CEVIU News - CEVIU Segurança da Informação - 23 de fevereiro de 2026

Assistentes de IA com capacidades de navegação web, especificamente Grok e Microsoft Copilot, podem ser explorados como retransmissores C2 (Command and Control) secretos. Isso ocorre utilizando acesso web anônimo para buscar URLs controladas por atacantes e retornar comandos incorporados, tudo sem a necessidade de chaves de API ou contas registradas. Um PoC demonstra o uso de um implante C++ baseado em WebView2 para criar um canal bidirecional onde dados da vítima são exfiltrados via parâmetros de query de URL e comandos são retornados por meio de respostas geradas por IA, com uma codificação simples sendo suficiente para contornar as salvaguardas do modelo. A pesquisa aponta para uma evolução a curto prazo em direção a malwares orientados por IA, onde os implantes migram de uma lógica estática para um comportamento impulsionado por prompts. Essa mudança permite detecção anti-sandbox assistida por IA, triagem inteligente de vítimas e ransomware direcionado que prioriza arquivos de alto valor para evadir os limites de detecção baseados em volume.

Um ator de ameaça de língua russa e motivado financeiramente utilizou ferramentas comerciais de IA generativa para comprometer mais de 600 dispositivos FortiGate em 55 países. O ataque, conforme a Amazon Threat Intelligence, visou interfaces de gerenciamento expostas e credenciais de fator único fracas . As atividades pós-exploração incluíram o comprometimento do Active Directory, coleta de credenciais via ataques pass-the-hash/pass-the-ticket e NTLM relay, e o ataque a servidores Veeam Backup usando CVE-2023-27532 e CVE-2024-40711, consistentes com operações pré-ransomware . É crucial que as organizações restrinjam imediatamente a exposição da interface de gerenciamento FortiGate, imponham MFA para todo acesso administrativo e VPN, rotacionem as credenciais SSL-VPN e isolem a infraestrutura de backup do acesso geral à rede .

Uma campanha ClickFix evoluída utiliza páginas CAPTCHA falsas para enganar usuários, levando-os a executar comandos PowerShell que baixam um infostealer. O malware é carregado via Donut shellcode loader, que opera inteiramente em memória usando VirtualAlloc e CreateThread, evadindo detecções baseadas em arquivo. Este ataque visa carteiras de criptomoedas como MetaMask e Exodus. Além disso, ele coleta credenciais de mais de 25 navegadores, exfiltra configurações de VPN, contas Steam e credenciais FTP. A persistência é garantida por modificações na chave de registro RunMRU. Organizações devem monitorar cadeias de execução suspeitas de PowerShell, bloquear IPs de C2 conhecidos, e estar cientes de que o Microsoft Defender detecta o payload como Behavior:Win32/SuspClickFix.C.

O Tribunal de Apelação do Reino Unido confirmou a multa de £500 mil do ICO à DSG Retail por uma violação de dados de 2017 que expôs 5,6 milhões de detalhes de cartões e dados de 14 milhões de pessoas, mesmo sem os nomes dos titulares. A decisão reitera que números de cartão de pagamento e datas de validade são dados pessoais da perspectiva do controlador, enfatiza o risco de identificação por jigsaw identification e fortalece a capacidade dos reguladores de penalizar a segurança frágil em futuros ciberataques. ️

Este post detalha uma metodologia para verificar empiricamente a exposição de recursos AWS sem ler dados sensíveis ou alterar o estado do recurso. A abordagem emprega quatro técnicas principais: comparação de requisições não assinadas e assinadas, leituras apenas de metadados, operações no-op (como a remoção de tags inexistentes) e envio de probes de requisição malformadas que exploram a sequência da AWS, onde as verificações de autorização ocorrem antes da validação de parâmetros. O 'método de 3 tópicos' garante a segurança da probe, testando mudanças idênticas em recursos permitidos, negados e inexistentes, se apenas os alvos negados e inexistentes retornam erros 403 e os permitidos retornam 400, a autorização é confirmada sem executar a ação. Este método é implementado na ferramenta open-source sns-buster para SNS e é adaptável a outros serviços AWS para CSPM, bug bounty e validação de políticas IAM. ️

A Anthropic lançou o Claude Code Security em prévia de pesquisa limitada para clientes Enterprise e Team, oferecendo análise de vulnerabilidades em bases de código com IA que vai além da análise estática. O sistema raciocina sobre interações de componentes e rastreia fluxos de dados. As descobertas passam por um processo de verificação em múltiplas etapas para filtrar falsos positivos, com cada vulnerabilidade recebendo uma classificação de severidade e confiança, além de patches sugeridos. O recurso emprega uma abordagem com interação humana, onde os desenvolvedores revisam e aprovam todas as remediações antes que quaisquer alterações sejam aplicadas. ️

A Wikipédia em inglês baniu o Archive.today após descobrir que o site usou seu CAPTCHA para executar um ataque DDoS contra o blog de um crítico e alterou secretamente páginas arquivadas para difamá-lo, minando a confiança em seus snapshots. Editores substituirão aproximadamente 695.000 links do Archive.today por alternativas como o Internet Archive. ️

O jackpotting em ATMs, demonstrado inicialmente pelo pesquisador Barnaby Jack, tornou-se um ciberataque lucrativo, com mais de 700 incidentes em 2025 que renderam pelo menos US$ 20 milhões em dinheiro. Criminosos utilizam acesso físico, chaves genéricas e o malware Ploutus para sequestrar ATMs baseados em Windows através do software XFS, comandando diretamente os dispensadores a expelir notas sem afetar contas de clientes e, frequentemente, evadindo a detecção até muito depois da retirada do dinheiro.

O ring buffer, introduzido no Linux 5.8, substituiu o legacy perf buffer como o mecanismo recomendado para transferência de dados do kernel para o userspace em programas eBPF. Ele utiliza um único buffer circular compartilhado entre todas as CPUs, em vez de buffers por CPU, eliminando a complexidade de ordenação de eventos entre CPUs e reduzindo o overhead de cópia. Este artigo explora ambas as implementações em C e Go usando cilium/ebpf, demonstrando como o modelo reserve-and-submit do ring buffer, via bpf_ringbuf_reserve e bpf_ringbuf_submit, oferece um caminho mais simples e de maior throughput em comparação com a abordagem bpf_perf_event_output do perf buffer. Para tooling de segurança construído sobre eBPF tracing, o ring buffer é agora a escolha padrão para streaming de eventos estruturados de monitores de nível de kernel para o userspace. ️

A Cloudflare sofreu uma interrupção de 6 horas após uma sub-tarefa de limpeza em sua Addressing API realizar uma consulta com um parâmetro `pending_delete` vazio. Isso fez com que o sistema interpretasse todos os 4.306 prefixos BYOIP como marcados para exclusão, retirando sistematicamente cerca de 1.100 prefixos BGP das redes dos clientes . O erro tornou serviços essenciais, incluindo Magic Transit, Spectrum e uma parte do 1.1.1.1, inacessíveis. A recuperação foi complicada pelos diferentes estados de impacto, com alguns clientes perdendo tanto os anúncios de prefixo quanto os bindings de serviço. Em resposta, a Cloudflare está implementando circuit breakers para ações de retirada de BGP em larga escala, separando os estados operacional e configurado na Addressing API, e implantando snapshots de configuração mediadas pela integridade como parte de sua iniciativa "Code Orange: Fail Small" ️ para evitar futuras ocorrências.

Uma falha de prompt-injection no Cline permitiu que um invasor roubasse um npm publish token e distribuísse uma versão que instalou silenciosamente o OpenClaw nos sistemas dos usuários por aproximadamente oito horas ️.

O cidadão ucraniano Oleksandr Didenko foi sentenciado a cinco anos de prisão por fornecer 871 identidades proxy e operar operações de laptop farms em múltiplos países. Essa estrutura visava auxiliar trabalhadores de TI norte-coreanos a obter fraudulentamente empregos em 40 empresas dos EUA. ️

Hackers patrocinados pelo estado chinês exploraram repetidamente vulnerabilidades zero-day na VPN Ivanti Connect Secure para comprometer agências federais americanas, incluindo o Pentágono, a NASA e a própria CISA . Este incidente provocou um êxodo massivo do governo dos EUA desta plataforma.