CEVIU News - CEVIU Segurança da Informação - 13 de fevereiro de 2026

Um ciberataque em maio de 2025 contra a ApolloMD expôs PII e PHI de 626.540 indivíduos associados a médicos e clínicas afiliadas . Os dados comprometidos incluíram diagnósticos, detalhes de tratamento, informações de seguro e, em alguns casos, números de Seguro Social. As notificações começaram em setembro de 2025, com monitoramento de crédito gratuito oferecido. Posteriormente, o grupo de ransomware Qilin reivindicou a autoria do ataque em seu site de vazamento.

Uma organização de serviços financeiros realizou a transição de pentests anuais motivados por compliance para uma validação contínua semanal. Essa mudança revelou que uma única credencial AWS somente leitura permitia 39 caminhos de ataque distintos, incluindo o comprometimento total de uma conta em menos de 10 minutos e acesso a mais de 100.000 arquivos sensíveis. A adoção de testes automatizados frequentes reduziu o tempo médio para remediação de meses para dias. A equipe concluiu aproximadamente 40 pentests em oito meses, descobrindo riscos anteriormente invisíveis, como compartilhamentos SMB excessivamente permissivos, caminhos de escalonamento de privilégios IAM e uma vulnerabilidade crítica no PAN-OS (CVE-2025-0108) . Este estudo de caso demonstra como a validação contínua transforma programas de segurança de exercícios pontuais de compliance em uma gestão operacional de exposição ️, onde as descobertas são priorizadas pela explorabilidade comprovada e mapeadas para TTPs de atores de ameaça reais como Scattered Spider .

A falha CVE-2026-20841 (CVSS 8.8) é uma vulnerabilidade de command injection no Bloco de Notas atualizado da Microsoft (versões 11.0.0 a 11.2509). Ela surge porque o handler de Markdown não valida o conteúdo de links antes da execução, permitindo que atacantes executem código remoto quando usuários abrem um arquivo .md malicioso e clicam em um link incorporado. Existem exploits de prova de conceito públicos, e a vulnerabilidade está sendo ativamente explorada, concedendo aos atacantes permissão total para executar código. A Microsoft corrigiu o problema no Bloco de Notas build 11.2510+ em 10 de fevereiro. ️ Usuários são aconselhados a desativar as prévias de Markdown e links quando não forem necessárias.

A Apple corrigiu a CVE-2026-20700, uma vulnerabilidade de execução arbitrária de código no dyld (o Dynamic Link Editor), descoberta pelo Threat Analysis Group do Google. Esta falha foi explorada em ataques direcionados contra indivíduos específicos que utilizavam versões do iOS anteriores ao iOS 26, marcando o primeiro zero-day da Apple corrigido em 2026. A vulnerabilidade, encadeada com duas falhas previamente corrigidas (CVE-2025-14174 e CVE-2025-43529), afeta uma vasta gama de dispositivos , incluindo iPhone 11 e posteriores, iPad, Mac, Apple TV, Apple Watch e Vision Pro. As correções estão disponíveis nas versões iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 e visionOS 26.3.

O grupo Lotus Blossom comprometeu a infraestrutura de hospedagem do Notepad++ entre junho e dezembro de 2025. Eles sequestraram o servidor de atualização para distribuir seletivamente instaladores maliciosos a alvos nos setores governamental, de telecomunicações e de infraestrutura crítica no Sudeste Asiático, América do Sul, EUA e Europa. O ataque empregou duas cadeias de infecção: uma variante de injeção de script Lua, que implantava beacons Cobalt Strike, e uma variante de DLL sideloading, que utilizava um componente renomeado do Bitdefender para carregar o backdoor Chrysalis com técnicas de evasão protegidas por Warbird. Recomenda-se que os usuários atualizem manualmente para o Notepad++ v8.9.1 ou posterior, que inclui verificação de certificado e assinatura para instaladores baixados.

