0
0
Não existe uma semana lenta para o cibercrime, o que significa que cobrir a orla em toda a inteligência de ameaças e histórias interessantes por aí é uma tarefa difícil, se não impossível. Esta semana não foi exceção e, de fato, parecia oferecer um verdadeiro tesouro de acontecimentos importantes que não mencionaríamos.
A saber: Campanhas de malware perigosas! Informações-roubo! Aquisição de contas do YouTube! Criptografia sob cerco! Avisos da Microsoft!
À luz disso, a Dark Reading está estreando um resumo semanal “caso você tenha perdido” (ICYMI), reunindo notícias importantes da semana que nossos editores simplesmente não tiveram tempo para cobrir antes.
Esta semana, continue lendo para saber mais sobre o seguinte, ICYMI:
- Fábricas Inteligentes Enfrentam A Ciberatividade De Bola De Neve
- Grupo Lazarus provavelmente por trás de uma cripto-heist de US$ 100 milhões
- 8220 Gang adiciona bug Atlassian à cadeia de ataque ativo
- Infraestrutura Crítica Cyber Pros Se Sentem Desesperados
- Hacker se faz passar por TrustWallet em Crypto Phishing Scam
- O YTStealer de Roubo de Cookies Assume Contas do YouTube
- Bug Follina Usado para Espalhar XFiles Spyware
Fábricas Inteligentes Enfrentam A Ciberatividade De Bola De Neve
Um enorme 40% das fábricas inteligentes em todo o mundo sofreram um ataque cibernético, de acordo com uma pesquisa desta semana.
Fábricas inteligentes – nas quais sensores e equipamentos industriais da Internet das coisas IIoT) são usados para reduzir custos, obter telemetria e reforçar a automação – são oficialmente uma coisa, com a digitalização da fabricação em andamento. Mas os ciberatacantes também estão percebendo, de acordo com o Instituto de Pesquisa Capgemini.
Entre os setores, a indústria pesada enfrentou o maior volume de ataques cibernéticos (51%). Esses ataques também assumem muitas formas: 27% das empresas viram um aumento de 20% ou mais nos bot-herders assumindo endpoints da IIoT para ataques distribuídos de negação de serviço (DDoS); e 28% das empresas disseram ter visto um aumento de 20% ou mais em funcionários ou fornecedores que trazem dispositivos infectados, por exemplo.
“Com a fábrica inteligente sendo uma das tecnologias emblemáticas da transição para a digitalização, ela também é um alvo principal para os ciber-atacantes, que estão perfumando sangue novo”, de acordo com o relatório.
Ao mesmo tempo, a empresa também descobriu que, em quase metade (47%) das organizações, a segurança cibernética de fábrica inteligente não é uma preocupação de nível C.
Grupo Lazarus provavelmente por trás de uma cripto-heist de US$ 100 milhões
Pesquisadores de segurança estão colocando o hack de US$ 100 milhões da troca de criptografia Horizon Bridge aos pés da notória ameaça persistente avançada do Grupo Lázaro da Coreia do Norte.
O Horizon Bridge permite que os usuários do blockchain Harmony interajam com outros blockchains. O assalto ocorreu em 24 de junho, com os culpados saindo com vários criptoativos, incluindo Ethereum (ETH), Tether (USDT), Wrapped Bitcoin (WBTC) e BNB.
De acordo com Elliptic, há fortes indícios de que Lázaro está por trás do incidente. O grupo não apenas realiza atividades clássicas do APT, como espionagem cibernética, mas também atua como ganhador de dinheiro para o regime norte-coreano, observaram pesquisadores.
Os ladrões neste caso enviaram até agora 41% dos US$ 100 milhões em ativos de criptografia roubados para o misturador Tornado Cash, observou Elliptic, que atua essencialmente como um lavador de dinheiro.
8220 Gang adiciona bug Atlassian à cadeia de ataque ativo
A Gangue 8220 adicionou a mais recente vulnerabilidade crítica de segurança que afeta o Atlassian Confluence Server e Data Center ao seu saco de truques para distribuir criptominers e um bot de IRC, alertou a Microsoft esta semana.
O grupo de ameaças de língua chinesa vem explorando ativamente o bug desde que foi divulgado no início de junho.
“O grupo atualizou ativamente suas técnicas e cargas úteis ao longo do ano passado. A campanha mais recente tem como alvo os sistemas Linux i686 e x86_64 e usa explorações RCE para CVE-2022-26134 (Confluence) e CVE-2019-2725 (WebLogic) para acesso inicial”, twittou o Security Intelligence Centre da Microsoft.
