CEVIU News - CEVIU Segurança da Informação - 4 de abril de 2026

Uma atualização de software defeituosa implantada pelo Lloyds Banking Group em 12 de março expôs dados de transações bancárias móveis para outros usuários por menos de cinco horas. Dos 1,67 milhão de usuários logados durante esse período, 447.936 tiveram suas transações expostas. Até 114.182 usuários visualizaram diretamente as transações, podendo ter visto códigos de agência, números de conta e números do Seguro Nacional.

Em 31 de março, o ator de ameaça norte-coreano STARDUST CHOLLIMA utilizou credenciais roubadas de mantenedores para comprometer o pacote Axios no npm, introduzindo uma versão trojanizada com variantes de ZshBucket multiplataforma, visando diversos sistemas operacionais. Esta versão incluía um protocolo de comando e controle (C2) baseado em JSON e permitia injeção de payloads e execução remota. Defensores devem auditar credenciais npm e tratar instalações de Axios a partir desta data como potencialmente comprometidas, devido ao foco do ator na geração de moeda e cadeias de suprimento fintech.

A Hasbro apresentou uma declaração à SEC em 1º de abril confirmando um ataque cibernético detectado em 28 de março. A empresa tirou sistemas do ar e está executando planos de continuidade para manter pedidos e remessas em andamento. Hackers ainda podem estar na rede, já que a Hasbro ainda está "implementando medidas para proteger" as operações.

A Anthropic publicou acidentalmente um mapa de origem de depuração do Claude Code v2.1.88 no npm, expondo 512.000 linhas de código TypeScript em 1.900 arquivos, agora replicados permanentemente online. Separadamente, a Adversa AI encontrou uma falha no sistema de permissões do Claude Code: ao alimentá-lo com mais de 50 subcomandos em um arquivo CLAUDE.md malicioso, todas as regras de negação são silenciosamente desativadas, sem aviso ao usuário. Isso permite o roubo de chaves SSH, credenciais AWS e tokens GitHub, além de envenenar pipelines de CI/CD.

Convites de calendário superam o ceticismo dos usuários em relação a e-mails por parecerem eventos nativos do Outlook ou Gmail, com título, hora, localização e lembretes. O PhishU Framework apresenta um modelo de convite de evento premium com editor dedicado, conteúdo gerado por IA, entrega ICS via text/calendar com method=REQUEST e links rastreados incorporados no corpo do evento. Após a campanha, um treinamento integrado exibe o convite exato recebido pelo destinatário, incluindo informações do organizador e domínios suspeitos, em uma visualização estilo calendário. Isso proporciona aos operadores um fluxo de trabalho simplificado para criação, entrega e remediação, eliminando a necessidade de criar arquivos ICS manualmente.

A Duales, com sede em Toronto, deixou um bucket do Amazon S3 do app de transferência de dinheiro Duc acessível publicamente, sem necessidade de senha, expondo mais de 360.000 arquivos, incluindo carteiras de motorista, passaportes, selfies, nomes, endereços e registros de transações desde setembro de 2020. O CEO da Duales, Henry Martinez González, confirmou que o problema foi resolvido, mas não disse se existem logs de acesso, e agora o regulador de privacidade do Canadá está investigando.

CVE-2026-4946 (CVSS 8.8, CWE-78) é uma vulnerabilidade de injeção de comandos nas versões do NSA Ghidra anteriores à 12.0.3. A diretiva de anotação {@execute}, interpretada a partir de comentários de usuários, também é aplicada a comentários gerados automaticamente de binários analisados. Isso permite que agentes maliciosos incorporem cargas nocivas diretamente nos binários compilados, os quais aparecem como rótulos clicáveis aparentemente inofensivos, como "Ver Licença" na interface de listagem, sem a exibição de uma caixa de diálogo de confirmação, desencadeando a execução arbitrária de comandos via ProcessBuilder quando clicados por um analista. Analistas de malware, respondentes de incidentes e pesquisadores devem atualizar para o Ghidra 12.0.3 imediatamente, pois esse vetor de ataque foca em ambientes forenses e pode resultar na total comprometimento do computador do analista, incluindo exfiltração de chaves SSH, entrega de cargas adicionais e criação de backdoors persistentes.

