Ekz

Hackers estão explorando uma vulnerabilidade crítica de bypass de autenticação (CVE-2026-35616) no FortiClient Enterprise Management Server (EMS) para implantar um malware chamado EKZ, que rouba credenciais. O ataque se disfarça como uma atualização legítima para endpoints da Fortinet e é executado através de fluxos de trabalho de script VPN gerenciados pelo FortiClient. Essa falha de controle de acesso inadequado permite que atacantes remotos não autenticados executem comandos arbitrários. A Fortinet confirmou a exploração da vulnerabilidade em abril e lançou correções de emergência para as versões 7.4.5 e 7.4.6 do produto. A CISA emitiu uma ordem para que agências federais protegessem suas instâncias rapidamente, enquanto a Arctic Wolf observou ataques que utilizam essa vulnerabilidade para entregar o infostealer EKZ. O malware é capaz de extrair dados sensíveis, como credenciais e informações de cartões de crédito, e opera de forma furtiva, utilizando scripts maliciosos que são executados após a conexão de um túnel IPsec. Os pesquisadores recomendam que as organizações fiquem atentas a anomalias de autenticação de certificados e atividades administrativas suspeitas.