Um alerta aos usuários do WordPress e do Google Chrome. A ISH Tecnologia informa que encontrou vulnerabilidades nas suas plataformas. A empresa divulga mensalmente um relatório sobre quais foram as principais ameaças cibernéticas encontradas por sua equipe de especialistas.
Em janeiro, a empresa destaca uma nova extensão maliciosa de Google Chrome que visa principalmente o Brasil, além das vulnerabilidades que afetam cadeia de suprimentos e aplicativos de nuvem. Confira:
• 50 mil sites WordPress expostos a ataques RCE por bug no plugin de backup
O plugin do WordPress conhecido como Backup Heart, com mais de 90.000 instalações, ajuda administradores de sites a automatizar backups para o armazenamento local do computador ou para conta do Google Drive. Porém, recentemente, uma vulnerabilidade de gravidade crítica foi identificada nesse plugin, permitindo que invasores obtenham execução remota de código para comprometer totalmente sites vulneráveis – podendo explorar tal falha sem interação do usuário.
O bug de segurança foi descoberto pela equipe de caçadores de bugs Nex Team. Que relatou a empresa de segurança do WordPress Wordfence sob um programa de recompensa de bugs lançado recentemente. Mesmo com um patch de segurança lançado apenas algumas horas depois do descobrimento da falha (que corrigiu a versão do plugin Backup Migration 1.3.8), cerca de 50.000 sites WordPress ainda precisam ser protegidos de maneira correta, como mostrou as estatísticas de download de organização WordPress.org.
• ParaSiteSnatcher, extensão maliciosa no Google Chrome com alvo no Brasil
Recentemente pesquisadores da TrendMicro descobriram uma extensão maliciosa do Google Chrome conhecida como ParaSiteSnatcher. Identificada em toda a América Latina, pesquisas mostram que os atores visam principalmente o Brasil.
O ParaSiteSnatcher tem como objetivo roubar uma variedade de informações sensíveis, porém as principais são dados bancários, cookies, nomes de usuários, senhas e detalhes de cartões de crédito. As pesquisas apontam que os cibercriminosos criaram um framework modular composto por vários componentes altamente ofuscados, que utilizam a API do Google Chrome para monitorar e manipular dados do usuário.
• Nova vulnerabilidade crítica no VMware Cloud Director Appliance (VCD Appliance)
Reportada pela VMware, recentemente uma vulnerabilidade classificada como "CVE-2023-34060", a qual afeta o VMware Cloud Director Appliance (VCD Appliance), foi detectada. Esta falha é caracterizada como uma vulnerabilidade de by-pass de autenticação, o que significa que pode permitir acesso não autorizado ao sistema, com isso permitindo que atores de ameaça cibernética possam explorar a falha para ganhar controle dos sistemas afetados.
A empresa já disponibilizou uma nova atualização que resolve a vulnerabilidade no produto afetado. Com a alta popularidade e ampla adoção dos produtos VMware torna-os alvos atraentes para hackers.
• Falha de segurança no JetBrains
O FBI, juntamente com a National Security Agency (NSA) emitiu um alerta sobre atividades maliciosas de atores de ameaças da Russian Foreign intelligence Service (SVR). Conhecidos também como The Dukes, CozyBear e NOBELIUM/Midnight Blizzard, estão explorando uma vulnerabilidade que possui classificação crítica e afeta servidões JetBrains TeamCity desde setembro de 2023.
Os cibercriminosos tem como alvo servidores TeamCity conectados à Internet globalmente, o que os permite afetar uma variedade de setores incluindo: software de faturamento, dispositivos médicos, atendimento ao cliente, monitoramento de funcionários, gestão financeira, marketing, vendas, jogos eletrônicos, empresas de hospedagem, fabricantes de ferramentas, empresas de TI pequenas e grandes, e uma associação comercial de energia. Com acesso a essa rede os atores conseguem implementar e adicionar backdoors e outras ações.
• Hackers Lazarus violam CyberLink em ataque por meio da cadeia de suprimentos
A equipe de Inteligência de ameaças da Microsoft identificou um ataque na cadeia de suprimentos feita pelo grupo de hackers norte-coreanos Diamond Sleet (ZINC), conhecidos por roubo de dados, espionagem, ganho financeiro e destruição de rede. Descoberto primeiramente em 20 de outubro de 2023, a Microsoft identificou atividades suspeitas relacionadas a um instalador de CyberLink modificado. Esse arquivo nocivo foi encontrado em mais de 100 dispositivos em diversos países, como Japão, Taiwan, Canadá e Estados Unidos.
Atualmente, a ameaça, denominada como LambLoad, está sendo monitorada pela Microsoft, incluindo as cargas associadas. LambLoad é um downloader e carregador armado que contém código malicioso adicionado a um aplicativo CyberLink legítimo. Antes de lançar qualquer código malicioso, o executável LambLoad garante que a data e a hora do host local esteiam alinhadas com um período de execução pré-configurado, conforme mostra imagem do código abaixo.
