github-actions[bot]
commented
1 month ago Boletim de Segurança
:arrow_right: Nova Campanha Russa Distribui Trojan DCRat Usando HTML Smuggling. O trojan DCRat é distribuído por meio de uma técnica chamada HTML smuggling. Esta abordagem marca a primeira vez que o DCRat foi entregue por meio dessa técnica, uma mudança em relação aos vetores de ataque anteriormente observados, como sites comprometidos ou falsificados, e-mails de phishing com PDFs ou documentos do Microsoft Excel com macros. A técnica de HTML smuggling é usada para ocultar e entregar malware diretamente via arquivos HTML. Esses arquivos podem ser propagados através de sites falsos ou campanhas de malspam. Quando a vítima abre o arquivo HTML no navegador, a carga maliciosa é decodificada e baixada para a máquina. Nesta campanha, os invasores estão usando páginas HTML disfarçadas como serviços legítimos em russo, como TrueConf e VK. Quando abertas, essas páginas baixam automaticamente um arquivo ZIP protegido por senha no disco, uma tática para evitar a detecção por ferramentas de segurança. O arquivo ZIP contém um arquivo RarSFX, que, quando executado, leva à instalação do malware DCRat. Lançado pela primeira vez em 2018, o DCRat é um backdoor que pode ser aprimorado com plugins adicionais para aumentar suas funcionalidades. Ele permite a execução de comandos no shell, captura de teclas (keylogging), exfiltração de arquivos e credenciais, entre outras ações maliciosas. Especialistas recomendam que organizações revisem o tráfego HTTP e HTTPS para garantir que os sistemas não estejam se comunicando com domínios maliciosos.
:arrow_right: Vulnerabilidades Críticas em Sistemas de Tanques Expõem Postos de Combustível. Vulnerabilidades críticas em seis sistemas de medição automática de tanques (ATG), fabricados por cinco empresas diferentes, foram reveladas, expondo essas infraestruturas a ataques remotos. Esses sistemas, amplamente usados em locais como postos de gasolina, hospitais, aeroportos e bases militares, monitoram o nível de tanques de armazenamento, como os de combustível, para detectar possíveis vazamentos. De acordo com o pesquisador Pedro Umbelino, da Bitsight, essas falhas podem ser exploradas por hackers para causar danos significativos, incluindo riscos físicos, ambientais e perdas econômicas. Uma análise apontou que milhares de ATGs estão acessíveis pela internet, tornando-os alvos vulneráveis a ataques de interrupção e destruição. Entre os modelos afetados estão o Maglink LX, OPW SiteSentinel, Proteus OEL8000, Alisonic Sibylla e Franklin TS-550. Oito das 11 vulnerabilidades detectadas foram classificadas como críticas, com algumas delas alcançando a pontuação máxima de 10,0 na escala CVSS, destacando injeções de comando e falhas de autenticação que permitem controle completo dos dispositivos. Essas falhas permitem que invasores obtenham privilégios administrativos completos e, em alguns casos, acessem diretamente o sistema operacional dos dispositivos. Além dos ATGs, vulnerabilidades semelhantes foram descobertas na solução de automação industrial OpenPLC. Uma das falhas mais graves, identificada como CVE-2024-34026, permite que códigos maliciosos sejam executados remotamente, aumentando os riscos para ambientes industriais.
:arrow_right: Malware Rhadamanthys Utiliza IA para Roubar Carteiras de Criptomoedas. Uma nova campanha de ataque cibernético está utilizando o malware Rhadamanthys Stealer, agora equipado com inteligência artificial (IA) para o reconhecimento de imagens, visando usuários que possuem carteiras de criptomoedas. A versão mais recente do malware inclui uma funcionalidade chamada “Seed Phrase Image Recognition”, que permite a extração de frases-semente, usadas para acessar carteiras digitais, diretamente de imagens. Essa nova capacidade representa uma ameaça significativa para investidores em criptomoedas, pois o malware pode identificar frases-semente em imagens e enviá-las para o servidor de comando e controle (C2) dos invasores. O Rhadamanthys Stealer foi detectado pela primeira vez em setembro de 2022 e desde então tem sido amplamente utilizado no modelo de malware como serviço (MaaS), permitindo que criminosos cibernéticos coletem informações confidenciais de sistemas comprometidos. Apesar de já ter sido banido de fóruns clandestinos por visar entidades na Rússia e ex-Estados Soviéticos, o Rhadamanthys continua ativo, com sua última versão sendo promovida em canais como Telegram e TOX. O malware pode ser adquirido por US$ 250 ao mês, e sua nova versão, lançada em junho de 2024, traz diversas melhorias, como o uso de 30 algoritmos de quebra de carteira, reconhecimento de gráficos com IA, além de capacidades avançadas de extração de texto. Entre as melhorias notáveis está o suporte para a execução de arquivos MSI (Microsoft Software Installer), que ajuda o malware a evitar detecções por soluções de segurança. Além disso, o Rhadamanthys possui um sistema de plugins que aumenta suas funcionalidades, permitindo a adição de recursos como keylogger e clipper de criptomoedas.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: