Cibersegurança

Atualizações de Segurança e Novas Ameaças em Cibersegurança

O boletim semanal de cibersegurança destaca as últimas ameaças digitais, incluindo a atualização de firmware da SonicWall para remover malware rootkit em dispositivos SMA 100, após a descoberta de ataques por um ator identificado como UNC6148. Além disso, uma vulnerabilidade crítica (CVE-2025-10184) foi encontrada em smartphones OnePlus, permitindo que aplicativos maliciosos acessem mensagens de texto sem permissão do usuário. O CISA também relatou uma violação em uma agência federal dos EUA, onde hackers exploraram uma falha no GeoServer para comprometer a rede. A prisão de membros do grupo Scattered Spider, que usou engenharia social para realizar ataques, e o uso de arquivos SVG maliciosos em campanhas de phishing na América Latina, como AsyncRAT, também foram abordados. Essas informações ressaltam a necessidade de atualização constante e vigilância em cibersegurança, especialmente para empresas que operam em ambientes digitais complexos.

Grupo da Coreia do Norte utiliza malware para atacar desenvolvedores

O grupo de ameaças associado à Coreia do Norte, conhecido como Contagious Interview, foi vinculado a uma nova backdoor chamada AkdoorTea, além de outras ferramentas como TsunamiKit e Tropidoor. A campanha, monitorada pela empresa de cibersegurança ESET sob o nome DeceptiveDevelopment, visa desenvolvedores de software em diversas plataformas, especialmente aqueles envolvidos com criptomoedas e projetos Web3. Os atacantes se fazem passar por recrutadores, oferecendo vagas atraentes em plataformas como LinkedIn e Upwork. Após o contato inicial, os alvos são solicitados a realizar uma avaliação em vídeo ou um exercício de programação que, na verdade, instala malware em seus sistemas. Os malwares identificados incluem BeaverTail, que exfiltra dados sensíveis, e WeaselStore, que atua como um RAT (trojan de acesso remoto). A campanha utiliza técnicas de engenharia social e ferramentas de código aberto, demonstrando um modelo de operação distribuído e criativo. Além disso, há uma conexão com um esquema de fraude de trabalhadores de TI da Coreia do Norte, que visa infiltrar agentes em empresas utilizando identidades roubadas. Essa situação representa um risco significativo para a segurança cibernética, especialmente para empresas que operam no setor de tecnologia e criptomoedas.

Vulnerabilidade crítica no Salesforce Agentforce pode vazar dados

Pesquisadores de cibersegurança revelaram uma falha crítica no Salesforce Agentforce, uma plataforma para criação de agentes de inteligência artificial (IA), que pode permitir que atacantes exfiltratem dados sensíveis do sistema de gerenciamento de relacionamento com o cliente (CRM) da empresa. Nomeada de ForcedLeak, a vulnerabilidade possui uma pontuação CVSS de 9.4 e afeta organizações que utilizam a funcionalidade Web-to-Lead do Salesforce. O ataque ocorre por meio de uma injeção de prompt indireta, onde instruções maliciosas são inseridas em campos de dados externos, levando o sistema a gerar conteúdos proibidos ou a realizar ações não intencionais. O processo envolve cinco etapas, começando com o envio de um formulário Web-to-Lead contendo uma descrição maliciosa, seguido pelo processamento desse lead por um funcionário interno que utiliza um comando padrão de IA. A falha permite que dados sensíveis sejam transmitidos para um domínio controlado pelo atacante. A Salesforce já tomou medidas para mitigar a vulnerabilidade, resegurando o domínio expirado e implementando um mecanismo de lista de URLs confiáveis. Os usuários são aconselhados a auditar dados existentes e implementar validações rigorosas de entrada para detectar possíveis injeções de prompt.

Grupo APT COLDRIVER implanta backdoor BAITSWITCH via PowerShell

Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.

Hackers Usam Malware Silencioso para Tomar Contas Administrativas do WordPress

Pesquisadores de cibersegurança descobriram uma campanha sofisticada de malware direcionada ao WordPress, que utiliza dois arquivos backdoor complementares para garantir acesso administrativo persistente a sites comprometidos. O primeiro componente, disfarçado como um plugin legítimo chamado ‘DebugMaster Pro’, cria uma conta de administrador não autorizada com credenciais fixas. Este malware oculta sua presença removendo-se das listagens de plugins e escondendo a nova conta de administrador. O segundo componente, um script chamado ‘wp-user.php’, atua como um mecanismo de segurança que monitora a conta de administrador criada, recriando-a sempre que for removida, garantindo assim o acesso contínuo. Os especialistas recomendam que os administradores de sites WordPress realizem verificações de integridade de arquivos, auditem contas de usuários e implementem sistemas de monitoramento de arquivos para detectar e mitigar essa ameaça. A descoberta ressalta a importância de varreduras de segurança regulares, que devem incluir componentes disfarçados que imitam funcionalidades legítimas do WordPress.

Vulnerabilidade de Segurança em Câmeras Hikvision Permite Acesso Não Autorizado

A comunidade de cibersegurança está em alerta devido a uma vulnerabilidade em câmeras da Hikvision, que tem sido explorada por atacantes para acessar informações sensíveis. Nos últimos dias, registros de honeypots mostraram um aumento nas tentativas de acesso ao endpoint /System/deviceInfo, utilizando um parâmetro ‘auth’ com credenciais codificadas em Base64. O valor decodificado, ‘admin:11’, sugere o uso de técnicas de força bruta para explorar senhas fracas, permitindo que invasores acessem informações críticas do dispositivo.

SetupHijack Explora Condições de Corrida e Manipulação Insegura no Windows

O SetupHijack é uma nova ferramenta de pesquisa em segurança de código aberto que explora condições de corrida e manipulação insegura de arquivos em processos de instalação do Windows para obter escalonamento de privilégios. A ferramenta monitora diretórios graváveis, como %TEMP%, %APPDATA% e %USERPROFILE%\Downloads, substituindo executáveis de instaladores por cargas úteis fornecidas pelo atacante, que são executadas com direitos elevados antes que as verificações de integridade sejam concluídas.

Os instaladores do Windows frequentemente colocam temporariamente executáveis em locais graváveis antes da execução. O SetupHijack opera no contexto de um usuário não privilegiado, escaneando continuamente esses diretórios. Quando um arquivo alvo aparece, a ferramenta rapidamente o substitui por uma carga útil personalizada, criando uma janela de corrida (TOCTOU). Se o processo privilegiado executar o arquivo sequestrado antes de verificar sua autenticidade, a carga útil do atacante é executada com privilégios de SYSTEM ou Administrador.

Crates maliciosos em Rust visam chaves de carteiras Ethereum e Solana

Pesquisadores de cibersegurança descobriram dois crates maliciosos escritos em Rust, chamados faster_log e async_println, que se disfarçam como uma biblioteca legítima chamada fast_log. Esses crates foram publicados por um ator de ameaça sob os pseudônimos rustguruman e dumbnbased em 25 de maio de 2025, acumulando 8.424 downloads. O código malicioso embutido nos crates é projetado para escanear arquivos de código-fonte em busca de chaves privadas de carteiras Solana e Ethereum, enviando as informações coletadas para um servidor de comando e controle (C2) via HTTP POST. A vulnerabilidade foi identificada após uma divulgação responsável, levando os mantenedores do crates.io a remover os pacotes e desativar as contas dos autores. O ataque, classificado como typosquatting, utiliza um logger funcional com um nome familiar, o que pode passar despercebido em revisões superficiais. A campanha destaca como uma pequena quantidade de código malicioso pode representar um risco significativo na cadeia de suprimentos de software, especialmente em ambientes de desenvolvimento e integração contínua.

Páginas fraudulentas do GitHub enganam usuários de Mac e espalham malware

Pesquisadores de cibersegurança alertam usuários de Mac sobre uma campanha que utiliza repositórios fraudulentos no GitHub para disseminar malware, especificamente o infostealer conhecido como Atomic Stealer. Os atacantes criam contas falsas no GitHub, imitando empresas confiáveis para induzir os usuários a baixar softwares falsos. Um exemplo recente envolveu páginas que se passavam pelo LastPass, levando os usuários a executar comandos no terminal do Mac que baixavam e instalavam o malware. Essa técnica de engenharia social é potencializada por estratégias de SEO, que fazem com que os links maliciosos apareçam nas primeiras posições dos resultados de busca. Embora algumas páginas tenham sido removidas, os atacantes frequentemente retornam com novos perfis, levantando preocupações sobre a eficácia das plataformas em proteger os usuários. Para se proteger, recomenda-se baixar softwares apenas de fontes verificadas, evitar comandos de sites desconhecidos e manter o sistema atualizado.

Ataque de ransomware expõe dados de 35 mil na Madison Elementary School

O Madison Elementary School District 38, localizado em Phoenix, Arizona, notificou cerca de 35 mil pessoas sobre uma violação de dados resultante de um ataque de ransomware realizado pelo grupo Interlock em abril de 2025. O ataque, que ocorreu em 7 de abril, foi facilitado por engenharia social, onde um funcionário da escola foi enganado. Embora a escola não tenha especificado quais dados foram comprometidos, a oferta de serviços de proteção de identidade sugere que informações sensíveis, como números de Seguro Social e dados financeiros, podem estar envolvidas. O grupo Interlock, ativo desde outubro de 2024, já realizou 29 ataques confirmados, sendo nove deles em instituições educacionais nos EUA. O ataque à Madison é o segundo maior em termos de registros afetados, com mais de 150 mil registros comprometidos em ataques confirmados no setor educacional dos EUA em 2025. A escola contratou a Arete para investigar a extensão da violação, que custou mais de 21 mil dólares. Até o momento, não está claro se um resgate foi exigido ou pago.

Grupo de ransomware Rhysida ataca Administração de Trânsito de Maryland

O grupo de ransomware Rhysida reivindicou a responsabilidade por um incidente de segurança cibernética que afetou a Administração de Trânsito de Maryland (MTA) em agosto de 2025. O ataque resultou em acesso não autorizado aos sistemas da MTA, causando a perda de dados e interrupções nos serviços de paratransito. Rhysida exigiu um resgate de 30 bitcoins, equivalente a aproximadamente 3,4 milhões de dólares, e publicou imagens de documentos supostamente roubados, incluindo cartões de Seguro Social e passaportes. A MTA confirmou a perda de dados, mas não divulgou detalhes específicos devido à sensibilidade da investigação em andamento. Até o momento, não está claro quantas pessoas foram afetadas ou se o resgate será pago. Rhysida, que opera um modelo de ransomware como serviço, já realizou 91 ataques confirmados desde sua fundação em 2023, comprometendo cerca de 5,5 milhões de registros. Este incidente destaca a crescente ameaça de ataques de ransomware a entidades governamentais nos Estados Unidos, com 59 ataques confirmados em 2025, afetando mais de 386 mil registros.

Grupo de ciberespionagem RedNovember é associado à China

Um novo relatório da Recorded Future revela que um grupo de ciberespionagem, anteriormente conhecido como TAG-100, foi reclassificado como RedNovember, supostamente patrocinado pelo Estado chinês. Entre junho de 2024 e julho de 2025, o grupo atacou organizações governamentais e do setor privado em várias regiões, incluindo América do Norte, América do Sul e Ásia. Utilizando ferramentas como o backdoor Pantegana e Cobalt Strike, RedNovember explorou vulnerabilidades em dispositivos de segurança de grandes empresas, como Check Point e Cisco. O foco do grupo inclui setores sensíveis, como defesa, aeroespacial e organizações de segurança. Recentemente, o grupo foi associado a ataques a contratantes de defesa dos EUA e a um ministério de relações exteriores na Ásia Central. A utilização de ferramentas de código aberto e serviços de VPN para ocultar suas atividades é uma estratégia comum entre grupos de espionagem, dificultando a atribuição de suas ações. O relatório destaca a necessidade de vigilância contínua e medidas de mitigação para proteger as organizações contra essas ameaças emergentes.

Falha no ChatGPT permitia roubar dados do Gmail sem cliques

Uma vulnerabilidade na ferramenta Deep Research do ChatGPT, descoberta pela Radware, permitia que dados do Gmail de usuários fossem coletados sem que eles precisassem clicar em qualquer link. O recurso, lançado em fevereiro, foi projetado para realizar pesquisas mais robustas e rápidas, mas, ao se conectar às contas do Gmail, expôs informações pessoais como nome e endereço. A Radware testou a falha enviando e-mails a si mesmos com instruções ocultas, que permitiram que a IA coletasse dados e os enviasse a um endereço controlado pelos pesquisadores. A OpenAI, responsável pelo ChatGPT, corrigiu a falha em 3 de setembro e afirmou que não há evidências de que a vulnerabilidade tenha sido explorada por hackers. No entanto, a possibilidade de uso de dados para ataques de phishing no futuro permanece. A empresa ressaltou que a segurança é uma prioridade e que a análise da Radware contribuiu para a melhoria das ferramentas. Este incidente destaca a necessidade de vigilância contínua em relação à segurança de ferramentas de IA, especialmente aquelas que interagem com dados sensíveis dos usuários.

Ataque hacker visa hotéis no Brasil para roubar dados de hóspedes

Um novo agente malicioso, denominado TA558, está por trás de uma série de ataques a hotéis no Brasil e na América Latina, com o objetivo de roubar dados de cartões de crédito de hóspedes. Os ataques, conhecidos como RevengeHotels, utilizam e-mails de phishing que imitam documentos legítimos, como recibos de reservas, para disseminar o malware VenomRAT. Este trojan de acesso remoto é capaz de evitar a detecção por antivírus e se propaga através de scripts em JavaScript e PowerShell, muitos dos quais apresentam características que sugerem a utilização de inteligência artificial na sua criação.

Novo malware Raven Stealer rouba senhas do Chrome e Edge

A empresa de segurança Point Wild identificou um novo malware chamado Raven Stealer, que ataca navegadores populares como Google Chrome e Microsoft Edge. O vírus, que se espalha principalmente por meio de fóruns obscuros e programas piratas, é desenvolvido em Delphi e C++. Ele se instala como um programa aparentemente inofensivo e, em seguida, executa um payload malicioso diretamente na memória do computador, evitando a detecção por antivírus. O Raven Stealer é capaz de roubar senhas, cookies e informações de pagamento, enviando esses dados para cibercriminosos via bots de mensagem no Telegram. A equipe de pesquisa recomenda o uso de antivírus atualizados e a cautela ao baixar programas piratas ou clicar em links suspeitos. O ataque destaca a evolução das técnicas de hackers, que agora utilizam ferramentas que podem ser operadas por indivíduos com pouco conhecimento técnico. Apesar de um problema de token no Telegram ter dificultado o envio de dados em alguns testes, o risco de roubo de informações permanece alto.

Atores de Ameaça Usam GitHub para Armar Malware contra Usuários de macOS

Um novo ataque cibernético em larga escala tem como alvo usuários de macOS, utilizando o GitHub Pages para distribuir malware disfarçado de softwares confiáveis, como Malwarebytes e LastPass. Os criminosos criam repositórios falsos com nomes enganosos, otimizando-os para aparecer nas primeiras posições dos resultados de busca. O principal malware utilizado é o Atomic Stealer (AMOS), que rouba credenciais, dados de navegadores e informações de carteiras de criptomoedas sem o conhecimento do usuário. O ataque se aproveita de técnicas de SEO para atrair vítimas, levando-as a executar scripts de instalação maliciosos. Uma vez instalado, o AMOS se torna persistente, criando arquivos que garantem sua execução em logins e inicializações do sistema. Além disso, o malware manipula o conteúdo da área de transferência para redirecionar endereços de carteiras de criptomoedas. Para se proteger, os usuários devem evitar comandos de instalação de fontes não verificadas e utilizar soluções de anti-malware em tempo real. Em caso de infecção, recomenda-se a remoção de arquivos suspeitos e a reinstalação completa do macOS a partir de backups verificados.

Técnica de Domain Fronting Permite Túnel para Google Meet e YouTube

Pesquisadores demonstraram, durante os eventos Black Hat e DEF CON, como a técnica de domain fronting pode ser utilizada para ocultar tráfego malicioso por meio de plataformas populares como Google Meet, YouTube e servidores de atualização do Chrome. Essa técnica explora a discrepância entre os cabeçalhos Server Name Indication (SNI) e HTTP Host em requisições HTTPS, permitindo que atacantes disfarcem suas atividades como chamadas legítimas a domínios confiáveis. Em testes de prova de conceito, foi possível invocar funções maliciosas em infraestrutura controlada por atacantes dentro do Google Cloud Platform (GCP) ao manipular esses cabeçalhos. Essa abordagem representa uma nova forma de ataque, especialmente relevante para equipes de segurança, que agora precisam desenvolver capacidades de inspeção mais profundas para identificar padrões de roteamento incomuns, mesmo em tráfego que parece legítimo. A liberação de um redirecionador de código aberto para facilitar a adoção dessa técnica por equipes vermelhas destaca a necessidade urgente de vigilância e mitigação por parte das organizações, que devem equilibrar a utilização de serviços do Google com a detecção de anomalias para evitar que atacantes se escondam em tráfego aparentemente seguro.

Polícia do Reino Unido Prende Suspeito de Ataque de Ransomware em Aeroportos Europeus

As autoridades do Reino Unido prenderam um homem suspeito de ser o responsável por um ataque de ransomware que afetou operações em aeroportos europeus, incluindo o Heathrow, em Londres. A prisão ocorreu na terça-feira, em West Sussex, e o suspeito foi liberado sob fiança enquanto a investigação prossegue. O ataque, que atingiu os sistemas de manuseio de bagagens e check-in da Collins Aerospace, causou atrasos e cancelamentos de voos em aeroportos como Heathrow, Bruxelas, Dublin e Berlim. A empresa, que fornece software para várias companhias aéreas, teve que recorrer a processos manuais, resultando em grandes transtornos para os passageiros. O ataque foi confirmado como um caso de ransomware, onde arquivos críticos foram criptografados e um pagamento em criptomoeda foi exigido para a recuperação. A situação destaca a crescente vulnerabilidade do setor de aviação a ataques cibernéticos, com um aumento de 600% nos ataques contra entidades do setor no último ano. Especialistas pedem uma maior colaboração entre aeroportos, reguladores e fornecedores de software para mitigar riscos futuros.

Como Carregadores PE em Memória Permitem que Ataques Contornem EDRs

Pesquisadores de segurança revelaram uma nova técnica de ataque que permite a invasores contornar soluções de Detecção e Resposta em Endpoint (EDR) ao executar arquivos executáveis portáteis (PE) diretamente na memória, sem gravá-los no disco. Essa técnica, conhecida como carregador PE em memória, possibilita a injeção e execução de binários maliciosos em processos considerados benignos. O método utiliza APIs do WinINet para baixar o arquivo PE de repositórios remotos e alocar memória virtual para executar o código malicioso. Durante testes, soluções como Microsoft Defender XDR e Sophos XDR não conseguiram detectar essa execução em memória, evidenciando uma falha crítica nas defesas tradicionais. Para mitigar esses riscos, as equipes de segurança devem implementar análises comportamentais e monitoramento de alocação de memória, além de reforçar políticas de whitelist de aplicativos e auditar requisições HTTP de processos críticos. A crescente adoção de métodos sem arquivo exige que as organizações evoluam suas abordagens de segurança, garantindo visibilidade abrangente tanto em operações de sistema de arquivos quanto em memória.

Exposição em massa de dados sensíveis em aplicativos do Firebase

Uma análise de segurança revelou que mais de 150 aplicativos móveis populares estão expondo inadvertidamente dados sensíveis dos usuários devido a configurações inadequadas nos serviços do Google Firebase. A pesquisa, conduzida pelo especialista Icex0, auditou cerca de 1.200 aplicativos e descobriu que aproximadamente 80% deles utilizam serviços do Firebase. Entre os aplicativos vulneráveis, cerca de 150 apresentaram regras de segurança mal configuradas, permitindo acesso não autenticado a repositórios de dados críticos. As informações expostas incluem detalhes de pagamento, credenciais de usuários, mensagens privadas, senhas em texto claro, coordenadas de localização e chaves de acesso a serviços como AWS e GitHub. Um caso alarmante envolveu um aplicativo com mais de 100 milhões de downloads que armazenava fotos de documentos de identidade emitidos pelo governo, acessíveis sem autenticação. As falhas de segurança são atribuídas a quatro serviços do Firebase: Realtime Databases, Cloud Storage Buckets, Firestore e Remote Configuration. O problema é exacerbado por desenvolvedores que mantêm o modo de teste ou configuram regras de segurança excessivamente permissivas. Para mitigar essas vulnerabilidades, foi desenvolvido o OpenFirebase, um scanner de segurança automatizado que analisa arquivos APK para identificar configurações vulneráveis do Firebase, revelando uma quantidade significativa de dados expostos que ferramentas existentes não detectam.

Segurança de iframes de pagamento um alerta para comerciantes

Um novo artigo destaca a vulnerabilidade dos iframes de pagamento, que estão sendo explorados por atacantes através de técnicas de sobreposição maliciosa para roubar dados de cartões de crédito. A campanha de skimming do Stripe, ocorrida em agosto de 2024, exemplifica essa ameaça, onde 49 comerciantes foram comprometidos. Os atacantes injetam JavaScript malicioso em plataformas vulneráveis, como o WordPress, para substituir iframes legítimos por réplicas perfeitas que capturam informações do usuário sem que ele perceba.

Nova família de malware YiBackdoor é descoberta com conexões perigosas

Pesquisadores de cibersegurança revelaram detalhes sobre uma nova família de malware chamada YiBackdoor, que apresenta ‘significativas’ semelhanças de código com os malwares IcedID e Latrodectus. Identificado pela primeira vez em junho de 2025, o YiBackdoor é capaz de executar comandos arbitrários, coletar informações do sistema, capturar screenshots e implantar plugins que ampliam suas funcionalidades. Embora a conexão exata entre YiBackdoor, IcedID e Latrodectus ainda não esteja clara, acredita-se que o novo malware possa ser utilizado em ataques de ransomware, servindo como um precursor para exploração adicional. O malware utiliza técnicas rudimentares de anti-análise para evitar ambientes virtualizados e incorpora a capacidade de injetar sua funcionalidade principal no processo ‘svchost.exe’. A persistência no sistema é alcançada através da chave de registro Run do Windows. Até o momento, as implantações do YiBackdoor são limitadas, sugerindo que ainda está em desenvolvimento ou em fase de testes. Além disso, novas versões do ZLoader foram identificadas, apresentando melhorias em ofuscação de código e técnicas de evasão, o que indica uma evolução contínua das ameaças no cenário de cibersegurança.

A queda da KNP Logistics um alerta sobre segurança de senhas

O caso da KNP Logistics Group, que operou por 158 anos, ilustra a fragilidade da segurança cibernética em empresas, mesmo as mais estabelecidas. Em junho de 2025, a empresa foi alvo do grupo de ransomware Akira, que acessou seus sistemas ao adivinhar uma senha fraca de um funcionário. A falta de autenticação multifatorial (MFA) permitiu que os hackers se infiltrassem facilmente, criptografando dados críticos e destruindo backups, resultando em uma demanda de resgate de £5 milhões. Apesar de ter seguro contra ataques cibernéticos e conformidade com normas de TI, a KNP não conseguiu se recuperar e acabou entrando em administração, resultando na demissão de 700 funcionários. O incidente destaca a importância de políticas de senhas robustas e da implementação de MFA, além de um plano de recuperação de desastres eficaz. Com 19.000 empresas no Reino Unido atacadas por ransomware no último ano, a situação é alarmante e exige atenção urgente das organizações para evitar consequências devastadoras.

Vulnerabilidades críticas expõem dados de usuários no Wondershare RepairIt

Pesquisadores de cibersegurança da Trend Micro revelaram duas vulnerabilidades críticas no software Wondershare RepairIt, que podem comprometer dados privados dos usuários e permitir ataques à cadeia de suprimentos. As falhas, identificadas como CVE-2025-10643 e CVE-2025-10644, têm pontuações CVSS de 9.1 e 9.4, respectivamente, e permitem que atacantes contornem a autenticação do sistema. Isso pode resultar na execução de código arbitrário nos dispositivos dos clientes. Além disso, a aplicação coleta e armazena dados de forma inadequada, sem criptografia, expondo imagens e vídeos dos usuários. A Trend Micro alertou que o armazenamento em nuvem exposto contém não apenas dados dos usuários, mas também modelos de IA e códigos-fonte da empresa, o que pode facilitar a manipulação de modelos de IA e a realização de ataques à cadeia de suprimentos. A empresa divulgou as vulnerabilidades em abril de 2025, mas não recebeu resposta da Wondershare. Os especialistas recomendam que os usuários limitem a interação com o produto até que uma solução seja implementada.

Grupo de espionagem cibernética da China ataca setores nos EUA

Um grupo de espionagem cibernética suspeito de estar vinculado à China, identificado como UNC5221, tem como alvo empresas dos setores de serviços jurídicos, provedores de software como serviço (SaaS), terceirização de processos de negócios (BPOs) e tecnologia nos Estados Unidos. O grupo utiliza um backdoor conhecido como BRICKSTORM, que permite acesso persistente às organizações atacadas por mais de um ano. O objetivo principal é acessar dados de clientes e informações relacionadas à segurança nacional e propriedade intelectual. O BRICKSTORM, documentado pela primeira vez no ano passado, explora vulnerabilidades zero-day em dispositivos Ivanti Connect Secure e tem sido utilizado em ambientes Windows na Europa desde novembro de 2022. Este malware, desenvolvido em Go, possui funcionalidades avançadas, como manipulação de arquivos e execução de comandos shell, e se comunica com um servidor de comando e controle via WebSockets. A campanha é caracterizada por sua capacidade de permanecer indetectável, com um tempo médio de permanência nas redes das vítimas de 393 dias. A Google desenvolveu um scanner para ajudar potenciais vítimas a identificar a presença do BRICKSTORM em seus sistemas. A complexidade e a furtividade dessa campanha representam uma ameaça significativa para organizações que utilizam tecnologias vulneráveis.

Jaguar Land Rover adia reabertura de fábrica após ciberataque

A Jaguar Land Rover (JLR), pertencente ao grupo Tata, anunciou um novo adiamento na reabertura de suas fábricas no Reino Unido devido a um ciberataque sofisticado que interrompeu suas operações de manufatura. As plantas de Solihull, Castle Bromwich e Halewood permanecerão fechadas até 1º de outubro de 2025, enquanto a empresa intensifica sua investigação e análise forense, além de reforçar suas defesas contra possíveis novas ameaças. O ataque explorou uma vulnerabilidade zero-day em uma ferramenta de acesso remoto de terceiros, permitindo que os invasores penetrassem em sistemas críticos. Embora a JLR não tenha confirmado a violação de dados de clientes, padrões de tráfego anômalos indicam tentativas de exfiltração de dados. Durante a paralisação, equipes de cibersegurança internas e especialistas externos trabalharão para reconstruir a linha do tempo do ataque e validar a integridade dos sistemas. A empresa também está auditando as credenciais de seus fornecedores e reforçando as obrigações contratuais de cibersegurança. Apesar da interrupção, a rede de varejo global da JLR continua operando normalmente, e a empresa garantiu que os serviços de pós-venda e pedidos em andamento não serão afetados.

Kali Linux 2025.3 é lançado com novas funcionalidades e ferramentas

A versão 2025.3 do Kali Linux foi lançada, trazendo melhorias significativas e a adição de dez novas ferramentas de segurança. Esta atualização, que segue a versão anterior de junho de 2025, aprimora fluxos de trabalho essenciais e expande as capacidades sem fio, além de preparar o sistema para novas arquiteturas. A equipe de desenvolvimento reformulou a criação de imagens de máquinas virtuais, integrando os padrões mais recentes do Packer e Vagrant, o que garante uma geração consistente de templates de VM. Os pentesters sem fio agora podem contar com o suporte restaurado do Nexmon para chipsets Broadcom e Cypress, estendido ao Raspberry Pi 5. A versão também aposentou a arquitetura ARMel, redirecionando recursos para o suporte ao RISC-V. Entre as novas ferramentas, destacam-se o Caido para auditoria de segurança web e o krbrelayx para ataques de relé Kerberos. No âmbito móvel, o Kali NetHunter recebeu atualizações significativas, incluindo suporte a modo monitor interno em dispositivos de baixo custo. Com essas melhorias, o Kali Linux continua a ser uma escolha relevante para profissionais de segurança.

Exploração de vulnerabilidade no Pandoc ameaça serviços da AWS

A empresa de segurança em nuvem Wiz revelou a exploração ativa de uma vulnerabilidade no utilitário Linux Pandoc, que pode comprometer o Amazon Web Services (AWS) Instance Metadata Service (IMDS). A falha, identificada como CVE-2025-51591, possui uma pontuação CVSS de 6.5 e se refere a um caso de Server-Side Request Forgery (SSRF). Essa vulnerabilidade permite que atacantes injetem elementos HTML iframe, possibilitando o acesso a credenciais temporárias do IAM associadas a instâncias EC2. O IMDS é crucial para fornecer informações sobre instâncias em execução e credenciais temporárias, que podem ser usadas para interagir com outros serviços da AWS. A Wiz observou tentativas de exploração desde agosto de 2025, embora os ataques tenham sido mitigados pela implementação do IMDSv2, que requer um token para acessar o IMDS. Para mitigar os riscos associados à CVE-2025-51591, recomenda-se o uso de opções específicas no Pandoc para evitar a inclusão de iframes. A Mandiant também alertou que instâncias EC2 que utilizam IMDSv1 e software de terceiros vulnerável estão em risco. A adoção do IMDSv2 e a aplicação do princípio do menor privilégio são essenciais para proteger as infraestruturas na nuvem.

Aplicativo espião ilegal já foi usado em 100 mil celulares, mas segue disponível

Um aplicativo espião ilegal, conhecido como Celular 007, foi utilizado em mais de 100 mil celulares no Brasil, revelando conversas privadas sem autorização. A invasão do sistema do aplicativo foi realizada por hackers, que entregaram os dados à organização DDoSecrets, em colaboração com o InterSecLab. Embora o aplicativo seja promovido como uma ferramenta para pais monitorarem seus filhos, na prática, ele é utilizado para espionagem, incluindo perseguições e investigações clandestinas. Os dados vazados abrangem um período de quase uma década, com 116.079 celulares espionados por 105.897 usuários, incluindo cidadãos comuns e servidores públicos. Apesar de sua ilegalidade, o Celular 007 é amplamente acessível na internet, custando R$ 209 por um pacote de 15 dias. A instalação requer acesso físico ao celular alvo e permite o rastreamento de microfone, câmera e localização. O uso de aplicativos desse tipo é estritamente regulado no Brasil, sendo permitido apenas em situações específicas, como o monitoramento de menores. A diretora do InterSecLab alerta para a falta de segurança da informação no país e recomenda cautela ao compartilhar senhas de dispositivos móveis.

Roubo de dados 2TB de informações privadas são furtados

Um grande vazamento de dados ocorreu na empresa brasileira Maida.health, resultando na suposta perda de 2,3TB de informações sensíveis da polícia militar do Brasil. Os dados expostos incluem registros médicos, cartões de identificação e contratos de saúde, abrangendo serviços de diagnóstico e tratamento em diversas especialidades médicas. Os cibercriminosos estão oferecendo esses dados em fóruns clandestinos, o que levanta preocupações sobre possíveis fraudes médicas e roubo de identidade. Embora a autenticidade das informações ainda não tenha sido confirmada, a situação é alarmante, especialmente considerando que o setor de saúde é um dos mais visados devido à natureza sensível dos dados que manipula. Este incidente não é isolado, já que o Brasil enfrentou outros vazamentos significativos de dados, colocando em risco a privacidade de milhões de cidadãos. A proteção de dados na saúde é crucial, e a conformidade com a Lei Geral de Proteção de Dados (LGPD) deve ser uma prioridade para as organizações do setor.

Serviço Secreto dos EUA desmantela rede de dispositivos ameaçadores

O Serviço Secreto dos EUA anunciou a desarticulação de uma rede de dispositivos eletrônicos na área metropolitana de Nova York, que eram utilizados para ameaçar oficiais do governo e representavam um risco iminente à segurança nacional. A investigação revelou mais de 300 servidores SIM e 100.000 cartões SIM distribuídos em várias localidades, concentrados em um raio de 56 km da Assembleia Geral da ONU. Os dispositivos não apenas emitiram ameaças anônimas, mas também poderiam ser utilizados para atacar a infraestrutura de telecomunicações, desativando torres de celular e facilitando comunicações criptografadas entre potenciais ameaçadores e organizações criminosas. A investigação, conduzida pela Unidade de Interdição de Ameaças Avançadas do Serviço Secreto, também indicou comunicações celulares entre atores de ameaças de estados-nação e indivíduos conhecidos pelas autoridades federais. Embora os detalhes sobre os oficiais ameaçados e as nações envolvidas não tenham sido divulgados, a situação destaca a vulnerabilidade das telecomunicações e a necessidade de vigilância constante. O diretor do Serviço Secreto enfatizou a importância da prevenção e a determinação da agência em neutralizar ameaças iminentes.

Fraude online em criptomoedas resulta em prisão de cinco suspeitos na Europa

Autoridades de segurança na Europa prenderam cinco suspeitos envolvidos em um esquema de fraude online que desviou mais de €100 milhões (cerca de $118 milhões) de mais de 100 vítimas na França, Alemanha, Itália e Espanha. A operação, coordenada pela Eurojust, incluiu buscas em cinco locais na Espanha e Portugal, além de ações em Itália, Romênia e Bulgária, resultando no congelamento de contas bancárias e ativos financeiros relacionados ao crime. O principal acusado foi denunciado por fraudes em larga escala e lavagem de dinheiro, operando uma plataforma de investimento online que prometia altos retornos em criptomoedas. Após os depósitos, os fundos eram transferidos para contas na Lituânia para lavagem. Vítimas que tentaram retirar seus investimentos foram solicitadas a pagar taxas adicionais, após o que o site desapareceu. A investigação envolveu várias agências judiciais e de segurança de diferentes países europeus e destacou a crescente preocupação com fraudes online, especialmente em investimentos. Em um contexto mais amplo, a Comissão Federal de Comércio dos EUA relatou perdas recordes de $12,5 bilhões em fraudes em 2024, com os esquemas de investimento sendo os mais prejudiciais. Além disso, um ataque de engenharia social em uma plataforma de blockchain resultou na recuperação de $13 milhões, demonstrando a importância da detecção precoce e ação rápida contra fraudes.

Vulnerabilidades no firmware da Supermicro podem comprometer segurança

Pesquisadores de cibersegurança revelaram duas vulnerabilidades no firmware do Baseboard Management Controller (BMC) da Supermicro, que podem permitir que atacantes contornem etapas de verificação essenciais e atualizem o sistema com imagens maliciosas. As falhas, identificadas como CVE-2025-7937 e CVE-2025-6198, têm severidade média, com pontuações CVSS de 6.6 e 6.4, respectivamente. Ambas resultam de uma verificação inadequada da assinatura criptográfica, permitindo que imagens de firmware manipuladas sejam aceitas pelo sistema. A vulnerabilidade CVE-2025-7937 contorna a lógica de verificação do Root of Trust (RoT) 1.0, enquanto a CVE-2025-6198 faz o mesmo em relação à tabela de assinatura. A empresa Binarly, responsável pela descoberta, alertou que a exploração dessas falhas pode dar controle total e persistente sobre o sistema BMC e o sistema operacional principal do servidor. A análise também destacou que a correção anterior para uma vulnerabilidade relacionada foi insuficiente, permitindo que atacantes inserissem tabelas de firmware personalizadas durante o processo de validação. A situação é preocupante, pois a reutilização de chaves de assinatura pode ter um impacto significativo em toda a indústria, especialmente se houver vazamento dessas chaves.

Sites falsos de Speedtest ocultam comportamento malicioso com JavaScript ofuscado

Analistas de cibersegurança identificaram uma campanha sofisticada que utiliza utilitários do Windows disfarçados como testes de velocidade da Internet, processadores de PDF e interfaces de busca de IA. Esses instaladores, empacotados com Inno-Packer, extraem silenciosamente uma pasta do Node.js e um script JavaScript ofuscado, registrando uma tarefa agendada para executar o script a cada doze horas, enquanto a funcionalidade legítima permanece intacta. Embora os usuários recebam leituras precisas de largura de banda e conversões de PDF, o instalador também implanta um binário do Node.js e um arquivo .js codificado no diretório do aplicativo. A tarefa agendada garante a execução persistente em segundo plano, confirmando que a remoção do componente JavaScript não afeta a funcionalidade principal, evidenciando seu papel como uma porta dos fundos oculta. O script malicioso utiliza uma rotina de decodificação em múltiplas etapas para revelar strings legíveis, realizando consultas ao registro do Windows e enviando dados para um domínio de comando e controle. Organizações devem inspecionar tarefas agendadas e diretórios de instalação para identificar pastas inesperadas do Node.js ou arquivos .js, bloquear domínios conhecidos e implementar assinaturas de detecção para neutralizar esses componentes antes que comandos maliciosos sejam executados.

Serviço Secreto desmantela infraestrutura de SIM usada para atacar torres de celular

Em uma operação coordenada na área metropolitana de Nova York, o Serviço Secreto dos EUA desmantelou uma rede clandestina composta por mais de 300 servidores SIM e mais de 100.000 cartões SIM. Esses dispositivos eram utilizados para realizar ameaças anônimas a altos funcionários do governo e representavam um risco iminente à infraestrutura crítica de telecomunicações, incluindo a capacidade de desativar torres de celular e lançar ataques de negação de serviço. A investigação, que começou como um esforço de inteligência protetiva, revelou que os servidores e cartões estavam estrategicamente posicionados a 35 milhas de Nova York, coincidindo com a Assembleia Geral das Nações Unidas. A análise forense inicial sugere que a operação utilizou técnicas sofisticadas de spoofing de SIM e gerenciamento remoto de clusters de servidores para ocultar identidades e localizações dos usuários. A resposta rápida da Unidade de Interdição de Ameaças Avançadas do Serviço Secreto resultou em uma série de operações simultâneas, destacando a importância da inteligência protetiva e da cooperação interagencial na defesa dos sistemas de comunicação nacionais.

Zloader se torna ferramenta de acesso inicial para ransomware em empresas

O Zloader, também conhecido como Terdot, DELoader ou Silent Night, ressurgiu como um sofisticado trojan de acesso inicial, fornecendo aos operadores de ransomware uma forma discreta de invadir redes corporativas após quase dois anos de inatividade. Originado do código do trojan bancário Zeus em 2015, as novas versões 2.11.6.0 e 2.13.7.0 apresentam camadas de ofuscação aprimoradas e medidas anti-análise robustas, além de protocolos de rede refinados para evitar sistemas de detecção modernos.

Ataque de QR Code Esteganográfico em Pacote npm Visa Senhas de Navegador

A equipe de pesquisa de ameaças Socket identificou um sofisticado esquema de ofuscação em um pacote npm malicioso chamado fezbox (versão 1.3.0), publicado sob o alias ‘janedu’. Este pacote, que se apresenta como uma biblioteca utilitária de alto desempenho para JavaScript/TypeScript, esconde um payload em múltiplas camadas projetado para extrair credenciais de cookies do navegador. O ataque utiliza um QR code esteganográfico para embutir código executável, permitindo que o invasor evite análises tradicionais e envie valores de ‘username’ e ‘password’ para um servidor remoto. O fezbox exporta utilitários comuns e, em seu código minificado, contém uma função que ativa apenas em contextos de produção, após um atraso de 120 segundos. O QR code é utilizado para recuperar um script JavaScript que lê cookies específicos, ofuscando os nomes das propriedades e revertendo strings para acessar os valores de credenciais. Embora a maioria das aplicações modernas evitem armazenar credenciais em texto simples em cookies, a técnica inovadora de esteganografia baseada em QR destaca a necessidade de inspeção rigorosa de dependências. Os desenvolvedores devem estar atentos a carregadores dinâmicos inesperados e chamadas de rede pós-instalação.

Ataques Usam Módulo BadIIS para Sequestrar Servidores IIS e Distribuir Malware

Um novo ataque cibernético, denominado Operação Rewrite, utiliza um módulo malicioso chamado BadIIS para sequestrar servidores web legítimos que operam com o Internet Information Services (IIS). Observada pela primeira vez em março de 2025, essa campanha de envenenamento de SEO redireciona visitantes desavisados para sites fraudulentos e de malware. A análise indica que os atacantes, presumivelmente de origem chinesa, empregam uma abordagem em duas fases: na fase de envenenamento, o BadIIS intercepta solicitações de crawlers de motores de busca e serve conteúdo malicioso que é indexado, enquanto na fase de redirecionamento, usuários reais são levados a sites controlados pelos atacantes. O BadIIS apresenta várias variantes, incluindo um manipulador ASP.NET e um módulo C# que intercepta erros 404 para injetar páginas de golpe. Para mitigar esses ataques, as equipes de segurança devem auditar listas de módulos do IIS e monitorar conexões de saída para domínios de comando e controle identificados. Ferramentas como Palo Alto Networks podem ajudar a bloquear esses conteúdos maliciosos e interromper comunicações com os atacantes.

Botnet ShadowV2 aluga ataques DDoS com foco em containers Docker

Pesquisadores de cibersegurança revelaram detalhes sobre a nova botnet ShadowV2, que permite a locação de acesso para realizar ataques de negação de serviço distribuído (DDoS). Essa botnet, identificada pela empresa Darktrace, foca principalmente em containers Docker mal configurados em servidores da Amazon Web Services (AWS). O malware, escrito em Go, transforma sistemas infectados em nós de ataque, integrando-os a uma rede maior de DDoS. A campanha utiliza um framework de comando e controle (C2) baseado em Python, hospedado no GitHub Codespaces, e se destaca pela sofisticação de suas ferramentas de ataque, incluindo métodos avançados como HTTP/2 Rapid Reset e bypass do modo Under Attack da Cloudflare.

Reduções de equipe aumentam riscos de segurança cibernética nas empresas

O cenário atual de redução de pessoal nas grandes empresas, como Wells Fargo e Bank of America, traz à tona um aumento significativo nos riscos de segurança cibernética. Com a diminuição das equipes de segurança, os Chief Information Security Officers (CISOs) enfrentam desafios crescentes, especialmente em relação ao gerenciamento de segredos codificados. Dados da IBM revelam que 86% das violações de segurança envolvem credenciais roubadas, com um tempo médio de 292 dias para identificação e contenção de incidentes. O custo médio de uma violação nos EUA atingiu US$ 10,22 milhões, e incidentes relacionados a segredos codificados podem custar até US$ 11 milhões. Além disso, as organizações perdem cerca de US$ 1,4 milhão anualmente gerenciando segredos manualmente, o que inclui tempo de desenvolvedores e analistas de segurança. A pesquisa da HashiCorp indica que até 40% dos segredos não gerenciados são de alto risco, aumentando a probabilidade de ataques cibernéticos. Para mitigar esses riscos, é essencial que as empresas adotem abordagens proativas e integradas para a detecção e remediação de segredos, reduzindo o tempo de resposta e melhorando a eficiência das equipes de segurança.

Golpes de Contratação Falsos Levam a Ataques de Malware Avançados

Desde o início de 2025, pesquisadores da Check Point identificaram um aumento nas atividades de espionagem cibernética do grupo Nimbus Manticore, que utiliza portais de recrutamento falsos para disseminar malware sofisticado. Inicialmente focado em alvos do setor aeroespacial e de defesa no Oriente Médio, o grupo agora se expande para a Europa Ocidental, mirando empresas de defesa, telecomunicações e aeroespaciais em países como Dinamarca, Suécia e Portugal.

O malware principal, conhecido como MiniJunk, evoluiu para uma variante avançada que utiliza técnicas inovadoras para evitar a detecção. A infecção começa com e-mails de spear-phishing que se passam por recrutadores de grandes empresas, levando as vítimas a páginas de login falsificadas. Após o login bem-sucedido, um arquivo malicioso é entregue, permitindo que os atacantes monitorem as interações e capturem dados sensíveis.

E-mails de Phishing Entregues Através de Notificações Comprometidas do GitHub

Pesquisadores de cibersegurança descobriram uma campanha de phishing sofisticada que utiliza e-mails de notificação do GitHub para disseminar malware entre desenvolvedores de software. Os atacantes comprometem contas de bots do GitHub, enviando mensagens que imitam alertas legítimos de repositórios, conseguindo assim contornar filtros de e-mail avançados e direcionar suas ações a colaboradores de código aberto em diversas plataformas.

O ataque começa com o acesso não autorizado a contas de bots do GitHub, que têm permissão para gerar notificações automatizadas. Os vetores de comprometimento incluem ataques de phishing, uso de credenciais vazadas e exploração de tokens OAuth fracos. Após a invasão, os atacantes modificam as configurações dos bots para enviar e-mails de phishing que replicam a marca do GitHub, incluindo assinaturas DKIM válidas, o que dificulta a detecção.

Lectora Desktop e Online Vulneráveis a XSS Refletido via Parâmetros de URL

Um novo problema de segurança foi identificado na plataforma de autoria de cursos Lectora, da ELB Learning, que permite a injeção de JavaScript malicioso através de parâmetros de URL manipulados. Essa vulnerabilidade afeta as versões 21.0 a 21.3 do Lectora Desktop e versões 7.1.6 e anteriores do Lectora Online, expondo usuários a riscos como sequestro de sessão e redirecionamento para sites maliciosos. O CERT Coordination Center (CERT/CC) emitiu uma nota de vulnerabilidade (VU#780141) para alertar sobre a situação e as etapas necessárias para remediação. Embora a falha tenha sido corrigida na versão 21.4 do Lectora Desktop, muitos cursos permanecem vulneráveis, pois a republicação não foi explicitamente exigida nas notas de lançamento. Para mitigar a vulnerabilidade, a ELB Learning recomenda que os usuários do Lectora Desktop atualizem para a versão 21.4 ou posterior e republicem seus cursos. Administradores do Lectora Online devem garantir que o conteúdo publicado antes da atualização automática de 20 de julho de 2025 seja republicado. A ativação das opções de Acessibilidade Web também é aconselhada para reduzir a exposição a essa vulnerabilidade.

Ataque DDoS de 22,2 Tbps estabelece novo recorde global

A Cloudflare anunciou a mitigação do maior ataque DDoS já registrado, que atingiu picos de 22,2 terabits por segundo (Tbps) e 10,6 bilhões de pacotes por segundo (Bpps). Este ataque, que mais que dobrou o recorde anterior de 11,5 Tbps, durou apenas 40 segundos e utilizou uma estratégia de múltiplos vetores, combinando inundações volumétricas e exploração de protocolos. A rapidez e a intensidade do ataque destacam a crescente capacidade dos atores maliciosos e suas botnets, levantando questões sobre a resiliência da infraestrutura da internet. A Cloudflare conseguiu neutralizar o ataque sem intervenção humana, utilizando detecção de anomalias baseada em aprendizado de máquina e mecanismos automatizados de filtragem. A magnitude deste evento exige que as organizações reavaliem suas estratégias de segurança, considerando se seus provedores têm a capacidade de suportar ataques em velocidade de máquina. Com a evolução das táticas de ataque, a adoção de defesas automatizadas e entregues na borda se torna essencial para garantir a continuidade dos negócios.

Ataques Baseados em SVG Permitem Entrega de Códigos Maliciosos Indetectáveis

No final de agosto de 2025, uma onda de ataques de engenharia social altamente direcionados foi observada na América Latina, utilizando imagens SVG de grandes dimensões para entregar o malware AsyncRAT. Esses ataques, que se disfarçam como comunicações judiciais urgentes, marcam uma evolução nas táticas de phishing. O processo começa com um e-mail de spear-phishing que simula uma autoridade judicial, alertando sobre possíveis ações legais e incentivando a abertura de um arquivo SVG anexado, frequentemente superior a 10 MB. Esses arquivos SVG contêm JavaScript e diretivas XML embutidas, criando um portal interativo no navegador do usuário. Após uma série de telas de verificação falsas, a vítima é levada a baixar um arquivo ZIP protegido por senha, que, ao ser extraído, revela um dropper executável que utiliza o método de DLL sideloading para injetar o AsyncRAT no sistema. Essa técnica evita a detecção por ferramentas de segurança que normalmente monitoram apenas binários conhecidos. A campanha se destaca pela personalização assistida por IA, onde cada SVG é gerado de forma única, dificultando a análise estática. A ESET já havia identificado essa técnica em 2019, mas sua evolução foi recentemente adicionada ao framework MITRE ATT&CK. A campanha, que teve um pico de atividade em agosto, principalmente na Colômbia, ressalta a importância da vigilância e da educação em segurança cibernética.

