Recentemente, um grupo de cibercriminosos explorou uma falha crítica no FortiClient Endpoint Management Server (EMS), que já foi corrigida, para distribuir malware que rouba credenciais. A campanha utilizou a infraestrutura de gerenciamento de endpoints confiável para implantar o malware disfarçado como uma atualização legítima do Fortinet. A vulnerabilidade, identificada como CVE-2026-35616, possui uma pontuação CVSS de 9.1 e permite a escalada de privilégios por meio de um bypass de autenticação de API. Após a exploração, os atacantes modificaram configurações para atrasar lembretes de atualização de firmware e injetaram scripts maliciosos em dispositivos gerenciados. O malware, chamado ‘FortiEndpoint_Patch.exe’, é um ladrão de informações que coleta dados sensíveis, como senhas e informações de cartões de crédito, e os envia para um servidor controlado pelos atacantes. A utilização de comandos PowerShell para executar essas ações destaca a gravidade da situação, pois cada endpoint gerenciado se torna um alvo potencial sem a necessidade de uma intrusão separada.
Fonte: https://thehackernews.com/2026/05/threat-actors-exploit-critical.html
🚨BR DEFENSE CENTER: SECURITY BRIEFING
28/05/2026 • Risco: CRITICO
MALWARE
Ameaça de malware atinge servidores FortiClient com falha crítica
RESUMO EXECUTIVO
A exploração da vulnerabilidade CVE-2026-35616 em FortiClient EMS permite que atacantes modifiquem configurações e implantem malware que rouba informações sensíveis. A gravidade da situação exige atenção imediata dos CISOs, pois a falha pode resultar em acesso não autorizado a serviços críticos e comprometer a conformidade com a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido ao roubo de dados e comprometimento de sistemas.
Operacional
Roubo de credenciais e dados sensíveis de usuários.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'Setor Público']
📊 INDICADORES CHAVE
Pontuação CVSS de 9.1 para a vulnerabilidade.
Indicador
Uso de PowerShell para execução de comandos maliciosos.
Contexto BR
Capacidade de roubar dados sensíveis de navegadores baseados em Chromium e Gecko.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a versão do FortiClient EMS está atualizada para a versão 7.4.7 ou posterior.
2
Aplicar patches disponíveis e revisar as configurações de gerenciamento de endpoints.
3
Monitorar logs de acesso e atividades suspeitas em endpoints gerenciados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a possibilidade de roubo de credenciais que pode comprometer serviços em nuvem e aplicações internas.
⚖️ COMPLIANCE
Implicações legais relacionadas à LGPD, especialmente no que diz respeito ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
