Ataque

Pesquisadores de cibersegurança estão alertando sobre uma nova campanha que utiliza ferramentas legítimas de construção de sites com inteligência artificial generativa, como DeepSite AI e BlackBox AI, para criar páginas de phishing que imitam agências governamentais brasileiras. Essas páginas falsas visam enganar usuários desavisados a realizarem pagamentos indevidos através do sistema de pagamento PIX, conforme reportado pela Zscaler ThreatLabz. Os sites fraudulentos imitam o Departamento de Trânsito e o Ministério da Educação, coletando informações pessoais sensíveis, como CPF e endereços residenciais, sob o pretexto de realizar exames psicométricos ou garantir uma oferta de emprego. Para aumentar a legitimidade, as páginas de phishing coletam dados de forma progressiva, imitando o comportamento de sites autênticos. Análises do código fonte revelaram características de ferramentas de IA, como comentários excessivamente explicativos e elementos não funcionais. Além disso, a campanha de phishing valida os CPFs por meio de uma API controlada pelos atacantes. Em outra frente, o Brasil enfrenta uma campanha de malspam que distribui o trojan Efimer, disfarçado como comunicações de advogados, para roubar criptomoedas. O malware propaga-se por sites WordPress comprometidos e e-mails falsos, utilizando técnicas variadas para coletar informações e infectar dispositivos. Com cerca de 5.015 usuários afetados, a maioria das infecções está concentrada no Brasil e em outros países. Os pesquisadores alertam que, embora os ataques atuais estejam gerando quantias relativamente pequenas, eles podem resultar em danos mais significativos no futuro.

Pesquisadores de cibersegurança identificaram mais de uma dúzia de vulnerabilidades em cofres de segurança empresarial da CyberArk e HashiCorp, que, se exploradas, podem permitir que atacantes remotos acessem sistemas de identidade corporativa e extraiam segredos e tokens. As 14 falhas, nomeadas coletivamente de Vault Fault, afetam o CyberArk Secrets Manager, Self-Hosted e Conjur Open Source, bem como o HashiCorp Vault. As falhas foram corrigidas em versões recentes, incluindo CyberArk Secrets Manager 13.5.1 e 13.6.1 e HashiCorp Vault Community Edition 1.20.2. As vulnerabilidades incluem bypass de autenticação, escalonamento de privilégios, execução remota de código e roubo de tokens de root. A mais crítica permite a execução remota de código, onde atacantes podem assumir o controle do cofre sem credenciais válidas. Além disso, falhas na lógica de proteção contra bloqueio do HashiCorp Vault podem permitir que atacantes determinem quais nomes de usuário são válidos e até redefinam contadores de bloqueio. As vulnerabilidades também expõem a possibilidade de contornar a autenticação multifator (MFA). O ataque pode ser realizado através de uma cadeia de exploração que combina várias falhas, permitindo acesso não autenticado e execução de comandos arbitrários. Em um cenário relacionado, a Cisco Talos destacou falhas no firmware ControlVault3 da Dell, que poderiam ser exploradas para contornar login do Windows e extrair chaves criptográficas. As vulnerabilidades encontradas criam um método de persistência remoto para acesso encoberto em ambientes de alto valor. Para mitigar esses riscos, os usuários devem aplicar as correções fornecidas e desabilitar serviços ControlVault quando não estiverem em uso.