CEVIU News - CEVIU Segurança da Informação - 13 de abril de 2026

Em um julgamento realizado no Texas em abril de 2026, o FBI revelou que utilizou a ferramenta Cellebrite para extrair mensagens do Signal de bancos de dados de notificações push do iOS. Essas mensagens persistem no sistema mesmo após a desinstalação do aplicativo. Para mitigar essa vulnerabilidade, é possível configurar a opção "Mostrar Pré-visualizações" para "Nunca" nas definições de notificação do iOS e, adicionalmente, desativar o conteúdo das notificações dentro do próprio aplicativo Signal.

O Google anunciou que a criptografia de ponta a ponta agora está disponível em todos os dispositivos Android e iOS para usuários corporativos. Após os administradores habilitarem o recurso, os usuários poderão ativar a Criptografia Avançada e enviar mensagens criptografadas diretamente do aplicativo Gmail.

LucidRook é um backdoor baseado em Lua que visou ONGs e universidades taiwanesas por meio de duas cadeias de phishing direcionado em outubro de 2025. Uma cadeia baseada em LNK onde um arquivo protegido por senha entrega uma carta governamental isca junto com um dropper LucidPawn que realiza DLL-sideloading de LucidRook através de um executável do Microsoft Edge renomeado. A segunda é uma cadeia baseada em EXE usando um instalador falso da Trend Micro para atingir o mesmo resultado. Uma vez em execução, LucidRook busca payloads de bytecode Lua de segunda etapa de um C2 (hospedado brevemente e removido após a entrega para dificultar a forense), coleta dados de reconhecimento do sistema, criptografa-os com RSA em arquivos protegidos por senha e os exfiltra via FTP. Uma ferramenta auxiliar, LucidKnight, abusa do GMTP do Gmail para exfiltração de dados. Defensores devem procurar por sideloading de DismCore[.]dll, tráfego FTP de saída de cargas de trabalho que não sejam de servidor e tráfego anômalo da Gmail API a partir de endpoints como pontos de detecção iniciais.

Pesquisadores utilizando a IA Claude descobriram uma falha no Apache ActiveMQ Classic que permaneceu indetectada por 13 anos. Essa falha permite que atacantes forcem o broker a buscar um arquivo Spring XML remoto e executar comandos arbitrários durante a inicialização. A vulnerabilidade normalmente exige autenticação para ser explorada, mas nas versões 6.0.0 a 6.1.1, ela pode ser encadeada com outra vulnerabilidade para alcançar RCE não autenticado.

O ambiente de notebook Python Marimo anunciou uma nova vulnerabilidade de execução remota de código (RCE) não autenticada, afetando as versões 0.20.4. A vulnerabilidade decorre do endpoint WebSocket expor um terminal interativo sem autenticação. Pesquisadores da Sysdig reportaram que atacantes desenvolveram um exploit baseado no anúncio e começaram a buscar e explorar sistemas vulneráveis em até 12 horas.

Uma backdoor ELF x86-64 sem detecção (0/72 VT), atribuída ao APT41 (Winnti), mira em cargas de trabalho de nuvem Linux em AWS, GCP, Azure e Alibaba Cloud. Ela coleta credenciais IAM/managed identity via metadata APIs, as criptografa com AES-256 e as exfiltra pela porta SMTP 25 para um servidor C2 em 43[.]99[.]48[.]196 (Alibaba Cloud Cingapura), escondido atrás de três domínios de typosquat registrados no NameSilo (ai[.]qianxing[.]co, ns1[.]a1iyun[.]top e ai[.]aliyuncs[.]help) que evitam detecção por Shodan/Censys através de validação seletiva de EHLO token. O implante alcança movimento lateral peer-to-peer por meio de transmissões UDP para 255.255.255.255:6006, representando a fase mais recente de uma linha ELF Winnti de 6 anos, que progrediu de PWNLNX (2020) através de KEYPLUG (2023) até este coletor de credenciais de nuvem construído especificamente para esse fim. Defensores devem monitorar a saída na porta 25 de cargas de trabalho não relacionadas a e-mail, o tráfego de transmissão UDP 6006, leituras de ~/.aws/credentials e caminhos equivalentes de credenciais de nuvem por processos não-padrão, e impor IMDSv2 na AWS para bloquear o abuso não autenticado de metadata API.

A CVE-2026-27654 é um heap buffer overflow no módulo WebDAV do nginx, acionado quando o cabeçalho Destination é mais curto que o prefixo de localização, resultando em um underflow não assinado. A vulnerabilidade exige uma configuração não padrão, incluindo ngx_http_dav_module, alias e os métodos DAV COPY ou MOVE. O Claude identificou o bug e criou o PoC inicial de crash. Subsequentemente, três pesquisadores desenvolveram duas variantes adicionais: uma permitindo escrita arbitrária de arquivos e outra capaz de ler /etc/passwd com uma única requisição COPY. No dia 24 de março, quando a correção do nginx foi tornada pública, um commit-watcher de IA gerou um PoC de crash no mesmo dia.

A Sublime Security emprega uma linguagem específica de domínio, a Message Query Language (MQL), para viabilizar a caça histórica a ameaças e o backtesting de detecção em sua plataforma de segurança de e-mail. Esta abordagem otimiza o processo dividindo as buscas em uma fase de seleção de candidatos e uma fase de avaliação. Isso permite que operações MQL de baixo custo sejam executadas primeiro, filtrando os resultados antes que as operações mais complexas e caras sejam processadas. O artigo demonstra o progresso de uma caça a ameaças usando uma query de exemplo que busca por todas as mensagens não solicitadas com faturas do PayPal anexadas em outubro de 2025.

O Fight Fraud Framework (F3) da MITRE é uma Base de conhecimento pública que descreve táticas, técnicas e procedimentos de fraudadores, incluindo esquemas cibernéticos realizados por canais online. O F3 estende o ATT&CK com novas táticas de posicionamento e monetização, além de refinar várias táticas já existentes, oferecendo uma visão detalhada das operações fraudulentas.

O XChat, futuro aplicativo de mensagens autônomo do X, foi listado na App Store antes do lançamento previsto para 17 de abril no iOS.

O autor desta publicação construiu um home lab para praticar engenharia de detecção utilizando dois servidores físicos Dell.