github-actions[bot]
commented
1 year ago Boletim de Segurança
:arrow_right: Pesquisadores sequestram pacote NPM com milhões de downloads. Um popular pacote npm com mais de 3,5 milhões de downloads semanais foi considerado vulnerável a um ataque de controle de conta. “O pacote pode ser retomado recuperando um nome de domínio expirado para um de seus mantenedores e redefinindo a senha”, disse a empresa de segurança de cadeia de suprimentos de software Illustria em um relatório. Embora as proteções de segurança do npm limitem os usuários a terem apenas um endereço de e-mail ativo por conta, a empresa israelense disse que conseguiu redefinir a senha do GitHub usando o domínio recuperado. O ataque, em poucas palavras, concede a um agente de ameaça acesso à conta do GitHub associada ao pacote, tornando efetivamente possível publicar versões trojanizadas no registro npm que podem ser armadas para conduzir ataques à cadeia de suprimentos em escala. Isso é obtido aproveitando uma ação do GitHub configurada no repositório para publicar automaticamente os pacotes quando novas alterações de código são enviadas. A Illustria não revelou o nome do módulo, mas observou que entrou em contato com seu mantenedor, que desde então tomou medidas para proteger a conta.
:arrow_right: Cibercriminosos usam anúncios do Google para espalhar malware FatalRAT. Os ataques envolvem a compra de espaços de anúncios para aparecer nos resultados de pesquisa do Google que direcionam os usuários para sites desonestos que hospedam instaladores trojanizados. Alguns dos aplicativos falsificados incluem Google Chrome, Mozilla Firefox, Telegram, WhatsApp, LINE, Signal, Skype, Electrum, Sogou Pinyin Method, Youdao e WPS Office. “Os sites e instaladores baixados deles são principalmente em chinês e, em alguns casos, oferecem falsamente versões de software em chinês que não estão disponíveis na China”, disse a Eset em um comunicado, acrescentando que observou os ataques entre agosto de 2022 e janeiro de 2023. O aspecto mais importante dos ataques é a criação de sites parecidos com domínios typosquatted para propagar o instalador malicioso, que, na tentativa de manter o ardil, instala o software legítimo, mas também descarta um carregador que implanta o FatalRAT. Ao fazer isso, ele concede ao invasor o controle completo do computador vitimado, incluindo a execução de comandos shell arbitrários, a execução de arquivos, a coleta de dados de navegadores da Web e a captura de teclas digitadas.
:arrow_right: Cibercriminosos estão utilizando o novo Ransomware MortalKombat. A campanha visa principalmente vítimas nos EUA, seguido pelo Reino Unido, Turquia e Filipinas. A cadeia de ataque de vários estágios começa com um e-mail de phishing contendo um arquivo ZIP malicioso anexado com um script de carregador BAT. Ao clicar, o script usa o bitadmin LoLBin para baixar um segundo arquivo ZIP de um recurso remoto. O script do carregador BAT usa outro script VB incorporado para inflar o arquivo baixado automaticamente e descarta a carga final que é Laplas Clipper ou MortalKombat. Os agentes de ameaças estão verificando a Internet em busca de máquinas vítimas com uma porta RDP 3389 exposta, usando um de seus servidores de download que executam um rastreador RDP. Os invasores atraem as vítimas para descompactar o anexo malicioso e visualizar o conteúdo, que é um carregador BAT malicioso. O carregador baixa, e executa o MortalKombat. O ransomware é capaz de criptografar vários arquivos no sistema de arquivos da máquina da vítima, como aplicativos, backup, banco de dados, sistema e arquivos da máquina virtual, bem como arquivos em locais remotos mapeados como unidades lógicas na máquina da vítima. O MortalKombat não é muito sofisticado no momento, enquanto os operadores estão continuamente lançando atualizações. Assim, os alvos em potencial devem observar cuidadosamente os e-mails convincentes e ter backups off-line para o pior cenário.
Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/
:point_down: