github-actions[bot]
commented
11 months ago Boletim de Segurança
:arrow_right: Malvertising está impulsionando a distribuição do malware PikaBot. Recentemente, um novo tipo de ameaça cibernética chamada PikaBot ganhou destaque, sendo distribuído através de anúncios maliciosos (malvertising) em motores de busca. Esta técnica, que tem se tornado cada vez mais comum, inclui ataques baseados em navegadores e campanhas de engenharia social. A distribuição típica de PikaBot começa com um e-mail contendo um link para um site externo, onde os usuários são induzidos a baixar um arquivo zip contendo um JavaScript malicioso. Este script cria uma estrutura de diretórios aleatória e recupera a carga maliciosa de um site externo. A campanha de malvertising tem como alvo pesquisas no Google pelo aplicativo remoto AnyDesk. Uma característica notável é a forma como os atores de ameaças contornam as verificações de segurança do Google, usando um URL de rastreamento via uma plataforma de marketing legítima para redirecionar para seu domínio personalizado. Eles realizam a impressão digital via JavaScript para determinar, entre outras coisas, se o usuário está executando uma máquina virtual. Apenas após uma verificação bem-sucedida, o usuário é redirecionado para a página principal (site de isca do AnyDesk). Os atores de ameaças também realizam uma segunda tentativa de impressão digital quando o usuário clica no botão de download, provavelmente para garantir que o link de download não funcione em um ambiente virtualizado. Nesta campanha específica, o instalador MSI está hospedado no Dropbox. Com a eficácia reduzida das vulnerabilidades em navegadores e seus plugins, os atores de ameaças se concentraram no spam para atingir empresas.
:arrow_right: Falha de segurança no MOVEit expõe dados de 7 Milhões de pacientes. A Delta Dental da Califórnia, juntamente com suas afiliadas, recentemente alertou quase sete milhões de pacientes sobre uma violação de dados que expôs informações pessoais. Esta violação ocorreu devido a uma falha no software de transferência de arquivos MOVEit. A Delta Dental da Califórnia é uma provedora de seguros odontológicos que atende 45 milhões de pessoas em 15 estados e faz parte da Delta Dental Plans Association. De acordo com um comunicado sobre a violação de dados da Delta Dental da Califórnia, a empresa sofreu um acesso não autorizado por atores de ameaças através do aplicativo de transferência de arquivos MOVEit. O software estava vulnerável a uma falha de injeção SQL, que permitia a execução remota de código, identificada como CVE-2023-34362. Esta vulnerabilidade foi explorada pelo grupo de ransomware Clop para violar milhares de organizações em todo o mundo. Para mitigar o risco dos dados expostos, a Delta está oferecendo 24 meses de monitoramento de crédito gratuito e serviços de proteção contra roubo de identidade aos pacientes afetados. Detalhes sobre como se inscrever no programa estão incluídos nas notificações pessoais. Este caso da Delta Dental da Califórnia é o terceiro maior incidente de violação de dados relacionado ao MOVEit, ficando atrás apenas da Maximus (11 milhões) e da Welltok (8,5 milhões).
:arrow_right: Dez novos Trojans bancários para Android visam centenas de Apps. Este ano foi testemunhado o surgimento de dez novas famílias de malware bancário para Android, que juntas visam 985 aplicativos bancários e de fintech/trading de instituições financeiras em 61 países. Trojans bancários são malwares que visam contas bancárias online e dinheiro das pessoas, roubando credenciais e cookies de sessão, contornando proteções de autenticação de dois fatores (2FA) e, às vezes, até realizando transações automaticamente. Além dos dez novos trojans lançados em 2023, 19 famílias de 2022 foram modificadas para adicionar novas capacidades e aumentar sua sofisticação operacional. Outras tendências incluem a participação de etapas de engenharia social, como os criminosos cibernéticos se passando por agentes de suporte ao cliente, direcionando as vítimas a baixar os payloads do trojan, e a adição de capacidade de compartilhamento de tela ao vivo para interação remota direta com o dispositivo infectado. Além disso, o malware está sendo oferecido em um pacote de assinatura para outros criminosos cibernéticos por $3.000 a $7.000 por mês. Os recursos padrão disponíveis na maioria dos trojans examinados incluem keylogging, sobreposição de páginas de phishing e roubo de mensagens SMS. Outro desenvolvimento preocupante é que os trojans bancários estão indo além de apenas roubar credenciais bancárias e dinheiro, agora também visando mídias sociais, mensagens e dados pessoais.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: