TOP-3 de eventos de cibersegurança da semana, de acordo com Jet CSIRT

Esta semana, as três principais notícias de segurança da informação, em nossa opinião, incluíram um novo skimmer da web que falsifica a página do PayPal em sites infectados, ataques de botnet DarkIRC em servidores Oracle WebLogic e o novo módulo de botnet TrickBot. Nós vamos lhe contar os detalhes do corte.







Novo Web Skimmer habilmente cria página do PayPal



Um novo skimmer da web foi descoberto na web que não apenas rouba a opinião do cliente, mas também o usa para preencher um formulário de pagamento falso do PayPal para torná-lo mais convincente. O script malicioso é colocado dentro de uma imagem que é armazenada no servidor da loja comprometida usando esteganografia. Para coletar detalhes de pagamento, o skimmer substitui a página do PayPal carregando um falso via iFrame, pré-preenchido com os dados do formulário de pedido. O roubo dos dados de pagamento ocorre quando a vítima insere todos os detalhes em um formulário falso e clica no botão de confirmação do pagamento.



Servidores Oracle WebLogic atacados pelo botnet DarkIRC



Os pesquisadores da Juniper Threat Labs relataram ataques de botnet DarkIRC em servidores Oracle WebLogic por meio de uma vulnerabilidade de execução remota de código ( CVE-2020-14882 ). O malware é entregue por meio de scripts do PowerShell por meio de solicitações HTTP GET. A carga útil é representada como código binário com funcionalidade para percorrer ferramentas de análise e sandboxes. DarkIRC possui uma grande lista de funções em seu arsenal: keylogging, download de arquivos e execução de comandos, roubo de credenciais, distribuição via MSSQL e RDP (força bruta), SMB ou USB, além de lançar diversos tipos de ataques DDoS.



Novo módulo TrickBot procura vulnerabilidades na UEFI



Especialistas da Advanced Intelligence (AdvIntel) e Eclypsium publicaram um relatório sobre o novo módulo de botnet TrickBot que procura vulnerabilidades no firmware UEFI de um dispositivo infectado. Ter acesso ao firmware UEFI dá ao invasor a oportunidade de conseguir a persistência de malware em um dispositivo comprometido em casos de reinstalação do sistema operacional ou substituição de unidades. O módulo verifica a atividade de proteção contra gravação UEFI / BIOS usando o driver RwDrv.sys.



All Articles