Esta semana foi um incêndio whole na lixeira digital! Os hackers disseram: “Vamos causar o caos!” e fomos atrás de tudo, desde nossos navegadores até aquelas câmeras sofisticadas que fazem zoom e giram. (Você sabe, aqueles que eles usam em filmes de espionagem? 🕵️♀️)
Estamos falando de bots que roubam senhas, extensões sorrateiras que espionam você e até ninjas hackers de nuvem! 🥷 É o suficiente para dar vontade de jogar seu telefone no oceano. (Mas não faça isso, você precisa ler este boletim informativo!)
A boa notícia? Temos informações privilegiadas sobre todos os dramas mais recentes. Pense neste boletim informativo como uma folha de dicas para sobreviver ao apocalipse digital. Analisaremos as maiores ameaças e forneceremos o conhecimento para ser mais esperto que esses hackers irritantes. Vamos!
⚡ Ameaça da Semana
Hackers norte-coreanos implantam Play Ransomware: No que é um sinal da indefinição das fronteiras entre grupos estatais e atores do crime cibernético, descobriu-se que a equipe de hackers patrocinada pelo Estado norte-coreano chamou Andariel provavelmente colaborou com os atores do ransomware Play em um ataque de extorsão digital que ocorreu em setembro de 2024. O comprometimento inicial ocorreu em maio de 2024. O incidente se sobrepõe a um conjunto de invasões que envolveu atingir três organizações diferentes nos EUA em agosto de 2024 como parte de um provável ataque com motivação financeira.
Atualize suas habilidades de segurança cibernética com SANS no CDI 2024 + ganhe um bônus de US$ 1.950!
Obtenha treinamento de alto nível em segurança cibernética no SANS CDI 2024, de 13 a 18 de dezembro em Washington, DC. Com mais de 40 cursos ministrados por especialistas, você ganhará habilidades práticas e um bônus de US$ 1.950, incluindo acesso estendido ao laboratório e uma tentativa de certificação GIAC ao treinar pessoalmente! A oferta termina em 11 de novembro.
Aumente suas habilidades agora!
🔔 Principais notícias
- Ator de ameaças chinês usa botnet Quad7 para pulverização de senhas: Um agente de ameaças chinês rastreado pela Microsoft como Storm-0940 está aproveitando um botnet chamado Quad7 (também conhecido como CovertNetwork-1658) para orquestrar ataques de pulverização de senhas altamente evasivos. Os ataques abrem caminho para o roubo de credenciais de vários clientes da Microsoft, que são então usadas para infiltração em redes e realização de atividades pós-exploração.
- Opera corrigiu bug que poderia ter exposto dados confidenciais: Um novo ataque ao navegador chamado CrossBarking foi divulgado no navegador Opera, que compromete interfaces de programação de aplicativos (APIs) privadas para permitir acesso não autorizado a dados confidenciais. O ataque funciona usando uma extensão de navegador maliciosa para executar código malicioso no contexto de websites com acesso a essas APIs privadas. Esses websites incluem os próprios subdomínios do Opera, bem como domínios de terceiros, como Instagram, VK e Yandex.
- Evasive Panda usa nova ferramenta para exfiltração de dados na nuvem: O ator de ameaça ligado à China, conhecido como Evasive Panda, infectou uma entidade governamental e uma organização religiosa em Taiwan com um novo conjunto de ferramentas pós-comprometimento, codinome CloudScout, que permite roubar dados do Google Drive, Gmail e Outlook. A atividade foi detectada entre maio de 2022 e fevereiro de 2023.
- Operação Magnus interrompe RedLine e MetaStealer: Uma operação coordenada de aplicação da lei liderada pela Polícia Nacional Holandesa levou à interrupção da infraestrutura associada ao malware RedLine e MetaStealer. O esforço levou ao encerramento de três servidores na Holanda e ao confisco de dois domínios. Paralelamente, um indivíduo não identificado foi preso e um russo chamado Maxim Rudometov foi acusado de atuar como um dos desenvolvedores e administradores do RedLine Stealer.
- O downgrade do Home windows permite a execução de código em nível de kernel: Uma nova pesquisa descobriu que uma ferramenta que poderia ser usada para reverter um software program Home windows atualizado para uma versão mais antiga também poderia ser usada como arma para reverter um patch para um desvio do Driver Signature Enforcement (DSE) e carregar drivers de kernel não assinados, levando a execução arbitrária de código em um nível privilegiado. A Microsoft disse que está desenvolvendo uma atualização de segurança para mitigar esta ameaça.
️🔥 Tendências de CVEs
CVE-2024-50550, CVE-2024-7474, CVE-2024-7475, CVE-2024-5982, CVE-2024-10386, CVE-2023-6943, CVE-2023-2060, CVE-2024-45274, CVE- 2024-45275, CVE-2024-51774
📰 Pelo mundo cibernético
- Falhas de segurança em câmeras PTZ: Os atores da ameaça estão tentando explorar duas vulnerabilidades de dia zero em câmeras de transmissão ao vivo pan-tilt-zoom (PTZ) usadas em ambientes industriais, de saúde, conferências de negócios, governamentais, locais religiosos e ambientes judiciais. As câmeras afetadas usam firmware de câmera VHD PTZ <6.3.40, que é encontrado em dispositivos PTZOptics, Multicam Programs SAS e SMTAV Company baseados em Hisilicon Hi3516A V600 SoC V60, V61 e V63. As vulnerabilidades, rastreadas como CVE-2024-8956 e CVE-2024-8957, permitem que os agentes da ameaça quebrem senhas e executem comandos arbitrários do sistema operacional, levando ao controle do dispositivo. “Um invasor pode potencialmente assumir o controle whole da câmera, visualizar e/ou manipular os feeds de vídeo e obter acesso não autorizado a informações confidenciais”, disse GreyNoise. “Os dispositivos também podem ser potencialmente inscritos em uma botnet e usados para ataques de negação de serviço”. A PTZOptics lançou atualizações de firmware para solucionar essas falhas.
- Múltiplas vulnerabilidades no OpenText NetIQ iManager: Quase uma dúzia de falhas foram divulgadas no OpenText NetIQ iManager, uma ferramenta de gerenciamento de diretório corporativo, algumas das quais podem ser encadeadas por um invasor para obter execução remota de código de pré-autenticação ou permitir que um adversário com credenciais válidas aumente seus privilégios dentro do plataforma e, finalmente, alcançar a execução de código pós-autenticado. As deficiências foram corrigidas na versão 3.2.6.0300 lançada em abril de 2024.
- Phish 'n' Ships usa lojas falsas para roubar informações de cartão de crédito: Descobriu-se que um esquema de fraude “amplo” chamado Phish 'n' Ships direciona o tráfego para uma rede de lojas falsas na internet, infectando websites legítimos com uma carga maliciosa responsável por criar listas de produtos falsas e veicular essas páginas nos resultados de mecanismos de pesquisa. Os usuários que clicam nesses hyperlinks de produtos falsos são redirecionados para um web site nocivo sob o controle do invasor, onde são solicitados a inserir as informações do seu cartão de crédito para concluir a compra. A atividade, em curso desde 2019, teria infectado mais de 1.000 websites e construído 121 lojas on-line falsas para enganar os consumidores. “Os agentes da ameaça usaram múltiplas vulnerabilidades bem conhecidas para infectar uma ampla variedade de websites e criar listagens de produtos falsas que chegaram ao topo dos resultados de pesquisa”, disse HUMAN. “O processo de finalização da compra passa por uma loja digital diferente, que se integra a um dos quatro processadores de pagamento para concluir a finalização da compra. E embora o dinheiro do consumidor seja transferido para o agente da ameaça, o merchandise nunca chegará.” Phish 'n' Ships tem alguns elementos em comum com BogusBazaar, outra rede criminosa de comércio eletrônico que veio à tona no início deste ano.
- Funnull por trás de campanhas fraudulentas e websites de jogos de azar: Funnull, a empresa chinesa que adquiriu a biblioteca Polyfill(.)io JavaScript no início deste ano, tem sido associada a golpes de investimento, aplicativos de negociação falsos e redes de jogos de azar suspeitas. O cluster de infraestrutura maliciosa recebeu o codinome Triad Nexus. Em julho, a empresa foi pega inserindo malware em polyfill.js que redirecionava os usuários para websites de jogos de azar. “Antes da campanha da cadeia de suprimentos polyfill(.)io, o Grupo ACB – a empresa controladora proprietária do CDN da Funnull – tinha uma página pública em 'acb(.)guess', que atualmente está offline”, disse Silent Push. “O Grupo ACB afirma ser dono do Funnull(.)io e de várias outras marcas de esportes e apostas.”
- Falhas de segurança corrigidas em controladores de carregamento AC: Pesquisadores de segurança cibernética descobriram várias falhas de segurança no firmware dos controladores de carregamento AC Phoenix Contact CHARX SEC-3100 que podem permitir que um invasor remoto não autenticado redefina a senha da conta do aplicativo do usuário para o valor padrão, carregue arquivos de script arbitrários, aumente privilégios e execute código arbitrário no contexto de root. O
🔥 Recursos, guias e insights
🎥 Webinar especializado
Aprenda as táticas de exploração de identidade do LUCR-3 e como detê-las – Participe de nosso webinar exclusivo com Ian Ahl para descobrir as táticas avançadas de ataque baseadas em identidade do LUCR-3 visando ambientes de nuvem e SaaS.
Aprenda estratégias práticas para detectar e prevenir violações e proteger sua organização contra essas ameaças sofisticadas. Não perca, cadastre-se agora e fortaleça suas defesas.
🔧 Ferramentas de segurança cibernética
- Avaliação de Risco SAIF — O Google apresenta a Avaliação de Risco SAIF, uma ferramenta essencial para profissionais de segurança cibernética aprimorarem as práticas de segurança de IA. Com listas de verificação personalizadas para riscos como envenenamento de dados e injeção imediata, esta ferramenta traduz estruturas complexas em insights acionáveis e gera relatórios instantâneos sobre vulnerabilidades em seus sistemas de IA, ajudando você a resolver problemas como adulteração de origem de modelo.
- CVEMap — Uma nova ferramenta fácil de usar para navegar no mundo complexo de Vulnerabilidades e Exposições Comuns (CVE). Esta ferramenta de interface de linha de comando (CLI) simplifica o processo de exploração de vários bancos de dados de vulnerabilidades, permitindo acessar e gerenciar facilmente informações sobre vulnerabilidades de segurança.
🔒 Dica da Semana
Práticas essenciais de segurança móvel que você precisa — Para garantir uma segurança móvel robusta, priorize o uso de aplicativos de código aberto que foram avaliados por especialistas em segurança cibernética para mitigar ameaças ocultas. Make the most of ferramentas de monitoramento de rede, como NetGuard ou AFWall+ para criar regras de firewall personalizadas que restrinjam quais aplicativos podem acessar a Web, garantindo que apenas aplicativos confiáveis estejam conectados. Audite as permissões do aplicativo com ferramentas avançadas de gerenciamento de permissões que revelam os níveis de acesso em segundo e primeiro plano. Configure um resolvedor DNS como PróximoDNS ou Quad9 para bloquear websites maliciosos e tentativas de phishing antes que cheguem ao seu dispositivo. Para uma navegação segura, use navegadores centrados na privacidade, como Foco do Firefox ou Corajosoque bloqueia rastreadores e anúncios por padrão. Monitore os registros de atividades do dispositivo com ferramentas como Visualizador de Syslog para identificar processos não autorizados ou possível exfiltração de dados. Empregue sandboxes de aplicativos seguros, como Ilha ou Abrigopara isolar aplicativos que exigem permissões arriscadas. Opte por aplicativos que passaram por auditorias de segurança independentes e usem VPNs configuradas com WireGuard para conexões de rede criptografadas e de baixa latência. Atualize regularmente seu firmware para corrigir vulnerabilidades e considere usar um sistema operacional móvel com recursos de reforço de segurança, como GrafenoOS ou Lineage OSpara limitar sua superfície de ataque e proteger contra explorações comuns.
Conclusão
E isso encerra as aventuras cibernéticas desta semana! Louco, certo? Mas aqui está um fato surpreendente: você sabia que a cada 39 segundos ocorre um novo ataque cibernético em algum lugar do mundo? Fique atento aí! E se você quiser se tornar um verdadeiro ninja cibernético, confira nosso web site para obter as últimas notícias sobre hackers. Até semana que vem! 👋
