CEVIU News - CEVIU Segurança da Informação - 14 de abril de 2026

Hackers, autodenominados ShinyHunters, afirmam ter acessado dados da Rockstar através de um provedor de cloud de terceiros e tentaram exigir um resgate, ameaçando vazar as informações.

Um ator de ameaça configurou um domínio da Anthropic com typosquatting para servir um instalador MSI trojanizado. Este instalador implanta silenciosamente o PlugX, um Remote Access Trojan (RAT), junto com o aplicativo legítimo Claude. A infecção ocorre por DLL sideloading através de um binário assinado da G DATA (NOVUpdate.exe), e a comunicação é estabelecida com a infraestrutura de C2 na Alibaba Cloud. O dropper em VBScript persiste na pasta de inicialização e se autoexclui para minimizar artefatos forenses, enquanto a supressão de erros impede alertas visíveis para a vítima durante a implantação. Para mitigar, é crucial bloquear o carregamento de DLLs não assinadas de diretórios de inicialização, monitorar o NOVUpdate.exe em busca de conexões de rede suspeitas e impor allowlisting de aplicativos para evitar a execução de instaladores trojanizados de ferramentas de IA.

Atores de ameaça desconhecidos invadiram o site cpuid.com por aproximadamente 19 horas (entre 9 e 10 de abril) através de uma API auxiliar comprometida. Eles substituíram as URLs de download do CPU-Z e HWMonitor por links para sites maliciosos que distribuíam instaladores trojanizados. Estes instaladores empacotavam a CRYPTBASE.dll para DLL sideloading. A DLL maliciosa realizava verificações anti-sandbox antes de implantar o STX RAT, um infostealer com capacidade HVNC que suporta execução em memória de EXE, DLL, PowerShell e shellcode, além de tunelamento de reverse-proxy. A infraestrutura C2 utilizada foi reutilizada de uma campanha anterior envolvendo o FileZilla trojanizado. A Kaspersky identificou mais de 150 vítimas no Brasil, Rússia e China.

A Basic-Fit detectou acesso não autorizado ao seu sistema de check-in de clubes, que registra as visitas dos membros em sete países europeus. Os atacantes acessaram dados pessoais e de associação, incluindo nomes, detalhes de contato, datas de nascimento e números de contas bancárias, mas não senhas ou documentos de identificação. Aproximadamente 200.000 membros holandeses foram afetados, e o regulador foi notificado, elevando o risco de fraudes de débito direto SEPA e phishing direcionado.

A Semgrep analisou dados anonimizados de remediação de SAST e SCA de mais de 400 organizações em mais de 50.000 repositórios. A pesquisa revelou que equipes de alto desempenho atingem taxas de correção de SAST 2,4 vezes maiores e de SCA 3,3 vezes maiores que seus pares. A detecção na fase de PR (Pull Request) impulsiona um Mean Time To Recovery (MTTR) 9 vezes mais rápido em comparação com vulnerabilidades identificadas em varreduras completas. Falhas de autenticação e criptográficas exibem as maiores disparidades de desempenho entre as equipes líderes e as demais. Além disso, vulnerabilidades com mais de 90 dias raramente são resolvidas através do workflow normal. As recomendações incluem priorizar regras de bloqueio na revisão de PR, habilitar a análise de reachability de SCA e triar as vulnerabilidades de autenticação/criptografia antes do limite de 90 dias. Os dados completos do benchmark estão disponíveis em um PDF linkado na página.

O engenheiro de criptografia Filippo Valsorda atualizou seu posicionamento pós-quântico após a publicação de dois papers focados em diferentes arquiteturas quânticas. Um paper do Google demonstrou a redução do número de qubits necessários para quebrar curvas elípticas de 256 bits em hardware supercondutor. Outro, da Oratomic, revelou que o ECC-256 pode ser quebrado com apenas 10.000 qubits físicos em conectividade não-local de átomos neutros. Com Heather Adkins e Sophie Schmieg do Google estabelecendo o prazo para um CRQC (Computador Quântico Criptograficamente Relevante) em 2029, Valsorda argumenta que o risco agora exige a implementação imediata de ML-KEM e ML-DSA-44 em detrimento de esquemas híbridos, tratando qualquer troca de chaves não-PQ como um potencial comprometimento ativo. TEEs (como Intel SGX e AMD SEV-SNP) são apontados como especialmente vulneráveis, dada a ausência de um caminho conhecido para migração de root-of-trust pós-quântico, enquanto implementações de criptografia de arquivos enfrentam o risco de "armazenar agora e decifrar depois", necessitando de um rollout urgente para receptores PQ.

A Agentic AI deve ser tratada como um funcionário independente e ter os mesmos privilégios e controles que um funcionário humano. Questões como a exfiltração de segredos pela IA, a escalada de privilégios e as alucinações são problemas que encontram equivalentes na esfera de gestão de ameaças internas.

Vespasian é uma ferramenta open-source para descoberta de endpoints de API que captura tráfego HTTP em tempo real via navegador headless ou por meio de capturas existentes do Burp Suite, HAR e mitmproxy. Em seguida, gera especificações estruturadas como OpenAPI 3.0 para REST, GraphQL SDL e WSDL para SOAP. Seu pipeline de duas fases separa a captura da geração, empregando heurísticas com pontuação de confiança para classificação de tipo de API e normalização de caminhos com deduplicação parametrizada. A ferramenta também implementa uma estratégia de introspecção GraphQL em camadas, que inclui fallbacks para bypass de WAF. O Vespasian se integra diretamente com o Hadrian da Praetorian para testes automatizados de BOLA/BFLA, estabelecendo um pipeline completo de descoberta e teste que elimina a necessidade de criação manual de especificações.

O Bellingcat identificou quase 800 pares de e-mail e senha de contas do governo húngaro em dados de vazamentos públicos. Isso incluiu cerca de 120 contas relacionadas à defesa, algumas ligadas a um vazamento de e-learning da OTAN em 2023. As autoridades reutilizaram senhas fracas, como “FrankLampard”, “123456aA” e “linkedinlinkedin”, em serviços de terceiros. Além disso, logs de stealer dos últimos meses indicam que várias máquinas governamentais agora estão sob telemetria de atacantes.

Um hacker desviou um pagamento de £700.000 da subsidiária norte-americana da Zephyr Energy para uma conta bancária fraudulenta. O incidente ocorreu por meio de interferência no processo de pagamento a um contratado, provavelmente utilizando táticas de Business Email Compromise (BEC), como a alteração de dados bancários e de roteamento em fluxos de trabalho de faturamento. A Zephyr Energy informou que o incidente foi contido, as operações da empresa continuam normalmente e camadas extras de segurança estão sendo implementadas. A empresa também está trabalhando para recuperar os fundos por meio dos bancos envolvidos.

Entre fevereiro e março, o GitHub enfrentou diversos incidentes significativos que levaram a plataforma a operar abaixo dos seus padrões de disponibilidade. O CTO do GitHub detalhou três dos principais incidentes, incluindo um caso de sobrecarga de banco de dados e dois problemas com soluções de failover que se mostraram insuficientes ou falharam. Para o futuro, o GitHub está implementando uma série de iniciativas para elevar a estabilidade e a escalabilidade da plataforma, o que inclui a migração para o Azure e a desassociação de componentes críticos.

O kernel Linux 7.0 foi lançado com suporte oficial a Rust, XFS com recuperação automática e melhorias expandidas para ARM/RISC-V/Loongson e AMD EPYC 5 KVM. Torvalds destacou o tooling de IA como um provável impulsionador do aumento de correções de casos específicos no final do ciclo de desenvolvimento.