Boletim Diário: 12/11/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Ransomware Frag Usa Falha no Veeam Para Criptografar Servidores. A Sophos X-Ops relatou recentemente novos casos de ataque em que atores de ameaça exploraram uma vulnerabilidade em servidores de backup da Veeam para implantar um novo ransomware chamado “Frag”. A falha de segurança, identificada como CVE-2024-40711, faz parte de um grupo de atividades maliciosas monitorado sob o nome STAC 5881. Nos ataques, os invasores usaram appliances VPN comprometidos para obter acesso e exploraram a vulnerabilidade do Veeam para criar uma conta de administrador local chamada “point”. Casos anteriores dentro deste grupo de ataques resultaram na implantação dos ransomwares Akira ou Fog. O Akira, identificado pela primeira vez em 2023, teve sua atividade temporariamente suspensa em outubro, mas continua ativo. Já o Fog surgiu em maio deste ano. Em um caso recente, os analistas de resposta a incidentes da Sophos (MDR) detectaram novamente táticas associadas ao grupo STAC 5881, mas desta vez com a utilização do ransomware “Frag”, que até então era desconhecido. Seguindo o mesmo padrão de ataques anteriores, os invasores comprometeram o acesso por meio de uma appliance VPN, exploraram a vulnerabilidade no Veeam e criaram a conta “point”. No entanto, neste ataque específico, uma segunda conta, “point2”, também foi criada, sugerindo uma evolução nas táticas do grupo. O ransomware Frag é executado na linha de comando, com vários parâmetros disponíveis, sendo obrigatório o parâmetro que determina o percentual de criptografia dos arquivos. Os atacantes podem selecionar diretórios ou arquivos individuais para criptografar. Arquivos comprometidos recebem a extensão “.frag”, e o ransomware foi bloqueado pela funcionalidade CryptoGuard da Sophos, que detectou a atividade maliciosa. Um novo módulo de detecção foi adicionado para identificar o binário do Frag em ataques futuros.

:arrow_right: Vulnerabilidade crítica em Plugin do WordPress Permite Invasão e Controles de Plataformas. Uma falha grave, identificada como CVE-2024-10470, foi descoberta no tema premium WPLMS para WordPress, amplamente utilizado para gerenciamento de cursos online. O pesquisador de segurança István Márton, da Wordfence, alertou que essa falha de Leitura e Exclusão Arbitrária de Arquivos representa um alto risco de segurança, com uma pontuação CVSS de 9,8. Essa vulnerabilidade permite que atacantes não autenticados leiam e excluam arquivos sensíveis, incluindo o crítico arquivo wp-config.php, que contém informações essenciais para o funcionamento do site. Com mais de 28.000 instalações, o WPLMS é um tema rico em recursos, projetado para suportar cursos, quizzes e certificações em plataformas de e-learning. No entanto, a análise de Márton revelou uma falha significativa no código, que permite que atores maliciosos explorem o arquivo “envato-setup-export.php”. Segundo o pesquisador, o código não inclui uma verificação de capacidade e nada impede o acesso direto ao arquivo, tornando a vulnerabilidade explorável mesmo que o tema esteja apenas instalado, sem estar ativo. Essa vulnerabilidade não só permite acesso e exclusão não autorizados de arquivos, mas também abre uma porta para que os invasores assumam o controle completo do site. Ao excluir o arquivo wp-config.php, o site vulnerável entra em modo de configuração, permitindo que o invasor conecte o site a um banco de dados sob seu controle. Com isso, dados de usuários e conteúdos do site ficam seriamente comprometidos. A Wordfence recomenda que todos os usuários do WPLMS atualizem imediatamente seus sites para a versão mais recente, que, segundo a empresa, é a 4.963, corrigindo a falha de segurança.

:arrow_right: Operação Magnus Desativa Infraestrutura do RedLine Stealer e Prende Suspeitos. No dia 28 de outubro de 2024, a polícia nacional holandesa, em colaboração com o FBI, a Eurojust e outras agências de segurança, realizou uma operação global chamada Operação Magnus, com o objetivo de derrubar o infame malware de roubo de informações RedLine Stealer e seu clone, META Stealer. A operação resultou na remoção de três servidores localizados nos Países Baixos, na apreensão de dois domínios e na prisão de dois indivíduos na Bélgica, além da formalização de acusações contra um suspeito nos Estados Unidos. O RedLine Stealer, descoberto pela primeira vez em 2020, funciona como um serviço de malware (MaaS) em que qualquer pessoa pode adquirir uma licença para usar o infostealer. Os afiliados, ou seja, os compradores, têm acesso a um painel de controle que permite gerar amostras do malware e gerir campanhas de roubo de dados, com a possibilidade de recolher dados sensíveis como credenciais de navegadores, carteiras de criptomoedas locais, e informações salvas em aplicativos como Steam, Discord e VPNs de desktop. Em abril de 2023, a ESET participou de uma ação parcial contra o RedLine, que consistiu na remoção de repositórios GitHub usados como pontos de autenticação para o painel de controle do malware. Essa ação foi possível graças à colaboração entre a ESET e a comunidade de pesquisadores da Flare, que estudaram módulos de back-end até então não documentados do RedLine, revelando detalhes sobre a infraestrutura interna do malware. Os módulos analisados são responsáveis por autenticação e outras funções do painel, sem interagir diretamente com o malware. Mesmo com a recente operação de derrubada, a ESET e seus parceiros alertam que o RedLine pode continuar funcionando parcialmente. Painéis já em operação podem ainda receber dados, mesmo que não consigam gerar novas amostras ou se reconectar após desconexão. Além disso, cópias pirateadas do RedLine ainda podem estar em circulação. O RedLine opera em múltiplos níveis de infraestrutura. O painel de controle do malware, que pode ser comprado em fóruns e canais do Telegram, permite que os afiliados configurem suas campanhas de roubo de dados, com funcionalidades para gerenciar informações coletadas, integrar com bots do Telegram e realizar a coleta de informações de vítimas.  

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/