Campanha de SEO Poisoning com Malware BadIIS Alerta Pesquisadores

Pesquisadores de cibersegurança estão alertando sobre uma campanha de SEO poisoning, conhecida como Operação Rewrite, que parece ser conduzida por um ator de ameaça de língua chinesa. O malware utilizado, chamado BadIIS, tem como alvo principalmente a região do Sudeste Asiático, com foco especial no Vietnã. A técnica de SEO poisoning manipula os resultados de mecanismos de busca para direcionar usuários a sites indesejados, como de jogos de azar e pornografia, visando lucro financeiro. O BadIIS intercepta e modifica o tráfego HTTP, permitindo que os atacantes injetem conteúdo malicioso em sites legítimos. Os atacantes também utilizam uma infraestrutura compartilhada com um grupo identificado como Grupo 9, conforme relatado pela ESET. Além disso, a pesquisa revelou que os atacantes podem criar contas de usuário locais e implantar shells web para acesso remoto persistente. Essa atividade representa um risco significativo, especialmente considerando a possibilidade de comprometer servidores em várias regiões, incluindo o Brasil. A manipulação de resultados de busca pode ter implicações diretas na segurança e na conformidade com a LGPD, tornando essencial que os CISOs brasileiros estejam atentos a essa ameaça.

GitHub reforça segurança após ataques à cadeia de suprimentos

O GitHub anunciou mudanças significativas em suas opções de autenticação e publicação, em resposta a uma série de ataques à cadeia de suprimentos que afetaram o ecossistema npm, incluindo o ataque Shai-Hulud. As novas medidas visam mitigar ameaças como o abuso de tokens e malware auto-replicante. Entre as alterações, destaca-se a implementação de autenticação de dois fatores (2FA) obrigatória para publicações locais, a limitação da validade de tokens granulares a sete dias e a introdução de uma nova funcionalidade chamada ‘publicação confiável’. Esta última elimina a necessidade de tokens npm, utilizando credenciais específicas de fluxo de trabalho que são criptograficamente autenticadas, garantindo a origem e o ambiente de construção de cada pacote publicado. O ataque Shai-Hulud, que injetou um verme auto-replicante em centenas de pacotes npm, destacou a vulnerabilidade do sistema, ao permitir que segredos sensíveis fossem extraídos de máquinas de desenvolvedores. Além disso, um pacote malicioso chamado fezbox foi identificado, capaz de roubar senhas de navegadores através de uma técnica esteganográfica. Embora o pacote tenha sido removido, ele ilustra a necessidade crescente de ferramentas de verificação de dependências. Essas mudanças são cruciais para aumentar a confiança na cadeia de suprimentos de software e proteger os desenvolvedores contra novas ameaças.

DigiCert adquire Valimail em movimento estratégico contra fraudes por e-mail

A DigiCert anunciou a aquisição da Valimail, ampliando sua plataforma DigiCert ONE com tecnologia de autenticação de e-mail de confiança zero. Essa aquisição visa fortalecer a segurança contra fraudes por e-mail, como phishing e spoofing, que continuam a ser uma das principais ameaças cibernéticas globalmente. A Valimail é reconhecida por suas soluções DMARC patenteadas, essenciais para autenticar remetentes legítimos e bloquear mensagens falsificadas. O CEO da DigiCert, Amit Sinha, destacou que a autenticação de e-mail é um passo lógico para a expansão da plataforma, enquanto Alex Garcia-Tobar, CEO da Valimail, enfatizou a importância da parceria para acelerar a missão de autenticar comunicações. A integração das capacidades da Valimail permitirá a implementação em larga escala do DMARC, crucial para a proteção de empresas e agências governamentais. No entanto, a eficácia dessas tecnologias depende da adoção completa por parte das empresas e da educação dos usuários sobre as ameaças em evolução. Apesar do fortalecimento da posição da DigiCert, não há garantias de uma redução rápida nos incidentes de phishing e spoofing, que ainda são facilitados por erros humanos e a adoção inconsistente de padrões de segurança.

Hackers vendem pacotes de golpes a partir de R 465

Recentemente, as empresas de cibersegurança PRODAFT e Netcraft revelaram a existência de serviços de phishing-as-a-service (PhaaS) conhecidos como Lighthouse e Lucid, que estão facilitando a realização de ataques cibernéticos em larga escala. Esses serviços, que podem ser adquiridos por valores que começam em R$ 465, oferecem ferramentas para a criação de campanhas de phishing personalizadas, atingindo 316 marcas em 74 países. Os ataques incluem smishing, que é o phishing realizado via SMS, utilizando plataformas como iMessage e RCS. A plataforma Lucid, por exemplo, permite que hackers montem campanhas direcionadas a setores como pedágios, correios e instituições financeiras, com a capacidade de monitorar as vítimas em tempo real. Além disso, os criminosos estão voltando a usar e-mails para coletar dados roubados, o que torna a detecção mais difícil. Os pesquisadores também identificaram técnicas avançadas, como o uso de caracteres homóglifos para criar URLs enganosas. Esses desenvolvimentos destacam a evolução das táticas de phishing e a necessidade urgente de medidas de segurança mais robustas.

Ataque hacker causa caos no check-in de aeroportos europeus

Um ciberataque afetou o sistema de check-in e etiquetagem de bagagens em vários aeroportos da Europa, incluindo Alemanha, Irlanda, Países Baixos e Reino Unido, desde a última sexta-feira (19). O ataque comprometeu o software MUSE, da Collins Aerospace, que é amplamente utilizado para gerenciar o check-in de passageiros. Como resultado, muitos voos foram atrasados ou cancelados, e passageiros enfrentaram longas filas e dificuldades no atendimento. No Aeroporto de Bruxelas, por exemplo, o check-in foi realizado manualmente, com informações anotadas à mão. Embora não haja evidências de que dados pessoais dos passageiros tenham sido roubados, as investigações estão em andamento. A Agência de Cibersegurança da União Europeia sugere que o ataque pode ter sido um ransomware, possivelmente ligado a hackers financiados por estados estrangeiros. Profissionais de cibersegurança alertam que a infraestrutura aeroportuária está cada vez mais vulnerável a tais ataques, o que levanta preocupações sobre a segurança de sistemas críticos de transporte. O impacto do incidente se estendeu até a manhã de segunda-feira (22), afetando a operação de diversos aeroportos europeus.