Boletim de Segurança

➡️ Novo Malware Zerobot explora vulnerabilidades do Apache para lançar ataque DDoS.
Como resultado da exploração de vulnerabilidades de segurança encontradas em servidores Apache não corrigidos que estão expostos à Internet, a botnet Zerobot foi recentemente atualizada com a capacidade de infectar novos dispositivos. A versão mais recente também apresenta novos recursos de DDoS, conforme observado pela equipe de pesquisa do Microsoft Defender para IoT. Desde pelo menos novembro, o Zerobot está ativo como parte de seu processo de desenvolvimento. Além das atualizações descobertas pela Microsoft, o kit de ferramentas do malware também inclui novas explorações. Esta atualização mais recente permite agora direcionar sete novos tipos de dispositivos e software, o que é uma melhoria significativa. O Zerobot também é capaz de explorar vulnerabilidades conhecidas para se propagar por meio de dispositivos comprometidos. A coisa mais interessante sobre esse malware é que as falhas de segurança conhecidas que ele explora não estão incluídas no binário do malware.

➡️ Malware Raspberry Robin ataca setores de telecomunicações e governos.
Pesquisadores notaram o Raspberry Robin em ataques recentes a provedores de serviços de telecomunicações e redes governamentais. O malware agora está lançando uma carga útil falsa para evitar a detecção quando detecta que está sendo executado em sandboxes e ferramentas de depuração. Os pesquisadores dizem que, devido ao uso de arquivos .lnk, ele parece se propagar pelos sistemas como um worm através de um USB infectado. A maioria das vítimas do grupo são empresas de telecomunicações ou governos da Europa, Oceania (Austrália) e América Latina. O Raspberry Robin aparece pela primeira vez como um atalho ou arquivo LNK quando o usuário conecta o USB infectado ao computador. Uma linha de comando no arquivo LNK inicia um executável legítimo para baixar um pacote do Windows Installer (MSI). Após a execução, ele faz um esforço para verificar o registro do Windows em busca de indicadores de infecção antes de começar a coletar dados fundamentais do sistema. A carga útil falsa então tenta baixar e executar um programa de adware chamado “BrowserAssistant”.

➡️ Cibercriminosos exploram vulnerabilidades de Zero Day em produtos Citrix.
A Citrix recomenda fortemente que os administradores apliquem atualizações de segurança para uma vulnerabilidade ‘crítica’ (CVE-2022-27518) no Citrix ADC e Gateway que é explorada ativamente por hackers patrocinados pelo estado para obter acesso a redes corporativas. Essa nova vulnerabilidade permite que um invasor não autenticado execute comandos remotamente em dispositivos vulneráveis e assuma o controle sobre eles. A Citrix está alertando os administradores para instalar a atualização mais recente “o mais rápido possível”, pois a vulnerabilidade é explorada ativamente em ataques. “Estamos cientes de um pequeno número de ataques direcionados na natureza usando essa vulnerabilidade”, menciona a Citrix na atualização de segurança que acompanha o comunicado. Os administradores devem atualizar imediatamente seus dispositivos se as operações de configuração acima forem encontradas.

Agradecimentos ao Thierre Madureira de Souza pela inspiração
Automação desenvolvida por /Enderson Menezes/ e /Elias Júnior/
Aprenda a programar em Codaqui.dev
Fonte: https://boletimsec.com.br/boletim-diario-ciberseguranca/

from boletim-diario-seguranca.