CEVIU News - CEVIU Segurança da Informação - 17 de março de 2026

A equipe de inteligência de ameaças da Outpost24 descobriu uma campanha de phishing multifacetada que começa com e-mails temáticos do JP Morgan validados por DKIM. Estes e-mails abusavam de links do Cisco Secure Email Gateway, encadeando-se através de rastreamento Nylas, infraestrutura comprometida de uma empresa de desenvolvimento indiana e um domínio legado re-registrado antes de chegar a uma infraestrutura protegida por Cloudflare. Um passo de "validação humana" anti-bot filtra a análise automatizada e, por fim, entrega uma página altamente convincente de coleta de credenciais do Microsoft 365 , provavelmente impulsionada pelo kit Kratos Phishing-as-a-Service .

Pesquisadores do InfoGuard Labs descriptografaram os arquivos de regras CLIPS criptografados com AES-256-CBC, presentes nos agentes 8.7 e 8.8 do Palo Alto Cortex XDR (versão de conteúdo 1790-16658). A análise revelou whitelists globais hardcoded que isentavam qualquer processo com `:\Windows\ccmcache` em sua linha de comando de aproximadamente metade das detecções BIOC, incluindo regras de prevenção de dump de LSASS mapeadas ao MITRE ATT&CK T1003/TA0006. A whitelist global foi removida no Cortex XDR Agent 9.1 (versão de conteúdo 2160), mas exceções de regras individuais ainda podem ser exploradas por atacantes com conhecimento das regras em texto puro. Defensores que usam agentes anteriores à versão 9.1 devem atualizar imediatamente. Organizações em versões corrigidas precisam auditar a telemetria da linha de comando de processos para injeção do caminho `ccmcache` e considerar qualquer EDR de "caixa fechada" como uma camada de defesa, não como um controle completo. ️️

A Qualys identificou nove vulnerabilidades no AppArmor do Linux, habilitado por padrão em distribuições como Ubuntu, Debian e SUSE. As falhas envolvem um problema de *confused-deputy* onde pseudo-arquivos world-writable permitem a usuários não privilegiados manipular perfis, resultando em potencial escalada de privilégios e ataques de negação de serviço. Recomenda-se a atualização imediata do kernel e auditorias de permissões para mitigar esses riscos, com os patches já integrados ao Linus's tree.

O Companies House do Reino Unido, a agência responsável pela incorporação e dissolução de empresas listadas no país, retirou seu painel WebFiling do ar devido a uma vulnerabilidade ️. Esta falha permitia que um usuário acessasse os painéis de outras empresas ao selecionar “file for another company” e pressionar repetidamente a tecla “voltar” quando solicitado por um código de autenticação. Esse processo os redirecionava para o painel da outra empresa, permitindo que atacantes explorassem essa brecha para visualizar e editar informações corporativas .

A Socket identificou 72 extensões Open VSX maliciosas adicionais, ativas desde 31 de janeiro de 2026, como parte de uma campanha GlassWorm intensificada. Essa campanha explora `extensionPack` e `extensionDependencies` no `package.json` para encadear extensões aparentemente inofensivas, transformando-as em mecanismos de entrega para malware transitivo uma vez que a confiança é estabelecida. O malware continua a exibir características clássicas do GlassWorm, como verificações de localidade russa, transações Solana usadas como dead-drop resolvers para resiliência de C2, e caracteres Unicode invisíveis empregados para ocultar payloads, agora com maior ofuscação e rotação de carteiras para evadir a detecção. ️ Enquanto isso, a Aikido conectou o mesmo ator a commits de cobertura gerados por LLM em 151 repositórios GitHub e dois pacotes npm (@aifabrix/miso-client, @iflow-mcp/watercrawl-watercrawl-mcp), entre 3 e 9 de março de 2026, visando credenciais, tokens e segredos.

O GitHub está registrando um aumento significativo de repositórios maliciosos que se passam por projetos legítimos, distribuindo exclusivamente binários infectados para Windows. Esses repositórios frequentemente omitem instruções de build e detalhes técnicos, empregando texto gerado por LLMs para simular autenticidade. Algumas dessas campanhas visam ecossistemas macOS/Linux, como o Homebrew, mas continuam a fornecer apenas executáveis para Windows, sugerindo uma operação de baixo esforço ou automatizada. Os cibercriminosos exploram atualizações de README e padrões de nomeação de arquivos zip reconhecíveis para manipular o ranking de buscas, utilizando por vezes contas antigas ou comprometidas. Apesar de muitos downloads já serem barrados por proteções de navegadores e antivírus (AV), é crucial que os desenvolvedores verifiquem rigorosamente os repositórios e os binários para evitar serem comprometidos. ️

A divisão de Seattle do FBI está solicitando que jogadores que instalaram títulos Steam contendo malware preencham um formulário para fornecer informações adicionais. Com base nas perguntas do formulário, o FBI parece estar investigando os aplicativos por roubo de criptomoedas e sequestro de contas . As vítimas também são solicitadas a incluir quaisquer capturas de tela de comunicações com indivíduos que promoveram os jogos ️.

A ByteDance atrasou o lançamento global do Seedance 2.0, seu modelo viral de vídeo com IA, após estúdios de Hollywood, incluindo a Disney, enviarem notificações extrajudiciais por uso não autorizado de IP protegido por direitos autorais.

A Meta anunciou o fim da criptografia de ponta a ponta nas DMs do Instagram devido à baixa adoção. A funcionalidade havia sido implementada para um subconjunto de usuários e exigia ativação manual para cada conversa. Embora a Meta ofereça suporte à criptografia de ponta a ponta no WhatsApp, a empresa tem sido ambígua sobre o progresso dessa implementação no Messenger e em outros aplicativos.

Atacantes acessaram um segmento de rede não crítico da Loblaw e roubaram dados de contato de clientes, incluindo nomes, números de telefone e endereços de e-mail. ️

Registros hackeados do Office of Industry Partnership do DHS, obtidos pela organização Distributed Denial of Secrets, expõem mais de 1.400 contratos financiados, totalizando US$ 845 milhões, que abrangem de 2004 até o final de 2025. Isso inclui premiações de maio de 2025 para dispositivos móveis de coleta biométrica, sistemas de perfil de passageiros por CCTV de aeroporto com IA, e um data lake nacional de chamadas 911 com capacidades de policiamento preditivo. O vazamento também revela mais de 6.000 empresas que fizeram lances com a agência, mostrando a amplitude do interesse do setor privado em trabalhos de vigilância e tecnologias do DHS que foram consideradas, mas nunca financiadas. As divulgações ocorrem em meio ao aumento de US$ 165 bilhões no financiamento do DHS e à controvérsia contínua sobre agentes coletando dados visuais e biométricos de manifestantes, reacendendo debates sobre liberdades civis em torno de programas de triagem comportamental assistidos por IA que falharam repetidamente em revisões independentes.

Recentemente, hackers tentaram violar os sistemas de TI do Centro Nacional de Pesquisa Nuclear da Polônia ️. Esta instituição é responsável pela operação do reator de pesquisa MARIA e apoia o programa nuclear civil do país ️.