CEVIU News - CEVIU Segurança da Informação - 18 de março de 2026

A Qihoo 360, uma das maiores empresas de cibersegurança da China, distribuiu acidentalmente um certificado SSL privado wildcard altamente sensível no instalador público de seu produto OpenClaw wrapper. A chave pode ser recuperada por qualquer pessoa com uma ferramenta de extração básica. Este incidente ocorre após o fundador da Qihoo ter prometido que a plataforma nunca vazaria senhas.

Invasores utilizaram um ataque de phishing para roubar as credenciais de um funcionário da Intuitive e acessar aplicativos internos de negócios de TI, subtraindo dados de clientes, funcionários e informações corporativas. A empresa afirmou que as plataformas robóticas, redes segmentadas e sistemas hospitalares permaneceram inalterados e online.

O pesquisador de segurança Jeremiah Fowler descobriu três bancos de dados desprotegidos e expostos publicamente, contendo um total de 3,7 milhões de logs de chat, gravações de áudio e transcrições de chamadas telefônicas de 2024 a 2026. Todos os arquivos continham referências aos serviços da Sears Home Services. O acesso público foi removido após a solicitação do pesquisador, e seu relatório foi encaminhado ao responsável pelo gerenciamento do chatbot de IA.

A pesquisa da TASZK Security Labs sobre a câmera inteligente Xiaomi C400 revelou três vulnerabilidades críticas no protocolo de configuração proprietário miIO. As falhas incluem um bypass de autenticação no handshake, um PRNG criptograficamente fraco e um heap buffer overflow que leva à corrupção controlada de metadados de heap e execução remota de código (RCE) confiável via Wi‑Fi. Explorando esses defeitos no design do protocolo e no comportamento do alocador, um atacante dentro do alcance de rádio pode vencer a corrida de configuração inicial ou abusar de um reset de fábrica para obter acesso root completo. Isso permite a implantação de um "cloud jailbreak" persistente e o redirecionamento de vídeo e controle para uma infraestrutura auto-hospedada, efetivamente isolando a nuvem da Xiaomi.

Uma falha de OPSEC em um VPS da NameCheap expôs a infraestrutura de C2 ativa do FancyBear/APT28, revelando um toolkit modular de exploração de webmail. Este toolkit visava Roundcube e SquirrelMail via XSS para exfiltrar silenciosamente mais de 2.800 e-mails, roubar mais de 240 conjuntos de credenciais, incluindo segredos TOTP, e implantar mais de 140 regras persistentes de encaminhamento Sieve. Todas as mensagens recebidas eram redirecionadas para advenwolf@proton[.]me, sendo tudo acionado sem interação da vítima além da abertura de um e-mail de spearphishing. O diretório aberto exposto na porta 8889 continha o código-fonte do C2 server-side, logs de telemetria completos e PDFs de isca direcionados a promotores ucranianos, Força Aérea Romena, GEETHA grega e Ministério da Defesa sérvio, abrangendo seis países. Defensores devem auditar instâncias de Roundcube e SquirrelMail em busca de regras Sieve não autorizadas, bloquear zhblz[.]com e 203.161.50[.]145, rotacionar credenciais e segredos TOTP para qualquer organização na lista de vítimas e desativar o ManageSieve onde não for operacionalmente necessário.

A NGSOTI (Next Generation Security Operator Infrastructure) é uma iniciativa destinada a treinar analistas não apenas em ferramentas, mas também em workflows reais, modelos de colaboração e restrições operacionais. Este ecossistema integra diversas ferramentas para compartilhamento de threat intel, enriquecimento de vulnerabilidades, filtragem de dados, visibilidade de endpoints e engenharia de detecção, além de conjuntos de regras colaborativas. A plataforma completa é unificada pelo SkillAegis, que oferece um ambiente estruturado para exercícios, simulações e avaliação. ️

Atacantes enviaram um e-mail de phishing com tema do JPMorgan para um executivo da Outpost24, que conseguiu passar pelas verificações DKIM e pelos controles de segurança de e-mail existentes. O link malicioso encadeou-se por Cisco Secure Web, rastreamento Nylas, uma empresa indiana comprometida, um domínio expirado e reutilizado, e um site hospedado no Cloudflare, antes de direcionar para uma página de credenciais do Microsoft 365.

A SafeDep identificou o pacote react-refresh-update, um typosquat do react-refresh da Meta (42 milhões de downloads semanais), que injetou um dropper ofuscado por XOR de duas camadas no runtime.js . Ele executa silenciosamente em require() sem install hooks e foi atribuído à campanha DeceptiveDevelopment do Lazarus Group, utilizando o domínio C2 malicanbur[.]pro e o IP secundário 173.211.46[.]22:8080. O binário de segunda fase foi classificado como PylangGhost RAT por múltiplos fornecedores de antivírus. O payload é sensível ao sistema operacional : no Windows, busca um arquivo autoextraível de 28.71 MB via chunked axios range requests e executa start.vbs via um processo wscript oculto e desanexado. No Linux e macOS, baixa e executa /var/tmp/macspatch.sh com a verificação TLS desabilitada. O padrão de execução encrypted-in-memory eval() evade ferramentas de análise estática que buscam referências a child_process, marcando esta campanha uma escalada notável no direcionamento da cadeia de suprimentos de agentes de codificação de IA ️, onde números de versão inflacionados e codebases espelhados podem passar por seleção automatizada de pacotes sem revisão humana.

Antes da Cúpula Global de Fraudes da ONU na Áustria , onze plataformas de tecnologia, incluindo Google, Microsoft, Amazon e OpenAI, uniram-se para criar o novo Acordo de Serviços Online Contra Fraudes . Este pacto voluntário prevê que as plataformas compartilhem inteligência e as melhores práticas sobre ameaças e integrem ferramentas de defesa em suas plataformas, sem, no entanto, incluir medidas de aplicação ️.

A Apple corrigiu a falha CVE-2026-20643 , um bypass da Same Origin Policy na Navigation API do WebKit, por meio de seu novo canal de "Background Security Improvements" em iOS, iPadOS e macOS, sem exigir uma atualização completa do sistema operacional. ️

Pesquisadores da Atos identificaram uma variante ClickFix que trojaniza o arquivo .asar do WorkFlowy para executar um beacon C2 com privilégios de usuário antes que a aplicação legítima seja inicializada, contornando o Microsoft Defender for Endpoint ao evitar motores de script e binários living-off-the-land.

Pesquisadores das Universidades de Ghent e KU Leuven divulgaram a primeira análise white-box do Microsoft PhotoDNA. O estudo revela que sua função hash piecewise-linear pode ser explorada em segundos, usando um laptop padrão, para gerar colisões exatas. Isso permite a criação de falsos positivos que correspondem a hashes de CSAM, facilitando a evasão da detecção e a reconstrução parcial de imagens originais.