CEVIU News - CEVIU Segurança da Informação - 9 de abril de 2026

A análise da Orchid Security revelou que 46% da atividade de identidade corporativa ocorre fora da visibilidade centralizada de IAM — um ponto cego amplificado por aplicações não gerenciadas, contas órfãs (40% nos ambientes observados), identidades não-humanas com privilégios excessivos e agentes de IA autônomos operando totalmente fora dos modelos de governança tradicionais. O framework IVIP da Gartner aborda isso posicionando uma camada contínua de descoberta e observabilidade acima do gerenciamento de acesso, utilizando análise binária, instrumentação dinâmica e análise de intenção impulsionada por LLM para revelar a "matéria escura" da identidade sem exigir integrações de API ou alterações no código-fonte. Equipes de IAM devem priorizar a análise de lacunas de identidade de máquina, aplicar acesso JIT (Just-in-Time) em vez de credenciais privilegiadas persistentes e instrumentar a telemetria IVIP antes de eventos de M&A para auditar a postura de identidade de ativos adquiridos antes da integração de rede.

Hackers ligados à gangue de extorsão World Leaks roubaram e publicaram arquivos relacionados ao LAPD de um sistema de armazenamento digital do Gabinete do Procurador Municipal de Los Angeles, e não das redes centrais do LAPD. O vazamento inclui, segundo relatos, arquivos de pessoal, casos de assuntos internos, materiais de discovery contendo queixas não editadas, identidades de testemunhas e dados médicos, totalizando aproximadamente 7.7 TB em 337.000 arquivos.

A ChipSoft, um fornecedor holandês de software que provê sistemas de registro de pacientes para cerca de 80% dos hospitais na Holanda, foi atingida por um ataque de ransomware em 7 de abril. Seu website permanece offline. O Z-CERT confirmou o ataque e está avaliando os danos. Embora a maioria dos hospitais ainda consiga acessar os portais de pacientes, 11 deles desativaram seus sistemas, sendo nove usuários intensivos.

Pesquisadores do Microsoft Defender rastrearam uma campanha de phishing de código de dispositivo em larga escala, impulsionada pelo toolkit EvilToken Phishing-as-a-Service. Os atacantes utilizaram Railway.com para criar nós de polling Node.js de curta duração e geraram códigos de dispositivo dinamicamente no momento do clique, resolvendo assim o problema de expiração de 15 minutos. Os e-mails foram personalizados para cada função do alvo, como faturas, RFPs e workflows de manufatura, para aumentar as taxas de interação. Após capturar os tokens, os atacantes usaram o Microsoft Graph para mapear as estruturas organizacionais e, em seguida, focaram em contas financeiras e executivas para exfiltração de e-mails.

A Netskope Threat Labs identificou uma campanha ClickFix com suporte MaaS (Malware-as-a-Service) ativa desde o início de 2025. Ela visa usuários Windows com um CAPTCHA falso, induzindo-os a executar um comando PowerShell que baixa silenciosamente o arquivo NodeServerSetup-Full.msi. Este RAT (Remote Access Trojan) inclui seu próprio runtime Node.js, instala-se em uma pasta "LogicOptimizer", mantém persistência no Registro e redireciona todas as comunicações C2 (Command and Control) via Tor. O malware verifica o host contra mais de 30 soluções de segurança antes de carregar dinamicamente módulos de infostealer na memória em tempo de execução, evitando detecção baseada em disco. Uma falha de OPSEC (Operational Security) que expôs seu painel de administração revelou uma infraestrutura C2 baseada em gRPC, com grupos afiliados recebendo alertas Telegram em tempo real sobre furtos bem-sucedidos de carteiras de criptomoedas. Recomenda-se que os defensores bloqueiem o tráfego Tor de saída, monitorem processos msiexec iniciados por PowerShell e tratem qualquer prompt de navegador que instrua a "corrigir" via área de transferência como um IOC (Indicador de Compromisso) imediato.

A Noma Security revelou o GrafanaGhost, um ataque que explora três falhas nos componentes de IA do Grafana: parâmetros de consulta manipulados para acesso não autorizado, URLs relativas a protocolo para contornar políticas de carregamento de imagens e palavras-chave de jailbreak para desativar as medidas de segurança da IA. O ataque é orquestrado silenciosamente durante requisições rotineiras de imagens a servidores controlados por atacantes, não exigindo interação do usuário e evadindo políticas de segurança ativas ao mirar em camadas de processamento de IA não cobertas por validação do lado do cliente. Os defensores devem focar no monitoramento do comportamento da IA em tempo real, em vez de apenas seguir instruções, visto que a capacidade de exploração varia conforme a segurança da implementação.

A Microsoft Threat Intelligence associou o grupo Forest Blizzard (Fancy Bear) e o subgrupo Storm-2754 a uma campanha de sequestro de roteadores SOHO, ativa desde agosto de 2025. Esta operação comprometeu mais de 5.000 dispositivos em 200 organizações para realizar sequestro de DNS e ataques AiTM em larga escala, utilizando dnsmasq para redirecionamento persistente de tráfego. Os setores-alvo incluem energia, TI e telecomunicações, com interceptação de dados confirmada de três organizações governamentais africanas e um foco específico em usuários da web do Microsoft Outlook. A Microsoft recomenda a aplicação de MFA, a adoção de autenticação sem senha e a proibição do uso de roteadores residenciais básicos para acesso corporativo, visando reduzir a exposição da força de trabalho remota.

A Anthropic lançou o Projeto Glasswing, recrutando AWS, Apple, Microsoft, Google, Cisco, CrowdStrike, Palo Alto Networks, NVIDIA, JPMorganChase, Broadcom e a Linux Foundation para implementar o Claude Mythos Preview. Este é um modelo frontier ainda não lançado que encontrou autonomamente milhares de zero-days em todos os principais sistemas operacionais e navegadores, incluindo uma falha de 27 anos no OpenBSD e um bug de 16 anos no FFmpeg que resistiu a cinco milhões de testes automatizados. O Mythos Preview alcançou 83,1% na reprodução de vulnerabilidades no CyberGym, em comparação com os 66,6% do Opus 4.6. O Opus 4.6 não será amplamente lançado até que novas salvaguardas, atualmente em fase piloto em um futuro modelo Opus, estejam suficientemente maduras. A Anthropic está destinando US$ 100 milhões em créditos de uso para os parceiros do projeto e US$ 4 milhões em doações diretas para organizações de segurança de código aberto, incluindo Alpha-Omega, OpenSSF e a Apache Software Foundation.

LLMs de fronteira cruzaram um limiar na pesquisa de vulnerabilidades, combinando entendimento estrutural implícito tipo AST, análise de taint neural emergente e raciocínio em tempo de teste (com rascunhos chain-of-thought). Isso permite rastrear fluxos de dados multi-arquivo, autoverificar hipóteses e decompor classes de bugs "novas" em primitivas conhecidas, como ambiguidades de especificação, confusões de tipo e violações de limite de confiança. Janelas de contexto de milhões de tokens eliminam o chunking RAG com perda de dados, que antes destruía as relações entre módulos, enquanto arquiteturas MoE e cadeias de raciocínio moldadas por RL tornam a análise de código profunda e autoajustável viável em escala. Os profissionais de defesa devem internalizar o insight chave: a qualidade da estrutura de suporte (modelos de ameaça, padrões de vulnerabilidade específicos de stack e caminhos de busca restritos) determina se o orçamento de raciocínio de um modelo encontra bugs reais ou desperdiça ciclos. Além disso, a complexidade de orquestração não é mais um moat contra o acesso à API com prompts bem elaborados.

O FBI e a CISA emitiram um alerta conjunto avisando que atores de APT ligados ao Irã, incluindo o grupo CyberAv3ngers afiliado ao IRGC, estão atacando PLCs Rockwell/Allen-Bradley CompactLogix e Micro850 expostos à internet. Os ataques são realizados via infraestrutura alugada no exterior e o software Studio 5000 Logix Designer, manipulando displays HMI e SCADA em setores governamentais, de água e energia. A atividade observada sugere uma possível expansão para dispositivos Siemens.

O relatório de ameaças financeiras de 2025 da Kaspersky revelou que, enquanto o malware bancário tradicional para PCs continuou em declínio, os infostealers tiveram um aumento global de 59% em PCs. Mais de um milhão de contas bancárias online dos 100 maiores bancos do mundo estavam circulando livremente em mercados da dark web, com 74% dos cartões de pagamento comprometidos ainda válidos em março de 2026. O phishing se deslocou da imitação de bancos para serviços digitais (16,15%) e e-commerce (14,17%), com Netflix, Apple e Spotify sendo agora as marcas mais imitadas, e a Mastercard desbancando o PayPal como o principal chamariz de sistemas de pagamento. O malware bancário móvel cresceu 1,5 vezes ano a ano. Para 2026, a Kaspersky projeta um cenário de ameaças mais automatizado e orientado a dados, urgindo as organizações a priorizar a proteção de identidade e a inteligência de ameaças em tempo real e cross-channel, à medida que os mercados de credenciais impulsionados por infostealers continuam a crescer.

O OpenSSL lançou correções para sete falhas, incluindo a CVE-2026-31790, um bug de vazamento de dados de severidade moderada no encapsulamento de chaves RSASVE que pode expor memória não inicializada e dados de processos anteriores.