de acordo com a Microsoft, cerca de 3.000 dispositivos de 1.000 organizações diferentes teriam sido afetados de alguma forma pelo Raspberry Robin no último mês.

Ler mais

* * *

Google corrige vulnerabilidade 0-day para o Chrome

O Google lançou uma atualização para o Chrome na qual corrige uma vulnerabilidade 0-day para a qual existe uma exploração pública. A vulnerabilidade, identificada como CVE-2022-3723, foi descoberta pelos pesquisadores da Avast e seria um problema de confusão de tipos V8, o motor JavaScript no Chrome que seria acionado ao receber conjuntos de dados marcados tanto como confiáveis quanto não confiáveis.

A exploração bem-sucedida da vulnerabilidade permitiria que um invasor remoto poderia adulterar os dados do sistema da vítima e escalar privilégios.

Recomenda-se atualizar o navegador o mais rápido possível, para a versão 107.0.5304.87 no Mac e Linux e a versão 107.0.5304.87/88 no Windows.

Ler mais

* * *

Vulnerabilidades corrigidas em nova versão do OpenSSL

Na última quarta-feira, a nova versão do OpenSSL, 3.0.7, anunciada pelos desenvolvedores do projeto na semana passada, foi tornada pública.

A expectativa em torno dessa versão era alta porque, em princípio, uma vulnerabilidade crítica no software seria corrigida, a primeira dessa gravidade desde 2016. Finalmente, a nova versão inclui correções para duas vulnerabilidades consideradas de alta importância, diminuindo assim a criticidade inicial anunciada.

A vulnerabilidade mais alertada é o CVE-2022-3602, uma falha de Buffer overflow no processo de verificação de certificado que exige que uma autoridade de certificação (CA) tenha assinado um certificado malicioso ou que o aplicativo continue o processo de verificação sem um caminho válido. Embora um invasor possa causar a falha usando um endereço de e-mail malicioso, muitas plataformas já incorporam proteções para evitar esse tipo de ataque.

A segunda vulnerabilidade corrigida, também com alta criticidade, CVE-2022-3786, também é um Buffer overflow no mesmo processo, mas com base no comprimento do endereço de e-mail.

Ler mais

* * *

Nova campanha da Emotet após cinco meses de inatividade

A equipe de pesquisadores Cryptolaemus, especializada no estudo do malware Emotet, anunciou no Twitter que os operadores do famoso malware retomaram suas ações maliciosas após cinco meses de inatividade.

Especificamente, uma campanha de infecção com o Emotet por e-mail foi detectada na qual distribui arquivos Excel maliciosos. Para evitar a proteção do Mark-of-the-Web (MoTW), o e-mail instrui a vítima em potencial a copiar o arquivo Excel para a pasta Modelos, o que permitirá que eles abram fora do modo protegido e, assim, executem as macros que baixarão o malware para o computador de destino.

O malware Emotet é então baixado como um arquivo DLL em pastas aleatórias criadas no caminho %UserProfile%\AppData\Local. De acordo com os dados disponíveis, esta campanha de reativação estaria tendo um impacto global, distribuindo seus arquivos maliciosos em vários idiomas.

Ler mais

* * *

RomCom RAT lança campanha através de KeePass e SolarWinds Fakes

Pesquisadores da BlackBerry Threat Research descobriram a existência de uma campanha de RomCom RAT (Remote Access Trojan) com novos vetores de acesso. De acordo com a equipe Blackberry, a RomCom clonou as páginas oficiais de download de vários softwares amplamente utilizados, como o monitor de rede SolarWinds, o gerenciador de senhas KeePass ou o leitor de arquivos Reader Pro PDF.

RomCom copiou o HTML original para reproduzi-lo em domínios com erros de digitação que dão a aparência de veracidade a esses URLs maliciosos. De fato, no caso do SolarWinds, juntamente com o arquivo infectado, o usuário será redirecionado para a página oficial de registro do SolarWinds para ser contatado por suporte legítimo ao cliente, a fim de evitar suspeitas por parte da vítima.

Nos pedaços de malware analisados, o arquivo setup.exe foi observado executando o arquivo hlpr.dat, que contém o dropper instalado pela RomCom. Esta campanha é propagada por meio de técnicas de phishing, envenenamento por SEO e engenharia social.

Ler mais

Boletim semanal de Cibersegurança 21-28 outubro

Telefónica Tech    31 octubre, 2022

Campanhas de disseminação de malware ERMAC

Uma equipe de pesquisadores da Cyble descobriu recentemente uma campanha maciça de phishing que buscaria espalhar o Trojan bancário ERMAC.

O método de infecção seria baseado no download de aplicativos falsos que se passam por Google Wallet, PayPal e Snapchat, entre outros. Esses aplicativos são baixados de domínios falsos que imitam alguns dos mercados de APPs mais populares. Essas personificações também incluem domínios falsos baseados nas empresas cujos aplicativos estão supostamente sendo distribuídos.

Uma vez executado, o malware ERMAC passa a roubar dados, como informações de contato e SMS, bem como coletar uma lista de aplicativos usados pelo dispositivo.

As páginas de phishing são exibidas na tela da vítima por meio dessa última função, que por sua vez, envia os dados coletados para o Comando e Controle do malware por meio de solicitações POST.

Ler mais

* * *

Apple corrige vulnerabilidade 0-day para iOS e iPadOS em seu patch mais recente

A última atualização lançada pela Apple corrige, entre outros, uma vulnerabilidade 0-day que poderia ter sido ativamente explorada contra dispositivos iPhone e iPad.

Essa vulnerabilidade, identificada como CVE-2022-42827 e ainda pendente de qualificação cvss pela Apple, permitiria que um invasor executasse um código no kernel com todos os privilégios. Isso pode levar à corrupção de dados, mau funcionamento ou execução de código não autorizado no dispositivo.

A atualização que corrige essa vulnerabilidade estaria disponível para modelos do iPhone 8 em diante, todos os modelos de iPad Pro, iPad Air 3ª geração em diante, e iPad e iPad Mini quinta geração e posterior.

Ler mais

* * *

VMware corrige vulnerabilidade crítica na Cloud Foundation

A VMware emitiu um aviso sobre duas vulnerabilidades que afetariam sua plataforma híbrida Cloud Foundation, uma delas crítica.

