CEVIU News - CEVIU Segurança da Informação - 18 de fevereiro de 2026

Um erro de digitação de um único caractere (usando `&` em vez de `|`) em um commit de refatoração de array do SpiderMonkey Wasm GC introduziu uma vulnerabilidade do tipo use-after-free no processo de renderização do Firefox . Este lapso permitiu primitivas arbitrárias de leitura/escrita e execução completa de código (RCE). O bug fez com que ponteiros de encaminhamento de array out-of-line fossem zerados incorretamente durante a garbage collection. Isso permitiu que atacantes recuperassem memória liberada via heap spraying, bypassassem ASLR por meio de vazamento de ponteiros e hijackassem o fluxo de controle. A vulnerabilidade afetou apenas o Firefox 149 Nightly e foi corrigida em seis dias, sem impactar versões de lançamento.

O Bashe (anteriormente APT73) é um grupo de Ransomware-as-a-Service (RaaS) que adotou uma nova identidade inspirada em uma serpente mitológica chinesa. Ele opera com uma taxa de entrada de 0.25 BTC para afiliados, servindo tanto como monetização quanto como medida anti-infiltração, e colabora com initial access brokers e funcionários descontentes de empresas. O grupo reivindica criptografia full-stack, capacidades de bypass de EDR e controle centralizado sobre painéis de negociação e temporizadores de publicação de dados, excluindo, contudo, setores de saúde, escolas e países da CEI de seus alvos. Este padrão é consistente com as normas do ecossistema de ransomware de língua russa. A intencional imprecisão do Bashe em detalhes técnicos, como a arquitetura de gerenciamento de chaves, aliada a uma retórica de lucro acima de tudo e um foco geográfico que se desloca para países com maiores taxas de pagamento, oferece uma inteligência de ameaças valiosa para defensores que modelam o comportamento de operadores de RaaS.

Uma interface de "super admin" mal configurada na DavaIndia Pharmacy, parte do grupo Zota Healthcare, permitia que qualquer pessoa criasse contas com altos privilégios e acessasse dados de quase 17.000 pedidos online em 883 lojas. As informações expostas incluíam nomes, contatos, endereços e medicamentos comprados. Atacantes poderiam ter alterado preços, descontos e requisitos de prescrição antes que a falha, reportada ao CERT-In em agosto de 2025, fosse discretamente corrigida.

Pesquisas recentes demonstraram que rootkits de kernel podem sistematicamente cegar ferramentas de segurança baseadas em eBPF. Isso ocorre ao usar ftrace para 'enganchar' os mecanismos de entrega de dados, como BPF iterators, ring buffers, perf events e operações de map, em vez de atacar os próprios programas eBPF diretamente. O rootkit Singularity, por exemplo, filtra seletivamente processos e conexões de rede ocultos na fronteira entre o kernel e o userspace, levando as ferramentas de segurança a operar com uma visão fabricada do estado do sistema, enquanto acreditam ter visibilidade completa. Essas descobertas ressaltam que a observabilidade eBPF pressupõe um kernel confiável. Os defensores devem, portanto, priorizar a prevenção de comprometimento do kernel através de medidas como Secure Boot, enforce de módulos assinados e detecção em camadas out-of-host, em vez de depender exclusivamente da telemetria em nível de kernel. ️

Um pesquisador descobriu que a arquitetura OWL do ChatGPT Atlas permite que atacantes locais substituam o 'OWL Host', um Chromium headless, por um aplicativo malicioso. Este app herdaria os privilégios TCC do macOS do Atlas para acessar silenciosamente o microfone, câmera ou outras permissões previamente concedidas pelo usuário. A OpenAI recusou-se a corrigir a falha, citando o modelo de ameaças do Chrome, que exclui ataques locais. Essa postura é herdada por Electron e outros forks do Chromium, e o pesquisador argumenta que deixa os usuários de macOS fundamentalmente menos seguros. A vulnerabilidade não corrigida realça uma crescente tensão entre as premissas do modelo de ameaças do Chrome e o sistema de permissões TCC do macOS, onde ataques de 'confused deputy' podem contornar os controles de consentimento em nível de sistema operacional sem o conhecimento do usuário. ️

A Lasso propõe uma taxonomia estruturada para prompt injection, distinguindo entre a intenção do atacante (vazamento de system prompt vs. jailbreak) e as técnicas baseadas em texto, como instruction override, role-playing, entre outras. Cada categoria inclui subtipos e exemplos concretos para auxiliar profissionais a detectar, compreender e defender-se de forma mais confiável contra os ataques modernos de prompt em LLMs.

Hackers afirmam ter roubado 1.3 TB de dados de AWS S3, Zendesk e GitLab da Eurail, incluindo código-fonte, tickets de suporte e backups de banco de dados com informações pessoais de potencialmente milhões de clientes Eurail e Interrail . Os campos expostos variam de detalhes de contato e passaporte a dados de saúde e bancários para viajantes DiscoverEU .

Um infostealer, provavelmente uma variante Vidar, exfiltrou arquivos de configuração do OpenClaw contendo tokens de gateway, chaves de dispositivo e a "alma" de um agente de IA , possibilitando acesso remoto e sequestro de identidade. Enquanto isso, skills maliciosas do ClawHub, instâncias OpenClaw expostas com potencial RCE e contas Moltbook persistentes estão aumentando o interesse de atacantes à medida que o ecossistema do OpenClaw escala rapidamente. ️

A Fireblocks publicou um whitepaper abrangente detalhando o cenário de ameaças em blockchain, onde mais de US$ 17 bilhões em criptomoedas foram roubados desde 2020. Atores ligados à Coreia do Norte são responsáveis por aproximadamente US$ 6,75 bilhões e três quartos de todos os ataques a plataformas de criptoativos. O documento descreve uma arquitetura de defesa em profundidade que combina infraestrutura zero-trust, gerenciamento de chaves distribuído baseado em MPC (Multi-Party Computation), aprovação de transações multi-dispositivo e detecção de ameaças DeFi em tempo real. Este arsenal visa mitigar vetores de ataque como spear phishing, comprometimento de API, blind signing e address poisoning. Equipes de segurança que gerenciam ativos digitais devem avaliar seus próprios controles em relação à avaliação de prontidão incluída, garantindo que nenhum componente comprometido – seja um endpoint, conta de administrador ou ambiente de nuvem – possa permitir a movimentação não autorizada de fundos.

A Microsoft alerta sobre uma nova variante do ClickFix que emprega comandos nslookup, via caixa de diálogo Executar do Windows, para recuperar e executar payloads de segunda fase através do DNS. ️ Este processo culmina na implantação do trojan de acesso remoto ModeloRAT, baseado em Python.

Um tribunal espanhol ordenou NordVPN e ProtonVPN a bloquear 16 sites de pirataria, conforme a Regulamentação de Serviços Digitais da UE. Ambos os provedores contestam a decisão, alegando invalidade processual, uma vez que não foram notificados nem tiveram oportunidade de se defender. ️

A CISA adicionou a falha de injeção de comando de SO (CVE-2026-1731) da BeyondTrust, ativamente explorada , ao seu catálogo KEV, determinando que agências federais corrijam as instâncias de Remote Support e Privileged Remote Access até 16 de fevereiro, visto que aproximadamente 8.500 implantações on-premises permanecem expostas.