codaqui / boletim-diario-seguranca

Receba notificações todos os dias as 10 da manhã, siga esse repositório.
8 stars 0 forks source link

Boletim Diário: 25/09/2024 #508

Closed github-actions[bot] closed 1 month ago

github-actions[bot] commented 1 month ago

:point_down:

github-actions[bot] commented 1 month ago

Boletim de Segurança

:arrow_right: Nova Versão do Malware Necro Ataca Dispositivos Android Através de Apps Populares. Pesquisadores de segurança cibernética descobriram uma nova versão do malware Necro escondida em aplicativos populares de câmera e navegador na Google Play Store. Esses aplicativos, que foram baixados milhões de vezes, estavam comprometidos com uma versão atualizada do Necro, um carregador de malware que já havia sido encontrado anteriormente em outros apps do Android. Dois dos aplicativos afetados incluem o Wuta Camera – Nice Shot Always, com mais de 10 milhões de downloads, e o Max Browser-Private & Security, que foi baixado mais de 1 milhão de vezes antes de ser removido da Play Store. Embora o Max Browser não esteja mais disponível, o Wuta Camera foi atualizado para remover o malware, com a versão mais recente sendo lançada em 8 de setembro de 2024. Ainda não está totalmente claro como esses aplicativos foram comprometidos, mas acredita-se que o problema possa estar relacionado a um kit de desenvolvimento de software (SDK) malicioso usado para integrar recursos de publicidade. O Necro, descoberto pela primeira vez em 2019, já havia sido utilizado em outro aplicativo popular, o CamScanner, onde foi descoberto um módulo publicitário malicioso fornecido por um terceiro. Essa nova versão do Necro utiliza técnicas sofisticadas de ofuscação para evitar ser detectada, incluindo esteganografia, uma técnica que esconde o código malicioso em arquivos de imagem PNG. Uma vez instalado, o malware é capaz de exibir anúncios invisíveis, executar arquivos arbitrários e até inscrever o dispositivo infectado em serviços pagos sem o consentimento do usuário. A ameaça se espalha principalmente através de versões modificadas de aplicativos populares, hospedadas em sites e lojas de apps não oficiais. O malware é baixado e ativado por um módulo chamado Coral SDK, que se comunica com servidores remotos para baixar a carga maliciosa escondida em arquivos de imagem.

:arrow_right: Novo Trojan Avançado Usa Algoritmos Para Escapar de Detecções. Pesquisadores de segurança cibernética descobriram uma nova versão do trojan bancário para Android chamado Octo, agora aprimorado com capacidades avançadas de tomada de controle de dispositivos (DTO) e execução de transações fraudulentas. Denominada Octo2 pelo autor do malware, essa nova versão está sendo distribuída em campanhas focadas em países europeus, como Itália, Polônia, Moldávia e Hungria. Aplicativos maliciosos contendo o Octo2 foram encontrados, incluindo falsos como Europe Enterprise e Google Chrome. O Octo, originalmente identificado em 2022, é considerado uma evolução direta do malware Exobot, que foi detectado pela primeira vez em 2016 e já originou variantes como o Coper em 2021. O Octo é distribuído através de uma operação de malware-as-a-service (MaaS), na qual outros cibercriminosos podem alugar o malware para realizar ataques. Isso tem permitido que o desenvolvedor do Octo2 monetizasse seu software de forma mais ampla. Segundo os pesquisadores o lançamento do Octo2 pode levar os operadores do Octo1 a migrarem para a versão mais recente, expandindo a presença do trojan globalmente. Uma das grandes inovações do Octo2 é o uso de um algoritmo de geração de domínio (DGA), que facilita a criação de novos nomes de servidores de comando e controle (C2). Isso torna mais difícil para as autoridades bloquearem os domínios usados pelos cibercriminosos, aumentando a resiliência do malware contra tentativas de derrubada. Os aplicativos Android distribuindo o Octo2 foram criados usando um serviço conhecido como Zombinder, que permite “trojanizar” aplicativos legítimos, fazendo com que instalem o malware sob o disfarce de um “plugin necessário”.

:arrow_right: Falha Crítica no FreeBSD bhyve Permite Execução de Código Malicioso. Uma falha crítica foi descoberta no hipervisor bhyve do FreeBSD, identificada como CVE-2024-41721, com uma pontuação de 9.8 no CVSS, destacando sua alta gravidade. Essa vulnerabilidade está presente na funcionalidade de emulação de USB do bhyve, especificamente quando ele está configurado para emular dispositivos em um controlador USB virtual XHCI. Se explorada, a falha pode permitir a execução de código malicioso, representando uma séria ameaça aos sistemas que utilizam versões vulneráveis do FreeBSD. O bhyve é um hipervisor projetado para executar sistemas operacionais convidados em máquinas virtuais (VMs). O problema surge de uma validação insuficiente de limites no código de emulação de USB, o que permite que um sistema operacional convidado com privilégios acione uma leitura fora dos limites na heap, possivelmente escalando para gravações arbitrárias. Isso abre espaço para uma variedade de ataques, incluindo travamentos no hipervisor ou até mesmo a execução de código no processo de espaço de usuário do bhyve no host, que geralmente opera com privilégios de root. Essa vulnerabilidade é particularmente preocupante porque permite que um ator malicioso, com controle sobre uma VM convidada, possa derrubar o hipervisor ou executar código arbitrário na máquina host. Embora o bhyve seja protegido pelo sandbox Capsicum, que restringe as capacidades do processo, a falha ainda representa um risco significativo se não for corrigida. O CVE-2024-41721 foi descoberto e reportado de forma responsável ao Projeto FreeBSD por pesquisadores de segurança da Synacktiv. Atualmente, não há soluções alternativas para a vulnerabilidade. No entanto, VMs que não utilizam emulação XHCI para dispositivos USB não são afetadas por essa falha.

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/