Novo Trojan bancário mira usuários brasileiros com PDF malicioso

A ISH Tecnologia também reforça alerta sobre novos grupos de ransomwares, que lançaram ataques cibernéticos em mais de 15 países

Compartilhar:

A ISH Tecnologia, referência nacional em cibersegurança, elaborou e publicou um novo boletim mensal com o intuito de alertar e informar a respeito das principais ameaças cibernéticas no mundo.
Neste mês, a ISH apresentou muitos relatórios com conteúdos a respeito de golpes digitais e seus riscos para os usuários da internet. Além disso, a empresa também elencou dicas e ajustes que devem ser feitos com o objetivo de se proteger frente aos cibercriminosos e suas atividades maliciosas.

 

Trojan Bancário mira alvos brasileiros

O CHAVECLOAK, um malware elaborado especificamente para atingir usuários no Brasil, recentemente foi descoberto pelo FortiGuard Labs. Com o objetivo de roubar informações confidenciais ligadas a atividades financeiras de brasileiros na rede, o Trojan em questão é disparado por meio de um PDF malicioso. Esse arquivo contém documentos semelhantes a um contrato, com instruções escritas em português. Dessa forma, as vítimas são atraídas e induzidas o clicar em um botão onde possam ler e assinar esses anexos.

 

A aparição do CHAVECLOAK revela a evolução dos malwares e seus riscos para a comunidade digital, principalmente aos usuários ligados ao setor financeiro. Esse Trojan, que utiliza técnicas avanças para sua instalação como: PDFs maliciosos, downloads de arquivos ZIP, sideload de DLL e pop-ups enganosos, se junta a outros softwares maliciosos que tem como alvo a América do Sul.

 

Diante da sofisticação e evolução desses malwares digitas, que cada vez mais exigem um controle de vigilância constante e medidas proativas de segurança cibernética, a ISH Tecnologia elenca como recomendações para evitar as consequências dos softwares maliciosos as atualizações regulares de Softwares; controle de Acesso; backup regular de dados; e restrição de execução de anexos suspeitos.

 

Backdoor em biblioteca XZ Utils

Uma vulnerabilidade crítica, classificada com pontuação máxima no CCVS (10.0), foi descoberta na biblioteca XZ Utils. A falha em questão ocorreu na cadeia de fornecimento de software. Utilizada para a compressão de dados em sistemas baseados em Linux, a biblioteca XZ Utils descobriu que a vulnerabilidade CVE-2024-3094 afeta suas versões 5.6.0 e 5.6.1. Localizada próxima ao final de março de 2024, a falha consiste em executar remotamente o código (RCE) através de um backdoor que interfere na autenticação do SSHd via systemd.

 

O comando bem-sucedido desse erro permite que um atacante malicioso execute o código no contexto do usuário logado e gere consequências negativas ao proprietário da conta (biblioteca). Diante desse problema, a ISH Tecnologia recomenda que sejam feitas varreduras de vulnerabilidades constantemente e monitoramento comprometido dos sistemas. Além disso, é de extrema importância operar softwares e serviços com contas de usuário sem privilégios administrativos, a fim de amenizar os impactos de uma possível exploração do erro (backdoor).

 

Código fonte da Microsoft roubados

Recentemente a Microsoft revelou que o Grupo Midnight Blizzard, também apelidado de Nobelium ou ATP29, obteve acesso a diversos sistemas internos, invadiu contas de e-mails de executivos e roubou seu código fonte. A equipe, composta por cibercriminosos russos especializados em coletar informações por meio de técnicas avançadas de espionagem, é conhecida por direcionar ataques de acordo com seus interesses políticos.

 

A Microsoft se pronunciou sobre o ocorrido e afirmou que: “”Nas últimas semanas, observou-se evidências de que a Midnight Blizzard está utilizando informações inicialmente exfiltradas dos sistemas de e-mails corporativos para obter, ou tentar obter, acessos não autorizados”. “Isso inclui acesso a alguns repositórios de código-fonte e a sistemas internos da empresa”.

 

A invasão do ATP29 ainda não apresentou comprometimento aos sistemas da Microsoft voltados ao cliente até o momento. Entretanto a companhia acredita que o objetivo do ataque tenha sido para aprimorar suas campanhas, aumentar sua capacidade e ampliar também o cenário de ameaça global.

 

ATP29 adapta acesso à nuvem

O mesmo ATP29 tem mirado órgãos governamentais, e está em processo migratório para infraestruturas baseadas em nuvem. Recentemente foi detalhado pela NCSC, um centro nacional de cibersegurança, a forma de ação dos espiões russos, também conhecidos como integrantes do SVR (Serviço Russo de Espionagem), e que eles planejam expandir os setores digitais de ataque. Áreas como aviação, a educação, a aplicação da lei, os conselhos locais e estaduais, os departamentos financeiros governamentais e as organizações militares podem se tornar alvos.

 

A organização de ciberespionagem está em processo de modernização de seus sistemas. O objetivo dessa revolução tecnológica é aumentar a capacidade de ataques digitais e começar a explorar serviços em nuvens, ao invés de uma rede local.

 

Para acessar a maior parte da rede hospedada na nuvem das vítimas, os invasores devem primeiro obter êxito na autenticação direto no provedor de nuvem. Negar o acesso inicial ao ambiente de nuvem pode impedir que o SVR comprometa com sucesso seu alvo. Em contrapartida, em um sistema local, uma parte maior da rede normalmente fica exposta a agentes de ameaças.

 

Perante essas ameaças do cenário digital, é de grande importância que as principais organizações do mundo se protejam dos ataques hackers, de grupos como o ATP29. Desse modo, a ISH Tecnologia recomenda atualizações recorrentes de senhas; monitoramento e detecção; conscientização e treinamento; e segurança em nuvem e SaaS.

 

Falhas de segurança em aplicações Tesla

Os pesquisadores Talal Haj Bakry e Tommy Mysk informaram a possibilidade de um ataque de phishing MITM que utiliza o Flipper Zero. O dispositivo em questão é responsável por comprometer contas e desbloqueios dos carros Tesla. A ação foi registrada por um Phone Key, que conecta o carro com o telefone pessoal. Entretanto, com a utilização desse phishing, ele poderia ser associado a qualquer outro dispositivo eletrônico.

 

Testes foram realizados e ficou comprovado que o uso desse phishing ocorre via utilização de redes wi-fi. Após a vítima se conectar a uma rede de internet falsa, criada por um autor malicioso que sabe a relação de necessidade entre os carros Teslas e o uso contínuo de rede, recebe uma página de login não verídica com informações sobre suas credenciais. É a partir desse processo que o Flipper Zero é executado em tempo real.

 

A partir disso, com a Phone Key da vítima instalada em seu telefone, o sequestrador pode destravar o carro e ativar todos os seus sistemas. Isso permite, por exemplo, que ele assuma a direção como se fosse o proprietário.

 

Ransomwares atacam 15 países simultaneamente

A equipe da Talos, empresa tecnológica de segurança cibernética e da informação, informou que os grupos de Ransomware GhostSec e Stormous atuam em conjunto com o objetivo de realizar ataques de dupla extorsão em diversos locais do mundo. Os programas utilizados por eles para tal atividade maliciosa são o GhostLocker e o StormousX. As vítimas estão em países como: Brasil, Cuba, Argentina, Polônia, China, Líbano, Israel, Uzbequistão, Índia, África do Sul, Marrocos, Catar, Turquia, Egito, Vietnã, Tailândia e Indonésia.

 

A Talos destacou os ataques contínuos voltados para grupos de sistemas industriais, infraestrutura crítica e empresas de tecnologia de Israel. A motivação dos grupos envolve setores financeiros. Eles costumam aplicar ataques de extorsão simples e duplos contra vítimas em várias regiões geográficas. Suas ações apresentam um foco principal em fundos para hackers e atores de ameaças cibercriminosas.

 

Com foco em reduzir as atividades e ataques maliciosos de ransomwares, a ISH Tecnologia elencou dicas para combater esses malwares e cibercriminosos: Autenticação Multifator; senhas fortes; teste constante de backups; e listas de conexões permitidas.

 

Fórum vaza dados do Cutout܂Pro

O Cutout܂Pro, serviço de Inteligência Artificial, sofreu uma violação de dados que expôs mais de 20 milhões de membros cadastrados. As principais consequências negativas atribuídas aos usuários da plataforma estão associadas a vazamentos de e-mails, senhas, endereços IP e nomes.

 

Conhecido por ser um editor de fotos e vídeos com o uso de IA, o Cutout܂Pro teve seus dados vazados em um fórum clandestino. Algum usuário, que utilizava pseudônimo “KyptonZambie” compartilhou um link no fórum utilizado por atores de ameaças, conhecido como BreachForums, para arquivos CSV contendo 5,93 GB de dados roubados da plataforma.

 

Caso você tenha utilizado o serviço Cutout܂Pro no passado, é altamente recomendado que redefina sua senha imediatamente no serviço ou em qualquer outra plataforma online que utilize a mesma credencial.

 

Microsoft libera Patch Tuesday Março

A Microsoft liberou uma atualização mensal que informa 61 falhas diferentes em seu software. Dentre as falhas, foram localizados dois problemas críticos que estão relacionados denial-ofservice (DoS) e remote code execution (RCE), e afetam o Hyper-V.

 

A atualização consiste principalmente em corrigir falhas que possam permitir a invasão de cibercriminosos aos serviços e dados da Microsoft, e dessa maneira acabar por expor informações suas e dos clientes. Esse reajuste de segurança frente a fatores que apresentaram vulnerabilidades como: CVE-2024-21407 e CVE-2024-21408, que afetam a execução remota de códigos e negam a execução de serviços, é de extrema importância. Só a partir dessas correções será possível reduzir o risco de exploração por atacantes maliciosos.

 

Fortinet divulga 5 vulnerabilidades críticas

Na última terça-feira (26), a Fortinet apresentou cinco vulnerabilidades críticas que afetam seus produtos. Isso levou a CISA, companhia especializada em soluções de informática, a divulgar um aviso, onde as falhas são detalhadas.
As principais vulnerabilidades afetam os produtos Fortinet, incluindo FortiClient EMS, FortiManager, FortiOS e FortiProxy.
CVE-2023-47534 (FG-IR-23-390): FortiClientEMS – Poderá causar a execução de códigos ou comandos não autorizados (RCE). Gravidade: Alta;
CVE-2023-42789 e CVE-2023-42790 (FG-IR-23-328): FortiOS e FortiProxy – Pode ocasionar a gravação fora dos limites no portal e um buffer overflow baseado em pilha, e permitir que um invasor interno que tenha acesso ao portal captive execute códigos ou comandos arbitrários via especialmente solicitações HTTP elaboradas. Gravidade: Crítica;

 

CVE-2024-23112 (FG-IR-24-013): FortiOS e FortiProxy – Um desvio de autorização através da vulnerabilidade de chave controlada pelo usuário no FortiOS e FortiProxy SSLVPN pode permitir que um invasor autenticado obtenha acesso aos favoritos de outros usuários por meio da manipulação de URL. Gravidade: Alta;

 

CVE-2023-36554 (FG-IR-23-103): FortiWLM MEA – Uma vulnerabilidade de controle de acesso impróprio no FortiWLM MEA para FortiManager pode permitir que um invasor remoto não autenticado execute códigos ou comandos arbitrários por meio de solicitações especificamente criadas. O FortiWLM MEA não é instalado por padrão no FortiManager e pode ser desabitado como solução alternativa. Gravidade: Alta;
CVE-2023-48788 (FG-IR-24-007): FortiClientEMSm – Uma neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando SQL (SQL Injetion) no FortiClientEMS pode permitir que um invasor não autenticado execute códigos ou comandos não autorizados por meio de solicitações especificamente criadas. Gravidade: Crítica.

 

Para correção dessas vulnerabilidades é recomendado que se atualize o produto para a versão mais recente.

Conteúdos Relacionados

Security Report | Overview

Violações de dados geram perda de 18% no PIB nacional, aponta Instituto

Estudo elaborado pelo Instituto Nacional de Combate ao Cibercrime (INCC) mostra impactos preocupantes dos custos de violações de dados no...
Security Report | Overview

Setor financeiro no Brasil sofreu cerca de 1.774 ciberataques por semana, diz estudo

Globalmente, o setor bancário sofreu uma média de 1.696 ciberataques semanais por organização nos últimos seis meses, e as ameaças...
Security Report | Overview

Relatório alerta sobre brechas em sistemas Microsoft, Facebook e WordPress

Estudo da Redbelt também destaca um anúncio realizado pela divisão de nuvem do Google que aplicará a autenticação multifator (MFA)...
Security Report | Overview

Mobly forma parceria para ampliar visibilidade de SI e reduzir falsos positivos

Ambiente implementado pela Add Value permitiu a integração de solução CrowdStrike que melhorou a visibilidade e o controle sobre os...