github-actions[bot]
commented
6 months ago Boletim de Segurança
:arrow_right: Phobos ransomware explora RDP em ataques coordenados. As agências de cibersegurança e inteligência dos EUA alertaram sobre ataques de ransomware Phobos visando entidades governamentais e infraestrutura crítica, delineando as várias táticas e técnicas que os atores de ameaças adotaram para implantar o malware de criptografia de arquivos. “Estruturado como um modelo de ransomware como serviço (RaaS), os atores do ransomware Phobos visaram entidades incluindo governos municipais e de condados, serviços de emergência, educação, saúde pública e infraestrutura crítica para resgatar com sucesso vários milhões em dólares dos EUA”, disse o governo. Ativo desde maio de 2019, várias variantes do ransomware Phobos foram identificadas até o momento, nomeadamente Eking, Eight, Elbie, Devos, Faust e Backmydata. No final do ano passado, a Cisco Talos revelou que os atores de ameaças por trás do ransomware 8Base estão utilizando uma variante do ransomware Phobos para conduzir seus ataques motivados financeiramente. Há evidências que sugerem que o Phobos é provavelmente gerenciado de perto por uma autoridade central, que controla a chave de descriptografia privada do ransomware. As redes vulneráveis são violadas caçando serviços RDP expostos e explorando-os por meio de um ataque de força bruta. Uma invasão digital bem-sucedida é seguida pelos atores de ameaças soltando ferramentas adicionais de acesso remoto, aproveitando técnicas de injeção de processo para executar código malicioso e evitar detecção, e fazendo modificações no Registro do Windows para manter a persistência dentro de ambientes comprometidos.
:arrow_right: Dados de cartões da American Express foram expostos em violação de dados. A American Express emitiu um alerta aos seus clientes sobre a exposição de dados de cartões de crédito, sugerindo que o incidente pode ter ocorrido através de uma violação de dados envolvendo um terceiro. A empresa esclareceu que, embora os detalhes do incidente apontem para um processador de pagamentos como a fonte do problema, não confirmou explicitamente essa informação como a causa definitiva. Em uma notificação oficial, a American Express destacou que o incidente não se originou em seus sistemas próprios ou controlados, mas sim em um ambiente externo onde os dados dos membros do cartão eram processados. A empresa enfatizou que está tratando a situação com seriedade e adotando medidas de precaução, embora não tenha afirmado categoricamente que a violação ocorreu através do processador de pagamentos mencionado. A notificação enviada ao estado de Massachusetts sob o nome “American Express Travel Related Services Company” alertou os clientes sobre a possibilidade de seus dados de cartão terem sido comprometidos. A American Express também aconselhou os clientes a monitorarem seus extratos de conta nos próximos 12 a 24 meses e a relatarem qualquer atividade suspeita. Recomendou-se, ainda, a ativação de notificações instantâneas por meio do aplicativo móvel da American Express para receber alertas de fraude e notificações de compras. Embora a American Express tenha mencionado um processador de pagamentos em sua comunicação, a empresa manteve uma postura cautelosa, sem afirmar definitivamente que essa foi a via pela qual os dados dos cartões foram expostos.
:arrow_right: Nova onda de infecções por SocGholish mira plugins do WordPress. Uma nova onda de infecções pelo malware SocGholish, também conhecido como “atualizações falsas de navegador”, está sendo observada em sites hackeados, marcando presença constante como uma das infecções de malware mais comuns. Esta campanha de malware de longa data utiliza um framework de malware JavaScript em uso desde pelo menos 2017, tentando enganar usuários para baixar o que na verdade é um Trojan de Acesso Remoto (RAT) em seus computadores, muitas vezes sendo o primeiro estágio de uma infecção por ransomware. Os sites infectados foram comprometidos através de contas de administrador wp-admin hackeadas. Este é apenas um dos inúmeros exemplos de por que garantir a segurança do seu painel administrativo é de extrema importância, independentemente de você usar o WordPress ou outro CMS. A variante específica do SocGholish foi identificada pela primeira vez em outubro de 2023, originalmente encontrada injetada usando tags <script> na tabela wp_postmeta do banco de dados de sites WordPress comprometidos. No último trimestre de 2023, essa variante do SocGholish foi detectada mais de 1.400 pelos pesquisadores. Uma vez ativado o plugin, o site começa a servir payloads do SocGholish.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: