Hackers exploram falha no FortiClient EMS para distribuir malware de roubo de informações

01 de junho de 2026

Resumo

Atacantes estão explorando a CVE-2026-35616, uma falha de controle de acesso não autenticado nas versões 7.4.5 e 7.4.6 do FortiClient Enterprise Management Server, para modificar configurações do EMS e políticas de VPN. O objetivo é forçar o fortitray.exe a executar scripts batch maliciosos logo após o estabelecimento de um túnel IPsec. Esses scripts rodam comandos PowerShell codificados em base64 que baixam o infostealer EKZ, disfarçado como um patch da Fortinet, capaz de extrair credenciais de navegadores, cookies e dados financeiros antes de exfiltrar as informações para um servidor externo e apagar vestígios locais. Equipes de segurança devem aplicar os hotfixes de abril, monitorar logs específicos contendo a sequência Certificate not found in request header seguida pela atualização do certificado, além de auditar alterações em perfis de acesso remoto e logins administrativos vindos de redes Tor ou VPS.

Avalie este artigo:

Categoria: CEVIU Segurança da Informação
Publicado: 01 de junho de 2026
Fonte: CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?