⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A maior parte da confusão de segurança começa como trabalho administrativo. Um link é clicado. Uma ferramenta é confiável. Um nome de bucket é reutilizado. Uma configuração permanece solta porque ninguém quer tocá-la.
Esta semana está cheia desse tipo de dano. Não alto. Não é inteligente. Apenas pequenas lacunas realizando grandes trabalhos. O pior é como tudo parece normal até a conta chegar.
A lista completa do ThreatsDay está abaixo.
Apreensão global de fraudes
Operação global leva a cerca de 6 mil prisões
Uma operação antifraude global envolvendo 97 países e territórios resultou na prisão de 5.811 indivíduos e na intercepção de 293 milhões de dólares em activos ilícitos como parte de uma operação denominada First Light 2026, que ocorreu entre 15 de Janeiro e 30 de Abril de 2026, para combater fraudes de engenharia social e actividades associadas de branqueamento de capitais. “Mais de 142 mil vítimas em todo o mundo foram identificadas durante a Operação First Light 2026, destacando até que ponto os golpes e fraudes de engenharia social se transformaram numa grande ameaça transnacional, afectando indivíduos, empresas e governos”, afirmou a INTERPOL. Mais de 23 mil casos foram resolvidos e 15.606 suspeitos foram identificados. Em Essuatíni, as autoridades prenderam 82 pessoas e desmantelaram uma rede criminosa que geria jogos de azar online ilegais, branqueamento de capitais e elaborados esquemas de falsificação de identidade. A polícia tailandesa fez duas prisões e descobriu um esquema de lavagem de dinheiro que convertia fundos ilícitos de fraudes românticas em várias criptomoedas, usando trocas de tokens entre cadeias para ocultar o rastro financeiro.
Typhosquats do SDK de pagamento
Aplicativos de pagamento seguro Typosquats de campanha npm e PyPI coordenados
Descobriu-se que um cluster de 17 pacotes npm e PyPI maliciosos digitam os SDKs Paysafe, Skrill e Neteller para roubar informações do sistema e segredos do desenvolvedor e exfiltrá-los para um endpoint Ngrok. O malware ignora máquinas que possuem menos de dois núcleos de CPU e o nome do host ou nome de usuário contém sandbox, analisador, cuco, vírus, malware, vmware ou vbox. “O ator da ameaça tinha como alvo SDKs de aplicativos de pagamento, o que pode indicar um motivo financeiro ou o desejo de monetizar usando contas de aplicativos de pagamento”, disse Socket. “O ator da ameaça usou seu ofuscador ‘corretamente’. Eles não reutilizaram a mesma chave de ofuscação em versões ou pacotes, o que visa evitar que as assinaturas rastreiem esse malware pela mesma chave. Isso resultou em hashes diferentes para cada arquivo."
Injeção de código furtiva
Envenenamento de parâmetros de processo para evitar detecção
Pesquisadores de segurança cibernética delinearam uma técnica chamada Envenenamento de Parâmetros de Processo (P³) que pode ser usada para codificar processos externos sem disparar nenhum alarme de segurança. "P³-Shellcode Loader é um carregador que implementa uma técnica de injeção de código que aproveita a estrutura de parâmetros do processo (Process Parameter Poisoning) como um local de execução e preparação para injeção de shellcode em processos remotos, sem acionar mecanismos de detecção comuns", disseram os pesquisadores Max Hirschberger e Ogulcan Ugur. "Uma grande vantagem desta técnica é que nenhum processo é criado em estado suspenso e nenhum thread ou processo é suspenso durante sua execução."
Acesso a arquivos não autenticados
Falha crítica de passagem de diretório no Esri ArcGIS Server
Uma falha crítica de segurança no Esri ArcGIS Server 12.0 e anteriores (CVE-2026-9181, pontuação CVSS: 9,8/7,5) poderia ser explorada para acessar arquivos confidenciais no sistema sem exigir credenciais válidas, enviando parâmetros de caminho criados. “A vulnerabilidade existe no recurso ArcGIS Server REST Uploads, onde a validação insuficiente dos parâmetros de caminho criados permite que um invasor remoto não autenticado atravesse fora do limite do diretório pretendido”, disse Horizon3.ai.
Sobreposição de ferramentas de ransomware
Ecossistema Interlock e Rhysida Ransomware detalhado
Uma nova análise da operação de ransomware Interlock (também conhecida como Hive0163) identificou links com TAG-124 (também conhecido como KongTuke e Landupdate808). O ator da ameaça é conhecido por empregar uma variedade de malwares, principalmente personalizados, incluindo NodeSnake, Interlock RAT, JunkFiction downloader (também conhecido como Dormouse), Supper (também conhecido como SocksShell e WINDYTWIST) e criptografador JunkFiction. IBM X-Force disse que descobriu fortes sobreposições entre variantes de malware NodeSnake, ModeloRAT, JunkFiction downloader, Interlock RAT e Supper, indicando uma base de código original compartilhada ou possivelmente desenvolvedores comuns. Rhysida, por outro lado, costuma usar o Endico downloader, Broomstick (também conhecido como Oyster ou CleanUpLoader), Supper e Tomb cryptor (também conhecido como Textshell ou pkr_mtsi). As evidências indicam um relacionamento com os operadores IceNova (também conhecido como Latrodectus) e ITG23 (também conhecido como TrickBot). As primeiras versões do JunkFiction datam de maio de 2024, com o downloader sendo usado para o Supper, que então entrega o CrossTec Remote Control, um
Esta semana está cheia desse tipo de dano. Não alto. Não é inteligente. Apenas pequenas lacunas realizando grandes trabalhos. O pior é como tudo parece normal até a conta chegar.
A lista completa do ThreatsDay está abaixo.
Apreensão global de fraudes
Operação global leva a cerca de 6 mil prisões
Uma operação antifraude global envolvendo 97 países e territórios resultou na prisão de 5.811 indivíduos e na intercepção de 293 milhões de dólares em activos ilícitos como parte de uma operação denominada First Light 2026, que ocorreu entre 15 de Janeiro e 30 de Abril de 2026, para combater fraudes de engenharia social e actividades associadas de branqueamento de capitais. “Mais de 142 mil vítimas em todo o mundo foram identificadas durante a Operação First Light 2026, destacando até que ponto os golpes e fraudes de engenharia social se transformaram numa grande ameaça transnacional, afectando indivíduos, empresas e governos”, afirmou a INTERPOL. Mais de 23 mil casos foram resolvidos e 15.606 suspeitos foram identificados. Em Essuatíni, as autoridades prenderam 82 pessoas e desmantelaram uma rede criminosa que geria jogos de azar online ilegais, branqueamento de capitais e elaborados esquemas de falsificação de identidade. A polícia tailandesa fez duas prisões e descobriu um esquema de lavagem de dinheiro que convertia fundos ilícitos de fraudes românticas em várias criptomoedas, usando trocas de tokens entre cadeias para ocultar o rastro financeiro.
Typhosquats do SDK de pagamento
Aplicativos de pagamento seguro Typosquats de campanha npm e PyPI coordenados
Descobriu-se que um cluster de 17 pacotes npm e PyPI maliciosos digitam os SDKs Paysafe, Skrill e Neteller para roubar informações do sistema e segredos do desenvolvedor e exfiltrá-los para um endpoint Ngrok. O malware ignora máquinas que possuem menos de dois núcleos de CPU e o nome do host ou nome de usuário contém sandbox, analisador, cuco, vírus, malware, vmware ou vbox. “O ator da ameaça tinha como alvo SDKs de aplicativos de pagamento, o que pode indicar um motivo financeiro ou o desejo de monetizar usando contas de aplicativos de pagamento”, disse Socket. “O ator da ameaça usou seu ofuscador ‘corretamente’. Eles não reutilizaram a mesma chave de ofuscação em versões ou pacotes, o que visa evitar que as assinaturas rastreiem esse malware pela mesma chave. Isso resultou em hashes diferentes para cada arquivo."
Injeção de código furtiva
Envenenamento de parâmetros de processo para evitar detecção
Pesquisadores de segurança cibernética delinearam uma técnica chamada Envenenamento de Parâmetros de Processo (P³) que pode ser usada para codificar processos externos sem disparar nenhum alarme de segurança. "P³-Shellcode Loader é um carregador que implementa uma técnica de injeção de código que aproveita a estrutura de parâmetros do processo (Process Parameter Poisoning) como um local de execução e preparação para injeção de shellcode em processos remotos, sem acionar mecanismos de detecção comuns", disseram os pesquisadores Max Hirschberger e Ogulcan Ugur. "Uma grande vantagem desta técnica é que nenhum processo é criado em estado suspenso e nenhum thread ou processo é suspenso durante sua execução."
Acesso a arquivos não autenticados
Falha crítica de passagem de diretório no Esri ArcGIS Server
Uma falha crítica de segurança no Esri ArcGIS Server 12.0 e anteriores (CVE-2026-9181, pontuação CVSS: 9,8/7,5) poderia ser explorada para acessar arquivos confidenciais no sistema sem exigir credenciais válidas, enviando parâmetros de caminho criados. “A vulnerabilidade existe no recurso ArcGIS Server REST Uploads, onde a validação insuficiente dos parâmetros de caminho criados permite que um invasor remoto não autenticado atravesse fora do limite do diretório pretendido”, disse Horizon3.ai.
Sobreposição de ferramentas de ransomware
Ecossistema Interlock e Rhysida Ransomware detalhado
Uma nova análise da operação de ransomware Interlock (também conhecida como Hive0163) identificou links com TAG-124 (também conhecido como KongTuke e Landupdate808). O ator da ameaça é conhecido por empregar uma variedade de malwares, principalmente personalizados, incluindo NodeSnake, Interlock RAT, JunkFiction downloader (também conhecido como Dormouse), Supper (também conhecido como SocksShell e WINDYTWIST) e criptografador JunkFiction. IBM X-Force disse que descobriu fortes sobreposições entre variantes de malware NodeSnake, ModeloRAT, JunkFiction downloader, Interlock RAT e Supper, indicando uma base de código original compartilhada ou possivelmente desenvolvedores comuns. Rhysida, por outro lado, costuma usar o Endico downloader, Broomstick (também conhecido como Oyster ou CleanUpLoader), Supper e Tomb cryptor (também conhecido como Textshell ou pkr_mtsi). As evidências indicam um relacionamento com os operadores IceNova (também conhecido como Latrodectus) e ITG23 (também conhecido como TrickBot). As primeiras versões do JunkFiction datam de maio de 2024, com o downloader sendo usado para o Supper, que então entrega o CrossTec Remote Control, um
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #threatsday: #cloud #bucket #hijacking, #windows #lpe #chain, #global #fraud #bust #+ #17 #mais #histórias
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário