CEVIU News - CEVIU Segurança da Informação - 19 de fevereiro de 2026

O grupo cibercriminoso ShinyHunters reivindicou o roubo de 1,7 milhão de registros corporativos da CarGurus , incluindo dados pessoais e internos, e está extorquindo a empresa com um prazo final em 20 de fevereiro. O grupo acumula 15 supostas violações em 2026, atingindo empresas financeiras, varejistas, marketplaces de carros e plataformas de namoro , frequentemente por meio de engenharia social e abuso de SSO.

Este post detalha uma defesa leve para macOS contra ataques ClickFix, agora integrada ao BlockBlock v2.3.0, que intercepta atalhos ⌘+V via monitoramento global NSEvent. A ferramenta pausa o processo do terminal com SIGSTOP e solicita ao usuário que revise o conteúdo da área de transferência antes da execução. ️ Esta abordagem funciona em todos os principais emuladores de terminal e é particularmente eficaz, visto que a maioria das campanhas ClickFix documentadas, incluindo as recentes da APT norte-coreana UNC1069 e ataques propagados por LLM, instruem explicitamente as vítimas a usar o atalho de teclado. No entanto, existem limitações notáveis, como a falta de cobertura para operações de colar com clique direito e a dependência de permissões de Acessibilidade. A ausência de um evento ES_EVENT_TYPE_AUTH_PASTE equivalente no framework Endpoint Security da Apple torna a interceptação no user-space a única abordagem prática para essa proteção.

Um fork suspeito do cliente Triton para macOS omg.lol revelou não ser plágio simples, mas uma tentativa desajeitada de entrega de malware hospedada no GitHub. O atacante inunda o README com links para um ZIP de malware exclusivo para Windows, oculto em um caminho de asset do Xcode, e em seguida, preenche o gráfico de contribuição do GitHub com commits falsos e retrodatados para parecer legítimo. A análise em sandbox revela uma cadeia de infecção Windows multiestágio usando 7zip, LuaJIT, truques anti-análise e tráfego C2 que se disfarça como tráfego da Microsoft e de blockchain.

CAPSlock é um motor de análise offline de Conditional Access Policy (CAP) construído sobre ROADrecon, capaz de simular cenários de login sem gerar artefatos de tenant. Ele distingue entre políticas aplicadas de forma definitiva e aquelas dependentes de sinais. A ferramenta aborda uma lacuna crítica nas avaliações do Entra ID, onde CAPs sobrepostos criam comportamentos de aplicação difíceis de entender, especialmente em bypasses de MFA e lacunas de políticas específicas de plataforma, modelando normalização, lógica de exclusão e aplicação de políticas cumulativas offline. ️ Tanto red teamers quanto defensores devem avaliar o CAPSlock para seus workflows de auditoria de CAP, com a ressalva de que a descontinuação pendente do AAD Graph exigirá permissões elevadas do Microsoft Graph para futuras coletas de políticas.

Keenadu é um malware Android de nível de firmware, inserido via comprometimento da supply chain, que sequestra o processo Zygote do Android para injetar-se em todos os aplicativos dos dispositivos infectados. Afetando 13.000 dispositivos na Rússia, Japão, Alemanha, Brasil e Holanda, Keenadu opera como um carregador de múltiplos estágios, implantando módulos que visam plataformas de compras como Amazon e Temu, monitora consultas do Chrome e comete fraude de anúncios. Organizações devem comparar os IoCs publicados pela Kaspersky com suas frotas Android gerenciadas. Infecções de nível de firmware exigem substituição completa do firmware, enquanto infecções em aplicativos de sistema são mitigadas desativando ou substituindo o app comprometido.

Mandiant e GTIG detalharam como o grupo UNC6201 explorou a vulnerabilidade CVE-2026-22769 (CVSS 10.0), uma credencial de administrador hardcoded na configuração do Apache Tomcat do Dell RecoverPoint, localizada em /home/kos/tomcat9/tomcat-users.xml. Essa falha permitiu a implantação não autenticada de arquivos WAR via /manager/text/deploy, possibilitando a execução de código em nível de root. A persistência foi estabelecida através do sequestro do script convert_hosts.sh, executado na inicialização via rc.local. GRIMBOLT, um backdoor C# que substituiu BRICKSTORM em setembro de 2025, foi compilado com native AOT para remover metadados CIL, dificultando a análise estática. Ele compartilha a infraestrutura de C2 com seu predecessor e introduz novas técnicas de movimento lateral em ambientes VMware, como o uso de "Ghost NICs" e Single Packet Authorization baseado em iptables em appliances vCenter comprometidos. ️ As empresas devem verificar /home/kos/auditlog/fapi_cl_audit_log.log para solicitações ao /manager, buscar por GRIMBOLT usando as YARA rules e IOCs publicados, aplicar imediatamente o patch da Dell e monitorar alterações em convert_hosts.sh.

Pesquisadores do Applied Cryptography Group da ETH Zurich demonstraram 25 ataques em gerenciadores de senhas como Bitwarden (12), LastPass (7) e Dashlane (6), que juntos atendem aproximadamente 60 milhões de usuários. Os ataques comprometeram as garantias de "zero-knowledge encryption" dessas plataformas, operando um servidor malicioso que desviava do comportamento esperado do cliente durante ações rotineiras, como login, acesso ao vault e sincronização. Os vetores de ataque variaram desde violações direcionadas de integridade do vault até o comprometimento completo do vault organizacional. Esses exploits não exigiram recursos computacionais significativos, mas sim um "tooling" leve de personificação de servidor. A causa raiz foi atribuída à complexidade de funcionalidades excessivas (feature-bloat) e à dependência de primitivas criptográficas obsoletas da década de 1990. Equipes de segurança devem avaliar fornecedores de gerenciadores de senhas com base em critérios como divulgação transparente de vulnerabilidades, auditorias de terceiros e criptografia de ponta a ponta moderna ativada por padrão, aguardando a publicação completa das descobertas na USENIX Security 2026.

O chefe de defesa holandês, Gijs Tuinman, sugere que o software dos caças F-35 poderia ser “jailbroken”, levantando sérias questões sobre a dependência europeia de sistemas de controle e cloud services dos EUA. A questão é se existem 'kill switches' ocultos ou como a infraestrutura de atualização e logística da Lockheed pode, de fato, imobilizar frotas. ️️

Um homem de 47 anos foi preso na província de Małopolskie, na Polônia, como parte da operação “Phobos Aetor”, liderada pela Europol, que visa combater atividades relacionadas ao ransomware Phobos.

O Notepad++ na versão 8.9.2 introduz um mecanismo de atualização com verificação dupla , que exige a validação tanto dos instaladores quanto dos arquivos XML assinados de seu servidor, prevenindo assim atualizações sequestradas. Essa medida visa fortalecer a segurança e proteger os usuários contra a distribuição de malware direcionado.

O Claude Sonnet 4.6 apresenta uso de computador aprimorado, resistência reforçada a prompt injection ️ e uma janela de contexto padrão de 200K.