Esta publicação tem como objetivo divulgar o documento desenvolvido pela equipe de Threat Intelligence da Service IT Security que foi desenvolvido e fundamentado utilizando as documentações oficiais do NIST (National Institute Of Standards and Technology), MITRE e CVE.org, que são conhecidas mundialmente na área de cibersegurança, como modelo e padronização de melhores práticas de segurança, pesquisa de metodologias de ataques e defesa cibernética, e pesquisa e catalogação de novas vulnerabilidades em sistemas operacionais e aplicações.
Vulnerabilidades e Ameaças Descobertas:
1. Ferramentas de IA para criação de sites usadas em ataques de phishing
Descrição: Criminosos estão usando ferramentas de IA como o Lovable para criar sites falsos que facilitam phishing e malware.
Exploração: Plataformas geram sites idênticos a marcas conhecidas, explorando back-end e CAPTCHAs para roubo de dados e infecção com zgRAT.
Impacto: Amplia o alcance e sofisticação de ataques, tornando phishing acessível até para criminosos sem conhecimento técnico.
Mitigação: Aplicar allow-list em ferramentas abusadas, educar usuários, usar MFA e atualizar software de segurança.
2. Warlock Ransomware ataca SharePoint
Descrição: Grupo Warlock explora falhas críticas em SharePoint para executar ransomware com roubo de credenciais.
Exploração: Cadeia de ataque envolve CVE-2023-27532 (Veeam), falhas de desserialização e uso de GPOs para escalada.
Impacto: Comprometimento total da rede com criptografia de arquivos e exfiltração via RClone disfarçado.
Mitigação: Aplicar patches, monitorar GPOs e credenciais, restringir acessos administrativos e usar plataformas como Trend Micro Vision One
3. Aumento de Quishing com uso de QR Codes
Descrição: Cibercriminosos usam QR Codes em campanhas de phishing para roubar credenciais ou instalar malware.
Exploração: QRs levam vítimas a sites falsos; técnicas avançadas como códigos aninhados dificultam detecção.
Impacto: Contorna filtros de e-mail tradicionais e explora dispositivos móveis como vetor primário.
Mitigação: Usar filtros de imagem/URL, aplicar MFA e educar usuários para não escanear QRs de fontes não confiáveis
4. MuddyWater APT visa CFOs com OpenSSH e spear-phishing
Descrição: Grupo APT iraniano realiza ataques direcionados a executivos financeiros usando spear-phishing sofisticado.
Exploração: E-mails redirecionam para páginas falsas do Google Drive com reCAPTCHA, levando a instalação de NetBird e OpenSSH.
Impacto: Estabelece persistência e controle remoto com criação de contas ocultas e agendamento de tarefas maliciosas.
Mitigação: Bloquear IOCs, auditar instalações, aplicar EDR, sandboxing e mapear infraestrutura com HuntSQL
5. Editor de PDF trojanizado transforma máquinas em proxies
Descrição: Campanha usa software PDF malicioso assinado digitalmente para transformar vítimas em proxies residenciais.
Exploração: Dropper em JavaScript instala o trojan “ManualFinder”, com persistência por tarefa agendada.
Impacto: Permite anonimização de ações maliciosas por parte dos atacantes com uso do IP da vítima.
Mitigação: Validar assinaturas digitais, revisar tarefas agendadas, bloquear domínios C2 e fortalecer proteção de endpoint
6. Atualização do Windows causa falhas em SSDs
Descrição: Update KB5063878 do Windows 11 causa perda de dados e falhas em SSDs e HDDs.
Exploração: Problemas ocorrem durante escrita intensiva, afetando SSDs como Corsair e SanDisk com controladores Phison/InnoGrit.
Impacto: Risco de corrupção e falha em discos após atualização de segurança.
Mitigação: Evitar grandes operações de escrita, extrair arquivos em etapas e relatar falhas à Microsoft via Feedback Hub
Para obter mais detalhes e verificar a versão completa do documento desta publicação, acesse-o clicando aqui.
