Palo Alto Networks

Pesquisadores da Palo Alto Networks identificaram um novo kit de phishing chamado IUAM ClickFix Generator, que automatiza a criação de páginas de phishing enganosas. Este kit, ativo desde julho de 2025, permite que até mesmo atacantes com pouca habilidade criem iscas convincentes que induzem as vítimas a executar comandos maliciosos. O IUAM ClickFix Generator simula desafios de verificação de navegador, comuns em provedores de segurança em nuvem, e inclui uma função de injeção de clipboard que copia comandos maliciosos para a área de transferência das vítimas. Os atacantes podem personalizar as páginas de phishing para se parecerem com desafios legítimos, aumentando a eficácia do ataque.

No cenário digital atual, as empresas enfrentam ameaças cibernéticas em constante evolução, exigindo soluções de inteligência em ameaças que vão além da simples coleta de dados. O artigo destaca as dez melhores empresas de inteligência em ameaças de ponta a ponta para 2025, que oferecem ferramentas avançadas, automação e inteligência em tempo real para proteger ativos organizacionais. Entre as empresas mencionadas estão Intel 471, CrowdStrike e Palo Alto Networks, cada uma com suas características únicas, como monitoramento do mercado negro, detecção de ameaças em tempo real e integração com fluxos de trabalho de segurança. A crescente sofisticação dos crimes cibernéticos, incluindo ataques gerados por IA e extorsões de ransomware, torna essencial que as organizações invistam em plataformas automatizadas que forneçam insights acionáveis. A escolha do provedor certo é crucial para fortalecer a postura de cibersegurança das empresas, especialmente em um ambiente híbrido e baseado em nuvem. O artigo fornece uma tabela comparativa com especificações, recursos e razões para a escolha de cada fornecedor, ajudando líderes de TI e CISOs a selecionar a melhor opção para suas necessidades.

Recentemente, a GreyNoise, uma empresa de pesquisa em segurança cibernética, relatou um aumento de 500% nos IPs realizando varreduras em busca de perfis do Palo Alto Networks GlobalProtect e PAN-OS. Em média, cerca de 200 IPs realizam esse tipo de varredura, mas no dia 3 de outubro, esse número saltou para mais de 1.280. A maioria dos IPs maliciosos se originou dos Estados Unidos, com alvos principalmente nos EUA e no Paquistão. Apesar do aumento nas varreduras, a Palo Alto Networks afirmou que não encontrou evidências de comprometimento em seus sistemas e se mantém confiante em suas defesas, que são suportadas pela plataforma Cortex XSIAM, capaz de bloquear 1,5 milhão de novos ataques diariamente. Especialistas alertam que esse tipo de atividade pode indicar que um ator malicioso está tentando descobrir vulnerabilidades nos portais de login da empresa. A GreyNoise também observou que 7% dos IPs envolvidos nas varreduras são considerados maliciosos, enquanto 91% são classificados como suspeitos. A empresa continua monitorando a situação e assegura que suas infraestruturas permanecem seguras.

A empresa de inteligência em ameaças GreyNoise relatou um aumento significativo nas atividades de varredura direcionadas aos portais de login da Palo Alto Networks, com um crescimento de quase 500% no número de endereços IP envolvidos em apenas um dia, em 3 de outubro de 2025. Este aumento representa a maior atividade registrada nos últimos três meses, com cerca de 1.300 endereços IP únicos participando da varredura, sendo 93% classificados como suspeitos e 7% como maliciosos. A maioria dos IPs está geolocalizada nos EUA, com clusters menores no Reino Unido, Países Baixos, Canadá e Rússia. GreyNoise observou que essa atividade de varredura apresenta características semelhantes a um aumento recente de varreduras em dispositivos Cisco ASA, sugerindo uma possível interconexão entre as ameaças. Em abril de 2025, a empresa já havia alertado sobre atividades de varredura suspeitas direcionadas a gateways GlobalProtect da Palo Alto. O relatório de GreyNoise também indica que picos em atividades de varredura maliciosa frequentemente precedem a divulgação de novas vulnerabilidades (CVE) relacionadas. Recentemente, a Cisco divulgou duas vulnerabilidades zero-day em seus dispositivos ASA, que foram exploradas em ataques reais. A situação exige atenção das empresas que utilizam essas tecnologias, especialmente no Brasil, onde a Palo Alto e a Cisco têm presença significativa.

A Palo Alto Networks, através da sua unidade de resposta a incidentes, Unit 42, confirmou um ataque à cadeia de suprimentos que resultou na exposição de dados de clientes por meio da integração Drift da Salesloft com o Salesforce. O ataque foi identificado após o uso não autorizado de tokens de API, levando a equipe de segurança a revogar credenciais de fornecedores e isolar a aplicação comprometida. Embora centenas de organizações tenham sido afetadas, a resposta rápida da Palo Alto garantiu a resiliência operacional e a ausência de impacto em seus produtos principais.

A Palo Alto Networks revelou uma vulnerabilidade de severidade moderada em seu aplicativo de VPN GlobalProtect, que pode permitir que atacantes escalem privilégios e instalem software malicioso em endpoints alvo. A falha, identificada como CVE-2025-2183 e com uma pontuação CVSS de 4.5, afeta o processo de validação de certificados em aplicações GlobalProtect em sistemas Windows e Linux. A vulnerabilidade decorre de uma validação insuficiente de certificados, permitindo que atacantes se conectem a servidores arbitrários. Isso pode ser explorado por usuários não administrativos locais ou atacantes na mesma sub-rede, que podem instalar certificados raiz maliciosos e, em seguida, implantar software malicioso assinado por esses certificados fraudulentos. A Palo Alto Networks já lançou atualizações de segurança para corrigir a falha e recomenda que as organizações afetadas priorizem a atualização para as versões corrigidas e implementem mudanças de configuração adicionais para proteção total.