CEVIU Logo
CEVIU Segurança da Informação
Todas as notícias

CEVIU Segurança da Informação

Notícias, pesquisas e ferramentas para profissionais de segurança da informação

504 notícias

A Check Point Research revelou o Cavern Manticore, um ator ligado ao Ministério de Inteligência e Segurança (MOIS) do Irã e ao subgrupo Lyceum (OilRig). Este grupo tem sido implicado em intrusões contra entidades governamentais israelenses e empresas de tecnologia. Os ataques se iniciam com o abuso de atualizações de software de RMM e SysAid, seguido pelo sideload de uma DLL maliciosa (uxtheme.dll) – o Cavern Agent – por meio de um executável legítimo (WinDirStat.exe). Esta tática estabelece um sofisticado C2 modular .NET, concebido com formatos de compilação que dificultam a análise, isolamento de AppDomain por módulo e exclusão de diretórios de inicialização para evadir a detecção forense. Os módulos pós-exploração executam enumeração e força bruta de LDAP/AD, acesso a bancos de dados SQL, descriptografia de credenciais DPAPI, ataques a compartilhamentos SMB e tunelamento SOCKS5/WebSocket, utilizando tráfego HTTPS/WSS cifrado com chave XOR para domínios C2 como auth[.]hospitalinstallation[.]com. Para defensores, a auditoria de sideloading de uxtheme.dll, monitoramento de ferramentas RMM e a observação de padrões específicos de User-Agent e cabeçalhos X-User-token são cruciais para a detecção.

Uma versão comprometida do Injective TypeScript SDK (@injectivelabs/[email protected]) foi identificada por registrar e exfiltrar mnemonics e chaves privadas de carteiras. Os dados eram enviados via requisição POST para um endpoint da própria infraestrutura InjectiveLabs, o que permitia a reconstituição das chaves por atacantes. A mesma versão maliciosa se espalhou para 17 pacotes relacionados, exigindo uma auditoria urgente das dependências, movimentação imediata de fundos de carteiras afetadas e a rotação de todas as chaves e mnemonics comprometidos por parte dos desenvolvedores.

A equipe do Wireshark lançou a versão 4.6.7, focada na correção de 12 falhas críticas de segurança que afetavam os 'dissectors' e 'parsers' do software. Identificadas por códigos como wnpa-sec-2026-53 a -61, essas vulnerabilidades poderiam levar a ataques de negação de serviço através de travamentos e loops infinitos em protocolos como pcapng, SSH, TLS ECH, IEEE 802.11 e BLF. Embora nenhuma das falhas permita execução remota de código, a atualização é crucial, especialmente para usuários que analisam capturas de rede não confiáveis via pcapng, Wi-Fi, TLS ou SSH, garantindo a integridade e disponibilidade das análises.

A Phia, uma extensão de compras que atraiu investidores de destaque, foi recentemente suspensa da plataforma de afiliados Impact.com. A suspensão decorre de uma investigação da Bloomberg que revelou a prática de 'cookie stuffing': a extensão injetava códigos de referência próprios durante o checkout, sobrescrevendo os de outros afiliados e, consequentemente, capturando comissões de vendas que não originou. Embora a Phia afirme ter resolvido a questão, o incidente levanta sérias preocupações sobre a integridade do marketing de afiliados e a segurança das operações para varejistas e parceiros do ecossistema digital.

A Progress Software emitiu um alerta urgente aos clientes do ShareFile, instruindo-os a desativar imediatamente os Controladores Storage Zone baseados em Windows. A medida foi tomada após a detecção de uma ameaça externa credível, visando isolar os sistemas afetados da nuvem e permitir uma investigação aprofundada pelas equipes de segurança. A instrução afeta apenas controladores on-premise, com contas exclusivamente em nuvem permanecendo seguras. A empresa orienta os clientes a manterem os controladores offline, tratarem os servidores expostos como incidentados, preservarem logs e verificarem a presença de arquivos .aspx desconhecidos, um indicativo de comprometimento.

A varejista dinamarquesa Miinto revelou que um invasor obteve acesso a seu sistema interno de gerenciamento de pedidos, expondo dados de clientes como nomes, contatos, endereços e tipos de métodos de pagamento. Embora números de cartão de crédito e CVVs não tenham sido comprometidos, a empresa alertou para o risco de ataques de phishing direcionados. A Miinto agiu rapidamente para remover o invasor, fortalecer seus controles de acesso e notificou as autoridades e órgãos reguladores, enquanto orienta os clientes a manterem vigilância redobrada contra tentativas de fraude.

