O kernel Linux 7.0 foi lançado com suporte oficial a Rust, XFS com recuperação automática e melhorias expandidas para ARM/RISC-V/Loongson e AMD EPYC 5 KVM. Torvalds destacou o tooling de IA como um provável impulsionador do aumento de correções de casos específicos no final do ciclo de desenvolvimento.
Todas as notícias
CEVIU Segurança da Informação
Notícias, pesquisas e ferramentas para profissionais de segurança da informação
567 notícias
Hackers, autodenominados ShinyHunters, afirmam ter acessado dados da Rockstar através de um provedor de cloud de terceiros e tentaram exigir um resgate, ameaçando vazar as informações.
Um ator de ameaça configurou um domínio da Anthropic com typosquatting para servir um instalador MSI trojanizado. Este instalador implanta silenciosamente o PlugX, um Remote Access Trojan (RAT), junto com o aplicativo legítimo Claude. A infecção ocorre por DLL sideloading através de um binário assinado da G DATA (NOVUpdate.exe), e a comunicação é estabelecida com a infraestrutura de C2 na Alibaba Cloud. O dropper em VBScript persiste na pasta de inicialização e se autoexclui para minimizar artefatos forenses, enquanto a supressão de erros impede alertas visíveis para a vítima durante a implantação. Para mitigar, é crucial bloquear o carregamento de DLLs não assinadas de diretórios de inicialização, monitorar o NOVUpdate.exe em busca de conexões de rede suspeitas e impor allowlisting de aplicativos para evitar a execução de instaladores trojanizados de ferramentas de IA.
A Basic-Fit detectou acesso não autorizado ao seu sistema de check-in de clubes, que registra as visitas dos membros em sete países europeus. Os atacantes acessaram dados pessoais e de associação, incluindo nomes, detalhes de contato, datas de nascimento e números de contas bancárias, mas não senhas ou documentos de identificação. Aproximadamente 200.000 membros holandeses foram afetados, e o regulador foi notificado, elevando o risco de fraudes de débito direto SEPA e phishing direcionado.
A Semgrep analisou dados anonimizados de remediação de SAST e SCA de mais de 400 organizações em mais de 50.000 repositórios. A pesquisa revelou que equipes de alto desempenho atingem taxas de correção de SAST 2,4 vezes maiores e de SCA 3,3 vezes maiores que seus pares. A detecção na fase de PR (Pull Request) impulsiona um Mean Time To Recovery (MTTR) 9 vezes mais rápido em comparação com vulnerabilidades identificadas em varreduras completas. Falhas de autenticação e criptográficas exibem as maiores disparidades de desempenho entre as equipes líderes e as demais. Além disso, vulnerabilidades com mais de 90 dias raramente são resolvidas através do workflow normal. As recomendações incluem priorizar regras de bloqueio na revisão de PR, habilitar a análise de reachability de SCA e triar as vulnerabilidades de autenticação/criptografia antes do limite de 90 dias. Os dados completos do benchmark estão disponíveis em um PDF linkado na página.
O engenheiro de criptografia Filippo Valsorda atualizou seu posicionamento pós-quântico após a publicação de dois papers focados em diferentes arquiteturas quânticas. Um paper do Google demonstrou a redução do número de qubits necessários para quebrar curvas elípticas de 256 bits em hardware supercondutor. Outro, da Oratomic, revelou que o ECC-256 pode ser quebrado com apenas 10.000 qubits físicos em conectividade não-local de átomos neutros. Com Heather Adkins e Sophie Schmieg do Google estabelecendo o prazo para um CRQC (Computador Quântico Criptograficamente Relevante) em 2029, Valsorda argumenta que o risco agora exige a implementação imediata de ML-KEM e ML-DSA-44 em detrimento de esquemas híbridos, tratando qualquer troca de chaves não-PQ como um potencial comprometimento ativo. TEEs (como Intel SGX e AMD SEV-SNP) são apontados como especialmente vulneráveis, dada a ausência de um caminho conhecido para migração de root-of-trust pós-quântico, enquanto implementações de criptografia de arquivos enfrentam o risco de "armazenar agora e decifrar depois", necessitando de um rollout urgente para receptores PQ.
A Agentic AI deve ser tratada como um funcionário independente e ter os mesmos privilégios e controles que um funcionário humano. Questões como a exfiltração de segredos pela IA, a escalada de privilégios e as alucinações são problemas que encontram equivalentes na esfera de gestão de ameaças internas.
Vespasian é uma ferramenta open-source para descoberta de endpoints de API que captura tráfego HTTP em tempo real via navegador headless ou por meio de capturas existentes do Burp Suite, HAR e mitmproxy. Em seguida, gera especificações estruturadas como OpenAPI 3.0 para REST, GraphQL SDL e WSDL para SOAP. Seu pipeline de duas fases separa a captura da geração, empregando heurísticas com pontuação de confiança para classificação de tipo de API e normalização de caminhos com deduplicação parametrizada. A ferramenta também implementa uma estratégia de introspecção GraphQL em camadas, que inclui fallbacks para bypass de WAF. O Vespasian se integra diretamente com o Hadrian da Praetorian para testes automatizados de BOLA/BFLA, estabelecendo um pipeline completo de descoberta e teste que elimina a necessidade de criação manual de especificações.
O Bellingcat identificou quase 800 pares de e-mail e senha de contas do governo húngaro em dados de vazamentos públicos. Isso incluiu cerca de 120 contas relacionadas à defesa, algumas ligadas a um vazamento de e-learning da OTAN em 2023. As autoridades reutilizaram senhas fracas, como “FrankLampard”, “123456aA” e “linkedinlinkedin”, em serviços de terceiros. Além disso, logs de stealer dos últimos meses indicam que várias máquinas governamentais agora estão sob telemetria de atacantes.
Um hacker desviou um pagamento de £700.000 da subsidiária norte-americana da Zephyr Energy para uma conta bancária fraudulenta. O incidente ocorreu por meio de interferência no processo de pagamento a um contratado, provavelmente utilizando táticas de Business Email Compromise (BEC), como a alteração de dados bancários e de roteamento em fluxos de trabalho de faturamento. A Zephyr Energy informou que o incidente foi contido, as operações da empresa continuam normalmente e camadas extras de segurança estão sendo implementadas. A empresa também está trabalhando para recuperar os fundos por meio dos bancos envolvidos.
Entre fevereiro e março, o GitHub enfrentou diversos incidentes significativos que levaram a plataforma a operar abaixo dos seus padrões de disponibilidade. O CTO do GitHub detalhou três dos principais incidentes, incluindo um caso de sobrecarga de banco de dados e dois problemas com soluções de failover que se mostraram insuficientes ou falharam. Para o futuro, o GitHub está implementando uma série de iniciativas para elevar a estabilidade e a escalabilidade da plataforma, o que inclui a migração para o Azure e a desassociação de componentes críticos.
Atores de ameaça desconhecidos invadiram o site cpuid.com por aproximadamente 19 horas (entre 9 e 10 de abril) através de uma API auxiliar comprometida. Eles substituíram as URLs de download do CPU-Z e HWMonitor por links para sites maliciosos que distribuíam instaladores trojanizados. Estes instaladores empacotavam a CRYPTBASE.dll para DLL sideloading. A DLL maliciosa realizava verificações anti-sandbox antes de implantar o STX RAT, um infostealer com capacidade HVNC que suporta execução em memória de EXE, DLL, PowerShell e shellcode, além de tunelamento de reverse-proxy. A infraestrutura C2 utilizada foi reutilizada de uma campanha anterior envolvendo o FileZilla trojanizado. A Kaspersky identificou mais de 150 vítimas no Brasil, Rússia e China.
LucidRook é um backdoor baseado em Lua que visou ONGs e universidades taiwanesas por meio de duas cadeias de phishing direcionado em outubro de 2025. Uma cadeia baseada em LNK onde um arquivo protegido por senha entrega uma carta governamental isca junto com um dropper LucidPawn que realiza DLL-sideloading de LucidRook através de um executável do Microsoft Edge renomeado. A segunda é uma cadeia baseada em EXE usando um instalador falso da Trend Micro para atingir o mesmo resultado. Uma vez em execução, LucidRook busca payloads de bytecode Lua de segunda etapa de um C2 (hospedado brevemente e removido após a entrega para dificultar a forense), coleta dados de reconhecimento do sistema, criptografa-os com RSA em arquivos protegidos por senha e os exfiltra via FTP. Uma ferramenta auxiliar, LucidKnight, abusa do GMTP do Gmail para exfiltração de dados. Defensores devem procurar por sideloading de DismCore[.]dll, tráfego FTP de saída de cargas de trabalho que não sejam de servidor e tráfego anômalo da Gmail API a partir de endpoints como pontos de detecção iniciais.
Pesquisadores utilizando a IA Claude descobriram uma falha no Apache ActiveMQ Classic que permaneceu indetectada por 13 anos. Essa falha permite que atacantes forcem o broker a buscar um arquivo Spring XML remoto e executar comandos arbitrários durante a inicialização. A vulnerabilidade normalmente exige autenticação para ser explorada, mas nas versões 6.0.0 a 6.1.1, ela pode ser encadeada com outra vulnerabilidade para alcançar RCE não autenticado.
O Fight Fraud Framework (F3) da MITRE é uma Base de conhecimento pública que descreve táticas, técnicas e procedimentos de fraudadores, incluindo esquemas cibernéticos realizados por canais online. O F3 estende o ATT&CK com novas táticas de posicionamento e monetização, além de refinar várias táticas já existentes, oferecendo uma visão detalhada das operações fraudulentas.
Em um julgamento realizado no Texas em abril de 2026, o FBI revelou que utilizou a ferramenta Cellebrite para extrair mensagens do Signal de bancos de dados de notificações push do iOS. Essas mensagens persistem no sistema mesmo após a desinstalação do aplicativo. Para mitigar essa vulnerabilidade, é possível configurar a opção "Mostrar Pré-visualizações" para "Nunca" nas definições de notificação do iOS e, adicionalmente, desativar o conteúdo das notificações dentro do próprio aplicativo Signal.
O Google anunciou que a criptografia de ponta a ponta agora está disponível em todos os dispositivos Android e iOS para usuários corporativos. Após os administradores habilitarem o recurso, os usuários poderão ativar a Criptografia Avançada e enviar mensagens criptografadas diretamente do aplicativo Gmail.
A Sublime Security emprega uma linguagem específica de domínio, a Message Query Language (MQL), para viabilizar a caça histórica a ameaças e o backtesting de detecção em sua plataforma de segurança de e-mail. Esta abordagem otimiza o processo dividindo as buscas em uma fase de seleção de candidatos e uma fase de avaliação. Isso permite que operações MQL de baixo custo sejam executadas primeiro, filtrando os resultados antes que as operações mais complexas e caras sejam processadas. O artigo demonstra o progresso de uma caça a ameaças usando uma query de exemplo que busca por todas as mensagens não solicitadas com faturas do PayPal anexadas em outubro de 2025.
A CVE-2026-27654 é um heap buffer overflow no módulo WebDAV do nginx, acionado quando o cabeçalho Destination é mais curto que o prefixo de localização, resultando em um underflow não assinado. A vulnerabilidade exige uma configuração não padrão, incluindo ngx_http_dav_module, alias e os métodos DAV COPY ou MOVE. O Claude identificou o bug e criou o PoC inicial de crash. Subsequentemente, três pesquisadores desenvolveram duas variantes adicionais: uma permitindo escrita arbitrária de arquivos e outra capaz de ler /etc/passwd com uma única requisição COPY. No dia 24 de março, quando a correção do nginx foi tornada pública, um commit-watcher de IA gerou um PoC de crash no mesmo dia.
Uma backdoor ELF x86-64 sem detecção (0/72 VT), atribuída ao APT41 (Winnti), mira em cargas de trabalho de nuvem Linux em AWS, GCP, Azure e Alibaba Cloud. Ela coleta credenciais IAM/managed identity via metadata APIs, as criptografa com AES-256 e as exfiltra pela porta SMTP 25 para um servidor C2 em 43[.]99[.]48[.]196 (Alibaba Cloud Cingapura), escondido atrás de três domínios de typosquat registrados no NameSilo (ai[.]qianxing[.]co, ns1[.]a1iyun[.]top e ai[.]aliyuncs[.]help) que evitam detecção por Shodan/Censys através de validação seletiva de EHLO token. O implante alcança movimento lateral peer-to-peer por meio de transmissões UDP para 255.255.255.255:6006, representando a fase mais recente de uma linha ELF Winnti de 6 anos, que progrediu de PWNLNX (2020) através de KEYPLUG (2023) até este coletor de credenciais de nuvem construído especificamente para esse fim. Defensores devem monitorar a saída na porta 25 de cargas de trabalho não relacionadas a e-mail, o tráfego de transmissão UDP 6006, leituras de ~/.aws/credentials e caminhos equivalentes de credenciais de nuvem por processos não-padrão, e impor IMDSv2 na AWS para bloquear o abuso não autenticado de metadata API.