Este é o primeiro post de uma série que utiliza o BadPods da BishopFox. A série investiga as proteções incluídas nas ofertas de Kubernetes gerenciado de diferentes provedores de cloud, apresentando manifests de pod com diversos níveis de má configuração. O artigo detalha como o manifest mais permissivo permite escapar trivialmente do pod via um host path montado e escalar privilégios, roubando credenciais IAM do IMDS.

BinaryAudit é um benchmark open-source da Quesma, criado para avaliar a capacidade de agentes de IA detectarem backdoors em executáveis binários despojados, utilizando ferramentas de engenharia reversa como Ghidra e Radare2. ️‍️ O benchmark testa modelos contra versões com backdoors de lighttpd, dnsmasq, Dropbear e Sozu. Claude Opus 4.6 liderou com 49% de detecção, mas foi prejudicado por uma taxa de falsos positivos de 22% em binários limpos. ️ Os resultados indicam que, embora a análise binária assistida por IA esteja se tornando acessível a não especialistas, as altas taxas de falsos positivos e a incapacidade de rastrear o fluxo de dados em binários complexos a tornam inadequada para a detecção de malware em produção atualmente.

A botnet IoT Kimwolf acidentalmente interrompeu a rede de anonimato I2P ao tentar registrar 700.000 dispositivos infectados como nós, num ataque Sybil que sobrecarregou a rede de aproximadamente 15.000 a 20.000 nós. A ação visava estabelecer uma infraestrutura C2 resistente a takedowns. Os operadores da botnet, que admitiram a interrupção no Discord, têm testado I2P e Tor como canais de comando e controle de fallback, após a intensificação dos esforços de empresas de segurança e operadores de rede para combater a botnet. Atualmente, a I2P opera com cerca de metade da sua capacidade enquanto as correções de estabilidade são implementadas. Enquanto isso, o número total de sistemas infectados pela Kimwolf diminuiu em mais de 600.000, após disputas internas entre operadores e erros operacionais.

A equipe de ameaças do Google detalha como o grupo norte-coreano UNC2970 e outros estão weaponizando a IA Gemini para perfilamento de alvos baseado em OSINT, phishing direcionado, análise de vulnerabilidades e depuração de exploits. Essa prática borra a linha entre pesquisa e reconhecimento. Os atacantes também empregam a API do Gemini no malware HONESTCUE, em kits de phishing COINBAIT criados com IA, e em tentativas de extração de modelo em larga escala que replicam o comportamento do Gemini através de um alto volume de prompt queries. ️‍️

A Microsoft lançou correções de emergência para várias falhas zero-day ativamente exploradas no Windows e Office. Essas vulnerabilidades permitem a execução remota de código com um clique e contornos do SmartScreen em todas as versões suportadas do Windows. Atacantes podem executar silenciosamente malware com altos privilégios, possibilitando campanhas de ransomware e espionagem. Administradores e usuários finais são urgentemente alertados a aplicar os patches imediatamente e a tratar links maliciosos e arquivos do Office como de alto risco.

A equipe de Segurança do Google Cloud conduziu uma auditoria de segurança de cinco meses nas Trust Domain Extensions (TDX) da Intel e descobriu cinco vulnerabilidades. Essas falhas representam um risco significativo de comprometimento total, destacando a urgência na gestão de vulnerabilidades em infraestruturas críticas. ️

Forças de segurança desativaram a infraestrutura do Lumma Stealer em 2025, mas o infostealer se reergueu rapidamente e está se espalhando novamente. Ele utiliza prompts CAPTCHA falsos "ClickFix" persuasivos que enganam usuários para executar comandos no Windows Terminal, carregando o CastleLoader na memória e, em seguida, o próprio Lumma. ️

A Rússia intensifica sua repressão a plataformas de mensagens independentes, tentando bloquear completamente o WhatsApp e restringindo o acesso ao Telegram.