Redbelt encontra vulnerabilidades críticas em Salesforce, Windows e Cloudflare

Redbelt encontra vulnerabilidades críticas em Salesforce, Windows e Cloudflare

Relatório realizado pela companhia também identificou um malware financeiro que está atacando sistemas e roubando informações confidenciais na América Latina

Com o aumento constante e sofisticação dos ataques cibernéticos, muitos viabilizados pela identificação contínua de novas vulnerabilidades, a tarefa de proteção da infraestrutura das empresas tem se tornado cada vez mais desafiadora. Essa realidade motiva a Redbelt Security, consultoria especializada em segurança cibernética, a divulgar alertas mensais sobre vulnerabilidades identificadas em diferentes sistemas com o objetivo de contribuir para que as empresas se fortaleçam seus ambientes digitais. As vulnerabilidades encontradas recentemente são:

  • Phishing no Facebook – hackers usam vulnerabilidade de Zero-Day no Salesforce para ataque direcionado – Uma sofisticada campanha de phishing no Facebook usou uma nova nos serviços de e-mail do Salesforce, que cria mensagens de phishing direcionadas usando a infraestrutura da empresa. O objetivo é levar os usuários a uma página de destino fraudulenta que captura suas credenciais e códigos de autenticação de dois fatores (2FA). O que chama a atenção é que o kit de phishing está hospedado como um jogo na plataforma de aplicativos do Facebook, sob o domínio apps.facebook[.].com. “É preocupante como os criminosos estão explorando falhas e utilizando a infraestrutura dos sistema de relacionamento das empresas com os consumidores para enganar os usuários. A segurança on-line é mais importante do que nunca e é preciso ficar alerta em todas as ferramentas empresariais utilizadas”, alerta Marcos de Almeida, gerente de Red Team da Redbelt.
  • Hackers se aproveitam do recurso Windows Search para instalar cavalos de Tróia de acesso remoto –um novo tipo de ataque está usando uma função legítima do Windows para baixar malware de servidores remotos e comprometer sistemas. Os invasores exploram o protocolo URI “search-ms:” para iniciar pesquisas personalizadas e o protocolo “search:” para chamar o aplicativo de pesquisa do Windows. Eles enviam e-mails enganosos com links que redirecionam para sites comprometidos, acionando a execução de JavaScript a fim de realizar buscas em servidores controlados por invasores. Esta tática permite que eles evitem as defesas de segurança tradicionais da Microsoft. “É vital que as empresas estejam cientes desse risco e adotem medidas rigorosas de segurança cibernética. Isso inclui a educação dos funcionários sobre como identificar e-mails enganosos e links suspeitos, bem como a implementação de soluções de segurança avançadas, que possam detectar e mitigar ameaças desse tipo.”, destaca Almeida.
  • Cibercriminosos se aproveitam do Cloudflare R2 para hospedar páginas de phishing –O uso do Cloudflare R2 para hospedar páginas de phishing aumentou 61 vezes em seis meses. O número de aplicativos em nuvem usados para distribuir malware aumentou para 167, com Microsoft OneDrive, Squarespace, GitHub, SharePoint e Weebly liderando. O Cloudflare R2 é um serviço de armazenamento em nuvem semelhante ao Amazon Web Service S3, Google Cloud Storage e Azure Blob Storage. As campanhas maldosas identificadas pela Netskope usam o Cloudflare R2 para distribuir páginas de phishing e aproveitam o serviço Turnstile da empresa para evitar a detecção por meio de testes CAPTCHA, impedindo scanners online como urlscan.io de acessar o site de phishing real.
  • Cibercriminosos brasileiros usam scripts maliciosos, como LOLBaS e CMD, para atacar estrangeiros – ocorreram aumentos preocupantes nos ataques para drenar contas bancárias on-line, tendo como público-alvo principalmente vítimas de língua espanhola e portuguesa, localizadas no México, Peru e Portugal. “Os hackers brasileiros se aproveitam da engenharia social, enviando e-mails com iscas temáticas relacionadas a impostos ou violações de trânsito. Ao receber esses e-mails, é importante ter cautela e evitar download e execução de arquivos anexos de origem desconhecida. Manter os softwares, em especial de segurança, atualizados é fundamental para detectar e bloquear essas ameaças”, enfatiza Almeida.
  • Alerta na América Latina para o malware financeiro JanelaRAT, que ataca sistemas Windows e rouba informações confidenciais – a origem da infecção é desconhecida, mas um arquivo ZIP com um script do Visual Basic está sendo entregue por um vetor desconhecido. O autor parece estar familiarizado com o português e os links para a América Latina estão relacionados a instituições financeiras. O VBScript é projetado para buscar um segundo arquivo ZIP do servidor dos invasores e soltar um arquivo em lote usado para estabelecer a persistência do malware. “É crucial que todas as organizações na região monitorem atentamente qualquer atividade suspeita e compartilhem informações de ameaças com outras instituições para fortalecer a segurança cibernética em toda a região”, comenta o executivo da Redbelt.
  • Cibercriminosos usam cada vez mais o Kit “EvilProxy Phishing” para atingir executivos – contas de executivos de alto escalão em empresas proeminentes do mercado foram invadidas usando o kit de ferramentas de phishing EvilProxy como serviço (PhaaS). Segundo a Proofpoint, uma campanha híbrida enviou cerca de 120.000 e-mails de phishing para milhares de contas do Microsoft 365 em todo o mundo de março a junho de 2023. Quase 39% dos afetados são CEOs (9%) e CFOs (17%), além de pessoas com acesso a ativos financeiros ou informações confidenciais. Importante: 35% das vítimas tinham proteções de conta ativadas.  

“O trabalho meticuloso da Redbelt em descobrir e revelar vulnerabilidades críticas em plataformas tão amplamente utilizadas como Salesforce, Windows e Cloudflare é um lembrete contundente da importância de se investir em cibersegurança. Essas descobertas destacam a necessidade de constante vigilância e atualizações para proteger os dados sensíveis e a privacidade dos usuários”, conclui Almeida.