CEVIU News - CEVIU Segurança da Informação - 4 de março de 2026

A Cloud Imperium Games, estúdio por trás de Star Citizen, divulgou com mais de um mês de atraso uma violação de dados ocorrida em 21 de janeiro ️. O incidente revelou que invasores obtiveram acesso não autorizado somente para leitura a sistemas de backup, comprometendo nomes de usuário, detalhes de contato, datas de nascimento e outras informações pessoais. A empresa minimizou o risco, afirmando que nenhum dado financeiro ou senhas foram comprometidos. No entanto, especialistas em segurança alertam que a PII exposta é suficiente para alimentar campanhas de phishing direcionadas. Jogadores criticaram a demora e a forma quase oculta da divulgação, já que o aviso da violação foi inserido em um pequeno pop-up, em vez de ser comunicado diretamente via e-mail.

O Ministério da Saúde da França confirmou uma violação de dados que expôs informações administrativas de 15,8 milhões de pacientes e notas médicas sensíveis de aproximadamente 165 mil indivíduos. A falha está ligada ao software Cegedim Sante, utilizado por cerca de 1.500 consultórios. Relatos indicam que dados como orientação sexual e status de AIDS foram encontrados online, levando especialistas a alertar sobre um dano potencialmente irreparável à privacidade das vítimas.

Em 31 de agosto de 2025, um ataque de ransomware comprometeu dados de 1,2 milhão de pessoas no Centro de Câncer da Universidade do Havaí. A ação visou servidores de pesquisa, mas não afetou as operações clínicas. Os dados incluíram nomes, SSNs e informações de saúde de 87.493 participantes de estudos de uma coorte de 1993, além de nomes, carteiras de motorista, SSNs e registros eleitorais de outros 1,15 milhão de indivíduos.

Uma campanha, suspeita de alinhamento com a Coreia do Norte, está mirando profissionais de criptoativos através de empresas de VC (Venture Capital) falsificadas, como SolidBit Capital, MegaBit e Lumax Capital, no LinkedIn. As vítimas são atraídas para páginas falsificadas de Zoom/Google Meet que instalam payloads ClickFix multiplataforma via um CAPTCHA falso da Cloudflare. A cadeia de ataque emprega envenenamento de clipboard para injetar comandos específicos do sistema operacional, entregando loaders PowerShell sem arquivo no Windows e payloads Python multiestágio no macOS. Os binários Mach-O são totalmente indetectáveis, evadindo todos os fornecedores do VirusTotal. Profissionais de cripto e Web3 devem ter extrema cautela com abordagens não solicitadas no LinkedIn, verificar domínios de empresas via WHOIS e jamais colar comandos em um terminal como parte de qualquer processo de 'verificação'.

Uma operação coordenada de phishing está abusando do Google Cloud Storage para hospedar arquivos HTML de redirecionamento em storage.googleapis.com. Essa tática permite que e-mails maliciosos passem pelas verificações SPF/DKIM, direcionando as vítimas para o que parece ser uma infraestrutura Google legítima e, portanto, confiável. O operador da campanha reutiliza um único bucket do Google Cloud Storage (GCS), mas distribui mais de 25 tipos de iscas. Essas iscas variam desde alertas de “Cloud Storage Full” e expiração falsa de antivírus até ofertas de varejo e saúde, todas convergindo para páginas de coleta de dados de cartão de crédito que apresentam baixas taxas de “envio” ou “serviço”. Para defesa, é crucial que os profissionais de segurança sinalizem links storage.googleapis.com em e-mails, examinem cuidadosamente os metadados do remetente e denunciem buckets abusivos, como “whilewait”, ao Google Cloud Abuse para desmantelar a infraestrutura compartilhada da campanha. ️

Nearby Glasses é um novo aplicativo Android que escaneia continuamente por sinais Bluetooth de óculos inteligentes fabricados pela Meta e Snap, alertando usuários quando detecta dispositivos vestíveis com capacidade de gravação contínua nas proximidades. O aplicativo compara identificadores Bluetooth de empresas específicas de fabricantes e suporta IDs personalizados para detectar uma gama mais ampla de wearables de vigilância, embora possa gerar falsos positivos de VR headsets. A ferramenta aborda preocupações crescentes com a privacidade em relação a dispositivos de gravação oculta, especialmente após relatos de que os óculos inteligentes Meta Ray-Ban foram usados em operações de imigração e assédio.

Pesquisadores realizaram a engenharia reversa do malware Aeternum Loader, revelando seu uso da blockchain Polygon para comunicações C2 através de um endereço de smart contract hardcoded. Os comandos são criptografados com AES e podem ser decifrados usando apenas o endereço do contrato como chave. O loader emprega ofuscação XOR por string, hashing de API CRC32/DJB2, autoexclusão baseada em NTFS ADS, PPID spoofing para explorer.exe e novas verificações anti-VM, incluindo detecção de MSR térmico/de energia via CPUID e contagem de bits de características SMBIOS BIOS. Notavelmente, a abordagem de C2 via blockchain cria um registro permanente e imutável de todos os comandos do atacante, fornecendo aos defensores um audit trail histórico uma vez que a criptografia seja quebrada.

A equipe de Threat Intel da Infoblox detectou uma nova campanha de phishing que abusa do domínio .arpa usando domínios reversos IPv6 para contornar firewalls e outras detecções. O TLD .arpa é um TLD especial usado principalmente para mapear endereços IP a domínios e é improvável que seja bloqueado. Os atacantes conseguiram encontrar registradores de DNS que permitiam a criação de registros A para esses domínios e os utilizaram em campanhas de phishing que anunciavam prêmios gratuitos. ️

As ferramentas Claude Code Security da Anthropic e Aardvark da OpenAI estão levantando preocupações por serem lentas, caras e ruidosas em comparação com ferramentas SAST estabelecidas, especialmente quando a mesma IA tanto escreve quanto revisa código. Especialistas argumentam que esses assistentes devem complementar, e não substituir, os pipelines existentes, já que o “vibe coding” orientado por IA acelera a criação de código inseguro e o crescente débito de segurança. O valor real reside em fluxos de trabalho de remediação aprimorados por IA e no potencial de reviver a revisão de código interativa com IA.

Campanhas de phishing visando redes corporativas europeias exploram o Windows File Explorer e o WebDAV para implantar RATs, utilizando arquivos de atalho maliciosos hospedados em domínios do Cloudflare Tunnel.

Uma investigação conjunta do Svenska Dagbladet e Göteborgs-Posten revelou que anotadores de dados da Sama, subcontratada da Meta em Nairóbi, rotineiramente se deparam com filmagens íntimas dos óculos inteligentes Meta Ray-Ban, incluindo nudez, detalhes bancários e conteúdo sexual de usuários que parecem não saber que estão sendo gravados. A análise do tráfego de rede confirmou que os óculos exigem comunicação constante com os servidores da Meta para funcionar, contradizendo as alegações de varejistas de que os dados permanecem locais. Os próprios termos da Meta permitem a revisão automatizada e humana das interações dos usuários. Advogados de privacidade e a autoridade sueca de proteção de dados questionaram a legalidade da transferência de dados tão sensíveis para o Quênia, onde não há decisão de adequação da UE, levantando sérias preocupações de conformidade com o GDPR .

Ataques de drones, ligados a retaliações iranianas, atingiram três data centers da AWS nos Emirados Árabes Unidos e Bahrein . Os incidentes causaram danos estruturais, interrupções no fornecimento de energia e quedas de serviço na infraestrutura de cloud ️. Especialistas classificaram o evento como a primeira vez que uma infraestrutura de cloud tão significativa foi desativada por ação militar.

A Huawei está comercializando globalmente seus datacenters IA modulares ️, que apresentam CPUs Kunpeng e GPUs Ascend próprias, com uma promessa de implantação entre 4 a 6 meses. A iniciativa mira nações fora das restrições de segurança ocidentais, onde o fornecimento de GPUs da Nvidia e AMD permanece escasso.