Recentemente, a Mandiant, empresa de cibersegurança pertencente ao Google, revelou que um grupo de ameaças, identificado como UNC5518, está utilizando uma técnica de engenharia social chamada ClickFix para implantar um backdoor versátil conhecido como CORNFLAKE.V3. O ataque começa quando usuários são atraídos para páginas falsas de verificação CAPTCHA, onde são induzidos a executar um script PowerShell malicioso. Este script permite que os atacantes acessem os sistemas das vítimas e implantem cargas adicionais. O CORNFLAKE.V3, que é uma versão atualizada de um backdoor anterior, suporta a execução de diversos tipos de payloads e coleta informações do sistema, transmitindo-as para servidores externos através de túneis do Cloudflare, dificultando a detecção. Além disso, a Mandiant também destacou uma campanha em andamento que utiliza drives USB infectados para implantar mineradores de criptomoedas, demonstrando a eficácia contínua desse vetor de ataque. Para mitigar esses riscos, recomenda-se que as organizações desativem o diálogo de execução do Windows e realizem simulações regulares de engenharia social.
Fonte: https://thehackernews.com/2025/08/cybercriminals-deploy-cornflakev3.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
21/08/2025 • Risco: ALTO
MALWARE
Grupo de hackers utiliza ClickFix para implantar backdoor CORNFLAKE.V3
RESUMO EXECUTIVO
O uso de técnicas de engenharia social para implantar malware como o CORNFLAKE.V3 representa uma ameaça significativa para organizações no Brasil. A capacidade de coletar informações e executar comandos remotamente pode resultar em sérios compromissos de segurança e impactos financeiros substanciais.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a compromissos de segurança e recuperação de dados.
Operacional
Implantação de backdoors e coleta de informações do sistema.
Setores vulneráveis
['Setores de tecnologia, finanças e saúde']
📊 INDICADORES CHAVE
CORNFLAKE.V3 é uma versão atualizada que suporta múltiplos tipos de payloads.
Indicador
O ataque utiliza túneis do Cloudflare para evitar detecção.
Contexto BR
PUMPBENCH, um backdoor, é utilizado para facilitar o acesso remoto.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há scripts PowerShell não autorizados em execução.
2
Desativar o diálogo de execução do Windows onde possível.
3
Implementar monitoramento contínuo para detectar atividades suspeitas relacionadas a backdoors.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a eficácia das técnicas de engenharia social e a capacidade dos atacantes de explorar vulnerabilidades em sistemas amplamente utilizados.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
