Email Security

Campanha EvilTokens expõe nova vulnerabilidade em segurança de e-mails

Uma recente campanha de phishing chamada EvilTokens está atacando empresas nos EUA e na Europa, revelando uma nova vulnerabilidade na segurança de e-mails. A técnica, conhecida como ‘ghost phishing’, mantém a página maliciosa oculta até que seja decifrada e se torne visível no navegador da vítima. O ataque utiliza um método de phishing que não requer o roubo direto de senhas, mas sim a autorização involuntária do acesso às contas do Microsoft 365. Isso representa um risco significativo, pois verificações tradicionais de URL podem não detectar o ataque, resultando em maior exposição a invasões de contas e acesso não autorizado a dados sensíveis. A análise do ataque foi realizada na sandbox interativa ANY.RUN, que permitiu visualizar o fluxo completo do ataque, destacando a importância de ter visibilidade no nível do navegador para detectar e conter essas ameaças antes que causem danos financeiros. Os setores mais afetados incluem tecnologia, manufatura, educação e serviços financeiros, onde a exposição ao phishing atingiu níveis alarmantes, como 75,6% no setor de consultoria. Para mitigar esses riscos, é crucial que as equipes de segurança adotem ferramentas que permitam a inspeção de dados no navegador e a detecção de comportamentos maliciosos.

Grupo ligado à China explora falhas em software de e-mail universitário

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando vulnerabilidades críticas no software de webmail Roundcube, utilizado por departamentos de física e engenharia em universidades dos EUA e Canadá. A atividade maliciosa, detectada pela primeira vez em maio de 2026, visa principalmente administradores e professores de áreas relacionadas à segurança nacional e estudos avançados em física. Os atacantes utilizam falhas de segurança, como a CVE-2024-42009, para roubar credenciais e implantar ferramentas de acesso remoto, como VShell e SquareShell. Os e-mails maliciosos são enviados a partir de remetentes comprometidos ou domínios vulneráveis, aproveitando políticas DMARC fracas. O ataque é facilitado por um exploit de cross-site scripting (XSS), que permite a execução de código JavaScript no navegador da vítima. Após a exploração, um payload chamado IceCube coleta informações sensíveis, como dados de autenticação de dois fatores (2FA) e cookies, e tenta obter acesso persistente ao servidor de e-mail. A campanha destaca a necessidade de uma defesa robusta para servidores de e-mail, que são frequentemente alvos de ataques cibernéticos, especialmente por grupos patrocinados por estados, como os da China.

A nova ameaça do phishing como contornar a autenticação multifatorial

A autenticação multifatorial (MFA) é considerada uma das principais defesas contra o comprometimento de contas, mas os atacantes estão cada vez mais utilizando técnicas de phishing que não dependem do roubo de senhas ou da violação da MFA. Um exemplo alarmante é o phishing por código de dispositivo, onde os atacantes induzem os usuários a autorizar o acesso através de páginas de autenticação legítimas da Microsoft. Isso permite que os invasores obtenham acesso contínuo sem precisar roubar credenciais. O webinar ‘Stop chasing alerts: Automating email security with behavioral AI’, que ocorrerá em 8 de julho de 2026, abordará como campanhas modernas de phishing, comprometimento de e-mails empresariais (BEC) e ataques de tomada de conta (ATO) exploram serviços confiáveis e fluxos de autenticação para acessar contas corporativas. A solução proposta envolve o uso de inteligência artificial comportamental para identificar atividades incomuns e automatizar a detecção e resposta a esses ataques. O evento promete fornecer abordagens práticas para detectar compromissos de conta mais cedo, reduzir a carga de investigação e melhorar os tempos de resposta.

Vulnerabilidades críticas no SEPPMail podem permitir execução remota de código

Pesquisadores da InfoGuard Labs identificaram vulnerabilidades críticas no SEPPMail Secure E-Mail Gateway, uma solução de segurança de e-mail empresarial. Essas falhas podem ser exploradas para execução remota de código e leitura de e-mails arbitrários. Entre as vulnerabilidades destacadas, a CVE-2026-2743, com pontuação CVSS de 10.0, permite a execução de código remoto através de uma vulnerabilidade de travessia de caminho na interface web do SEPPMail. Outras falhas, como a CVE-2026-44128, possibilitam a execução de código remoto não autenticado, utilizando injeção de eval em parâmetros de usuário. Os pesquisadores alertam que um atacante poderia, por exemplo, sobrescrever a configuração do syslog do sistema, obtendo controle total do appliance SEPPMail e acessando todo o tráfego de e-mail. Embora algumas vulnerabilidades já tenham sido corrigidas em versões recentes, a gravidade das falhas restantes exige atenção imediata dos administradores de sistemas. A situação é preocupante, especialmente considerando que a SEPPMail já havia lançado atualizações para corrigir outra falha crítica recentemente.

Desmantelamento do Tycoon 2FA um golpe de phishing em larga escala

O Tycoon 2FA, um dos principais kits de phishing como serviço (PhaaS), foi desmantelado por uma coalizão de agências de segurança e polícia. Lançado em agosto de 2023, o kit permitiu que cibercriminosos realizassem ataques de coleta de credenciais em larga escala, afetando quase 100 mil organizações globalmente, incluindo escolas e hospitais. O kit, que era vendido por meio de plataformas como Telegram e Signal, oferecia um painel de administração web para configurar e monitorar campanhas de phishing, permitindo o acesso a informações sensíveis, como credenciais e códigos de autenticação multifatorial (MFA). O desmantelamento resultou na remoção de 330 domínios associados ao serviço criminoso, que gerava dezenas de milhões de e-mails de phishing mensalmente. A Europol e a Microsoft relataram que o Tycoon 2FA foi responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft até meados de 2025. A análise geográfica revelou que os EUA tinham a maior concentração de vítimas, seguidos pelo Reino Unido e Canadá. O impacto desses ataques é significativo, pois pode levar a sequestros de contas e perda de dados sensíveis.