search

codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 14/03/2024 #374

Closed github-actions[bot] closed 8 months ago

github-actions[bot] commented 8 months ago

:point_down:

github-actions[bot] commented 8 months ago

Boletim de Segurança

:arrow_right: Trojan bancário PixPirate Android usa nova tática para atingir usuários brasileiros. Os cibercriminosos por trás do Trojan bancário PixPirate Android estão empregando uma nova tática para alcançar usuários no Brasil, esquivando-se da detecção e coletando informações confidenciais dos dispositivos comprometidos. Segundo a IBM, essa abordagem permite que o ícone do aplicativo malicioso seja ocultado na tela inicial do dispositivo da vítima, mantendo o usuário alheio às operações maliciosas em segundo plano. O PixPirate, identificado pela primeira vez em fevereiro de 2023, é conhecido por seu uso dos serviços de acessibilidade do Android para realizar transferências não autorizadas de fundos através do PIX quando um aplicativo bancário específico é aberto. Além de transferências não autorizadas, o PixPirate é capaz de roubar credenciais bancárias, informações de cartão de crédito e interceptar mensagens SMS para obter códigos de autenticação de dois fatores. A distribuição desse malware geralmente ocorre por meio de SMS e WhatsApp, utilizando um aplicativo conta-gotas para implantar a carga útil principal e iniciar a fraude financeira. Uma mudança significativa na última versão do malware é a maneira como ele se esconde, omitindo a capacidade de ser iniciado a partir da tela inicial do dispositivo. Isso exige uma colaboração entre o downloader e o droppee, com o primeiro responsável pelo download e instalação do PixPirate e o segundo executando as operações maliciosas. Mesmo se o downloader for removido, o droppee continua a operar, mantendo sua persistência no dispositivo.

:arrow_right: Atualização de março da Microsoft corrige falhas críticas de segurança. Na última terça-feira a Microsoft lançou sua atualização mensal de segurança, visando corrigir um total de 61 vulnerabilidades em seu software. Entre elas, duas são consideradas críticas, afetando o Hyper-V do Windows e apresentando riscos de negação de serviço (DoS) e execução remota de código. Das 61 falhas, 58 foram classificadas como importantes, enquanto uma foi marcada como de baixa gravidade. Embora nenhuma das falhas tenha sido identificada como publicamente conhecida ou sob ataque ativo no momento da divulgação, seis delas foram avaliadas como mais propensas a serem exploradas. Além das correções para o software principal, a atualização também aborda 17 falhas de segurança no navegador Edge, desde o último Patch Tuesday, em fevereiro de 2024. As principais falhas corrigidas, identificadas como CVE-2024-21407 e CVE-2024-21408, afetam diretamente o Hyper-V, com potencial para execução remota de código e DoS. Outras vulnerabilidades importantes incluem falhas de escalonamento de privilégios no Azure Kubernetes e no Autenticador do Windows. Embora algumas vulnerabilidades requeiram acesso local para serem exploradas, outras, como a CVE-2024-26198 no Exchange Server, possibilitam a execução remota de código por meio da manipulação de arquivos. Destaca-se entre as falhas mais críticas aquela com uma pontuação CVSS de 9,8, relacionada à execução remota de código na Infraestrutura de Gerenciamento Aberto (OMI), o que representa um grave risco de segurança.

:arrow_right: Campanha de Phishing distribui Trojans via AWS e GitHub. Recentemente, uma nova campanha de phishing tem chamado a atenção, pois está distribuindo trojans de acesso remoto (RATs), como VCURMS e STRRAT, através de um downloader malicioso baseado em Java. Segundo o pesquisador Yurren Wan, os invasores têm armazenado o malware em serviços públicos como Amazon Web Services (AWS) e GitHub, utilizando um protetor comercial para evitar a detecção. O ciclo de ataques começa com e-mails de phishing, nos quais os destinatários são incentivados a clicar em um botão para verificar informações de pagamento, resultando no download de um arquivo JAR malicioso (“Payment-Advice.jar”) hospedado na AWS. A execução desse arquivo JAR leva à obtenção de mais dois arquivos JAR, que são executados separadamente para iniciar os trojans. O VCURMS RAT, além de enviar um e-mail com a mensagem “Ei mestre, estou online” para o endereço controlado pelo ator, verifica periodicamente a caixa de correio em busca de e-mails com linhas de assunto específicas para extrair os comandos a serem executados. Este malware tem a capacidade de executar comandos arbitrários usando cmd.exe, coletar informações do sistema, pesquisar e fazer upload de arquivos de interesse, bem como baixar módulos adicionais de roubo de informações e keyloggers do mesmo endpoint da AWS. O VCURMS também é capaz de extrair dados confidenciais de aplicativos como Discord e Steam, além de credenciais, cookies e informações de preenchimento automático de navegadores da web.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/