CEVIU News - CEVIU Segurança da Informação - 10 de março de 2026

Atores de ransomware comprometeram o ambiente AWS da ELECQ, criptografando e exfiltrando bancos de dados contendo nomes de clientes, e-mails, números de telefone e endereços residenciais. Dados de pagamento e os carregadores em si não foram afetados pelo ataque. A empresa desativou serviços de acesso remoto, contratou equipes de resposta a incidentes e notificou os reguladores da União Europeia. Além disso, alertou os usuários sobre o aumento do risco de phishing e social-engineering devido aos detalhes de contato expostos. ️

Agentes de IA autônomos, como o OpenClaw, que exigem amplo acesso ao sistema para serem úteis, introduzem riscos crescentes: interfaces de administração expostas vazam armazenamentos completos de credenciais, prompt injection permite ataques à cadeia de suprimentos que instalam agentes maliciosos sem o consentimento do usuário, e atacantes com pouca qualificação agora aproveitam a IA comercial para orquestrar campanhas em escala. Pesquisadores de segurança enquadram o risco central como a "trifeta letal", qualquer agente que combine acesso a dados privados, exposição a conteúdo não confiável e capacidade de comunicação externa torna-se um vetor viável para exfiltração. As organizações devem isolar agentes em VMs em redes segmentadas com controles de saída (egress controls) rigorosos e tratar os sistemas baseados em agentes como uma nova superfície de ataque que exige uma estratégia de defesa explícita, além dos controles tradicionais.

A vulnerabilidade CVE-2026-27944 (CVSS 9.8) no Nginx UI expõe o endpoint não autenticado `/api/backup` ️, vazando a chave de criptografia AES-256 e o IV através do cabeçalho de resposta `X-Backup-Security`. Isso permite a descriptografia completa de backups sem credenciais. Uma exploração bem-sucedida concede credenciais de administrador, tokens de sessão, chaves privadas SSL, configurações do Nginx e segredos de banco de dados, dando aos atacantes controle total sobre a interface de gerenciamento e a infraestrutura mapeada. Um PoC está disponível . As organizações devem restringir as interfaces de gerenciamento a redes privadas ou VPNs e aplicar IP allowlisting e MFA (autenticação multifator) .

Agências de inteligência holandesas alertam oficiais, militares e jornalistas sobre uma nova campanha de engenharia social conduzida por atacantes apoiados pela Rússia. O objetivo é obter acesso às suas contas Signal e WhatsApp, utilizando mensagens de phishing elaboradas que solicitam códigos de verificação de segurança e PIN dos usuários. Os atacantes frequentemente se disfarçam como um chatbot de suporte do Signal ou exploram o recurso de dispositivos vinculados para enganar as vítimas.

Atacantes estão clonando páginas de instalação de ferramentas populares para desenvolvedores, como o Claude Code, e usando o Google Ads para posicionar esses sites falsificados acima dos resultados legítimos. Isso leva usuários a executar comandos maliciosos "curl | shell" de uma linha que baixam o Amatera Stealer e outras cargas maliciosas de infraestrutura controlada pelos atacantes. A campanha abusa de serviços de hospedagem legítimos e rotaciona domínios rapidamente para evadir a detecção, enquanto redirecionamentos para os sites reais diminuem a suspeita das vítimas. ️ Para os defensores, é crucial reduzir a confiança cega em comandos de instalação, reforçar os controles sobre o tráfego gerado por malvertising e detectar em tempo real sinais baseados no navegador, como domínios semelhantes, comandos shell copiados para a área de transferência e cadeias de execução de scripts suspeitas.

A Acronis TRU descobriu um aplicativo trojanizado de alerta de foguetes Red Alert, distribuído via SMS e que se passava pelo Comando da Frente Interna de Israel. Atribuído ao grupo Arid Viper (APT-C-23), o APK malicioso foi detectado em 1º de março e solicita 20 permissões, incluindo 6 sensíveis. Ele coleta localização GPS, conteúdo de SMS/OTP, listas de contatos, aplicativos instalados e contas registradas. O aplicativo utiliza spoofing de certificado para se mascarar como uma instalação legítima do Google Play. Esta campanha se alinha a um padrão mais amplo de operações de spyware móvel baseadas em iscas geopolíticas, já ligadas à região, incluindo um exploit quase idêntico do Red Alert documentado pela Cloudforce One em outubro de 2023. ️

O sistema de admissão SparK da Sri Krishna College of Engineering and Technology expôs 4.110 registros de estudantes. Isso ocorreu porque suas APIs de admissão careciam de autenticação, permitindo o acesso via cookies de login definidos manualmente. Ao criar dois cookies e extrair um GUID válido de um oficial de admissão de uma resposta de busca de estudante, pesquisadores conseguiram se passar completamente por um oficial e acessar dashboards sensíveis. Os dados expostos incluíam IDs, detalhes médicos, informações religiosas e étnicas, notas, dados de renda e documentos privados de estudantes e pais, todos acessíveis com apenas um navegador. Após uma divulgação coordenada através do CERT-IN da Índia, a SKCET retirou o site vulnerável do ar em uma semana e o restaurou posteriormente com a falha corrigida.

A Europol e diversos vendors, incluindo Microsoft, Trend Micro, Cloudflare e Proofpoint, desmantelaram a plataforma de phishing-as-a-service Tycoon 2FA ️. Esta plataforma era responsável por impulsionar a maioria das tentativas de phishing bloqueadas pela Microsoft e possibilitava campanhas de Business Email Compromise (BEC) em larga escala com bypass de MFA. O ataque de roubo de token adversary-in-the-middle, característico da Tycoon 2FA, evidenciou a urgência de adotar MFA resistente a phishing, como as chaves FIDO2.

O Conselheiro-Geral do TJUE emitiu um parecer formal sob a PSD2, exigindo que os bancos reembolsem imediatamente as vítimas de transações não autorizadas , exceto se houver suspeita de fraude, enquanto preserva o direito de buscar ressarcimento de clientes que agiram com negligência grosseira ️.

As propostas de lei SB 26-051 do Colorado, AB 1043 da Califórnia e S8102A de Nova York impõem requisitos de verificação de idade para sistemas operacionais. Essas regulamentações são consideradas trivialmente contornáveis e potencialmente prejudiciais para ecossistemas de computação aberta. Elas se baseiam em auto-declaração, que crianças simplesmente irão mentir para contornar. A versão de Nova York agrava a situação ao exigir verificação de identidade por terceiros apenas para usar um dispositivo conectado à internet, eliminando efetivamente a privacidade. ️ Distribuições Linux que se recusarem a emitir um sinal de faixa etária correm o risco de proporcionar uma experiência de internet degradada aos seus usuários. A System76 argumenta que a única solução duradoura é a educação em letramento digital, em vez de meros controles de acesso.

O BoryptGrab é um stealer de informações em C/C++ disseminado através de mais de 100 repositórios enganosos no GitHub, que se fazem passar por ferramentas gratuitas.

Agentes de codificação de IA devem duplicar as submissões de bug bounty em 2026 . No entanto, à medida que empresas implementam internamente as mesmas ferramentas para revisão contínua de código e testes black-box, programas externos provavelmente enfrentarão um declínio acentuado em achados viáveis dentro de um a dois anos .