CEVIU News - CEVIU Segurança da Informação - 11 de fevereiro de 2026

Um pesquisador de segurança descobriu que a última divulgação de documentos de Epstein pelo DoJ incluiu, inadvertidamente, anexos de e-mail não editados como conteúdo raw base64-encoded. Isso ocorreu porque o estagiário responsável não reconheceu a importância de páginas de dados codificados embutidos em e-mails impressos e digitalizados. A reconstrução dos PDFs originais foi extremamente difícil devido à baixa qualidade do OCR na renderização da fonte Courier New (onde "1" e "l" são quase indistinguíveis). Múltiplas ferramentas de OCR comerciais e de código aberto falharam, até que uma abordagem de template-matching em nível de pixel, desenvolvida pela comunidade, atingiu 99,96% de precisão de linha e descompactou com sucesso 39 de 40 streams FlateDecode. O incidente destaca como artefatos de codificação e pipelines de processamento de documentos podem preservar conteúdo sensível que os workflows de redação ignoram, servindo como um alerta para o manuseio forense de documentos e os processos de verificação de redação.

A Forcepoint X-Labs descobriu que a botnet Phorpiex está distribuindo o ransomware Global Group, um sucessor do Mamona, por meio de phishing emails contendo arquivos .lnk disfarçados de documentos. O ataque utiliza técnicas living-off-the-land, empregando PowerShell e Command Prompt para a entrega do payload. O ransomware opera em um modo silencioso que gera chaves de criptografia localmente com ChaCha20-Poly1305, sem a necessidade de contato com um servidor C2. Isso permite a criptografia de arquivos em máquinas offline e a evasão da detecção baseada em rede. Após a criptografia, o malware se autoexclui, destrói Cópias de Sombra de Volume e adiciona a extensão .reco aos arquivos bloqueados, deixando mínimos artefatos forenses.

Mantenedores de projetos open source podem inscrever seus projetos no serviço de fuzzing contínuo OSS-Fuzz gratuitamente. Embora este processo tenha detectado muitas vulnerabilidades novas, o autor desta publicação descobriu novos bugs em projetos populares devido a limitações como cobertura insuficiente, cobertura inadequada de dependências externas e cobertura insuficiente de funções de codificação no processo de fuzzing. Para mitigar isso, o autor recomenda um processo de fuzzing em cinco etapas ️: preparar o código, aumentar iterativamente a code coverage para idealmente acima de 90%, melhorar a cobertura sensível ao contexto (que depende de estados que um fuzzer pode não alcançar naturalmente), empregar value coverage para descobrir bugs que as entradas do fuzzer podem estar perdendo e, finalmente, tentar focar em bugs de difícil detecção, como aqueles que exigem grandes entradas ou mais tempo.

A Fortinet corrigiu a CVE-2026-21643, uma vulnerabilidade crítica de injeção de SQL na GUI do FortiClientEMS . Esta falha permite que atacantes remotos não autenticados executem código ou comandos arbitrários por meio da neutralização inadequada de caracteres especiais em queries SQL. A vulnerabilidade afeta a versão 7.4.4 do FortiClientEMS, sendo a versão 7.4.5 o patch de correção, enquanto as versões 7.2 e 8.0 não são afetadas. Apesar de não haver exploração em campo ou proof-of-concept público observado ainda , as organizações devem aplicar o patch com urgência, dada a Fortinet ser historicamente um fornecedor amplamente visado, conforme o Catálogo de Vulnerabilidades Conhecidas e Exploradas da CISA.

Pesquisadores da empresa de segurança LayerX descobriram uma vulnerabilidade crítica (CVSS 10/10) nas Extensões Claude Desktop (DXT) que pode permitir a execução remota de código (RCE) com interação zero do usuário. Essa falha expõe mais de 10 mil usuários a ataques silenciosos, destacando um risco significativo para a segurança de dados e sistemas. ️ No proof-of-concept divulgado pela LayerX, um atacante enviaria à vítima um convite do Google Calendar contendo instruções maliciosas na descrição do evento. A vítima, ao pedir a Claude para gerenciar seu calendário ou verificar eventos, desencadearia a execução dessas instruções. A vulnerabilidade é possibilitada pelo fato de que o Claude DXT executa intencionalmente sem qualquer isolamento, abrindo a porta para explorações diretas.

Um hacktivista, conhecido como wikkid, exfiltrou e divulgou mais de 500 mil registros de clientes de serviços de stalkerware fornecidos pela empresa ucraniana Struktura. Os dados exfiltrados incluem endereços de e-mail de clientes, o aplicativo ou marca pelo qual o cliente pagou, o valor pago, o tipo de pagamento e os últimos quatro dígitos de números de cartão de crédito. O hacktivista afirmou ter explorado uma “falha trivial” no site do serviço.

Os órgãos de segurança da Alemanha, BSI e BfV, alertaram que hackers apoiados por estados estão visando líderes militares, diplomatas e jornalistas em toda a Europa . Eles abusam de recursos legítimos do Signal, como se passar pelo Suporte de Segurança do Signal para roubar PINs e sequestrar contas, ou enganar alvos para que escaneiem QR codes que silenciosamente vinculam dispositivos de atacantes, dando acesso a até 45 dias de histórico de conversas . As campanhas dependem inteiramente de engenharia social, e não de exploits, o que as torna difíceis de detectar com o tooling de segurança tradicional. É crucial que os usuários ativem o Registration Lock, auditem regularmente os dispositivos vinculados e tratem qualquer mensagem não solicitada pedindo códigos de verificação como maliciosa .

O Discord anunciou que, a partir do início de março, os usuários precisarão verificar sua idade por meio de uma selfie ou documento de identidade governamental. As contas dos usuários serão definidas como contas de adolescente por padrão até que a verificação seja realizada. O Discord afirma que o processamento da selfie ocorrerá localmente nos dispositivos dos usuários, que os documentos de identidade governamentais serão excluídos rapidamente por seus processadores terceirizados e que o status de verificação de idade não será visível nos perfis dos usuários.

Em novembro de 2025, o Sysdig Threat Research Team (TRT) detectou um comprometimento de conta notável pela progressão do atacante do acesso inicial para privilégios administrativos em apenas 8 minutos, utilizando assistência de LLM . O atacante obteve acesso inicial por meio de credenciais encontradas em um bucket S3 público ️. Em seguida, usou essas credenciais para substituir o código de função Lambda, escalando privilégios, realizando movimentação lateral entre 19 diferentes principals e, por fim, coletando dados sensíveis . Adicionalmente, o Bedrock foi utilizado para acessar LLMs hospedados em nuvem e lançar instâncias de GPU para treinamento de modelos. O artigo oferece recomendações de mitigação para cada etapa da cadeia de exploração do atacante.

Augustus é um scanner de vulnerabilidades de LLMs open-source baseado em Go , projetado para testar modelos contra mais de 210 ataques adversários em 47 categorias. Isso inclui jailbreaks, prompt injection, exploits de codificação, extração de dados e manipulação de agentes. Distribuído como um único binário com suporte para 28 provedores de LLMs, a ferramenta foi inspirada no garak da NVIDIA, mas reimplementada em Go para execução mais rápida e zero dependências de runtime . Augustus apresenta uma arquitetura de pipeline com probes composíveis, transformações de buff (como codificação, paráfrase, poesia e tradução de idiomas de baixo recurso) e mais de 90 detectores, incluindo LLM-as-a-judge e HarmJudge . A ferramenta faz parte da campanha "The 12 Caesars" da Praetorian.

A Microsoft anunciou prompts de permissão de aplicativos no estilo smartphone e um "Windows Baseline Security Mode" para o Windows 11. ️

A Google Research utilizou o prompting de autocorreção iterativa do Gemini para descobrir uma falha em um artigo de criptografia sobre SNARGs para NP a partir de LWE, que revisores humanos não haviam identificado. Este feito destaca o crescente potencial das LLMs como revisores adversariais tanto na pesquisa acadêmica quanto em auditorias de segurança.

Dois homens de Connecticut foram indiciados em 45 acusações federais por supostamente usarem cerca de 3.000 identidades roubadas , compradas em mercados da darknet, para criar contas fraudulentas em FanDuel, DraftKings e BetMGM. Eles exploraram bônus promocionais para novos usuários, desviando US$ 3 milhões ao longo de cinco anos.