A Datadog acaba de lançar o GuardDog 3.0, uma atualização significativa para seu scanner de código aberto focado em pacotes PyPI e npm maliciosos. A nova versão substitui o Semgrep por regras YARA, executadas via yara-python, o que promete varreduras mais rápidas e eficientes em termos de consumo de memória. O GuardDog 3.0 também introduz um motor de risco aprimorado que correlaciona capacidades e indicadores de ameaça ao longo do ciclo de ataque, atribuindo uma pontuação de 0 a 10. Testes internos da Datadog demonstraram uma precisão de 89,2% e recall de 88,3% em um conjunto de dados de 27 mil pacotes maliciosos. Além disso, todas as varreduras agora são realizadas por padrão em um sandbox Nono, que restringe o acesso ao sistema de arquivos e à rede, neutralizando tentativas de exploração contra o próprio GuardDog por pacotes maliciosos.

Angelo Martino, ex-negociador de ransomware da DigitalMint, foi sentenciado a seis anos de prisão após admitir ter colaborado com operadores do grupo BlackCat. Ele compartilhava informações confidenciais, como limites de seguro das vítimas e táticas de negociação, para que os criminosos pudessem inflar os valores dos resgates. Martino recebia uma porcentagem dos pagamentos, que superaram US$ 75 milhões, em um esquema que explorava a vulnerabilidade de empresas e colocava em xeque a confiança em serviços de resposta a incidentes cibernéticos. A condenação ressalta os riscos internos e a importância da integridade em posições-chave na cibersegurança.

Um adolescente de 15 anos foi detido em Tóquio após admitir ter empregado o ChatGPT para desenvolver um código malicioso. O programa enviou comandos de cancelamento de registro falsos aos servidores da Bandai Namco Filmworks, resultando na exclusão de 46.812 contas do Bandai Channel e expondo dados pessoais de até 1,36 milhão de usuários. O incidente destaca as crescentes ameaças impulsionadas por IA na cibersegurança.

Pesquisadores alertam sobre um sofisticado ataque de phishing que explora o fluxo de código de dispositivo OAuth da Microsoft, mesmo com autenticação multifator (MFA) ativada. Cibercriminosos utilizam PDFs protegidos por senha e redirecionamentos legítimos de domínios Microsoft e Cacoo.com para enganar vítimas. Após um CAPTCHA, a página de destino maliciosa captura automaticamente um device_code legítimo, induzindo o usuário a colá-lo em uma URL de verificação genuína da Microsoft. Completada a MFA, o atacante obtém tokens de acesso que permitem acesso persistente a e-mails, exfiltração de arquivos do OneDrive e acesso ao Teams. A mesma técnica já foi observada mirando usuários brasileiros. Para mitigar, é crucial desabilitar o Device Code Flow se não utilizado, monitorar eventos de DeviceCodeSignIn, exigir conformidade de dispositivos e capacitar usuários a jamais aprovar prompts de código de dispositivo não solicitados, mesmo em páginas de login legítimas da Microsoft.

O GigaWiper, um novo backdoor baseado em Go, tem sido identificado em ataques desde outubro de 2025, unindo funcionalidades de wiper e ransomware em uma plataforma modular sofisticada. Com capacidades que incluem a exclusão física de discos, ativação de BSOD, criptografia reversível e irreversível de arquivos, captura de tela e execução de comandos PowerShell, essa ameaça representa um risco elevado. O GigaWiper ainda conta com um robusto sistema de comando e controle, utilizando RabbitMQ e Redis para manter o acesso remoto e a persistência nos sistemas comprometidos, apagando rastros ao limpar logs.

A Agência de Segurança Nacional (NSA) dos EUA anunciou a restauração do nome 'Tailored Access Operations' (TAO) para seu Office of Computer Network Operations, revertendo a reestruturação NSA21 de 2016. Sob a nova liderança do vice-diretor Tim Kosiba, essa mudança sinaliza um retorno à integração de desenvolvedores e operadores, anteriormente separados em diretorias distintas. A unidade de elite, focada em operações cibernéticas ofensivas, prepara-se para inaugurar uma nova sede em Fort Meade no próximo mês, consolidando suas atividades de cibersegurança e inteligência.

O projeto FFmpeg acaba de lançar uma correção para a vulnerabilidade CVE-2026-8461, batizada de 'PixelSmash', que afetava o decoder MagicYUV. Classificada com um CVSS de 8.8, a falha de escrita fora dos limites da memória (heap out-of-bounds write) permitia ataques de negação de serviço (DoS) contra aplicações amplamente utilizadas como Kodi, OBS Studio, PhotoPrism e Nextcloud. Mais grave ainda, a exploração completa poderia levar à execução remota de código (RCE) no Jellyfin, especialmente quando o ASLR (Address Space Layout Randomization) estivesse desativado, através de arquivos AVI, MKV ou MOV maliciosamente elaborados. A atualização é crucial para proteger a integridade desses sistemas.