  • A primeira delas, identificada como CVE-2021-39144, que possui uma pontuação CVSS de 8,5 (9,8 de acordo com a VMware), é uma vulnerabilidade de execução remota de código através da biblioteca Xstream.
  • A segunda, identificada como CVE-2022-31678 com uma pontuação CVSS de 5.3 atribuída pela VMware, poderia permitir que um invasor causasse um ataque de negação de serviço (DDoS) ou exponha informações.

Ambas as vulnerabilidades afetariam a versão 3.11 da VMware Cloud Foundation (NSX-V) e seriam corrigidas com a última atualização.

Ler mais

* * *

Anunciada vulnerabilidade crítica no OpenSSL

A equipe do OpenSSL Project anunciou que na próxima semana, em 1º de novembro, publicará uma nova versão do OpenSSL, 3.0.7, que incluirá um patch de segurança que foi catalogado como crítico.

Embora nenhum detalhe tenha sido divulgado sobre a grave vulnerabilidade que será corrigida nesta versão, além do fato de não afetarem versões anteriores ao 3.0, sua mera existência tem causado preocupação, pois é a primeira vulnerabilidade crítica que o OpenSSL anuncia desde 2016.

Embora os desenvolvedores tenham anunciado a implantação da nova versão e do bug com antecedência para que os usuários tenham tempo de fazer inventários e preparar seus sistemas, o OpenSSL não acredita que isso será suficiente para que os invasores descubram a vulnerabilidade, como afirma Mark J. Cox, um membro da equipe.

Ler mais

* * *

Vulnerabilidade do Zoom pode expor usuários a ataques de phishing

O Zoom lançou um boletim de segurança onde corrige uma vulnerabilidade suscetível à análise de URL. Catalogada como CVE-2022-28763 com um CVSS de 8.8, a falha poderia ser explorada por um ator mal-intencionado usando uma URL de reunião zoom especialmente criada, a fim de redirecionar um usuário para um endereço de rede aleatório, permitindo assim outros tipos de ataques adicionais, incluindo assumir o controle da sessão ativa.

Os produtos afetados por essa vulnerabilidade seriam o Zoom Client for Meetings (para Android, iOS, Linux, macOS e Windows), Zoom VDI Windows Meeting Clients e Zoom Rooms for Conference Room (para Android, iOS, Linux, macOS e Windows), tudo em versões anteriores à versão 5.12.2. Para correção, eles recomendam atualizar ou baixar o software mais recente disponível.

Ler mais

* * *

Drinik: Trojan bancário Android que reaparece com recursos avançados

Os analistas da Cyble detectaram uma nova versão do malware bancário Drinik, visando sistemas operacionais Android e atualmente mirando 18 bancos na Índia.

De acordo com o relatório de Cyble, o Trojan se passa pelo aplicativo oficial de administração tributária do país (iAssist) para roubar informações pessoais e credenciais bancárias das vítimas. Uma vez instalado no dispositivo da vítima, o aplicativo pede permissões para gravar no armazenamento externo, receber, ler e enviar SMS e ler o registro de chamadas.

Além disso, ele solicitará permissão para usar o serviço de acessibilidade do Android, que desativará o Google Play Protect que permitirá o malware a realizar gestos de navegação, gravar a tela e capturar teclas e credenciais de usuário, exibindo o site de imposto de renda legítimo da Índia no aplicativo.

Como objetivo final, Drinik redireciona as vítimas para um site de phishing do Departamento de Imposto de Renda onde, sob o pretexto de um reembolso a seu favor, pedirá ao usuário suas informações financeiras, incluindo número da conta e número do cartão de crédito, CVV e PIN.

O Trojan Drinik é conhecido desde 2016 e não parou de evoluir, melhorando continuamente suas capacidades de ataque e visando públicos em massa, como contribuintes indianos e clientes bancários neste caso.

Ler mais

Boletim semanal de cibersegurança 17 — 23 setembro

Telefónica Tech    23 septiembre, 2022

Ransomware Quantum e BlackCat usam Emotet como vetor de entrada

Pesquisadores da AdvIntel publicaram os resultados de uma investigação relatando que os operadores de ransomware Quantum e BlackCat adotaram o uso do Emotet como dropper em suas operações entre seus TTP.

Especificamente, a Emotet surgiu em 2014 classificada como um trojan bancário, no entanto, sua evolução acabou transformando-a em uma botnet que os operadores de ransomware Conti usaram em suas operações até junho de 2022, quando foi dissolvido.

A metodologia adotada atualmente pela Quantum e pela BlackCat para usar o Emotet é instalar um farol Cobalt Strike que implanta uma carga útil que lhes permite assumir o controle das redes e executar operações de ransomware.

De acordo com especialistas, a Emotet aumentou sua atividade desde o início do ano, distribuindo-se através de arquivos .lnk, e estima-se que mais de 1,2 milhão de computadores estão infectados. Esse aumento também foi corroborado por outras equipes de pesquisa, como eSET e Agari.

Ler mais

* * *

Revolut sofre violação de dados com mais de 50.000 usuários expostos

O banco online Revolut, que tem uma licença bancária na Lituânia, foi vítima de um ataque cibernético no qual as informações pessoais de mais de 50.000 clientes foram comprometidas.

O incidente, ocorrido há uma semana, foi descrito como «altamente visado». De acordo com a Agência lituana de proteção de dados, 50.150 clientes foram afetados, 20.687 deles pertencentes à Área Econômica Europeia.

Nesta fase, os detalhes de como o invasor obteve acesso ao banco de dados do banco não foram divulgados, mas todas as indicações são de que o ator da ameaça confiou em um ataque de engenharia social como vetor de entrada.

A Agência observa que as informações expostas incluem: endereços de e-mail, nomes e sobrenomes, endereços postais, números de telefone, detalhes limitados do cartão de pagamento e detalhes da conta.

Finalmente, a Revolut emitiu um comunicado dizendo que os dados pessoais comprometidos variam de cliente para cliente e que nenhum detalhe do cartão ou senhas foram acessados.

Ler mais

* * *

Vulnerabilidades críticas em ambientes de sistemas de controle industrial

A Agência de Segurança cibernética e segurança de infraestrutura (CISA) emitiu um total de oito avisos de segurança alertando para vulnerabilidades em sistemas de controle industrial (ICS), incluindo falhas críticas que afetam os produtos Dataprobe iBoot-PDU.

Deve-se notar que as unidades de distribuição de energia (PDUs) são usadas para gerenciar remotamente a fonte de alimentação de sistemas comumente utilizados em infraestruturas críticas.

Os pesquisadores de segurança da Claroty descobriram um total de sete vulnerabilidades no produto Dataprobe, incluindo CVE-2022-3183 e CVE-2022-3184 com um CVSS de 9,8. Essas falhas de segurança podem permitir que atores mal-intencionados acessem usuários não autenticados e executem remotamente o código nos sistemas afetados.

David Weiss, CEO da Dataprobe, indicou que os problemas de segurança foram corrigidos na versão 1.42.06162022 e que outros são corrigidos por configuração adequada, como desativação de SNMP, telnet e HTTP.

Ler mais

* * *

Vulnerabilidade antiga do Phyton afeta milhares de repositórios

Pesquisadores da Trellix divulgaram detalhes sobre a exploração de uma vulnerabilidade na linguagem de programação Python que foi negligenciada por 15 anos.

O bug pode afetar mais de 350.000 repositórios de código aberto e pode levar à execução de código. O relatório explica que eles redescobriram a vulnerabilidade ao revisar outros bugs não relacionados, concluindo que era CVE-2007-4559, já documentado em um relatório inicial em agosto de 2007, e que permaneceu sem correção até hoje.

Somente durante o ano de 2022, do Python Bug Tracker, foi uma atualização fornecida à documentação que apenas alertou os desenvolvedores sobre o risco. Por sua vez, Trellix ressalta que o bug persiste, fornecendo vídeos explicativos sobre como explorá-lo.

 A vulnerabilidade está no extrato e extrato de todas as funções do módulo tarfile, o que permitiria a um invasor substituir arquivos arbitrários anexando a sequência «…» para nomes de arquivos em um arquivo TAR.

Além disso, a Trellix anunciou patches para pouco mais de 11.000 projetos, embora, no momento, a Python Software Foundation não tenha comentado sobre a vulnerabilidade, por isso é recomendado um cuidado extremo, pois este é um bug que representa um risco claro para a cadeia de fornecimento de software.

Ler mais

* * *

O malware chromeloader aumenta sua atividade e aumenta seus recursos

Pesquisadores da Microsoft e da VMware relataram uma campanha maliciosa do malware Chromeloader, uma extensão maliciosa para o navegador Chrome, destinada a infectar dispositivos das vítimas com vários programas maliciosos.

Durante o primeiro trimestre de 2022, o Chromeloader chegou aos holofotes na forma de adware e mais tarde se tornou um ladrão especializado em roubar dados armazenados nos navegadores de usuários-alvo.

No entanto, de acordo com a Microsoft, atualmente há uma campanha em andamento atribuída ao ator de ameaças rastreado como DEV-0796, que faz uso desse malware para lançar cargas muito mais poderosas e direcionadas.

O Chromeloader foi encontrado para ser implantado em arquivos ISO que são distribuídos através de anúncios maliciosos e comentários em vídeo do YouTube.

Além disso, como o VMware também detalha em seu relatório, há pelo menos 10 variantes deste malware camuflado sob utilitários destinados a gerenciar legendas de filmes, jogadores de música e, mais preocupantemente, uma variante do Chromeloader que implementa o ransomware Enigma em um arquivo HTML.

Ler mais

Boletim semanal de cibersegurança 9 — 16 setembro

Telefónica Tech    16 septiembre, 2022

Microsoft corrige duas vulnerabilidades de 0-day e 63 outras vulnerabilidades no Patch Tuesday

A Microsoft corrigiu 63 vulnerabilidades no Patch Tuesday de setembro, incluindo dois 0-days, uma delas ativamente explorada e outras cinco falhas críticas que permitiriam a execução remota de código.

O 0-day ativamente explorado, identificado como CVE-2022-37969 e CVSS 7.8, foi descoberto por pesquisadores do DBAPPSecurity, Mandiant, CrowdStrike e Zscaler e afeta o Common Log File System (CLFS), permitindo que um invasor obtenha privilégios do sistema.

Por outro lado, o segundo 0-day que não foi explorado está listado como CVE-2022-23960 e com CVSS 5.6, e refere-se a uma vulnerabilidade de restrição de especulação de cache. Microsoft Dynamics CRM (CVE-2022-35805 e CVE-2022-34700), 2 outros no IKE (CVE-2022-34722 e CVE-2022-34721) e, finalmente, uma falha no Windows TCP/IP (CVE-2022-34718), tudo isso permitiria a execução remota de código.

Ler mais 

* * *

Análise do keylogger OriginLogger

O pesquisador Jeff White, da Unidade 42 da Palo Alto, publicou os resultados de sua recente análise sobre o keylogger OriginLogger, que é considerado o herdeiro do Agente Tesla.

Ele é usado para roubar credenciais, capturas de tela e todos os tipos de informações do dispositivo, e está à venda em sites especializados em espalhar malware.

Sua cadeia de infecções é iniciada através de diferentes tipos de droppers, mas geralmente um documento do Microsoft Office com macros maliciosas, que redirecionam para uma página a partir da qual um arquivo com um script ofuscado é baixado, usado ao mesmo tempo para baixar uma carga que será usada para criar persistência e agendar tarefas diferentes.

A carga também conterá código PowerShell e dois binários criptografados, um deles é um carregador e o outro a carga real do OriginLogger. Outro recurso que faz do OriginLogger uma versão separada do agente Tesla é a variedade de métodos de extração de dados, usando protocolos e servidores SMTP e FTP, páginas da Web com seus próprios painéis ou canais e bots do Telegram.

Ler mais 

* * *

Malware lampion distribuído em nova campanha de phishing

Pesquisadores da Cofense analisaram uma campanha de phishing distribuída por e-mail, na qual o anexo contém um script que baixa e executa o malware Lampion.

Esse malware, descoberto em 2019, corresponde a um trojan bancário que busca roubar informações do dispositivo infectado. Ele se conecta ao seu servidor de comando e controle (C2) e é capaz de sobrepor uma página em cima de formulários de login bancários para obter as informações do usuário.

Quanto à campanha, ela é distribuída enviando através de contas corporativas roubadas vários e-mails fraudulentos, que anexam comprovantes de pagamento maliciosos hospedados no WeTransfer e pedem que sejam baixados.

Uma vez que o destinatário do e-mail fraudulento baixa o documento malicioso e o abre, vários scripts VBS são executados e a cadeia de ataque começa.

Vale a pena notar que o Lampion se concentra principalmente em alvos de língua espanhola, abusando de serviços em nuvem para hospedar o malware, incluindo o Google Drive e o pCloud.

Ler mais 

* * *

Boletins de Segurança SAP

A SAP emitiu 16 avisos de segurança em seu Security Patch Day de setembro, corrigindo 55 Chromium e outras vulnerabilidades de alta prioridade. Primeiro, a SAP está emitindo atualizações de segurança para o navegador Google Chromium que afetam várias versões do SAP Business Client.

Por outro lado, entre as vulnerabilidades de alta prioridade corrigidas está uma vulnerabilidade XSS que afeta o SAP Knowledge Warehouse, identificado como CVE-2021-42063 e com CVSS 8.8. Também entre os mais críticos está o CVE-2022-35292, com CVSS de 7.8, o que afeta o caminho de serviço no SAP Business One e permitiria a escalada de privilégios ao sistema.

A segunda nota prioritária corresponde ao serviço SAP Business Objects, afetado com duas vulnerabilidades, uma delas, com cve-2022-39014 e CVSS 7.7, possibilitaria que um invasor obtenha acesso a informações confidenciais não criptografadas; enquanto a outra vulnerabilidade, designada com CVE-2022-28214 e CVSS 7.8, corrige para a possibilidade de divulgação de informações no serviço.

Uma atualização de vulnerabilidade relacionada, CVE-2022-35291 e CVSS 8.1, que afeta o SuccessFactors é publicado, o que retoma a funcionalidade dos anexos de arquivo.

Ler mais 

* * *

Análise de atividades do webworm

A equipe de pesquisa de ameaças da Symantec publicou um post ontem detalhando as atividades de um grupo chamado Webworm, que supostamente tem os mesmos TTPs e dispositivos em uso como o ator de ameaças conhecido como Space Pirates, levando os pesquisadores a acreditar que eles poderiam ser o mesmo grupo.

De acordo com a investigação, o grupo atua desde 2017 e tem se envolvido em ataques e campanhas de espionagem contra agências governamentais e empresas dos setores de TI, aeroespacial e energia, especialmente em países asiáticos.

Entre seus recursos usuais estão versões modificadas dos trojans de acesso remoto Trochilus, Gh0st RAT e 9002 RAT, usados como backdoor e espalhados por carregadores escondidos em documentos falsos.

Vale ressaltar que os RATs usados pelo Webworm permanecem difíceis de detectar por ferramentas de segurança, pois seus truques de evasão, ofuscação e anti-análise ainda são notáveis.

Ler mais 

Boletim semanal de cibersegurança, 27 agosto — 2 setembro

Telefónica Tech    2 septiembre, 2022

Vulnerabilidade crítica no Servidor Bitbucket Atlassian e data center

A Atlassian alertou recentemente seus usuários sobre uma nova vulnerabilidade crítica que afeta o software do Servidor Bitbucket Server e Data Center, que deve ser corrigido de forma imediata. A falha, CVE-2022-36804, tem um CVSS v3 de 9.9 de acordo com a Atlassian, e permite a injeção de comando através de solicitações http especialmente trabalhadas, que abrem caminho para execução remota de código.

A exploração da vulnerabilidade não é complexa e não requer privilégios elevados. O invasor só precisaria de direitos de leitura em repositórios públicos ou privados e nunca precisaria interagir com o usuário. As versões do Bitbucket Server e data centers afetadas pela falha são todas de 6.10.17 para 8.3.0, e patches já foram publicados para as versões 7.6.17, 7.17.10, 7.21.4, 8.0.3, 8.1.3, 8.2.2 e 8.3.1. As versões 6.X não serão corrigidas.

Para todos os usuários que não podem corrigir esse problema no momento, a Atlassian recomenda fechar temporariamente os repositórios públicos. Enquanto isso, Max Garret, o pesquisador que encontrou essa vulnerabilidade e relatou à Atlassian, prometeu entregar um PoC em 30 dias , e alegou que o patch da Atlassian não deve ser muito difícil de contornar.

Ler mais

* * *

Intellexa oferece uma exploração de 0-day para iOS e Android

Um documento da empresa israelense Intellexa foi recentemente vazado, enviado no Twitter pelo perfil da VX-underground, mostra uma oferta comercial de um spyware por um preço de 8 milhões de euros.

O spyware funciona na versão 15.4.1 do iOS e na versão 12 do Android e, por se trata de um 0-day, é improvável que seja corrigido e não funcione em nenhuma das novas versões desses sistemas operacionais. Essa exploração permite acesso remoto aos dados dos dispositivos impactados. O vetor de ataque de infecção, de acordo com o documento, seria um link que precisa ser clicado para injetar a carga no dispositivo.

Além disso, a oferta inclui uma garantia de um ano, uma plataforma para analisar os dados extraídos, bem como dez tipos de infecções simultâneas e um catálogo de centenas de outras infecções bem-sucedidas como exemplos.

Ler mais

* * *

Uso de vulnerabilidades log4j contra alvos em Israel

A Microsoft publicou detalhes de uma investigação recente realizada em seu Centro de Inteligência de Ameaças (MSTIC), que informa sobre uma onda de ataques do MuddyWater (apelidado de Mercury pela Microsoft) ator de ameaças contra alvos em Israel.

De acordo com os pesquisadores, este ator tem usado a popular vulnerabilidade Log4shell para comprometer o software sem retch. Desta vez, os ataques foram direcionados principalmente ao SysAid, um programa de gerenciamento de TI, em vez de atacar o software WMware, como tem sido tradicionalmente usado nesses ataques.

MuddyWater explorou as vulnerabilidades como ponto inicial de entrada no sistema da vítima, no qual eles então executariam web shells para executar diferentes comandos maliciosos, criar usuários com privilégios administrativos, roubar credenciais via Mimikatz e mover-se lateralmente através de ferramentas como RemCom ou Windows Management Instrumentation.

Para evitar esses ataques, a Microsoft recomenda a aplicação dos patches para este conjunto de vulnerabilidades, já disponíveis desde janeiro de 2022.

