github-actions[bot]
commented
4 weeks ago Boletim de Segurança
:arrow_right: Fortinet lança atualizações críticas para vulnerabilidade no FortiManager. Nos últimos dias, a Fortinet lançou atualizações críticas de segurança para o FortiManager, corrigindo uma vulnerabilidade grave que, segundo relatos, está sendo explorada por agentes de ameaças chineses. A empresa é conhecida por liberar correções para vulnerabilidades críticas antes de divulgá-las ao público, e, uma semana atrás, notificou clientes selecionados privadamente, oferecendo conselhos temporários de mitigação. As orientações sugeridas incluíam configurar o FortiManager para impedir que dispositivos não autorizados, ou com números de série desconhecidos, se conectassem ao sistema. Além disso, a limitação do acesso às instalações do FortiManager foi recomendada como uma medida de segurança extra. No entanto, a aplicação das atualizações quando liberadas é essencial, e algumas delas já estão disponíveis no portal de suporte da Fortinet. Até o momento, a empresa não divulgou oficialmente detalhes sobre a vulnerabilidade nem associou um CVE (Identificador de Vulnerabilidades e Exposições) a ela. Há especulações de que o problema possa estar relacionado ao recurso de comunicação e gerenciamento “Fortigate to FortiManager” (fgfm). Isso levanta dúvidas sobre uma possível ligação com a vulnerabilidade CVE-2024-23113, que afeta o daemon fgfm do FortiOS e foi corrigida anteriormente neste ano. Em 23 de outubro de 2024, a Fortinet ainda não havia divulgado um comunicado oficial sobre essa nova vulnerabilidade nem atribuído um CVE. A página de resposta a incidentes de segurança da empresa tem apresentado instabilidade, e alguns usuários do FortiManager, que não receberam informações diretamente, estão recorrendo a fontes online não oficiais.
:arrow_right: Técnica Deceptive Delight alcança 64% de sucesso em ataques a LLMs. Pesquisadores de cibersegurança revelaram uma nova técnica adversária chamada “Deceptive Delight”, que pode ser usada para contornar as proteções de grandes modelos de linguagem (LLMs) durante uma conversa interativa, inserindo instruções indesejadas entre comandos aparentemente benignos. A técnica, descrita como simples e eficaz pela equipe Unit 42 da Palo Alto Networks, apresenta uma taxa de sucesso de ataque (ASR) de 64,6% em apenas três interações. De acordo os pesquisadores a abordagem “Deceptive Delight” é uma técnica de múltiplas interações que, gradualmente, burla as barreiras de segurança dos LLMs, levando-os a gerar conteúdo inseguro ou prejudicial. Diferente de métodos de jailbreak multi-turn, como o Crescendo, que insere temas perigosos entre instruções inofensivas, o “Deceptive Delight” guia o modelo de maneira gradual até produzir saídas nocivas. Outro método estudado recentemente é o “Context Fusion Attack” (CFA), uma técnica de jailbreak em caixa-preta, capaz de contornar as proteções de segurança dos modelos. Essa abordagem envolve a construção de cenários contextuais em torno de termos-chave filtrados do alvo, ocultando a intenção maliciosa ao substituir palavras perigosas por termos mais sutis. A técnica “Deceptive Delight” aproveita-se de fraquezas inerentes aos LLMs, como sua capacidade limitada de manter a atenção ao gerar respostas. A técnica manipula o contexto em duas interações consecutivas, enganando o modelo para produzir conteúdo inseguro. Uma terceira interação aumenta a gravidade e o detalhamento das respostas perigosas. Essa limitação na atenção dos LLMs torna difícil para eles avaliarem consistentemente o contexto completo, principalmente em passagens complexas ou longas.
:arrow_right: Malware bancário Grandoreiro agora utiliza CAPTCHA e rastreamento de mouse. Novas variantes do malware bancário Grandoreiro estão adotando táticas avançadas para evitar a detecção, mostrando que o software malicioso continua em desenvolvimento ativo, apesar dos esforços das autoridades para desmantelar a operação. De acordo com uma análise da Kaspersky publicada nesta terça-feira, embora parte da gangue responsável tenha sido presa, os operadores remanescentes continuam a atacar usuários globalmente, desenvolvendo novas versões do malware e estabelecendo novas infraestruturas. Entre as novas táticas identificadas estão o uso de um algoritmo de geração de domínios (DGA) para comunicações de comando e controle (C2), encriptação de roubo de cifras (CTS) e rastreamento do mouse. Também foram observadas versões mais leves e locais, focadas especificamente em clientes bancários no México. O Grandoreiro, ativo desde 2016, evoluiu ao longo do tempo para evitar a detecção e ampliou seu alcance geográfico para a América Latina e Europa. O malware é capaz de roubar credenciais de 1.700 instituições financeiras em 45 países. O Grandoreiro é distribuído principalmente por meio de e-mails de phishing, além de anúncios maliciosos no Google. O ataque começa com um arquivo ZIP contendo um arquivo legítimo e um carregador MSI responsável por baixar e executar o malware. Em campanhas observadas em 2023, os atacantes têm utilizado executáveis portáteis extremamente grandes, com cerca de 390 MB, disfarçados de drivers de SSD da AMD para evitar detecções automáticas e escapar de sandboxes. As últimas versões do Grandoreiro receberam atualizações significativas, como a capacidade de se autoatualizar, registrar teclas digitadas, selecionar o país das vítimas, enviar e-mails de spam via Outlook e monitorar e-mails por palavras-chave específicas. O malware também captura movimentos do mouse, tentando imitar o comportamento do usuário para enganar sistemas antifraude e fazer com que a atividade pareça legítima.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: