Vulnerabilidades críticas comprometem Salesforce, Windows e Cloudfare, alerta Redbelt

Hackers estão utilizando plataformas e softwares populares no mercado para lançar novos golpes, explorando vulnerabilidades, alertou a Redbelt Security, consultoria especializada em segurança cibernética, em seu novo relatório de ameaças.

Entre as descobertas da empresa está uma campanha de phishing que roda no Facebook e se aproveita de uma vulnerabilidade de Zero-Day no Salesforce para lançar um ataque direcionado. De acordo com a Redbelt, a campanha usa os serviços de e-mail do Salesforce, que cria mensagens de phishing direcionadas usando a infraestrutura da empresa.

“O objetivo é levar os usuários a uma página de destino fraudulenta que captura suas credenciais e códigos de autenticação de dois fatores (2FA). O que chama a atenção é que o kit de phishing está hospedado como um jogo na plataforma de aplicativos do Facebook, sob o domínio apps.facebook[.].com”, explica a Redbelt em seu relatório.

Marcos de Almeida, gerente de Red Team da Redbelt, alerta que é preocupante como os criminosos estão explorando falhas e utilizando a infraestrutura dos sistema de relacionamento das empresas com os consumidores para enganar os usuários. “A segurança on-line é mais importante do que nunca e é preciso ficar alerta em todas as ferramentas empresariais utilizadas”, reforça o executivo.

Os hackers também se aproveitam do recurso Windows Search para instalar cavalos de Tróia de acesso remoto. A Redbelt reporta que um novo tipo de ataque está usando uma função legítima do Windows para baixar malware de servidores remotos e comprometer sistemas. Os invasores exploram o protocolo URI “search-ms:” para iniciar pesquisas personalizadas e o protocolo “search:” para chamar o aplicativo de pesquisa do Windows. Eles enviam e-mails enganosos com links que redirecionam para sites comprometidos, acionando a execução de JavaScript a fim de realizar buscas em servidores controlados por invasores. Esta tática permite que eles evitem as defesas de segurança tradicionais da Microsoft.

Vulnerabilidades e phishing

Outra descoberta revela que cibercriminosos se aproveitam do Cloudflare R2 para hospedar páginas de phishing. O número de aplicativos em nuvem usados para distribuir malware aumentou para 167, com Microsoft OneDrive, Squarespace, GitHub, SharePoint e Weebly liderando. O Cloudflare R2 é um serviço de armazenamento em nuvem semelhante ao Amazon Web Service S3, Google Cloud Storage e Azure Blob Storage.

Já no Brasil, a Redbelt Security descobriu que os cibercriminosos brasileiros têm usado scripts maliciosos para atacar estrangeiros. Houve aumento preocupante nos ataques para drenar contas bancárias on-line, tendo como público-alvo principalmente vítimas de língua espanhola e portuguesa, localizadas no México, Peru e Portugal.

“Os hackers brasileiros se aproveitam da engenharia social, enviando e-mails com iscas temáticas relacionadas a impostos ou violações de trânsito. Ao receber esses e-mails, é importante ter cautela e evitar download e execução de arquivos anexos de origem desconhecida. Manter os softwares, em especial de segurança, atualizados é fundamental para detectar e bloquear essas ameaças”, enfatiza Almeida.

Outro alerta atinge a região da América Latina, onde foi identificado o malware financeiro JanelaRAT, que ataca sistemas Windows e rouba informações confidenciais. A origem da infecção é desconhecida, mas um arquivo ZIP com um script do Visual Basic está sendo entregue por um vetor desconhecido. Segundo a Redbelt, o autor parece estar familiarizado com o português e os links para a América Latina estão relacionados a instituições financeiras. “É crucial que todas as organizações na região monitorem atentamente qualquer atividade suspeita e compartilhem informações de ameaças com outras instituições para fortalecer a segurança cibernética em toda a região”, recomenda o executivo da Redbelt.