Ler mais

* * *

Mais de 1.000 aplicativos para iOS encontrados expondo credenciais AWS criptografadas

Pesquisadores da equipe de Threat Hunting da Symantec detectaram cerca de 2.000 aplicativos móveis contendo credenciais AWS (Amazon Web Services) criptografadas. A maioria dos aplicativos (1.856) corresponde ao sistema iOS, enquanto apenas 37 pertencem ao Android. 77% dos aplicativos foram confirmados para incluir tokens de acesso AWS válidos que poderiam ser usados para acessar diretamente serviços privados em nuvem.

Além disso, esses tokens AWS válidos podem ser usados por um invasor para acessar instâncias de nuvem onde bancos de dados de serviços ativos contendo milhões de registros, incluindo detalhes de contas de usuário, comunicações internas e outros dados confidenciais, estão localizados, dependendo do tipo de aplicativo.

A pesquisa da Symantec tem o objetivo de alertar os desenvolvedores de aplicativos móveis sobre os perigos de excesso de confiança ou práticas inseguras que expõem as credenciais da AWS, o que poderia tornar a cadeia de fornecimento de aplicativos móveis vulnerável, bem como abrir a porta para atores mal-intencionados para bancos de dados privados, levando a possíveis violações de dados e exposição de dados pessoais dos usuários finais

Ler mais

* * *

Google corrige 24 vulnerabilidades no Chrome

O último boletim de segurança do Google corrigiu 24 vulnerabilidades, incluindo uma falha crítica (CVE-2022-3038), e adicionou o sistema de desinfetante para proteger os usuários de ataques de injeção XSS. A maioria das vulnerabilidades corrigidas foi devido a problemas de gerenciamento de memória, com falhas de estouro de buffer sem uso e buffer que impactaram complementos como WebUI e Captura de tela.

O Google também corrigiu várias políticas de segurança e vulnerabilidades de implementação incorretas. Vale ressaltar que, embora não haja evidências de que essas vulnerabilidades estão sendo ativamente exploradas, há uma grave vulnerabilidade não recorrida que afeta a área de transferência do sistema operacional através de navegadores baseados em Chromium, e que ela pode ser explorada sem autorização ou interação do usuário.

O Google também recomenda a instalação da versão mais recente do navegador para corrigir essas falhas.

 Ler mais

Boletim semanal de cibersegurança, 30 de julho – 5 de agosto

Telefónica Tech    5 agosto, 2022

Possível ligação entre o malware Raspberry Robin e as infecções da Evil Corp

A equipe do Microsoft Threat Intelligence Center (MSTIC) publicou novas informações sobre o malware Raspberry Robin, detectado pela equipe da Red Canary em setembro de 2021 [1]. O principal método de propagação associado a esta família é através de dispositivos USB infectados, e uma de suas principais características é o uso de dispositivos QNAP NAS como servidores Command & Control (C2). Em sua atualização, os especialistas da Microsoft teriam descoberto que o Raspberry Robin, em estágios mais avançados, está implementando em redes infectadas o malware FakeUpdates, tradicionalmente ligado ao ator DEV-0206. No entanto, a atividade observada uma vez que o FakeUpdates é distribuído leva a ações que tradicionalmente foram vinculadas às realizadas pelo DEV-0243 (Evil Corp) antes de suas infecções por ransomware. Quanto à afetação, deve-se notar que ele alerta para a detecção de atividade desse malware em centenas de organizações em uma infinidade de setores.

[1] https://redcanary.com/blog/raspberry-robin/

URL: https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/#DEV-0206-DEV-0243

Aviso de segurança crítica da VMware

A VMware emitiu um aviso de segurança crítico (VMSA-2022-0021) relatando dez vulnerabilidades recentemente detectadas e corrigidas. Estes incluem uma vulnerabilidade crítica descoberta pelo pesquisador de Segurança VNG Petrus Viet e listada como CVE-2022-31656 com um CVSSv3 de 9,8. É uma vulnerabilidade de desvio de autenticação que afeta os usuários de domínio locais e pode permitir que um invasor não autenticado obtenha privilégios de administrador. Em relação ao resto das vulnerabilidades, seis delas foram catalogadas com um risco «significativo» (CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31664, CVE-2022-31665, CVE-2022-31665), CVE-2022-31665) e três com risco «moderado» (CVE-2022-31657, CVE-2022-31662, CVE-2022-31663), incluindo execução remota de código, escalonamento de privilégios e erros de scripting cross-site (XSS), entre outros. Esses bugs afetam o VMware Workspace ONE Access (Access), O VMware Workspace ONE Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware vRealize Automation (vRA), VMware Cloud Foundation e vRealize Suite Lifecycle Manager. Embora a VMware esteja pedindo que as manchas sejam implementadas o mais rápido possível, deve-se notar que nenhuma exploração ativa foi detectada até agora.

URL: https://www.vmware.com/security/advisories/VMSA-2022-0021.html

Vulnerabilidades no Servidor APACHE HTTP

Várias vulnerabilidades foram descobertas no Apache HTTP Server afetando versões anteriores ao 2.4.54. Um invasor remoto poderia explorar algumas dessas vulnerabilidades para desencadear uma condição de negação de serviço, divulgação de informações confidenciais, scripting entre sites (XSS) ou evasão de restrições de segurança no sistema de destino. Das vulnerabilidades encontradas, a catalogada como CVE-2022-31813 [1] destaca-se por ter um CVSSv3 de 9.8 e cuja exploração permitiria a evasão do controle de autenticação baseado em IP por não enviar, sob certas condições, cabeçalhos X-Forwarder-*. Além disso, note que essas falhas afetam muitos produtos que fazem uso do servidor Apache, como IBM [2] ou F5 [3] e, portanto, é recomendável atualizar o Apache HTTP Server o mais rápido possível seguindo as instruções do provedor.

[1] https://nvd.nist.gov/vuln/detail/CVE-2022-31813
[2] https://www.ibm.com/support/pages/node/6595149
[3] https://support.f5.com/csp/article/K21192332
URL: https://httpd.apache.org/security/vulnerabilities_24.html

Vulnerabilidade de execução remota de código em roteadores DrayTek

A equipe do Trellix Threat Labs detectou uma grande vulnerabilidade de execução remota de código que afetaria roteadores do fabricante DrayTek. A exploração da vulnerabilidade, rastreada como CVE-2022-32548 – CVSSv3 10.0 [1], permitiria a execução de ataques que não requerem interação do usuário, desde que a interface de gerenciamento do dispositivo seja configurada para serviços de rede. Em caso de sucesso, o invasor seria capaz de acessar os recursos internos do dispositivo, comprometê-lo completamente e até mesmo lançar ataques dentro da LAN a partir da configuração padrão do próprio dispositivo. O bug afeta o modelo Vigor 3910, juntamente com outros 28 modelos DrayTek que compartilham a mesma base de código e já foi devidamente corrigido pela empresa. Da mesma forma, a Trellix publicou um vídeo [2] detalhando o processo de exploração dessa vulnerabilidade, por isso recomenda-se não expor a interface de administração à Internet, redefinir as senhas e atualizar o software dos dispositivos afetados para a versão mais recente.

