CEVIU News - CEVIU Segurança da Informação - 20 de março de 2026

Um hacker, usando o apelido "THE INTERNET YIFF MACHINE", vazou mais de 8,3 milhões de registros altamente sensíveis da P3 Global Intel, empresa de gestão de denúncias e inteligência. O vazamento inclui dados pessoais extensos sobre os acusados pelos denunciantes, como nomes, e-mails, datas de nascimento, números de telefone, endereços residenciais, placas de veículos, SSNs e históricos criminais. O hacker também revelou que a empresa permite que seus clientes coletem uma vasta quantidade de dados de rastreamento de denunciantes que se consideravam "anônimos".

Aura, uma empresa de proteção contra roubo de identidade, anunciou que um de seus funcionários foi alvo de um ataque de vishing . O atacante acessou 900.000 registros , contendo majoritariamente apenas nomes e endereços de e-mail. Detalhes de contato, como endereços residenciais e números de telefone, também foram acessados para até 20.000 clientes ativos e 15.000 ex-clientes. A Aura confirmou que nenhuma informação sensível, como SSNs ou detalhes financeiros, foi comprometida .

A Huntress documentou um aumento de 277% no abuso de ferramentas RMM (Remote Monitoring and Management), com atores de ameaça encadeando ferramentas como Action1 e ScreenConnect. Eles utilizam instaladores MSI, wscript e scripts de infostealer gerados por LLM para fragmentar a telemetria, distribuir a persistência e dificultar a atribuição de ataques. Essas campanhas visam contas financeiras e iscas com tema SSA. Após o acesso inicial, as táticas empregadas incluíram o uso de pin.exe disfarçado de Windows Security para coletar PINs de login e armazená-los em ScreenConnect\Temp\output.txt, além de HideUL.exe da Sordum para ocultar instalações de RMM da lista de Programas e Recursos, e WebBrowserPassView para coletar credenciais. As notificações de C2 (Command and Control) eram roteadas via bots do Telegram. Para defesa, é crucial incluir ferramentas RMM aprovadas em listas de permissões explicitamente, tratar qualquer atividade RMM não reconhecida como suspeita por padrão, monitorar instalações MSI inesperadas de caminhos graváveis pelo usuário e consultar lolrmm.io para visibilidade sobre plataformas frequentemente abusadas.

A cadeia de exploração "DarkSword", ativa desde pelo menos novembro de 2025, encadeou seis falhas em JavaScriptCore (CVE-2025-31277, CVE-2025-43529), um bypass de dyld PAC (CVE-2026-20700), um escape de sandbox WebContent (CVE-2025-14174), um escape de sandbox de GPU (CVE-2025-43810) e uma escalada de privilégios local (CVE-2025-43520). Este conjunto de vulnerabilidades permitiu o controle total do kernel em versões do iOS 18.4 a 18.7, explorado através de uma página web maliciosa no Safari. Vários atores de ameaça reutilizaram a mesma cadeia central em campanhas distintas na Arábia Saudita, Turquia, Malásia e Ucrânia. Os métodos de entrega variavam desde iscas com temática do Snapchat até sites de watering-hole comprometidos, com a PARS Defense ligada à atividade na Turquia e Malásia. A Apple corrigiu todas as falhas subjacentes em etapas, culminando no iOS 26.3 até 11 de fevereiro. Os usuários devem atualizar imediatamente seus dispositivos para fechar esta cadeia de exploração totalmente corrigida.

A Eclypsium capturou duas variantes de malware indocumentadas anteriormente em 6 de março: CondiBot, uma botnet DDoS multi-arquitetura (ARM, MIPS, x86) derivada de Mirai, com 32 attack handlers registrados, capacidade de eliminação de botnets concorrentes e C2 beaconing via porta 20480 (0x5000) para 65.222.202.53; e Monaco, um SSH scanner em Go 1.24.0 e cryptominer de Monero baseado em XMRig, atribuído a um ator provavelmente de língua chinesa hospedado na Alibaba Cloud (8.222.206.6). Monaco realiza brute-forcing em aproximadamente 3.6 bilhões de IPs com mais de 50 credenciais hardcoded e reporta credenciais roubadas via raw TCP. Ambas as variantes exploram a lacuna de visibilidade de EDR/XDR em dispositivos de rede, operando abaixo da camada do sistema operacional. Defensores devem monitorar por /tmp/monaco, operações chmod 777 não autorizadas, processos XMRig inesperados e aplicar as regras YARA do relatório completo da Eclypsium para detectar artefatos do CondiBot, incluindo o identificador de string "QTXBOT".

O AWS Security Agent permite que clientes lancem testes de penetração automatizados e agentic em sites de sua propriedade. Este post detalha o processo de configuração da ferramenta para escanear uma instância DVWA em execução no EC2. O autor ficou impressionado com a apresentação dos resultados, que incluem Provas de Conceito (PoCs) e verificação, avaliando que o agente pode aprimorar os testes de penetração e reduzir o tempo de execução. No entanto, foram observadas necessidades de melhoria, como a capacidade de exportar os resultados em formato PDF. ️

O OFAC sancionou seis indivíduos e duas entidades ligadas ao esquema de trabalhadores de TI da Coreia do Norte (DPRK) – Coral Sleet/Jasper Sleet/Wagemole. Este esquema utiliza identidades roubadas, personas geradas por IA e documentos alterados com Faceswap para alocar agentes norte-coreanos em empresas ocidentais, desviando salários para financiar programas de armas de destruição em massa (WMD). A operação funciona através de uma estrutura de múltiplos níveis, com recrutadores, facilitadores e colaboradores ocidentais contatados via LinkedIn e GitHub. Os operadores do esquema tunelam o tráfego através de nós de saída dos EUA da Astrill VPN a partir de infraestruturas baseadas na China, mascarando-se como funcionários domésticos. As atividades pós-acesso incluíram roubo de dados proprietários, extorsão e o uso de IA autônoma para gerar e refinar componentes de malware. A Microsoft aconselhou as equipes de defesa a tratar essas intrusões como cenários de risco interno e a monitorar o uso anormal de credenciais e padrões de acesso lentos e discretos (low-and-slow). ️

Após um funcionário da Meta postar uma pergunta em um fórum interno, outro engenheiro pediu a um agente de IA para analisar a questão, e o agente publicou uma resposta sem a aprovação do engenheiro. O autor da pergunta original agiu com base nesse conselho e, inadvertidamente, expôs grandes volumes de dados da empresa e de usuários a engenheiros que não tinham autorização para acessá-los. Este incidente segue uma publicação do mês passado de uma diretora de segurança e alinhamento da Meta Superintelligence, onde um agente OpenClaw deletou toda a sua caixa de entrada apesar de ter sido instruído a solicitar confirmação antes de agir.

Pesquisas da IBM X-Force e da Flare Research revelaram o organograma completo da operação norte-coreana de trabalhadores de TI fraudulentos, que envolve mais de 100.000 indivíduos em 40 países. Este esquema gera anualmente US$ 500 milhões para Pyongyang, operando por meio de uma hierarquia estruturada de recrutadores, facilitadores e colaboradores ocidentais. Eles utilizam ferramentas como OConnect VPN e IP Messenger para assegurar e manter funções de TI remotas em empresas ocidentais. ️

A Eclypsium revelou nove vulnerabilidades em quatro dispositivos KVM-over-IP de baixo custo da GL-iNet, Angeet/Yeeso, Sipeed e JetKVM. Isso inclui uma cadeia de RCE pré-autenticação com CVSS 9.8 no Angeet/Yeeso ES3, além de mecanismos de atualização de firmware não assinados que poderiam permitir a instalação de imagens com backdoors ️.

O FedRAMP dedicou quase cinco anos, 480 horas de revisão e 18 sessões técnicas aprofundadas na tentativa de obter diagramas básicos de fluxo de dados da Microsoft para sua oferta Government Community Cloud High (GCC High). Esta nuvem é utilizada pelos departamentos de Justiça e Energia para proteger informações cuja exposição "poderia ter um efeito adverso severo ou catastrófico" nas operações governamentais. Avaliadores terceirizados da Microsoft, Coalfire e Kratos, informaram privadamente ao FedRAMP que era "difícil a impossível" obter documentação suficiente. Uma equipe de revisão de 2024 identificou problemas fundamentais na correção e varredura de vulnerabilidades apenas no Exchange Online e Teams. Apesar disso, o FedRAMP autorizou o GCC High em 26 de dezembro de 2024, unicamente porque a implantação generalizada nos setores federal e de defesa tornava a rejeição impraticável. Desde então, o DOGE reduziu drasticamente o orçamento anual do FedRAMP para US$ 10 milhões, com uma equipe mínima, transformando efetivamente o programa em um mero carimbo de aprovação. Paralelamente, as agências estão sendo incentivadas a adotar ferramentas de IA baseadas em nuvem que lidam com vastas quantidades de dados governamentais sensíveis.

A Ubiquiti implementou correções para duas vulnerabilidades críticas: a CVE-2026-22557 (CVSS 10.0), uma falha de path traversal na UniFi Network Application v10.1.85 e anteriores que permitia o account takeover, e a CVE-2026-22558 (CVSS 7.7), uma injeção de NoSQL autenticada que possibilitava a escalada de privilégios. ️