Uma nova campanha maliciosa, batizada de Veil#Drop, está utilizando um framework PowerShell de múltiplos estágios para comprometer sistemas. O ataque começa com um arquivo JavaScript, disfarçado de documento, que aciona o Windows Script Host para executar scripts PowerShell. Estes scripts ignoram políticas de execução e buscam payloads adicionais em páginas do Blogspot controladas por invasores. Os códigos maliciosos são codificados em XOR e decodificados diretamente na memória, carregados como assemblies .NET via reflection, evitando o disco. A operação emprega táticas como sites comprometidos, arquivos com extensão dupla e técnicas LOLBIN, visando o roubo de dados, como credenciais de navegador, cookies e carteiras de criptomoedas, através do PureLog Stealer.

Pesquisadores em segurança da informação revelam que pequenas alterações de bytes, combinadas com uma técnica de empacotamento de autoextração batizada de SKILLCLOAK, possibilitam que 'skills' maliciosas de agentes de IA driblem mais de 90% dos testes em oito dos mais utilizados scanners estáticos. O estudo demonstra uma lacuna preocupante na detecção de ameaças baseadas em IA. Contudo, um monitor de runtime operando em sandbox, o SKILLDETONATE, surge como uma contramedida eficaz, detectando a vasta maioria dessas 'skills' disfarçadas, indicando a necessidade de soluções de segurança multicamadas contra ataques sofisticados.

O gigante chinês de tecnologia Alibaba teria classificado o assistente de IA Claude Code como software de alto risco, emitindo uma diretriz interna para que seus colaboradores migrem para a ferramenta proprietária Qoder até 10 de julho. A medida levanta questões sobre a segurança de dados e a soberania tecnológica, em meio à crescente preocupação com a proteção de informações corporativas e a dependência de soluções externas em grandes empresas.

A atribuição de identidade a agentes de IA representa um desafio crescente no cenário da segurança cibernética, com três paradigmas principais emergindo. Primeiramente, a IA pode herdar a identidade do usuário. Em segundo lugar, o agente pode receber seu próprio token ou chave de API. Por fim, uma identidade totalmente independente pode ser concedida ao agente de IA. Além desses modelos fundamentais, há uma camada essencial de infraestrutura, como Okta Cross App Access, 'agent control planes' ou SPIFFE/SPIRE, que facilita essa gestão. Curiosamente, provedores de nuvem já começam a oferecer a terceira abordagem como um serviço, sinalizando uma evolução na segurança e governança de sistemas de IA.

O FBI, em colaboração com a Microsoft, utilizou um identificador global de dispositivo (GDID) da empresa para rastrear Peter Stokes, um jovem de 19 anos suspeito de ser membro do grupo hacker Scattered Spider. Mesmo com o uso de VPNs e tunelamento ngrok, o GDID permitiu que os investigadores cruzassem o histórico de IP do suspeito com registros de login de plataformas como Snapchat, Apple e Facebook. Essa conexão foi crucial para ligá-lo a uma exigência de resgate de US$ 8 milhões e a outras acusações de conspiração, como parte da Operação Riptide do FBI, destacando a capacidade das empresas de tecnologia em auxiliar investigações criminais complexas.

O Moody Bible Institute, renomada instituição educacional cristã, confirmou ter sido vítima de uma grave violação de dados perpetrada pelo grupo de ransomware ShinyHunters. O incidente resultou na exposição de informações sensíveis de 2,3 milhões de indivíduos, incluindo datas de nascimento, endereços de e-mail, gêneros, estados civis, nomes completos, números de telefone e endereços físicos. Este vazamento ressalta a vulnerabilidade de organizações de todos os setores a ataques cibernéticos sofisticados.

Uma nova vulnerabilidade crítica no kernel Linux, identificada como CVE-2026-46242 e apelidada de "Bad Epoll", teve um exploit de Prova de Conceito (PoC) divulgado. O bug consiste em uma condição de corrida do tipo use-after-free na funcionalidade epoll, que permite a processos sem privilégios escalar para acesso root por meio de uma técnica de Programação Orientada a Retorno (ROP). A disponibilidade do PoC eleva a urgência para que administradores de sistemas atualizem suas instalações Linux e mitiguem este risco de segurança imediato.

Outras categorias