CEVIU News - CEVIU Segurança da Informação - 7 de abril de 2026

A Meta anunciou a suspensão de todas as atividades com a Mercor, startup que emprega milhares de contratados e especialistas humanos para auxiliar empresas no treinamento de modelos. A Mercor, por sua vez, confirmou ter sofrido uma violação de dados resultante de um ataque à cadeia de suprimentos LiteLLM. O grupo de hackers Lapsus$ reivindicou o roubo de 4TB de dados da Mercor.

Sites de streaming piratas carregam JavaScript cross-site de domínios DGA (Domain Generating Algorithm) que giram rapidamente em .cfd, .rest e .cyou. Estes são injetados via embeds em stream.sanction.tv e contam com scripts anti-debugging para bloquear a análise do navegador. Ao recuperar a configuração DGA ofuscada do HTML incorporado, documentando o esquema SHA-256 segmentado por tempo de 3 horas e validando-o contra o tráfego observado, agora há ferramentas para defesa contra esta ameaça. Com as seeds e um alfabeto customizado em base32, os defensores podem pré-computar e bloquear domínios de campanhas atuais e futuras, conectando-os a referrers de pirataria específicos.

Equipes de segurança ofensiva se degradam não por decisões ruins isoladas, mas pelo acúmulo de ampliação de escopo, mudando da descoberta de "unknown unknowns" para a validação de "known knowns" à medida que solicitações reativas substituem gradualmente a exploração guiada pela intuição. A contramedida prescrita é proativa, não defensiva: antecipe as preocupações da liderança rastreando lançamentos futuros e novas fronteiras de confiança, forme um ponto de vista inicial antes que a solicitação chegue, e reformule os pedidos de execução de tarefas para investigação de risco, de modo que a equipe mantenha o controle da definição do problema. O princípio operacional central é que o trabalho que uma equipe aceita repetidamente determina o que essa equipe se torna, tornando a disciplina de escopo uma estratégia de preservação de capacidade, em vez de uma preferência gerencial.

Um pesquisador de segurança insatisfeito, conhecido como Chaotic Eclipse, divulgou publicamente detalhes de uma nova vulnerabilidade zero-day do Windows, nomeada BlueHammer. Esta vulnerabilidade é de elevação de privilégio local, combinando um ataque Time-of-Check to Time-of-Use (TOCTOU) e uma confusão de caminho para conceder a um usuário local acesso ao banco de dados Security Account Manager (SAM). Chaotic Eclipse expressou frustração com a forma como o Microsoft Security Response Center (MSRC) lidou com a denúncia, mas não forneceu detalhes sobre o ocorrido.

A SafeDep descobriu 36 pacotes npm de typosquatting, que se passavam por plugins do Strapi CMS. Eles foram enviados por quatro contas falsas (sock puppet accounts) ao longo de 13 horas e continham código malicioso em postinstall hooks que são executados automaticamente no `npm install`. Os payloads evoluíram em oito estágios, avançando desde RCE (Remote Code Execution) baseado em Redis e escapes de contêineres Docker, até a coleta de credenciais de PostgreSQL, exfiltração de variáveis de ambiente e um implante persistente que visava um hostname específico, sugerindo um ataque direcionado contra uma plataforma de criptomoeda. Desenvolvedores que utilizam qualquer um dos pacotes `strapi-plugin-*` sinalizados devem considerar o sistema totalmente comprometido, trocar todas as credenciais e auditar os pipelines de CI/CD em busca de atividade de reverse shell não autorizada.

As regras de detecção compostas procuram abordar falsos positivos em detecções atômicas adicionando contexto aos alertas. Elas tentam correlacionar múltiplas ações para construir uma narrativa de um incidente. O contraponto dessas detecções é que elas exigem lógica e ajuste mais complexos.

O engenheiro de infraestrutura Daniel Rhyne declarou-se culpado de acusações federais de extorsão e danos a computadores. Ele utilizou sessões RDP, tarefas agendadas e manipulação de credenciais para desativar sistemas de seu empregador e exigir US$ 750.000 em bitcoin.

O grupo TA416 (com sobreposição a RedDelta, Mustang Panda e Twill Typhoon) retomou o ataque a entidades diplomáticas da UE e da OTAN em meados de 2025, após dois anos focado no Sudeste Asiático. Sua expansão para alvos governamentais no Oriente Médio no início de 2026 acompanhou de perto o conflito EUA-Israel-Irã. A campanha utilizou múltiplos mecanismos de entrega, incluindo abuso do Cloudflare Turnstile, sequestro de redirecionamento Microsoft OAuth e downloaders de arquivos de projeto C# baseados em MSBuild. Todos convergiam para DLL side-loading para implementar uma variante continuamente atualizada do PlugX com comunicações C2 criptografadas. Este padrão reflete uma mudança mais ampla nas operações ligadas à China em direção a intrusões focadas em identidade e de longa permanência (long-dwell), com a Darktrace documentando um caso em que um ator reapareceu mais de 600 dias após o comprometimento inicial.

Uma proposta de ação coletiva, apresentada em 31 de março por um usuário anônimo, acusa a Perplexity, Google e Meta de compartilhar transcrições completas de chat, incluindo PII, com rastreadores de anúncios de terceiros, como Meta Pixel e Google Ads. O "Incognito Mode" da Perplexity não impede isso, e usuários não assinantes são ainda mais afetados: seus prompts são compartilhados via URL, dando à Meta e ao Google acesso a conversas inteiras. As indenizações legais potenciais superam US$ 5.000 por violação, e milhões de registros de chat podem estar envolvidos.

A BKA alemã identificou publicamente Daniil Maksimovich Shchukin, um russo de 31 anos, como "UNKN", o operador por trás do GandCrab e do REvil. Estas são duas gangues de ransomware que foram pioneiras na double extortion e causaram coletivamente mais de 35 milhões de euros em prejuízos econômicos em pelo menos 130 ataques na Alemanha entre 2019 e 2021. O REvil, amplamente considerado um rebranding do GandCrab, tornou-se uma das operações de big-game hunting mais prolíficas de sua época, antes que o FBI comprometesse secretamente seus servidores antes do ataque à Kaseya em 2021. Acredita-se que Shchukin permaneça em Krasnodar, Rússia, sendo improvável sua extradição devido à ausência de um tratado de extradição entre EUA e Rússia.

A OWASP dividiu sua orientação de segurança para GenAI em duas frentes: uma para LLMs e aplicativos GenAI, e outra para IA baseada em agentes. Além disso, publicou um terceiro documento que detalha 21 riscos de segurança de dados, como vazamento de dados sensíveis (DSGAI-01), envenenamento de dados de treinamento (DSGAI-04) e comprometimento de ferramentas de terceiros (DSGAI-06).

Os ransomwares Qilin e Warlock estão utilizando táticas Bring Your Own Vulnerable Driver (BYOVD) para desabilitar mais de 300 ferramentas EDR. O Qilin, em particular, entrega uma DLL maliciosa ("msimg32.xml") que carrega dois drivers assinados, mas vulneráveis, para acessar a memória física e encerrar os drivers EDR antes de implantar suas cargas maliciosas.