MuTON e mewt são ferramentas open source de teste de mutação desenvolvidas para fluxos de trabalho agentic. O MuTON é direcionado para as linguagens da blockchain TON (FunC, Tolk e Tact), enquanto mewt oferece suporte independente de linguagem para Solidity, Rust, Go e mais. Ambas utilizam Tree-sitter para mutação em várias linhas ciente de AST e SQLite para manter o estado da campanha de forma persistente e reiniciável. Essas ferramentas melhoram abordagens anteriores como slither-mutate e universalmutator, permitindo priorização de mutantes, saída SARIF e filtragem flexível, tornando a triagem assistida por IA mais eficiente no uso de tokens. Equipes de segurança que auditam contratos inteligentes devem avaliar MuTON e mewt juntamente com uma habilidade de otimização de configuração para ajustar o tempo de execução das campanhas e identificar pontos cegos que métricas de cobertura de código costumam ignorar.

Mora_001, um ator de ameaça com conexão russa previamente vinculado ao ransomware SuperBlack, foi associado pela Fortgale IR a uma campanha coordenada por múltiplos grupos, denominada "Storming Tide". Esta campanha ataca aparelhos de perímetro Fortinet via CVE-2024-55591 e CVE-2025-24472, estabelecendo túneis VPN persistentes através da conta de serviço forticloud-sync, seguida por meses de dormência para evitar detecção. A cadeia de ataque evoluiu de Matanbuchus 3.0 (MaaS loader usando ChaCha20+Protobuf C2) para Astarion RAT (execução PowerShell na memória, criptografada com RSA) e SystemBC (proxy SOCKS5 para ofuscação C2), com RClone preparado para exfiltração para armazenamento compatível com S3 — marcando a primeira cadeia de entrega publicamente documentada de Matanbuchus para SystemBC. Defensores devem buscar as contas forticloud-sync/forticloud-tech em dispositivos FortiGate, monitorar carregamento lateral de DLL jli.dll sob java.exe em C:\ProgramData\USOShared, e tratar tarefas agendadas JavaUpdate ou JavaMainUpdate como indicadores de comprometimento de alta confiança. Os IOCs incluem IPs C2 213.226.113[.]74 e 86.106.143[.]137 e o domínio www[.]ndibstersoft[.]com.

A vulnerabilidade CVE-2025-53521 foi inicialmente divulgada em outubro de 2025 como um problema de DoS no F5 BIG-IP APM, mas foi reclassificada para uma falha crítica de execução remota de código (RCE), que está sendo ativamente explorada depois que novos detalhes surgiram em março. Atacantes não autenticados estão mirando sistemas com políticas de acesso em servidores virtuais. Shadowserver relata mais de 17.100 sistemas BIG-IP APM visíveis na internet, com mais de 14.000 ainda não corrigidos, apesar de a CISA ter incluído a falha em seu catálogo de Vulnerabilidades Conhecidas (KEV) e instruído agências federais a resolverem o problema até segunda-feira. A F5 recomenda que os defensores revisem discos, logs e histórico de terminal para indicadores de comprometimento, considerem backups UCS de sistemas potencialmente afetados como não confiáveis e reconstruam sistemas comprometidos a partir de fontes seguras e limpas.

O CISO da Amazon, CJ Moses, afirmou ao The Register que ferramentas de IA reduzem em mais de 40% os custos de pentesting, tanto em despesas humanas quanto operacionais. Apesar disso, a Amazon não está demitindo sua equipe de segurança; a empresa mantém o mesmo número de funcionários enquanto expande serviços. A IA agora lida com testes contínuos de vulnerabilidades pós-lançamento, destacando cadeias de exploração para revisão humana. Moses ressalta o limite rígido de autonomia da IA: qualquer decisão para explorar uma vulnerabilidade descoberta deve ser aprovada por humanos, comparando a tomada de decisão da IA à de uma criança de 7 anos.

A equipe de Segurança GenAI do Google desenvolveu uma abordagem de defesa em camadas para combater o prompt injection indireto (IPI) no Workspace usando o Gemini, que inclui human red-teaming, geração automatizada de ataques e um registro centralizado de vulnerabilidades. A pipeline de dados sintéticos Simula expande métodos de ataque descobertos em várias formas para melhorar o treinamento de modelos de aprendizado de máquina e aperfeiçoar medidas de segurança. Desenvolvedores de aplicativos de IA devem adotar uma estratégia semelhante de múltiplas camadas, combinando controles fixos com re-treinamento contínuo de modelos e avaliações abrangentes para evitar regressões de segurança.

O pesquisador de segurança GReAT descobriu o CrystalX RAT, um Trojan MaaS baseado em Go promovido via bate-papos privados no Telegram que combina keylogger, C2 WebSocket, credential stealer, crypto clipper injetado pelo Chrome DevTools Protocol, VNC, captura de microfone/webcam e um módulo de prankware "Rofl" em uma plataforma de assinatura única. Os implantes são comprimidos com zlib e criptografados com ChaCha20, e o malware patcha ativamente AmsiScanBuffer, EtwEventWrite e MiniDumpWriteDump para evadir a detecção e complicar a análise forense. Os defensores devem bloquear os domínios C2 webcrystal[.]lol, webcrystal[.]sbs e crystalxrat[.]top, e procurar extensões maliciosas caídas em %LOCALAPPDATA%\Microsoft\Edge\ExtSvc e invocações ChromeElevator de %TEMP%\svc[rndInt].exe.

O EmDash (v0.1.0) da Cloudflare é um CMS de código aberto, licenciado pelo MIT, desenvolvido em TypeScript sobre Astro e Cloudflare Workers, projetado para substituir a arquitetura de plugins do WordPress, considerada fundamentalmente insegura. Cada plugin opera em uma sandbox isolada de Dynamic Worker, com capacidades declaradas estaticamente em um manifesto, limitando o alcance apenas às permissões explicitamente concedidas, em vez de acesso total ao banco de dados e sistema de arquivos, como ocorre no WordPress. O EmDash pode ser implantado em qualquer servidor Node.js ou na Cloudflare, inclui autenticação por chave de segurança incorporada, um servidor remoto MCP, suporte a pagamento x402 e tooling de importação do WordPress.

O OpenTitan da Google, o primeiro Root of Trust de silício open-source com suporte a secure-boot pós-quântico SLH-DSA, começou a ser embarcado em Chromebooks comerciais via Nuvoton, com implantação em datacenters e uma segunda geração ML-DSA/ML-KEM já em desenvolvimento.

De acordo com o ThreatLabz da Zscaler, um repositório do GitHub com o usuário idbzoomh apareceu como um dos principais resultados de pesquisa no Google para "Claude Code vazado", fingindo ser um código fonte TypeScript da CLI da Anthropic. Contudo, os downloads disponíveis em formato .7z na verdade continham um dropper baseado em Rust que implantava o Vidar v18.7 para coletar histórico de navegação, informações de cartão de crédito e credenciais. A infecção também incluía o GhostSocks, uma ferramenta que transforma sistemas comprometidos em nós proxy.

A detecção de ransomware do Google Drive, alimentada por IA, está agora disponível para todos os usuários de licenças Workspace empresariais, educacionais e frontline, sendo ativada por padrão.

A Linx Security levantou US$50 milhões em uma Série B, liderada pela Insight Partners com a participação de Cyberstarts e Index Ventures, somando um total de US$83 milhões em financiamento para sua plataforma nativa de segurança de identidade e governança baseada em IA. Fundada em 2023, a startup de Nova York mapeia, monitora e governa identidades humanas, não-humanas e agentic em ambientes empresariais por meio de seu agente Autopilot IA, que oferece detecção de ameaças em tempo real e remediação automática com supervisão manual mínima. O financiamento será direcionado para o desenvolvimento de produtos, expansão de mercado e crescimento global.

Uma investigação independente que cruzou fontes confidenciais, dados de fóruns de cibercrime, registros de dossiês e documentos de órgãos de segurança identificou quatro membros-chave do Cl0p: operador j0nny (também conhecido como b1shop), desenvolvedor Andrei Vladimirovich Tarasov (AELS/Lavander/CrazyMark, criador do sistema de distribuição de tráfego Angler Exploit Kit), comprador de acesso inicial Likhogray Maxim Alexandrovich (Baddie, que adquiriu acesso a redes sob a cobertura do Royal ransomware) e o desenvolvedor do DarkGate RastaFarEye, cuja infraestrutura de carregamento apresenta semelhanças com os clusters Cl0p documentados pela Group-IB. A análise de correlação de postagens em fóruns entre j0nny e o desenvolvedor de Loader Orlylyly mostrou um atraso significativo de cinco meses (r = 0,2453, p = 0,0078), consistente com uma relação fornecedor-operador, com a última postagem de Orlylyly ocorrendo 48 horas antes das primeiras vítimas do MOVEit Transfer do Cl0p aparecerem. A investigação retrata o Cl0p como uma organização criminosa deliberadamente compartimentalizada que paga honorários legais para membros presos, utiliza identidades de cobertura para compras de acesso e mantém relações de longo prazo com desenvolvedores em múltiplos ecossistemas de ransomware.

A Apple adaptou defesas do iOS 26 para o iOS 18 após o lançamento do DarkSword, uma cadeia de exploit zero-click para iPhone que explora vulnerabilidades de sistemas antigos, ter vazado no GitHub, tornando-o acessível a atacantes menos experientes.

Pesquisadores da Universidade de Varsóvia demonstraram um sistema de distribuição de chave quântica (QKD) utilizando o efeito temporal Talbot, um fenômeno óptico do século XIX, para realizar codificação temporal de alta dimensão em superposições 2D e 4D em infraestrutura de fibra óptica urbana existente. O design exige apenas um detector de fótons único, dispensando a necessidade de um complexo arranjo de interferômetros e calibrações frequentes, reduzindo custo e complexidade. Uma vulnerabilidade de segurança em protocolos QKD padrão foi identificada e resolvida com uma modificação do receptor, e a prova de segurança atualizada foi publicada na Physical Review Applied.

O Hospital Nacogdoches Memorial, no Texas, divulgou um vazamento que afetou 257.073 pessoas, expondo nomes, SSNs, datas de nascimento, números de registro médico, números de conta, números de beneficiário do plano de saúde e fotos faciais.

O armênio Hambardzum Minasyan compareceu a um tribunal federal em Austin, enfrentando até 30 anos de prisão por acusações de fraude de dispositivos de acesso, conspiração sob o CFAA e lavagem de dinheiro. Ele é acusado de participar no desenvolvimento e distribuição do RedLine, um infostealer utilizado em mais de 150 países.

Pesquisadores do Microsoft Defender alertaram sobre uma campanha ativa desde o final de fevereiro, que distribui arquivos VBS via WhatsApp, utilizando LOLBins renomeados (curl.exe como netapi.dll, bitsadmin.exe como sc.exe). Esses arquivos baixam cargas úteis de segunda fase a partir do AWS S3, Tencent Cloud e Backblaze B2, desativam o UAC via modificação do registro e instalam ferramentas de acesso remoto não assinadas como AnyDesk.msi para estabelecer acesso backdoor persistente.

Patrick Wardle realizou engenharia reversa na proteção ClickFix do macOS 26.4, conectando-a a dois eventos de Segurança de Endpoint não documentados e revelando detalhes como processos de origem e destino, além do conteúdo da área de transferência. Essa proteção exige verificação do System Integrity Protection, que impede que ferramentas de terceiros acessem a mesma autenticação de nível kernel usada pela Apple. Sem um evento de colagem da Endpoint Security público, os defensores devem depender de métodos de monitoramento de teclas menos confiáveis.