Infraestrutura Crítica Cyber Pros Se Sentem Desesperados
Um impressionante 95% dos líderes de segurança cibernética em organizações nacionais críticas de infraestrutura no Reino Unido dizem que poderiam se ver deixando seus empregos no próximo ano.
De acordo com uma pesquisa da Bridewell, 42% acham que uma violação é inevitável e não querem manchar sua carreira, enquanto 40% dizem que estão passando por estresse e esgotamento, o que está impactando sua vida pessoal.
Enquanto isso, mais de dois terços dos entrevistados dizem que o volume de ameaças e ataques bem-sucedidos aumentou no ano passado – e 69% dizem que é mais difícil detectar e responder a ameaças.
Hacker se faz passar por TrustWallet em Crypto Phishing Scam
Mais de 50.000 e-mails de phishing enviados de uma conta maliciosa do Zendesk chegaram às caixas de e-mail nas últimas semanas, procurando assumir contas da TrustWallet e drenar fundos.
TrustWallet é uma carteira Ethereum e uma plataforma popular para armazenar tokens não fungíveis (NFTs). Pesquisadores da Vade disseram que o phishing se faz passar pelo serviço, usando um site liso e convincente da marca TrustWallet para pedir frases de recuperação de senha dos usuários em uma elegante página de phishing da TrustWallet.
Enquanto isso, é improvável que os e-mails acionem filtros de gateway de e-mail, já que estão sendo enviados do Zendesk.com, que é um domínio confiável e de alta reputação.
“Como os NFTs e as criptomoedas em geral viram uma queda significativa nas últimas semanas, é provável que os investidores de ponta reagem rapidamente aos e-mails sobre suas contas de criptografia”, de acordo com a análise da Vade esta semana.
O YTStealer de Roubo de Cookies Assume Contas do YouTube
Uma ameaça nunca antes vista de malware como serviço surgiu nos fóruns da Dark Web, com o objetivo de assumir contas do YouTube.
Pesquisadores da Intezer observaram que o malware, que ele chama diretamente de YTStealer, trabalha para roubar cookies de autenticação do YouTube de criadores de conteúdo, a fim de alimentar a demanda subterrânea de acesso às contas do YouTube. Os cookies são extraídos dos arquivos de banco de dados do navegador na pasta de perfil do usuário.
“Para validar os cookies e obter mais informações sobre a conta de usuário do YouTube, o malware inicia um dos navegadores da web instalados na máquina infectada no modo sem cabeça e adiciona o cookie à sua loja de cookies”, de acordo com a análise. “[Dessa forma] o malware pode operar o navegador como se o ator de ameaças se sentasse no computador sem que o usuário atual percebesse nada.”
A partir daí, o YTStealer navega até a página de gerenciamento de conteúdo do Studio do YouTube e acessa os dados, incluindo o nome do canal, quantos assinantes ele tem, quantos anos ele tem, se é monetizado, se é um canal oficial de artista e se o nome foi verificado.
Bug Follina Usado para Espalhar Spyware X-Files
Uma onda de ataques cibernéticos está em andamento, procurando explorar a vulnerabilidade do Microsoft Follina para levantar dezenas de informações confidenciais das vítimas.
Follina é um bug de execução remota de código (RCE) corrigido recentemente que pode ser explorado por meio de documentos maliciosos do Word. Começou a vida como um dia zero sem correção que rapidamente se destacou entre os grupos de cibercrime.
De acordo com um relatório da Equipe de Pesquisa da Cyberint compartilhado com a Dark Reading por e-mail, os analistas encontraram várias campanhas de roubo de XFiles em que a vulnerabilidade da Follina foi explorada como parte da fase de entrega.
“O grupo que está vendendo o ladrão é uma região da Rússia e atualmente está procurando se expandir”, disseram os pesquisadores. “Evidências recentes sugerem campanhas mundiais de atores de ameaças [em andamento].”
O ladrão cheira dados de todos os navegadores baseados em Chromium, Opera e Firefox, incluindo histórico, cookies, senhas e informações de cartão de crédito. Ele também levanta as credenciais de FTP, Telegram e Discord e procura tipos de arquivos predefinidos que estão localizados na área de trabalho da vítima, juntamente com uma captura de tela. Ele também tem como alvo outros clientes, como Steam e carteiras criptográficas.
FONTE: DARK READING