[1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32548

[2] https://youtu.be/9ZVaj8ETCU8

URL: https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/rce-in-dratyek-routers.html

RapperBot: nova botnet voltada para sistemas Linux

Pesquisadores de segurança da Fortinet descobriram uma nova botnet, chamada RapperBot, que tem como alvo especificamente sistemas Linux. Este novo malware é supostamente baseado no código-fonte original da botnet Mirai, mas é notável por ter recursos exclusivos que são raros neste tipo de malware, como seu próprio protocolo de Comando & Controle (C2). Também ao contrário do Mirai, o RapperBot se concentra em usar técnicas de força bruta para acessar servidores SSH em vez de Telnet, lançando testes em listas de credenciais baixadas pelo malware a partir de seus próprios recursos. Se ele conseguir ter acesso ao servidor, o bot adiciona uma nova chave SSH e cria uma tarefa do Cron que reassenta o usuário a cada hora no caso de um administrador descobrir a conta e excluí-la. Atualmente não se sabe qual pode ser o principal propósito do RapperBot, já que seus autores mantiveram suas funções

Boletim semanal de cibersegurança 16 — 22 julho

Telefónica Tech    22 julio, 2022

Lightning Framework: novo malware direcionado a ambientes Linux

A equipe de pesquisadores da Intezer publicou informações sobre um novo tipo de malware que afeta ambientes Linux e que eles chamaram de Lightning Framework. Embora os pesquisadores não tenham localizado uma amostra completa e alguns detalhes do malware ainda sejam desconhecidos, algumas de suas características foram analisadas.

É um malware avançado que é instalado no sistema da vítima através de um download que baixará todos os seus módulos e plugins. A partir daí, o malware se passa pelo gerenciador de senhas do GNOME para se conectar a um servidor polimórfico de Comando & Controle e baixar mais componentes.

Outras funcionalidades são a manipulação de timestamps e IDs de processos, a criação de um script com o nome «elastisearch» para criar persistência e implantação de um backdoor criando seu próprio servidor SSH. Como apontado pelo Bleeping Computer, o Lightning Framework é o mais recente de uma onda crescente de variantes de malware que atacam sistemas Linux, após detecções recentes de outros casos como OrBit, Symbiote, BPFDoor ou Syslogk.

Ler mais

* * *

Cisco corrige várias vulnerabilidades

A Cisco liberou patches de segurança para corrigir 45 vulnerabilidades (três críticas, uma categorizada como alta e 41 de média gravidade) que afetaram vários produtos.

Dos bugs corrigidos, três se destacam, catalogados como CVE-2022-20857 CVSS 9.8, CVE-2022-20858 CVSS 9.8 e CVE-2022-20861 CVSS 9.8, que afetou a solução de gerenciamento de data center Cisco Nexus Dashboard e poderia permitir que um invasor remoto não autenticado executasse comandos arbitrários e executasse ações com privilégios raiz ou administrador. 

Ele também destaca outra falha de alta gravidade, catalogada como CVE-2022-20860 CVSS 7.4, na implementação SSL/TLS do Cisco Nexus Dashboard que poderia permitir que um invasor remoto não autenticado alterasse as comunicações interceptando o tráfego em ataques man-in-the-middle.

Embora essas falhas não sejam conhecidas por serem exploradas ativamente, a Cisco insta os usuários de dispositivos afetados a aplicar patches o mais rápido possível.

Ler mais

* * *

Luna: Novo ransomware voltado para Windows, Linux e ESXi

Pesquisadores de segurança da Kaspersky descobriram em um fórum de ransomware na dark web uma nova família de ransomware baseada na linguagem de programação Rust, apelidada de Luna.

Este novo ransomware parece ter recursos para criptografar dispositivos usando vários sistemas operacionais, incluindo sistemas Windows, Linux e ESXi. De acordo com os especialistas da Kaspersky, a Luna atualmente parece ser um simples ransomware em desenvolvimento e, por enquanto, limitado apenas às opções de linha de comando.  

No entanto, seu esquema de criptografia é incomum, combinando a troca de chaves X25519 segura da curva elíptica Diffie-Hellman, usando o Curve25519 com o algoritmo de criptografia simétrica Advanced Encryption Standard (AES).

Da mesma forma, a tendência de usar uma linguagem multiplataforma como rust, denota a corrente usada pelas bandas de cibercriminosos que desenvolvem ransomware capaz de atingir múltiplos sistemas operacionais, sem fazer grandes esforços e adaptações para cada objetivo.

De acordo com a pesquisa, não se sabe dados sobre possíveis vítimas dessa família ransomware, uma vez que seus operadores acabaram de ser descobertos e sua atividade ainda está sendo monitorada.

Ler mais

* * *

Atlassian corrige falha crítica em credenciais codificadas de Confluence

A Atlassian lançou uma atualização de segurança na qual corrigiu uma vulnerabilidade crítica em Credenciais Criptografadas no Servidor de Confluence e no Data Center que poderia permitir que invasores remotos não autenticados façam logon em servidores vulneráveis.

Especificamente, a senha criptografada é adicionada após a instalação do aplicativo Perguntas para Confluence (versões 2.7.34, 2.7.35 e 3.0.2) para uma conta com o nome de usuário do sistema desativado, projetado para ajudar os administradores com a migração de dados de aplicativos para a nuvem Confluence.

A conta desativada do sistema é criada com uma senha criptografada e adicionada ao grupo de usuários de confluência, que permite visualizar e editar todas as páginas irrestritas dentro da Confluence por padrão. Portanto, explorar essa vulnerabilidade, classificada como CVE-2022-26138, permitiria que um invasor faça login e acesse qualquer página a que o grupo de usuários de confluência tenha acesso.

No momento, a exploração ativa dessa falha não foi observada e, a partir da Atlassian, afirmam que esse aplicativo, que ajuda a melhorar as comunicações internas, seria instalado em mais de 8.000 servidores de Confluence. Para corrigir este bug, recomenda-se atualizar para as versões corrigidas (2.7.38 ou superior a 3.0.5), ou desativar ou excluir a conta desativada do sistema, uma vez que a desinstalação do aplicativo Perguntas para Confluence não seria suficiente.

Ler mais

* * *

CloudMensis: Novo malware direcionado ao macOS

Um grupo de pesquisadores da ESET descobriu um novo malware que seria usado para implementar backdoors e extrair informações em dispositivos macOS. Este software malicioso foi inicialmente detectado em abril de 2022 pela equipe da ESET e tem sido referido como CloudMensis.

Um de seus recursos a destacar é o uso de serviços de armazenamento em nuvem, como DropBox, Yandex Disk ou pCloud para comunicação com seus servidores de comando e controle (C2). O CloudMensis também consegue executar código no sistema de destino e obter privilégios de administrador para executar uma segunda fase mais funcional que coleta informações como anexos de e-mail, capturas de tela, extração de documentos, digitações e outros dados confidenciais.

Da mesma forma, no momento não se sabe como ele é distribuído e qual é o vetor de infecção, bem como quem seriam os alvos finais deste malware e do ator de ameaças a que atribuir essa atividade.

Ler mais → 

Boletim semanal de cibersegurança 9 — 15 julho

Telefónica Tech    15 julio, 2022

Rozena: backdoor distribuído explorando a vulnerabilidade follina

A equipe de pesquisadores da Fortinet publicou a análise de uma campanha maliciosa na qual eles detectaram a distribuição de um novo backdoor aproveitando a vulnerabilidade conhecida chamada Follina (CVE-2022-30190).  

Especificamente, este novo software malicioso recebeu o nome de Rozena e sua principal função é injetar um shell reverso no host do invasor, permitindo que atores mal-intencionados assumam o controle do sistema da vítima, bem como permitir o monitoramento e captura de informações, e/ou manter um backdoor para o sistema comprometido.

Em relação à metodologia utilizada para executar a infecção, isso consiste na distribuição de documentos de escritório maliciosos, que, quando executados, eles se conectam a uma URL do Discord que recupera um arquivo HTML que, por sua vez, invoca a vulnerável ferramenta de diagnóstico de suporte do Microsoft Windows (MSDT), resultando no download da carga útil,  em que Rozena está incluído.

Ler mais

* * *

Microsoft corrige um 0-day  ativamente explorado

A Microsoft divulgou recentemente seu boletim de segurança para o mês de julho, onde corrige um total de 84 vulnerabilidades, incluindo 0-day ativamente explorado.

Do total de falhas detectadas, 5 corresponderiam a vulnerabilidades de negação de serviço, 11 vulnerabilidades de divulgação de informações, 4 vulnerabilidades de desvio de recursos de segurança, 52 elevação de vulnerabilidades de privilégios e 12 vulnerabilidades de execução remota de código. Dentro deste último tipo é onde as quatro vulnerabilidades classificadas como críticas (CVE-2022-30221, CVE-2022-22029, CVE-2022-22039, CVE-2022-22038) estão localizados, sendo que o resto das vulnerabilidades é de alta gravidade.

Notavelmente, o 0-day, catalogado como CVE-2022-22047 com um CVSSv3 7.8, descoberto pelo Microsoft Threat Intelligence Center (MSTIC) e pelo Microsoft Security Response Center (MSRC), envolve uma elevação do Windows CSRSS de vulnerabilidade de privilégio, o que poderia permitir que um invasor obtenha privilégios do SISTEMA.

De acordo com a Microsoft, a exploração ativa dessa falha teria sido detectada embora no momento não tenham sido fornecidos mais detalhes a esse respeito, por isso é recomendável aplicar os patches o mais rápido possível. A CISA [7] também adicionou essa vulnerabilidade ao seu catálogo de vulnerabilidades ativamente exploradas.

Ler mais

* * *

Vulnerabilidade na autenticação de um componente AWS Kubernetes

O pesquisador de segurança Gafnit Amiga descobriu várias falhas de segurança no processo de autenticação do AWS IAM Authenticator, um componente para Kubernetes usado pelo Amazon Elastic Kubernetes Service (EKS)

 A falha está na validação incorreta dos parâmetros de consulta dentro do plugin autenticador ao configurar o uso do parâmetro «AccessKeyID» do modelo dentro das sequências de consulta. Explorá-lo poderia permitir que um invasor escapasse da proteção existente contra ataques repetidos ou obtenha as mais altas permissões no cluster, posando como outras identidades; ou seja, escalar privilégios dentro do cluster Kubernetes.

Segundo o pesquisador, duas das falhas identificadas existem desde o primeiro lançamento de 2017, enquanto a terceira, que permite o roubo de identidade, é explorável a partir de setembro de 2020. As decisões como um todo foram identificadas como CVE-2022-2385 e receberam alta criticidade. Por sua vez, a AWS confirmou que desde 28 de junho todos os clusters EKS foram atualizados com uma nova versão do IAM Authenticator onde o problema é resolvido. Os clientes que gerenciam seus próprios clusters e que usam o parâmetro «AccessKeyID» do plug-in autenticador devem atualizar para a AWS IAM Authenticator para a versão 0.5.0 da Kubernetes.

Ler mais

* * *

VMware corrige vulnerabilidade em vCenter Server

A VMware lançou recentemente uma nova versão do vCenter Server 7.0 3f no qual corrige, oito meses depois, uma vulnerabilidade no mecanismo de autenticação integrada com o Windows descoberto pelo Crowdstrike e com o CVE-2021-22048.

Essa falha só pode ser explorada a partir da mesma rede física ou lógica na qual o servidor afetado está, e embora seja um ataque complexo, requer poucos privilégios e não precisa de interação do usuário. No entanto, o NIST sugere que ele poderia ser explorado remotamente.

As versões do vCenter Server afetadas pela vulnerabilidade são 6.5, 6.7 e 7.0. Para aqueles que não podem atualizar para a versão mais recente já corrigida, a empresa forneceu medidas de mitigação que incluem a mudança para um modelo de autenticação do Active Directory sobre LDAP. O CVE-2021-22048 também afeta as versões 3 e 4 da WMware Cloud Foundation, que não foram corrigidas por enquanto.

Ler mais

* * *

Campanha de phishing através Anubis Network

A mídia portuguesa IT Security publicou detalhes sobre uma nova onda da persistente campanha de phishing, que faz uso do portal da Rede Anubis para configurar seus ataques e que estaria ativo desde março de 2022.

Os usuários afetados, principalmente de Portugal e do Brasil, recebem mensagens de smishing ou phishing de serviços financeiros onde os usuários são forçados a indicar seu número de telefone e número PIN, a serem redirecionados para páginas bancárias onde suas credenciais de acesso são solicitadas.

Segundo os pesquisadores, o servidor de Comando & Controle, hospedado na Rede Anubis, é controlado por cerca de 80 operadoras. Da mesma forma, a análise mostra como a Anubis oferece facilidades para rastrear dados do usuário, domínios falsos criados para se passar por bancos e endereços de e-mail temporários que as operadoras podem configurar para cada caso.

Ler mais

Boletim semanal de cibersegurança 1 — 8 julho

Telefónica Tech    8 julio, 2022

Raspberry Robin: worm detectado em várias redes do Windows

A Microsoft emitiu um aviso privado voltado para assinantes do Microsoft Defender for Endpoint, informando sobre a detecção de malware Raspberry Robin em várias redes do setor industrial principalmente.

Este worm foi criado em 2019 e foi detectado pela primeira vez em setembro do ano passado de 2021, sendo seu principal método de propagação através de dispositivos USB infectados. Algumas de suas características são o uso de dispositivos QNAP NAS como servidores de comando e controle (C2) e o uso de conexões para a rede Tor.

Além disso, o Raspberry Robin abusa de ferramentas legítimas do Windows, como o processo msiexec, para infectar novos dispositivos, executar cargas maliciosas e, eventualmente, fornecer malware.

A exploração ativa dos acessos que os operadores desse malware já teriam obtido para as redes de suas vítimas não está confirmada e não foi possível atribuir esta campanha a qualquer ator malicioso específico, embora a Microsoft tenha qualificado como de alto risco, dado que os atacantes poderiam implantar malware adicional nas redes das vítimas e aumentar seus privilégios a qualquer momento. 

Ler mais → 

* * *

Vulnerabilidade crítica em Spring Data para MongoDB

O pesquisador Zewei Zhang, do NSFOCUS TIANJI Lab, relatou uma vulnerabilidade crítica de execução de código remoto (RCE) no Spring Data MongoDB, um projeto para integrar documentos aos bancos de dados do MongoDB. O erro foi identificado com CVE-2022-22980 e recebeu uma criticidade de 9.8 (CVSSv3).

Especificamente, a vulnerabilidade consiste na possibilidade de executar uma injeção de SpEL (Spring Expression Language) maliciosa que permitiria que um invasor executasse código arbitrário remotamente com privilégios legados.

O bug afeta as versões 3.4.0, 3.3.0 para 3.3.4, e as versões anteriores não suportadas, entretanto, a Spring já liberou as versões corrigidas correspondentes do Dados de Primavera MongoDB, 3.4.1 e 3.3.5 no final de junho passado.

No entanto, se não for possível implementar essas novas versões, existem medidas de mitigação que podem ser consultadas no edital publicado pela VMware, que é recomendado para ser aplicado imediatamente levando em conta a disponibilidade pública de provas de conceito sobre essa vulnerabilidade.

Ler mais → 

* * *

Versão maliciosa do Brute Ratel C4

Pesquisadores da Palo Alto Networks publicaram sobre uma amostra maliciosa do legítimo software Brute Ratel C4 (BRc4). Esta ferramenta surgiu como uma alternativa ao Cobalt Strike para Red Teans quando se trata de testes de penetração.

Assim como o Cobalt Strike deixa faróis em computadores infectados, o Brute Ratel instala badgers que executam uma função semelhante, estabelecem persistência e se conectam a servidores de comando e controle para receber comandos e executar código em computadores infectados.

Além disso, esta ferramenta foi especificamente projetada para evitar a detecção de ponto final (EDR) e o antivírus. De acordo com os pesquisadores, é muito provável que ex-membros do ransomware Conti tenham criado empresas de fachada para passar uma parte do processo de verificação necessário para obter esse software.

Finalmente, eles pedem que os fornecedores de segurança atualizem suas proteções para detectar esse software e que as organizações tomem medidas proativas para se defenderem.

Ler mais → 

* * *

Vulnerabilidade crítica no OpenSSL

O pesquisador de segurança Xi Ruoyao descobriu uma vulnerabilidade na biblioteca criptográfica do OpenSSL que poderia levar à execução remota de código sob certas circunstâncias.

A falha, identificada como CVE-2022-2274, está na implementação de RSA para CPUs X86_64 compatíveis com instruções AVX512IFMA. A vulnerabilidade pode levar à corrupção de memória durante a computação, que um invasor poderia usar para, finalmente, desencadear a execução remota de código na máquina que executa a computação.

O bug afeta a versão 3.0.4 do OpenSSL, lançada em 21 de junho de 2022, e foi corrigida com a versão 3.0.5 do OpenSSL. As versões OpenSSL 1.1.1 e Open SSL 1.0.2 não são afetadas por essa vulnerabilidade. 

Ler mais → 

* * *

Nova campanha de ransomware HavanaCrypt

Pesquisadores da TrendMicro analisaram uma campanha da nova família de ransomware chamada HavanaCrypt, que estaria se passando por o aplicativo google software update para distribuição. HavanaCrypt é compilado em .NET e usa Obfuscar, um ofuscador de código aberto para proteger o código .NET.

Da mesma forma, foi identificado que ele estaria fazendo uso de um endereço IP de um serviço de hospedagem da Microsoft, como C & C (Command & Control) para evitar a detecção, algo incomum neste tipo de ameaça.

A TrendMicro também detectou o uso de múltiplas ferramentas anti-virtualização para evitar possíveis análises dinâmicas em máquinas virtuais. Finalmente, vale mencionar a função QueueUserWorkItem, usada para distribuir outras cargas e ferramentas de criptografia.

Após o processo de criptografia, durante o qual ele usa módulos legítimos de segurança de senha do KeePass e o recurso CryptoRandom, este ransomware não deixa nenhuma nota de resgate, então os pesquisadores acreditam que ele ainda pode estar em fase de desenvolvimento.  

Ler mais →