Boletim Diário: 13/11/2024

[github-actions[bot]]

:point_down:

[github-actions[bot]]

Boletim de Segurança

:arrow_right: Vulnerabilidades no D-Link DSL-6740C expõem usuários a roubo de dados. O TWCERT/CC, centro de resposta a emergências cibernéticas de Taiwan, emitiu um alerta sobre vulnerabilidades críticas no modem D-Link DSL-6740C, recomendando sua substituição imediata devido aos riscos significativos de segurança. A falta de atualizações de segurança para o dispositivo, que já está fora do suporte da fabricante, agrava a situação, pois as falhas permitem que invasores executem ataques remotos com alto potencial de comprometimento dos dados e do controle da rede. Entre as falhas identificadas, destaca-se a CVE-2024-11068, que recebeu uma pontuação CVSS de 9,8, indicando gravidade máxima. Essa vulnerabilidade específica ocorre pelo uso incorreto de APIs privilegiadas e permite que atacantes, sem a necessidade de autenticação, modifiquem senhas de qualquer usuário. Com isso, é possível obter acesso aos serviços web, SSH e Telnet do dispositivo, concedendo ao invasor o controle total sobre o modem e a capacidade de executar ações maliciosas. Outra vulnerabilidade, CVE-2024-11067, explora uma falha de Path Traversal, que possibilita a leitura de arquivos arbitrários no sistema. Por meio dessa falha, um atacante pode acessar dados sensíveis e, inclusive, obter o endereço MAC do dispositivo. Com o MAC em mãos, invasores conseguem fazer uma suposição mais precisa da senha padrão, o que facilita ainda mais a invasão e a manipulação do modem. Essa falha representa um sério risco à privacidade e segurança dos dados dos usuários. Dado o alto risco e a ausência de suporte de segurança, o TWCERT/CC aconselha fortemente que os usuários substituam o D-Link DSL-6740C por um dispositivo mais seguro e atualizado. A continuidade do uso desse modem pode resultar em uma série de problemas graves, incluindo o roubo de informações pessoais e dados confidenciais armazenados na rede. Além disso, dispositivos comprometidos podem ser utilizados para ataques a outros equipamentos conectados, representando uma ameaça ao ambiente de rede como um todo.

:arrow_right: Malware GootLoader mira buscas específicas para infectar dispositivos com JavaScript malicioso. Uma nova campanha do malware GootLoader tem como alvo usuários que pesquisam sobre a legalidade de possuir gatos da raça Bengal na Austrália. Em um movimento específico e raro, os cibercriminosos estão usando resultados de busca sobre a questão “Os gatos Bengal são legais na Austrália?” para distribuir o malware, de acordo com um relatório dos pesquisadores da Sophos, Trang Tang, Hikaru Koike, Asha Castle e Sean Gallagher, publicado na semana passada. O GootLoader é um tipo de malware loader que utiliza táticas de envenenamento de SEO (Search Engine Optimization) para aparecer em resultados de busca e conseguir o primeiro acesso aos dispositivos das vítimas. Nessa técnica, ao buscar termos como documentos legais e acordos, os usuários podem encontrar links maliciosos em sites comprometidos, que oferecem um arquivo ZIP com um payload em JavaScript. Após a instalação, o malware inicia um processo de múltiplas etapas que frequentemente culmina na instalação do GootKit, um trojan de roubo de informações e acesso remoto. No entanto, o GootLoader já foi associado a outros tipos de malware, incluindo Cobalt Strike, IcedID, Kronos, REvil e SystemBC, usados em ataques de pós-exploração. Os pesquisadores da Sophos explicam que o GootLoader é parte de uma operação de distribuição de malware como serviço (MaaS) que depende fortemente de resultados de busca para alcançar as vítimas. O uso de SEO e a exploração de publicidade de motores de busca para atrair vítimas não é uma técnica nova – o GootLoader a utiliza desde, pelo menos, 2020.

:arrow_right: Malware usa spear-phishing para infectar empresas industriais na Europa. Uma recente campanha de spear-phishing está mirando empresas industriais e de engenharia na Europa com o objetivo de instalar o downloader de malware GuLoader nos sistemas das vítimas. Esse ataque tem como objetivo final infectar os computadores comprometidos com um trojan de acesso remoto (RAT), permitindo que os invasores roubem informações e acessem os dispositivos a qualquer momento. Os e-mails maliciosos são enviados a partir de endereços variados, incluindo contas de empresas falsas e contas comprometidas. Esses e-mails muitas vezes retomam uma conversa existente ou solicitam informações sobre um pedido, induzindo o destinatário a baixar um arquivo em anexo, que pode ser nos formatos .iso, .7z, .gzip ou .rar. Após a extração, o arquivo contém um script de PowerShell ofuscado, executado através de um arquivo batch. Ao ser executado, o arquivo batch inicia o download de um segundo script de PowerShell. Esse script realiza uma alocação de memória por meio da função VirtualAlloc (uma API nativa do Windows) e executa um shellcode. O código malicioso é então injetado no processo legítimo “msiexec.exe”, permitindo que o malware se comunique com um domínio para buscar um payload adicional. Embora o domínio estivesse offline durante a análise, ataques anteriores com o GuLoader normalmente envolvem RATs como Remcos, NetWire e AgentTesla, que concedem aos invasores controle total sobre os dispositivos infectados. As técnicas de anti-análise usadas pelo GuLoader incluem o uso de códigos “lixo” e shellcodes criptografados, que tornam a análise mais complicada e exigem mais tempo dos analistas de segurança para identificar e entender o que está ocorrendo.  

Agradecimentos ao Thierre Madureira de Souza pela inspiração Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/ Aprenda a programar em Codaqui.dev Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/