github-actions[bot]
commented
9 months ago Boletim de Segurança
:arrow_right: PikaBot injeta código malicioso em empresas. Ativo desde o início de 2023, o Pikabot é um malware modular que tem atraído atenção devido às suas táticas avançadas de penetração em alvos direcionados. O Pikabot é distribuído principalmente através de campanhas de phishing, utilizando métodos semelhantes ao conhecido trojan QakBot. Estas campanhas são caracterizadas por um grande volume de e-mails direcionados a uma variedade de indústrias. Os alvos do malware abrangem uma ampla gama de setores. A estratégia de infecção inclui o uso de URLs em threads de e-mail sequestrados, que levam a um arquivo ZIP contendo um dropper JavaScript, responsável por baixar e executar o malware. A comunicação de rede do Pikabot começa registrando o host comprometido com os servidores de comando e controle. O processo de registro envolve a coleta de informações do sistema e o relato ao servidor de comando e controle com uma solicitação HTTPS POST. O malware gera um identificador único de bot para o host comprometido e começa a solicitar tarefas do servidor. Essa nova família de malware implementa um extenso conjunto de técnicas anti-análise e oferece capacidades comuns de backdoor para carregar shellcode e executar binários de segunda fase arbitrários. Embora possa ter laços potenciais com Qakbot, ainda não foi estabelecida uma ligação definitiva entre as duas famílias de malware.
:arrow_right: Malwares disfarçados de Apps bancários ameaçam usuários android. Usuários de smartphones Android na Índia estão sendo alvo de uma nova campanha de malware que utiliza iscas de engenharia social para instalar aplicativos fraudulentos capazes de coletar dados sensíveis. “Através de plataformas de mídia social como WhatsApp e Telegram, os atacantes estão enviando mensagens projetadas para atrair usuários a instalar um aplicativo malicioso em seu dispositivo móvel, se passando por organizações legítimas, como bancos, serviços governamentais e utilidades”, disseram os pesquisadores de inteligência de ameaças da Microsoft, em uma análise recente. O objetivo final da operação é capturar detalhes bancários, informações de cartões de pagamento, credenciais de contas e outros dados pessoais. As cadeias de ataque envolvem o compartilhamento de arquivos APK maliciosos via mensagens de mídia social no WhatsApp e Telegram, apresentando-os falsamente como aplicativos bancários e induzindo um senso de urgência ao alegar que as contas bancárias dos alvos serão bloqueadas, a menos que atualizem seu número de conta permanente através do aplicativo falso. Após a instalação, o aplicativo solicita que a vítima insira informações da conta bancária, PIN do cartão de débito, números do cartão PAN e credenciais de banco online, que são subsequentemente transmitidos para um servidor de comando e controle controlado pelo ator e um número de telefone codificado. Variantes do trojan bancário descobertas pela Microsoft também foram encontradas roubando detalhes de cartões de crédito, além de informações pessoais identificáveis (PII) e mensagens SMS recebidas, expondo usuários desavisados a fraudes financeiras.
:arrow_right: Cibercriminosos exploram falha do Apache ActiveMQ para implantar rootkits. Atores de ameaças estão usando o malware Kinsing para explor uma falha crítica de segurança em servidores Apache ActiveMQ vulneráveis para infectar sistemas Linux com mineradores de criptomoedas e rootkits. Uma vez que o Kinsing infecta um sistema, ele implanta um script de mineração de criptomoedas que explora os recursos do host para minerar criptomoedas como o Bitcoin, resultando em danos significativos à infraestrutura e impacto negativo no desempenho do sistema. O Kinsing é um malware Linux conhecido por mirar ambientes containerizados mal configurados para mineração de criptomoedas, frequentemente utilizando recursos de servidores comprometidos para gerar lucros ilícitos para os atores de ameaças. A campanha mais recente envolve o abuso da CVE-2023-46604 (pontuação CVSS: 10.0), uma vulnerabilidade crítica ativamente explorada no Apache ActiveMQ que permite a execução remota de código, permitindo ao adversário baixar e instalar o malware Kinsing. Isso é seguido pela recuperação de cargas adicionais de um domínio controlado pelo ator enquanto toma medidas simultâneas para encerrar mineradores de criptomoedas concorrentes já em execução no sistema infectado. Diante da exploração contínua da falha, organizações que executam versões afetadas do Apache ActiveMQ são aconselhadas a atualizar para uma versão corrigida o mais rápido possível para mitigar ameaças potenciais.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: