Closed github-actions[bot] closed 1 month ago
:arrow_right: Malware utiliza EDRSilencer para ocultar atividades maliciosas e evitar detecção. Hackers estão abusando da ferramenta de código aberto EDRSilencer em ataques que visam manipular soluções de detecção e resposta de endpoints (EDR), ocultando atividades maliciosas. A Trend Micro relatou que detectou “atores maliciosos tentando integrar o EDRSilencer em seus ataques, reutilizando-o como um meio de evitar a detecção”. O EDRSilencer, foi projetado para bloquear o tráfego de saída de processos EDR em execução usando a Plataforma de Filtragem do Windows (WFP). Ele é capaz de interromper diversos processos relacionados a produtos EDR de empresas como Microsoft, Elastic, Trellix, Qualys, SentinelOne, Cybereason, Broadcom Carbon Black, Tanium, Palo Alto Networks, Fortinet, Cisco, ESET, HarfangLab, e Trend Micro. A incorporação de ferramentas legítimas de red teaming (testes de segurança) ao arsenal de hackers tem como objetivo tornar os softwares de EDR ineficazes, dificultando a identificação e a remoção de malware. Segundo os pesquisadores da Trend Micro, a WFP é uma estrutura poderosa integrada ao Windows, usada para criar aplicativos de segurança e filtragem de rede. Essa plataforma permite que os desenvolvedores definam regras personalizadas para monitorar, bloquear ou modificar o tráfego de rede com base em critérios como endereços IP, portas e aplicativos. O uso de ferramentas potentes que desabilitam EDR, está em ascensão entre grupos de ransomware. Esses programas aproveitam drivers vulneráveis para escalar privilégios e encerrar processos relacionados à segurança.
:arrow_right: Campanha de spear-phishing no Brasil distribui malware bancário. Uma nova campanha de spear-phishing foi detectada no Brasil, distribuindo o malware bancário Astaroth por meio de JavaScript ofuscado, que consegue burlar os sistemas de segurança. A campanha tem como alvo diversos setores, sendo as empresas de manufatura, varejo e agências governamentais as mais afetadas, conforme análise da Trend Micro. Os e-mails maliciosos costumam se passar por documentos fiscais oficiais, aproveitando a urgência relacionada à entrega de declarações de imposto de renda para enganar os usuários a baixar o malware. A campanha começa com mensagens de phishing que imitam órgãos oficiais, como a Receita Federal, para enganar as vítimas a baixar um anexo ZIP que parece ser um documento de imposto de renda. Dentro do arquivo ZIP malicioso, há um atalho de Windows (LNK) que utiliza o mshta.exe, uma ferramenta legítima para executar arquivos de Aplicação HTML, que acaba executando comandos JavaScript ofuscados e conectando-se a um servidor de comando e controle (C2). O malware não só rouba dados, mas também provoca danos a longo prazo, como perda de confiança dos consumidores, multas regulatórias e aumento de custos devido à interrupção das operações, à recuperação de dados e à mitigação dos danos.
:arrow_right: GitHub corrige falha crítica no Enterprise Server que permite acesso não autorizado. O GitHub lançou atualizações de segurança para o Enterprise Server (GHES) para corrigir várias falhas, incluindo uma vulnerabilidade crítica que poderia permitir o acesso não autorizado a uma instância. A falha, identificada como CVE-2024-9487, recebeu uma pontuação CVSS de 9.5 em um máximo de 10.0. De acordo com o GitHub, a vulnerabilidade permite que atacantes contornem a autenticação SAML de login único (SSO) ao explorar uma verificação inadequada de assinaturas criptográficas, caso o recurso opcional de afirmações criptografadas esteja habilitado. Isso possibilita o provisionamento não autorizado de usuários e o acesso à instância do GitHub Enterprise Server. Essa falha é classificada como uma “regressão”, introduzida durante a correção de uma vulnerabilidade anterior, a CVE-2024-4985, que tinha uma pontuação máxima de gravidade (CVSS: 10.0) e foi corrigida em maio de 2024. Essas vulnerabilidades foram corrigidas nas versões 3.14.2, 3.13.5, 3.12.10 e 3.11.16 do GitHub Enterprise Server. Em agosto, o GitHub já havia corrigido outra falha crítica de segurança (CVE-2024-6800, CVSS: 9.5) que podia ser explorada para obter privilégios de administrador de site. Organizações que utilizam versões autogerenciadas vulneráveis do GHES são fortemente recomendadas a atualizar para a versão mais recente para evitar potenciais ameaças de segurança.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: