CEVIU News - CEVIU Segurança da Informação - 12 de fevereiro de 2026

Atores de ameaça desconhecidos exploraram instâncias vulneráveis do SolarWinds Web Help Desk (WHD) em dezembro de 2025 para obter acesso inicial. A Microsoft não conseguiu confirmar se os ataques exploraram a CVE-2025-40551 (RCE por desserialização com CVSS 9.8), a CVE-2025-40536 (auth bypass com CVSS 8.1) ou a CVE-2025-26399 (execução de comando com CVSS 9.8). A atividade pós-exploração incluiu o abuso de BITS para entrega de payload, instalação do Zoho ManageEngine RMM para persistência, dumping de credenciais LSASS via DLL sideloading e ataques DCSync para extrair dados de senhas do domain controller. As organizações devem aplicar patches no WHD imediatamente, remover o acesso público a caminhos administrativos, procurar por ferramentas RMM não autorizadas como o ToolsIQ.exe e rotacionar as credenciais de contas de serviço e administradores acessíveis a partir do WHD.

VoidLink é um implante C2 para Linux baseado em Zig que apresenta fortes indicadores de código gerado por LLM – incluindo rótulos estruturados "Phase X:", log de depuração detalhado e padrões de documentação deixados no binário de produção. Isso demonstra como os agentes de codificação de IA estão diminuindo a barreira para a produção de malware funcional e multi-cloud. O implante faz o fingerprinting de ambientes AWS, GCP, Azure, Alibaba Cloud e Tencent Cloud, coleta credenciais de variáveis de ambiente e APIs de metadados, realiza escape de contêiner via plugins Docker/Kubernetes e implanta um rootkit adaptável em nível de kernel que seleciona eBPF, LKM ou stealth por LD_PRELOAD com base na versão do kernel do host. Defensores devem monitorar por consultas não autorizadas a APIs de metadados em nuvem a partir de workloads, auditar o acesso a tokens de contas de serviço do Kubernetes e tratar artefatos de depuração detalhados ou estruturados em malware capturado como potenciais indicadores de desenvolvimento assistido por IA, exigindo uma modelagem de ameaças ajustada. ️

O agente de threat hunting da Koi Security analisou habilidades oferecidas no marketplace ClawHub da OpenClaw e descobriu que 341 de 2857 delas eram maliciosas. A maioria dessas extensões maliciosas segue um padrão semelhante: seus pré-requisitos instruem o agente a baixar e executar um arquivo que contém um payload malicioso, responsável por instalar o stealer AMOS. A publicação também ressalta a existência de algumas habilidades únicas que baixam outros tipos de payloads ou que camuflam seus stealers e backdoors diretamente no código-fonte.

Um novo kit comercial de spyware móvel, o ZeroDayRAT, vendido via Telegram e analisado pela iVerify, oferece capacidades de nível estatal, incluindo feeds de câmera e microfone ao vivo, keylogging, rastreamento GPS, roubo de credenciais bancárias e hijacking de clipboard de criptomoedas para dispositivos Android e iOS. ️ Este kit, auto-hospedado, utiliza um builder model onde os operadores geram payloads para sua própria infraestrutura, distribuindo-os via phishing, smishing ou aplicativos trojanizados. Os criadores obscurecem deliberadamente a atribuição, anunciando em cinco idiomas e misturando indicadores de direcionamento chineses, russos e indianos. Os esforços de remoção foram complicados pelo modelo de operador descentralizado e pela lenta fiscalização do Telegram, tornando esta uma ameaça persistente com poucos IoCs disponíveis, além do consumo incomum de bateria e transações financeiras inexplicáveis.

Os colapsos do Black Basta e do LockBit provocaram uma reestruturação violenta do ecossistema de RaaS (Ransomware-as-a-Service) . Novos participantes, como o DragonForce, operam como "cartéis" verticalmente integrados, incorporando marketplaces de brokers de acesso diretamente em painéis de afiliados. Isso comprime o tempo entre o acesso inicial e a implantação de ransomware para apenas algumas horas. Em paralelo, a comoditização de ferramentas de evasão de EDR, incluindo "killers" baseados em BYOVD que exploram um driver ainda válido assinado pela Microsoft em 2006, reduziu a barreira de entrada, permitindo que operadores com baixo orçamento derrotem pilhas de segurança corporativas. Diante deste cenário, defensores devem priorizar a ativação da "Vulnerable Driver Blocklist" (lista de bloqueio de drivers vulneráveis) da Microsoft, que é opt-in . É crucial monitorar os marketplaces de brokers de acesso para identificar exposições organizacionais. Além disso, a inteligência de ameaças precisa mudar o foco de rastrear marcas de ransomware para monitorar indicadores de infraestrutura persistente, como fingerprints SSH compartilhados e o reuso de certificados .

O ransomware Reynolds agora incorpora um driver vulnerável NsecSoft NSecKrnl (CVE-2025-68947, CVSS 5.7) diretamente em seu payload. Essa tática de Bring Your Own Vulnerable Driver (BYOVD) permite desativar processos de ferramentas EDR de fornecedores como CrowdStrike, Sophos, Symantec, Palo Alto Cortex XDR e Avast antes da criptografia de arquivos, eliminando a necessidade de uma etapa de implantação BYOVD separada. Pesquisadores da Symantec e Carbon Black observaram um loader side-loaded suspeito na rede alvo semanas antes da execução do ransomware, seguido pela implantação da ferramenta de acesso remoto GotoHTTP para acesso persistente. O cenário do ransomware também mostra outras evoluções notáveis, incluindo a mudança do LockBit 5.0 para criptografia ChaCha20 com recursos de wiper, o uso por parte do Interlock de um zero-day em driver de jogos (CVE-2025-61155) para ataques BYOVD, e o aumento de atores de ransomware visando buckets AWS S3 mal configurados. ️

Os certificados que a Microsoft utiliza para o Secure Boot estão programados para expirar em junho de 2026, após 15 anos de uso. Usuários com atualizações automáticas ativadas receberão os novos certificados automaticamente. Administradores podem implementar os novos certificados via chaves de registro, Group Policy ou Windows Configuration System (WinCS). É importante notar que usuários do Windows 10 que não estão inscritos em atualizações de segurança estendidas não receberão os novos certificados.

Atacantes estão migrando do roubo de credenciais para a apropriação de tokens de autenticação para obter acesso inicial. Em um incidente observado pelo autor, um agressor conseguiu roubar um token de autenticação através de um proxy AitM do Microsoft 365, mas não alcançou seus objetivos devido à rápida detecção e resposta. Em um segundo incidente, o agressor falhou em roubar um token porque a organização utilizava chaves de segurança FIDO2, o que fez com que a tentativa de autenticação via proxy AitM não fosse bem-sucedida.

Uma campanha de phishing ️, que explora os temas do Mês do Orgulho e diversidade, expandiu-se de 504 para 4.768 organizações-alvo em diversos países.

A Mandiant atribuiu uma intrusão contra uma entidade FinTech ao UNC1069, um ator de ameaças financeiramente motivado com ligação à Coreia do Norte (DPRK), que utilizou uma conta comprometida do Telegram, uma reunião Zoom falsificada com um vídeo deepfake reportado, e um ataque ClickFix para implantar sete famílias de malware em um dispositivo macOS, incluindo as novas ferramentas SILENCELIFT, DEEPBREATH e CHROMEPUSH. A cadeia de ataque progrediu do backdoor WAVESHAPER através do downloader HYPERCALL para implantar o HIDDENCALL para acesso hands-on keyboard. O DEEPBREATH contornou as proteções TCC do macOS para roubar credenciais do Keychain, dados de navegador e sessões do Telegram, e o CHROMEPUSH instalou uma extensão maliciosa do Chrome para keylogging e roubo de cookies. A investigação destaca o uso crescente do UNC1069 de ferramentas GenAI como Gemini e GPT-4o para engenharia social, juntamente com uma significativa atualização de tooling, visando startups de criptomoedas, desenvolvedores de software e empresas de capital de risco.

A exploração dos zero-days da Ivanti EPMM, CVE-2026-1281 e CVE-2026-1340 (ambos com CVSS 9.8), já atingiu 86 instâncias confirmadas de sistemas comprometidos.

O guia 'Barreiras para Comunicações OT Seguras: Por que Johnny Não Consegue Autenticar' aborda as barreiras de custo, complexidade, latência e interoperabilidade ️ que impedem os operadores de infraestrutura crítica de adotar protocolos industriais seguros .